En la sociedad moderna de la información yel conocimiento, las empresas se encargandel procesamiento de datos empresariales através de sistemas de TI complejos yrápidos. La tecnología de la informaciónfacilita muchos de los procesos, pero
también entraña riesgos. Por tanto, unaprotección integral de datos e informaciónconfidencial es especialmente importante.La fiabilidad y seguridad de la tecnología dela información se convertirá en el factordecisivo para el éxito de una empresa.
Sistema de gestión de seguridad de la información ISO/IEC 27001
ISO/IEC 27001Sistema de Gestión de Seguridad de la Información
TÜV SÜD Iberia, S.L.U.
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 1
¿Por qué la norma ISO / IEC 27001?La seguridad de la información es cada vez más importante. Así pues, la información es un factor decisivo para el éxito de una empresa. Es, por tanto, de máxima prioridad,administrar y proteger la información. Los datos que se procesan electrónicamenteespecialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentanlas exigencias de seguridad como la disponibilidad, confidencialidad e integridad. Esto implica la protección de los sistemas de información y comunicación frente a lasofensivas crecientes en la red, así como, por ejemplo, la prevención de pérdidas por robo y los daños causados por acciones externas, o la minimización de las consecuenciasprovocadas por el comportamiento negligente del ser humano.
Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas y técnicas no son suficientes Un comportamiento consciente de todos los trabajadoressobre la seguridad de la información es un requisito previo para conseguir una protecciónintegral de datos. La implementación de un Sistema de Gestión de Seguridad de laInformación (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresasen la identificación sistemática y el análisis de riesgos, que surgen con el uso de lainformación, hasta la implementación y el mantenimiento de mecanismos adecuados devigilancia y control.
¿Qué se consigue con un Sistema de Gestiónde Seguridad de la Información (SGSI)?Un Sistema de Gestión de Seguridad de la Información es un proceso continuo, basado en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicaciónestructurada de todos los aspectos básicos de seguridad. Gracias al mismo puedeidentificar y analizar sus posibles riesgos, identificar sus necesidades de actuación yrealizar las medidas necesarias, que se pueden supervisar y optimizar continuamente. De esta manera, siempre tiene a la vista los principales objetivos de seguridad.
Proteja el conocimiento y, así, los valores de su empresa. Aproveche las excelentesventajas de un SGSI según la ISO / IEC 27001:
• Mejor comprensión de las exigencias delnegocio
• Protección de la información ante lasamenazas
• Fácil identificación de las debilidades• Disponibilidad continua de la información y así garantizar una continua actividadcomercial
• Alto nivel de confianza con sus colaboradores• Disminución del riesgo de dañar la imagencorporativa
2
El ciclo
PDCA PLAN
ACT
CHECK
DO
PLAN
ACT
CHECK
DO
PLAN
ACT
CHECK
DO
(PLANIFICAR)
(ACTUAR)
(VERIFICAR)
(HACER)
(PLANIFICAR)
(ACTUAR)
(VERIFICAR)
(HACER)
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 2
¿Cuáles son los fundamentos de la Seguridad dela Información?La norma ISO / IEC 27 001 considera como las tres principales características de lainformación: la disponibilidad, la confidencialidad y la integridad. Estas características sonfundamentales en todos los requisitos externos que tiene que cumplir la empresa.
La información no sólo debe cumplir con los requisitos formales, sino que también debencorresponder a distintas expectativas. Los principales aspectos son la credibilidad, laresponsabilidad, la constancia y la confianza.
El Sistema de Gestión de Seguridad de la Información (SGSI) toma en consideración todoslos enfoques de la información y no se centra sólo en su uso electrónico:
• La información es más que simplemente almacenar y procesar • La seguridad de la información no sólo abarca la seguridad TI• Seguridad significa confidencialidad, integridad y disponibilidad• La gestión no es únicamente sistemas técnicos y herramientas
3
Disponibilidad
Disponibilidad de la información crítica para la empresa
Información
Confidencialidad Integridad
Sólo personas autorizadaspueden acceder a la
información
Fiabilidad y exhaustividadde la información crítica
para la empresa
Disponibilidad
Requisitos
Integridad
Confidencialidad
Responsabilidad
Constancia
Confianza
Credibilidad
Expectativas
Información
Datos TI
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 3
4
Ciclo PDCA
Gestión y responsabilidad
Documentación
Formación
Revisión por parte de la dirección
Auditorías internas
Identificación
Valoración
Implementación de controles
Sistema de gestión basado en la ISO 9001Resumen del
contenido
ISO/IEC 27001
80 %
20 %
Determinación de controles de seguridad por medio de:
• Seguridad en la fase de diseño y desarrollo• Gestión de incidentes en la Seguridad de la Información
• Procedimientos de emergencia• Cumplimiento
¿Qué requiere la Seguridad de la Información?El campo de la Seguridad de la Información incluye la tecnología, que se preocupa por laseguridad de los sistemas TI y los datos almacenados en los mismos, así como la gestiónde todos los procesos relacionados. Existe pues una reflexión esencial de conjunto;únicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar unaprotección fiable se necesita más bien una planificación estructurada, así como un controlde todas las medidas de seguridad.
TecnologíaSistemas, herramientas, estructura etc.
GestiónPolítica y responsabilidad de la seguridad de la
información, conocimiento y formación, reporting,
continuidad empresarial, procesos etc.
¿Qué contiene la ISO / IEC 27001?La norma ISO / IEC 27001 consta de dos partes: el sistema de gestión y las medidas(controls) necesarias, que deben considerarse en cualquier caso. El siguiente gráfico es un esquema del contenido de ambas partes.
Sistema de gestión
Gestión de riesgos
Definición de valores
Los controles (controls) afectan a los siguientes aspectos:
• Seguridad física y del entorno• Seguridad ligada a los RRHH• Seguridad de comunicaciones y operaciones
• Control de accesos
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 4
5
Paso 1
Paso 3
6 pasos para la
implementación
Paso 5
Paso 4
Paso 6
Identificación del riesgo
Grado de aceptacióndel riesgo
Niveles de riesgoidentificado
Criterio 1
Criterio 2
Identificación de lasdebilidades
Identificación de activos yevaluación
Valorar lasconsecuencias
Identificación de las amenazas
Listado deriesgos de laempresa
Paso 2
¿Cómo se implementa la ISO/IEC 27001Las seis fases necesarias para la implementación de un Sistema de Gestión de Seguridadde la Información conforme a la ISO/IEC 27001 son:
Definición del alcance (scope) y los límites de SGSIEl ámbito de aplicación aclara y establece en qué campos aplica elSistema de Gestión de Seguridad de la Información.
Definición de la política de la seguridad de la informaciónDeterminación de la política de seguridad de la información para elámbito de aplicación definido.
Identificación de los activos de la empresa (assets) y sus riesgosasociados. ¿Dónde están las debilidades? ¿Qué amenazas tenemos quetener en cuenta?
Control de riesgos¿Qué riesgos se corren? ¿son asumibles?
Control necesario Riesgo asumible
Fijación de controles y objetivos de control.
Definición de la Declaración de Aplicabilidad, la conocida SOA(Statement of Applicability), de la norma ISO/IEC 27001. Consiste en unresumen de las decisiones tomadas en relación al tratamiento del riesgo.
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 5
¿Cuáles son los factores de éxito?Para conseguir una implementación de su Sistema de Gestión de Seguridad de laInformación con éxito conforme a la ISO/IEC 27001, tiene que tomar en consideración lossiguientes factores:
6
La política de Seguridad de la Información,medidas y objetivos
El modelo PDCA
Apoyo y aprobación de la dirección
Buena comprensión de la valoración y gestión de riesgos
Conocimiento de la política de Seguridad de la Información
Preparación de presupuestos para todas las actividades de Gestión de Seguridad de
la Información
Crear concienciación de los problemas TI
Configuración de un proceso eficaz frente aincidentes de Seguridad de la Información
Garantía de eficiencia y mejora del Sistemade Gestión de Seguridad de la Información
deben estar orientados a los objetivos
de la empresa
debe estar de acuerdo con la estructura
de la empresa
a todos los niveles de la organización
Formación a todos los implicados
Formación de directivos, empleados entre otros
Planificación de costes de forma realista
Introducir conceptos TI en los planes
de formación
Fijación de requisitos claros
Elaboración de un sistema de indicadores
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 6
¿Cómo se desarrolla la Certificación?El Proceso de Certificación conforme a la ISO 27001 consta de dos fases. La Fase 1 de laauditoría sirve principalmente para conocer su empresa y su importancia para la seguridad.En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma.
Fase I de la auditoría:Ámbito de aplicación y alcance• Comprensión y documentación• Definición del grado de preparación para la certificación (Fase II)
Fase II de la auditoría de certificación• Comprobación de cumplimiento de los requisitos de la norma y sueficacia
• Visita a las instalaciones, verificación in situ y elaboración del informe
Vigencia:• Certificado para 3 años • Auditoría anual
Entrega del Certificado y del Sello de Calidad de la Información una vez superada la Certificación.
Un Certificado significa una visión de futuroAnuncie su éxito a sus empleados, proveedores, colaboradores y clientes.
Haga publicidad de su empresa apoyándose en nuestra fuerte marca y mencione el valor añadido que le ofrece en su comunicación empresarial tanto interna como externa. Por ejemplo, en el marco de campañas de marketing.
Incluya nuestro Sello de Calidad de la Información en su página Web, folletos, prospectos y artículos de papelería de su empresa.
7
Fase I de la auditoría
Fase II de la auditoría inicial de certificación
Auditoría demantenimiento
Auditoría demantenimiento
Auditoría derenovación
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 7
www.tuev-sued.es
TÜV SÜD Iberia, S.L.U.
C/Frederic Mompou, 4A, 1o 4a
08960 Sant Just Desvern (Barcelona) España Tel: +34-93 490 22 20 Fax: +34 - 93 490 29 04 [email protected] www.tuev-sued.es
Resumen En el mundo empresarial el tratamiento específico de la información adquiere cada vez unpapel más importante. Sólo las personas autorizadas deben tener acceso siempre y encualquier momento a la información disponible. Al mismo tiempo, también se tiene que tomaren consideración los requisitos a exigir a las partes externas, como clientes y autoridades,para tener acceso a la información.
Sólo por medio de un procedimiento estructurado a través de un Sistema de Gestión de laSeguridad de la Información se cumplen todas las exigencias que afectan a unaorganización. Si este SGSI también lo audita y certifica un especialista externo, se abrennuevas posibilidades de marketing y comunicación gracias a nuestro sello de calidad de lainformación.
Mayo 2012/13 ES
0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 8