Introduccin La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin.

El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. ISO 27000 ISO 27000 es un conjunto de estndares ya desarrollados y en fase de desarrollo por la ISO (International Organization for Standardization) y la IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Ventajas y Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. y Reduccin del riesgo de prdida, robo o corrupcin de informacin. y Los clientes tienen acceso a la informacin a travs medidas de seguridad. y Los riesgos y sus controles son continuamente revisados. y Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. y Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. y Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001 ). y Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. y Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. y Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. y Confianza y reglas claras para las personas de la organizacin. y Reduccin de costes y mejora de los procesos y servicio. y Aumento de la motivacin y satisfaccin del personal. y Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas. Desventajas No tiene retorno Una vez que se ha empezado el camino de implementacin de la norma ISO-27001, tenemos la opcin de certificar o no. Sea cual fuere la eleccin, el cmulo de actividades realizadas exige un

mantenimiento y mejora continua, sino deja de ser un SGSI, y ello salta a la vista en el muy corto plazo. Es decir no se puede dejar de lado, pues al abandonar un cierto tiempo el SGSI, requerir un esfuerzo similar a lanzarlo de nuevo. Si a su vez se obtiene la certificacin, para que la misma se mantenga en vigencia, anualmente debe ser auditada por la empresa certificadora. Requiere esfuerzo continuo Independientemente de las tareas peridicas que implica una vez lanzado el SGSI para los administradores del mismo, El mantenimiento del nivel alcanzado, requerir inexorablemente es esfuerzo continuo de toda la organizacin al completo.

Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: 1979. Publicacin BS 5750 - ahora ISO 9001 1992. Publicacin BS 7750 - ahora ISO 14001 1996. Publicacin BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS 77993:2006, centrada en la gestin del riesgo de los sistemas de informacin. Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC 27001, que es la norma principal y nica certificable dentro de la serie. En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la historia de ISO 27001 e ISO 17799.

La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye son (toda la informacin disponible pblicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en la pgina web del subcomit JTC1/SC27):
ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. En Espaa, esta norma an no est traducida. El original en ingls y su traduccin al francs pueden descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards. ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la

norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NChISO27001) o Mxico (NMX-I-041/02-NYCE). El original en ingls y la traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012. ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012. ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-

4:2000. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma an no est traducida, sin embargo, s lo est en pases como Mxico (NMX-I-041/05-NYCE), Chile (NCh-ISO27005) o Colombia (NTC-ISOIEC 27005). ISO/IEC 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma an no est traducida, sin embargo, s lo est en Mxico (NMX-I-041/06-NYCE). ISO/IEC 27007: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO/IEC 27008: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en 2012. Es una norma en 2 partes, que consistir en una gua para la gestin de la seguridad de la informacin en comunicaciones inter-sectoriales. ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Est publicada tambin como norma ITU-T X.1051. En Espaa, an no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27012: En fase de desarrollo, con publicacin prevista en 2011. Consistir en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestin de seguridad de la informacin en organizaciones que proporcionen servicios de e-Administracin. ISO/IEC 27013: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de gobierno corporativo de la seguridad de la informacin.

ISO/IEC 27015: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC 27016: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de SGSI relacionada con aspectos econmicos en las organizaciones. ISO/IEC 27031: Publicada el 01 de Marzo de 2011. Describe los conceptos y principios de la tecnologa de informacin y comunicacin (TIC), la preparacin para la continuidad del negocio, y proporciona un marco de mtodos y procesos para identificar y especificar todos los aspectos (como los criterios de rendimiento, diseo y ejecucin) para mejorar la preparacin de una organizacin de las TIC para garantizar la continuidad del negocio. Se aplica a cualquier organizacin (privadas, gubernamentales y no gubernamentales, independientemente de su tamao) el desarrollo de su preparacin para las TIC para el programa de continuidad de negocio (iRBC), y que requieren de sus servicios TIC / infraestructuras para estar listos para apoyar las operaciones de negocios en el caso de las economas emergentes eventos e incidentes, y las interrupciones relacionadas, que podran afectar a la continuidad (incluida la seguridad) de las funciones crticas del negocio. Tambin permite a una organizacin para medir los parmetros de rendimiento que se correlacionan con su preparacin de una manera consistente y reconocida. El alcance de la norma ISO/IEC 27031:2011 abarca todos los eventos e incidentes (incluyendo los relacionados con la seguridad) que podran tener un impacto en la infraestructura de las TIC y los sistemas. Que incluye y ampla las prcticas de manejo de incidentes de seguridad informtica y gestin y planificacin de la preparacin de las TIC y los servicios. El documento toma como referencia el estndar BS 25777. ISO/IEC 27032: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua relativa a la ciberseguridad. ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e implementacin de seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (publicada el 03 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-6, convergencia IP (prevista para 2012); 27033-7, redes inalmbricas (prevista para 2012). ISO/IEC 27034: En fase de desarrollo, con publicacin prevista desde 2011-12. Consistir en varias guas de seguridad para aplicaciones informticas. ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin de grandes y medianas empresas. Las organizaciones ms pequeas pueden utilizar un conjunto bsico de documentos, procesos y rutinas descritas en esta norma internacional, dependiendo de su tamao y tipo de negocio en relacin a la situacin de la informacin y riesgos de seguridad. Tambin proporciona una

gua para las organizaciones externas que proveen informacin de seguridad de los servicios de gestin de incidentes. ISO/IEC 27036: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de seguridad de outsourcing (externalizacin de servicios). ISO/IEC 27037: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de identificacin, recopilacin y preservacin de evidencias digitales. ISO/IEC 27038: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de especificacin para la redaccin digital. ISO/IEC 27039: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua para la seleccin, despliege y operativa de sistemas de deteccin de intrusos. ISO/IEC 27040: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua para la seguridad en medios de almacenamiento. ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El original en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma est publicada en Espaa como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR

Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar.

 Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

mo adaptarse?

Arranque del proyecto

Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Planificacin

Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la informacin del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones fsicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la informacin, etc. Definir poltica del SGSI: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea aprobada por la Direccin. La poltica del SGSI es normalmente un documento muy general, una especie de "declaracin de intenciones" de la Direccin.

 Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de riesgos aceptadas internacionalmente (ver seccin de Herramientas); la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO 27005 s profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir una estrategia de aceptacin de riesgo. Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de informacin. Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing). Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrn de ser justificadas) y otros controles adicionales si se consideran necesarios. Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI: hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que queda, an despus de haber aplicado controles (el "riesgo cero" no existe prcticamente en ningn caso). Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Implementacin

Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior. Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

 Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.

Seguimiento

Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin estn desarrollndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.

 Revisar regularmente la evaluacin de riesgos: los cambios en la organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. Realizar regularmente auditoras internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la informacin. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorizacin y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora continua

Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.
Fundamentales

Compromiso y apoyo de la Direccin de la organizacin.

 Definicin clara de un alcance apropiado. Concienciacin y formacin del personal. Evaluacin de riesgos adecuada a la organizacin. Compromiso de mejora continua. Establecimiento de polticas y normas. Organizacin y comunicacin. Gestin adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalizacin. Integracin del SGSI en la organizacin.
Factores de xito

La concienciacin del empleado por la seguridad. Principal objetivo a conseguir. Realizacin de comits a distintos niveles (operativos, de direccin, etc.) con gestin continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos... Creacin de un sistema de gestin de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso. La seguridad no es un proyecto, es una actividad continua y el programa de proteccin requiere el soporte de la organizacin para tener xito. La seguridad debe ser inherente a los procesos de informacin y del negocio.
Riesgos

Exceso de tiempos de implantacin: con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. No asumir que la seguridad de la informacin es inherente a los procesos de negocio.

 Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Falta de comunicacin de los progresos al personal de la organizacin.
Consejos bsicos

Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un nico centro de proceso de datos o un rea sensible concreta; una vez conseguido el xito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Comprender en detalle el proceso de implantacin: iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que rpidamente sobrecarga de problemas la implantacin; adquirir experiencia de otras implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. La autoridad y compromiso decidido de la Direccin de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarn un muro de excusas para desarrollar las buenas prcticas, adems de ser uno de los puntos fundamentales de la norma. La certificacin como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin por un tercero asegura un mejor enfoque, un objetivo ms claro y tangible y, por lo tanto, mejores opciones de alcanzar el xito. Eso s, la certificacin es la "guinda del pastel", no es bueno que sea la meta en s misma. El objetivo principal es la gestin de la seguridad de la informacin alineada con el negocio. No reinventar la rueda: apoyarse lo ms posible en estndares, mtodos y guas ya establecidos, as como en la experiencia de otras organizaciones. Servirse de lo ya implementado: otros sistemas de gestin (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organizacin son tiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestin. Reservar la dedicacin necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto. Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificacin para demostrar que el SGSI funciona adecuadamente. No precipitarse en conseguir la certificacin.

Mantenimiento y mejora continua: tener en consideracin que el mantenimiento y la mejora del SGSI a lo largo de los aos posteriores requeriran tambin esfuerzo y recursos.