1. Norma UNE-ISO/IEC 27001
En Seguridad en Sistemas de Información
Ing. Guillermo Brand
Presentado por: Edgar Antonio Andrade Díaz
2. Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001,
es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se
establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la
información.
La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la
organización como las políticas, la planificación, las responsabilidades, las prácticas, los
procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las
tareas que se realizan.
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información
cuando lo requieran.
3.
4.
5. Requisitos generales del sistema de gestión
de la seguridad
• Sistema de gestión de la seguridad de la información.
• Responsabilidad de la dirección.
• Auditorias internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.
El sistema constara de una documentación en varios niveles.
Políticas, que proporcionan las guías generales de
actuación en cada caso.
Procedimientos, que dan las instrucciones para
ejecutar cada una de las tareas previstas.
Registros, que son las evidencias de que se han
llevado a cabo las actuaciones establecidas.
6. Establecimiento y gestión del SGSI
• Definición del alcance del SGSI: Procesos por los cuales se va a
actuar y evaluar los recursos que se pueden dedicar al proyecto
y la dimensión correcta del proyecto para alcanzar el éxito.
• Política de Seguridad: Contendrá las directrices generales, la
estrategia a seguir a la hora de establecer objetivos y líneas de
actuación.
• Inventario de activos: Detallara los activos dentro del alcance
del SGSI, así como los propietarios y la valoración.
• Análisis de riesgos: Se basan en la política de la organización
sobre seguridad de la información y el grado de seguridad
requerido.
• Las decisiones de la dirección: respecto a los riesgos
identificados, así como la aprobación de los riesgos residuales.
• Documento de aplicabilidad: con la relación de los controles
que son aplicables para conseguir el nivel de riesgo residual
aprobado por la dirección.
7. • Metodología del análisis de riesgos: Los resultados deben ser
comparables y repetibles adaptándose a los modos de trabajo de la
organización.
• Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos
mediante la implementación de controles hasta un nivel aceptable.
• Selección de controles: Especifica que los controles deben ser
seleccionados de entre los listados de la propia norma UNE-ISO/IEC
27002.
• Gestión de Riesgos: Una vez seleccionados los controles que repetirá el
análisis de riesgos, teniendo en cuenta ya todas las medidas de
seguridad implementadas.
• Declaración de aplicabilidad: Debe incluir los objetivos de control y los
controles seleccionados con las razones de esta selección.
• Implementación y puesta en marcha del SGSI: La dirección tiene que
aprobar la documentación desarrollada en las actividades detalladas y
proveer los recursos necesarios para ejecutar las actividades.
8. • Control y revisión del SGSI: Controlar y revisar el SGSI de manera
periódica para garantizar la conveniencia, adecuación y eficacia
continuas del sistema.
• Mantenimiento y mejora del SGSI: Los cambios en la organización
impactaran en los niveles de riesgos y a la inversa, y tiene que
haber mecanismos que acomoden estos cambios y mantengan el
nivel de seguridad en un nivel aceptable.
9. Requisitos de documentación
El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las
políticas y las acciones tomadas.
Por ello es necesario tener documentado:
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios para la implementación de los
controles y para asegurarse de que se cumplan los objetivos.
• Los registros requeridos por la norma.
10. Control de documentos
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan
unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios,
autorizaciones de acceso, permisos temporales, bajas, etc.).
Control de registros
Los registros son aquellos documentos que proporcionan evidencia
de la realización de actividades del SGSI. Con ellos se puede verificar
el cumplimiento de los requisitos. Ejemplo de egistros son el libro de
visitas, los informes de auditorías y los logs de los sistemas.
Compromiso de la dirección
Establecer la política del SGSI y asegurar que se establezcan los objetivos y
planes del SGSI. Así como asignar los roles y las responsabilidades para la
seguridad de la información.
11. Gestión de los recursos
La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento del SGSI en
función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar
el seguimiento, revisar, mantener y mejorar el SGSI.
Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias.
Esto significa que hay que definir las competencias necesarias y, en función
de tales necesidades (por ejemplo, la contratación de personal competente).
Auditorias Internas
Una de las herramientas más interesantes para controlar el funcionamiento del
SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse
regularmente, normalmente una vez al año. Debe existir un procedimiento
documentado que defina las responsabilidades y los requisitos para planificar
y dirigir las auditorias, para informar de los resultados y para mantener los registros.
12. Revisión por la dirección
La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia
continuas del sistema.
Para realizar esta revisión hay que recopilar información de los resultados
de las distintas actividades del SGSI para comprobar si se están alcanzando
los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles
soluciones.
Entradas a la Revisión
Los resultados de la revisión deben ser documentados para proporcionar
evidencia de su realización, involucrar a la dirección en la gestión del
sistema y apoyar las acciones de mejora.
13. Salida de la Revisión
La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI,
debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en
comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora continua del
sistema.
Mejora Continua
La mejora continua es una actividad recurrente para incrementar la
capacidad a la hora de cumplir los requisitos. El proceso mediante el cual
se establecen objetivos y se identifican oportunidades de mejora es continuo.
Acción Correctiva
La acción correctiva se define como la tarea que se emprende para corregir
una no conformidad significativa con cualquiera de los requisitos del sistema
de gestión de seguridad de la información.
14. Acción Preventiva
Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones
encaminadas a eliminar la causa de una posible no conformidad.
En una acción preventiva se determina la posible fuente de problemas
con el objeto de eliminarla. Se pretende con ello evitar tener que
solucionar problemas, puesto que es más eficaz y sencillo prevenirlos
que solucionarlos.
Pueden utilizarse como fuentes de información para el establecimiento
de acciones preventivas:
• Los resultados de la revisión por la dirección.
• Los resultados de los análisis de incidencias y objetivos.
• Los registros.
• El personal.