Conceptos bsicos

SGSI son las siglas utilizadas para referirse a un Sistema de Gestin de la Seguridad de la Informacin, una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones. Adems del concepto central sobre el que se construye la norma ISO 27001. En este apartado se an a tratar los conceptos ms importantes relacionados con este tipo de sistemas de cara a tener una nocin bsica de los Sistemas de Gestin de la Seguridad de la Informacin a la hora de enfrentarse a su implantacin y, si as! lo desea la empresa, a su certificacin.

Concepto de un SGSI
SGSI son las siglas utilizadas para referirse a un Sistema de Gestin de la Seguridad de la Informacin, una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones. Adems del concepto central sobre el que se construye la norma IS" 27001. #ado que la informacin es uno de los activos ms importantes de toda organizacin, requiere $unto a los procesos y sistemas que la mane$an, ser protegidos con enientemente frente a amenazas que puedan poner en peligro la continuidad de los ni eles de competiti idad, rentabilidad y conformidad legal necesarios para alcanzar los ob$eti os de la organizacin. Actualmente, la mayor parte de la informacin reside en equipos informticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de informacin. Estos sistemas de informacin estn su$etos a riesgos e inseguridades tanto desde dentro de la propia organizacin como desde fuera. A los riesgos fsicos %accesos no autorizados a la informacin, catstrofes naturales & fuego, inundaciones, terremotos ... & , andalismo, ' hay que sumarle los riesgos lgicos % irus, ataques de denegacin de ser icio, '. Es posible disminuir de forma significati a el impacto de los riesgos sin necesidad de realizar grandes in ersiones en soft(are y sin contar con una gran estructura de personal. )ara ello se hace necesario conocer afrontar de manera ordenada los riesgos a los que est sometida la informacin, y a tra *s de la participacin acti a de toda la organizacin, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una e aluacin de riesgos y en una medicin de la eficacia de los mismos. El Sistema de Gestin de la Seguridad de la Informacin %SGSI' en las empresas ayuda a establecer estas polticas! procedimientos controles en relacin a los ob"etivos de negocio de la organi#acin, con ob$eto de mantener siempre el riesgo por deba$o del ni el asumible por la propia organizacin. )ara los responsables de la entidad es una herramienta, ale$ada de tecnicismos, que les ofrece una isin global sobre el estado de sus sistemas de informacin, las medidas de seguridad que se estn aplicando y los resultados que se estn obteniendo de dicha aplicacin. +odos estos datos permiten a la direccin una toma de decisiones sobre la estrategia a seguir. En definiti a, con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin los gestiona mediante una sistemtica definida, documentada y conocida por todos, que se re isa y me$ora constantemente.

$ormativa
,ormati a -,E.IS" /0112 IS" /011/ IS" /011/ %documentacin'

3on el fin de proporcionar un marco de Gestin de la Seguridad de la Informacin utilizable por cualquier tipo de organizacin, independientemente de su tama4o o acti idad, se ha creado un con$unto de estndares ba$o el nombre de IS"5IE3 /0111. A seme$anza de otras normas IS", la /0111 es realmente una serie de estndares. A continuacin se incorpora una relacin con la serie de normas IS" /0111 y una descripcin de las ms significati as6 7amilia de normas /0111 $orma ISO%I&C 'tulo ISO 27000 Gestin de la Seguridad de la Informacin6 7undamentos y ocabulario. ISO 27001 Especificaciones para un SGSI. ISO 27002 3digo de 8uenas )rcticas. ISO 2700( Gu!a de Implantacin de un SGSI. ISO 2700) Sistema de 9*tricas e Indicadores. ISO 2700* Gu!a de Anlisis y Gestin de :iesgos. ISO 2700+ Especificaciones para "rganismos 3ertificadores de SGSI. ISO 27007 Gu!a para auditar un SGSI. ISO 2701, Gu!as sectoriales. ISO 27,,, 7uturas normas.

-$&.ISO 27001
Esta norma es la definicin de los procesos de gestin de la seguridad, por lo tanto, es una especificacin para un SGSI y, en este momento, es la ;nica norma 3ertificable, dentro de la familia IS" /0111. En su Ane<o A aparecen los ob$eti os de control y los controles que se desarrollan con ms profundidad en la ,orma IS" /011/.

ISO 27002
=a IS" /011/ iene a ser un cdigo de buenas prcticas en el que se recoge un catlogo de los controles de seguridad y una gu!a para la implantacin de un SGSI. Al igual que el Ane<o A de la IS" /0112, se compone de 22 dominios, >? ob$eti os de seguridad y 2>> controles de seguridad. 3ada uno de los dominios conforma un cap!tulo de la norma y se centra en un determinado aspecto de la seguridad de la informacin. En el siguiente dibu$o se muestra la distribucin de dichos dominios y el aspecto de seguridad que cubren6 #istribucin de los dominios de la ,orma IS" /011/

ISO 27002 /documentacin0

=a pretensin de esta normati a es la elaboracin de un SGSI que minimice los riesgos que se hayan detectado en los Anlisis de :iesgos hasta un ni el asumible por la organizacin, en relacin siempre a los ob$eti os de negocio. Es importante destacar que cualquier medida de proteccin que se haya implantado debe quedar perfectamente documentada. =a documentacin que se genera con la implantacin del SGSI se estructurar de la siguiente forma6 +ipos de documentacin

#onde las 1olticas sientan las bases de la seguridad constituyendo la redaccin de los ob$eti os generales y las implantaciones que ha lle ado a cabo la organizacin. )retenden indicar las l!neas generales para conseguir los ob$eti os marcados sin entrar en detalles t*cnicos. #eben ser conocidas por todo el personal de la organizacin. =os 1rocedimientos desarrollan los ob$eti os marcados en la )ol!ticas. En ellos s! que aparecer!an detalles ms t*cnicos y se concreta cmo conseguir los ob$eti os e<puestos en las )ol!ticas. ,o es necesario que los conozcan todas las personas de la organizacin sino, ;nicamente, aquellas que lo requieran para el desarrollo de sus funciones. =as Instrucciones constituyen el desarrollo de los )rocedimientos. En ellos se llega hasta describir los comandos t*cnicos que se deben realizar para la e$ecucin de dichos )rocedimientos. @ por ;ltimo los 2egistros e idencian la efecti a implantacin del SGSI y el cumplimiento de los requisitos. En este punto tambi*n es importante el contar con una serie de indicadores o m3tricas de seguridad que permitan e aluar la consecucin de los ob$eti os de seguridad establecidos.

4odelo 15C6
9odelo )#3A 7ases del 9odelo )#3A +odos los Sistemas de Gestin de la Seguridad de la Informacin se basan en la necesidad de que la Seguridad de la Informacin est* en continua e olucin y que, adems, dicha e olucin est* documentada y $ustificada. El modelo en el que se basa el SGSI es denominado 4odelo 15C6 %A)lan.#o.3hecB.ActA' que se representa en la siguiente figura6 9odelo )#3A

1lanificar
En esta primera fase se realiza un estudio de la situacin de la "rganizacin %desde el punto de ista de la seguridad', para estimar las medidas que se an a implantar en funcin de las necesidades detectadas. Cay que tener en cuenta que no toda la informacin de la que dispone la organizacin tiene el mismo alor, e igualmente, no toda la informacin est sometida a los mismos riesgos. )or ello un hito importante dentro de esta fase es la realizacin de un 6nlisis de 2iesgos que ofrezca una aloracin de los acti os de informacin y las ulnerabilidades a las que estn e<puestos. As! mismo se hace necesario una Gestin para dichos riesgos de cara a reducirlos en la medida de lo posible. El resultado de este Anlisis y Gestin de :iesgos ser establecer una serie de prioridades en las tareas a realizar para minimizar dichos riesgos. )uesto que los riesgos nunca an a desaparecer totalmente, es importante que la #ireccin de la "rganizacin asuma un riesgo residual, as! como las medidas que se an a implantar para reducir al m!nimo posible dicho riesgo residual.

&"ecutar
En esta fase se lle a a cabo la implantacin de los controles de seguridad escogidos en la fase anterior. En dicha implantacin se instalarn dispositi os f!sicos %, , ...', pero tambi*n se crear o re isar la documentacin necesaria %pol!ticas, procedimientos, instrucciones y registros'. #entro de esta fase es muy importante dedicar un tiempo a la concienciacin personal de la empresa de cara a que conozcan los controles implantados. formacin del

7erificar
Es importante que la "rganizacin disponga de mecanismos que le permitan e aluar la eficacia y *<ito de los controles implantados. Es por esto que toman especial importancia los registros %e idencias' que de$an los diferentes controles, as! como los indicadores que permiten erificar el correcto funcionamiento del SGSI.

6ctuar
En esta fase se lle arn a cabo las labores de mantenimiento del sistema as! como las labores de me"ora de correccin si, tras la erificacin, se ha detectado alg;n punto d*bil. Esta fase se suele lle ar en paralelo con la erificacin y se act;a al detectarse la deficiencia, no se suele esperar a tener la fase de erificacin completada para comenzar con las tareas de me$ora y correccin.

8ases de Implantacin
#e acuerdo con este modelo %)#3A', la metodolog!a de implantacin de un SGSI en una )@9E contempla los pasos que se detallan en las siguientes etapas. )ara cada una de ellas se identifican las acciones cla e a lle ar a cabo.

&stablecimiento del SGSI

Inicio del 1ro ecto Asegurar el compromiso de la #ireccin. Seleccionar y entrenar a los miembros del equipo inicial que participan en el proyecto. 5efinicin del SGSI Identificacin del alcance del SGSI y de la )ol!tica de Seguridad del SGSI. :ecopilar los documentos de seguridad e<istentes en la organizacin. )reparar los procedimientos relacionados con la gestin y la operacin del SGSI. 6nlisis de 2iesgos #efinicin de una metodolog!a para la clasificacin de los riesgos. 3reacin de un in entario de acti os. E aluacin de los acti os a ser protegidos. Identificacin y e aluacin de amenazas y ulnerabilidades de los acti os. 3lculo del alor de riesgo asociado a cada acti o. Gestin de 2iesgos Identificar y e aluar alternati as posibles para tratar los riesgos. Seleccionar e implantar los controles correctos que le permitan a la organizacin reducir el riesgo a un ni el aceptable. :edactar el documento de declaracin de aplicabilidad %documento de seleccin de controles', que debe ser firmado por #ireccin. Identificar los riesgos residuales que han quedado sin cubrir y obtener la firma de #ireccin. )reparar el )lan de +ratamiento de :iesgos )reparar procedimientos para implantar los controles.

Implantacin

Operacin

Implantacin del SGSI Implantar el plan de tratamiento de riesgos. Implantar pol!ticas y procedimientos del SGSI. Implantar los controles seleccionados. 8ormacin sensibili#acin Impartir formacin entre los empleados sobre los nue os procedimientos que se an a implantar. 3oncienciar a la plantilla de la importancia que el proyecto de seguridad tiene para la "rganizacin.

4onitori#acin

2evisin

4onitori#acin del SGSI E$ecutar procedimientos de monitorizacin para detectar errores de proceso, identificar fallos de seguridad de forma rpida y acciones a realizar. 2evisin del SGSI :e isiones peridicas de la pol!tica y alcance del SGSI, as! como de su eficacia. :e isiones de los ni eles de riesgos residuales y riegos aceptables. Auditor!as internas5e<ternas del SGSI.

4antenimiento

4e"ora

4antenimiento del SGSI 3omunicar resultados de las auditor!as a las partes interesadas. Adoptar acciones correcti as y pre enti as. 4e"ora Continua 9edir el rendimiento del SGSI. Implantar las me$oras identificadas en las re isiones del SGSI.

9eneficios
=as organizaciones de mayor tama4o cuentan con abundantes recursos humanos, t*cnicos y econmicos que le permiten afrontar el mantenimiento de la seguridad en sus sistemas de informacin. =a )@9E, a falta de esos recursos necesita de una herramienta sencilla y de ba$o coste que d* respuesta a los riesgos e<istentes. )or ello, partiendo de la base que la seguridad al 211D no e<iste, la adopcin de un Sistema de Gestin de la Seguridad de la Informacin %SGSI' es una alternati a adecuada para que la )@9E pueda establecer una metodolog!a y una serie de medidas con las que ordenar, sintetizar y simplificar de manera continua el esfuerzo que ya se hace o que ya se deber!a hacer en seguridad de la informacin. Esta me$ora en la seguridad se e refle$ada en una serie de enta$as que se describen a continuacin.

2educcin de riesgos
)artiendo del Anlisis de :iesgos que impone la norma, hasta la implementacin de los controles, el

con$unto de acciones adoptadas reducir los riesgos hasta un ni el asumible por la )@9E, siempre en relacin a los ob$eti os de negocio de la organizacin.

6:orro &conmico
3omo cualquier otro sistema de gestin, la implementacin de la norma permite una racionalizacin de recursos, lo que repercute en un ahorro de costes. )oder tomar decisiones basadas en datos cuantitati os y no solo cualitati os, permite gestionar me$or el gasto en +I. #e esta manera las in ersiones en tecnolog!a se a$usten a las prioridades que se han impuesto a tra *s del Anlisis de :iesgos, e itando los gastos innecesarios, inesperados, y sobredimensionados.

Calidad a la seguridad
=a implementacin de un SGSI transforma la seguridad en una acti idad de gestin. Este concepto es importante ya que de$a de lado un con$unto de acti idades t*cnicas ms o menos organizadas, para transformarse en un ciclo de ida metdico y controlado. En el que al participar toda la organizacin, se crea conciencia y compromiso de seguridad en todos los ni eles de la empresa.

Cumplimiento ;egal
Es necesario el cumplimiento de la legislacin igente. +odos los aspectos de conformidades legales de la norma deben responder a la legislacin del pa!s, y se erifica su adecuacin y cumplimiento. )or lo tanto la certificacin garantiza este hecho y a su ez seguramente crea un marco legal que proteger a la empresa en aspectos que seguramente no se hab!an tenido en cuenta hasta entonces.

Competitividad en el mercado
Esta norma es tan importante como lo es hoy IS" ?111. )oco a poco las grandes empresas, los clientes y partners comenzarn a e<igir esta certificacin para abrir y compartir sus sistemas con cualquier )y9E. Es el ;nico modo que puede garantizar un equilibrio en las medidas de seguridad entre esas partes. =o que la con ierte en un importante factor diferenciador con la competencia, por las enta$as deri adas de la me$ora de imagen y enta$a competiti a en el mercado. En definiti a, la -,E.IS"5IE3 /0112 es un elemento de gestin que se ir generalizando en las empresas, distingui*ndose claramente quienes se anticipen en su implantacin.