ISO 27001 exige que el SGSI contemple los siguientes puntos: Implicacin de la Direccin.

. Un compromiso visible de la direccin es una condicin esencial para el desarrollo de la cultura preventiva y de mejora en la empresa. Para promover y formar a los trabajadores en una actitud y comportamiento responsables, el empresario/gerente deber estar activamente implicado y predicar con el ejemplo en el momento de efectuar el SGSI.

Alcance del SGSI y poltica de seguridad. Alcances Los alcances que se esperan son en base a la proteccin de la informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos de la empresa. Las polticas Estas normas inciden en la adquisicin y el uso de los Bienes y Servicios Informticos, las cuales se debern de acatar invariablemente para que la empresa est segura del desempeo que puede llegar a dar un empleado ante los dispositivos que ti ene a su alcance en la empresa. La Direccin debera establecer una poltica clara y en lnea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la informacin mediante la publicacin y mantenimiento de una poltica de seguridad de la informacin para toda la organizacin. Se deber proporcionar la gua y apoyo de la Direccin para la seguridad de la informacin en relacin a los requisitos del negocio y a las leyes y regulaciones relevantes.

Inventario de todos los activos de informacin.

Todos

los

activos

deberan

estar

claramente

identificados,

confeccionando y manteniendo un inventario con los ms importantes. Metodologa de evaluacin del riesgo. La metodologa de riesgos que la empresa debe elaborar permitir cuantificar la magnitud de los riesgos existentes y, en consecuencia, jerarquizar racionalmente su prioridad de correccin. Para ello se parte de la deteccin de las deficiencias existentes en los lugares de trabajo para, a continuacin, estimar la probabilidad de que ocurra un accidente y, teniendo en cuenta la magnitud esperada de las consecuencias, evaluar el riesgo asociado a cada una de dichas deficiencias. La informacin que nos aporta este mtodo es orientativa. Cabra contrastar el nivel de probabilidad de accidente que aporta el mtodo a partir de la deficiencia detectada, con el nivel de probabilidad estimable a partir de otras fuentes ms precisas, como por ejemplo datos estadsticos de accidentabilidad o de fiabilidad de componentes. Las consecuencias normalmente esperables habrn de ser preestablecidas por el ejecutor del anlisis.

Identificacin de amenazas, vulnerabilidades e impactos. Este paso permitir a la empresa conocer sus debilidades en cuanto a la naturaleza y la forma en que esta puede actuar ante estas situaciones depender de que tan identificados tenga estos problemas.

Anlisis y evaluacin de riesgos. Se debera obtener informacin oportuna sobre la vulnerabilidad tcnica de los sistemas de informacin que se estn utilizando, evaluar la exposicin de la organizacin ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados. Seleccin de controles para el tratamiento de riesgos.

Aprobacin por parte de la direccin del riesgo residual. Considerando costes y beneficios, la direccin selecciona el tratamiento o actuacin de control sobre los riesgos que sita el riesgo residual

dentro de la tolerancia al riesgo establecida por la organizacin, denominada riesgo aceptado. El control interno de la organizacin se orienta entonces a impedir, mitigar o transferir los riesgos.

Declaracin de aplicabilidad. Se trata del documento principal que define cmo la empresa implementar una gran parte de su sistema de seguridad de la informacin. Es el nexo principal entre la evaluacin y el tratamiento del riesgo y la implementacin del sistema de seguridad de la informacin. El objetivo de este documento es definir cules de los controles (medidas de

seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que implementar y, para los controles que correspondan, cmo se realizar su implementacin.

Plan de tratamiento de riesgos. Ante todo, durante el tratamiento de riesgos se identificaron los controles que deban implementarse ante estas situaciones, primero identific los riesgos que era necesario disminuir. Sin embargo, en la Declaracin de aplicabilidad usted tambin identific los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.

Implementacin

de

controles,

documentacin

de

polticas,

procedimientos e instrucciones de trabajo. Constituye el documento bsico que describe el sistema de gestin de la prevencin de riesgos laborales adoptado y establece la poltica y la organizacin para desarrollarla. Debera incluir al menos un esquema bsico de la planificacin y las actividades preventivas. Es muy conveniente que el Manual de Gestin de la Prevencin incluya las normas generales de prevencin de riesgos laborales de la empresa, ya que afectan a todos o a colectivos significativos. El manual debera ser

firmado por el mximo responsable de la organizacin y entregado a todos los miembros de la misma. Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Se debe de establecer el mtodo para tener el control exacto de las medidas de seguridad que se han establecido para la proteccin de la empresa y adems se deber establecer el mtodo para ponerlo en marcha y pueda obtenerse los resultados deseados.

Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Esto es muy importante ya que no se puede estar seguro solo con involucrar las partes gerenciales sino tambin incluir todo el personal involucrado, esto para generar conciencia de lo importante que es para la empresa.

Monitorizacin constante y registro de todas las incidencias. Se requiere que exista una monitorizacin continua y que todo lo encontrado sea registrado para futuras necesidades de verificar esta informacin.

Realizacin de auditoras internas. Debe ir enmarcada a la bsqueda de conformidades que le permita cumplir con los objetivos que se le asignan a la empresa. La Auditora Interna debe mantener independencia con relacin a las actividades que audita esto le permitir tener una mayor objetividad y eficiencia de lo encontrado.

Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. La evaluacin debe de darse de manera continua por nuevos riesgos que puedan surgir la existencia de estos debe ser conocida por la empresa para evitar todo problema en el futuro adems debe de estar

atento de los daos residuales que pueda provocar la empresa y evaluar cmo ha respondido ante el tratamiento de los mismos Adems debe evaluar el SGSI para ver el nivel de aceptacin que la empresa ha tenido y ver las debilidades que necesita fortalecer

Mejora continua del SGSI. La mejora continua es una de las piedras angulares sobre las que tenemos que desarrollar nuestro SGSI. La incorporacin de este sistema a la tradicional Seguridad de la Informacin, debe verse como una ms que buena herramienta sobre la que apoyarnos para hacer nuestros sistemas cada vez ms seguros. La seguridad al 100 % sabemos todos que es prcticamente imposible, pero intentar mejorar aprendiendo, entre otros, de nuestros propios errores o de la evolucin de los mercados tecnolgicos, debe ser visto como una prioridad.

La documentacin del SGSI deber incluir: Poltica y objetivos de seguridad. Debe de incluir el conjunto de normas que se aplican a las actividades del sistema y a los recursos de comunicaciones que pertenecen a una organizacin. Estas normas tratan reas como la seguridad fsica, personal, administrativa y de la red. Cuando se crea y se desarrolla una poltica de seguridad, se deben tener claros los objetivos. Los objetivos de seguridad entran dentro de una o varias de estas categoras: 1. Proteccin de recursos El esquema de proteccin de recursos garantiza que slo los usuarios autorizados podrn acceder a los objetos del sistema. La capacidad de asegurar todo tipo de recursos del sistema es una de las ventajas de series. Primero se deben definir con precisin las distintas categoras de usuarios que pueden acceder al sistema. Asimismo, cuando se crea la

poltica de seguridad, se debe definir el tipo de autorizacin de acceso que se va a ofrecer a estos grupos de usuarios. 2. Autenticacin Es la confianza o verificacin de que el recurso (humano o artificial) al otro extremo de la sesin es realmente el que dice ser. Autorizacin Es la garanta de que la persona o sistema al otro extremo de la sesin tiene permiso para llevar a cabo la peticin. 3. Integridad Es la garanta de que la informacin entrante es la misma que la que se ha enviado. Para entender la integridad, se deben entender primero los conceptos de integridad de los datos e integridad del sistema. 4. No repudio No repudio es la prueba de que se ha producido una transaccin, o que se ha enviado o recibido un mensaje. La utilizacin de certificados digitales y criptografa de claves pblicas para "firmar" transacciones, mensajes y documentos da soporte al No repudio. El remitente y el receptor estn de acuerdo en que el intercambio ha tenido lugar. La firma digital de los datos es una prueba suficiente. 5. Confidencialidad Es la garanta de que la informacin ms sensible permanece privada y no es visible para los escuchas intrusos.

Alcance del SGSI. Se trata de la aclaracin de hasta dnde se aplica el SGSI, es decir, qu reas, divisiones, procesos, etc. Abarca el SGSI. Evite los problemas de establecer incorrectamente el alcance del SGSI y obtenga consejos sobre cmo optimizarlo para satisfacer las

necesidades especficas de su organizacin de profesionales en el tema. Apoyndose de profesionales se puede evitar la perdida innecesaria de tiempo y dinero ocasionada por errores cometidos en el mismsimo comienzo de su proyecto.

Procedimientos y controles que apoyan el SGSI. Mantener la seguridad del software del sistema de aplicaciones y la informacin. Se deberan controlar estrictamente los entornos de desarrollo de proyectos y de soporte. Los directivos responsables de los sistemas de aplicaciones deberan ser tambin responsables de la seguridad del proyecto o del entorno de soporte. Ellos deberan garantizar que todas las propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la seguridad del sistema o del entorno operativo.

Descripcin de la metodologa de evaluacin del riesgo. Se trata de definir de qu manera se va a evaluar el riesgo (evaluacin de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definicin de criterios de aceptacin de riesgo, etc.)

Informe resultante de la evaluacin del riesgo. Este deber contener todo lo encontrado en la evaluacin del riesgo, servir para que la gerencia tenga conocimiento de la situacin de la empresa.

Plan de tratamiento de riesgos. El plan de tratamiento de riesgos ser el que asegure la supervivencia de la empresa ante los riesgos que pueda enfrentar en el futuro. Aplicar controles adecuados Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos. Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing.

Procedimientos de planificacin, manejo y control de los procesos de seguridad de la informacin y de medicin de la eficacia de los controles. Todos los procedimientos debern estar debidamente documentados y ser parte de la informacin que la empresa debe de proporcionar para el SGSI

Registros. Son documentos que evidencien el constante y correcto funcionamiento de SGSI.

Declaracin de aplicabilidad (SOA -Statement of Applicability-). El SGSI deber contener el documento principal que define cmo la empresa implementar una su sistema de seguridad de la informacin.

Procedimiento de gestin de toda la documentacin del SGSI. Este requisito supone una correcta recopilacin y elaboracin de dichos documentos y registros. Para ello se debern establecer los

procedimientos necesarios para controlar y proteger dicha informacin, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobacin, control de la distribucin, entre otros.

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:

Poltica de seguridad. Documento de la poltica de seguridad de la informacin que debe ser conocido por todos los empleados este documento debe de ser hecho o aprobado por la direccin de la empresa. Asignacin de responsabilidades de seguridad. Se deberan definir claramente todas las responsabilidades para la seguridad de la informacin. Esto lleva como punto principal que exista en la empresa una asignacin de tareas lgica y eficiente.

Formacin y capacitacin para la seguridad.

Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros deberan recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su trabajo.

Gestin de continuidad del negocio. Se debe desarrollar y mantener un proceso de gestin de la continuidad del negocio en la organizacin que trate los requerimientos de seguridad de la informacin necesarios para la continuidad del negocio.

Proteccin de datos personales. Se debe garantizar la proteccin y privacidad de los datos y segn requiera la legislacin, regulaciones y, si fueran aplicables, las clusulas relevantes contractuales.

Salvaguarda de registros de la organizacin. Los registros importantes se deberan proteger de la prdida, destruccin y falsificacin, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio.

Derechos de propiedad intelectual. Los derechos de propiedad intelectual deben proteger los intereses de los creadores al ofrecerles prerrogativas en relacin con sus creaciones.