ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de
la informacin en una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public en 2005 y fue desarrollada en base a la norma britnica BS 7799-2. ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los mejores especialistas del mundo en el tema y proporciona una metodologa para implementar la gestin de la seguridad de la informacin en una organizacin. Tambin permite que una empresa sea certificada; esto significa que una entidad de certificacin independiente confirma que la seguridad de la informacin ha sido implementada en esa organizacin en cumplimiento con la norma ISO 27001. ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la informacin y muchas empresas han certificado su cumplimiento. El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la informacin en una empresa. Esto lo hace investigando cules son los potenciales problemas que podran afectar la informacin (es decir, la evaluacin de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigacin o tratamiento del riesgo). Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin de riesgos: investigar dnde estn los riesgos y luego tratarlos sistemticamente. Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de polticas, procedimientos e implementacin tcnica (por ejemplo, software y equipos). Sin embargo, en la mayora de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementacin de ISO 27001 estar relacionada con determinar las reglas organizacionales (por ejemplo, redaccin de documentos) necesarias para prevenir violaciones de la seguridad. Como este tipo de implementacin demandar la gestin de mltiples polticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cmo amalgamar todos estos elementos dentro del sistema de gestin de seguridad de la informacin (SGSI).
Por eso, la gestin de la seguridad de la informacin no se acota solamente a la
seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que tambin tiene que ver con la gestin de procesos, de los recursos humanos, con la proteccin jurdica, la proteccin fsica, etc.
Por qu ISO 27001 es importante para su empresa?
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementacin de esta norma para la seguridad de la informacin: Cumplir con los requerimientos legales cada vez hay ms y ms leyes, normativas y requerimientos contractuales relacionados con la seguridad de la informacin. La buena noticia es que la mayora de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodologa perfecta para cumplir con todos ellos. Obtener una ventaja comercial si su empresa obtiene la certificacin y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su informacin. Menores costos la filosofa principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeo, cuesta dinero; por lo tanto, evitndolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversin en ISO 27001 es mucho menor que el ahorro que obtendr. Una mejor organizacin en general, las empresas de rpido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qu hay que hacer, cundo y quin debe hacerlo. La implementacin de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no estn relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados. Cmo es realmente ISO 27001? ISO/IEC 27001 se divide en 11 secciones ms el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementacin), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organizacin debe implementar todos sus requerimientos si quiere cumplir con la norma. Los
controles del Anexo A deben implementarse slo si se determina que
corresponden en la Declaracin de aplicabilidad. De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organizacin Internacional para la Normalizacin, los ttulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestin, lo que permite integrar ms fcilmente estas normas. Seccin 0 Introduccin explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestin. Seccin 1 Alcance explica que esta norma es aplicable a cualquier tipo de organizacin. Seccin 2 Referencias normativas hace referencia a la norma ISO/IEC 27000 como estndar en el que se proporcionan trminos y definiciones. Seccin 3 Trminos y definiciones de nuevo, hace referencia a la norma ISO/IEC 27000. Seccin 4 Contexto de la organizacin esta seccin es parte de la fase de Planificacin del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, tambin define las partes interesadas, sus requisitos y el alcance del SGSI. Seccin 5 Liderazgo esta seccin es parte de la fase de Planificacin del ciclo PDCA y define las responsabilidades de la direccin, el establecimiento de roles y responsabilidades y el contenido de la poltica de alto nivel sobre seguridad de la informacin. Seccin 6 Planificacin esta seccin es parte de la fase de Planificacin del ciclo PDCA y define los requerimientos para la evaluacin de riesgos, el tratamiento de riesgos, la Declaracin de aplicabilidad, el plan de tratamiento de riesgos y la determinacin de los objetivos de seguridad de la informacin. Seccin 7 Apoyo esta seccin es parte de la fase de Planificacin del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciacin, comunicacin y control de documentos y registros. Seccin 8 Funcionamiento esta seccin es parte de la fase de Planificacin del ciclo PDCA y define la implementacin de la evaluacin y el tratamiento de riesgos, como tambin los controles y dems procesos necesarios para cumplir los objetivos de seguridad de la informacin.
Seccin 9 Evaluacin del desempeo esta seccin forma parte de la fase de
Revisin del ciclo PDCA y define los requerimientos para monitoreo, medicin, anlisis, evaluacin, auditora interna y revisin por parte de la direccin. Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua. Anexo A este anexo proporciona un catlogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18). Cmo implementar ISO 27001? Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos: 1) Obtener el apoyo de la direccin 2) Utilizar una metodologa para gestin de proyectos 3) Definir el alcance del SGSI 4) Redactar una poltica de alto nivel sobre seguridad de la informacin 5) Definir la metodologa de evaluacin de riesgos 6) Realizar la evaluacin y el tratamiento de riesgos 7) Redactar la Declaracin de aplicabilidad 8) Redactar el Plan de tratamiento de riesgos 9) Definir la forma de medir la efectividad de sus controles y de su SGSI 10) Implementar todos los controles y procedimientos necesarios 11) Implementar programas de capacitacin y concienciacin 12) Realizar todas las operaciones diarias establecidas en la documentacin de su SGSI 13) Monitorear y medir su SGSI 14) Realizar la auditora interna 15) Realizar la revisin por parte de la direccin 16) Implementar medidas correctivas
Documentacin obligatoria ISO 27001 requiere que se confeccione la siguiente documentacin:
Alcance del SGSI (punto 4.3)
Objetivos y poltica de seguridad de la informacin (puntos 5.2 y 6.2) Metodologa de evaluacin y tratamiento de riesgos (punto 6.1.2) Declaracin de aplicabilidad (punto 6.1.3 d) Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2) Informe de evaluacin de riesgos (punto 8.2) Definicin de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4) Inventario de activos (punto A.8.1.1)
Uso aceptable de los activos (punto A.8.1.3)
Poltica de control de acceso (punto A.9.1.1) Procedimientos operativos para gestin de TI (punto A.12.1.1) Principios de ingeniera para sistema seguro (punto A.14.2.5) Poltica de seguridad para proveedores (punto A.15.1.1) Procedimiento para gestin de incidentes (punto A.16.1.5) Procedimientos para continuidad del negocio (punto A.17.1.2) Requisitos legales, normativos y contractuales (punto A.18.1.1) Y estos son los registros obligatorios: Registros de capacitacin, habilidades, experiencia y calificaciones (punto 7.2) Monitoreo y resultados de medicin (punto 9.1) Programa de auditora interna (punto 9.2) Resultados de auditorias internas (punto 9.2) Resultados de la revisin por parte de la direccin (punto 9.3) Resultados de medidas correctivas (punto 10.1) Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3) ISO/IEC 27002 proporciona directrices para la implementacin de los controles indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede ser bastante til ya que proporciona ms informacin sobre cmo implementar esos controles. A la ISO 27002 anteriormente se la conoca como ISO/IEC 17799 y surgi de la norma britnica BS 7799-1. ISO/IEC 27004 proporciona directrices para la medicin de la seguridad de la informacin; se acopla bien con ISO 27001 ya que explica cmo determinar si el SGSI ha alcanzado los objetivos. ISO/IEC 27005 proporciona directrices para la gestin de riesgos de seguridad de informacin. Es un muy buen complemento para ISO 27001 ya que brinda ms informacin sobre cmo llevar a cabo la evaluacin y el tratamiento de riesgos, probablemente la etapa ms difcil de la implementacin. ISO 27005 ha surgido de la norma britnica BS 7799-3. ISO 22301 define los requerimientos para los sistemas de gestin de continuidad del negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta ltima requiere la implementacin de la continuidad del negocio aunque no proporciona demasiada informacin. Ms informacin sobre ISO 22301 ISO 9001 define los requerimientos para los sistemas de gestin de calidad. Aunque a primera vista la gestin de calidad y la gestin de seguridad de la informacin no tienen mucho en comn, lo cierto es que aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de
documentos, auditora interna , revisin por parte de la direccin, medidas
correctivas, definicin de objetivos y gestin de competencias. Esto quiere decir que si una empresa ha implementado ISO 9001 le resultar mucho ms sencillo implementar ISO 27001. Los 10 pilares bsicos de la norma ISO 27001 En la bsqueda del mejor estndar para gestionar la seguridad de la informacin en una compaa, generalmente los resultados suelen estn alrededor de la serie de normas ISO 27000 ya que rene todos los lineamientos en materia de gestin de seguridad de la informacin. Una de las normas ms importantes, que adems es certificable, es la ISO 27001, la cual est organizada en 11 dominios. A continuacin vamos a tratar 10 de ellos, pues en un post anterior mencionamos lo que se debe tener en cuenta en la poltica de seguridad de la informacin, el undcimo de los dominios de esta norma. 1. Aspectos administrativos: Este dominio se refiere a la asignacin de responsabilidades relativas a la seguridad de la informacin, donde se encuentra el proceso de autorizacin de recursos para el tratamiento de la informacin, los acuerdos de confidencialidad, el manejo de los grupos de inters y la revisin independiente de la seguridad de la informacin. Adems los aspectos que se tienen que tener en cuenta con el manejo de terceros como la identificacin de los riesgos derivados del acceso de terceros y la seguridad en contratos con terceros. 2. Gestin de activos: Este segundo dominio contempla los lineamientos para la gestin de activos que incluye el inventario y las declaraciones de uso de los mismos. Como parte de esta gestin de activos se detallan las directrices para la clasificacin de la informacin. 3. Los recursos humanos y la seguridad de la informacin: El recurso humano es una de las principales fuentes de riesgo para la seguridad de la informacin por lo tanto en este dominio se tratan los aspectos que se deben tener en cuenta antes, durante y despus de la relacin laboral. Se incluyen en este apartado los trminos y condiciones de contratacin, los programas de concienciacin, formacin y capacitacin, los procesos disciplinarios y los puntos a tener en cuenta en caso de cese de la relacin laboral o cambio de puesto de trabajo como pueden ser la devolucin de activos y la suspensin de las credenciales de acceso. 4. Seguridad fsica: Este dominio trata dos aspectos: las reas seguras, donde se incluyen la definicin de permetros de seguridad fsica y los controles fsicos de entrada entre otros aspectos, y la seguridad de los equipos donde se relaciona, entre otras, la seguridad del cableado, el mantenimiento y la seguridad de los equipos fuera de la compaa. 5. Gestin de comunicaciones: Este es el dominio ms amplio, en el se tratan las responsabilidades y procedimientos de operacin, la gestin de los servicios con terceros, la proteccin contra cdigo malicioso, las
copias de seguridad, la seguridad de redes, el intercambio de
informacin, entre otros aspectos. 6. Control de acceso: Como parte de este dominio se desarrollan los lineamientos para la poltica de control de acceso, la gestin de accesos de usuarios, los controles de acceso a la red, al sistema operativo, a las aplicaciones y a la informacin. Adems incluye las consideraciones para el manejo de ordenadores porttiles y teletrabajo. 7. Gestin de sistemas de informacin: Se desarrollan los requisitos de seguridad de los sistemas de informacin, el tratamiento correcto de las aplicaciones, los controles criptogrficos, la seguridad en los procesos de desarrollo y soporte y la gestin de las vulnerabilidades. 8. Gestin de incidentes: Se tratan recomendaciones alrededor de la notificacin de eventos y puntos dbiles de seguridad de la informacin y los procedimientos y responsabilidades que se deberan asignar para la gestin de incidentes y mejoras de seguridad de la informacin. 9. Continuidad del negocio: Se mencionan los aspectos de seguridad que se deberan tener en cuenta en la gestin de la continuidad del negocio; ya que al ser una etapa donde la informacin puede estar altamente expuesta se debe desarrollar e implantar de planes de continuidad que incluyan la seguridad de la informacin. 10.Requisitos legales: En este apartado se incluyen los aspectos que se deben observar para el cumplimiento de los requisitos legales y las polticas y normas de seguridad y cumplimiento tcnico. Una adecuada gestin de la seguridad de la informacin, es aquella que se desarrolle de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos y el estndar ISO 27001 provee el marco de trabajo para lograrlo.