viernes, 5 de junio de 2015
Seguridad de la información
La seguridad de la información consiste en la protección de datos, sistemas y redes de información que hace la organización para garantizar la confidencialidad, integridad y disponibilidad de la información ante sus grupos de interés. Para su implementación es necesario considerar y gestionar los riesgos de seguridad y las medidas preventivas que se deban incorporar para evitar la fuga de la información por conflicto de intereses, pérdida de datos importantes para la gestión por un manejo inadecuado de los sistemas y las redes y garantizar que la plantilla cuente con la información y formación necesaria para su buen desempeño.
Requisito de la norma
Seguridad de la información (Art. 6.1.8.): La organización garantizará la seguridad de la información utilizada y/o conocida de sus grupos de interés desde el inicio de la relación hasta su finalización.
Criterio de interpretación
Se debe asegurar que sólo quienes tengan autorización puedan acceder a la información, que la información y sus métodos de proceso sean exactos y completos y que las personas usuarias autorizadas tengan acceso a la información y a sus activos asociados cuando lo requieran. La organización podrá evidenciar el cumplimiento de este apartado si dispone de un sistema de gestión de la seguridad de la información implantado y verificado por una tercera parte.
Herramientas
El Sistema de gestión de seguridad de la información (SGSI) de ISO, ISO 27001, propone la aplicación de prácticas para formalizar la política de seguridad en este contexto, partiendo de un procedimiento planificado, la introspección de unos principios y un marco de garantías que la Alta Dirección pueda ofrecer salvaguardar la información y prevenir los riesgos.
El resultado es una suerte de mini-proyecto de seguridad de la información, que incluye los controles de la ISO 27002 referidos a dichas reglamentaciones o directivas.
La ISO 27001 aparece también como la norma idónea para medir la porción de seguridad de la información en los riesgos operacionales que los bancos deben considerar además de los tradicionales riesgos crediticios, a la luz de los Acuerdos de Capitales Basilea II/III.
Por su parte las normas ISO 27002 e ISO 27001 encuentran su aplicación también para un BCP (Pan de Continuidad de Negocios) como parte de un BCM de la ISO 22301, así como también para medir la efectividad de las medidas para dar cumplimiento a la Sección 404 (a) de la Ley Sarbanes-Oxley,
La norma ISO/IEC 27002:2005 es una herramienta sencilla que permitirá establecer políticas, y controles bajo el objetivo de disminuir los riesgos que tienen los activos de la organización. En primer lugar, obtenemos una reducción de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Con ello lograremos reducir las amenazas hasta alcanzar un nivel asumible por nuestra organización.
De este modo si se produce una incidencia, los daños se minimizan y la continuidad del negocio está asegurada. En segundo lugar se produce un ahorro de costes derivado de una racionalización de los recursos.
Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. En tercer lugar, la seguridad se considera y se convierte en una actividad de gestión. La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el participa toda la organización.
En cuarto lugar, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios. La entidad se asegura del cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se habían tenido en cuenta anteriormente.
Por último, pero no por ello menos importante, la certificación del sistema de gestión de seguridad de la información contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y haciéndoles más fiables e incrementando su prestigio.
Desarrollo de Políticas de Seguridad de la Información
El desarrollo de las políticas de Seguridad de la Información realizada en el departamento de sistemas de la Universidad Politécnica Salesiana sede Guayaquil, proviene de la recopilación de información, hallazgos y análisis de la situación actual del departamento basándonos en los controles de la ISO 27002 correspondientes a los once dominios de la norma:
Política de seguridad (1)
Aspectos Organizativos de la Seguridad Informática (2)
Gestión de Activos (2)
Seguridad ligada a los recursos humanos (3)
Seguridad física y del entorno (2)
Gestión de comunicaciones y operaciones (10)
Control de acceso (7)
Adquisición, desarrollo y mantenimiento de sistemas de información (6)
Gestión de incidentes en la seguridad de la información (2)
Gestión de la continuidad del negocio (1)
Cumplimiento (3)
Las Políticas creadas en el desarrollo del presente proyecto no serán incluidas ya que son de carácter confidencial, por lo tanto el manual de políticas de Seguridad de la Información será custodiado por el Departamento de Sistemas.
Política de seguridad
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN.
Documento de políticas de seguridad de la información.
Control
“Se debe definir claramente todas las responsabilidades en cuanto a seguridad de la información.
Lista de chequeo para implantación de políticas
Verificar que para todos los cargos concernientes a Seguridad de la Información, existan roles y responsabilidades.
La universidad politécnica salesiana posee un documento formal el cual detalla los roles y responsabilidades, según el organigrama la Universidad Politécnica Salesiana no posee un departamento de seguridad de la información.
Revisar en los manuales de políticas y procedimientos que no existan inconsistencias, en cuanto a la asignación de responsabilidades concernientes a seguridad de la información.
Para el caso revisado de la universidad politécnica salesiana Guayaquil tienen las asignaciones de responsabilidades correctamente, los roles de seguridad se los desempeñan según la especialidad de cada área. Además cuentan con Funciones de los Departamentos de TI.
Servicios para la docencia
Las áreas de TI deben asegurar a los estudiantes y docentes de la Universidad el uso confiable de los equipos de TI. Brindará asistencia técnica en la adquisición de hardware y software que ayuden al desenvolvimiento de la academia.
Servicios para la administración
Las áreas de TI, una vez recibido los requerimientos de las diferentes áreas técnicas o administrativas; analizarán, diseñarán y desarrollarán los programas necesarios para la gestión.
Servicios institucionales
Los departamentos de TI deberán promover la automatización de los servicios académicos y administrativos de la Universidad Politécnica Salesiana, así como el uso de las tecnologías de información y comunicación.
Detalle los códigos de los procedimientos revisados.
Estructura Orgánica Funcional y de Responsabilidades para las Áreas de Información.
Detalle las debilidades detectadas en la lista de chequeo
Se evidencia que no se cuentan con segregación de responsabilidades en cuanto a seguridad de la información.
Concretamente, la norma provee los Principios, el Marco de Trabajo (framework ) y un Proceso de Gestión de Riesgos para gestionar cualquier tipo de riesgo en forma transparente, sistemática y creíble.
ISO 22301
Otra norma importante es la ISO 22301 que sigue prácticamente el lineamiento y enfoque de la BS 25999 para la Gestión de Continuidad de Negocios, BCM.
Esta norma es más amplia y completa respecto de la ISO 27031 que sólo atiende el escenario TIC en cuanto a la seguridad en la Continuidad de Negocios.
En este rubro también se dispone de la ISO 24762 referida específicamente a la Recuperación de Desastres aunque, de nuevo, para el ambiente TIC como parte de la Gestión de Continuidad de Negocios.
PAS 99
En otro aspecto se distingue el PAS 99 que es una recomendación (es decir no es una norma) que constituye una herramienta de gran utilidad especificando los requisitos de un sistema de gestión común.
Con PAS 99 se pueden integrar las normas correspondientes a los Sistemas de Gestión como la ISO 27001 y las mencionadas antes, ISO 9001, ISO 14001 y OHSAS 18001, e incluso la ISO 20000 (ITIL), aunque esta última con ajuste a la ISO 27013.
Gracias a la integración de diferentes normas se pueden hacer auditorias y certificaciones conjuntas con reducción de costos y esfuerzos.
En la versión 2012, PAS 99 se adaptó también al ya mencionado Anexo SL que, como dijimos, cubre todas las normas de sistemas de gestión.
ISO 15408
Adicionalmente se puede mencionar a la ISO 15408 o de Criterios Comunes (CC), que facilita evaluar y seleccionar una gama de productos IT a modo de salvaguardas con certificación de los niveles de aseguramiento que proporcionan.
ALGUNAS APLICACIONES
El conjunto de características mencionadas convierten a la ISO 27001 en una importante ayuda para que una empresa pueda mejorar su actual nivel de seguridad y mitigar los riesgos significativos correspondientes que pudieren afectar sus negocios.
Una aplicación muy actual en este sentido responde a los desafíos que enfrenta una estrategia de seguridad para e-business y las múltiples cuestiones que pueden limitar el conocido escenario extranet de comunicaciones B2B entre empresas.
Efectivamente, en este caso a través de Internet se interconectan redes de diferentes empresas (proveedores, clientes, socios), muchas veces con niveles de seguridad desconocidos.
La certificación con la ISO 27001 de las diferentes organizaciones interconectadas les da homogeneidad en este punto, otorgando una garantía de aseguramiento entre ellas, sin importar el tipo de dispositivos, mecanismos, productos o marcas así como los procedimientos con que se hayan implementado los controles
y contramedidas de seguridad del SGSI.
Otra aplicación es el mapeado de los requisitos de reglamentaciones y directivas sobre protección de datos personales, como las de la DNPDP (Dirección Nacional de Protección de Datos Personales) de Argentina bajo la ley de Habeas Data, y la LOPD (Ley Orgánica de Protección de Datos) de España.
GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN
En 2013 se liberó la nueva norma ISO 27014 de Gobierno de Seguridad de la Información.
Esta norma completa la idea original de las normas ISO de Seguridad de la Información en cuanto a su entroncamiento en el concepto del Gobierno Corporativo comentado antes.
El concepto básico parte de que el aseguramiento de la información debe responder a un esquema de gobierno, teniendo en cuenta que no es lo mismo gobierno que gestión.
Ya comentamos que en una organización típica el directorio establece el gobierno de la misma y las directivas de gestión, monitoreando dicha gestión, a cargo del personal de la gestión ejecutiva.
Efectivamente, en el ámbito de la seguridad de la información se puede decir en primer lugar que el área de cobertura del concepto gobierno es el del directorio, governing body y en algunos casos de la alta gerencia, top management, términos ambos definidos en la reciente ISO 27000:2014.
Y, complementariamente, se tiene que el área de cobertura del concepto gestión es el de la gerencia ejecutiva, executive management, de nuevo según la ISO 27000:2014.
A partir de este paradigma, la ISO 27014 define el escenario bosquejado estableciendo el marco de
trabajo del gobierno de Seguridad de información para todas las normas de la serie 27k.
Además, la norma habla en forma taxativa del Information Security Governance integrado al Corporate
Governance.
Por otra parte, el Gobierno de la Seguridad de la
Información está separado del Gobierno IT; sólo hay
interacción a nivel de la seguridad IT (Figura 5).
Esta situación es coherente con la diferencia ya
comentada entre Seguridad de la Información y Seguridad
Informática.
Además, en el Gobierno de la Seguridad de la
Información están marcadamente diferenciados los
conceptos de gobierno, a cargo del directorio, y la gestión,
que realiza el personal gerencial.
OTRAS NORMAS Y ESTÁNDARES
Algunas normas que no son específicamente de seguridad de la información pueden aportar complementos de importancia en una implementación.
ISO 31000 Seguramente la más transcendente es la ISO 31000 para la Gestión de Riesgos. Esta norma establece Principios y ofrece guías para ayudar a gestionar cualquier tipo de riesgo corporativo con efectividad y se basa en la norma AS/NZS 4360 de 2004.
En nuestro caso particular, la última versión de la ISO 27005, como ya se dijo, está adaptada a la ISO 31000, por lo que es importante considerar sus principales características.
En primer lugar, la ISO 31000 establece un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos con el gobierno corporativo.
Por cierto esta relación con el Corporate Governance, visto al principio, refuerza la importancia de las decisiones estratégicas de alto nivel con referencia a la seguridad de la información.
Por otra parte, el riesgo se ha venido tratando hasta ahora como la posibilidad que algo ocurra que tenga un impacto en los objetivos. A partir de la ISO 31000 el riesgo se define en términos del efecto de la incertidumbre de los objetivos.
NORMA ISO 27005
Esta norma se refiere a la valuación y gestión de riesgos y la última versión es de 2011. En gran parte se basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestión de riesgos conforme la norma británica BS 7799-3, que si bien también trata de los riesgos tiene un enfoque especial en los negocios.
Estrictamente la ISO 27005 hace recomendaciones respecto de un marco de referencia para el análisis y gestión de riesgos, permitiendo el uso de alguno de los muchos productos comerciales y gratuitos al efecto.
Por otra parte, esta norma reconoce el formato y diagrama de flujo de la ISO 31000 ya mencionada.
De cualquier manera, el alineamiento con la ISO 31000 no significa que la ISO 27005 de Riesgos de Seguridad de la Información pierda relevancia, ya que su uso se puede justificar puesto que esta norma trata especialmente los riesgos técnicos o de IT, mientras que la ISO 31000 provee un marco de trabajo más adecuado para los riesgos de negocios.
Si bien la ISO 27005 promueve el cálculo de riesgos por el método de las frecuencias de ocurrencia e impactos, igualmente habla de activos, amenazas y vulnerabilidades, incluyendo incluso tres de sus Anexos listados y tablas al efecto.
También introduce el concepto de activos dependientes, lo que implica que el valor de un activo pueda influir en el valor de otro activo, aumentándolo cuando el valor del activo dependiente sea mayor que el valor del activo del cual depende.
Adicionalmente, en uno de los Anexos de la norma se establece que, además de los tres parámetros básicos de seguridad (CIA) que establece la ISO 27002, se debieran considerar también la Responsabilidad (en cuanto a rendir cuentas de las acciones), la Confiabilidad, la Autenticación y su complemento del No- Repudio.
NORMA ISO 27004
Esta norma es una guía que especifica las mediciones y su uso, como base de información del SGSI para la toma de decisiones al respecto.
Para ello estipula un modelo de atributos de objetos de seguridad y formas de su cuantificación y medición correspondientes a la efectividad del SGSI y de los controles implementados.
LA SERIE DE NORMAS ISO 27K
Las normas ISO 27002 e ISO 27001 constituyen el núcleo de toda una serie, conocida como 27K, de más de treinta normas ISO 27000, de las cuales ya se han publicado 22 (tres de ellas en forma parcial), ofreciendo el conjunto una estructura auto-consistente e integral.
Algunas de dichas normas (Figura 4) son extensiones a la ISO 27002 para la seguridad en áreas específicas. Otras detallan indicaciones y especificaciones bajo la órbita de la ISO 27001.
Finalmente un par de ellas se refieren a la auditoría y certificación. Sigue un listado de las normas publicadas para febrero de 2014.
• ISO 27000: Define el vocabulario técnico
específico. Publicada en Enero de 2014.
• ISO 27001: Nueva versión publicada en 2013.
• ISO 27002: Nueva versión publicada en 2013.
• ISO 27003: Guía general de implementación de
la serie. Publicada en Febrero de 2010.
• ISO 27004: Métricas, ya comentada, fue publicada en 2009.
• ISO 27005: Gestión de riesgos, ya comentada; la última versión fue publicada en 2011..
• ISO 27006: Requerimientos para la acreditación de entidades de auditoría y certificación de SGSI. Publicada
en 2007.
• ISO 27007: Auditoría del SGSI, derivada de ISO 19011. Publicada en 2011.
• ISO 27008. Auditoría de la Gestión de la Seguridad de la Información (no del Sistema propiamente dicho de Gestión de Seguridad de la Información, que es tema de la ISO 27007) en cuanto a los controles implementados.
• ISO 27010: Comunicaciones intersectoriales y entre organizaciones. Publicada en 2012.
• ISO 27011: Extensión de la ISO 27002 en cuanto a la gestión de seguridad en telecomunicaciones.
Publicada en 2008.
• ISO 27013: Guía para la implementación sucesiva o combinada de la ISO 27001 con la ISO 20000 (ITIL).
Pensada para manejar los puntos de solapamiento en cuanto a seguridad TIC del ITIL con la ISO 27001.
Publicada en 2012.
• ISO 27014 Gobierno de Seguridad de la Información. Se comenta por separado más adelante.
• ISO 27015: Servicios Financieros. Publicada en 2012.
• ISO 27019: Sistema de Control de Procesos de las empresas de energía. Publicada en 2013.
• ISO 27031: Preparada para la seguridad IT en la Continuidad de Negocios. Publicada en 2011.
• ISO 27032: Guía de ciberseguridad. Publicada en 2012
ISO 27033: Extensión de la ISO 27002 en
cuanto a Seguridad de redes IT, evolución
a partir de la ISO 18028. Dividida en 7
partes, cinco de las cuales ya se han
publicado.
• ISO 27034: Extensión de la ISO 27002 en
cuanto a la seguridad en las aplicaciones.
Publicada la primera parte de un total de
6.
• ISO 27035: Gestión de incidentes basada
en la ISO 18044. Publicada en 2011.
• ISO 27036: Relaciones con proveedores.
Cuatro partes publicada una de ellas.
• ISO 27799: Extensión de la ISO 27002
para cubrir los aspectos referidos a la
protección de la información personal de
salud. Publicada en 2008.
Adicionalmente a todas las normas comentadas antes, la serie 27K incluye otras diez normas previstas y/o en proceso,
Quizás el detalle más significativo en esta nueva versión es que no hay mención específica del modelo PDCA, aunque hay todo un Capítulo (el 10) dedicado al Mejoramiento del proceso.
De cualquier manera, esto no significa que ya no deba usarse el PDCA, sino simplemente que se hace lugar también a otros modelos de mejoramiento continuo.
Una opción podría ser el Six Sigma que trabaja con el ciclo DMAIC (definir las oportunidades, medir el rendimiento, analizar las oportunidades, y mejorar y controlar el rendimiento).
También podría llegarse a aplicar el TQM, es
decir la Gestión de Calidad Total.
Además, en la nueva versión se ha ampliado el
tema del tratamiento de riesgos alineándolo con
la ISO 31000 referida a la Gestión de Riesgos de
distinta índole (no sólo de seguridad de lainformación) que pueden afectar una
organización.
Por lo demás, obviamente el Anexo A refleja
los controles correspondientes a la nueva versión
de la ISO 27002, listando los objetivos de control y
controles que detalla dicha norma.
Implementación
El proceso de implementación bajo la ISO
27001 comienza con la determinación del Alcance del proyecto, que puede extenderse a todas las actividades de una empresa, o bien a un servicio o área determinados.
A continuación se debe redactar una Política
General, un documento corto pero con el detalle
concreto del Alcance y demás consideraciones
pertinentes, y que debe ser refrendado por las
autoridades máximas de la empresa para poder
luego establecer las responsabilidades
correspondientes.
La selección de controles responde a los
resultados de una adecuada valuación de los
riesgos a que están sujetos los activos a proteger.
En este punto, la ISO 27001 no impone una forma determinada de realizar dicha valuación, pudiéndose recurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales, aunque es recomendable el marco de trabajo dado por la norma ISO 27005 que se comenta más adelante.
Los resultados de la valuación de riesgos se contrastan con la situación de seguridad existente en un proceso de pre-auditoría que generalmente se realiza por medio de un análisis gap.
De esta manera, ahora los riesgos encontrados deben dar lugar directamente a la determinación de los controles correspondientes, controles que recién después se compararán con los del Anexo A de la ISO
27001
La primera parte del párrafo anterior puede resultar complicada salvo para especialistas con mucha experiencia. Sin embargo, la Nota del inciso b) del punto 6.1.3 de la ISO 27001:2013 acepta que los controles a determinar pueden ser de “cualquier origen”.
En la práctica, la Nota mencionada facilita mantener el tan conocido proceso anterior de trabajo, que consiste en comparar primero los riesgos encontrados con los controles de la ISO 27002, y los controles así seleccionados son los que luego se implementan conforme la ISO 27001
De una u otra forma, el resultado de esta parte del proceso debe producir la Declaración de Aplicabilidad (SoA) que, por cierto, debe incluir todos los controles implementados o no con los correspondientes motivos.
También, el SGSI resultante puede someterse a auditoría y el proceso de certificación.
Análisis y Tratamiento de los Riesgos En la práctica, el análisis de riesgo puede realizarse a partir de dos enfoques diferentes, considerando las variables con que ocurren los incidentes, o bien estimando la protección que requieren los recursos con sus debilidades y los factores que pueden afectarlos
|
Método
|
Descripción
|
Componentes
|
Descripción
|
|
Leading
|
Por los factores o Entidades involucradas en el análisis
del aseguramiento corporativo
|
Activos o recursos
|
Valor que representan para los procesos de negocio de la empresa.
|
|
Vulnerabilidades
|
Que tengan esos Activos.
|
||
|
Amenazas
|
Que puedan
explotar dichas vulnerabilidades
|
||
|
Lagging
|
Por las Pérdidas
que ocasiona un incidente de seguridad conforme datos históricos propios o de terceros.
|
Frecuencia de ocurrencia
|
De cada incidente
|
|
Impacto
|
Monetario que causa el incidente al producirse.
|
NORMA ISO 27002:2013
La ISO 27002 es una guía de recomendaciones de buenas prácticas para la gestión de seguridad de la información.
Cubre no sólo la problemática IT sino que hace una aproximación holística a la seguridad corporativa de la información, extendiéndose a todas las funcionalidades de una organización en cuanto a que puedan afectar la seguridad de la información.
Para ello la norma, en la última versión publicada en octubre de 2013 define para su selección un total de 114 controles generales de seguridad a partir de 35 objetivos de control estructurados en 14 áreas, 4 de ellas técnicas, 9 de gestión y 1 de seguridad física.
La ISO 27002 está redactada bajo la forma verbal "should", un término presente en otras normas ISO y también del IETF y el IEEE que, por convención, expresa una forma condicional que no implica imposiciones.
Es así como la norma, como ya se dijo, hace precisamente recomendaciones y por lo tanto no establece requisitos cuyo cumplimiento pudieren certificarse, sino simplemente una serie de controles que pudieren ser necesarios implementar.
En la Tabla 1 se pueden ver las Cláusulas/Capítulos y la Numeración correspondiente, así como los Objetivos de Control de cada cláusula de la ISO 27002:2013.
|
|
|
7.3 Terminación y cambio
de empleo
|
|
8
|
Gestión de activos
|
8.1 Responsabilidad por los activos.
8.2 Clasificación de la información.
8.3 Manejos
de los medios de almacenamiento
|
|
9
|
Control de acceso
|
9.1 Requerimientos de negocios del control de accesos.
9.2 Gestión
de acceso de los usuarios.
9.3 Responsabilidades de los usuarios.
9.4 Control
de acceso de sistemas y aplicaciones.
|
|
10
|
Criptografía
|
10.1 Controles criptográficos
|
|
11
|
Seguridad física
y ambiental
|
11.1 Áreas seguras
11.2 Seguridad del equipamiento.
|
|
12
|
Seguridad de las operaciones
|
12.1 Procedimientos y responsabilidades operacionales.
12.2 Protección contra el malware.
12.3 Respaldo.
12.4 Registro
y monitoreo
12.5 Control
del software operativo.
12.6 Gestión
de las vulnerabilidades técnicas.
12.7 Consideraciones de la auditoría de sistemas de información.
|
|
13
|
Seguridad de las comunicaciones
|
13.1 Gestión
de la seguridad de redes.
13.2 Transferencia de información.
|
|
14
|
Adquisición, desarrollo y mantenimiento de sistemas
|
14.1 Requerimientos de seguridad de los sistemas de información.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.3 Pruebas
de datos.
|
|
15
|
Relaciones con proveedores
|
15.1 Seguridad de la información en las relaciones con proveedores.
15.2 Gestión
de entrega de servicios de proveedores.
|
|
16
|
Gestión de incidentes de seguridad de la información
|
16.1 Gestión de incidentes y mejoras
de la seguridad de la información.
|
|
17
|
Aspectos de seguridad de la información en la Gestión de Continuidad de Negocios
|
17.1 Continuidad de la seguridad de la información.
17.2 Redundancias.
|
|
18
|
Cumplimiento
|
18.1 Compromiso con los requerimientos legales y contractuales.
18.2 Revisiones de la seguridad de la información.
|
NORMA ISO 27001:2013
En contraposición con la ISO 27002, la ISO 27001 usa la expresión "shall", otro término convencional, en este caso para expresar mandato u obligación.
De esta manera la ISO 27001 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestión de Seguridad de la Información, SGSI (o ISMS, por su nombre en inglés) dentro del contexto de los riesgos totales de negocios de una empresa.
En definitiva, las especificaciones y las implementaciones correspondientes hacen que tanto la auditoría como la certificación se hagan con referencia a la ISO 27001.
Así las cosas, para fines de Febrero de 2014 se habían emitido más de 20.000 certificaciones correspondientes a organizaciones de 100 países diferentes.
Claro que prácticamente todas estas certificaciones lo fueron con la versión 2005, por lo que en un lapso de dos años tendrán que ser actualizadas con la última versión que estamos comentando.
En esta nueva versión de 2013, el cambio más evidente está en la estructura de la norma, ya que se adaptó a la estructura definida en el Apéndice 2 del Anexo SL del Suplemento Consolidado de Procedimientos específicos para ISO de la Parte 1 de las Directivas ISO/IEC.
Con ajuste al Anexo SL (anteriormente ISO Guide 83) todas las normas de sistemas de gestión tienen o tendrán una estructura común, con idéntico texto principal, salvo en el Apartado Operación referido en gran parte a las cuestiones específicas de cada norma, y que luego comentaremos más en detalle
De esta manera se facilita trabajar con más de un Sistema de Gestión, lo que permite una integración más simple con otras normas similares de Sistemas de Gestión tales como la ISO 9001, la ISO 20000-1 y la ISO 14001.
Por otra parte, la norma hace hincapié en que el SGSI debe proteger la Confidencialidad, Integridad y Disponibilidad (CIA) de la información, aplicando un proceso de gestión de riesgos de forma tal que proporcione a las partes interesadas confianza en que los riesgos están gestionados adecuadamente.
Un nuevo concepto que se incorpora es el de las partes interesadas, que incluye no sólo a los accionistas o los propietarios de una empresa sino a todas las personas interesadas directa o indirectamente en la organización (shareholders), así como las propias autoridades legales o regulatorias.
|
#
|
Cláusulas
|
Apartados
|
|
0
|
Introducción
|
|
|
1
|
Alcance
|
|
|
2
|
Referencias normativas
|
|
|
3
|
Términos y definiciones
|
|
|
4
|
Contexto de la organización
|
4.1 Comprensión de la organización y su contexto.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas.
4.3 Determinación del alcance del sistema de gestión de
continuidad de negocios
4.4 Sistema
de Gestión de Continuidad de Negocios
|
|
5
|
Liderazgo
|
5.1 Liderazgo y compromiso.
5.2 Compromiso gerencial.
5.3 Política.
5.4 Roles,
responsabilidades y autoridades de la organización.
|
|
6
|
Planificación
|
6.1 Acciones
para atender los riesgos y las oportunidades.
6.2 Objetivos de continuidad de negocios y planes para lograrlos.
|
|
7
|
Soporte
|
7.1 Recursos
7.2 Competencia
7.3 Concientización
7.4 Comunicación
7.5 Información a documentar
|
|
8
|
Operación
|
8.1 Planificación y control
operacional.
8.2 Análisis de impactos en los negocios y valuación de
riesgos.
8.3 Estrategia de continuidad de negocios.
8.4 Establecimiento e implementación de los procedimientos
|
|
|
|
de continuidad de negocios.
8.5 Ejercicios y pruebas
|
|
9
|
Evaluación del desempeño
|
9.1 Monitoreo, medición, análisis y evaluación
9.2 Auditoría interna.
9.3 Revisión
gerencial.
|
|
10
|
Mejoramiento
|
10.1 No conformidades y acciones
correctivas.
10.2 Mejoramiento continuo.
|
Suscribirse a:
Entradas (Atom)