Pub Doc Tabla Aen 9393 1

7/27/2019 Pub Doc Tabla Aen 9393 1

http://slidepdf.com/reader/full/pub-doc-tabla-aen-9393-1 1/21

Guía de aplicación de laNorma UNE-ISO/IEC 27001

sobre seguridad ensistemas de información

para pymes

2.ª edición

Luis Gómez Fernández

Ana Andrés Álvarez



Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes.2.ª edición

Autores: Luis Gómez Fernández y Ana Andrés Álvarez

© AENOR (Asociación Española de Normalización y Certificación), 2012

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-749-2

Depósito Legal: M-15948-2012

Impreso en España - Printed in Spain

Edita: AENOR

Maqueta y diseño de cubierta: AENOR

Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 [email protected] • www.aenor.es



Índice

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Objeto de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1. Introducción a los Sistemas de Gestión de Seguridad dela Información (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.1. Definición de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.2. El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.3. La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.3.2. Objeto y campo de aplicación de la norma . . . . . . . . . . . . 17

1.4. La Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.4.2. Objeto y campo de aplicación . . . . . . . . . . . . . . . . . . . . . . 18

1.5. El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . . 18

1.5.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.5.2. Objeto y campo de aplicación . . . . . . . . . . . . . . . . . . . . . . 19

1.6. Términos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2. Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . 23

2.1. Requisitos generales del sistema de gestión de la seguridad . . . . . . . 23

2.2. Establecimiento y gestión del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.2.1. Establecimiento del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.2.2. Definición del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . 27

2.2.3. Definición de la política de seguridad . . . . . . . . . . . . . . . . . 28



Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 4

2.2.4. Identificación de los activos de información . . . . . . . . . . . . 28

2.2.5. Definición del enfoque del análisis de riesgos . . . . . . . . . . . 29

2.2.6. Cómo escoger la metodología del análisis de riesgos . . . . . 302.2.7. Tratamiento de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.2.8. Selección de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.2.9. Gestión de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

2.2.10. Declaración de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . 32

2.2.11. Implementación y puesta en marcha del SGSI . . . . . . . . . . . 33

2.2.12. Control y revisión del SGSI . . . . . . . . . . . . . . . . . . . . . . . . 33

2.2.13. Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . . 34

2.3. Requisitos de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.4. Compromiso de la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.5. Gestión de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

2.6. Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

2.7. Auditorías internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.8. Revisión por la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

2.8.1. Entradas a la revisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

2.8.2. Salidas de la revisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

2.9. Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

2.9.1. Acción correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

2.9.2. Acción preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

3. Comprender la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . 45

3.1. Valoración y tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . 46

3.2. Política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

3.3. Organización de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

3.4. Gestión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

3.5. Seguridad ligada a los recursos humanos . . . . . . . . . . . . . . . . . . . . 50

3.6. Seguridad física y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

3.7. Gestión de comunicaciones y operaciones . . . . . . . . . . . . . . . . . . . . 53



Índice 5

3.8. Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

3.9. Adquisición, desarrollo y mantenimiento de los sistemas . . . . . . . . . . 64

3.10. Gestión de las incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

3.11. Gestión de la continuidad del negocio . . . . . . . . . . . . . . . . . . . . . . 68

3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

4. Definición e implementación de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . 73

4.1. El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

4.2. Documentación del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

4.3. Política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764.4. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

4.5. Análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

4.6. Gestión de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

4.7. Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

4.8. Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

4.9. Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.10. Revisión por la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.11. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

5. Proceso de certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

6. Relación entre los apartados de la norma y la documentación del sistema . . 93

7. Correspondencia entre las Normas UNE-EN ISO 9001:2008,UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007 . . . . . . . . . . . . 97

8. Caso práctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

8.1. Documentación de la política de seguridad . . . . . . . . . . . . . . . . . . . 101

8.1.1. Política de seguridad de la información . . . . . . . . . . . . . . . 101

8.1.2. Definición del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

8.1.3. Organización e infraestructura de seguridad . . . . . . . . . . . . 103

8.1.4. Clasificación de la información . . . . . . . . . . . . . . . . . . . . . 104

8.1.5. Análisis de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . 104

8.2. Documentación del inventario de activos . . . . . . . . . . . . . . . . . . . . . 1058.2.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105



Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 6

8.2.2. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

8.2.3. Relación proceso de negocio-activos . . . . . . . . . . . . . . . . . 106

8.2.4. Valoración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

8.3. Documentación del Análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 107

8.3.1. Valoración del riesgo por activos . . . . . . . . . . . . . . . . . . . . 107

8.3.2. Tramitación del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

8.4. Documentación de la Gestión de riesgos . . . . . . . . . . . . . . . . . . . . . 110

8.4.1. Valoración del riesgo por activos . . . . . . . . . . . . . . . . . . . . 110

8.5. Documentación de la Declaración de aplicabilidad . . . . . . . . . . . . . 114

8.5.1. Controles aplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

8.6. Documentación del Plan de tratamiento del riesgo . . . . . . . . . . . . . . 123

8.6.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

8.6.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

8.6.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

8.6.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

8.6.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

8.6.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

8.7. Documentación del Procedimiento de auditorías internas . . . . . . . . . 1258.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125


8.7.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

8.7.5. Requisitos de documentación . . . . . . . . . . . . . . . . . . . . . . . 128

8.7.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

8.7.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

8.8. Documentación del Procedimiento para las copias de seguridad . . . . 1318.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132


8.8.4. Términos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

8.8.5. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

8.8.6. Requisitos de documentación . . . . . . . . . . . . . . . . . . . . . . . 134

8.8.7. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

8.8.8. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134



9. Comprender el Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . 137

9.1. Generalidades del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

9.2. Principios básicos del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

9.3. Requisitos mínimos de seguridad del ENS . . . . . . . . . . . . . . . . . . . . 140

9.3.1. Organización e implementación del proceso de seguridad . . 140

9.3.2. Análisis y gestión de los riesgos . . . . . . . . . . . . . . . . . . . . . 140

9.3.3. Gestión de personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

9.3.4. Profesionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

9.3.5. Autorización y control de los accesos . . . . . . . . . . . . . . . . . 141

9.3.6. Protección de las instalaciones . . . . . . . . . . . . . . . . . . . . . . 141

9.3.7. Adquisición de nuevos productos de seguridad . . . . . . . . . . 142

9.3.8. Seguridad por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

9.3.9. Integridad y actualización del sistema . . . . . . . . . . . . . . . . . 142

9.3.10. Protección de la información almacenada y en tránsito . . . . 143

9.3.11. Prevención ante otros sistemas de informacióninterconectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

9.3.12. Registro de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

9.3.13. Incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

9.3.14. Continuidad de la actividad . . . . . . . . . . . . . . . . . . . . . . . . 144

9.3.15. Mejora continua del proceso de seguridad . . . . . . . . . . . . . 144

9.3.16. Soporte al cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . 144

9.4. Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

9.4.1. Comunicaciones electrónicas . . . . . . . . . . . . . . . . . . . . . . . 145

9.4.2. Auditoría de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 146

9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . . 146

9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . . 146

9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . 147

9.4.6. Actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

9.4.7. Categorización de los sistemas . . . . . . . . . . . . . . . . . . . . . 147

9.4.8. Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

10. Implementación del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

10.1. El plan de adecuación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

10.2. Adecuación al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

10.2.1. Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15210.2.2. Implementación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

7Índice



10.2.3. Verificación y validación . . . . . . . . . . . . . . . . . . . . . . . . . . 154

10.2.4. Actualización y mejora continua . . . . . . . . . . . . . . . . . . . . . 155

11. Ejemplo práctico: plan de adecuación . . . . . . . . . . . . . . . . . . . . . . . . . . 157

11.1. Documentación de la política de seguridad . . . . . . . . . . . . . . . . . . . 157

11.2. Documentación de la categoría del sistema . . . . . . . . . . . . . . . . . . . 158

11.2.1. Criterios de valoración de los activos . . . . . . . . . . . . . . . . . 158

11.2.2. Categorización de sistemas . . . . . . . . . . . . . . . . . . . . . . . . 158

11.3. Documentación del análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 160

11.3.1. Metodología de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 160

11.3.2. Valoración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16011.3.3. Mapas de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

11.3.4. Nivel de riesgo aceptable . . . . . . . . . . . . . . . . . . . . . . . . . 161

11.4. Documentación de la declaración de aplicabilidad . . . . . . . . . . . . . 164

11.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

11.6. Plan de mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

12. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Legislación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Otros documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Links de interés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

Norma UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

8 Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes



Introducción

La información es el principal activo de muchas organizaciones y precisa ser prote-gida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio.

En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentancada vez más con riesgos e inseguridades procedentes de una amplia variedad de

contingencias, las cuales pueden dañar considerablemente tanto los sistemas de infor-mación como la información procesada y almacenada.

Ante estas circunstancias, las organizaciones han de establecer estrategias y contro-les adecuados que garanticen una gestión segura de los procesos del negocio, pri-mando la protección de la información.

Para proteger la información de una manera coherente y eficaz es necesario imple-mentar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sis-tema es una parte del sistema global de gestión, basado en un análisis de los riesgosdel negocio, que permite asegurar la información frente a la pérdida de:

• Confidencialidad: sólo accederá a la información quien se encuentre autori-zado.

• Integridad: la información será exacta y completa.

• Disponibilidad: los usuarios autorizados tendrán acceso a la informacióncuando lo requieran.

La seguridad total es inalcanzable, pero mediante el proceso de mejora continuadel sistema de seguridad se puede conseguir un nivel de seguridad altamente satis-factorio, que reduzca al mínimo los riesgos a los que se está expuesto y el impactoque ocasionarían si efectivamente se produjeran.



El objeto de esta publicación es facilitar la comprensión de los diversos conceptosinvolucrados en un sistema de gestión normalizado y contemplar las recomenda-ciones generales para la implementación de un SGSI en una pyme, utilizando lanorma de facto en el mercado internacional para ello, la Norma UNE-ISO/IEC27001. También se ofrece una visión general de cómo hacerlo en el caso de utilizar elmodelo del Esquema Nacional de Seguridad (ENS), obligatorio por ley en nuestro

país, para la protección de los sistemas que soportan la administración electrónica, visión también particularmente de interés para pymes que proporcionen servicios TIC a las Administraciones Públicas.

Tanto la Norma UNE-ISO/IEC 27001 como el ENS, facilitan la mejora en segu-ridad, aunque pueden resultar de difícil aplicación para aquellos que no esténfamiliarizados con los conceptos que tratan.

Esta guía no pretende ser preceptiva (existen infinidad de formas de implementarcorrectamente la norma y el ENS), sino informativa, proporcionando explicaciones

básicas de los requisitos de la norma y orientando respecto a la manera en que sepueden cumplir esos requisitos.

Generalmente, una primera aproximación a la norma puede infundir desconfianzaen cuanto a la capacidad de la empresa para poder llevar a cabo todos los requeri-mientos que expresa. Muchos términos no se utilizan en la actividad cotidiana deuna pyme, tales como riesgos, amenazas, vulnerabilidades. Además, exige una seriede tareas desconocidas en la operativa habitual, tales como la realización de un aná-lisis de riesgos y la selección de controles. Para complicar más las cosas, se hacereferencia a la Norma UNE-ISO/IEC 27002, que especifica una amplia gama de

controles de seguridad a implementar, en numerosos casos, con una gran carga decontenido técnico. Los objetivos, controles e indicaciones contenidos en la Norma

Objeto de esta guía



UNE-ISO/IEC 27002 pueden llegar a ser muy difíciles de valorar por un gestorque no cuente con la información o la formación adecuada, hecho que le impediría

decidir cabalmente sobre cuál es su relevancia para la empresa y las consecuenciasde la implementación o no de un determinado control en ella.

Esta guía pretende suplir semejantes carencias, proporcionando información deta-llada sobre el significado práctico de los requisitos de la norma y explicando conejemplos cómo se pueden realizar, teniendo siempre en cuenta la situación inicial,los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles,ya que sin contar con esto ningún sistema de gestión se hallará bien diseñado y, porlo tanto, estará condenado al fracaso.

Para una mejor comprensión de las implicaciones de los diversos requisitos de lanorma, esta guía incluye un ejemplo práctico, basado en una empresa ficticia, conla documentación básica que debe incluir un SGSI e indicaciones sobre la informa-ción que debe recoger cada documento.




1.1. Definición de un SGSI

Un Sistema de Gestión de Seguridad de la Información (SGSI), según la NormaUNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en unenfoque de riesgo empresarial, que se establece para crear, implementar, operar,supervisar, revisar, mantener y mejorar la seguridad de la información. Esto signi-

fica que se va a dejar de operar de una manera intuitiva y se va a empezar a tomarel control sobre lo que sucede en los sistemas de información y sobre la propiainformación que se maneja en la organización. Nos permitirá conocer mejor nues-tra organización, cómo funciona y qué podemos hacer para que la situaciónmejore.

La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluyetanto la organización como las políticas, la planificación, las responsabilidades, lasprácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la docu-mentación de soporte como las tareas que se realizan. Los sistemas de gestión que

definen las normas ISO siempre están documentados, ya que, por un lado, es lamejor manera de formalizar normas e instrucciones y, por otro, son más fáciles detransmitir y comunicar, cosa que no sucedería si se confía en un traspaso de infor-mación verbal informal.

La norma es compatible con el resto de las normas ISO para sistemas de gestión(UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura y requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de lossistemas de gestión que existan en la empresa para no duplicar esfuerzos.

Incluso cuando no exista un sistema de gestión formal, el amplio conocimientoactual de estos sistemas hace que las principales características de la norma sean

1Introducción a los

Sistemas de Gestiónde Seguridad de laInformación (SGSI)




comprensibles para la mayoría de la gente, y que para explicarla en detalle seasuficiente con incidir en las diferencias fundamentales, a saber, que con un SGSI

lo que tratamos es de gestionar la seguridad de la información de nuestraorganización.

1.2. El ciclo de mejora continua

Para establecer y gestionar un sistema de gestión de la seguridad de la informaciónse utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en lossistemas de gestión de la calidad (véase la figura 1.1). El ciclo PDCA es un con-

cepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo poralgunos de los más sobresalientes personajes del mundo de la calidad. Esta meto-dología ha demostrado su aplicabilidad y ha permitido establecer la mejora conti-nua en organizaciones de todas clases.

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” ( Plan-Do-Check-Act , de sussiglas en inglés), tiene una serie de fases y acciones que permiten establecer unmodelo de indicadores y métricas comparables en el tiempo, de manera que sepueda cuantificar el avance en la mejora de la organización:

• Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y diseña elprograma, sistematizando las políticas a aplicar en la organización, cuáles sonlos fines a alcanzar y en qué ayudarán a lograr los objetivos de negocio, quémedios se utilizarán para ello, los procesos de negocio y los activos que lossoportan, cómo se enfocará el análisis de riesgos y los criterios que se segui-rán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad.

• Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI.Las políticas y los controles escogidos para cumplirlas se implementan

mediante recursos técnicos, procedimientos o ambas cosas a la vez, y se asig-nan responsables a cada tarea para comenzar a ejecutarlas según las instruc-ciones.

• Check. Esta fase es la de monitorización y revisión del SGSI. Hay que con-trolar que los procesos se ejecutan como se ha establecido, de manera eficazy eficiente, alcanzando los objetivos definidos para ellos. Además, hay que verificar el grado de cumplimiento de las políticas y procedimientos, identi-ficando los fallos que pudieran existir y, hasta donde sea posible, su origen,mediante revisiones y auditorías.



151. Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)

• Act . Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efec-tuando las acciones preventivas y correctivas necesarias para rectificar los

fallos, detectados en las auditorías internas y revisiones del SGSI, o cualquierotra información relevante para permitir la mejora permanente del SGSI.

La mejora continua es un proceso en sí mismo. Debe entenderse como la mejoraprogresiva de los niveles de eficiencia y eficacia de una organización en un pro-ceso continuo de aprendizaje, tanto de sus actividades como de los resultadospropios.

Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzoinnecesario tratar de implementar un SGSI perfecto en un primer proyecto de este

tipo. El objetivo debería ser diseñar un SGSI que se ajuste lo más posible a la reali-dad de la organización, que contemple las medidas de seguridad mínimas e impres-cindibles para proteger la información y cumplir con la norma, pero que consumapocos recursos e introduzca el menor número de cambios posibles. De esta manera,el SGSI se podrá integrar de una forma no traumática en la operativa habitual de laorganización, dotándola de herramientas con las que hasta entonces no contaba quepuedan demostrar su eficacia a corto plazo.

La aceptación de este primer SGSI es un factor de éxito fundamental. Permitirá a

la organización ir mejorando su seguridad paulatinamente y con escaso esfuerzo.

ActTomar acciones correctivasy preventivas

Revisar y auditar el SGSI

Definir política y alcance

Implementar el SGSI

Plan

Check Do

Figura 1.1. Ciclo PDCA




1.3. La Norma UNE-ISO/IEC 27001

1.3.1. Origen de la norma

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotéc-nica Internacional) constituyen el sistema especializado para la normalización anivel mundial. Los organismos nacionales que son miembros de ISO o IEC parti-cipan en el desarrollo de las normas internacionales a través de comités técnicosestablecidos por las organizaciones respectivas para realizar acuerdos en camposespecíficos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran enlos campos de interés mutuo.

En el campo de la tecnología de la información, ISO e IEC han establecido uncomité técnico conjunto, el denominado ISO/IEC JTC 1 ( Joint Technical Commit-tee 1). Los borradores de estas normas internacionales, adoptadas por la unión deeste comité técnico, son enviados a los organismos de las diferentes naciones parasu votación. La publicación como norma internacional requiere la aprobación de,por lo menos, el 75% de los organismos nacionales que emiten su voto.

La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Insti-tuto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del sub-

comité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelocon su aprobación por los organismos nacionales miembros de ISO e IEC.

Una vez que fue publicada la Norma ISO/IEC 17799-1 (actualmente se corres-ponde con la Norma ISO/IEC 27002), Reino Unido (BSI) y España (AENOR)elevaron al comité internacional sus normas nacionales sobre las especificaciones delos sistemas de gestión de la seguridad de la información (SGSI), BS 7799-2 y UNE 71502 respectivamente, siendo estas normas el origen de lo que finalmenteacabo publicándose como norma internacional ISO/IEC 27001 en el año 2005,que fue adoptada como norma española UNE-ISO/IEC 27001 en el año 2007,

tras un periodo de convivencia con la norma anteriormente mencionada.

Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 están enproceso de revisión internacional, y se espera que se publiquen las nuevas versionesa lo largo del año 2013.

Como se ha comentado anteriormente, este estándar internacional adopta tambiénel modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora con-tinua que consiste en planificar, desarrollar, comprobar y actuar en consecuenciacon lo que se haya detectado al efectuar las comprobaciones. De esta manera se

conseguirá ir refinando la gestión, haciéndola más eficaz y efectiva.




1.3.2. Objeto y campo de aplicación de la norma

La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sis-temas de gestión, está pensada para que se emplee en todo tipo de organizaciones(empresas privadas y públicas, entidades sin ánimo de lucro, etc.), sin importar eltamaño o la actividad.

Esta norma especifica los requisitos para la creación, implementación, funciona-miento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado,teniendo en cuenta los riesgos empresariales generales de la organización. Es decir,explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdocon las necesidades de una organización o de partes de la misma, pero no aclara

mediante qué procedimientos se ponen en práctica. Por ejemplo, uno de los princi-pales requisitos es la realización de un análisis de riesgos con unas determinadascaracterísticas de objetividad y precisión, pero no aporta indicaciones de cuál es lamejor manera de llevar a cabo dicho análisis. Puede ejecutarse con una herramientacomercial, con una aplicación diseñada expresamente para la empresa, mediantereuniones, entrevistas, tablas o cualquier otro método que se estime oportuno. Todos estos recursos servirán para cumplir la norma, siempre y cuando se observenlos requisitos de objetividad del método, los resultados sean repetibles y lametodología se documente.

1.4. La Norma UNE-ISO/IEC 27002

1.4.1. Origen

La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico con-

junto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el con-tenido es idéntico, diferenciándose únicamente en la numeración, que ha sidomodificada en el marco de la creación de la familia de normas ISO 27000.

Esta norma se está desarrollando dentro de una familia de normas internacionalessobre Sistemas de Gestión de la Seguridad de la Información (SGSI). Tal familiaincluye normas internacionales sobre requisitos, gestión del riesgo, métricas y mediciones, así como una guía de implementación de los sistemas de gestión de laseguridad de la información. Dicha familia de normas tiene un esquema de nume-ración que utilizará los números de la serie 27000.



1.4.2. Objeto y campo de aplicación

La Norma UNE-ISO/IEC 27002 establece las directrices y principios generalespara el comienzo, la implementación, el mantenimiento y la mejora de la gestiónde la seguridad de la información en una organización. Es un catálogo de buenasprácticas, obtenido a partir de la experiencia y colaboración de numerosos partici-pantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmenteaceptados para la gestión de la seguridad de la información.

Los objetivos de control y los controles de esta norma internacional tienen comofin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efec-tivas de gestión de la seguridad. Por ello, la elección de los controles permanece

sujeta a lo detectado en un análisis de riesgos previo, y el grado de implementaciónde cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguri-dad identificados y a los recursos disponibles de la organización para alcanzar así un balance razonable entre seguridad y coste.

1.5. El Esquema Nacional de Seguridad (ENS)

1.5.1. Origen

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Ser- vicios Públicos está siendo el motor y la guía de la administración electrónica. Estaley ha dado paso a una nueva etapa en la gestión de la Administración Pública,impulsando la adopción de los medios tecnológicos actualmente disponibles pararealizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administra-ción Pública en contextos más adecuados a la realidad social.

Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse conlas Administraciones Públicas por medios electrónicos con la misma validez que

por los medios tradicionales, y estipula que éstas utilicen las tecnologías de la infor-mación asegurando la disponibilidad, el acceso, la integridad, la autenticidad, laconfidencialidad y la conservación de los datos, informaciones y servicios que ges-tionen en el ejercicio de sus competencias. También determina que la herramientapara conseguir este objetivo será el Esquema Nacional de Seguridad, que estable-cerá una política de seguridad en la utilización de medios electrónicos, y contarácon unos principios básicos y una serie de requisitos mínimos que permitirán unaprotección adecuada de los sistemas y la información.

El ENS está regulado por el Real Decreto 3/2010, de 8 de enero, que recoge losrequisitos técnicos y organizativos que se deben cumplir para proteger la informa-ción dentro del ámbito de aplicación del mismo. Por tanto, se puede decir que trata





la protección de la información y de los servicios en el ámbito de la administraciónelectrónica y que, a la luz de principios y requisitos generalmente reconocidos,

exige la gestión continuada de la seguridad, aplicando un sistema de gestión deseguridad de la información.

1.5.2. Objeto y campo de aplicación

El objeto del ENS es garantizar la seguridad de los servicios prestados mediantemedios electrónicos, de manera que los ciudadanos puedan realizar cualquier trá-mite con la confianza de que va a tener validez jurídica plena y que sus datos van aser tratados de manera segura.

Toda la Administración Pública española, Administración General del Estado, Administraciones de las Comunidades Autónomas, Administraciones Locales, así como las entidades de derecho público vinculadas o dependientes de las mismas,están sujetas al cumplimiento de los requisitos del ENS.

Su ámbito de aplicación son los sistemas de información, los datos, las comunica-ciones y los servicios electrónicos, que permitan a los ciudadanos y a las Adminis-traciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través demedios electrónicos.

1.6. Términos y definiciones

Para cumplir con las intenciones de este documento, conviene aclarar el significadode ciertos términos y definiciones:

• Activo

Cualquier bien que tiene valor para la organización.

[ISO/IEC 13335-1:2004]

• Disponibilidad

La propiedad de ser accesible y utilizable por una entidad autorizada.

[ISO/IEC 13335-1:2004]

• Confidencialidad

La propiedad por la que la información no se pone a disposición o se revela

a individuos, entidades o procesos no autorizados.[ISO/IEC 13335-1:2004]



• Seguridad de la información

La preservación de la confidencialidad, la integridad y la disponibilidad de la

información, pudiendo, además, abarcar otras propiedades, como la autenti-cidad, la responsabilidad, la fiabilidad y el no repudio.

[ISO/IEC 17799:2005]

• Evento de seguridad de la información

La ocurrencia detectada en un estado de un sistema, servicio o red que indicauna posible violación de la política de seguridad de la información, un fallode las salvaguardas o una situación desconocida hasta el momento y que

puede ser relevante para la seguridad.[ISO/IEC TR 18044:2004]

• Incidente de seguridad de la información

Un único evento o una serie de eventos de seguridad de la información, ines-perados o no deseados, que tienen una probabilidad significativa de compro-meter las operaciones empresariales y de amenazar la seguridad de la infor-mación.

[ISO/IEC TR 18044:2004]

• Sistema de Gestión de la Seguridad de la Información (SGSI) [ InformationSecurity Management System, ISMS]

La parte del sistema de gestión general, basada en un enfoque de riesgoempresarial, que se establece para crear, implementar, operar, supervisar, revi-sar, mantener y mejorar la seguridad de la información.

Nota: el sistema de gestión incluye la estructura organizativa. las políticas, las actividadesde planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y

los recursos.

• Integridad

La propiedad de salvaguardar la exactitud y completitud de los activos.

[ISO/IEC 13335-1:2004]

• Riesgo residual

Riesgo remanente que existe después de que se hayan tornado las medidas

de seguridad.[ISO/IEC Guide 73:2002]




• Aceptación del riesgo

La decisión de aceptar un riesgo.

[ISO/IEC Guide 73:2002]

• Análisis de riesgos

Utilización sistemática de la información disponible para identificar peligrosy estimar los riesgos.


• Evaluación de riesgos

El proceso general de análisis y estimación de los riesgos.


• Estimación de riesgos

El proceso de comparación del riesgo estimado con los criterios de riesgo,para así determinar la importancia del riesgo.


• Gestión de riesgos Actividades coordinadas para dirigir y controlar una organización con res-pecto a los riesgos.


• Tratamiento de riesgos

El proceso de selección e implementación de las medidas encaminadas amodificar los riesgos.

[ISO/IEC Guide 73:2002].Nota: en esta norma internacional, el término “control” se utiliza como sinónimo de“medida de seguridad.”

• Declaración de aplicabilidad

Declaración documentada que describe los objetivos de control y los contro-les que son relevantes para el SGSI de la organización y aplicables al mismo.

Nota: los objetivos de control y los controles se basan en los resultados y conclusiones dela evaluación de riesgos y en los procesos de tratamiento del riesgo, en los requisitos lega-les o reglamentarios, en las obligaciones contractuales y en las necesidades empresarialesde la organización en materia de seguridad de la información.


Pub Doc Tabla Aen 9393 1

Documents

Transcript of Pub Doc Tabla Aen 9393 1