sábado, 9 de abril de 2016

PROYECTO

ISO 27001
El tema que se va a manejar para la materia de Auditoria de Sistemas es ISO 27001

MARCO TEORICO


La norma ISO 27001, es un estándar internacional publicado en octubre de 2005, dedicado a la organización de la información. Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. Es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

La norma plantea un enfoque completo a la seguridad de la información. Los activos que necesitan protección van de la información digital, documentos en papel y activos físicos (computadoras y redes) a conocimientos de los empleados. Las cuestiones que usted tiene que tratar van del desarrollo de competencias del personal a la protección técnica contra los fraudes informáticos.


ISO 27001 la revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización.


La familia de normas ISO 27000 ayuda a las organizaciones a mantener los activos de información segura.


El uso de esta familia de normas ayudará a su organización a administrar la seguridad de los activos como la información financiera, la propiedad intelectual, detalles de los empleados o la información confiada a usted por terceros.


ISO / IEC 27001 es el estándar más conocido de la familia que proporciona requisitos para un sistema de gestión de seguridad de la información (SGSI).


¿Cómo funciona la ISO 27001?


El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).


Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.

Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.


Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).


Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.


¿Por qué ISO 27001 es importante para su empresa?


Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

Cumplir con los requerimientos legales – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.

Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.

Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.

Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.


¿Dónde interviene la gestión de seguridad de la información en una empresa?


Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información:


¿Cómo es realmente ISO 27001?


ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.


De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.


Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.


Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.


Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.


Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.


Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.


Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.


Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.


Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.


Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.


Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.


Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.


Annexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).


¿Cómo implementar ISO 27001?


Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:


1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas


Documentación obligatoria

ISO 27001 requiere que se confeccione la siguiente documentación:


· Alcance del SGSI (punto 4.3)


· Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)


· Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)


· Declaración de aplicabilidad (punto 6.1.3 d)


· Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)


· Informe de evaluación de riesgos (punto 8.2)


· Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)


· Inventario de activos (punto A.8.1.1)


· Uso aceptable de los activos (punto A.8.1.3)


· Política de control de acceso (punto A.9.1.1)


· Procedimientos operativos para gestión de TI (punto A.12.1.1)


· Principios de ingeniería para sistema seguro (punto A.14.2.5)


· Política de seguridad para proveedores (punto A.15.1.1)


· Procedimiento para gestión de incidentes (punto A.16.1.5)


· Procedimientos para continuidad del negocio (punto A.17.1.2)


· Requisitos legales, normativos y contractuales (punto A.18.1.1)


Y estos son los registros obligatorios:


· Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)


· Monitoreo y resultados de medición (punto 9.1)


· Programa de auditoría interna (punto 9.2)


· Resultados de auditorias internas (punto 9.2)


· Resultados de la revisión por parte de la dirección (punto 9.3)


· Resultados de medidas correctivas (punto 10.1)


· Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)


Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad adicionales si lo considera necesario.


Cuatro fases del sistema de gestión de seguridad de la información


La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.






Las fases son las siguientes:



La Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles).


La Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior.


La Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos.


La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.


El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI.






La Fase de planificación






Esta fase está formada por los siguientes pasos:






· Determinación del alcance del SGSI;


· Redacción de una Política de SGSI;


· Identificación de la metodología para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos;


· Identificación de activos, vulnerabilidades y amenazas;


· Evaluación de la magnitud de los riesgos;


· Identificación y evaluación de opciones para el tratamiento de riesgos;


· Selección de controles para el tratamiento de riesgos;


· Obtención de la aprobación de la gerencia para los riesgos residuales;


· Obtención de la aprobación de la gerencia para la implementación del SGSI;


· Redacción de una declaración de aplicabilidad que detalle todos los controles aplicables, determine cuáles ya han sido implementados y cuáles no son aplicables.


· La Fase de implementación






Esta fase incluye las siguientes actividades:






· Redacción de un plan de tratamiento del riesgo que describe quién, cómo, cuándo y con qué presupuesto se deberían implementar los controles correspondientes;


· Implementación de un plan de tratamiento del riesgo;


· Implementación de los controles de seguridad correspondientes;


· Determinación de cómo medir la eficacia de los controles;


· Realización de programas de concienciación y capacitación de empleados;


· Gestión del funcionamiento normal del sgsi;


· Gestión de los recursos del sgsi;


· Implementación de procedimientos para detectar y gestionar incidentes de seguridad.






La Fase de verificación






Esta fase incluye lo siguiente:






· Implementación de procedimientos y demás controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.;


· Revisiones periódicas de la eficacia del sgsi;


· Medición la eficacia de los controles;


· Revisión periódica de la evaluación de riesgos;


· Auditorías internas planificadas;


· Revisiones por parte de la dirección para asegurar el funcionamiento del sgsi y para identificar oportunidades de mejoras;


· Actualización de los planes de seguridad para tener en cuenta otras actividades de supervisión y revisión;


· Mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del sgsi.


·


La fase de mantenimiento y mejora






Esta fase incluye lo siguiente:






· Implementación en el SGSI de las mejoras identificadas;


· Toma de medidas correctivas y preventivas y aplicación de experiencias de seguridad propias y de terceros;


· Comunicación de actividades y mejoras a todos los grupos de interés;


· Asegurar que las mejoras cumplan los objetivos previstos.


·


¿Cómo obtener la certificación?


Simplificamos el proceso de certificación. Después de recibir su solicitud, nombramos a un gestor de clientes que le orientará a usted y a su empresa a lo largo de los siguientes pasos.


1. Gap Analysis
Se trata de un servicio opcional de evaluación previa, en el que estudiamos con atención su sistema de Gestión de Seguridad de la Información existente y lo comparamos con los requisitos de la norma ISO/IEC 27001. Esto le ayuda a identificar las áreas que requieren más esfuerzo antes de que llevemos a cabo una Auditoría formal, lo que le ahorra tiempo y dinero.






2. Auditoría formal
Se produce en dos fases. En primer lugar, revisamos el nivel de preparación de su organización para la auditoría comprobando si se han desarrollado los procedimientos y controles necesarios para la ISO/IEC 27001. Compartiremos con usted los detalles de nuestras conclusiones para que pueda cubrir aquellas deficiencias que podamos encontrar. Si se cumplen todos los requisitos, evaluaremos la implantación de los procedimientos y los controles en su organización, para asegurar que funcionen de forma eficaz, tal como se exige para la certificación.






3. Después de la certificación Tras haber aprobado la Auditoría formal, recibirá un certificado ISO/IEC 27001, que tendrá una validez de tres años.
Su gestor de clientes estará en contacto con usted durante este tiempo y le hará visitas con regularidad para asegurarse de que el sistema no quede anclado en la conformidad, sino que mejore continuamente.






Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado.


Para obtener la certificación como organización, se debe implementar la norma tal como se explicó en las secciones anteriores y luego se debe aprobar la auditoría que realiza la entidad de certificación. La auditoría de certificación se realiza siguiendo estos pasos:


· 1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la documentación.


· 2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI.


· Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los auditores verificarán si la empresa mantiene su SGSI.


Las personas pueden asistir a diversos cursos para obtener certificados. Los más populares son:


· Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores.


· Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información.


· Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a principiantes en este tema y a auditores internos.






Como se mencionó anteriormente, la norma ISO 27001 fue publicada por primera vez en 2005 y luego fue revisada en 2013; por lo tanto, la versión válida actual es la ISO/IEC 27001:2013.


Los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos.


Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en su conjunto, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA, por sus siglas en inglés). Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc.






WEBGRAFIA






http://advisera.com/27001academy/es/que-es-iso-27001/


http://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/Certificacion-para-ISO-27001/


http://www.gedesaintegral.com/seguridad-de-la-informacion/iso-27001/


http://www.academia.edu/12359362/iso_27001


https://prezi.com/jybydgutpodo/generalidades-iso-27001/

http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
Publicado por en
Etiquetas:

3 comentarios:

  1. Arya Rishi27 de noviembre de 2020, 9:23

    Thank you for bringing to a halt my long search topic. I really benefited from your content

    ISO 27001 Curso de Auditor Principal

    ResponderEliminar
  2. James Paul29 de noviembre de 2020, 18:35

    This post is really nice and informative. The explanation given is really comprehensive and informative..

    sertifikat iso

    ResponderEliminar
  3. Saisha18 de enero de 2021, 7:23

    I know Laura well and she is principled, thoughtful, and extremely bright...more power to her!
    iso 20000 certification singapore

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)