Por Hugo López Reyes
La información es sin lugar a dudas uno de los activos más importantes de cualquier organización y requiere de una protección adecuada. La seguridad de la información protege a su organización de una amplia gama de amenazas y riesgos, busca garantizar la confidencialidad, disponibilidad e integridad de su información, reduciendo los daños potenciales y maximizando el retorno de la inversión y las oportunidades de negocio.
La información es la columna vertebral de la que dependen las organizaciones y existe en muchas formas y medios. Está impresa ó escrita en papel, se almacena, envía y transmite en medios electrónicos y redes de comunicaciones (como internet), se tiene en video ó audio y se maneja en nuestras conversaciones diarias. En un ambiente tan competido es un activo muy valioso y está expuesta constantemente a distintas amenazas, las cuales pueden ser internas, externas, accidentales ó deliberadas. Al utilizar cada vez más tecnología, se han abierto las puertas al número y tipos de amenazas.
La creciente exposición a violaciones de seguridad y el valor creciente de la información para la organización, determinan la necesidad de que las empresas protejan de manera sistemática su activo más importante: “La Información”. Un Sistema de Gestión de la Seguridad de la Información es una forma sistemática de manejar y administrar la información sensible de una compañía para reducir los riesgos de acceso no autorizado, alteración y pérdida de la información. Abarca a las personas, los procesos, las tecnologías de la información y toda la información de la empresa sin importar en que forma se encuentre.
Su organización debe establecer un Sistema de Gestión de la Seguridad de la Información, el cual le permita asegurar la confidencialidad, disponibilidad e integridad de la información Corporativa, de sus Clientes y Proveedores. La norma ISO/IEC 27001:2005 provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.
En esta norma se define la seguridad de la información como la preservación de la confidencialidad, integridad y disponibilidad de la información. Estas propiedades de la información la podemos definir de la siguiente manera:
Confidencialidad: Acceden a la información únicamente quienes están autorizados, trátese de personas, entidades o procesos.
Integridad: La información es precisa, confiable y completa.
Disponibilidad: La información está disponible cuanto la necesitan quienes están autorizados a acceder a ella.
La norma ISO/IEC 27001:2005 parte de una adecuada Gestión de Riesgos, podemos decir entonces que se trata de un Sistema de Gestión de la Seguridad de la información que contiene dentro de él, y como parte toral y fundamental, a un Sistema de Gestión de Riesgos.
La Gestión de Riesgos de la Seguridad de la información parte de una adecuada valoración de los riesgos, la cual incluye la definición de una metodología para llevarla cabo, la definición del criterio de aceptación de riesgos, la adecuada identificación de: activos, amenazas, vulnerabilidades, impactos (por la pérdida de de confidencialidad, integridad y disponibilidad) y la evaluación del riesgo, para de esta forma identificar las opciones de tratamiento de riesgos, seleccionar controles cuando sea aplicable (utilizando como base el Anexo A de la norma, en primera instancia, más los controles adicionales que se consideren necesarios), determinar los riesgos residuales, documentar todo el proceso (en particular el Documento de Aplicabilidad) y una vez obtenida la aprobación de la alta dirección estaremos en condiciones de formular el Plan de Tratamiento de Riesgos e implementarlo. Por supuesto debemos implementar, mantener, monitorear, revisar y mejorar, para completar el ciclo de la Gestión de Riesgos.
La norma cuenta con un Anexo A el cual identifica 37 objetivos de control y 133 controles, la norma no pide que todos sean implementados, pero solicita que aquellos que no lo sean se documente la justificación de su exclusión.
La norma ISO/IEC 27001:2005 ha sido objeto de una gran atención y trabajo, de tal forma que se cuenta con una cantidad muy importante de documentos, ya publicados o bien que se planea sean publicados, de los cuales incluimos a continuación algunos de ellos:
-
ISO/IEC 27000 : 2009 – Information technology — Security techniques — Information security management systems — Overview and vocabulary
-
ISO/IEC 27001 : 2005 – Information technology — Security techniques — Information security management systems — Requirements (Certificable) (BS7799-2)
-
ISO/IEC 27002 : 2005 – Information technology — Security techniques — Code of practice for information security management (ISO/IEC 17799:2005 BS7799-1:2005)
-
ISO/IEC 27003 : 2010 – Information technology — Security techniques — Information security management system implementation guidance
-
ISO/IEC 27004 : 2009 – Information technology — Security techniques — Information security management — Measurement
-
ISO/IEC 27005 : 2011 – Information technology — Security techniques — Information security risk management (ISO/IEC 27005: 2008, BS7799-3:2006)
-
ISO/IEC 27006 : 2007 – Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
-
ISO/IEC 27011 : 2008 – Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
-
ISO/IEC 27799 : 2008 – Health informatics — Information security management in health using ISO/IEC 27002
-
etc.
El ciclo PHCA resume el contenido de la Norma ISO/IEC 27001:2005:
-
Planear: Establecer el SGSI: Establecer la política, objetivos, procesos y procedimientos relevantes del SGSI para gestionar el riesgo y mejorar la seguridad de la información, para entregar resultados de acuerdo con las políticas y objetivos de la organización.
-
Hacer: Implementar y operara el SGSI: Implementar y operar la política, controles, procesos y procedimientos.
-
Checar: Monitorear y revisar el SGSI: Evaluar y, donde aplique, medir el rendimiento de los procesos en relación a la política del SGSI, objetivos y experiencia práctica, y reportar los resultados a la dirección para su revisión.
-
Actuar: Mantener y mejorar el SGSI: Tomar acciones correctivas y preventivas basados en los resultados de auditorías internas al SGSI, revisiones de la dirección o alguna otra información relevante, para lograr la mejora continua del SGSI.
Contenido de la Norma ISO/IEC 27001:2005:
0 Introducción
0.1 Generalidades0.2 Enfoque basado en procesos
1 Objeto y campo de aplicación
1.1 Generalidades1.2 Aplicación
2 Referencias normativas
3 Terminología
4 Sistema de Gestión de la Seguridad de la Información (SGSI)
4.1 Requisitos Generales4.2 Establecer y gestiona el SGSI4.2.1 Establecer el SGSI4.2.2 Implementación y operación del SGSI4.2.3 Monitoreo y Revisión del SGSI4.2.4 Mantener y mejorar el SGSI4.3 Requerimientos de documentación4.3.1 General4.3.2 Control de Documentos4.3.3 Control de Registros
5 Responsabilidad de la Dirección
5.1 Compromiso de la Dirección5.2 Gestión de recursos5.2.1 Provisión de recursos5.2.2 Entrenamiento, concientización y competencias
6. Auditorías internas del SGSI
7 Revisión por la Dirección del SGSI
7.1 Generalidades7.2 Información para la revisión7.3 Resultados de la revisión
8 Mejoras al SGSI
8.1 Mejora continua8.2 Acción correctiva8.3 Acción preventiva
ANEXO A
Incluimos a continuación los objetivos de control documentados en el Anexo A de la norma, no debemos olvidar que este anexo documenta 133 controles, los cuales no se incluyen aquí.
A.5 Política de Seguridad
A.5.1. Política de seguridad de la información
A.6 Organización de la Seguridad de la Información
A.6.1 Organización internaA.6.2. Partes externas
A.7 Gestión de Activos
A.7.1 Responsabilidad por los activosA.7.2 Clasificación de la información
A.8 Seguridad de los recursos humanos
A.8.1 Previo al empleoA.8.2 Durante el empleoA.8.3 Terminación o cambio de empleo
A.9 Seguridad física y ambiental
A.9.1 Areas segurasA.9.2 Equipo de seguridad
A.10 Gestión de las comunicaciones y operaciones
A.10.1 Procedimientos de operación y responsabilidadesA.10.2 Gestión de la prestación de servicios de tercerosA.10.3 Planeación y aceptación de sistemasA.10.4 Protección contra código malicioso y móvilA.10.5 RespaldoA.10.6 Gestión de la seguridad de la redA.10.7 Manejo de media de almacenamientoA.10.8 Intercambio de informaciónA.10.9 Servicios de comercio electrónicoA.10.10 Monitoreo
A.11 Control de acceso
A.11.1 Requisitos del negocio para control de accesoA.11.2 Gestión del acceso de los usuariosA.11.3 Responsabilidades de los usuariosA.11.4 Control de acceso a la redA.11.5 Control de acceso al sistema operativoA.11.6 Control de acceso a las aplicaciones e informaciónA.11.7 Cómputo móvil y trabajo remoto
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información
A.12.1 Requisitos de seguridad de los sistemas de informaciónA.12.2 Procesamiento correcto en las aplicacionesA.12.3 Controles criptográficosA.12.4 Seguridad de los activos del sistemaA.12.5 Seguridad en los procesos de desarrollo y soporteA.12.6 Gestión de la vulnerabilidad técnica
A.13 Gestión de incidentes de seguridad de la información
A.13.1 Reporte de eventos y debilidades de la seguridad de la informaciónA.13.2 Gestión de incidentes y mejoras de la seguridad de la información
A.14 Gestión de la continuidad del negocio
A.14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio
A.15 Cumplimiento
A.15.1 Cumplimiento con los requisitos legalesA.15.2. Cumplimiento con políticas y estándares de seguridad y cumplimiento técnicoA.15.3 Consideraciones de auditoría de los sistemas de información
En la siguiente liga podrá encontrar una presentación sobre este tema SEGURIDAD EN LA INFORMACION.pdf
Ing. Hugo López
Experto en sistemas de gestión enfocados a organizaciones de TI: Sistemas de Gestión de la Calidad (ISO 9001), Sistemas de Gestión de Seguridad de la Información (ISO27001), Sistemas de Gestión de Servicios de Tecnología de la Información (ISO20000), ITIL, COBIT, Gestión de Riegos.
Cuenta con más de 25 años de experiencia en la industria de TI, tanto a nivel nacional como internacional, cubriendo puestos gerenciales y directivos en
• IBM
• Hitachi Data Systems
• StorageTek
• Gobierno Mexicano (diferentes secretarías de estado y paraestatales)
• Hitachi Data Systems
• StorageTek
• Gobierno Mexicano (diferentes secretarías de estado y paraestatales)
En estas organizaciones fue responsable del diseño, planeación, implementación, administración, operación y soporte de soluciones de software, hardware, redes, telecomunicaciones, administración de activos, proyectos de outsourcing, etcétera. Fue reconocido en diversas ocasiones por su labor (Excellence Award, Management Excellence Award, Golden Circle Membership).
Si usted desea que publiquemos un articulo o colaboración favor de mandarlo a la siguiente dirección joseluis.arreola@calidad.com.mx