SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIN SEGN ISO 27001:2005

ResumenTanto las personas como las empresas gestionamos informacin de modo inteligente y variado. La llegada de la computacin, internet y de los dispositivos mviles posibilita el mercadeo de nuevos productos y servicios. Teniendo en cuenta la importancia de activo que tiene la informacin en una empresa se hace necesario tener como primer objetivo la seguridad y organizacin de esta informacin; y para esto se hace necesario la implantacin de sistemas que aborden esta tarea de forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que esta sometida la informacin de la organizacin. La ISO 27001 es una norma que especifica los requisitos para la implantacin del sistema de gestin de seguridad de la informacin (SGSI) y que ha ido tomando fuerza en el mbito empresarial; tanto que se podra prever que la certificacin ISO 27001, ser casi obligatoria para cualquier empresa que desee competir en el mercado en el corto plazo [1].

INTRODUCCIN SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin, en ingles el equivalente es ISMS (Information Security Management System). El SGSI es el concepto central sobre el que se construye ISO 27001. La norma ISO 27001 tuvo su origen en la norma BSI (British Standards Institution) BS7799-2, esta norma fue publicada por primera vez en 1998 estableciendo los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. En el ao 2002, se revis la BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin, y para el 15 de octubre de 2005 despus de los cambios pertinentes fue publicada la norma ISO 27001. ISO 27001 es la nica norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin (SGSI). La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin:

ANTECEDENTES Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos. Para tener una mejor visin del problema actual en los sistemas de informacin, se puede observar en las siguientes estadsticas que maneja la empresa CERT cada ao sobre el nmero de vulnerabilidades reportadas a sistemas de informacin.

Tabla 1. Vulnerabilidades reportadas [2]

En la tabla anterior se puede observar el nmero de vulnerabilidades reportadas desde el ao 1998 hasta el tercer trimestre del 2008, para un total de 43247 en este periodo. EVOLUCIN DE LA NORMA ISO 27001 La fortaleza de la norma ISO 27001 en cuestin de la seguridad de la informacin, nadie la pone en dudad hoy en da. Desde su publicacin en 2005, ao en que ISO adopt el estndar britnico BS-7799-2 con la denominacin ISO/IEC 27001:2005, la norma ha ido hacindose un hueco cada vez ms importante en el ajetreado mundo de la certificacin. Sin embargo si se compara esta norma con otros estndares de gestin como por ejemplo la norma ISO 9001, la norma ISO 27001 esta muy lejos de alcanzar el grado de implantacin que este estndar a alcanzado desde su publicacin en 1987; no obstante y teniendo en cuenta que tanto la sociedad como las empresas que operan en el mercado dependen de una manera absoluta de la informacin; parecera lgico pensar que ISO 27001 va ir ganando peso progresivamente en el sector pblico y privado. La siguiente es una tabla que permite ver el nmero de empresas por pas que se encontraban certificadas a Febrero de 2009 bajo la norma ISO 27001.

Tabla 3. Total Empresas Certificadas ISO 27001

ESTRUCTURA DE LA NORMA ISO 27001:2005 Esta norma fue desarrollada como un modelo para el establecimiento, implementacin, operacin, revisin, mantenimiento y mejora de un SGSI de cualquier organizacin. Para establecer y gestionar un sistema de gestin de la seguridad de la informacin en base a ISO 27001, se utiliza el ciclo PHVA que ya es tradicional en los sistemas de gestin de la calidad. Planear: Establecimiento del SGSI Hacer: Implementacin del SGSI Verificar: Monitorizacin y revisin del SGSI Actuar: Mejora contina del SGSI

El siguiente es un diagrama que resume la metodologa para implementar un SGSI bajo el ciclo PHVAPLANEAR HACER VERIFICAR ACTUAR

Figura 1. Estructura Implementacin SGSI [3]

CERTIFICACION Una vez implantado el sistema segn lo antes mencionado, es decir, el manejo adecuado de la documentacin, el ciclo PHVA, tener evidencia de la responsabilidad de la gerencia y de igual forma del buen funcionamiento del sistema, se debe solicitar la auditoria de un ente certificador externo que analice, verifique y certifique la correcta implementacin de la norma ISO 27001 en la organizacin. En el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001. Cada seis o doce meses, debe realizarse una auditoria de mantenimiento del sistema, esta por se de menor duracin se centra en partes fundamentales del sistema y verifica la mejora continua de este. Cada tres aos se debe realizar una auditoria de re-certificacin.

Entes certificadores Las entidades de certificacin son organismos de evaluacin de la conformidad, encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos especficos. En el caso de ISO 27001, certifican, mediante la auditora, que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. En cada pas suele haber una sola entidad de acreditacin (en algunos, hay ms de una), a la que la Administracin encarga esa tarea. En Colombia Es la Superintendencia de Industria y comercio. Entidades certificadores en Colombia En Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores, por ejemplo los operadores de informacin, que de conformidad con el Decreto 1931 de 2006, se hallan sujetos al cumplimiento del estndar. Actualmente existen 5 empresas colombianas certificadas bajo la norma ISO 27001 entre ellas estn ETEK empresa que brinda soluciones de seguridad en la informacin y Ricoh empresa que ofrece soluciones para la gestin integral de documentos, cabe anotar que todas estas empresas fueron certificadas por la BSI (British Standards Institution) que tiene sede en Brasil. Aunque en la pgina oficial de ICONTEC, este se muestra como ente certificador de la norma ISO 27001 en la pgina de la superintendencia de industria y comercio no figura como tal. CASO DE XITO EN IMPLANTACIN DEL UN SGSI BAJO ISO 27001 Telefnica, una empresa espaola, en Colombia conocida por ser duea de Movistar, obtuvo su certificacin de la norma ISO 27001 en mayo de 2006. La problemtica inicial que se plantearon fue sobre la forma de medir el riesgo en la organizacin, la metodologa para evaluar que un proveedor tiene mayor seguridad en la informacin y la manera de alinear la tecnologa con los objetivos de la organizacin. Las motivaciones que llevaron a Telefnica a certificarse entre otras estn: gestionar el riesgo de manera ms eficiente, ofrecer a los clientes una base sobre la que ellos puedan certificar sus servicios, ser pioneros en la adopcin de estndares de seguridad y manejar una mejora continua de la organizacin. Para la implementacin del SGSI se utilizo la metodlogos del PHVA que les llevo un tiempo de 7 meses con una dedicacin completa de 3 consultores, adems de la dedicacin parcial de las reas afectadas.

Figura 4. Cronograma implementacin SGSI Telefnica

Luego de la implantacin del SGSI las recomendaciones que hace Telefnica segn la experiencia obtenida son, contar con el apoyo de la alta direccin, hacer campaas de concientizacin de todos los empleados, acotar bien el alcance dirigido a los procesos mas crticos, adaptar la norma a la empresa y no al contrario y trabajar con un objetivo (fecha) definido de certificacin.

CONCLUSIONES Se puede prever, que la certificacin ISO-27001, ser casi una obligacin de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual

es lgico, pues si se desea interrelacionar sistemas de clientes, control de inventarios, facturacin, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informtica, sino se abren brechas de seguridad entre s. Actualmente el ISO-27001:2005 es el nico estndar aceptado internacionalmente para la administracin de la seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao como por su actividad. La implementacin de un SGSI bajo la norma ISO 27001 sigue el ciclo PHVA conocido en los sistemas de gestin. La seguridad de la informacin es un proceso basado en personas y orientado al riesgo. Un buen SGSI debe ser rentable para la organizacin, sin embargo se debe ser consiente que no existe seguridad absoluta y que el SGSI es una excelente herramienta que ayuda a la gestin y disminucin de los riesgos en la seguridad de una compaa. La integracin de esta norma con otros estndares ayuda a un mejor desempeo empresarial. Como en todo proyecto, el SGSI bajo la norma ISO 27001 requiere de un equipo de trabajo comprometido y sobre todo concientizado y formado en el tema de seguridad de la informacin.

REFERENCIAS BIBLIOGRFICAS [1] Corleti, E.A. (2006). Anlisis de ISO 27001:2005. Madrid Espaa

[2] Cataloged vulnerabilities. Disponible en la URL http://www.cert.org/stats/ [3] Fernadez. J.M. (2006). ISO 27001:2005. Nexus Asesores