You are on page 1of 7

ISO 27001 es una norma internacional emitida por la Organizacin

Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de


la informacin en una empresa. La revisin ms reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La
primera revisin se public en 2005 y fue desarrollada en base a la norma
britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o
sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa
para implementar la gestin de la seguridad de la informacin en una
organizacin. Tambin permite que una empresa sea certificada; esto significa
que una entidad de certificacin independiente confirma que la seguridad de la
informacin ha sido implementada en esa organizacin en cumplimiento con la
norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la
seguridad de la informacin y muchas empresas han certificado su
cumplimiento.
El eje central de ISO 27001 es proteger la confidencialidad, integridad y
disponibilidad de la informacin en una empresa. Esto lo hace investigando
cules son los potenciales problemas que podran afectar la informacin (es
decir, la evaluacin de riesgos) y luego definiendo lo que es necesario hacer
para evitar que estos problemas se produzcan (es decir, mitigacin o
tratamiento del riesgo).
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin
de riesgos: investigar dnde estn los riesgos y luego tratarlos
sistemticamente.
Las medidas de seguridad (o controles) que se van a implementar se
presentan, por lo general, bajo la forma de polticas, procedimientos e
implementacin tcnica (por ejemplo, software y equipos). Sin embargo, en la
mayora de los casos, las empresas ya tienen todo el hardware y software pero
utilizan de una forma no segura; por lo tanto, la mayor parte de la
implementacin de ISO 27001 estar relacionada con determinar las reglas
organizacionales (por ejemplo, redaccin de documentos) necesarias para
prevenir violaciones de la seguridad.
Como este tipo de implementacin demandar la gestin de mltiples polticas,
procedimientos, personas, bienes, etc., ISO 27001 ha detallado cmo
amalgamar todos estos elementos dentro del sistema de gestin de seguridad
de la informacin (SGSI).

Por eso, la gestin de la seguridad de la informacin no se acota solamente a la


seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que tambin
tiene que ver con la gestin de procesos, de los recursos humanos, con la
proteccin jurdica, la proteccin fsica, etc.

Por qu ISO 27001 es importante para su empresa?


Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementacin de esta norma para la seguridad de la informacin:
Cumplir con los requerimientos legales cada vez hay ms y ms leyes,
normativas y requerimientos contractuales relacionados con la seguridad de la
informacin. La buena noticia es que la mayora de ellos se pueden resolver
implementando ISO 27001 ya que esta norma le proporciona una metodologa
perfecta para cumplir con todos ellos.
Obtener una ventaja comercial si su empresa obtiene la certificacin y sus
competidores no, es posible que usted obtenga una ventaja sobre ellos ante los
ojos de los clientes a los que les interesa mantener en forma segura su
informacin.
Menores costos la filosofa principal de ISO 27001 es evitar que se produzcan
incidentes de seguridad, y cada incidente, ya sea grande o pequeo, cuesta
dinero; por lo tanto, evitndolos su empresa va a ahorrar mucho dinero. Y lo
mejor de todo es que la inversin en ISO 27001 es mucho menor que el ahorro
que obtendr.
Una mejor organizacin en general, las empresas de rpido crecimiento no
tienen tiempo para hacer una pausa y definir sus procesos y procedimientos;
como consecuencia, muchas veces los empleados no saben qu hay que hacer,
cundo y quin debe hacerlo. La implementacin de ISO 27001 ayuda a
resolver este tipo de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no estn relacionados con la seguridad),
lo que les permite reducir el tiempo perdido de sus empleados.
Cmo es realmente ISO 27001?
ISO/IEC 27001 se divide en 11 secciones ms el anexo A; las secciones 0 a 3
son introductorias (y no son obligatorias para la implementacin), mientras que
las secciones 4 a 10 son obligatorias, lo que implica que una organizacin debe
implementar todos sus requerimientos si quiere cumplir con la norma. Los

controles del Anexo A deben implementarse slo si se determina que


corresponden en la Declaracin de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organizacin
Internacional para la Normalizacin, los ttulos de las secciones de ISO 27001
son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras
normas de gestin, lo que permite integrar ms fcilmente estas normas.
Seccin 0 Introduccin explica el objetivo de ISO 27001 y su compatibilidad
con otras normas de gestin.
Seccin 1 Alcance explica que esta norma es aplicable a cualquier tipo de
organizacin.
Seccin 2 Referencias normativas hace referencia a la norma ISO/IEC 27000
como estndar en el que se proporcionan trminos y definiciones.
Seccin 3 Trminos y definiciones de nuevo, hace referencia a la norma
ISO/IEC 27000.
Seccin 4 Contexto de la organizacin esta seccin es parte de la fase de
Planificacin del ciclo PDCA y define los requerimientos para comprender
cuestiones externas e internas, tambin define las partes interesadas, sus
requisitos y el alcance del SGSI.
Seccin 5 Liderazgo esta seccin es parte de la fase de Planificacin del
ciclo PDCA y define las responsabilidades de la direccin, el establecimiento de
roles y responsabilidades y el contenido de la poltica de alto nivel sobre
seguridad de la informacin.
Seccin 6 Planificacin esta seccin es parte de la fase de Planificacin del
ciclo PDCA y define los requerimientos para la evaluacin de riesgos, el
tratamiento de riesgos, la Declaracin de aplicabilidad, el plan de tratamiento
de riesgos y la determinacin de los objetivos de seguridad de la informacin.
Seccin 7 Apoyo esta seccin es parte de la fase de Planificacin del ciclo
PDCA y define los requerimientos sobre disponibilidad de recursos,
competencias, concienciacin, comunicacin y control de documentos y
registros.
Seccin 8 Funcionamiento esta seccin es parte de la fase de Planificacin
del ciclo PDCA y define la implementacin de la evaluacin y el tratamiento de
riesgos, como tambin los controles y dems procesos necesarios para cumplir
los objetivos de seguridad de la informacin.

Seccin 9 Evaluacin del desempeo esta seccin forma parte de la fase de


Revisin del ciclo PDCA y define los requerimientos para monitoreo, medicin,
anlisis, evaluacin, auditora interna y revisin por parte de la direccin.
Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
Anexo A este anexo proporciona un catlogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
Cmo implementar ISO 27001?
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir
estos 16 pasos:
1) Obtener el apoyo de la direccin
2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitacin y concienciacin
12) Realizar todas las operaciones diarias establecidas en la documentacin de
su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas

Documentacin obligatoria
ISO 27001 requiere que se confeccione la siguiente documentacin:

Alcance del SGSI (punto 4.3)


Objetivos y poltica de seguridad de la informacin (puntos 5.2 y 6.2)
Metodologa de evaluacin y tratamiento de riesgos (punto 6.1.2)
Declaracin de aplicabilidad (punto 6.1.3 d)
Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
Informe de evaluacin de riesgos (punto 8.2)
Definicin de roles y responsabilidades de seguridad (puntos A.7.1.2 y
A.13.2.4)
Inventario de activos (punto A.8.1.1)

Uso aceptable de los activos (punto A.8.1.3)


Poltica de control de acceso (punto A.9.1.1)
Procedimientos operativos para gestin de TI (punto A.12.1.1)
Principios de ingeniera para sistema seguro (punto A.14.2.5)
Poltica de seguridad para proveedores (punto A.15.1.1)
Procedimiento para gestin de incidentes (punto A.16.1.5)
Procedimientos para continuidad del negocio (punto A.17.1.2)
Requisitos legales, normativos y contractuales (punto A.18.1.1)
Y estos son los registros obligatorios:
Registros de capacitacin, habilidades, experiencia y calificaciones
(punto 7.2)
Monitoreo y resultados de medicin (punto 9.1)
Programa de auditora interna (punto 9.2)
Resultados de auditorias internas (punto 9.2)
Resultados de la revisin por parte de la direccin (punto 9.3)
Resultados de medidas correctivas (punto 10.1)
Registros sobre actividades de los usuarios, excepciones y eventos de
seguridad (puntos A.12.4.1 y A.12.4.3)
ISO/IEC 27002 proporciona directrices para la implementacin de los controles
indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser
utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede
ser bastante til ya que proporciona ms informacin sobre cmo implementar
esos controles. A la ISO 27002 anteriormente se la conoca como ISO/IEC 17799
y surgi de la norma britnica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medicin de la seguridad de la
informacin; se acopla bien con ISO 27001 ya que explica cmo determinar si
el SGSI ha alcanzado los objetivos.
ISO/IEC 27005 proporciona directrices para la gestin de riesgos de seguridad
de informacin. Es un muy buen complemento para ISO 27001 ya que brinda
ms informacin sobre cmo llevar a cabo la evaluacin y el tratamiento de
riesgos, probablemente la etapa ms difcil de la implementacin. ISO 27005
ha surgido de la norma britnica BS 7799-3.
ISO 22301 define los requerimientos para los sistemas de gestin de
continuidad del negocio, se adapta muy bien con ISO 27001 porque el punto
A.17 de esta ltima requiere la implementacin de la continuidad del negocio
aunque no proporciona demasiada informacin. Ms informacin sobre ISO
22301
ISO 9001 define los requerimientos para los sistemas de gestin de calidad.
Aunque a primera vista la gestin de calidad y la gestin de seguridad de la
informacin no tienen mucho en comn, lo cierto es que aproximadamente el
25% de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de

documentos, auditora interna , revisin por parte de la direccin, medidas


correctivas, definicin de objetivos y gestin de competencias. Esto quiere
decir que si una empresa ha implementado ISO 9001 le resultar mucho ms
sencillo implementar ISO 27001.
Los 10 pilares bsicos de la norma ISO 27001
En la bsqueda del mejor estndar para gestionar la seguridad de la
informacin en una compaa, generalmente los resultados suelen estn
alrededor de la serie de normas ISO 27000 ya que rene todos los lineamientos
en materia de gestin de seguridad de la informacin. Una de las normas ms
importantes, que adems es certificable, es la ISO 27001, la cual est
organizada en 11 dominios. A continuacin vamos a tratar 10 de ellos, pues en
un post anterior mencionamos lo que se debe tener en cuenta en la poltica de
seguridad de la informacin, el undcimo de los dominios de esta norma.
1. Aspectos administrativos: Este dominio se refiere a la asignacin de
responsabilidades relativas a la seguridad de la informacin, donde se
encuentra el proceso de autorizacin de recursos para el tratamiento de
la informacin, los acuerdos de confidencialidad, el manejo de los grupos
de inters y la revisin independiente de la seguridad de la informacin.
Adems los aspectos que se tienen que tener en cuenta con el manejo
de terceros como la identificacin de los riesgos derivados del acceso de
terceros y la seguridad en contratos con terceros.
2. Gestin de activos: Este segundo dominio contempla los lineamientos
para la gestin de activos que incluye el inventario y las declaraciones
de uso de los mismos. Como parte de esta gestin de activos se detallan
las directrices para la clasificacin de la informacin.
3. Los recursos humanos y la seguridad de la informacin: El recurso
humano es una de las principales fuentes de riesgo para la seguridad de
la informacin por lo tanto en este dominio se tratan los aspectos que se
deben tener en cuenta antes, durante y despus de la relacin laboral.
Se incluyen en este apartado los trminos y condiciones de contratacin,
los programas de concienciacin, formacin y capacitacin, los procesos
disciplinarios y los puntos a tener en cuenta en caso de cese de la
relacin laboral o cambio de puesto de trabajo como pueden ser la
devolucin de activos y la suspensin de las credenciales de acceso.
4. Seguridad fsica: Este dominio trata dos aspectos: las reas seguras,
donde se incluyen la definicin de permetros de seguridad fsica y los
controles fsicos de entrada entre otros aspectos, y la seguridad de los
equipos donde se relaciona, entre otras, la seguridad del cableado, el
mantenimiento y la seguridad de los equipos fuera de la compaa.
5. Gestin de comunicaciones: Este es el dominio ms amplio, en el se
tratan las responsabilidades y procedimientos de operacin, la gestin
de los servicios con terceros, la proteccin contra cdigo malicioso, las

copias de seguridad, la seguridad de redes, el intercambio de


informacin, entre otros aspectos.
6. Control de acceso: Como parte de este dominio se desarrollan los
lineamientos para la poltica de control de acceso, la gestin de accesos
de usuarios, los controles de acceso a la red, al sistema operativo, a las
aplicaciones y a la informacin. Adems incluye las consideraciones para
el manejo de ordenadores porttiles y teletrabajo.
7. Gestin de sistemas de informacin: Se desarrollan los requisitos de
seguridad de los sistemas de informacin, el tratamiento correcto de las
aplicaciones, los controles criptogrficos, la seguridad en los procesos de
desarrollo y soporte y la gestin de las vulnerabilidades.
8. Gestin de incidentes: Se tratan recomendaciones alrededor de la
notificacin de eventos y puntos dbiles de seguridad de la informacin
y los procedimientos y responsabilidades que se deberan asignar para la
gestin de incidentes y mejoras de seguridad de la informacin.
9. Continuidad del negocio: Se mencionan los aspectos de seguridad que
se deberan tener en cuenta en la gestin de la continuidad del negocio;
ya que al ser una etapa donde la informacin puede estar altamente
expuesta se debe desarrollar e implantar de planes de continuidad que
incluyan la seguridad de la informacin.
10.Requisitos legales: En este apartado se incluyen los aspectos que se
deben observar para el cumplimiento de los requisitos legales y las
polticas y normas de seguridad y cumplimiento tcnico.
Una adecuada gestin de la seguridad de la informacin, es aquella que se
desarrolle de una forma metdica, documentada y basada en unos objetivos
claros de seguridad y una evaluacin de los riesgos y el estndar ISO 27001
provee el marco de trabajo para lograrlo.

You might also like