ISO/IEC 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para un sistema de gestión de seguridad de la información. La norma requiere que una organización documente su sistema, incluyendo políticas, procedimientos, análisis de riesgos e inventario de activos. También requiere auditorías internas, compromiso de la dirección y mejora continua del sistema.
2. ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y
publicado como estándar internacional en octubre de 2005 por International
Organization for Standardization y por la comisión International Electrotechnical
Commission.
Requisitos generales del sistema de gestión de la seguridad
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar
eficientemente.
Estos apartados son las que realmente conforman el cuerpo principal de la norma:
• Sistema de gestión de la seguridad de la información.
• Responsabilidad de la dirección.
• Auditorías internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.
Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos,
procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y
gestión del sistema.
3. El sistema constará de una documentación en varios niveles:
• Políticas, que proporcionan las guías generales de actuación en cada caso.
• Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas.
• Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
5. 1.Establecimiento del SGSI:
La norma establece una serie de requisitos:
Para satisfacerlos, la organización debe buscar los medios más apropiados a sus
circunstancias, necesidades y, por supuesto, los recursos disponibles.
2. Definición del alcance del SGSI:
Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la
aplicación de la norma a toda la entidad.
3. Definición de la política de seguridad:
Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción
que se van a seguir para que la confidencialidad, la integridad y la disponibilidad
queden garantizadas.
4. Identificación de los activos de información:
Se deben identificar junto con sus responsables. El SGSI va a proteger los activos
que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no
significa que haya que detallar cada componente de los sistemas de información y
cada documento que se maneje en la empresa, pero sí es indispensable identificar
qué activos son los que soportan los procesos de la organización.
6. 5. Definición del enfoque del análisis de riesgos:
El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información
previamente inventariados.
6. Cómo escoger la metodología del análisis de riesgos:
Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que
saber cuáles son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar
de manera efectiva los problemas, insistiendo con más recursos y esfuerzos en los temas que más lo
necesitan.
7. Tratamiento de los riesgos:
Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado
previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos:
• Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo
hasta un nivel aceptable.
• Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o
bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil.
• Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o
costoso.
7. 8. Selección de controles:
La selección de controles es un punto crítico del SGSI. A la hora de escoger o rechazar un control se debe
considerar hasta qué punto ese control va a ayudar sobre seguridad en sistemas de información para pymes a
reducir el riesgo que hay y cuál va a ser el coste de su implementación y mantenimiento.
9. Gestión de riesgos:
Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas
de seguridad implementadas y aquellas elegidas para hacerlo.
10. Declaración de aplicabilidad:
El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir:
• Los objetivos de control y los controles seleccionados, con las razones de esta selección.
• Los objetivos de control y los controles actualmente implementados, con una justificación.
• La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para
dicha exclusión.
11. Implementación y puesta en marcha del SGSI:
Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades
detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
8. 12. Control y revisión del SGSI:
La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y
revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del
sistema.
13. Mantenimiento y mejora del SGSI:
Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El
mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores
identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
10. 1.Generalidades:
El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las
políticas y las acciones tomadas.
Por ello es necesario tener documentado:
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología de análisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaración de aplicabilidad.
• Los procedimientos necesarios para la implementación de los controles y para asegurarse de que
se cumplan los objetivos.
• Los registros requeridos por la norma.
11. 2. Control de documentos:
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan
unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías,
cambios, autorizaciones de acceso, permisos temporales, bajas, etc.).
3. Control de registros:
Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del
SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de
visitas, los informes de auditorías y los logs de los sistemas.
4. Compromiso de la dirección:
Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la
dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de
cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso
constante de la dirección.
12. 5. Gestión de los recursos:
Ela dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y
mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en
funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI.
6. Formación:
Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de
seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es
fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización.
7. Auditorías internas:
Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta
programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que
fijarse en:
• El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el
tiempo y los recursos que habrá que destinar para efectuar la auditoría.
• Los criterios de la auditoría.
• El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte).
• La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización
debe ser auditada.
• Los métodos que se van a utilizar para hacer las auditorías.
13. 8. Revisión por la dirección:
La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y
eficacia continuas del sistema.
Entre estas revisiones tenemos : Entradas a la revisión y Salidas de la revisión
9. Mejora continua:
La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los
requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es
continuo.
Realizando: Acción correctiva y Acción preventiva
10. El anexo A:
El anexo A contiene los 133 controles considerados como las mejores prácticas en seguridad de la
información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC
27001 se referencia este anexo como el punto de partida para la selección de controles.