SGSI
es la sigla utilizada para referirse a un Sistema de Gestión de la Seguridad de
la Información. ISMS es el concepto equivalente en idioma inglés a Information Security
Management System. En
el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organización o de fuentes externas) o de la fecha de
elaboración.
La
seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad,
integridad y disponibilidad,
así como de los sistemas implicados en su tratamiento, dentro de una
organización. Para garantizar que el Sistema de Gestión de Seguridad de la Información sea gestionado de forma correcta se
debe identificar el ciclo de vida y los aspectos relevantes adoptados para
garantizar su funcionalidad, estos son:
CONFIDENCIALIDAD: la información no se pone a
disposición de nadie, ni se revela a individuos o entidades no autorizados.
INTEGRIDAD: mantener de forma completa y exacta
la información y los métodos de proceso.
DISPONIBILIDAD: acceder y utilizar la información y
los sistemas de tratamiento de la misma parte de los individuos, entidades o
proceso autorizados cuando lo requieran.
BENEFICIOS
·
Establecer una metodología de Gestión de la Seguridad
estructurada y clara.
·
Reducir el riesgo de pérdida, robo o corrupción de la
información sensible.
·
Los clientes tienen acceso a la información mediante
medidas de seguridad.
·
Los riesgos y los controles son continuamente revisados.
·
Se garantiza la confianza de los clientes y los socios de
la organización.
·
Las auditorias externas ayudan de forma cíclica a
identificar las debilidades del SGSI y las áreas que se deben mejorar.
·
Facilita la integración con otros sistemas de gestión.
·
Se garantiza la continuidad de negocio tras un incidente
grave.
·
Cumple con la legislación vigente sobre información
personal, propiedad intelectual y otras.
·
La imagen de la organización a nivel internacional
mejora.
·
Aumenta la confianza y las reglas claras para las
personas de la empresa.
·
Reduce los costes y la mejora de los procesos y el
servicio.
·
Se incrementa la motivación y la satisfacción del
personal.
· Aumenta la seguridad en base la gestión de procesos en
lugar de una compra sistemática de productos y tecnologías.
La nueva versión de ISO/IEC
27001:2013 se adapta con una serie de lineamientos que sirven para el
desarrollo de un sistema de gestión de la seguridad de la información, que sin
importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en
la empresa. Esta nueva estructura propuesta, alineada con el ciclo de la Mejora
Continua tiene la siguiente estructura:
En los primeros
tres capítulos de este nuevo estándar, ya no aparece la sección “Enfoque del
proceso” que contenía la versión anterior y que describía el ciclo PHVA. Además
se define el alcance que tiene la normativa para poder certificar, centrándose
en los requisitos cubiertos en los capítulos 4 a 10, y si bien ISO-27002 deja
de ser una referencia normativa aún es necesaria para implementar este
estándar.
En el capítulo 4 Contexto de la
organización se resalta la necesidad de hacer un análisis para identificar los
problemas externos e internos que rodean a la organización. De esta forma se
puede establecer el contexto del SGSI incluyendo las partes interesadas y que
deben estar en el alcance del SGSI. En el capítulo 5 Liderazgo, se definen las
responsabilidades de la Alta Dirección respecto al SGSI, principalmente en
aquellas que demuestren su compromiso, como la definición de la política de
seguridad de la información alineada a los objetivos del negocio y la
asignación de los recursos necesarios
para la implementación del sistema.
Dentro del capítulo 6 Planeación, se prioriza
la definición de objetivos de seguridad claros que permita relacionar planes
específicos asociados a su cumplimiento. Dentro de la evaluación de riesgos el
enfoque se orienta hacia la identificación de aquellos riesgos que puedan
afectar la confidencialidad, integridad y disponibilidad de la información,
donde el nivel de riesgo aceptable se debe definir en función de la
probabilidad de ocurrencia del riesgo y las consecuencias generadas en caso de
que este llegara a materializarse (impacto). Y en el capítulo 7 Soporte se
relacionan los requerimientos para implementar el SGSI incluyendo recursos,
personas y el elemento de comunicación para las partes interesadas en el
sistema.
Dentro de los capítulos 4 al 7 se enmarca la
etapa de Planeación del sistema. El capítulo 8 Operación, se asocia a la etapa
Hacer del ciclo de mejora continua y se establecen los mecanismos para planear y controlar las
operaciones y requerimientos de seguridad, siendo el las evaluaciones de
riesgos periódicas el enfoque central para la gestión del sistema. En cuanto a
los activos de información, las vulnerabilidades y las amenazas se utilizan
para identificar los riesgos asociados con la confidencialidad, integridad y
disponibilidad.
El capítulo 9 Evaluación del desempeño se
definen las bases para medir la efectividad y desempeño del sistema de gestión
a través de las auditorías internas y otras revisiones del SGSI, que plantean
planes de acción que permitan atender y solucionar las no-conformidades.
Finalmente, el capítulo 10 Mejora propone a partir de las no-conformidades identificadas
establecer las acciones correctivas más efectivas para solucionarlas y teniendo
el control de que no se repitan. Si bien estas actualizaciones de estándares no
incorporan cambios radicales en la forma que se gestiona la seguridad la
información, sí se involucran nuevos conceptos y enfoques que mejoran y
facilitan la implementación, además de adaptarse a la evolución de la
tecnología y permitir enfocar los esfuerzos en lograr la actualización exitosa.
CÓMO CERTIFICARSE CON ISO 27001: PASOS Y RECOMENDACIONES
Aplicar la norma ISO
27001 depende del tipo de organización. Algunas, por ejemplo, lo hacen para
salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus
estados financieros y otros elementos internos. Otras, sin embargo, requieren
de este tipo de acciones para garantizar el buen uso de informaciones relativas
a sus clientes, que son el principal activo de su desempeño. Las empresas de
telefonía móvil o aquellas que supongan la recolección de datos personales
escenifican muy bien este segundo grupo. ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son
los pasos esenciales en dicho proceso de certificación:
ETAPA PREVIA:
En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la
norma ISO 27001 para poder iniciar el proceso como tal:
§ Obtener
el apoyo de la dirección en todo el proceso implementación.
§ Utilizar
una metodología de gestión de proyectos.
§ Definir
el alcance del Sistema de Seguridad.
§ Redactar
una política específica.
§ Definir
una metodología de evaluación de riesgos.
§ Redactar
el Plan de Tratamiento de Riesgos.
§ Definir
la forma en que se medirán los avances.
§ Implementación
de controles.
§ Capacitar
y formar a los equipos de trabajo.
§ Realizar
las operaciones diarias descritas en la norma.
§ Monitoriar las acciones.
§ Realizar
una auditoría con personal que pertenezca a la empresa.
§ Efectuar
una revisión por parte de la dirección.
§ Implementar
las medidas correctivas pertinentes.
AUDITORÍA DE REVISIÓN:
Tan pronto se solicite a
ISO la voluntad de certificarse, un grupo de profesionales externos a la propia
organización revisará la documentación requerida en la norma.
AUDITORÍA PRINCIPAL:
Una vez se ha
verificado que la organización cuenta con la documentación requerida, el grupo
de auditores hará una visita a la empresa para confirmar que ésta cumple con
los indicadores mínimos establecidos en la norma ISO 27001. Si no es así, se le
dará un plazo para aplicar los correctivos necesarios y volver a presentarse
ante los auditores. Pero si la respuesta es positiva, la empresa quedará
certificada.
REVISIONES PERIÓDICAS:
Luego de que se
ha emitido el certificado, la certificadora realizará durante los siguientes
tres años una serie de auditorías periódicas para monitoriar los esfuerzos de
la organización en materia de Seguridad de la Información. La idea es que los
controles se mantengan y no se minimicen los esfuerzos durante ese período.
Link de la norma para consulta ISO/IEC 27001:2013
Vídeo Norma resumido
