Professional Documents
Culture Documents
Normas y Estndares
Procedimientos. Procesos. Recursos. Debido a la juventud de la norma, en la actualidad estn desarrollndose en el mundo las primeras certificaciones respecto a ISO 27001. El autor de este artculo participa en una de estas iniciativas en una corporacin espaola.
de otras leyes. Por ejemplo: Ley Orgnica de Proteccin de Datos Personales. Reglamento de Medidas de Seguridad.
hace con la seguridad de la informacin. Por tanto, podra considerarse que ISO 27001 representa la calidad de la seguridad. El objetivo de la seguridad de la informacin es preservar su: Confidencialidad: evitar que la informacin sea utilizada por individuos o procesos no autorizados. Integridad: proteger la precisin y completitud de cualquier cosa que posee valor para una organizacin. Disponibilidad: informacin accesible y utilizable bajo peticin de las entidades autorizadas. ISO 27001 establece los requisitos que debe cumplir un SGSI (Sistema para la Gestin de la Seguridad de la Informacin) para su certificacin en trminos de procesos de seguridad a nivel empresarial.
l igual que la norma ISO 9001 certifica la calidad de las empresas, ISO 27001 lo
La creacin de un SGSI es una decisin estratgica en una organizacin y como tal, debe ser apoyada y supervisada por la direccin
Ley de Firma Electrnica. Ley de Servicios de la Sociedad de la Informacin y Comercio Electrnico. Cdigos de comercio, civil y penal en lo relativo a proteccin de la informacin. Legislacin sectorial aplicable segn la actividad de la empresa. Un SGSI es una parte del sistema de gestin de una organizacin, basado en una aproximacin de los riesgos
N 2
alfonso calvo-.p65
150
14/03/2006, 22:35
152
Normas y Estndares
las TIC que soportan infraestructuras crticas (energa, finanzas, gobierno, telecomunicaciones) aumenta las amenazas y vulnerabilidades de estos sistemas. Todos los participantes en la sociedad de la informacin necesitan unos principios para aumentar el conocimiento y la comprensin de la seguridad de las TIC y desarrollar una cultura de la seguridad. La promocin de una cultura de la
La certificacin ISO 27001 no exime a una organizacin del cumplimiento de otras leyes
seguridad requerir una gran cooperacin entre los participantes, que debera traducirse en una planificacin y gestin concertada de la seguridad. Los principios para desarrollar la cultura de la seguridad son: Conocimiento. Los participantes deberan ser conscientes de la necesidad de la seguridad de las TIC y como podran mejorarla. Responsabilidad. Todos los participantes son responsables de la seguridad de las TIC. Respuesta. Los participantes deberan actuar de una manera oportuna y cooperativa para prevenir, detectar y responder ante los incidentes de seguridad. Un incidente de seguridad es una serie de eventos inesperados que poseen una probabilidad significativa de comprometer el funcionamiento del negocio y amenaza la seguridad de la informacin. tica. Los participantes deberan respetar los legtimos intereses de los otros. Democracia. La seguridad de las TIC debera ser compatible con los valores esenciales de una sociedad democrtica. Evaluacin de riesgos. Los participantes deberan realizar evaluaciones de riesgos, que son procesos globales de anlisis y evaluacin para determinar su trascendencia en la organizacin. Diseo e implementacin de la seguridad. Los participantes deberan incorporar la seguridad como un elemento esencial de las TIC. Gestin de la seguridad. Los participantes deberan adoptar una aproximacin global para la gestin de la seguridad. Re-evaluacin. Los participantes deberan revisar y reevaluar la seguridad de las TIC, realizando las modificaciones apropiadas en las polticas, prcticas, mediciones y procedimientos de seguridad.
PDCA
La creacin de un SGSI es una decisin estratgica en una organizacin y como tal, debe ser apoyada y
N 2
alfonso calvo-.p65
152
14/03/2006, 22:38
Normas y Estndares
153
mar sus entradas en salidas. La identificacin, uso, interaccin y gestin de un conjunto de procesos en una organizacin se denomina aproximacin por procesos. ISO 27001 aplica una aproximacin por procesos para la gestin de la seguridad de la informacin, enfatizando la importancia de los siguientes aspectos: Comprensin de los requisitos de seguridad de la organizacin. Necesidad de establecer una poltica y unos objetivos. Implementar controles para gestionar los riesgos en el contexto del negocio. Monitorizar el rendimiento del SGSI. Mejora continua basada en la medicin de los objetivos. ISO 27001 adopta el modelo PDCA
relevantes para la gestin de los riesgos y mejorar la seguridad de la informacin para entregar resultados satisfactorios con respecto a los objetivos de la organizacin.
La creciente interconectividad de las TIC que soportan infraestructuras crticas aumenta las amenazas y vulnerabilidades de estos sistemas
Hacer: implementar y operar los elementos del SGSI (poltica, controles, procesos y procedimientos). Comprobar: medir el rendimiento de los procesos contra los objetivos del SGSI, notificando los resultados a la direccin para su revisin. Actuar: basndose en las revisiones, realizar acciones preventivas y correctivas para alcanzar la mejora continua del SGSI.
supervisada por la direccin. Su implementacin depende de: los objetivos establecidos, los requisitos de seguridad, los procesos involucrados y la estructura de la organizacin. Cualquier organizacin necesita definir y gestionar muchas actividades para funcionar eficientemente. Un proceso es una actividad que utiliza recursos y los gestiona para transfor-
(Plan-Do-Check-Act, PlanificarHacer-Comprobar-Actuar) que se aplica para estructurar todos los procesos del SGSI y tambin est subyacente en los principios de la OCDE. Las actividades principales asociadas al modelo PDCA aplicadas al SGSI son: Planificar: establecer polticas, objetivos, procesos y procedimientos
N 2
alfonso calvo-.p65
153
14/03/2006, 22:38