{"id":6311,"date":"2015-04-25T00:03:07","date_gmt":"2015-04-24T22:03:07","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=6311"},"modified":"2015-04-25T00:05:01","modified_gmt":"2015-04-24T22:05:01","slug":"cuestiones-sobre-el-sistema-de-gestion-de-la-seguridad-de-la-informacion-iso-27001","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/cuestiones-sobre-el-sistema-de-gestion-de-la-seguridad-de-la-informacion-iso-27001\/","title":{"rendered":"Cuestiones sobre el Sistema de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n ISO 27001"},"content":{"rendered":"

Consideraciones sobre el Sistema de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n ISO 27001<\/strong><\/p>\n

La norma\/est\u00e1ndar UNE ISO\/IEC 27000:2013 es un est\u00e1ndar para la seguridad de la informaci\u00f3n aprobado y publicado como est\u00e1ndar internacional en octubre de 2005 por\u00a0International Organization for Standardization<\/a>\u00a0y por la comisi\u00f3n\u00a0International Electrotechnical Commission<\/a>.<\/p>\n

En el campo de la tecnolog\u00eda de la informaci\u00f3n, ISO e IEC han establecido un comit\u00e9 t\u00e9cnico conjunto, el ISO\/IEC JTC1<\/strong><\/p>\n

Esta norma especifica los requisitos<\/strong> necesarios para establecer, implantar, mantener y mejorar<\/strong> un SGSI<\/strong> (Sistema de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n) seg\u00fan el conocido PDCA<\/strong> o \u201cCiclo de Demming<\/strong>\u201d. Acr\u00f3nimo de Plan (planificar), Do (hacer), Check (verificar), Act (actuar). Estas acciones son vitales, siendo m\u00e1s laboriosa la planificaci\u00f3n, si partimos de cero. Podremos apoyarnos en herramientas inform\u00e1ticas, diagramas de actividad, bases de datos, Gantt, etc.<\/p>\n

\"PDCA\"<\/p>\n

La seguridad de la informaci\u00f3n, seg\u00fan ISO 27001, consiste en la preservaci\u00f3n de su confidencialidad, integridad y disponibilidad, as\u00ed como de los sistemas implicados en su tratamiento, dentro de una organizaci\u00f3n. Para metaforizar y recordar esto, pilares vitales en la norma, yo suelo usar la frase,”Nos movemos en tierras del CID”.<\/strong><\/p>\n

En Espa\u00f1a en el\u00a02004<\/strong>\u00a0se public\u00f3 la\u00a0UNE 71502\u00a0titulada\u00a0Especificaciones para los Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n (SGSI)<\/i>\u00a0y que fue elaborada por el comit\u00e9 t\u00e9cnico AEN\/CTN 71. Es una adaptaci\u00f3n nacional de la norma brit\u00e1nica British Standard BS 7799-2:2002.<\/p>\n

Con la publicaci\u00f3n de UNE-ISO\/IEC 27001 (traducci\u00f3n al espa\u00f1ol del original ingl\u00e9s) dej\u00f3 de estar vigente la\u00a0UNE 71502\u00a0y las empresas nacionales certificadas en esta \u00faltima est\u00e1n pasando progresivamente sus certificaciones a UNE-ISO\/IEC 27001<\/b>.<\/p>\n

En un mundo donde cada vez m\u00e1s la gesti\u00f3n TI es externalizada (outsourcing) a sistemas que no son propiedad de la organizaci\u00f3n, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protecci\u00f3n de informaci\u00f3n a \u201cnuestras partes interesadas\u201d<\/strong> (clientes y los propios departamentos de la Organizaci\u00f3n).<\/p>\n

La norma\/est\u00e1ndar es una soluci\u00f3n de mejora continua<\/strong> m\u00e1s adecuada para evaluar los riesgos f\u00edsicos y l\u00f3gicos<\/strong> estableciendo estrategias y controles<\/strong> adecuados que aseguren una permanente protecci\u00f3n y salvaguarda de la informaci\u00f3n<\/strong>.<\/p>\n

Seguimos …<\/p>\n

<\/p>\n

La piedra angular de este sistema es el an\u00e1lisis y gesti\u00f3n de los riesgos<\/strong> basados en los procesos<\/strong> de negocio y servicios<\/strong> de TI. (CRM, ERP, BI, redes sociales, movilidad, cloud, BYOD, etc …)<\/p>\n

Es necesario destacar que, como todo sistema de gesti\u00f3n, tiene adem\u00e1s del PDCA unos indicadores<\/strong> (objetivo de la m\u00e9trica)\u00a0 y m\u00e9tricas<\/strong> para la medici\u00f3n de la eficacia y eficiencia<\/strong> de los controles.<\/p>\n

Un determinado riesgo es la suma de factores analizados relacionados.<\/p>\n

El porcentaje de controles para un SGSI suele ser 20% de tecnolog\u00eda( seguridad de los sistemas y datos, IDS, firewall, antivirus, seguridad f\u00edsica) y 80% de gesti\u00f3n (control de las medidas de seguridad, planificaci\u00f3n).<\/p>\n

Disponer de un SGSI de acuerdo a ISO 27001 implica el desarrollo de un modelo de gobierno de la seguridad basado en un programa de an\u00e1lisis<\/strong> y gesti\u00f3n de los riesgos<\/strong> que afectan a la informaci\u00f3n y los sistemas, personas, instalaciones, etc… donde son procesados.<\/p>\n

Existe un marco de gesti\u00f3n de riesgos en fases:<\/p>\n

1- Contexto: Objetivos, caracterizaci\u00f3n de la organizaci\u00f3n, terceras partes.\u00a02- Evaluaci\u00f3n: Identificaci\u00f3n, impactos de las amenazas, calcular los riegos.\u00a03-Tratamiento,\u00a04- Aceptaci\u00f3n,\u00a05- Comunicaci\u00f3n.\u00a0La norma incluye un nuevo rol llamado el risk owner.<\/p>\n

El hecho de incorporar un sistema de gesti\u00f3n ISO 27001, ayuda a la integraci\u00f3n de otros sistemas como el ISO 2000o, el ISO 22301, el ISO 9001,y el ISO 38500.<\/p>\n

Este modelo propone de dos\u00a0certificaciones superiores, una para la gesti\u00f3n de servicios TI (20000) y el Gobierno de TI (38500), y alguna otra m\u00e1s relacionada, como muestro en la imagen inferior.<\/strong><\/p>\n

\"Modelo-aenor-de-gobierno-y-gestion-tic-iso\"<\/a><\/strong><\/p>\n

Actualmente la versi\u00f3n existente es 2013, respecto a la 2005 que incorpora las siguientes cambios<\/b>:<\/p>\n

Cambios de la 27001:2013<\/strong><\/span><\/p>\n