ISO/IEC 27001
Transcripción
ISO/IEC 27001
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 1 Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de sistemas de TI complejos y rápidos. La tecnología de la información facilita muchos de los procesos, pero también entraña riesgos. Por tanto, una protección integral de datos e información confidencial es especialmente importante. La fiabilidad y seguridad de la tecnología de la información se convertirá en el factor decisivo para el éxito de una empresa. ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información TÜV SÜD Iberia, S.L.U. 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 2 ¿Por qué la norma ISO / IEC 27001? La seguridad de la información es cada vez más importante. Así pues, la información es un factor decisivo para el éxito de una empresa. Es, por tanto, de máxima prioridad, administrar y proteger la información. Los datos que se procesan electrónicamente especialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentan las exigencias de seguridad como la disponibilidad, confidencialidad e integridad. Esto implica la protección de los sistemas de información y comunicación frente a las ofensivas crecientes en la red, así como, por ejemplo, la prevención de pérdidas por robo y los daños causados por acciones externas, o la minimización de las consecuencias provocadas por el comportamiento negligente del ser humano. Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas y técnicas no son suficientes Un comportamiento consciente de todos los trabajadores sobre la seguridad de la información es un requisito previo para conseguir una protección integral de datos. La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresas en la identificación sistemática y el análisis de riesgos, que surgen con el uso de la información, hasta la implementación y el mantenimiento de mecanismos adecuados de vigilancia y control. ¿Qué se consigue con un Sistema de Gestión de Seguridad de la Información (SGSI)? Un Sistema de Gestión de Seguridad de la Información es un proceso continuo, basado en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicación estructurada de todos los aspectos básicos de seguridad. Gracias al mismo puede identificar y analizar sus posibles riesgos, identificar sus necesidades de actuación y realizar las medidas necesarias, que se pueden supervisar y optimizar continuamente. De esta manera, siempre tiene a la vista los principales objetivos de seguridad. Proteja el conocimiento y, así, los valores de su empresa. Aproveche las excelentes ventajas de un SGSI según la ISO / IEC 27001: El ciclo PLAN (PLANIFICAR) PDCA DO (HACER) ACT (ACTUAR) CHECK (VERIFICAR) 2 • Mejor comprensión de las exigencias del negocio • Protección de la información ante las amenazas • Fácil identificación de las debilidades • Disponibilidad continua de la información y así garantizar una continua actividad comercial • Alto nivel de confianza con sus colaboradores • Disminución del riesgo de dañar la imagen corporativa 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 3 ¿Cuáles son los fundamentos de la Seguridad de la Información? La norma ISO / IEC 27 001 considera como las tres principales características de la información: la disponibilidad, la confidencialidad y la integridad. Estas características son fundamentales en todos los requisitos externos que tiene que cumplir la empresa. Disponibilidad de la información crítica para la empresa Disponibilidad Sólo personas autorizadas pueden acceder a la información Información Confidencialidad Fiabilidad y exhaustividad de la información crítica para la empresa Integridad La información no sólo debe cumplir con los requisitos formales, sino que también deben corresponder a distintas expectativas. Los principales aspectos son la credibilidad, la responsabilidad, la constancia y la confianza. Expectativas Requisitos Disponibilidad Credibilidad Información Responsabilidad Integridad Datos TI Constancia Confidencialidad Confianza El Sistema de Gestión de Seguridad de la Información (SGSI) toma en consideración todos los enfoques de la información y no se centra sólo en su uso electrónico: • La información es más que simplemente almacenar y procesar • La seguridad de la información no sólo abarca la seguridad TI • Seguridad significa confidencialidad, integridad y disponibilidad • La gestión no es únicamente sistemas técnicos y herramientas 3 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 4 ¿Qué requiere la Seguridad de la Información? El campo de la Seguridad de la Información incluye la tecnología, que se preocupa por la seguridad de los sistemas TI y los datos almacenados en los mismos, así como la gestión de todos los procesos relacionados. Existe pues una reflexión esencial de conjunto; únicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar una protección fiable se necesita más bien una planificación estructurada, así como un control de todas las medidas de seguridad. Tecnología Sistemas, herramientas, estructura etc. 20 % Gestión 80 % Política y responsabilidad de la seguridad de la información, conocimiento y formación, reporting, continuidad empresarial, procesos etc. ¿Qué contiene la ISO / IEC 27001? La norma ISO / IEC 27001 consta de dos partes: el sistema de gestión y las medidas (controls) necesarias, que deben considerarse en cualquier caso. El siguiente gráfico es un esquema del contenido de ambas partes. Sistema de gestión basado en la ISO 9001 Resumen del contenido ISO/IEC 27001 Sistema de gestión Ciclo PDCA Gestión y responsabilidad Documentación Determinación de controles de seguridad por medio de: Gestión de riesgos Identificación Formación Valoración Revisión por parte de la dirección Definición de valores Implementación de controles Auditorías internas Los controles (controls) afectan a los siguientes aspectos: • Seguridad física y del entorno • Seguridad ligada a los RRHH • Seguridad de comunicaciones y operaciones • Control de accesos 4 • Seguridad en la fase de diseño y desarrollo • Gestión de incidentes en la Seguridad de la Información • Procedimientos de emergencia • Cumplimiento 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 5 ¿Cómo se implementa la ISO/IEC 27001 Las seis fases necesarias para la implementación de un Sistema de Gestión de Seguridad de la Información conforme a la ISO/IEC 27001 son: Paso 1 Definición del alcance (scope) y los límites de SGSI El ámbito de aplicación aclara y establece en qué campos aplica el Sistema de Gestión de Seguridad de la Información. Paso 2 Definición de la política de la seguridad de la información Determinación de la política de seguridad de la información para el ámbito de aplicación definido. Paso 3 Identificación de los activos de la empresa (assets) y sus riesgos asociados. ¿Dónde están las debilidades? ¿Qué amenazas tenemos que tener en cuenta? 6 pasos para la implementación Valorar las consecuencias Identificación de las amenazas Identificación de las debilidades Identificación de activos y evaluación Paso 4 Listado de riesgos de la empresa Control de riesgos ¿Qué riesgos se corren? ¿son asumibles? Identificación del riesgo Grado de aceptación del riesgo Niveles de rie sgo identificado Criterio 2 Criterio 1 Control necesario Riesgo asumible Fijación de controles y objetivos de control. Paso 5 Paso 6 Definición de la Declaración de Aplicabilidad, la conocida SOA (Statement of Applicability), de la norma ISO/IEC 27001. Consiste en un resumen de las decisiones tomadas en relación al tratamiento del riesgo. 5 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 6 ¿Cuáles son los factores de éxito? Para conseguir una implementación de su Sistema de Gestión de Seguridad de la Información con éxito conforme a la ISO/IEC 27001, tiene que tomar en consideración los siguientes factores: La política de Seguridad de la Información, medidas y objetivos El modelo PDCA deben estar orientados a los objetivos de la empresa debe estar de acuerdo con la estructura de la empresa Apoyo y aprobación de la dirección a todos los niveles de la organización Buena comprensión de la valoración y gestión de riesgos Formación a todos los implicados Conocimiento de la política de Seguridad de la Información Preparación de presupuestos para todas las actividades de Gestión de Seguridad de la Información Formación de directivos, empleados entre otros Planificación de costes de forma realista Introducir conceptos TI en los planes Crear concienciación de los problemas TI 6 de formación Configuración de un proceso eficaz frente a incidentes de Seguridad de la Información Fijación de requisitos claros Garantía de eficiencia y mejora del Sistema de Gestión de Seguridad de la Información Elaboración de un sistema de indicadores 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 7 ¿Cómo se desarrolla la Certificación? El Proceso de Certificación conforme a la ISO 27001 consta de dos fases. La Fase 1 de la auditoría sirve principalmente para conocer su empresa y su importancia para la seguridad. En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma. Fase I de la auditoría Fase I de la auditoría: Ámbito de aplicación y alcance • Comprensión y documentación • Definición del grado de preparación para la certificación (Fase II) Fase II de la auditoría inicial de certificación Fase II de la auditoría de certificación • Comprobación de cumplimiento de los requisitos de la norma y su eficacia • Visita a las instalaciones, verificación in situ y elaboración del informe Auditoría de mantenimiento Vigencia: • Certificado para 3 años • Auditoría anual Auditoría de mantenimiento Auditoría de renovación Entrega del Certificado y del Sello de Calidad de la Información una vez superada la Certificación. Un Certificado significa una visión de futuro Anuncie su éxito a sus empleados, proveedores, colaboradores y clientes. Haga publicidad de su empresa apoyándose en nuestra fuerte marca y mencione el valor añadido que le ofrece en su comunicación empresarial tanto interna como externa. Por ejemplo, en el marco de campañas de marketing. Incluya nuestro Sello de Calidad de la Información en su página Web, folletos, prospectos y artículos de papelería de su empresa. 7 0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 8 www.tuev-sued.es Resumen En el mundo empresarial el tratamiento específico de la información adquiere cada vez un papel más importante. Sólo las personas autorizadas deben tener acceso siempre y en cualquier momento a la información disponible. Al mismo tiempo, también se tiene que tomar en consideración los requisitos a exigir a las partes externas, como clientes y autoridades, para tener acceso a la información. Sólo por medio de un procedimiento estructurado a través de un Sistema de Gestión de la Seguridad de la Información se cumplen todas las exigencias que afectan a una organización. Si este SGSI también lo audita y certifica un especialista externo, se abren nuevas posibilidades de marketing y comunicación gracias a nuestro sello de calidad de la información. TÜV SÜD Iberia, S.L.U. Mayo 2012/13 ES C/Frederic Mompou, 4A, 1o 4a 08960 Sant Just Desvern (Barcelona) España Tel: +34-93 490 22 20 Fax: +34 - 93 490 29 04 [email protected] www.tuev-sued.es