La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

RIESGOS Y SEGURIDAD

¿Se tiene una política formal y se han adoptado contro-les adecuados para la protección de riesgos de infor-mación? ¿Cuánto pagaría la competencia por su infor-mación confidencial? ¿Su base de datos está protegida?

Para poder responder a estas preguntas de manera con-tundente, y poder protegernos de forma óptima hacia to-dos los ataques en cuanto a seguridad de la información, tenemos que tener muy presente en nuestra organiza-ción norma ISO 27001.

La ISO 27001, Sistemas de Gestión de Seguridad de la Información es la norma que especifica los requisitos ne-cesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información garantizando el aseguramiento, la confidencialidad e in-tegridad de los datos y de la información, así como de los sistemas que la procesan.

El objetivo principal de la implantación de un SGSI es el control y mitigación de los riesgos de seguridad de la in-formación a los que se encuentra expuesta la organiza-ción y que pueden afectar gravemente tanto a la propia empresa como a su entorno.

Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión

La Norma ISO 27001 y laimportancia de la Gestión dela Seguridad de la Información

La norma ISO 27001 adquiere cada vez más un papel más importante en las organizaciones, debido a la gran dependencia que existe de los sistemas de información. La vulnerabilidad de cualquier tipo de información puede traer consigo consecuencias muy importantes para dicha organización, así como sus grupos de interés.

Este estándar internacional fue publicado como tal por la International Organization for Standardization y por la comisión International Electrotechnical Commission en octubre del año 2005 y actualmente es el único estándar aceptado a nivel internacional para la gestión de la Segu-ridad de la Información.

Pero la ISO 27001, tal y como la conocemos hoy en día, ha sido resultado de la evolución de otros estándares relacionados con la seguridad de la información. En el pasado año 2013 se publicó la nueva versión que ha su-puesto algunos cambios en su estructura, evaluación y tratamiento de los riesgos.

La norma ISO 27001 es certificable, teniendo un recono-cimiento internacional. Cualquier organización que tenga implantado un SGSI puede solicitar una auditoría a una

Introducción

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

entidad certificadora acreditada para obtener la certificación del sistema según ISO 27001.

La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013, debido a que esta nueva versión de la norma está adaptada a los requisitos del Anexo SL., que es la nueva estructura ISO para cualquier sistema de gestión y que facilita la integración con cualquier otro sistema de gestión de la organiza-ción, al tener exactamente la misma estructura.

¿Cómo implantar un SGSI en base a ISO 27001?

ISO 27001 posibilita la idea de implantar un siste-ma de gestión de seguridad de la información que pueda operar, monitorear, mantener y mejorar la seguridad de la información.

La implantación de un SGSI debe realizarse de acuerdo a unas pautas marcadas por la ISO 27001, realizándose de manera sistemática, documentada y comunicada a toda la organización.

Por ello, la implantación de un Sistema de Gestión de Seguridad de la Información es útil en cualquier empresa, pero especialmente en aquellas cuya ac-tividad entrañe la exposición a riesgos de seguri-dad de la información que puedan poner en riesgo su continuidad o dañar a terceros.

Existen ciertos pasos previos importantes a la im-plantación, y que la empresa debe afrontar, son los siguientes:

Reunión inicial para identificar y conocer los pro-cesos internos del negocio, documentación de se-guridad… con objetivo de poder definir el alcance.

Auditoría inicial para estar al tanto el estado de situación en seguridad de la información de donde se va a obtener una planificación personalizada y las primeras líneas de actuación.

Análisis y gestión de riesgos para poder realizar

1979

Normas BSLa British Standars Ins-titution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001.1995

1998

2000

2002

2005

2007

2009

2013

BS 7799-1:1995Mejores prácticas para ayudar a las empresas británicas a adminis-trar la Seguridad de la Información. Eran re-comendaciones que no permitían la certifiación ni establecía la forma de conseguirla.

BS 7799-2:1999Revisión de la anterior norma. Estrablecía los requisitos para implantar un Sistema de Gestión de Seguri-dad de la Información certificable. En 1999 se revisa.

ISO/IEC 17799:2000La organización Inter-nacional para la Estan-darización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar gran-des cambios.

BS 7799-2:2002Se publicó una nueva versión que permitió la acreditación de empresas por una en-tidad certificadora de Reino Unido y en otros países.

ISO 17799. Se renom-bra y pasa a ser la ISO 27002:2005ISO/IEC 27001:2007. Se publica la nueva versión

ISO/IEC 27001:2005 e ISO/IEC 17799:2005Aparece el estándar ISO 27001 como norma internacional certifica-ble y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.

ISO 27001: 2007/1M:2009Se publica un do-cumento adicional de modificacio-nes llamado ISO 27001:2007/1M:2009.

Nueva ISO 27001:2013

Evoluciónde la normaISO 27001

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

un inventario de activos añadiendo sus amenazas, vulne-rabilidades, impactos… De esta etapa resulta un plan de tratamiento de riesgos.

Con esto la empresa está lista para implantar el SGSI fun-damentado ISO 27001, siguiendo estos pasos:

Alcance

Toda implantación ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma.

Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI.

Es importante evaluar, aprobar y distribuir la política de seguridad que represente los objetivos y líneas a seguir en materia de seguridad de la información.

Es indispensable que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, apro-bar, dirigir y dotar de recursos a la empresa para llegar al éxito del sistema.

Se creará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome decisiones de alto nivel relativas al SGSI.

Análisis de Riesgos

La siguiente paso es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad suscep-tibles de ser gestionados en relación con la seguridad de la información. Se recomienda, para facilitar esta tarea, clasificar o categorizar los activos.

Se debe tantear la probabilidad de ocurrencia de la ame-naza, el impacto que supondría y definir un nivel de ries-go aceptable por la organización. A continuación se debe pasar al tratamiento de los riesgos no aceptados por la organización.

De esta etapa resultará un plan de tratamiento de riesgos.

Ciclo PDCA

Es el instante de implantar el plan de tratamiento de ries-gos que se creó en la etapa antepuesta.

Revisión por la dirección y auditoría interna

La revisión es responsabilidad del comité de seguridad, y se propondrán cambios y mejoras.

Mejora continua

Mediante el análisis de las no conformidades detectadas se pretende impedir que éstas se vuelvan a producir, me-jorando el SGSI ISO 27001.

En definitiva, la implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto y de los riesgos a los que se encuentra expues-ta. De manera que se asuman y se trabaje en su mini-mización y control de manera sistemática, para mejorar continuamente.

PDCACycle

Planificar (PLAN)Se centra en entender el comportamiento energético de la Organiza-ción para establecer los controles y objetivos necesarios que permitan mejorar el desempeño energético.

Hacer (DO)Busca implementar procedimientos y procesos sistematizados, con el fin de controlar y mejorar el desempeño energético.

Verificar (CHECK)Monitorear y medir procesos y productos en base a las Políticas, Objetivos y características claves de las operaciones y reportar los resultados.

Actuar (ACT)Deben tomarse acciones para mejorar continuamente el desempeño energético en base a los resultados.

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

La implantación de un SGSI basado en ISO 27001, obvia-mente, supone una dedicación e inversión de recursos, pero, como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo.

Con la aplicación de ISO 27001, se obtienen importan-tes mejoras en la competitividad, al mismo tiempo que se mejora su imagen.

Todos estos beneficios vienen derivados del estableci-miento de una operativa basada en la seguridad y la ex-celencia en el tratamiento de la información en la orga-nización, que se traducen en un mejor servicio con una menor inversión.

Estas son las ventajas más destacables que aporta su implantación:

Garantizar la confidencialidad, integridad y dispo-nibilidad de información sensible.

Disminuir el riesgo, con la consiguiente reducción de gastos asociados.

Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados.

Mejorar continuamente la gestión de la seguridad de la información.

Garantizar la continuidad del negocio.

Aumentar de la competitividad por mejora de la imagen corporativa.

Incrementar de la confianza de los stakeholders.

Aumentar de rentabilidad, derivado de un control de los riesgos.

Cumplir la legislación vigente referente a seguri-dad de la información.

Cumplir la legislación vigente referente a seguri-dad de la información.

Aumentar las oportunidades de negocio.

Reducir los costos asociados a los incidentes.

Mejorar la implicación y participación del personal en la gestión de la seguridad.

Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros.

Mejorar los procesos y servicios prestados.

Aumentar de la competitividad por mejora de la imagen corporativa.

Ventajas de implantar un SGSI basado en ISO 27001

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

Nueva versión de ISO 27001:2013

La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero, como contraprestación aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se mejora su imagen.

Otras de las ventajas que aporta su implantación son:

1. Desaparece el apartado “Enfoque a procesos” que es-tablecía una metodología de trabajo en base al ciclo PDCA de mejora continua, ofreciendo una mayor flexibilidad en cuanto a la elección de metodologías de trabajo de análi-sis de riesgos o de mejora continua.

2. Cambio de la estructura de acuerdo al Anexo SL común al resto de estándares ISO, lo que facilita la integración entre sistemas.

3. Este mismo anexo SL, establece un nuevo modelo de estructura de la documentación, que elimina la obliga-toriedad de algunos documentos en la versión anterior, conservándose solamente como obligatoria la declara-ción de aplicabilidad.

4. Se revisan los requisitos y controles. Los requisitos pa-san de ser 102 a 130, lo controles establecidos en el Ane-xo A se eliminan, fusionan y añaden, viéndose aumentado el número de dominios de 11 a 14 y reduciéndose el nú-mero de controles de 133 a 114. Destacamos un nuevo dominio que se crea sobre “Relaciones con el Proveedor” debido a la evolución a la nube o Cloud Computing.

5. Enfoque del análisis del riesgo en la fase de planificación y operación. A partir de ahora para identificar los riesgos no es necesario identificar los activos, las amenazas y sus vulnerabilidades. Sino que se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A para que no se olvide ninguno aplicable.

Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión.

Nueva ISO 27001:2013

DesapareceEnfoque a procesos

Cambio de estructura

que facilita laintegración

Nuevo modelo deestructura

documental

Se revisan requisitos y controles

Enfoque del análisis del riesgo en la fase

de planificación y operación.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Conclusiones

La implantación de un SGSI basado en ISO 27001, supone el co-nocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente.

La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta inte-gración se hace más sencilla con esta nueva versión ISO 27001:2013

Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005.

La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión.

ISOTools es la Plataforma Tec-nológica ideal para facilita la im-plementación, mantenimiento y automatización de su sistemas de gestión de Seguridad en la Información conforme a la nor-ma ISO 27001:2013. Así como dar cumplimiento de manera complementaria y sencilla a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools es una herramienta de gestión integral de la norma que cumple con el ciclo comple-to de la misma, desde las fases de inicio y planificación del pro-yecto hasta el mantenimiento y mejora continua, pasando por el análisis de riesgos, el cuadro de mando, la implantación de procedimientos, etc.

Con ISOTools puede integrar, en una misma Herramienta, este estándar con otros exis-tentes en la organización como ISO 9001, ISO 14001, OHSAS 18001, entre otras.

La Plataforma Tecnológica ISOTools le ayuda a automatizar su sistema ISO 27001