ISO

Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947 (creación), 1951 (publicación).

¿Se tiene una política formal y se han adoptado controlesadecuados para la protección de los activos de laOrganización? ¿Cuánto pagaría la competencia por suinformación confidencial? ¿Su base de datos está protegida?

Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información.

En que consiste? La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la seguridad de la información”,

Pasos previos que la empresa debe afrontar para la implantación de esta normal:

REUNIÓN INICIAL: para identificar y conocer los procesos internos del negocio, documentación de seguridad… con objetivo de poder definir el alcance.

ANÁLISIS DIFERENCIAL: para estar al tanto del estadode situación en seguridad de la información de donde se va a obtener una planificación personalizada y las primeras líneas de actuación.

¿Para quién es significativo?

ISO 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte

del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas,

sanidad, sector público y tecnología de la información (TI).

ISO 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida

Este estándar internacional fue publicado como tal porla International Organization for Standardization y por la comisión International Electrotechnical Commission en octubre del año 2005.

ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.

MODELO PHVA Esta norma además adopta el modelo de

procesos PHVA, que se aplica para estructurar todos los procesos del SGSI.

ENFOQUE BASADO EN PROCESOS:

Esta norma promueve la adopción de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización. La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones entre estos procesos y su gestión, se puede denominar como un enfoque basado en procesos.

IMPORTANCIA DEL ENFOQUE BASADO EN PROCESOS:

oComprender los requisitos de seguridad de la información del negocio y la necesidad de establecer la política y objetivos en relación con la seguridad de la información.oImplementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización. El seguimiento y revisión del desempeño y eficacia del SGSI La mejora continua basada en la medición de objetivos.

COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION

Esta norma está alineada con las ISO 9001:2000 y la ISO 14001:2004, con el fin de apoyar la implementación y operación, consistentes e integradas con sistemas de gestión relacionados.

Esta norma esta diseñada para permitir que una organización alinee su SGSI con los requisitos de los sistemas de gestión relacionados.

TERMINOS Y DEFINICIONES

Para los propósitos de esta norma, se aplican los siguientes términos y definiciones:

Aceptación del riesgoActivo Análisis de riesgo Confidencialidad Declaración de aplicabilidad Disponibilidad Evaluación del riesgo

Evento de seguridad de la información Gestión del riesgo Incidente de seguridad de la información Integridad Riesgo residual Seguridad de la información. Sistema de gestión de la seguridad de la

información SGSI. Tratamiento del riesgo Valoración del riesgo

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

REQUISITOS GENERALES: La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado. En el contexto de las actividades globales del negocio de la organización y de los riesgos que enfrenta.

Para los propósitos de esta norma, el proceso usado se basa en el modelo PHVA

ESTABLECIMIENTO Y GESTION DEL SGSI Establecimiento del SGSIDefinir el alcance y limites del SGSI en términos de las características del negocio, la organización, su ubicación, sus activos, tecnología e incluir los detalles y justificación de cualquier exclusión del alcance. Definir una política de SGSI en términos de las características del negocio, la organización, su ubicación, sus activos y tecnología . Definir el enfoque organizacional para la valoración del riesgo.

Establecimiento del SGSI

Identificar los riesgos. Analizar y evaluar los riesgosIdentificar y evaluar las opciones para el tratamiento de los riesgos Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.

Obtener autorización de la dirección para implementar y operar el SGSI.

Elaborar una declaración de aplicabilidad.

REQUISITOS DE DOCUMENTACION

La documentación del SGSI debe incluir registros de las decisiones de la dirección, asegurar que las acciones sean trazables a las decisiones y políticas de la gerencia, y que los resultados registrados sean reproducibles.

La documentación del SGSI debe incluir: Declaraciones documentadas de la política y

objetivos del SGSI. El alcance del SGSI

Los procedimientos y controles que apoyan el SGSI

Una descripción de la metodología de valoración de riesgo.

El informe de valoración de riesgo El plan de tratamiento de riesgo Los procedimientos documentados que

necesita la organización. Los

APLICACIÓN:

Los requisitos establecidos en esta norma son genéricos y están previsto para ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza. No es aceptable la exclusión de cualquiera de los requisitos específicos en los numerales 4,5,6,7 y 8 cuando una organización declara conformidad con la presente norma.

Iso 27001:2005La ISO 27001:2005 permite: 1. Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos. 2. A la dirección gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad. 3. Determinar y analizar los riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial. 4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias, garantizando la continuidad del negocio.

Responsabilidades de administración: La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del SGSI a través de:

Establecimiento de la política del SGSI Asegurar el establecimiento de los objetivos y planes del SGSI.Establecer roles y responsabilidades para la seguridad de la información.

Iso 27001:2005

Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto. –

Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el SGSI.

- Decidir los criterios de aceptación de riesgos y los niveles del mismo.

- Asegurar que las auditorías internas del SGSI, sean conducidas y a su vez conduzcan a la administración para la revisión del SGSI

Iso 27001:2005

Auditoría interna del SGSI La organización realizará auditorías internas al

SGSI a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él. La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento

Iso 27001:2005

CICLO PDCA

Revisión por Dirección: Revisión anual del SGSI, se establecen unos puntos de entrada y salidas a la revisión, los cuales vienen especificados en la propia normaAuditoría Interna: Una vez finalizada la implantación y antes de la auditoría de certificación, se hace una auditoría interna para revisar la implantación del sistema.Política de Seguridad: Normativa interna en relación a la Seguridad de la Información

Iso 27001:2005

Concienciación: Todo el personal de la Organización tiene que estar concienciado en materia de Seguridad de la Información.

Acciones correctivas/preventivas: Para cada una de las desviaciones, o incumplimientos, que se detecten en el Sistema, se tienen que llevar a cabo acciones correctivas/ preventivas

Indicadores: Se establecen para medir la eficacia de los controles de seguridad

Responsabilidades de la Dirección: La Dirección de la Organización se tiene que comprometer formalmente proporcionar todos los recursos necesarios para la implantación del SGSI

Iso 27001:2005

Iso 27001 - 2013

Estructura de la nueva versión de ISO 27001

Primeramente la estructura del estándar internacional ISO 27001 cambio al pasar de 8 cláusulas a 10, esto derivado de su alineación al Anexo SL de las Directivas de ISO/ IEC Parte 1, con lo cual ya no se basa en el modelo PDCA (Plan‐Do‐Check‐Act), sino que ahora aplica la estructura de alto nivel, títulos de las sub‐cláusulas, texto idéntico, términos comunes y las principales definiciones definidas en el Anexo SL. Por lo tanto mantiene compatibilidad con otros estándares de sistemas de gestión que también han adoptado dicho Anexo, Cabe destacar que la tendencia de los otros estándares de sistemas de gestión es adoptar este mismo Anexo en sus nuevas versiones para alinearse.

Iso 27001:2013

Controles que ya no forman parte del estándarDESCRIPCIÓN CAMBIA POR

Comité de gestión para la seguridad de la información

Roles de la seguridad de la información y sus responsabilidades

Coordinación de seguridad de la información

Contacto con autoridades

Procesos de autorización para instalaciones para procesamiento de información

Seguridad de la información en la gestión de proyectos

Identificación de riesgos relacionados con agentes externos

Política de dispositivo móvil

Direccionamiento de seguridad al tratar con clientes

Trabajo a distancia

Validación de datos de entrada Controles contra malware

Iso 27001:2005 vs 27001:2013

Esta nueva versión refleja una mayor flexibilidad para su implementación dentro de las empresas sin importar su tamaño, así como la necesidad de adaptarse a la evolución de las tecnologías, lo que para muchos ya era inminente desde hace algunos años.

La recomendación para quienes ya poseen un SGSI implementado es considerar el apoyo de consultores con experiencia para llevar a cabo las modificaciones y dirigir los esfuerzos hacia una actualización exitosa de la norma, conforme lo dictan los requisitos. Después de todo, con la actualización de la norma el cumplimiento será más fácil de implementar  con mejor flexibilidad para las empresas de cualquier tamaño. Y para ayudar con la transición, BSI proporcionará una guía de transición y una escala de tiempo para realizar las adecuaciones pertinentes y mantener la certificación.

Iso 27001:2005 vs 27001:2013

Fin