iso27001 - auditoria si

UNIVERSIDAD NACIONAL

PEDRO RUIZ GALLO

FACULTAD DE INGENIERÍA CIVIL DE SISTEMAS Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

ISO 27001

INTEGRANTES

BACA FLORES VÍCTOR MIGUEL ESQUIVEL CUENCA FRANCIS QUISPE DÁVILA JUAN CARLOS SÁNCHEZ MEDINA PIERRE SAMIR

CURSO

AUDITORÍA DE SISTEMAS INFORMÁTICOS

DOCENTE

ING. CELI AREVALO ERNESTO

Lambayeque, Setiembre de 2013

ISO 27001 Septiembre 2013

Contenido

INTRODUCCIÓN .................................................................................................................... 3

ESTRUCTURA ........................................................................................................................... 4

ORIGEN ................................................................................................................................... 5

MODELO APLICADO A LOS PROCESOS SGSI ............................................................... 6

ALCANCE ............................................................................................................................... 7

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN .................................... 8

START: ARRANQUE DEL PROYECTO .................................................................................. 9

PLAN: ESTABLECER EL SGSI ............................................................................................... 10

DO: IMPLEMENTAR Y OPERAR EL SGSI .......................................................................... 12

CHECK: MONITOREAR Y REVISAR EL SGSI .................................................................... 13

ACT: MANTENER Y MEJORAR EL SGSI ............................................................................ 15

REQUERIMIENTOS DE DOCUMENTACIÓN .................................................................... 16

RESPONSABILIDAD DE LA GERENCIA ............................................................................ 18

AUDITORÍAS INTERNAS SGSI ............................................................................................. 19

REVISIÓN GERENCIAL SGSI ............................................................................................... 20

MEJORAMIENTO DEL SGSI ................................................................................................ 21

11 DOMINIOS DE SEGURIDAD ......................................................................................... 22

FACTORES DE ÉXITO ........................................................................................................... 36

RIESGOS ................................................................................................................................ 36

BENEFICIOS ........................................................................................................................... 37

CONSEJOS BÁSICOS .......................................................................................................... 38

DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI

Pági

na 2


ISO 27001 INTRODUCCIÓN

Hoy en día se sabe que la información es un activo vital para el éxito y continuidad en

el mercado de cualquier organización. Así que el aseguramiento de dicha información

y de los sistemas que la procesan debe ser uno de los principales objetivos de las

Empresas.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un

sistema que aborde esta tarea de una forma metódica, documentada y basada en

unos objetivos claros de seguridad y una evaluación de los riesgos a los que está

sometida la información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por

ISO (International Organization for Standardization) e IEC (International Electrotechnical

Commission), que proporcionan un marco de gestión de la seguridad de la información

utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Este estándar internacional ha sido preparado para proporcionar un modelo para

establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de

Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una

decisión estratégica para una Organización. Su diseño e implementación es

influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos

empleados, tamaño y estructura de la Organización.

Un enfoque de proceso para la gestión de la seguridad de la información fomenta que

sus usuarios enfaticen la importancia de:

- Entender los requerimientos de seguridad de información de su organización, y

la necesidad de establecer políticas y objetivos para dicha seguridad.

- Implementar y operar controles para manejar los riesgos asociados.

- Monitorear y revisar el desempeño y la efectividad del SGSI.

- Mejoramiento en base a la medición del objetivo.

Este estándar proporciona un modelo sólido para implementar los principios en aquellos

lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de

seguridad, gestión y re-evaluación de la seguridad.


Pági

na 3


ESTRUCTURA

ISO 27001:2005

Introducción: generalidades e introducción al método PDCA.

Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el

tratamiento de exclusiones.

Normas para consulta: otras normas que sirven de referencia.

Términos y definiciones: breve descripción de los términos más usados en la norma.

Sistema de gestión de la seguridad de la información: cómo crear, implementar,

operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y

control de la misma.

Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y

provisión de recursos y concienciación, formación y capacitación del personal.

Auditorías internas del SGSI: cómo realizar las auditorías internas de control y

cumplimiento.

Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del

SGSI por parte de la dirección.

Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.

Objetivos de control y controles: anexo normativo que enumera los objetivos de

control y controles que se encuentran detallados en la norma ISO 27002:2005.

Relación con los Principios de la OCDE: anexo informativo con la correspondencia

entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

Correspondencia con otras normas: anexo informativo con una tabla de

correspondencia de cláusulas con ISO 9001 e ISO 14001.

Bibliografía: normas y publicaciones de referencia.


Pági

na 4


ORIGEN

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British

Standards Institution, la organización británica equivalente a AENOR en España) es

responsable de la publicación de importantes normas.

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar

a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión

de la seguridad de su información.

La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que

no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada

por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de

la información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por

ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-

2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó

por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta

última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el

contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la

BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.


Pági

na 5


MODELO APLICADO A LOS PROCESOS SGSI

PLAN: Establecer el SGSI

- Establecer políticas, objetivos, procesos y procedimientos SGSI relevantes para el

manejo de riesgos y mejorar la seguridad de la información, con el fin de

entregar resultados que concuerden con las políticas y objetivos generales de la

Organización.

DO: Implementar y operar el SGSI

- Implementar y operar las políticas, controles, procesos y procedimientos del SGSI.

CHECK: Monitorear y revisar el SGSI

- Evaluar, y si es aplicable medir el desempeño del proceso en comparación con

las políticas, objetivos. A fin de reportar los resultados a la gerencia para su

revisión correspondiente.

ACT: Mantener y mejorar el SGSI

- Tomar acciones correctivas y preventivas, basadas en los resultados de la

auditoría interna SGSI y otra información relevante (como las revisiones

gerenciales), para lograr el mejoramiento continuo del SGSI.


Pági

na 6


ALCANCE

Este Estándar Internacional abarca todo tipo de organizaciones (empresas comerciales,

agencias gubernamentales, organizaciones sin fines de lucro). El cual especifica los

requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y

mejorar un SGSI documentado dentro del contexto de los riesgos comerciales,

actividades que son básicas para los propósitos de la existencia de la organización.

Un SGS está diseñado para proporcionar controles de seguridad que protejan los activos

de la información y den confianza a las partes interesadas.

APLICACIÓN

Los requerimientos establecidos en este estándar internacional son genéricos y están

diseñados para ser aplicables a todas las organizaciones, sin importar tipo, tamaño o

naturaleza.

Si se hacen exclusiones de los controles, se debe justificar la aceptación del riesgo por

las personas responsables, además de proporcionar evidencia que lo contraste.

REFERENCIA NORMATIVA

ISO/IEC 17799:2005, Tecnología de Información – Técnicas de seguridad – Código de

práctica para la gestión de la seguridad de la información.


Pági

na 7


SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

REQUERIMIENTOS GENERALES

La organización debe establecer, implementar, operar, monitorear, mantener y mejorar

continuamente un SGSI documentado dentro del contexto de las actividades

comerciales generales de la organización y los riesgos que enfrentan. Para propósitos

de este Estándar Internacional, los procesos utilizados se basan en el modelo PDCA que

se muestra a continuación, modelo establecido por Edwards Deming, como estrategia

de mejora continua de la calidad en la administración en una organización.

PLAN DO

CHECK ACT

START

Definir alcance del SGSI. Definir política de seguridad. Metodología de evaluación de riesgos. Inventario de activos. Identificar amenazas y vulnerabilidades. Identificar impactos. Análisis y evaluación de riesgos. Selección de controles y SOA

Definir plan de tratamiento de riesgos.

Implantar plan de tratamiento de riesgos.

Implementar los controles Formación y

concienciación. Operar el SGSI.

Revisar el SGSI Medir eficacia de los

controles. Revisar riesgos residuales Realizar auditorías internas

del SGSI. Registrar acciones y

eventos.

Implantar mejoras. Acciones correctivas. Acciones preventivas. Comprobar eficacia de las

acciones.

Compromiso de la Dirección.

Planificación Fechas Responsables.


Pági

na 8


START: ARRANQUE DEL PROYECTO

Compromiso de la Dirección: una de las bases fundamentales sobre las

que iniciar un proyecto de este tipo es el apoyo claro y decidido de la

Dirección de la organización. No sólo por ser un punto contemplado de

forma especial por la norma sino porque el cambio de cultura y

concienciación que lleva consigo el proceso hacen necesario el impulso

constante de la Dirección.

Planificación, fechas, responsables: como en todo proyecto de

envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican

sus efectos positivos sobre el resto de fases.


Pági

na 9


PLAN: ESTABLECER EL SGSI

Definir alcance del SGSI: en función de características del negocio,

organización, localización, activos y tecnología, definir el alcance y los

límites del SGSI (es recomendable empezar por un alcance limitado).

Definir política de seguridad: que incluya el marco general y los objetivos

de seguridad de la información de la organización, tenga en cuenta los

requisitos de negocio, legales y contractuales en cuanto a seguridad,

esté alineada con la gestión de riesgo general, establezca criterios de

evaluación de riesgo y sea aprobada por la Dirección.

Definir el enfoque de evaluación de riesgos: definir una metodología de

evaluación de riesgos apropiada para el SGSI y las necesidades de la

organización, desarrollar criterios de aceptación de riesgos y determinar

el nivel de riesgo aceptable. DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI

Pági

na

10


Inventario de activos: todos aquellos activos de información que tienen

algún valor para la organización y que quedan dentro del alcance del

SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los

activos del inventario.

Identificar los impactos: los que podría suponer una pérdida de la

confidencialidad, la integridad o la disponibilidad de cada uno de los

activos.

Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo

de seguridad (es decir, que una amenaza explote una vulnerabilidad) y

la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo

resultante y determinar si el riesgo es aceptable (en función de los niveles

definidos previamente) o requiere tratamiento.

Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo

puede reducido (mitigado mediante controles), eliminado (p. ej.,

eliminando el activo), aceptado (de forma consciente) o transferido (p.

ej., con un seguro o un contrato de outsourcing).

Selección de controles: seleccionar controles para el tratamiento el

riesgo en función de la evaluación anterior. Utilizar para ello los controles

del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones

habrán de ser justificadas) y otros controles adicionales si se consideran

necesarios.

Aprobación por parte de la Dirección del riesgo residual y autorización

de implantar el SGSI: hay que recordar que los riesgos de seguridad de la

información son riesgos de negocio y sólo la Dirección puede tomar

decisiones sobre su aceptación o tratamiento. El riesgo residual es el que

queda, aún después de haber aplicado controles (el "riesgo cero" no

existe prácticamente en ningún caso).

Confeccionar una Declaración de Aplicabilidad: la llamada SOA

(Statement of Applicability) es una lista de todos los controles

seleccionados y la razón de su selección, los controles actualmente

implementados y la justificación de cualquier control del Anexo A

excluido. Es, en definitiva, un resumen de las decisiones tomadas en

cuanto al tratamiento del riesgo. DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI

Pági

na

11


DO: IMPLEMENTAR Y OPERAR EL SGSI

Definir plan de tratamiento de riesgos: que identifique las acciones,

recursos, responsabilidades y prioridades en la gestión de los riesgos de

seguridad de la información.

Implantar plan de tratamiento de riesgos: con la meta de alcanzar los

objetivos de control identificados.

Implementar los controles: todos los que se seleccionaron en la fase

anterior.

Formación y concienciación: de todo el personal en lo relativo a la


Desarrollo del marco normativo necesario: normas, manuales,

procedimientos e instrucciones.

Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

Implantar procedimientos y controles de detección y respuesta a

incidentes de seguridad.


Pági

na

12


CHECK: MONITOREAR Y REVISAR EL SGSI

Ejecutar procedimientos y controles de monitorización y revisión: para

detectar errores en resultados de procesamiento, identificar brechas e

incidentes de seguridad, determinar si las actividades de seguridad de la

información están desarrollándose como estaba planificado, detectar y

prevenir incidentes de seguridad mediante el uso de indicadores y

comprobar si las acciones tomadas para resolver incidentes de seguridad

han sido eficaces.

Revisar regularmente la eficacia del SGSI: en función de los resultados de

auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias

y feedback de todos los interesados.

Medir la eficacia de los controles: para verificar que se cumple con los

requisitos de seguridad. DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI

Pági

na

13


Revisar regularmente la evaluación de riesgos: los cambios en la

organización, tecnología, procesos y objetivos de negocio, amenazas,

eficacia de los controles o el entorno tienen una influencia sobre los

riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.

Realizar regularmente auditorías internas: para determinar si los controles,

procesos y procedimientos del SGSI mantienen la conformidad con los

requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de

seguridad de la organización, están implementados y mantenidos con

eficacia y tienen el rendimiento esperado.

Revisar regularmente el SGSI por parte de la Dirección: para determinar

si el alcance definido sigue siendo el adecuado, identificar mejoras al

proceso del SGSI, a la política de seguridad o a los objetivos de seguridad

de la información.

Actualizar planes de seguridad: teniendo en cuenta los resultados de la

monitorización y las revisiones.

Registrar acciones y eventos que puedan tener impacto en la eficacia o

el rendimiento del SGSI: sirven como evidencia documental de

conformidad con los requisitos y uso eficaz del SGSI.


Pági

na

14


ACT: MANTENER Y MEJORAR EL SGSI

Implantar mejoras: poner en marcha todas las mejoras que se hayan

propuesto en la fase anterior.

Acciones correctivas: para solucionar no conformidades detectadas.

Acciones preventivas: para prevenir potenciales no conformidades.

Comunicar las acciones y mejoras: a todos los interesados y con el nivel

adecuado de detalle.

Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la

eficacia de cualquier acción, medida o cambio debe comprobarse

siempre.


Pági

na

15


REQUERIMIENTOS DE DOCUMENTACIÓN

La documentación debe incluir registros de las decisiones gerenciales, además de

asegurar que las acciones puedan ser monitoreadas y los resultados que se registren

deben ser reproducibles.

La documentación debe incluir:

- Enunciados documentados de la política SGSI y los objetivos.

- El Alcance del SGSI.

- Procedimientos y controles de soporte del SGSI.

- Descripción de la metodología de evaluación del riesgo.

- Reporte de evaluación del riesgo.

- Plan de tratamiento del riesgo.

- Procedimientos documentados (el procedimiento se establece, documenta,

implementa y mantiene) necesarios por la Organización que asegure la

planeación, operación y control de sus procesos de seguridad.

- Registros requeridos por el estándar.

- Enunciado de Aplicabilidad.

La extensión de la documentación SGSI puede diferir de una organización a otra

debido a:

- El tamaño de la organización y el tipo de sus actividades, y

- El alcance y complejidad de los requerimientos de seguridad y el sistema que se

está manejando.

CONTROL DE DOCUMENTOS:

Los documentos requeridos por el SGSI deben ser protegidos y controlados. Se debe

establecer un procedimiento documentado para definir las acciones gerenciales para:

a. Aprobar la idoneidad de los documentos antes de su emisión.

b. Revisar y actualizar los documentos conforme sea necesario y re-aprobar los

documentos.

c. Asegurar que se identifiquen los cambios y el estatus de la revisión actual de los

documentos.

d. Asegurar que las versiones más recientes de los documentos relevantes estén

disponibles en los puntos de uso.


Pági

na

16


e. Asegurar que los documentos se mantengan legibles e identificables.

f. Asegurar que los documentos estén disponibles, y sean almacenados y

finalmente eliminados según su clasificación.

g. Asegurar que se identifiquen los documentos de origen externo.

h. Asegurar que se controle la distribución de documentos.

i. Evitar el uso indebido de documentos obsoletos.

j. Aplicarles una identificación adecuada si se van a retener por algún propósito.

CONTROL DE REGISTROS

Se deben establecer y mantener registros para proporcionar evidencia de

conformidad con los requerimientos y la operación efectiva del SGSI. Deben ser

protegidos y controlados. El SGSI debe tomar en cuenta cualquier requerimiento

legal relevante. Los registros deben mantenerse legibles, fácilmente identificables y

recuperables. Se deben documentar e implementar los controles necesarios para la

identificación, almacenaje, protección, recuperación, tiempo de retención y

disposición de los registros.

NOTA: Son ejemplo de registros, los libros de visitantes, registros de auditoría y

solicitudes de autorización de acceso.


Pági

na

17


RESPONSABILIDAD DE LA GERENCIA

COMPROMISO DE LA GERENCIA.

La gerencia debe proporcionar evidencia de su compromiso con el

establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y

mejoramiento del SGSI, asegurando que se establezca la política SGSI, objetivos y

planes, además de los roles y responsabilidades, y comunicar a toda la organización

la importancia de lograr los objetivos de seguridad.

GESTIÓN DE RECURSOS

Provisión de recursos.- La organización debe determinar y proporcionar los

recursos necesarios para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar un SGSI, además de mantener una seguridad

adecuada mediante la correcta aplicación de todos los controles

implementados.

Capacitación, conocimiento y capacidad.- La organización debe asegurar

que todo su personal a quien se asignó las responsabilidades definidas en el

SGSI sea competente para realizar las tareas requeridas para determinar las

capacidades necesarias para que el personal realice su trabajo,

proporcione la capacitación o realizar otras acciones (ejemplo; emplear al

personal competente), mantener registros de educación, capacitación,

capacidades, experiencia y calificaciones.

La organización debe asegurarse que todo el personal relevante esté consciente de

la relevancia e importancia de sus actividades de seguridad de la información y

cómo ellos pueden contribuir al logro de los objetivos SGSI.


Pági

na

18


AUDITORÍAS INTERNAS SGSI

La organización debe realizar auditorías internas SGSI a intervalos planeados para

determinar si los objetivos de control, controles, procesos, procedimientos del SGSI:

- Cumplen con los requerimientos del estándar y su legislación.

- Cumplen con los requerimientos de seguridad de la información identificados.

- Se implementan y mantienen de manera efectiva.

- Se realizan conforme lo esperado.

Se debe planear un programa de auditoría tomando en consideración el estatus e

importancia de los procesos y áreas a ser auditadas, así como los resultados de

auditorías previas.

Se debe definir el criterio, alcance, frecuencia y métodos de auditoría. La selección

de los auditores y la realización de las auditorías deben asegurar la objetividad e

imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio

trabajo.

Las responsabilidades y requerimientos para la planeación y realización de las

auditorías y para el reporte de resultados y mantenimiento de registros se deben

definir en un procedimiento documentado.

La gerencia responsable para el área siendo auditada debe asegurar que se den

sin demora las acciones para eliminar las no-conformidades detectadas y sus

causas. Las actividades de seguimiento deben incluir la verificación de las acciones

tomadas y el reporte de los resultados de verificación.


Pági

na

19


REVISIÓN GERENCIAL SGSI

La gerencia debe revisar el SGSI de la organización a intervalos planeados (1 vez al

año como mínimo) para asegurarse de su continua idoneidad, conveniencia y

efectividad. Esta revisión incluye oportunidades de evaluación para el mejoramiento

y la necesidad de cambios en el SGSI, incluyendo la política de seguridad y objetivos

de seguridad de la información. Los resultados de las revisiones deben

documentarse claramente y se debe haber registros.

INSUMO DE LA REVISIÓN

El insumo para la revisión gerencial debe incluir:

- Resultados de auditorías y revisiones del SGSI.

- Retroalimentación de las partes interesadas.

- Técnicas, productos o procedimientos, que se podrían utilizar en la organización

para mejorar el desempeño y efectividad del SGSI.

- Status de acciones preventivas y correctivas.

- Vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de

riesgo.

- Cualquier cambio que pudiera afectar el SGSI.

- Recomendaciones para el mejoramiento.

RESULTADO DE LA REVISIÓN

El resultado de la revisión gerencial debe incluir cualquier decisión y acción con:

- Mejoramiento de la efectividad del SGSI.

- Actualización de la evaluación del riesgo y el plan de tratamiento del riesgo.

- Modificación de procedimientos y controles que afectan la seguridad de la

información.

- Necesidades de recursos.

- Mejoramiento de cómo se mide la efectividad de los controles.


Pági

na

20


MEJORAMIENTO DEL SGSI

La organización debe mejorar continuamente la efectividad del SGSI a través del uso

de la política de seguridad de la información, objetivos de seguridad de la información,

resultados de auditoría, análisis de eventos monitoreados, acciones correctivas y

preventivas, y la revisión general.

ACCIÓN CORRECTIVA

La organización debe realizar las acciones para eliminar la causa de las no

conformidades en los requerimientos del SGSI para poder evitar que produzcan

nuevamente. El procedimiento documentado para la acción correctiva debe definir los

requerimientos para:

- Identificar las no-conformidades.

- Determinar las causas de las no-conformidades.

- Evaluar la necesidad de acciones para asegurar que dichas no-conformidades

vuelvan a ocurrir.

- Registrar los resultados de la acción tomada.

- Revisar la acción correctiva tomada.

ACCIÓN PREVENTIVA

La organización debe determinar la acción para eliminar la causa de las no-

conformidades potenciales de los requerimientos SGSI a fin de evitar su ocurrencia. Las

acciones preventivas tomadas deben ser apropiadas para el impacto de los problemas

potenciales. El procedimiento documentado para la acción preventiva debe definir los

requerimientos para:

- Identificar las no-conformidades potenciales y sus causas.

- Evaluar la necesidad para la acción de evitar la ocurrencia de no-

conformidades.

- Determinar e implementar la acción preventiva que sea necesaria.

- Registrar los resultados de la acción tomada.

- Revisar la acción preventiva tomada.

La prioridad de las acciones preventivas se debe determinar en base a los resultados de

la evaluación del riesgo.


Pági

na

21


11 DOMINIOS DE SEGURIDAD

En la búsqueda del mejor estándar para gestionar la seguridad de la información en

una compañía, generalmente los resultados suelen están alrededor de la serie de

normas ISO 27000 ya que reúne todos los lineamientos en materia de gestión de


Una de las normas más importantes, que además es certificable, es la ISO 27001, la cual

está organizada en 11 dominios:

1. Política de Seguridad de información.

Documento de política de seguridad de la información.

En el cual la gerencia debe aprobarlo y comunicarlo a toda la organización. El

documento debe contener:

Definición de seguridad de información, incluye objetivos globales, alcance

y su importancia como mecanismo para compartir información.

Una estructura para el establecimiento de objetivos de control y controles

realizados, estructura para valorizar los riesgos y manejo de riesgos.

Breve explicación de sus políticas, normas y requisitos más importantes para

la organización.

Incluir un reporte de incidencias de seguridad.

Reglas que los usuarios deberían cumplir.

Se debe realizar una revisión de la política de seguridad de la información en

periodos planificados, y los resultados deben reflejar cambios que afecten a la

valoración inicial de los riesgos en la organización.

2. Organización de Seguridad de la información.

Organización interna.

Se debe establecer una estructura de seguridad de información, de manera que

satisfaga los requerimientos, siendo indispensable la participación de todas las

áreas dentro de la organización. Se debe tener en cuenta:

Comité de gestión de seguridad de información.

o Identifica objetivos de seguridad.

o Formula, revisa y aprueba políticas de seguridad.

o Revisa efectividad de la implementación de políticas.

o Proporciona recursos necesarios para la seguridad.

o Aprueba la asignación de roles y responsabilidades.


Pági

na

22


o Inicia planes y programas para mantener el conocimiento de la

seguridad en toda la organización.

Coordinación de la seguridad de información.

o Asegura que las actividades de seguridad sean ejecutadas de

acuerdo a la política de seguridad.

o Manejo de incumplimientos.

o Identifica nuevas amenazas de la información.

o Evalúa la implementación de controles.

o Recomienda acciones en respuesta a incidentes.

Acuerdos de confidencialidad.

o Definir la información a ser protegida.

o Duración del acuerdo, temporal o indefinido.

o Acciones tras finalizar un acuerdo.

o Uso permitido de información confidencial.

o Acciones esperadas en caso se rompa el acuerdo.

Revisión independiente de seguridad de información.

La revisión debe ser llevada por individuos ájenos al área de revisión, deben

poseer habilidades y experiencia. Los resultados deben ser registrados y

reportados a la gerencia. Si durante la revisión se encuentra un mal manejo

de seguridad o no sigue con lo declarado en el documento de política de

seguridad, se deberá tomar acciones correctivas.

Parte externa.

El acceso de terceros a los recursos no debe comprometer la seguridad de

información. Se debe tomar en cuenta:

Qué recursos de información necesita ser accedida.

Qué tipo de acceso necesita los terceros, ejemplo: acceso físico, lógico.

El Valor y sensibilidad de la información involucrada y su criticidad para la

operación del negocio.

Cómo el personal autorizado que tiene acceso puede ser identificado.

El impacto de pérdida o robo de información.

Requerimientos legales y regulatorios que los terceros deben tomar en

cuenta.


Pági

na

23


3. Administración de Activos

Responsabilidad para los recursos

Se debe asignar recursos de la organización, propietarios quienes serán

responsables de mantener una protección adecuada. Se debe realizar:

Inventario de activos, la organización debe identificar los activos, su valor e

importancia.

Propiedad de los recursos, Todos los activos deben ser de propiedad de una

parte designada, siendo éste responsable de asegurar su clasificación y

revisar periódicamente el acceso a ellos.

Uso aceptable de recursos, se debe incluir reglas para usar correctamente

los recursos, incluyendo reglas para Internet y correo electrónico, y una guía

para el uso de dispositivos móviles fuera de la organización.

Clasificación de la información

Guías de clasificación, la información debe ser clasificada de acuerdo a su

valor, requerimientos legales, sensibilidad y criticidad en los procesos.

Etiquetado y tratamiento de la información, el formato de marcado de

información puede ser físico o electrónico de acuerdo al esquema de

clasificación adoptado por la organización.

4. Seguridad de los Recursos Humanos.

Seguridad definiendo el trabajo y recursos.

Se debe definir roles y responsabilidades, con el fin de proteger los activos de

accesos no autorización, divulgación modificación, destrucción o

interferencia.

Selección y política de personal, incluyen la comprobación del currículum

vitae, certificaciones académicas y profesionales.

Revisión de términos y condiciones del empleo, como firmar un acuerdo de

confidencialidad o no divulgación antes de concederle acceso a los

recursos de información.

Durante el empleo

Conocimiento, educación y entrenamiento de seguridad de información,

mediante capacitaciones dándole un entrenamiento continuo y una

correcta preparación para el uso de los recursos de información.


Pági

na

24


Proceso disciplinario, debe asegurar un tratamiento para empleados que

comprometan la seguridad, según la gravedad del impacto en el negocio.

Terminación del empleo.

Retorno de recursos, si la información se manejase fuera de la organización,

es necesario que al finalizar el empleo, o al despedir a un empleado, éste

devuelva la información relevante a la Organización y la borre de su equipo,

con previa documentación.

Remover el derecho de acceso, si ya no trabajas en la Organización, ya no

tienes permisos para acceder a su información.

5. Seguridad Física y Ambiental

Áreas seguras

Perímetro de seguridad físico, para proteger áreas que contienen

recursos importantes.

Entrada física controlada, solo personal autorizado pueda entrar.

Seguridad en oficinas, despachos y recursos, estando los recursos

aislados del acceso al público. El público no debería acceder fácilmente

a los ambientes y oficinas donde haya información sensible.

Protección contra amenazas externas y ambientales, protección contra

incendios, inundaciones, terremotos, explosiones y otros desastres

causados por la naturaleza y por descuido humano.

Seguridad de equipos

Instalación y protección de equipos.

El equipo debe estar protegido para reducir el riesgo de amenazas del

entorno, así como oportunidades de acceso no autorizado.

Utilidades de apoyo, como electricidad, agua, aire acondicionado debe

ser adecuado para los sistemas que ellos están soportando, en el caso

de los servidores. Las utilidades deben ser inspeccionadas regularmente

y probar que funcionen apropiadamente.

Seguridad de cableado, entre cableado de energía y datos.

Mantenimiento de equipos, asegurando su disponibilidad e integridad.

Seguridad de equipos fuera de la Organización, no se debe dejar

desatendido el equipo en lugares públicos.


Pági

na

25


Seguridad en la eliminación de datos, se debe comprobar antes de

reusar o eliminar la información. Se puede utilizar herramientas como

Autopsy.

Remover la propiedad, el equipo no debe estar fuera de lugar sin

autorización.

6. Gestión de Comunicaciones y Operaciones.

Procedimientos y responsabilidades de operación

Documentación de procedimientos operativos.

Estos procedimientos deberían especificar las instrucciones necesarias

para la ejecución detallada de cada tarea y ponerlo al alcance de

todos los usuarios que los necesiten. Incluye:

o Proceso y utilización de la información.

o Instrucciones para manejar errores o excepciones durante la

ejecución.

o Contactos de apoyo en caso de dificultades técnicas.

o Arranque del sistema y procedimientos de recuperación a utilizar.

Control de cambios operacionales, controlar los cambios en equipos,

software o procedimientos para evitar cualquier fallo de seguridad o del

sistema.

Separación de los recursos de desarrollo, prueba y producción, se debe

tener diferentes entornos de trabajo, con el fin de emular la operación

del sistema con datos no sensibles.

Gestión de servicios externos

Establecer un nivel apropiado de seguridad de información y entregar el servicio

de acuerdo con el contratista.

Entrega del servicio, incluyen acuerdos de seguridad, definición de

servicio y aspectos administrativos.

Monitoreo y revisión, debe asegurar que los términos de seguridad y

condiciones de acuerdo se estén cumpliendo. Se realiza regularmente.

Planificación y aceptación del sistema

Garantizar el funcionamiento del sistema, además de brindarle escalabilidad

que permita crecimientos futuros y asegure la continuidad del negocio.


Pági

na

26


Planificación de la capacidad, se comprueban las demandas actuales y

proyecciones en requisitos futuros para asegurar la disponibilidad de

procesamiento y almacenamiento adecuados, así evitar los posibles

cuellos de botella que representen una amenaza a la seguridad del

sistema o servicios al usuario final.

Aceptación del sistema, establece criterios de aceptación de versiones

nuevas o mejoradas, se prueba antes de aceptarlo, y dichas versiones

deben estar bien definidas, acordadas, documentadas y probadas.

Protección contra software malicioso

Evita crear agujeros de seguridad mediante la prevención y detección de

software malicioso.

Controles contra software malicioso, se implementa controles para

detección, prevención y recuperación, se considera:

o Políticas que prohíban uso de software no autorizado.

o Políticas contra riesgos asociados a archivos y software

provenientes de redes externas.

o Revisiones regulares de datos contenidos en los sistemas que

soportan procesos críticos de la organización.

o Instalar y actualizar software de detección de código malicioso.

o Preparar planes de continuidad de negocio para recuperarse en

caso de un ataque de virus que incluyan respaldos de datos.

o Recopilar información de nuevos códigos maliciosos e

implementar procedimientos para informarlos.

Gestión interna de respaldo

Garantizar la continuidad del negocio, preservando los servicios del tratamiento

de información y comunicaciones.

Recuperación de información, hacer y probar copias de seguridad de

toda la información esencial del negocio y software de acuerdo con la

política de respaldo, se define un nivel mínimo de respaldo y almacenarlo

en lugares para evitar daños por un desastre.

Gestión de la seguridad de redes

Proteger la información de las redes y tener una infraestructura estable de redes

de comunicaciones.


Pági

na

27


Controles de redes, administrar adecuadamente las redes para

mantener intacta la información en circulación.

Seguridad de servicios de red, identificar características de seguridad,

niveles de servicio, administración de requerimientos de todos los

servicios.

Utilización de medios de información

Usar apropiadamente medios de información de tal manera que se minimicen

datos a los activos.

Gestión de medios removibles, como cintas, discos o resultados impresos.

o Se deben borrar, eliminar o almacenar en un entorno seguro.

Eliminación de medios, eliminar los medios de forma segura y sin peligro

cuando ya no se necesiten, si es que existen organizaciones cuyos

servicios son de recolección y eliminación de papel, equipos y medios, se

debe cuidar la selección de proveedores adecuados según experiencia.

Procedimientos de manipulación de la información, se establecen

procedimientos, coherentes con la clasificación de la información para

protegerla de mal uso o divulgación no autorizada.

Seguridad de la documentación de sistemas, se debe almacenar con

seguridad, limitar el acceso a la documentación y proteger si está en una

red pública.

Intercambio de información

Políticas y procedimientos de intercambio de información, controles a ser

seguidos cuando se usa medios de comunicación electrónicos,

protección ante Phishing, uso de comunicaciones inalámbricas, técnicas

criptográficas, o recordar al personal de no divulgar información sensible.

Acuerdos de intercambio, Se deben realizar con el fin de intercambiar

información y software entre la organización y partes externas. Se

consideran condiciones de seguridad como:

o Procedimientos para asegurar identificación y no repudiación.

o Normas para empaquetar y transmitir.

o Responsabilidad para protección de derechos de autor, licencias

de software, protección de datos.

Seguridad en medios en tránsito, mensajeros fiables, comprobación de

identidad de los mensajeros.


Pági

na

28


Mensajería electrónica, protección contra acceso no autorizado,

modificación o deniego de servicio, consideraciones legales (firmas

electrónicas).

Servicios de comercio electrónico

Comercio electrónico, información involucrada en comercio electrónico

que pasa sobre una red pública debe ser protegida de actividades

fraudulentas, exigiendo nivel de confidencialidad con la autenticación.

Transacciones en línea, para prevenir transmisiones incompletas, pérdida

de enrutamiento, alteración de mensajes, duplicidad de mensajes.

Publicidad de información disponible, se debe cuidar la integridad de la

información publicidad, a fin de evitar dañar la reputación de la

organización.

Monitorización

Registros de auditoría, registrar las actividades de usuarios, así como

eventos de seguridad que sirva de ayuda en investigaciones futuras. Se

incluye:

o ID de usuario.

o Fecha, Hora y detalles del evento.

o Registrar intento de acceso (exitoso, fracaso)

o Cambios en la configuración.

o Privilegios de usuario.

o Direcciones de red, protocolos.

o Acceso a archivos, tipo de acceso.

o Entre otros.

Monitorizando el uso del sistema, el nivel de monitorización requerido

para recursos individuales debe ser determinado por la valoración de

riesgos, así como la criticidad de los procesos y el valor de la información

sensible.

Registro de administrador y operador, los registros deben incluir:

o Tiempo de ocurrencia del evento.

o Información del evento (ejemplo: Manipulación de archivos)

o Información de la falla (ejemplo: Un error ha ocurrido. Y las

medidas correctivas correspondientes)

o Cuentas involucradas (Administrador, Operador)

o Procesos involucrados.


Pági

na

29


Sincronización del reloj, los relojes de información de los sistemas de

información dentro de la organización deben estar sincronizados con una

fuente de tiempo exacta. Dicha sincronización puede estar bajo un

estándar como por ejemplo UTC, Coordinación Universal de Tiempo y

debe haber un procedimiento que verifique y corrija cualquier variación

significante.

7. Sistema de Control de Accesos.

Requisitos de negocio.

Se debe controlar el acceso a la información y los procesos de negocio sobre la

base de los requisitos de seguridad y negocio.

Política de control de accesos, debe estar bien definido y documentado

los requisitos del negocio para el control de acceso, definiéndose de

forma clara las reglas y derechos de cada usuario.

Gestión de acceso de usuarios.

Establecer procedimientos formales para controlar la asignación de derechos de

acceso a los sistemas y servicios.

Registro de usuarios, para el ingreso y salida de usuarios para garantizar y

revocar el acceso a sistemas y servicios de información. Identificador

único para cada usuario, nivel de acceso, y la eliminación cuando deja

la organización.

Gestión de privilegios, según la necesidad de uso de la información.

Gestión de contraseñas de usuario, una contraseña es un medio, para

validad la identidad de un usuario con el fin de acceder a un sistema o

servicio de información. Un proceso de gestión formal debería:

o Firmar un compromiso con los usuarios para mantener secretas sus

contraseñas.

o Proporcionar una contraseña temporal segura para cada usuario

que se cambiará inmediatamente después.

o Procedimientos para verificar la identidad de un usuario antes de

proveerle una contraseña.

o No almacenar las contraseñas en la computadora sin previa

protección.


Pági

na

30


Responsabilidades de los usuarios.

Cada usuario debe ser consciente y responsable en el acceso a un sistema.

Uso de contraseñas, los usuarios deben:

o Mantener confidencialidad de las contraseñas.

o Evitar la escritura de la contraseña en papel.

o Cambiar la contraseña si existe indicio de vulnerabilidad.

o Seleccionar contraseña fuerte, de varios caracteres.

o Cambiar contraseñas cada periodo de tiempo.

o No divulgar las contraseñas fuera del negocio ni dentro.

Equipo informático de usuario desatendido.

o Al terminar la jornada laboral, cerrar sesiones activas.

o Proteger el terminal bloqueando el teclado cuando se esté fuera

del puesto de trabajo.

Políticas de limpieza de pantalla y escritorio, quitar información sensible

del negocio del escritorio.

o Dejar protector de pantalla protegido con contraseña al

reactivar.

Control de acceso a la red.

Políticas de uso de servicios de la red, los usuarios solo deberían tener

acceso directo a los servicios para los que estén autorizados de una

forma específica.

Autenticación de usuarios para conexiones externas, utilizar algún

mecanismo de verificación de la dirección del usuario en la red para

asegurarse del origen de las conexiones.

Protección a puertos.

Segregación en las redes, se configura un gateway que controle accesos

y flujos de información entre dominios.

Control de enrutamiento, mediante conversión de direcciones que sirve

para aislar redes y evitar rutas de propagación desde la red.

Control de acceso al sistema operativo

Las prestaciones de seguridad a nivel de sistema operativo se deberían utilizar

para restringir el acceso a los recursos del computador.

• Procedimientos de conexión de terminales.

• Identificación y autenticación del usuario.

• Gestión de contraseñas.

• Desconexión automática de terminales.


Pági

na

31


• Limitación del tiempo de conexión.

Control de acceso a las aplicaciones.

Restringir el acceso lógico al software y a la información, solo personal

autorizado.

• Restricción de acceso a la información.

• Aislamiento de sistemas sensibles.

Informática móvil y teletrabajo

• Informática móvil, se debería adoptar especial cuidado para asegurar

que la información no se comprometa cuando se usan dispositivos

móviles, se debe formalizar una política que tenga en cuenta los riesgos.

• Teletrabajo, emplea tecnologías de comunicación para que el personal

pueda trabajar de manera remota desde un lugar fijo ubicado fuera de

la organización, se debe proteger debidamente el lugar de teletrabajo.

8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

Requisitos de seguridad de los sistemas.

Todos los requisitos, incluyendo contingencias, infraestructura, aplicaciones de

negocio, deberían ser identificados y justificados en la fase de requisitos de un

proyecto, consensuado y documentado como parte del proceso de negocio

global.

Análisis de especificación de requisitos de seguridad, los requisitos deben

reflejar el valor de los activos de información implicados y el posible daño

a la organización que resultaría de fallos o ausencia de seguridad.

Seguridad de aplicaciones del sistema.

Diseñar medidas de control que incluyan validación de datos de entrada,

tratamiento interno y datos de salida.

Control de proceso interno, incorporar a los sistemas comprobaciones de

validación para detectar corrupción de datos. Aspectos a considerar:

o Restricción del uso de “Anadir” y “Borrar” para cambiar datos.

o Evitar que corra software después del fallo de un proceso.

o Uso de software de recuperación después de fallas.

o Protección contra ataques de desbordamiento de búfer.

Autenticación de mensajes, detecta cambios no autorizados del

contenido de un mensaje transmitido electrónicamente.

Controles criptográficos.

Para proteger la información, cuando otras medidas y controles no ayuden.


Pági

na

32


Política de uso de controles criptográficos, gestión de claves, nivel de

protección y normas para adoptar una eficaz implantación.

Gestión de claves.

o Técnicas de clave secreta, dos o más partes comparten clave para

cifrar como para descifrar la información.

o Técnicas de clave pública, cada usuario tiene dos claves, pública y

otra privada.

o El sistema de gestión de claves debe estar basado en normas,

procedimientos y métodos seguros para generar claves para

aplicaciones.

o Definir fechas de activación y desactivación para usar en periodo

limitado.

Seguridad de archivos del sistema.

Su mantenimiento de integridad debería ser responsabilidad del grupo de

desarrollo o del usuario a quien pertenezcan las aplicaciones.

Control de software en producción, controlar la implantación de software

en los sistemas operativos.

Protección de datos de prueba del sistema.

Control de acceso a la librería de programas fuente, librerías fuera del

sistema operativo, informática no debería tener acceso, actualización de

librerías solo por el responsable, y mantener un registro de auditoría de

todos los accesos a las librerías.

Seguridad en procesos de desarrollo y soporte.

Procedimientos de control de cambios.

Revisión técnica de cambios en el S.O.

Restricciones en cambios a paquetes de software.

Canales encubiertos y código troyano, cubrir todos los canales por

donde puede salir información.

Desarrollo externo del software, acuerdos bajo licencia, y derechos de

propiedad intelectual, realizando pruebas antes de la implantación para

detectar código troyano.

Gestión de vulnerabilidad técnica.

Se debe dar la información oportuna sobre vulnerabilidades técnicas de SI que

son utilizados en la organización, y la evaluación de la exposición de la

organización a tales vulnerabilidades.


Pági

na

33


9. Administración de Incidentes de Seguridad de la Información

Divulgación de eventos y debilidades de la seguridad de la información.

Divulgación de eventos de SI, establecer procedimientos de divulgación

de la seguridad de la información, junto con una respuesta del incidente

y un procedimiento de escalada, precisando la acción que se realizará.

Divulgación de debilidades de SI, todos los empleados, deben divulgar

cualquier debilidad observada o sospechada de la seguridad en

sistemas o servicios. Siendo este mecanismo fácil, accesible y tan

disponible como sea posible.

Administración de incidentes y mejoras de la seguridad de la información

Responsabilidades y procedimientos, se deben definir para manejar

acontecimientos y debilidades de SI con eficacia una vez que se hayan

divulgado. Un proceso de la mejora continua se debe aplicar a la

respuesta, supervisión, evaluación y administración total de incidentes de

seguridad de información.

Aprendizaje desde incidentes de seguridad de la información, debe

haber mecanismos que permitan la cuantificación y supervisión de

incidentes de SI. La información obtenida de la evaluación de incidentes

se debe utilizar para identificar impactos de incidentes que se repiten.

Colección de evidencia, se deben desarrollar procedimientos internos

para recoger y presentar evidencia.

10. Plan de Continuidad del Negocio.

Debe incluir controles para identificar y reducir riesgos, limitando la

consecuencia de incidencias dañinas y asegurar la reanudación a tiempo de

las principales operaciones. Así como reducir la interrupción causada por

desastres y fallas de seguridad. Debe incluir:

Proceso de gestión de la continuidad del negocio.

o Comprender riesgos desde su impacto.

o Identificar activos envueltos en procesos críticos del negocio.

o Considerar adquisición de seguros adecuados para la

continuidad del negocio.

o Implementar controles de prevención y mitigación.

o Asegurar que la gestión de continuidad del negocio se incorpore

a los procesos y estructura de la organización.


Pági

na

34


Desarrollo e implantación de planes de contingencia, es un control

definido para asegurar la disponibilidad de la información en niveles

aceptables y de acuerdo al nivel crítico en el negocio. Se identifica:

o Identificar procedimientos de emergencia.

o Identificar pérdida aceptable de información y servicios.

o Documentar y formar al personal sobre los procedimientos de

emergencia acordados.

o Prueba y actualización de los planes.

Prueba, mantenimiento y reevaluación de los planes, los planes de

continuidad se deberían probar y mantener con ayuda de revisiones y

actualizaciones regulares. Se usan técnicas para proporcionar la

seguridad de que los planes funcionarán en la vida real. Debe incluir:

o Prueba sobre el papel de varios escenarios.

o Simulaciones.

o Pruebas de recuperación técnica y en un lugar alternativo.

o Pruebas de recursos y servicios del proveedor.

11. Cumplimiento

Se busca evitar cualquier incumplimiento con cualquier ley civil o penal, requisito

reglamentario, regulación u obligación contractual y todo requisito de

seguridad.

Se identifica la legislación aplicable, es decir todos los requisitos legales,

regulatorios que sean importantes.

Derechos de propiedad intelectual, se debería implantar procedimientos

apropiados para asegurar el cumplimiento de restricciones legales sobre

el uso de material protegido como derechos de autor y productos de

software propietario.

Salvaguarda de registros de la organización, se debería proteger los

registros importantes frente a su pérdida, destrucción y falsificación.

Protección de datos y privacidad de información personal.

Evitar un mal uso de los recursos, es decir si se emplean en fines no

autorizados o fuera del negocio, si se identifica debe darse a conocer al

gerente responsable para la acción disciplinaria apropiada.

Conformidad con la política de seguridad.

Controles de auditoría de sistemas, buscando maximizar la efectividad y

minimizar las interferencias en los procesos, se establecen salvaguardas

para sistemas operativos y herramientas de auditoría.


Pági

na

35


FACTORES DE ÉXITO

La concienciación del empleado por la seguridad. Principal objetivo a

conseguir.

Realización de comités de dirección para acciones de mejora.

Creación de un sistema de gestión de incidencias que recoja notificaciones

continuas por parte de los usuarios (los incidentes de seguridad deben ser

reportados y analizados).

La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

La seguridad no es un producto, es un proceso.

La seguridad no es un proyecto, es una actividad continua y el programa de

protección requiere el soporte de la organización para tener éxito.

La seguridad debe ser inherente a los procesos de información y del negocio.

RIESGOS

Exceso de tiempos de implantación: con los consecuentes costes

descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

Temor ante el cambio: resistencia de las personas.

Discrepancias en los comités de dirección.

Delegación de todas las responsabilidades en departamentos técnicos.

No asumir que la seguridad de la información es inherente a los procesos de

negocio.

Planes de formación y concienciación inadecuados.

Calendario de revisiones que no se puedan cumplir.

Definición poco clara del alcance.

Exceso de medidas técnicas en detrimento de la formación, concienciación y

medidas de tipo organizativo.

Falta de comunicación de los progresos al personal de la organización.


Pági

na

36


BENEFICIOS

• Establecimiento de una metodología de gestión de la seguridad clara y

estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y

confidencialidad comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del

sistema y las áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,

OHSAS 18001L).

• Continuidad de las operaciones necesarias de negocio tras incidentes de

gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad

intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la

competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la

compra sistemática de productos y tecnologías.


Pági

na

37


CONSEJOS BÁSICOS

Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro

de trabajo, un proceso de negocio clave, un único centro de proceso de datos

o un área sensible concreta; una vez conseguido el éxito y observados los

beneficios, ampliar gradualmente el alcance en sucesivas fases.

Comprender en detalle el proceso de implantación: iniciarlo en base a

cuestiones exclusivamente técnicas es un error frecuente que rápidamente

sobrecarga de problemas la implantación; adquirir experiencia de otras

implantaciones, asistir a cursos de formación o contar con asesoramiento de

consultores externos especializados.

Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

La autoridad y compromiso decidido de la Dirección de la empresa (incluso si al

inicio el alcance se restringe a un alcance reducido) evitarán un muro de

excusas para desarrollar las buenas prácticas, además de ser uno de los puntos

fundamentales de la norma.

La certificación como objetivo: aunque se puede alcanzar la conformidad con

la norma sin certificarse, la certificación por un tercero asegura un mejor

enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de

alcanzar el éxito.

No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener

información relativa a la gestión de la seguridad de la información de otros

métodos y marcos reconocidos.

Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como

estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es

conveniente pedir ayuda e implicar a auditores internos y responsables de otros

sistemas de gestión.

Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el

proyecto debe ser capaz de trabajar con continuidad en el proyecto.

Registrar evidencias: deben recogerse evidencias al menos tres meses antes del

intento de certificación para demostrar que el SGSI funciona adecuadamente.


Pági

na

38

iso27001 - auditoria si

Documents

procesos sgsi

auditoras internas sgsi

revisin gerencial sgsi

ingeniera de sistemas

celi arevalo ernesto

factores de xito

contenido introduccin

dominios de seguridad