Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
IMPLEMENTACIÓN DE
UN SGSI
Definir la Ruta para un Proyecto de SGSI de forma simple y con sentido común.
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.
ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En
el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder
de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o
transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un
proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
empresarial. Este proceso es el que constituye un SGSI.
ITCP
Aspectos para la implementación de
de una SGSI.
2
conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados
voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptación
dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de
negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio,
son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de
importante ayuda para la gestión de las organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión
efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando
en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la
seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles
de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
ITCP
Aspectos para la implementación de
de una SGSI.
3
ITCP
Aspectos para la implementación de
de una SGSI.
4
Manual de Seguridad.
Procesos y Procedimientos.
Registros
Documentos de Nivel 1:
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros
ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las
intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2:
Procesos y Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma
eficaz la planificación, operación y control de los procesos de seguridad de la información.
Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las
actividades específicas relacionadas con la seguridad de la información.
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del
SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha
cumplido lo indicado en los mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos
(en cualquier formato o tipo de medio):
ITCP
Aspectos para la implementación de
de una SGSI.
5
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una
identificación clara de las dependencias, relaciones y límites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de
influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones,
áreas, procesos, sistemas o tareas concretas).
• Política y objetivos de seguridad: documento de contenido genérico que establece el
compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la
información.
• Procesos y Procedimientos y mecanismos de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la
evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en
relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables .
• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación
anteriormente mencionada a los activos de información de la organización.• Plan de tratamiento
de riesgos: documento que identifica las acciones de la dirección, los recursos, las
responsabilidades y las prioridades para gestionarlos riesgos de seguridad de la información, en
función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control
identificados, de los recursos disponibles, etc.
• Procesos y Procedimientos documentados: todos los necesarios para asegurar la planificación,
operación y control de los procesos de seguridad de la información, así como para la medida de la
eficacia de los controles implantados.
• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento
que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los
resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y
exclusiones.
Control de la documentación
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento
que defina las acciones de gestión necesarias para:
• Aprobar documentos apropiados antes de su emisión.
• Revisar y actualizar documentos cuando sea necesario y renovar su validez.
• Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.
• Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares
de empleo.
• Garantizar que los documentos se mantienen legibles y fácilmente identificables.
• Garantizar que los documentos permanecen disponibles para aquellas personas que los
necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los
procedimientos aplicables según su clasificación.
• Garantizar que los documentos procedentes del exterior están identificados.
• Garantizar que la distribución de documentos está controlada.
• Prevenir la utilización de documentos obsoletos.
• Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.
ITCP
Aspectos para la implementación de
de una SGSI.
6
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio,
además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable.
Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen
numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente
aceptable definir una propia).
ITCP
Aspectos para la implementación de
de una SGSI.
7
ITCP
Aspectos para la implementación de
de una SGSI.
8
Aceptar Riesgo
• No hacer
Nada.
ITCP
Aspectos para la implementación de
de una SGSI.
9
ITCP
Aspectos para la implementación de
de una SGSI.
10
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan
para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia
estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo
cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están
implantados en su totalidad.
No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta
fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede
tomar la gerencia de la organización.
No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a
niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son
responsabilidad y decisión de la dirección. El término Dirección debe contemplarse siempre desde el punto
de vista del alcance del SGSI.
Es decir, se refiere al nivel más alto de gerencia de la parte de la organización afectada por el SGSI
(recuérdese que el alcance no tiene por qué ser toda la organización).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los
siguientes puntos:
Compromiso de la dirección
La dirección de la organización debe comprometerse con el establecimiento, implementación, operación,
monitorización, revisión, mantenimiento y mejora del SGSI.
ITCP
Aspectos para la implementación de
de una SGSI.
11
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la
asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes para:
• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de
negocio.
• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones
contractuales de seguridad.
• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la
seguridad adecuada.
• Realizar revisiones cuando sea necesario y actuar adecuadamente segúnlos resultados de las
mismas.
• Mejorar la eficacia del SGSI donde sea necesario.
• Incorporar la Tecno vigilancia dentro del plan de trabajo.
Formación y concienciación
La formación y la concienciación en seguridad de la información son elementos básicos para el éxito de un
SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asignen
responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá:
• Determinar las competencias necesarias para el personal que realiza tareas en aplicación del
SGSI.
• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej.,
contratación del personal ya formado.
• Evaluar la eficacia de las acciones realizadas.
• Mantener registros de estudios, formación, habilidades, experiencia y cualificación. Además, la
dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de
sus actividades de seguridad de la información y de cómo contribuye a la consecución de los
objetivos del SGSI.
• Informar de la Ingenieria Social utilizada para extraer información.
ITCP
Aspectos para la implementación de
de una SGSI.
12
Recomendaciones de mejora.
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones
relativas a:
• Mejora de la eficacia del SGSI.
• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en
respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de
seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y
criterios de aceptación de riesgos.
• Necesidades de recursos.
• Mejora de la forma de medir la efectividad de los controles.
Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las empresas
tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la
organización y beneficios sin imponer una carga a la organización.
El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos
necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos
estándares.
Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e
ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el
sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la
organización.
Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de
riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar
éstos al resto de normas en un futuro.
En las secciones de FAQS y de Artículos del documento, podrá encontrar más informaciones acerca de la
integración del SGSI con otros sistemas de gestión.
ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El
aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer
nivel para la organización.
ITCP
Aspectos para la implementación de
de una SGSI.
13
Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution,
la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes
normas como:
• 1979 Publicación BS 5750 - ahora ISO 9001
• 1992 Publicación BS 7750 - ahora ISO 14001
• 1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier
empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su
información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece
un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que
establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una
entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin
cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como
estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como
ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal
de la revisión.
ITCP
Aspectos para la implementación de
de una SGSI.
14
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de
numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá
términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar
necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos
y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán
un coste.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y
es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio
de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización
deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC
27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español
son, por ejemplo, Colombia, Venezuela y Argentina. El original en inglés y la traducción al francés pueden
adquirirse en ISO.org.
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005.
ITCP
Aspectos para la implementación de
de una SGSI.
15
En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en
Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en
inglés y su traducción al francés pueden adquirirse en ISO.org.
ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una
guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos
de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará
las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los
controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes
de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la
seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y
está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos
en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la
norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de
gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su
publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En
España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.
ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una
versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan
certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y
certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es
decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades
de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta
norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.
ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una
guía de auditoría de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una
guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada
conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una
guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una
guía relativa a la ciber seguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma
consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes,
ITCP
Aspectos para la implementación de
de una SGSI.
16
ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una
guía de seguridad en aplicaciones.
Contenido
En esta sección se hace un breve resumen del contenido de las normas ISO 27001, ISO 27002, ISO
27006 e ISO 27799. Si desea acceder a las normas completas, debe saber que éstas no son de libre
difusión sino que han de ser adquiridas.
Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización:
http://www.iso.org/iso/en/prods-services/ISOstore/store.html
Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles
están ya traducidas):
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
ISO 27001:2005
• Introducción: generalidades e introducción al método PDCA.
• Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de
exclusiones.
• Normas para consulta: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en la norma.
• Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar,
supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la
misma.
ITCP
Aspectos para la implementación de
de una SGSI.
17
ITCP
Aspectos para la implementación de
de una SGSI.
18
Puede descargarse una lista de todos los controles que contiene esta norma aquí:
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27006:2007
(Esta norma referencia directamente a muchas cláusulas de ISO 17021 - requisitos de entidades de
auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha
norma, que puede adquirirse en español en AENOR).
• Preámbulo: presentación de las organizaciones ISO e IEC y sus actividades.
• Introducción: antecedentes de ISO 27006 y guía de uso para la norma.
• Campo de aplicación: a quién aplica este estándar.
• Referencias normativas: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en la norma.
• Principios: principios que rigen esta norma.
• Requisitos generales: aspectos generales que deben cumplir las entidades de certificación de
SGSIs.
• Requisitos estructurales: estructura organizativa que deben tener las entidades de certificación
de SGSIs.
• Requisitos en cuanto a recursos: competencias requeridas para el personal de dirección,
administración y auditoría de la entidad de certificación, así como para auditores externos,
expertos técnicos externos y subcontratas.
• Requisitos de información: información pública, documentos de certificación, relación de clientes
certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información
entre la entidad de certificación y sus clientes.
• Requisitos del proceso: requisitos generales del proceso de certificación, auditoría inicial y
certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión,
retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de
solicitantes y clientes.
• Requisitos del sistema de gestión de entidades de certificación: opciones, opción 1 (requisitos del
sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema de gestión
general).
• Anexo A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector:
potencial de riesgo de la organización. (tabla orientativa) y categorías de riesgo de la seguridad de la
información específicas del sector de actividad.
• Anexo B - Áreas de ejemplo de competencia del auditor: consideraciones de competencia general
y consideraciones de competencia específica (conocimiento de los controles del Anexo A de ISO
27001:2005 y conocimientos sobre SGSIs).
• Anexo C - Tiempos de auditoría: introducción, procedimiento para determinar la duración de la
auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de
sistemas de calidad - ISO 9001- y medioambientales -ISO 14001-).
• Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005: tabla
de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.
ISO 27799:2008
Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el
sector sanitario aplicando ISO 17799 (actual ISO 27002).
ITCP
Aspectos para la implementación de
de una SGSI.
19
Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité
técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la
salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información;
Infomación sanitara a proteger; Amenazas y vulnerabilidades)
• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía; Acuerdo de la
dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing;
Checking, Auditing)
• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la información;
Organización; gestión de activos; RRHH; Físicos; Comunicaciones; Accesos; Adquisición;
Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal)
• Anexo A: Amenazas
• Anexo B: Tareas y documentación de un SGSI
• Anexo C: Beneficios potenciales y atributos de herramientas
• Anexo D: Estándares relacionados.
Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad
comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las
áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y
otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
¿Cómo adaptarse?
ITCP
Aspectos para la implementación de
de una SGSI.
20
ITCP
Aspectos para la implementación de
de una SGSI.
21
Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este
tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado
de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el
proceso hacen necesario el impulso constante de la Dirección.
Planificación
Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y
tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización;
de hecho, es recomendable empezar por un alcance limitado.
• Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la
información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales
en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de
evaluación de riesgo y sea aprobada por la Dirección. La política de seguridad es un documento
ITCP
Aspectos para la implementación de
de una SGSI.
22
muy general, una especie de "declaración de intenciones" de la Dirección, por lo que no pasará de
dos o tres páginas.
• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos
apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación
de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación
de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede
optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no
impone ninguna ni da indicaciones adicionales sobre cómo definirla (en el futuro, ISO 27005
proporcionará ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sería rentable
hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún valor para la
organización y que quedan dentro del alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o
la disponibilidad de cada uno de los activos.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir,
que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el
nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos
previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado
mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o
transferido (p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la
evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta
que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran
necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay
que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la
Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que
queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en
ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una
lista de todos los controles seleccionados y la razón de su selección, los controles actualmente
implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y
prioridades en la gestión de los riesgos de seguridad de la información.
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control
identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
ITCP
Aspectos para la implementación de
de una SGSI.
23
Seguimiento
Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de
procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad
de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de
seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes
de seguridad han sido eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad,
incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología,
procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una
influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
• Realizar regularmente auditorías internas: para determinar si los controles, procesos y
procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno
legal y los requisitos y objetivos de seguridad de la organización, están implementados y
mantenidos con eficacia y tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido
sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los
objetivos de seguridad de la información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las
revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI:
sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase
anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción,
medida o cambio debe comprobarse siempre.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
ITCP
Aspectos para la implementación de
de una SGSI.
24
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
Planes de formación y concienciación inadecuados.
Calendario de revisiones que no se puedan cumplir.
Definición poco clara del alcance.
Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.
Falta de comunicación de los progresos al personal de la organización.
Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un
proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una
vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas
fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente
técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación;
adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con
asesoramiento de consultores externos especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa –incluso si al inicio el alcance
se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas
prácticas, además de ser uno de los puntos fundamentales de la norma.
• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin
certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y
tangible y, por lo tanto, mejores opciones de alcanzar el éxito.
• No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener información relativa
a la gestión de la seguridad de la información de otros métodos y marcos reconocidos.
• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como estructura de
trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a
auditores internos y responsables de otros sistemas de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe
ser capaz de trabajar con continuidad en el proyecto.
ITCP
Aspectos para la implementación de
de una SGSI.
25
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de
certificación para demostrar que el SGSI funciona adecuadamente.
Otros Estándares
Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas
publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos.
Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de
la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y
certificación en la norma ISO 27001 con un menor esfuerzo.
Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas
dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones
en todo el mundo.
ISO/IEC 20000
Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar
británico BS 15000.
ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado
para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este
documento comprende 10 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de
gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios
nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de
resolución”, “Procesos de control” y “Procesos de liberación”.
ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los
servicios y dentro del ámbito indicado por la norma ISO 20000-1.
ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue
inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto,
aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una
adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la
introducción de un paso intermedio.
ITCP
Aspectos para la implementación de
de una SGSI.
26
ITIL
“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión
de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades,
circunstancias y experiencia de cada proveedor de servicios.
Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF
y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura
lógica para mejor comprensión en su publicación y difusión.
ITCP
Aspectos para la implementación de
de una SGSI.
27
ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service
Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”: Las
áreas cubiertas por ITIL en cada documento publicado por la OGC son:
• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio,
que es gestionado además de la mejor forma posible.
• Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al
cliente.
• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada
organización.
• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de
vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de
soluciones.
• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión
de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.
• Administración de seguridad: proceso para la implantación de requerimientos de seguridad;
relaciona las áreas ITIL de soporte y entrega de servicio.
• Administración de activos de software: pautas necesarias para la gestión del software adquirido
y/o de desarrollo propio.
• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de
externalización y gestión del cambio, entre otro
COBIT
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association)
en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y
aseguramiento TI.
Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama
de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la
empresa.
ITCP
Aspectos para la implementación de
de una SGSI.
28
Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para
tecnologías de la información y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO
17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por
tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por
COBIT están más cerca de adaptarse y lograr la certificación en ISO 27001.
CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 44 procesos de TI.
Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos
de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión
completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo
integra en los procesos de negocio.
No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título
personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified
Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.
ISO 27001
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar,
tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de
ITCP
Aspectos para la implementación de
de una SGSI.
29
cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la
empresa.
COSO-
COSO-ENTERPRISE RISK MANAGEMENT / SOX
El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector
privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan
informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha
establecido una definición común de controles internos, normas y criterios contra los cuales las empresas
y organizaciones pueden evaluar sus sistemas de control.
COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de
contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association
(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of
Management Accountants (IMA).
El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de
1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr y
ITCP
Aspectos para la implementación de
de una SGSI.
30
los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr
aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.
Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Información
adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con
ITIL como modelo de control para procesos y gestión TI.
COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No
se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está
teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información,
conviene mencionarlo en esta sección.
La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente
a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene
validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas
de aquel país.
Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de
control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de
información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de
un informe de la empresa.
Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control
interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de
unos procedimientos y una estructura de control interno adecuados para la información financiera. El
marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión
del riesgo empresarial de COSO.
Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno
de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente,
ITCP
Aspectos para la implementación de
de una SGSI.
31
ITCP
Aspectos para la implementación de
de una SGSI.
32
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:
Política de seguridad.
Asignación de responsabilidades de seguridad por medio de una RACSI.
Formación y capacitación para la seguridad.
Registro de incidencias de seguridad.
Gestión de continuidad del negocio.
Protección de datos personales.
Salvaguarda de registros de la organización.
Derechos de propiedad intelectual.
ITCP
Aspectos para la implementación de
de una SGSI.
33
ITCP
Aspectos para la implementación de
de una SGSI.
34
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO
27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e
ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso
ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se
puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el
medio ambiente o cualquier otra.
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se
puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:
Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por
parte de la misma.
Respuesta en forma de oferta por parte de la entidad certificadora.
Compromiso.
Designación de auditores, determinación de fechas y establecimiento conjunto del plan de
auditoría.
Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre
la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis
de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación
básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se
verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo
máximo entre la Fase 1 y Fase 2 es de 6 meses.
Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las
políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se
inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal,
instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una
revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los
hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos
aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que
se presenta el informe de auditoría.
Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la
organización deberá implantar acciones correctivas; una vez verificada dicha implantación o,
directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un
informe favorable y el SGSI de organización será certificado según ISO 27001.
Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de
mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor
duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora
continua.
Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación
formal completa como la descrita.
ITCP
Aspectos para la implementación de
de una SGSI.
35
ITCP
Aspectos para la implementación de
de una SGSI.
36
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por
entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas
organizaciones que lo han autorizado, también está publicado el alcance de certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí
es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la
confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la
seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los
miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en
cuestión es confiable y es gestionada transparentemente.
La entidad de certificación
Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y
realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En
el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo detallado en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial
privada con un gran auge en el último par de décadas, debido a la creciente estandarización y
homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede
contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos,
comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas.
Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones
independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de
acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la
que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación); para
otros países, puede consultarse una lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse-
suele hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando
programas de certificación/registro de sistemas de gestión de seguridad en la información".
En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de
acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de
acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como
IAF (International Accreditation Forum) o EA (European co-operation for Accreditation).
El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado,
verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de
auditores:
ITCP
Aspectos para la implementación de
de una SGSI.
37
• De tercera parte: auditor independiente, que audita una organización como tercera parte
imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y
contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación
personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias
profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que
está certificado.
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que pueden formular
requisitos distintos para homologar a sus auditores. Pero, en general, la certificación de auditores se ciñe
a la norma ISO 19011 de directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la
competencia y evaluación de los auditores. Al auditor se le exigen una serie de atributos personales,
conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta,
diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las
que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar
el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de
fiscalización de sus actividades.
Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración,
información y trabajo conjunto.
O - ISM3
O - ISM3 Open Information Security Management Maturity Model (ISM Cubo) es un estándar de madurez
de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001,
La publicación del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de
los sistemas de gestión de seguridad de la información (ISM). ISM3 nace de la observación del contraste
existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas
BS7799-2:2002 (unos cientos en todo el mundo).
ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas de gestión
de la seguridad de la información.
ITCP
Aspectos para la implementación de
de una SGSI.
38
ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeñas organizaciones que
realizan sus primeros esfuerzos, como a un nivel alto de sofisticación por grandes organizaciones como
parte de sus procesos de seguridad de la información...
Al igual que otros estándares del ISECOM, ISM3 se proporciona con una licencia de “código libre”, tiene
una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en organizaciones que
utilicen estándares como COBIT, ITIL, CMMI y ISO17799. Está estructurado en niveles de madurez, de
modo que cada organización puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en
varias etapas.
En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que suponen una barrera a
la implantación de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los
requerimientos de seguridad del negocio. Permite a la empresa aprovechar la infraestructura actual,
fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de madurez certificables según el
sistema de ISM evoluciona.
Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan
incidentes de las tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de
seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación
que permite a una organización autoevaluar su madurez, o bien obtener una certificación de un auditor
independiente.
La publicación de ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM
cubo) ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información.
ISM3 por sí solo o para mejorar sistemas basados en ITIL, ISO27001 o COBIT.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar
de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la
consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la
prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como
entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las
bases de datos sólo a los usuarios autorizados)...
ITCP
Aspectos para la implementación de
de una SGSI.
39
explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto
de gestión Estratégica, Táctica y Operativa.
• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o
ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO
27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en
ISO9001 y que tienen experiencia e infraestructura para ISO9001.
• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden
ver con mayor facilidad la Seguridad de la Información como una inversión y no como una
molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.
La creación de nuevas tecnologías y oportunidades de negocio implican cada vez un riesgo mayor que
pueden afectar la continuidad del negocio, la seguridad de la información y la falta de reconocimiento para
poder aplicar eficientemente cambios organizacionales. Hay muchos riesgos del pasado y otros que han
ido surgiendo, pero lo que sí es claro es que están siendo visibles y que definitivamente hay que empezar a
tratarlos y a hacerlos parte de los planes estratégicos de la organización.
Por otra parte encontramos dos grandes investigadores de la Escuela de Administración de Sloan del
MIT, Jeanne Ross y Peter Weill quien dicen: “El gobierno de TI es especificar los derechos de decidir y el
marco de rendición de cuentas que obligan a comportamientos deseados en el uso de la TI”. Esta
definición de gobierno de TI aspira a capturar la simpleza de este gobierno: derechos de decisión,
rendición de cuentas y comportamiento deseado que son diferentes en cada organización”.
Si bien podemos encontrar muchas otras definiciones sobre el Gobierno de TI, lo que si se tiene claro es
que el un buen gobierno debe proveer estructuras que logre unir los distintos procesos de TI, los recursos,
la información y los objetivos, por ello entonces llega a la organización definiciones como:
• Alineación del negocio de TI
• Administración del portafolio
• Administración de Valor
• Administración de recursos
• Administración de beneficios
ITCP
Aspectos para la implementación de
de una SGSI.
40
• Administración de Riesgos
Es esta última definición en la cual se concentrará este estudio, ya que la conciencia del riesgo existe y su
estado en la organización cada día se vuelve más importante y de necesario tratamiento siempre
guardando un equilibrio entre las metas de cumplimiento y desempeño por medio de las acciones del
directorio mencionadas anteriormente.
El núcleo del gobierno de TI tiene dos grandes responsabilidades, la entrega de valor al negocio y la
mitigación de riesgos asociados a TI.
GOBIERNO
Gestión de
Riesgos
Control
Interno
SGSI
El gobierno corporativo está centrado en el rendimiento, los riesgos y el control de las tecnologías de
información, por tanto la gestión de las tecnologías de información tiene su clasificación basada en:
• Planeación de las TI
• Control de Gestión de TI
• Administración de Portafolio de proyectos de TI
ITCP
Aspectos para la implementación de
de una SGSI.
41
Administración de Portafolio de
Control de Gestión de TI
proyectos de TI
Planeación Estrátegica de TIC.
En la parte central de este artículo, control de Gestión de TI, se tiene también dos divisiones una
igualmente importante que la otra:
Administración • Analisis de
de Portafolio de SteakHolders.
proyectos de TI • Mitigacion Riesgos.
ITCP
Aspectos para la implementación de
de una SGSI.
42
Teniendo en cuenta la ubicación en donde se está, se puede hacer una definición de riesgo basados en el
Committee AS/NZA4360 de Risk Management que dice: “Riesgo expresa la incertidumbre con
respecto a eventos futuros o sus consecuencias, los cuales podrían afectar el logro de los objetivos.
Es percibido como una amenaza o peligro el cual al materializarse podría impactar negativamente a la
organización”.
La gestión de riesgo requiere que por parte de la gerencia exista una cultura y conciencia del riesgo y
comprensión de tus requerimientos legales y regulatorios basado en la identificación, valoración
tratamiento, monitoreo y comunicación de los riesgos y sus impactos.
Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su
información, como para sus activos entonces para alcanzar estos objetivos la gerencia debe entender muy
bien el estado de sus sistemas, controlarlos y asegurarlos y es aquí en donde entran a jugar un papel clave
los estándares y mejores prácticas.
El gobierno de TI se ha vuelto algo critico debido a los cambios vertiginosos del mundo informático y
generalmente las inversiones en tecnología solo sirven para atender problemas operativos en vez de
generar valor aunque se tiene claro que TI es la forma de ejecutar grandes objetivos empresariales.
Por todo esto, la organización está constantemente enfrentado desafíos y retos y busca alinearse según
su estrategia de TI con el negocio por ello se optó por la búsqueda de una estructura organizacional que
facilitara la aplicación de estrategias y objetivos adoptando un marco de trabajo.
• ISO 12207 • ISO 27000
• SOA • IT RISK
• RUP • ISO 9001:2008
• UML • PDAC.
• ISHIKAWA
CMMI SGSI
ITIL COBIT
• ISO 20000
• ISO 20500 • VAL IT
• PMI • GOBIERNO TIC
• O - ISM3 • ISO 38500
• COSO - ERM
ITCP
Aspectos para la implementación de
de una SGSI.
43
Por ellos, se piensan en estándares y mejores prácticas para el cumplimiento de objetivos enfocados a la
organización, el equilibrio y el cumplimiento.
COBIT, (Objetivos de control para la información y las tecnologías relacionadas) es uno de los primeros
framework en preferencia organizacional, ya que ayuda a integrar prácticas tecnológicas específicas con
prácticas generales de alto nivel y se establece un puente entre los riesgos del negocio, los controles que
se necesitan y los aspectos técnicos más relevantes.
Por otro lado, la seguridad de la información y la continuidad del negocio son dos componentes críticos de
la estrategia futura de muchas instituciones a nivel nacional e internacional
Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al entendimiento y
a la administración de los riesgos así como de los beneficios asociados con la información y sus
tecnologías relacionadas. COBIT generalmente es aceptable y aplicable para las buenas prácticas de
seguridad y control.
COSO, publicó el sistema de Control Interno, que consistía en un informe que establece una definición de
control interno y proporciona un estándar por medio del cual las organizaciones pueden evaluar y mejorar
su sistema de control.
Su objetivo es: mejorar la calidad de información concentrándose en el manejo corporativo, las normas
éticas y el control interno y así unificar criterios ante la existencia de una variedad de interpretaciones y
conceptos sobre control interno.
Monitoreo
ITCP
Aspectos para la implementación de
de una SGSI.
44
Risk IT, proporciona de extremo a extremo una visión global de todos los riesgos relacionados con el uso
de las TI y su tratamiento. El entorno de RISK TI, es bien importante por ello se explican las funciones los
entes asociados a TI.
CEO I I
CRO R R C A/R
CIO C C C
CFO I C C
HR
ITCP
Aspectos para la implementación de
de una SGSI.
45
Medida de cálculo de Riesgo: Valor de Activos BIA * Amenaza * Vulnerabilidad = Riesgo Medida. Dónde
BIA Valor de activos es una medida de 0 a 5, donde el propietario de los activos es necesario para
identificar las consecuencias para los negocios de una violación del peor caso de la confidencialidad,
integridad o disponibilidad.
Se visualiza los Riesgos como la pérdida de reputación, el interés de los medios de comunicación, la
sensibilidad de los datos, pérdida financiera, etc.
La amenaza se basa la evaluación de la amenaza inicial a una lista de amenazas que se han extraído de la
norma ISO / IEC 27001:2005, sus vulnerabilidades asociadas.
Escala de 1 a 5. Esto proporciona una medida de riesgo 0 a 75 con el fin de tomar decisiones sobre cómo
abordar y controla:
• MUY BAJO 0- 14 El bajo nivel de riesgo no justifica los controles adicionales están poniendo en
0-14.
marcha. No hay actividad aún más necesaria.
• BAJA 15-15-24 El bajo nivel de riesgo no justifica los controles adicionales están poniendo en marcha.
No hay actividad aún más necesaria.
• MEDIUM 25- 25-45 Gestión aplicarán su criterio en cuanto a si los riesgos son aceptables. Los
controles se aplicarán, según proceda.
• ALTO 46-46-60 Administración, seleccionará los controles adecuados.
• MUY ALTO 61- 61-75 Alto Riesgo - Gestión seleccionará los controles adecuados como una prioridad.
En la norma ISO 31000, el control se define como una "medida que está modificando riesgo". La norma
también define que "la organización debe asegurarse de que haya rendición de cuentas, la autoridad y las
competencias adecuadas para la gestión de riesgos, incluyendo la implementación y el mantenimiento del
proceso de gestión de riesgos y garantizar la adecuación, efectividad y eficiencia de todos los controles. "
Si una organización tiene que implementar de manera eficiente y efectiva lo que la norma define
anteriormente para los controles, cuántos controles se pueden gestionar con realismo en la organización.
La experiencia es que no puede haber muchos miles, por ejemplo, 10.000 más, ya que una industria se
creará dentro de una organización, si tiene que asegurar regularmente la adecuación, eficacia y eficiencia
de los 10.000 controles más. Si una organización capta 10.000 más controles, pero es solamente puede
garantizar regularmente la adecuación, eficacia y eficiencia de un pequeño subconjunto de los controles,
entonces hay un punto en la documentación de todos los controles? ¿Por qué gastar todo el tiempo
tratando de definir / documentar cada control, cuando no se puede encontrar en cualquier punto dado
cuántos de ellos están trabajando o no funciona. en el contexto de las grandes organizaciones donde las
decisiones importantes se tienen que hacer en términos de cuántos controles para capturar, evaluar y
vigilar la aplicación efectiva de la norma ISO 31000 estándar .
Bastantes de las empresas (hasta 15000 empleados) que tratan de aplicar herramientas de evaluación
de riesgos como parte de su norma ISO 27001 la ejecución del proyecto. El resultado es que por lo
general toma mucho tiempo y dinero con muy poco efecto.
ITCP
Aspectos para la implementación de
de una SGSI.
46
El propósito de la evaluación del riesgo es determinar qué controles son necesarios con el fin de disminuir el
riesgo "la selección de los controles que se llama el proceso de tratamiento de riesgos y en la ISO 27001
son elegidos en el anexo A, que especifica 133 controles”.
Una vulnerabilidad es una debilidad en un activo, proceso, control, etc., lo que podría ser explotado por una
amenaza, una amenaza es una causa que puede causar daño a un sistema u organización.
Sabiendo todo esto, si su empresa que realmente necesita una herramienta sofisticada para realizar la
evaluación de riesgos. Todo lo que necesitas es una hoja de cálculo de Excel, buenos catálogos de
vulnerabilidades y amenazas, y una buena metodología de evaluación de riesgos.
La tarea principal es realmente para evaluar la probabilidad y el impacto, y eso no puede ser hecho por
cualquier herramienta "es algo que los propietarios de activos, con el conocimiento de sus activos, tienen
que pensar.
La metodología no está disponible de forma gratuita, pero se puede usar ISO 27005 estándar (que
describe la evaluación del riesgo y el tratamiento en detalle), o puede utilizar algunos otros sitios web de
venta de la metodología. Todo esto debería tomar mucho menos tiempo y dinero que la compra de una
herramienta de evaluación de riesgos y aprender a usarlo.
Una buena metodología debe contener un método para la identificación de activos, amenazas y
vulnerabilidades, tablas para el marcado de la probabilidad y el impacto, un método para el cálculo del
riesgo, y definir el nivel de riesgo aceptable.
Catálogos debe contener al menos 30 vulnerabilidades y amenazas 30, algunos contienen incluso unos
pocos cientos de cada uno, pero eso es probablemente demasiado para una empresa. El proceso no es
muy complicado "estos son los pasos básicos para la evaluación y tratamiento:
• Definir y documentar la metodología (incluyendo los catálogos), la distribuirá a todos los
propietarios de activos de la organización
• Organizar entrevistas con todos los propietarios de activos durante el cual se deben identificar
los activos y las vulnerabilidades y amenazas relacionadas, y en el segundo paso pedirles que
evaluar la probabilidad y el impacto si los riesgos particulares debería ocurrir.
• Consolidar los datos en una sola hoja de cálculo, calcular los riesgos e indican que los riesgos no
son aceptables para cada riesgo que no es aceptable, seleccione uno o varios controles del Anexo
ITCP
Aspectos para la implementación de
de una SGSI.
47
A de la norma ISO 27001 "calcular lo que el nuevo nivel de riesgo sería después de los controles
se llevan a cabo.
Lo anteriormente expresado nos ha llevado a proponer lineamientos que consideren los aspectos
fundamentales de ISO 27001, ISO 27002, ISO 27005, ISO 20000, COBIT 5.0, COSO, ITIL V3 y BS 25999,
entre otros, con el fin de plantear una ruta estratégica que le ofrezca a las organizaciones la capacidad
para estar mejor preparada ante un entorno cambiante y de alto riesgo.
MEGERIT es una metodología de evaluación del riesgo ampliamente aceptada y esta relacionada a la ISO
27005.
Sea cual sea la decisión que se tome basadas en las posibilidades anteriores es importante realizar una
evaluación que se basa en:
• Alcance de la reducción de riesgo (Eficacia)
• Beneficios u oportunidades creada
• Factibilidad y Eficiencia (Costo)
ITCP
Aspectos para la implementación de
de una SGSI.
48
ITCP
Aspectos para la implementación de
de una SGSI.
49
ITCP
Aspectos para la implementación de
de una SGSI.
50
Plan de Tratamiento de riesgos es uno de los documentos clave de la norma ISO 27001, sin embargo,
muy a menudo se confunde con la documentación que se produce como resultado de un proceso de
tratamiento de riesgos. Esta es la diferencia:
1. Aplicar los controles de seguridad del anexo A para disminuir los riesgos "ver este articulo ISO
27001 Anexo A control.
2. Transferir el riesgo a otra parte "por ejemplo, a una compañía de seguros con la compra de una
póliza de seguro.
3. Evite el riesgo de detener una actividad que es demasiado arriesgado, o por hacerlo de una
manera completamente diferente.
4. Aceptar el riesgo "si, por ejemplo, el costo de mitigar este riesgo sería mayor que el daño mismo.
El tratamiento del riesgo se realiza habitualmente en forma de una hoja simple, donde se vinculan las
opciones de mitigación y control de cada riesgo inaceptable, lo que también se puede hacer con una
herramienta de gestión de riesgos, si dispone de una. De acuerdo con la norma ISO 27001, se deben
documentar los resultados de los tratamientos de riesgo en el informe de evaluación de riesgos, y los
resultados son los principales insumos para la redacción de la Declaración de aplicabilidad. Esto significa
que los resultados del tratamiento de riesgos no están directamente documentados en el Plan de
Tratamiento de Riesgos.
¿Por qué es esto así? Para comenzar a pensar acerca del plan de tratamiento de riesgos, sería más fácil
pensar que es uno de Acción Plan donde tiene que especificar qué controles de seguridad que necesita
para implementar, que es responsable de ellos, cuáles son los plazos y los recursos que (es decir,
financieros y humanos) son obligatorios. Pero para escribir un documento, primero debe decidir qué
controles deben aplicarse, y esto se hace (de una manera muy sistemática) a través de la Declaración de
aplicabilidad.
La pregunta es "por qué ISO 27001 requieren los resultados del proceso de tratamiento de riesgos deben
documentarse directamente en el Plan de Tratamiento de Riesgos? ¿Por qué este paso intermedio
necesario, en forma de Declaración de aplicabilidad? Mi opinión es que los autores de la norma ISO
27001 quiso animar a las empresas a obtener una imagen completa de la información de seguridad "al
momento de decidir qué controles son aplicables en la Declaración de aplicabilidad y cuáles no, el
resultado del tratamiento del riesgo no es sólo la entrada A "otros insumos son los requisitos legales,
reglamentarios y contractuales, otras necesidades de negocio, etc. En otras palabras, SOA sirve como una
especie de lista de control que tiene una visión global de la organización, y el Plan de Tratamiento del
Riesgo estar completa sin dicha inspección.
ITCP
Aspectos para la implementación de
de una SGSI.
51
Para concluir el "Plan de Tratamiento del Riesgo es el punto donde la teoría se detiene y comienza la
verdadera vida de acuerdo a la norma ISO 27001. Evaluación de riesgos bien hecha y el proceso de
tratamiento de riesgos, así como la Declaración de Aplicabilidad global, producirá plan de acción muy útil
para la implementación de seguridad de la información; omitir alguno de estos pasos y Plan de
Tratamiento de riesgos sólo va a confundir.
Dando como Resultado un Gobierno de TI capaz de administrar y soportar las necesidades del negocio y
un esquema capaz de soporta:
• Disponibilidad de los Servicios de TI.
• Monitoreo y Control de los Servicios de TI.
• Sistema de Gestión de la Seguridad de la Información que soportara la ISO 27001.
(Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM
para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras
metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas
de gestión de la seguridad de la información.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar
de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la
consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la
prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como
entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las
bases de datos sólo a los usuarios autorizados).
Métricas de Seguridad de la Información: "Lo que no se puede medir, no se puede gestionar, y lo que no
se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante
métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la
mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de
gestión de seguridad de la información.
Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus
niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos
que están disponibles.
Basado en Procesos: ISM3 está basado en procesos, lo que lo hace especialmente atractivo para
organizaciones que tienen experiencia con ISO 9001 o que utilizan ITIL como modelo de gestión de TIC. El
uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado
ITCP
Aspectos para la implementación de
de una SGSI.
52
que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los
ANS y la distribución de responsabilidades.
Adopción de las Mejores Prácticas: Una implementación de ISM3 tiene ventajas como las extensas
referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de
responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión
Estratégica, Táctica y Operativa.
Certificación: Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO 9001 o ISO 27001,
lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto
también puede ser atractivo para organizaciones que ya están certificadas en ISO 9001 y que tienen
experiencia e infraestructura para ISO 9001.
Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con
mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es
mucho más sencillo medir su rentabilidad y comprender su utilidad.
¿Ha oído de ITIL, COBIT, COSO, ISO27000, y demás juegos de caracteres? Todos son elementos que
encajan en un marco de referencia que se está tratando de implementar para lograr que este gobierno de
tecnología informática cumpla su propósito.
El gobierno de la tecnología informática no es más que una continuación del gobierno corporativo, pero
enfocado en la tecnología informática, su desempeño, y el manejo del riesgo que el no tenerla puede
ocasionar.
El simple hecho de cuestionarse la administración de las TIC, pareciera acusar que hasta entonces no se
tiene una administración apropiada. Sin embargo es imperante hacer claridad que la administración de las
TIC en su aspecto técnico y de aplicación es apropiada, y lo que falta es la responsabilidad de la alta
gerencia sobre los resultados de la aplicación de estas tecnologías. Ya los gerentes no pueden decir que
los procesos informáticos transcurren a sus espaldas, sino que deben ser parte de ellos.
Los marcos de referencia para la administración de las TIC han existido siempre, sin embargo la ausencia
de ellos en la práctica en las empresas ahora tienen mayores repercusiones en cuanto al nivel de riesgo
que se maneja al no tener disponibilidad de las mismas, o mediante una generación de información no
confiable.
COBIT, (Control Objectives for information and related technology, o los Objetivos de Control para la
Informática y sus tecnologías relacionadas) es un conjunto de buenas prácticas o un marco de referencia
ITCP
Aspectos para la implementación de
de una SGSI.
53
creado por el Information Systems audit. And Control Association (ISACA) y el ITGovernance Institute (ITGI)
en 1992, que entrega una serie de medidas, indicadores, procesos y mejores prácticas comúnmente
aceptadas, que le permiten a los administradores, auditores y usuarios de TI, maximizar el beneficio
derivado del uso de las TIC y el desarrollo apropiado del gobierno de TIC. Posteriormente han anunciado
ValIT para Obtener valor de las TIC, y RiskIT para evaluar y mitigar riesgo.
Este marco de referencia define claramente siete características que deben estar presentes en el manejo
de la información:
1. Efectividad
2. Eficiencia
3. Confidencialidad
4. Integridad
5. Disponibilidad
6. Adhesión a la norma (Compliance)
7. Confiabilidad
Y genera el ciclo de calidad (planear, hacer, verificar, y actuar) sobre los recursos de tecnología incluyendo
las aplicaciones, la información, la infraestructura y las personas.
Se ha dividido en seis grandes grupos los procesos a generar dentro del área de tecnología informática,
encima de las operaciones mismas, para ser controladas por este ciclo de calidad. Y es ahí donde
empieza a jugar la "sopa de letras" de los diferentes estándares propuestos para administrar cada uno de
ellos.
• Administración del servicio: ITIL, Information Technology Library Infrastructure
• Desarrollo de Software/Aplicaciones: CMMI, Capability Maturity Model for Integration
• Administración de Proyectos: PMBOK (Libro de conocimiento de administración de proyectos)
• Seguridad TI: ISO 27000 (Antes ISO 17799/ BS 7799)
• Planeación de Tecnología: AS8015 aporta algunos elementos
• Sistema de Calidad: ISO 9000 / Six Sigma
Consideramos que estos marcos de referencia en su mayoría, como CobiT e ITIL son maduros y tienen un
ciclo de mejora continua, lo que más cuesta es lograr la curva de aprendizaje de la organización, debido
que deben abandonar las costumbres por las buenas prácticas, lo que en la mayoría de casos implica
resistencia al cambio por temor y porque las cosas bien hechas no son fáciles.
ITCP
Aspectos para la implementación de
de una SGSI.