Sei sulla pagina 1di 10

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol.

5, Ao: 2012 ISSN: | RNPS:

Tipo de artculo: Artculo original Temtica: Seguridad informtica Recibido: 14/06/2012 | Aceptado: 21/09/2012 | Publicado: 15/10/2012

Fundamentos para implementar y certificar un Sistema de Gestin de la Seguridad Informtica bajo la Norma ISO/IEC 27001 Fundamentals to implement and certify an Information Security Management System on ISO/IEC 27001 Standard
Yamila Estrada Parra1*, Wilson Alba Cal2, Aneyty Martn Garca3
1

Centro CISED. Facultad 1. Universidad de las Ciencias Informticas, Carretera a San Antonio de los Baos, km 2 , Centro ISEC. Facultad 2. Universidad de las Ciencias Informticas, Carretera a San Antonio de los Baos, km 2 , Facultad 1. Universidad de las Ciencias Informticas, Carretera a San Antonio de los Baos, km 2 , Torrens,

Torrens, Boyeros, La Habana, Cuba. CP.: 19370


2

Torrens, Boyeros, La Habana, Cuba. CP.: 19370


3

Boyeros, La Habana, Cuba. CP.: 19370 *Autor para la correspondencia: yestradap@uci.cu

Resumen Para contrarrestar los riesgos de seguridad de la informacin se crean los Sistemas de Gestin de Seguridad de la Informacin, que son un conjunto de polticas de administracin de la informacin. La norma que permite certificar los SGSI es la ISO/IEC 27001, un estndar internacional que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un SGSI. El presente artculo tiene objetivo identificar y describir los principios bsicos para crear un SGSI bajo las normas internacionales actuales. El estudio realizado de los diferentes estndares internacionales y cubanos asociados a la seguridad informtica, su evolucin, principales conceptos y notables ventajas, permiti determinar y detallar las bases fundamentales para la creacin de SGSI certificables bajo la norma ISO/IEC 27001 y definir los pasos a seguir para la obtencin de dicha certificacin. Palabras clave: Gestin de la seguridad informtica, estndar internacional, ISO / IEC 27001, seguridad informtica, sistema de gestin de seguridad de la informacin. Abstract To neutralize the risks of information security are created Information Security Management Systems (ISMS), which are a set of policies for information management. The standard that allows certification of MSIS is ISO / IEC 27001, an international standard that provides a model for establishing, implementing, using, monitoring, reviewing, maintaining and improving an ISMS. The objective of this paper is to identify and describe the fundamentals to create an ISMS on current international standards. The study of different international and Cuban standards associated with information security, its evolution, main concepts and notable advantages, helped to identify and detail the fundamentals for building certifiable ISMS on ISO / IEC 27001 and define the steps continue to obtain such certification.

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

Keywords: Information security, information security management, information security management system, international standard, ISO / IEC 27001.

Introduccin
Las Tecnologas de la Informacin y las Comunicaciones (TIC) han protagonizado una transformacin en la sociedad en todos sus mbitos en los ltimos aos. Son innumerables los avances en los servicios de atencin al cliente que emplean y promueven el uso de Sistemas Informticos, lo que posibilita un aumento en la calidad y eficiencia de dichos servicios. El trabajo con grandes volmenes de informacin para brindar a los usuarios diferentes soluciones, trae aparejado el uso de herramientas y escenarios que protejan la misma; es por ello que se hace necesario aplicar el trmino Seguridad Informtica que se refiere a las caractersticas y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. Un gran nmero de expertos considera que el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas (Becerra, 2009): 1. Integridad: los activos o la informacin solo pueden ser modificados por las personas autorizadas y de forma autorizada. 2. Confidencialidad: la informacin o los activos informticos son accedidos solo por las personas autorizadas para hacerlo. 3. Disponibilidad: los activos informticos son accedidos por las personas autorizadas en el momento requerido. 4. Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha accin. Trminos relacionados con la seguridad informtica (Becerra, 2009) Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Control: es una accin, dispositivo o procedimiento que elimina o reduce una vulnerabilidad. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: Es la probabilidad de que suceda la amenaza o evento no deseado. Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita la materializacin de una amenaza. Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. Aunque a simple vista se puede entender que un riesgo y una vulnerabilidad se podran englobar un mismo concepto, una definicin ms informal denota la diferencia entre riesgo y vulnerabilidad, de modo que la Vulnerabilidad est ligada a una Amenaza y el Riesgo a un Impacto.

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

Se puede describir la relacin entre vulnerabilidad, amenaza y control de la siguiente manera: una amenaza puede ser bloqueada aplicando un control a una vulnerabilidad.

Materiales y mtodos
Los mtodos cientficos se refieren a la serie de etapas que hay que recorrer para obtener un conocimiento vlido desde el punto de vista cientfico, utilizando para esto instrumentos que resulten fiables. A continuacin se exponen los mtodos que fueron utilizados en la presente investigacin: Mtodos empricos Sinttico: se utiliz para estudiar las diferentes normas certificadoras y llegar a la conclusin que la nica que permite certificar los SGSI es la ISO / IEC 27001. Mtodos tericos Analtico-sinttico: se utiliz con el objetivo de llegar a conocer, mediante el anlisis de las diferentes teoras y la documentacin recopilada, los elementos ms importantes de los SGSI, as como de la norma que permite certificar los mismos. Histrico-lgico: se utiliz para constatar tericamente cmo ha evolucionado la creacin de estndares para la certificacin.

Resultados y discusin
Un Sistema de Gestin de Seguridad de la Informacin (SGSI) es un conjunto de polticas de administracin de la informacin. La norma que permite certificar los SGSI es la ISO/IEC 27001, un estndar internacional desarrollado por ISO (del ingls, International Organization for Standardization) e IEC (del ingls, International Electrotechnical Commission), que adopta el modelo de mejora continua PDCA que se describe en el epgrafe 3.4 y proporciona un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin. La certificacin del SGSI bajo la norma ISO/IEC 27001 contribuye a fomentar las actividades y procesos de proteccin de la informacin dentro de las organizaciones, mejorando su imagen y generando confianza ante terceros. Como resultado se espera determinar los fundamentos bsicos que permitan el desarrollo de un SGSI basado en la Norma ISO/IEC 27001. Principios Bsicos de la Seguridad Informtica Existen mecanismos y estrategias a seguir para mantener una adecuada seguridad informtica, y es a lo que se les llama Principios Bsicos de Seguridad Informtica: Mnimo privilegio: se deben otorgar los permisos estrictamente necesarios para efectuar las acciones que se requieran, ni ms ni menos de lo solicitado. Eslabn ms dbil: la seguridad de un sistema es tan fuerte como su parte ms dbil. Un atacante primero analiza cual es el punto ms dbil del sistema y concentra sus esfuerzos en ese lugar. Proporcionalidad: las medidas de seguridad deben estar en correspondencia con lo que se protege y con el nivel de riesgo existente. No sera lgico proteger con mltiples recursos un activo informtico que no posee valor o que la probabilidad de ocurrencia de un ataque sobre el mismo es muy baja. Dinamismo: la seguridad informtica no es un producto, es un proceso. No se termina con la implementacin de los medios tecnolgicos, se requiere permanentemente monitoreo y mantenimiento.

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

Participacin universal: la gestin de la seguridad informtica necesita de la participacin de todo el personal de una institucin. La seguridad que puede ser alcanzada mediante medios tcnicos es limitada y debiera ser apoyada por una gestin y procedimientos adecuados, que involucren a todos los individuos.

Gestin de riesgos
Mediante la gestin del riesgo se identifican, evalan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podran afectar a la informacin. La seguridad exige de un plan de gestin del riesgo continuado, polticas adecuadas a cada empresa y una seguridad establecida en base a mltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso. En su forma general contiene cuatro fases: (Erb, 2009) Anlisis: Determina los componentes de un sistema que requiere proteccin, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo. Clasificacin: Determina si los riesgos encontrados y los riesgos restantes son aceptables. Reduccin: Define e implementa las medidas de proteccin. Adems sensibiliza y capacita los usuarios conforme a las medidas. Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento. Todo el proceso est basado en las llamadas polticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propsito de: (Erb, 2009) Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo. Orientar el funcionamiento organizativo y funcional. Garantizar comportamiento homogneo. Garantizar correccin de conductas o prcticas que nos hacen vulnerables. Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

Propsito de un SGSI
El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el entorno y las tecnologas. Un SGSI ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los riesgos a los que est sometida la informacin y los asume, minimiza, transfiere o controla mediante una poltica definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Norma certificadora de los SGSI

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

Actualmente existen un conjunto de normas que permiten la certificacin de sistemas, pero hasta el momento la nica que permite certificar los SGSI es la ISO/IEC 27001, pues es la norma que define el modelo completo de gestin de seguridad de la informacin segn ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionadas no certificables, como ISO 27002. PDCA son las siglas en ingls del conocido como ciclo de Deming: Plan-Do-Check-Act (Planificar-Hacer-VerificarActuar). En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptacin de los controles segn los nuevos niveles obtenidos y requeridos. Es un proceso cclico que permite la mejor adaptacin de la seguridad al cambio continuo que se produce en la empresa y su entorno.

ISO/IEC 27001
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie ISO 27000 y contiene los requisitos del SGSI. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma a la cual se certifican por auditores externos los SGSI de las organizaciones (Lpez, et al., 2005). El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan agrupados y numerados de la siguiente forma: (Estrada, 2006) A.5 Poltica de seguridad A.6 Organizacin de la informacin de seguridad A.7 Administracin de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad fsica y del entorno A.10 Administracin de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento A.13 Administracin de los incidentes de seguridad A.14 Administracin de la continuidad de negocio A.15 Cumplimiento (legales, de estndares, tcnicas y auditoras) Ventajas de la Norma ISO/IEC 27001 Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial. Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentacin de proteccin de la informacin. Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin. El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora.

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

ISO 27001 exige que el SGSI contemple los siguientes puntos: Implicacin de la Direccin. Alcance del SGSI y poltica de seguridad. Inventario de todos los activos de informacin. Metodologa de evaluacin del riesgo. Identificacin de amenazas, vulnerabilidades e impactos. Anlisis y evaluacin de riesgos. Seleccin de controles para el tratamiento de riesgos. Aprobacin por parte de la direccin del riesgo residual. Declaracin de aplicabilidad. Plan de tratamiento de riesgos. Implementacin de controles, documentacin de polticas, procedimientos e instrucciones de trabajo. Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Monitorizacin constante y registro de todas las incidencias. Realizacin de auditoras internas. Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI. La documentacin del SGSI deber incluir: Poltica y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripcin de la metodologa de evaluacin del riesgo. Informe resultante de la evaluacin del riesgo. Plan de tratamiento de riesgos. Procedimientos de planificacin, manejo y control de los procesos de seguridad de la informacin y de medicin de la eficacia de los controles. Registros. Declaracin de aplicabilidad. Procedimiento de gestin de toda la documentacin del SGSI.

Proceso de certificacin (Gestin-Calidad Consulting, 2009)


El proceso de certificacin puede resumirse en las siguientes fases: Solicitud por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real.

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

Fase 1 de la auditora: revisin del alcance, poltica de seguridad, direccin, anlisis de riesgos, declaracin de aplicabilidad y procedimientos clave. No necesariamente tiene que ser in situ, puesto que se trata del anlisis de la documentacin por parte del Auditor Jefe y la preparacin del informe de la documentacin bsica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarn en la Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo mximo entre la Fase 1 y Fase 2 es de 6 meses. Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se revisan in situ las polticas, la implantacin de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunin de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, as como posibles cambios de ltima hora. Se realiza una revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantacin de polticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de inters. Finaliza con una reunin de cierre en la que se presenta el informe de auditora. Certificacin: en el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001. Auditora de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditora de mantenimiento; esta auditora se centra, generalmente, en partes del sistema, dada su menor duracin, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. Auditora de re-certificacin: cada tres aos, es necesario superar una auditora de certificacin formal completa como la descrita. Nota: El SGSI deber tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditora para su primera certificacin.

Proceso de certificacin en Cuba


La Oficina Nacional de Normalizacin es la entidad designada oficialmente como el rgano Nacional de Certificacin (NC) de Cuba segn establece el Decreto-Ley 182 de Normalizacin y Calidad aprobado por el Consejo de Estado en febrero de 1998. NC a travs del Sistema Nacional de Certificacin ejecuta los trabajos de certificacin de conformidad, realizando actualmente la certificacin de productos, sistemas de la calidad y sistemas de gestin ambiental y, prximamente, la certificacin de sistemas de gestin de salud y seguridad ocupacional. En el caso de los SGSI, Cuba debe dirigirse a otros pases, pues an no realiza la certificacin de los mismos. Se pueden contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidindose por la ms conveniente. Para que las entidades de certificacin puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditacin, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificacin para la actividad objeto de acreditacin. Algunas entidades certificadoras se pueden encontrar en el siguiente sitio: http://www.iso27001certificates.com/, entre ellas se encuentran: ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN (AENOR)

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

BRITISH STANDARS INSTITUTION ESPAA, S.A. BVQI SERVICIOS DE CERTIFICACIN, S.A. EUROPEAN QUALITY ASSURANCE

Beneficios clave de la implementacin de la norma ISO 27001 (Kosutic, 2010)


Cumplimiento: Puede resultar extrao mencionar este beneficio en primer lugar, pero, generalmente, es el que demuestra el rendimiento de la inversin ms rpidamente. Si una organizacin debe cumplir con diversas normas sobre proteccin de datos, privacidad y control de TI (especialmente si se trata de una organizacin financiera, de salud o gubernamental), la norma ISO 27001 puede aportar la metodologa que permita hacerlo de la manera ms eficiente. Ventaja de comercializacin En un mercado cada vez ms competitivo, a veces es muy difcil encontrar algo que lo diferencie ante la percepcin de sus clientes. La norma ISO 27001 puede ser un verdadero punto a favor, especialmente si usted administra informacin sensible de sus clientes. Disminucin de gastos Generalmente, se considera a la seguridad de la informacin como un costo sin una ganancia financiera evidente. Sin embargo, hay una ganancia financiera si usted disminuye los gastos ocasionados por incidentes. Probablemente s se produzcan en su empresa interrupciones de servicio o espordicos filtrados de datos, o tengan empleados descontentos. O ex empleados descontentos. La verdad es que an no existe una metodologa ni tecnologa que pueda calcular cunto dinero se puede ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a la direccin sobre estos casos. Ordenamiento de su negocio Probablemente, ste sea el beneficio ms subestimado; pero si su empresa ha tenido un crecimiento continuo durante los ltimos aos, es posible que tenga problemas para determinar quin decide qu cosas, quin es responsable de determinados activos de la informacin, quin debe autorizar el acceso a los sistemas de informacin, etc. La norma ISO 27001 es especialmente til para resolver estas cuestiones: le obligar a definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta forma, ayudar a reforzar su organizacin interna. Otros beneficios: La certificacin demuestra a clientes, competidores, proveedores, personal e inversores, que una organizacin emplea buenas prcticas revisadas y aprobadas a nivel internacional. Un certificado de seguridad de tercera parte, ayuda a que una organizacin demuestre que gestiona eficientemente la seguridad de su negocio. Provee la implicacin, participacin y motivacin del personal en mantener la poltica de seguridad de la organizacin. Establece procedimientos que mejoran continuamente su actividad y evidencia un enfoque innovador con visin al futuro. La certificacin puede mejorar el desempeo total, suprimir la incertidumbre y ampliar sus oportunidades en el mercado.

Riesgos de la implantacin de un sistema de gestin de seguridad de la informacin (Gestin-Calidad Consulting, 2009)

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

Exceso de tiempos de implantacin: con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas implicadas o circundantes al proyecto. Discrepancias en los comits de direccin. Faltas de acuerdo entre el equipo de gerencia y los dems miembros que pueden entorpecer el desarrollo del SGSI. Delegacin de todas las responsabilidades en departamentos tcnicos, con la consiguiente (y grave) falta de implicacin del departamento Gerente. No asumir que la seguridad de la informacin es inherente a los procesos de negocio. Intuir el SGSI como un ente ajeno o paralelo al resto de procesos de la organizacin Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance dificultando todo el proceso del SGSI. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Debe asumirse que la Seguridad de la Informacin atae (aunque en diferente grado) a toda la Organizacin. Falta de comunicacin de los progresos al personal de la organizacin. Resulta de vital importancia hacer partcipe a la organizacin de la evolucin de nuestro Sistema para aumentar la implicacin y facilitar la formacin sobre el mismo.

Conclusiones
Para garantizar que la seguridad de la informacin sea gestionada correctamente dentro de una entidad, se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin. Este proceso constituye un SGSI cuyo diseo e implementacin est influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos empleados y el tamao y estructura de la organizacin. ISO/IEC 27001 es la nica norma internacional certificable que define los requisitos para un SGSI. Las ventajas descritas de esta norma inducen a su aplicacin basada en los principios fundamentales anteriormente detallados. La NC cubana slo realiza una evaluacin de los SGSI bajo esta norma. Para para su certificacin es necesaria la intervencin de alguna entidad certificadora autorizada internacionalmente.

Referencias
BECERRA, ANTONIO JESS SORIANO. Seguridad Informtica. Seguridad Informtica. [en lnea] 2009. [Consultado el: 8 de mayo de 2012]. Disponible en: [http://seguridad-informatica-antonio.blogspot.com/]. ERB, MARKUS. Gestin de Riesgo en la Seguridad Informtica. Gestin de Riesgo en la Seguridad Informtica. [en lnea] 2009. [Consultado el: 10 de septiembre de 2012]. Disponible en:

[http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/].
ESTRADA, ALEJANDRO CORLETTI. Anlisis DE ISO-27001:2005. [Documento] Madrid: s.n., 2006. ESTRADA, ALEJANDRO CORLETTI. ISO-27001: Los Controles (Parte II). [Documento] Madrid: s.n., 2006. GESTIN CALIDAD CONSULTING. Gestin-Calidad. Certificacin segn ISO 27001. [en lnea] 2009. [Consultado el: 7 de mayo de 2012]. Disponible en: [http://www.gestion-calidad.com/certificacion-iso27001.html].

Serie Cientfica de la Universidad de las Ciencias Informticas http://publicaciones.uci.cu/index.php/SC | seriecientifica@uci.cu No. 10, Vol. 5, Ao: 2012 ISSN: | RNPS:

KOSUTIC, DEJAN. ISO 27001/BS 25999. Cuatro beneficios clave de la implementacin de la norma ISO 27001. [en lnea] 2010. [Consultado el: 27 de abril de 2012]. Disponible en:

[http://blog.iso27001standard.com/es/2010/07/21/cuatro-beneficios-clave-de-la-implementacion-de-la-normaiso-27001/]. LPEZ NEIRA, AGUSTN y RUIZ SPOHR, JAVIER. ISO2700.es. El portal de ISO 27001 en Espaol. Sistema de Gestin de Seguridad de la Informacin. [en lnea] 2005. [Consultado el: 9 de mayo de 2012]. Disponible en: [http://www.iso27000.es/iso27000.html].

10

Potrebbero piacerti anche