En la sociedad moderna de la información yel conocimiento, las empresas se encargandel procesamiento de datos empresariales através de sistemas de TI complejos yrápidos. La tecnología de la informaciónfacilita muchos de los procesos, pero

también entraña riesgos. Por tanto, unaprotección integral de datos e informaciónconfidencial es especialmente importante.La fiabilidad y seguridad de la tecnología dela información se convertirá en el factordecisivo para el éxito de una empresa.

Sistema de gestión de seguridad de la información ISO/IEC 27001

ISO/IEC 27001Sistema de Gestión de Seguridad de la Información

TÜV SÜD Iberia, S.L.U.

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 1

¿Por qué la norma ISO / IEC 27001?La seguridad de la información es cada vez más importante. Así pues, la información es un factor decisivo para el éxito de una empresa. Es, por tanto, de máxima prioridad,administrar y proteger la información. Los datos que se procesan electrónicamenteespecialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentanlas exigencias de seguridad como la disponibilidad, confidencialidad e integridad. Esto implica la protección de los sistemas de información y comunicación frente a lasofensivas crecientes en la red, así como, por ejemplo, la prevención de pérdidas por robo y los daños causados por acciones externas, o la minimización de las consecuenciasprovocadas por el comportamiento negligente del ser humano.

Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas y técnicas no son suficientes Un comportamiento consciente de todos los trabajadoressobre la seguridad de la información es un requisito previo para conseguir una protecciónintegral de datos. La implementación de un Sistema de Gestión de Seguridad de laInformación (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresasen la identificación sistemática y el análisis de riesgos, que surgen con el uso de lainformación, hasta la implementación y el mantenimiento de mecanismos adecuados devigilancia y control.

¿Qué se consigue con un Sistema de Gestiónde Seguridad de la Información (SGSI)?Un Sistema de Gestión de Seguridad de la Información es un proceso continuo, basado en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicaciónestructurada de todos los aspectos básicos de seguridad. Gracias al mismo puedeidentificar y analizar sus posibles riesgos, identificar sus necesidades de actuación yrealizar las medidas necesarias, que se pueden supervisar y optimizar continuamente. De esta manera, siempre tiene a la vista los principales objetivos de seguridad.

Proteja el conocimiento y, así, los valores de su empresa. Aproveche las excelentesventajas de un SGSI según la ISO / IEC 27001:

• Mejor comprensión de las exigencias delnegocio

• Protección de la información ante lasamenazas

• Fácil identificación de las debilidades• Disponibilidad continua de la información y así garantizar una continua actividadcomercial

• Alto nivel de confianza con sus colaboradores• Disminución del riesgo de dañar la imagencorporativa

2

El ciclo

PDCA PLAN

ACT

CHECK

DO

PLAN

ACT

CHECK

DO

PLAN

ACT

CHECK

DO

(PLANIFICAR)

(ACTUAR)

(VERIFICAR)

(HACER)

(PLANIFICAR)

(ACTUAR)

(VERIFICAR)

(HACER)

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 2

¿Cuáles son los fundamentos de la Seguridad dela Información?La norma ISO / IEC 27 001 considera como las tres principales características de lainformación: la disponibilidad, la confidencialidad y la integridad. Estas características sonfundamentales en todos los requisitos externos que tiene que cumplir la empresa.

La información no sólo debe cumplir con los requisitos formales, sino que también debencorresponder a distintas expectativas. Los principales aspectos son la credibilidad, laresponsabilidad, la constancia y la confianza.

El Sistema de Gestión de Seguridad de la Información (SGSI) toma en consideración todoslos enfoques de la información y no se centra sólo en su uso electrónico:

• La información es más que simplemente almacenar y procesar • La seguridad de la información no sólo abarca la seguridad TI• Seguridad significa confidencialidad, integridad y disponibilidad• La gestión no es únicamente sistemas técnicos y herramientas

3

Disponibilidad

Disponibilidad de la información crítica para la empresa

Información

Confidencialidad Integridad

Sólo personas autorizadaspueden acceder a la

información

Fiabilidad y exhaustividadde la información crítica

para la empresa

Disponibilidad

Requisitos

Integridad

Confidencialidad

Responsabilidad

Constancia

Confianza

Credibilidad

Expectativas

Información

Datos TI

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 3

4

Ciclo PDCA

Gestión y responsabilidad

Documentación

Formación

Revisión por parte de la dirección

Auditorías internas

Identificación

Valoración

Implementación de controles

Sistema de gestión basado en la ISO 9001Resumen del

contenido

ISO/IEC 27001

80 %

20 %

Determinación de controles de seguridad por medio de:

• Seguridad en la fase de diseño y desarrollo• Gestión de incidentes en la Seguridad de la Información

• Procedimientos de emergencia• Cumplimiento

¿Qué requiere la Seguridad de la Información?El campo de la Seguridad de la Información incluye la tecnología, que se preocupa por laseguridad de los sistemas TI y los datos almacenados en los mismos, así como la gestiónde todos los procesos relacionados. Existe pues una reflexión esencial de conjunto;únicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar unaprotección fiable se necesita más bien una planificación estructurada, así como un controlde todas las medidas de seguridad.

TecnologíaSistemas, herramientas, estructura etc.

GestiónPolítica y responsabilidad de la seguridad de la

información, conocimiento y formación, reporting,

continuidad empresarial, procesos etc.

¿Qué contiene la ISO / IEC 27001?La norma ISO / IEC 27001 consta de dos partes: el sistema de gestión y las medidas(controls) necesarias, que deben considerarse en cualquier caso. El siguiente gráfico es un esquema del contenido de ambas partes.

Sistema de gestión

Gestión de riesgos

Definición de valores

Los controles (controls) afectan a los siguientes aspectos:

• Seguridad física y del entorno• Seguridad ligada a los RRHH• Seguridad de comunicaciones y operaciones

• Control de accesos

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 4

5

Paso 1

Paso 3

6 pasos para la

implementación

Paso 5

Paso 4

Paso 6

Identificación del riesgo

Grado de aceptacióndel riesgo

Niveles de riesgoidentificado

Criterio 1

Criterio 2

Identificación de lasdebilidades

Identificación de activos yevaluación

Valorar lasconsecuencias

Identificación de las amenazas

Listado deriesgos de laempresa

Paso 2

¿Cómo se implementa la ISO/IEC 27001Las seis fases necesarias para la implementación de un Sistema de Gestión de Seguridadde la Información conforme a la ISO/IEC 27001 son:

Definición del alcance (scope) y los límites de SGSIEl ámbito de aplicación aclara y establece en qué campos aplica elSistema de Gestión de Seguridad de la Información.

Definición de la política de la seguridad de la informaciónDeterminación de la política de seguridad de la información para elámbito de aplicación definido.

Identificación de los activos de la empresa (assets) y sus riesgosasociados. ¿Dónde están las debilidades? ¿Qué amenazas tenemos quetener en cuenta?

Control de riesgos¿Qué riesgos se corren? ¿son asumibles?

Control necesario Riesgo asumible

Fijación de controles y objetivos de control.

Definición de la Declaración de Aplicabilidad, la conocida SOA(Statement of Applicability), de la norma ISO/IEC 27001. Consiste en unresumen de las decisiones tomadas en relación al tratamiento del riesgo.

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 5

¿Cuáles son los factores de éxito?Para conseguir una implementación de su Sistema de Gestión de Seguridad de laInformación con éxito conforme a la ISO/IEC 27001, tiene que tomar en consideración lossiguientes factores:

6

La política de Seguridad de la Información,medidas y objetivos

El modelo PDCA

Apoyo y aprobación de la dirección

Buena comprensión de la valoración y gestión de riesgos

Conocimiento de la política de Seguridad de la Información

Preparación de presupuestos para todas las actividades de Gestión de Seguridad de

la Información

Crear concienciación de los problemas TI

Configuración de un proceso eficaz frente aincidentes de Seguridad de la Información

Garantía de eficiencia y mejora del Sistemade Gestión de Seguridad de la Información

deben estar orientados a los objetivos

de la empresa

debe estar de acuerdo con la estructura

de la empresa

a todos los niveles de la organización

Formación a todos los implicados

Formación de directivos, empleados entre otros

Planificación de costes de forma realista

Introducir conceptos TI en los planes

de formación

Fijación de requisitos claros

Elaboración de un sistema de indicadores

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 6

¿Cómo se desarrolla la Certificación?El Proceso de Certificación conforme a la ISO 27001 consta de dos fases. La Fase 1 de laauditoría sirve principalmente para conocer su empresa y su importancia para la seguridad.En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma.

Fase I de la auditoría:Ámbito de aplicación y alcance• Comprensión y documentación• Definición del grado de preparación para la certificación (Fase II)

Fase II de la auditoría de certificación• Comprobación de cumplimiento de los requisitos de la norma y sueficacia

• Visita a las instalaciones, verificación in situ y elaboración del informe

Vigencia:• Certificado para 3 años • Auditoría anual

Entrega del Certificado y del Sello de Calidad de la Información una vez superada la Certificación.

Un Certificado significa una visión de futuroAnuncie su éxito a sus empleados, proveedores, colaboradores y clientes.

Haga publicidad de su empresa apoyándose en nuestra fuerte marca y mencione el valor añadido que le ofrece en su comunicación empresarial tanto interna como externa. Por ejemplo, en el marco de campañas de marketing.

Incluya nuestro Sello de Calidad de la Información en su página Web, folletos, prospectos y artículos de papelería de su empresa.

7

Fase I de la auditoría

Fase II de la auditoría inicial de certificación

Auditoría demantenimiento

Auditoría demantenimiento

Auditoría derenovación

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 7

www.tuev-sued.es

TÜV SÜD Iberia, S.L.U.

C/Frederic Mompou, 4A, 1o 4a

08960 Sant Just Desvern (Barcelona) España Tel: +34-93 490 22 20 Fax: +34 - 93 490 29 04 info@tuev-sued.es www.tuev-sued.es

Resumen En el mundo empresarial el tratamiento específico de la información adquiere cada vez unpapel más importante. Sólo las personas autorizadas deben tener acceso siempre y encualquier momento a la información disponible. Al mismo tiempo, también se tiene que tomaren consideración los requisitos a exigir a las partes externas, como clientes y autoridades,para tener acceso a la información.

Sólo por medio de un procedimiento estructurado a través de un Sistema de Gestión de laSeguridad de la Información se cumplen todas las exigencias que afectan a unaorganización. Si este SGSI también lo audita y certifica un especialista externo, se abrennuevas posibilidades de marketing y comunicación gracias a nuestro sello de calidad de lainformación.

Mayo 2012/13 ES

0039_ISO IEC 27001_es_Layout 1 25.04.12 12:07 Seite 8