Doc Sgsi All

7/27/2019 Doc Sgsi All

1/14

WWW.ISO27000.ES

1

Contenidos

Sistema de Gestin de la Seguridad de laInformacin

1. Qu es un SGSI?2. Para qu sirve un SGSI?3. Qu incluye un SGSI?4. Cmo se implementa un SGSI?5. Qu tareas tiene la Gerencia en un SGSI?6. Se integra un SGSI con otros sistemas de gestin?


2/14

WWW.ISO27000.ES

2

El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto centralsobre el que se construye ISO 27001.

La gestin de la seguridad de la informacin debe realizarse mediante un procesosistemtico, documentado y conocido por toda la organizacin.

Este proceso es el que constituye un SGSI, que podra considerarse, por analoga conuna norma tan conocida como ISO 9001, como el sistema de calidad para la seguridadde la informacin.

Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso dedisponer de un presupuesto ilimitado. El propsito de un sistema de gestin de laseguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad dela informacin sean conocidos, asumidos, gestionados y minimizados por laorganizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente

y adaptada a los cambios que se produzcan en los riesgos, el entorno y lastecnologas.

En las siguientes secciones, se desarrollarn los conceptos fundamentales de unSGSI segn la norma ISO 27001.

1. Qu es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de laSeguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas

de Information Security Management System.

En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datosorganizados en poder de una entidad que posean valor para la misma,independientemente de la forma en que se guarde o transmita (escrita, en imgenes,oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo,fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propiaorganizacin o de fuentes externas) o de la fecha de elaboracin.


3/14

WWW.ISO27000.ES

3

La seguridadde la informacin, segn ISO 27001, consiste en la preservacin de suconfidencialidad, integridad y disponibilidad, as como de los sistemas implicados ensu tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyenla base sobre la que se cimienta todo el edificio de la seguridad de la informacin:

Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos,entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la informacin y susmtodos de proceso.

Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamientode la misma por parte de los individuos, entidades o procesos autorizados cuando lorequieran.

Para garantizar que la seguridad de la informacin es gestionada correctamente, sedebe hacer uso de un proceso sistemtico, documentado y conocido por toda laorganizacin, desde un enfoque de riesgo empresarial. Este proceso es el queconstituye un SGSI.

2. Para qu sirve un SGSI?

La informacin, junto a los procesos y sistemas que hacen uso de ella, son activosmuy importantes de una organizacin. La confidencialidad, integridad y disponibilidadde informacin sensible pueden llegar a ser esenciales para mantener los niveles decompetitividad, rentabilidad, conformidad legal e imagen empresarial necesarios paralograr los objetivos de la organizacin y asegurar beneficios econmicos.

Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cadavez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidadesexistentes, pueden someter a activos crticos de informacin a diversas formas defraude, espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o losataques de denegacin de servicio son algunos ejemplos comunes y conocidos, perotambin se deben considerar los riesgos de sufrir incidentes de seguridad causadosvoluntaria o involuntariamente desde dentro de la propia organizacin o aquellosprovocados accidentalmente por catstrofes naturales y fallos tcnicos.

El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condicionesvariables del entorno, la proteccin adecuada de los objetivos de negocio paraasegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades denegocio, son algunos de los aspectos fundamentales en los que un SGSI es unaherramienta de gran utilidad y de importante ayuda para la gestin de lasorganizaciones.

El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por smismo. En la gestin efectiva de la seguridad debe tomar parte activa toda laorganizacin, con la gerencia al frente, tomando en consideracin tambin a clientes yproveedores de bienes y servicios. El modelo de gestin de la seguridad debecontemplar unos procedimientos adecuados y la planificacin e implantacin de

controles de seguridad basados en una evaluacin de riesgos y en una medicin de laeficacia de los mismos.


4/14

WWW.ISO27000.ES

4

El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecerestas polticas y procedimientos en relacin a los objetivos de negocio de laorganizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel deriesgo que la propia organizacin ha decidido asumir.

Con un SGSI, la organizacin conoce los riesgos a los que est sometida suinformacin y los asume, minimiza, transfiere o controla mediante una sistemticadefinida, documentada y conocida por todos, que se revisa y mejora constantemente.

3. Qu incluye un SGSI?

En el mbito de la gestin de la calidad segn ISO 9001, siempre se ha mostradogrficamente la documentacin del sistema como una pirmide de cuatro niveles. Esposible trasladar ese modelo a un Sistema de Gestin de la Seguridad de laInformacin basado en ISO 27001 de la siguiente forma:


5/14

WWW.ISO27000.ES

5

Documentos de Nivel 1

Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usatambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el

que expone y determina las intenciones, alcance, objetivos, responsabilidades,polticas y directrices principales, etc., del SGSI.


Procedimientos: documentos en el nivel operativo, que aseguran que se realicen deforma eficaz la planificacin, operacin y control de los procesos de seguridad de lainformacin.


Instrucciones, checklists y formularios: documentos que describen cmo se realizan

las tareas y las actividades especficas relacionadas con la seguridad de lainformacin.


Registros: documentos que proporcionan una evidencia objetiva del cumplimiento delos requisitos del SGSI; estn asociados a documentos de los otros tres niveles comooutputque demuestra que se ha cumplido lo indicado en los mismos.

De manera especfica, ISO 27001 indica que un SGSI debe estar formado por lossiguientes documentos (en cualquier formato o tipo de medio):

Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI,incluyendo una identificacin clara de las dependencias, relaciones y lmites queexisten entre el alcance y aquellas partes que no hayan sido consideradas (enaquellos casos en los que el mbito de influencia del SGSI considere un subconjuntode la organizacin como delegaciones, divisiones, reas, procesos, sistemas otareas concretas).

Poltica y objetivos de seguridad: documento de contenido genrico que establece elcompromiso de la direccin y el enfoque de la organizacin en la gestin de laseguridad de la informacin.

Procedimientos y mecanismos de control que soportan al SGSI: aquellosprocedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmose realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades deocurrencia e impactos en relacin a los activos de informacin contenidos dentro delalcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin deniveles de riesgo aceptables .

Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa deevaluacin anteriormente mencionada a los activos de informacin de laorganizacin.

Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin,los recursos, las responsabilidades y las prioridades para gestionar los riesgos de


6/14

WWW.ISO27000.ES

6

seguridad de la informacin, en funcin de las conclusiones obtenidas de laevaluacin de riesgos, de los objetivos de control identificados, de los recursosdisponibles, etc.

Procedimientos documentados: todos los necesarios para asegurar la planificacin,operacin y control de los procesos de seguridad de la informacin, as como para lamedida de la eficacia de los controles implantados.

Registros: documentos que proporcionan evidencias de la conformidad con losrequisitos y del funcionamiento eficaz del SGSI.

Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglasinglesas); documento que contiene los objetivos de control y los controlescontemplados por el SGSI, basado en los resultados de los procesos de evaluaciny tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentacin

Para los documentos generados se debe establecer, documentar, implantar ymantener un procedimiento que defina las acciones de gestin necesarias para:

Aprobar documentos apropiados antes de su emisin.

Revisar y actualizar documentos cuando sea necesario y renovar su validez.

Garantizar que los cambios y el estado actual de revisin de los documentos estnidentificados.

Garantizar que las versiones relevantes de documentos vigentes estn disponiblesen los lugares de empleo.

Garantizar que los documentos se mantienen legibles y fcilmente identificables.

Garantizar que los documentos permanecen disponibles para aquellas personas quelos necesiten y que son transmitidos, almacenados y finalmente destruidos acordecon los procedimientos aplicables segn su clasificacin.

Garantizar que los documentos procedentes del exterior estn identificados.

Garantizar que la distribucin de documentos est controlada.

Prevenir la utilizacin de documentos obsoletos.

Aplicar la identificacin apropiada a documentos que son retenidos con algnpropsito.

4. Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacinen base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de

gestin de la calidad.


7/14

WWW.ISO27000.ES

7

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin,activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin.

Definir una poltica de seguridad que:

incluya el marco general y los objetivos de seguridad de la informacin de laorganizacin;

considere requerimientos legales o contractuales relativos a la seguridad de lainformacin;

est alineada con el contexto estratgico de gestin de riesgos de laorganizacin en el que se establecer y mantendr el SGSI;

establezca los criterios con los que se va a evaluar el riesgo;

est aprobada por la direccin.

Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y losrequerimientos del negocio, adems de establecer los criterios de aceptacin delriesgo y especificar los niveles de riesgo aceptable. Lo primordial de estametodologa es que los resultados obtenidos sean comparables y repetibles (existennumerosas metodologas estandarizadas para la evaluacin de riesgos, aunque esperfectamente aceptable definir una propia).

Identificar los riesgos:

identificar los activos que estn dentro del alcance del SGSI y a susresponsables directos, denominados propietarios;


8/14


9/14

WWW.ISO27000.ES

9

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 parael tratamiento del riesgo que cumplan con los requerimientos identificados en elproceso de evaluacin del riesgo.

Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin yuso del SGSI.

Definir una declaracin de aplicabilidad que incluya:

los objetivos de control y controles seleccionados y los motivos para su eleccin;

los objetivos de control y controles que actualmente ya estn implantados;

los objetivos de control y controles del Anexo A excluidos y los motivos para suexclusin; este es un mecanismo que permite, adems, detectar posiblesomisiones involuntarias.

En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799)proporciona una completa gua de implantacin que contiene 133 controles, segn 39objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO27001, en su segunda clusula, en trminos de documento indispensable para laaplicacin de este documento y deja abierta la posibilidad de incluir controlesadicionales en el caso de que la gua no contemplase todas las necesidadesparticulares.

Do: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,responsabilidades y prioridades en la gestin de los riesgos de seguridad de lainformacin.

Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos decontrol identificados, incluyendo la asignacin de recursos, responsabilidades yprioridades.

Implementar los controles anteriormente seleccionados que lleven a los objetivos decontrol.

Definir un sistema de mtricas que permita obtener resultados reproducibles ycomparables para medir la eficacia de los controles o grupos de controles.

Procurar programas de formacin y concienciacin en relacin a la seguridad de lainformacin a todo el personal.

Gestionar las operaciones del SGSI.

Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de laseguridad de la informacin.

Implantar procedimientos y controles que permitan una rpida deteccin y respuesta

a los incidentes de seguridad.


10/14


11/14

WWW.ISO27000.ES

11

Act: Mantener y mejorar el SGSI

La organizacin deber regularmente:

Implantar en el SGSI las mejoras identificadas.

Realizar las acciones preventivas y correctivas adecuadas en relacin a la clasula 8de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otrasorganizaciones.

Comunicar las acciones y mejoras a todas las partes interesadas con el nivel dedetalle adecuado y acordar, si es pertinente, la forma de proceder.

Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva denuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase encuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej.,puede haber actividades de implantacin que ya se lleven a cabo cuando otras deplanificacin an no han finalizado; o que se monitoricen controles que an no estnimplantados en su totalidad.

5. Qu tareas tiene la Gerencia en un SGSI?

Uno de los componentes primordiales en la implantacin exitosa de un Sistema deGestin de Seguridad de la Informacin es la implicacin de la direccin. No se tratade una expresin retrica, sino que debe asumirse desde un principio que un SGSIafecta fundamentalmente a la gestin del negocio y requiere, por tanto, de decisionesy acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en elerror de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada aniveles inferiores del organigrama; se estn gestionando riesgos e impactos denegocio que son responsabilidad y decisin de la direccin.

El trmino Direccin debe contemplarse siempre desde el punto de vista del alcancedel SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la

organizacin afectada por el SGSI (recurdese que el alcance no tiene por qu sertoda la organizacin).

Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin sedetallan en los siguientes puntos:

Compromiso de la direccin

La direccin de la organizacin debe comprometerse con el establecimiento,implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.

Para ello, debe tomar las siguientes iniciativas:

Establecer una poltica de seguridad de la informacin.


12/14

WWW.ISO27000.ES

12

Asegurarse de que se establecen objetivos y planes del SGSI.

Establecer roles y responsabilidades de seguridad de la informacin.

Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridadde la informacin y de cumplir con la poltica de seguridad, como susresponsabilidades legales y la necesidad de mejora continua.

Asignar suficientes recursos al SGSI en todas sus fases.

Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.

Asegurar que se realizan auditoras internas.

Realizar revisiones del SGSI, como se detalla ms adelante.

Asignacin de recursos

Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, esimprescindible la asignacin de recursos. Es responsabilidad de la direccin garantizarque se asignan los suficientes para:

Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

Garantizar que los procedimientos de seguridad de la informacin apoyan losrequerimientos de negocio.

Identificar y tratar todos los requerimientos legales y normativos, as como lasobligaciones contractuales de seguridad.

Aplicar correctamente todos los controles implementados, manteniendo de esaforma la seguridad adecuada.

Realizar revisiones cuando sea necesario y actuar adecuadamente segn losresultados de las mismas.

Mejorar la eficacia del SGSI donde sea necesario.

Formacin y concienciacin

La formacin y la concienciacin en seguridad de la informacin son elementosbsicos para el xito de un SGSI. Por ello, la direccin debe asegurar que todo elpersonal de la organizacin al que se le asignen responsabilidades definidas en elSGSI est suficientemente capacitado. Se deber:

Determinar las competencias necesarias para el personal que realiza tareas enaplicacin del SGSI.

Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p.ej., contratacin de personal ya formado.


13/14

WWW.ISO27000.ES

13

Evaluar la eficacia de las acciones realizadas.

Mantener registros de estudios, formacin, habilidades, experiencia y cualificacin.

Adems, la direccin debe asegurar que todo el personal relevante est concienciadode la importancia de sus actividades de seguridad de la informacin y de cmocontribuye a la consecucin de los objetivos del SGSI.

Revisin del SGSI

A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez alao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello,debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre lasque se pueden enumerar:

Resultados de auditoras y revisiones del SGSI.

Observaciones de todas las partes interesadas.

Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar elrendimiento y eficacia del SGSI.

Informacin sobre el estado de acciones preventivas y correctivas.

Vulnerabilidades o amenazas que no fueran tratadas adecuadamente enevaluaciones de riesgos anteriores.

Resultados de las mediciones de eficacia.

Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin.

Cualquier cambio que pueda afectar al SGSI.

Recomendaciones de mejora.

Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomardecisiones y acciones relativas a:

Mejora de la eficacia del SGSI.

Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.

Modificacin de los procedimientos y controles que afecten a la seguridad de lainformacin, en respuesta a cambios internos o externos en los requisitos denegocio, requerimientos de seguridad, procesos de negocio, marco legal,obligaciones contractuales, niveles de riesgo y criterios de aceptacin de riesgos.

Necesidades de recursos.

Mejora de la forma de medir la efectividad de los controles.


14/14

Doc Sgsi All

Documents

Transcript of Doc Sgsi All