150

Normas y Estndares

ISO 27001: introduccin

ISO 27001 ES UN ESTNDAR INTERNACIONAL (WWW.ISO.CH) PUBLICADO EN OCTUBRE DE 2005 DEDICADO A LA ORGANIZACIN DE LA SEGURIDAD DE LAS TECNOLOGAS DE LA INFORMACIN
del negocio (actividad) para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin. Un sistema de gestin incluye: Estructura organizativa. Polticas. Planificacin. Responsabilidades. Prcticas. La certificacin ISO 27001 no exime a una organizacin del cumplimiento Alfonso Calvo Orra
CISM, SISA AUDITOR JEFE SGSI

Procedimientos. Procesos. Recursos. Debido a la juventud de la norma, en la actualidad estn desarrollndose en el mundo las primeras certificaciones respecto a ISO 27001. El autor de este artculo participa en una de estas iniciativas en una corporacin espaola.

de otras leyes. Por ejemplo: Ley Orgnica de Proteccin de Datos Personales. Reglamento de Medidas de Seguridad.

hace con la seguridad de la informacin. Por tanto, podra considerarse que ISO 27001 representa la calidad de la seguridad. El objetivo de la seguridad de la informacin es preservar su: Confidencialidad: evitar que la informacin sea utilizada por individuos o procesos no autorizados. Integridad: proteger la precisin y completitud de cualquier cosa que posee valor para una organizacin. Disponibilidad: informacin accesible y utilizable bajo peticin de las entidades autorizadas. ISO 27001 establece los requisitos que debe cumplir un SGSI (Sistema para la Gestin de la Seguridad de la Informacin) para su certificacin en trminos de procesos de seguridad a nivel empresarial.

l igual que la norma ISO 9001 certifica la calidad de las empresas, ISO 27001 lo

La creacin de un SGSI es una decisin estratgica en una organizacin y como tal, debe ser apoyada y supervisada por la direccin
Ley de Firma Electrnica. Ley de Servicios de la Sociedad de la Informacin y Comercio Electrnico. Cdigos de comercio, civil y penal en lo relativo a proteccin de la informacin. Legislacin sectorial aplicable segn la actividad de la empresa. Un SGSI es una parte del sistema de gestin de una organizacin, basado en una aproximacin de los riesgos

Hacia una cultura de la seguridad

La Organizacin para la Cooperacin y el Desarrollo Econmico (www.oedc.org) es una organismo internacional formado por cuarenta pases (Espaa incluida) que ha elaborado el documento discrecional OECD Guidelines for the Security of Information Systems and Networks (2002) en el que se especifican directivas para la seguridad de las Tecnologas de la Informacin y las Comunicaciones (TIC). El cambio continuo de la sociedad est soportado por las TIC, lo cual requiere un mayor nfasis en su seguridad por parte de los participantes en la mismas: estados, empresas privadas y usuarios que desarrollan, poseen, proporcionan o gestionan dichas tecnologas. La creciente interconectividad de

N 2

Marzo / Abril 2006

alfonso calvo-.p65

150

14/03/2006, 22:35

152

Normas y Estndares
las TIC que soportan infraestructuras crticas (energa, finanzas, gobierno, telecomunicaciones) aumenta las amenazas y vulnerabilidades de estos sistemas. Todos los participantes en la sociedad de la informacin necesitan unos principios para aumentar el conocimiento y la comprensin de la seguridad de las TIC y desarrollar una cultura de la seguridad. La promocin de una cultura de la

La certificacin ISO 27001 no exime a una organizacin del cumplimiento de otras leyes
seguridad requerir una gran cooperacin entre los participantes, que debera traducirse en una planificacin y gestin concertada de la seguridad. Los principios para desarrollar la cultura de la seguridad son: Conocimiento. Los participantes deberan ser conscientes de la necesidad de la seguridad de las TIC y como podran mejorarla. Responsabilidad. Todos los participantes son responsables de la seguridad de las TIC. Respuesta. Los participantes deberan actuar de una manera oportuna y cooperativa para prevenir, detectar y responder ante los incidentes de seguridad. Un incidente de seguridad es una serie de eventos inesperados que poseen una probabilidad significativa de comprometer el funcionamiento del negocio y amenaza la seguridad de la informacin. tica. Los participantes deberan respetar los legtimos intereses de los otros. Democracia. La seguridad de las TIC debera ser compatible con los valores esenciales de una sociedad democrtica. Evaluacin de riesgos. Los participantes deberan realizar evaluaciones de riesgos, que son procesos globales de anlisis y evaluacin para determinar su trascendencia en la organizacin. Diseo e implementacin de la seguridad. Los participantes deberan incorporar la seguridad como un elemento esencial de las TIC. Gestin de la seguridad. Los participantes deberan adoptar una aproximacin global para la gestin de la seguridad. Re-evaluacin. Los participantes deberan revisar y reevaluar la seguridad de las TIC, realizando las modificaciones apropiadas en las polticas, prcticas, mediciones y procedimientos de seguridad.

PDCA
La creacin de un SGSI es una decisin estratgica en una organizacin y como tal, debe ser apoyada y

N 2

Marzo / Abril 2006

alfonso calvo-.p65

152

14/03/2006, 22:38

Normas y Estndares

153

Estructura de la norma ISO 27001

Introduccin. Alcance. Referencias. Definiciones. Requisitos para el ciclo de vida del SGSI a. Generales. b. Establecimiento y gestin. c. Documentacin. Responsabilidad de la Direccin. Auditoras internas. Revisin del SGSI por parte de la Direccin. Mejora del SGSI. ANEXO A. Objetivos de control. ANEXO B. Principios de seguridad de la OCDE. ANEXO C. Correspondencia con las normas 9001 (calidad) y 14001 (medioambiente). BIBLIOGRAFA.
Este artculo cubre hasta el apartado 3 (inclusive). En posteriores trabajos se abordarn otras partes del estndar y su aplicacin para alcanzar la certificacin.

mar sus entradas en salidas. La identificacin, uso, interaccin y gestin de un conjunto de procesos en una organizacin se denomina aproximacin por procesos. ISO 27001 aplica una aproximacin por procesos para la gestin de la seguridad de la informacin, enfatizando la importancia de los siguientes aspectos: Comprensin de los requisitos de seguridad de la organizacin. Necesidad de establecer una poltica y unos objetivos. Implementar controles para gestionar los riesgos en el contexto del negocio. Monitorizar el rendimiento del SGSI. Mejora continua basada en la medicin de los objetivos. ISO 27001 adopta el modelo PDCA

relevantes para la gestin de los riesgos y mejorar la seguridad de la informacin para entregar resultados satisfactorios con respecto a los objetivos de la organizacin.

La creciente interconectividad de las TIC que soportan infraestructuras crticas aumenta las amenazas y vulnerabilidades de estos sistemas
Hacer: implementar y operar los elementos del SGSI (poltica, controles, procesos y procedimientos). Comprobar: medir el rendimiento de los procesos contra los objetivos del SGSI, notificando los resultados a la direccin para su revisin. Actuar: basndose en las revisiones, realizar acciones preventivas y correctivas para alcanzar la mejora continua del SGSI.

supervisada por la direccin. Su implementacin depende de: los objetivos establecidos, los requisitos de seguridad, los procesos involucrados y la estructura de la organizacin. Cualquier organizacin necesita definir y gestionar muchas actividades para funcionar eficientemente. Un proceso es una actividad que utiliza recursos y los gestiona para transfor-

(Plan-Do-Check-Act, PlanificarHacer-Comprobar-Actuar) que se aplica para estructurar todos los procesos del SGSI y tambin est subyacente en los principios de la OCDE. Las actividades principales asociadas al modelo PDCA aplicadas al SGSI son: Planificar: establecer polticas, objetivos, procesos y procedimientos

N 2

Marzo / Abril 2006

alfonso calvo-.p65

153

14/03/2006, 22:38