ISO/IEC 27001

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 1
Sistema de gestión de seguridad de la información ISO/IEC 27001
En la sociedad moderna de la información y
el conocimiento, las empresas se encargan
del procesamiento de datos empresariales a
través de sistemas de TI complejos y
rápidos. La tecnología de la información
facilita muchos de los procesos, pero
también entraña riesgos. Por tanto, una
protección integral de datos e información
confidencial es especialmente importante.
La fiabilidad y seguridad de la tecnología de
la información se convertirá en el factor
decisivo para el éxito de una empresa.
ISO/IEC 27001
Sistema de Gestión de Seguridad de la Información
TÜV SÜD Iberia, S.L.U.
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 2
¿Por qué la norma ISO / IEC 27001?
La seguridad de la información es cada vez más importante. Así pues, la información
es un factor decisivo para el éxito de una empresa. Es, por tanto, de máxima prioridad,
administrar y proteger la información. Los datos que se procesan electrónicamente
especialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentan
las exigencias de seguridad como la disponibilidad, confidencialidad e integridad.
Esto implica la protección de los sistemas de información y comunicación frente a las
ofensivas crecientes en la red, así como, por ejemplo, la prevención de pérdidas por robo
y los daños causados por acciones externas, o la minimización de las consecuencias
provocadas por el comportamiento negligente del ser humano.
Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas
y técnicas no son suficientes Un comportamiento consciente de todos los trabajadores
sobre la seguridad de la información es un requisito previo para conseguir una protección
integral de datos. La implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresas
en la identificación sistemática y el análisis de riesgos, que surgen con el uso de la
información, hasta la implementación y el mantenimiento de mecanismos adecuados de
vigilancia y control.
¿Qué se consigue con un Sistema de Gestión
de Seguridad de la Información (SGSI)?
Un Sistema de Gestión de Seguridad de la Información es un proceso continuo, basado
en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicación
estructurada de todos los aspectos básicos de seguridad. Gracias al mismo puede
identificar y analizar sus posibles riesgos, identificar sus necesidades de actuación y
realizar las medidas necesarias, que se pueden supervisar y optimizar continuamente.
De esta manera, siempre tiene a la vista los principales objetivos de seguridad.
Proteja el conocimiento y, así, los valores
de su empresa. Aproveche las excelentes
ventajas de un SGSI según la ISO / IEC 27001:
El ciclo
PLAN
(PLANIFICAR)
PDCA
DO
(HACER)
ACT
(ACTUAR)
CHECK
(VERIFICAR)
2
• Mejor comprensión de las exigencias del
negocio
• Protección de la información ante las
amenazas
• Fácil identificación de las debilidades
• Disponibilidad continua de la información
y así garantizar una continua actividad
comercial
• Alto nivel de confianza con sus colaboradores
• Disminución del riesgo de dañar la imagen
corporativa
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 3
¿Cuáles son los fundamentos de la Seguridad de
la Información?
La norma ISO / IEC 27 001 considera como las tres principales características de la
información: la disponibilidad, la confidencialidad y la integridad. Estas características son
fundamentales en todos los requisitos externos que tiene que cumplir la empresa.
Disponibilidad de la información
crítica para la empresa
Disponibilidad
Sólo personas autorizadas
pueden acceder a la
información
Información
Confidencialidad
Fiabilidad y exhaustividad
de la información crítica
para la empresa
Integridad
La información no sólo debe cumplir con los requisitos formales, sino que también deben
corresponder a distintas expectativas. Los principales aspectos son la credibilidad, la
responsabilidad, la constancia y la confianza.
Expectativas
Requisitos
Disponibilidad
Credibilidad
Información
Responsabilidad
Integridad
Datos TI
Constancia
Confidencialidad
Confianza
El Sistema de Gestión de Seguridad de la Información (SGSI) toma en consideración todos
los enfoques de la información y no se centra sólo en su uso electrónico:
• La información es más que simplemente almacenar y procesar
• La seguridad de la información no sólo abarca la seguridad TI
• Seguridad significa confidencialidad, integridad y disponibilidad
• La gestión no es únicamente sistemas técnicos y herramientas
3
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 4
¿Qué requiere la Seguridad de la Información?
El campo de la Seguridad de la Información incluye la tecnología, que se preocupa por la
seguridad de los sistemas TI y los datos almacenados en los mismos, así como la gestión
de todos los procesos relacionados. Existe pues una reflexión esencial de conjunto;
únicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar una
protección fiable se necesita más bien una planificación estructurada, así como un control
de todas las medidas de seguridad.
Tecnología
Sistemas, herramientas, estructura etc.
20 %
Gestión
80 %
Política y responsabilidad de la seguridad de la
información, conocimiento y formación, reporting,
continuidad empresarial, procesos etc.
¿Qué contiene la ISO / IEC 27001?
La norma ISO / IEC 27001 consta de dos partes: el sistema de gestión y las medidas
(controls) necesarias, que deben considerarse en cualquier caso. El siguiente gráfico es
un esquema del contenido de ambas partes.
Sistema de gestión basado en la ISO 9001
Resumen del
contenido
ISO/IEC 27001
Sistema de gestión
Ciclo PDCA
Gestión y responsabilidad
Documentación
Determinación de controles
de seguridad por medio de:
Gestión de riesgos
Identificación
Formación
Valoración
Revisión por parte de la dirección
Definición
de valores
Implementación de controles
Auditorías internas
Los controles (controls) afectan a los siguientes aspectos:
• Seguridad física y del entorno
• Seguridad ligada a los RRHH
• Seguridad de comunicaciones
y operaciones
• Control de accesos
4
• Seguridad en la fase de diseño y desarrollo
• Gestión de incidentes en la
Seguridad de la Información
• Procedimientos de emergencia
• Cumplimiento
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 5
¿Cómo se implementa la ISO/IEC 27001
Las seis fases necesarias para la implementación de un Sistema de Gestión de Seguridad
de la Información conforme a la ISO/IEC 27001 son:
Paso 1
Definición del alcance (scope) y los límites de SGSI
El ámbito de aplicación aclara y establece en qué campos aplica el
Sistema de Gestión de Seguridad de la Información.
Paso 2
Definición de la política de la seguridad de la información
Determinación de la política de seguridad de la información para el
ámbito de aplicación definido.
Paso 3
Identificación de los activos de la empresa (assets) y sus riesgos
asociados. ¿Dónde están las debilidades? ¿Qué amenazas tenemos que
tener en cuenta?
6 pasos para la
implementación
Valorar las
consecuencias
Identificación de
las amenazas
Identificación de las
debilidades
Identificación
de activos y
evaluación
Paso 4
Listado de
riesgos de la
empresa
Control de riesgos
¿Qué riesgos se corren? ¿son asumibles?
Identificación
del riesgo
Grado de aceptación
del riesgo
Niveles de rie
sgo
identificado
Criterio 2
Criterio 1
Control necesario
Riesgo asumible
Fijación de controles y objetivos de control.
Paso 5
Paso 6
Definición de la Declaración de Aplicabilidad, la conocida SOA
(Statement of Applicability), de la norma ISO/IEC 27001. Consiste en un
resumen de las decisiones tomadas en relación al tratamiento del riesgo.
5
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 6
¿Cuáles son los factores de éxito?
Para conseguir una implementación de su Sistema de Gestión de Seguridad de la
Información con éxito conforme a la ISO/IEC 27001, tiene que tomar en consideración los
siguientes factores:
La política de Seguridad de la Información,
medidas y objetivos
El modelo PDCA
deben estar orientados a los objetivos
de la empresa
debe estar de acuerdo con la estructura
de la empresa
Apoyo y aprobación de la dirección
a todos los niveles de la organización
Buena comprensión de la valoración
y gestión de riesgos
Formación a todos los implicados
Conocimiento de la política de
Seguridad de la Información
Preparación de presupuestos para todas
las actividades de Gestión de Seguridad de
la Información
Formación de directivos, empleados entre otros
Planificación de costes de forma realista
Introducir conceptos TI en los planes
Crear concienciación de los problemas TI
6
de formación
Configuración de un proceso eficaz frente a
incidentes de Seguridad de la Información
Fijación de requisitos claros
Garantía de eficiencia y mejora del Sistema
de Gestión de Seguridad de la Información
Elaboración de un sistema de indicadores
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 7
¿Cómo se desarrolla la Certificación?
El Proceso de Certificación conforme a la ISO 27001 consta de dos fases. La Fase 1 de la
auditoría sirve principalmente para conocer su empresa y su importancia para la seguridad.
En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma.
Fase I
de la auditoría
Fase I de la auditoría:
Ámbito de aplicación y alcance
• Comprensión y documentación
• Definición del grado de preparación para la certificación (Fase II)
Fase II de la
auditoría inicial
de certificación
Fase II de la auditoría de certificación
• Comprobación de cumplimiento de los requisitos de la norma y su
eficacia
• Visita a las instalaciones, verificación in situ y elaboración del informe
Auditoría de
mantenimiento
Vigencia:
• Certificado para 3 años
• Auditoría anual
Auditoría de
mantenimiento
Auditoría de
renovación
Entrega del Certificado y del Sello de Calidad
de la Información una vez superada la Certificación.
Un Certificado significa una visión de futuro
Anuncie su éxito a sus empleados, proveedores, colaboradores y clientes.
Haga publicidad de su empresa apoyándose en nuestra fuerte marca y mencione el
valor añadido que le ofrece en su comunicación empresarial tanto interna como externa.
Por ejemplo, en el marco de campañas de marketing.
Incluya nuestro Sello de Calidad de la Información en su página Web, folletos, prospectos
y artículos de papelería de su empresa.
7
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 8
www.tuev-sued.es
Resumen
En el mundo empresarial el tratamiento específico de la información adquiere cada vez un
papel más importante. Sólo las personas autorizadas deben tener acceso siempre y en
cualquier momento a la información disponible. Al mismo tiempo, también se tiene que tomar
en consideración los requisitos a exigir a las partes externas, como clientes y autoridades,
para tener acceso a la información.
Sólo por medio de un procedimiento estructurado a través de un Sistema de Gestión de la
Seguridad de la Información se cumplen todas las exigencias que afectan a una
organización. Si este SGSI también lo audita y certifica un especialista externo, se abren
nuevas posibilidades de marketing y comunicación gracias a nuestro sello de calidad de la
información.
TÜV SÜD Iberia, S.L.U.
Mayo 2012/13 ES
C/Frederic Mompou, 4A, 1o 4a
08960 Sant Just Desvern (Barcelona)
España
Tel: +34-93 490 22 20
Fax: +34 - 93 490 29 04
[email protected]
www.tuev-sued.es