Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2. edicin

Luis Gmez Fernndez Ana Andrs lvarez

Ttulo: Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes. 2. edicin Autores: Luis Gmez Fernndez y Ana Andrs lvarez

AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2012 Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte, sin la previa autorizacin escrita de AENOR. ISBN: 978-84-8143-749-2 Depsito Legal: M-15948-2012 Impreso en Espaa - Printed in Spain Edita: AENOR Maqueta y diseo de cubierta: AENOR Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695 comercial@aenor.es www.aenor.es

ndice

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objeto de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1. 1.2. 1.3. Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . . La Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . . 1.5.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5.2. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9 11 13 13 14 16 16 17 17 17 18 18 18 19 19 23 23 25 25 27 28

1.4.

1.5.

1.6. 2.

Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . 2.1. 2.2. Requisitos generales del sistema de gestin de la seguridad . . . . . . . Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1. Establecimiento del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . 2.2.3. Definicin de la poltica de seguridad . . . . . . . . . . . . . . . . .

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

2.2.4. 2.2.5. 2.2.6. 2.2.7. 2.2.8. 2.2.9. 2.2.10. 2.2.11. 2.2.12. 2.2.13. 2.3.

Identificacin de los activos de informacin . . . . . . . . . . . . Definicin del enfoque del anlisis de riesgos . . . . . . . . . . . Cmo escoger la metodologa del anlisis de riesgos . . . . . Tratamiento de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . Seleccin de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . Implementacin y puesta en marcha del SGSI . . . . . . . . . . . Control y revisin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . Mantenimiento y mejora del SGSI . . . . . . . . . . . . . . . . . . .

28 29 30 31 31 32 32 33 33 34 35 35 35 36 36 37 38 38 39 40 40 41 42 43 44 45 46 47 47 49 50 51 53

Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compromiso de la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditoras internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.8.1. Entradas a la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.8.2. Salidas de la revisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9.1. Accin correctiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.9.2. Accin preventiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.4. 2.5. 2.6. 2.7. 2.8.

2.9.

2.10. El anexo A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Comprender la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. Valoracin y tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Organizacin de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Seguridad ligada a los recursos humanos . . . . . . . . . . . . . . . . . . . . Seguridad fsica y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de comunicaciones y operaciones . . . . . . . . . . . . . . . . . . . .

ndice

3.8. 3.9.

Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adquisicin, desarrollo y mantenimiento de los sistemas . . . . . . . . . .

59 64 67 68 70 73 73 75 76 77 79 83 86 86 88 88 88 89 91 93 97

3.10. Gestin de las incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.11. Gestin de la continuidad del negocio . . . . . . . . . . . . . . . . . . . . . . 3.12. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Definicin e implementacin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9. El proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . Procedimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.10. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11. Auditora interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.12. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. 6. 7. 8. Proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Relacin entre los apartados de la norma y la documentacin del sistema . . Correspondencia entre las Normas UNE-EN ISO 9001:2008, UNE-EN ISO 14001:2004 y UNE-ISO/IEC 27001:2007 . . . . . . . . . . . .

Caso prctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 8.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 8.1.1. Poltica de seguridad de la informacin . . . . . . . . . . . . . . . 8.1.2. Definicin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1.3. Organizacin e infraestructura de seguridad . . . . . . . . . . . . 8.1.4. Clasificacin de la informacin . . . . . . . . . . . . . . . . . . . . . 8.1.5. Anlisis de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . 101 101 101 103 104 104

8.2.

Documentacin del inventario de activos . . . . . . . . . . . . . . . . . . . . . 105 8.2.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

8.2.2. 8.2.3. 8.2.4. 8.3.

Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Relacin proceso de negocio-activos . . . . . . . . . . . . . . . . . 106 Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Documentacin del Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 107 8.3.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 107 8.3.2. Tramitacin del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Documentacin de la Gestin de riesgos . . . . . . . . . . . . . . . . . . . . . 110 8.4.1. Valoracin del riesgo por activos . . . . . . . . . . . . . . . . . . . . 110 Documentacin de la Declaracin de aplicabilidad . . . . . . . . . . . . . 114 8.5.1. Controles aplicados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Documentacin del Plan de tratamiento del riesgo . . . . . . . . . . . . . . 8.6.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del Procedimiento de auditoras internas . . . . . . . . . 8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . 8.7.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Documentacin del Procedimiento para las copias de seguridad . . . . 8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.4. Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.5. Procedimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.6. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . 8.8.7. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8.8. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 123 123 123 123 124 124 125 125 125 125 126 128 128 128 131 131 132 132 132 132 134 134 134

8.4. 8.5. 8.6.

8.7.

8.8.

ndice

9.

Comprender el Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . 137 9.1. 9.2. 9.3. Generalidades del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Principios bsicos del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Requisitos mnimos de seguridad del ENS . . . . . . . . . . . . . . . . . . . . 9.3.1. Organizacin e implementacin del proceso de seguridad . . 9.3.2. Anlisis y gestin de los riesgos . . . . . . . . . . . . . . . . . . . . . 9.3.3. Gestin de personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.4. Profesionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.5. Autorizacin y control de los accesos . . . . . . . . . . . . . . . . . 9.3.6. Proteccin de las instalaciones . . . . . . . . . . . . . . . . . . . . . . 9.3.7. Adquisicin de nuevos productos de seguridad . . . . . . . . . . 9.3.8. Seguridad por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.9. Integridad y actualizacin del sistema . . . . . . . . . . . . . . . . . 9.3.10. Proteccin de la informacin almacenada y en trnsito . . . . 9.3.11. Prevencin ante otros sistemas de informacin interconectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.12. Registro de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.13. Incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.14. Continuidad de la actividad . . . . . . . . . . . . . . . . . . . . . . . . 9.3.15. Mejora continua del proceso de seguridad . . . . . . . . . . . . . 9.3.16. Soporte al cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . Otros requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.1. Comunicaciones electrnicas . . . . . . . . . . . . . . . . . . . . . . . 9.4.2. Auditora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.3. Estado de seguridad de los sistemas . . . . . . . . . . . . . . . . . . 9.4.4. Respuesta a incidentes de seguridad . . . . . . . . . . . . . . . . . . 9.4.5. Normas de conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.6. Actualizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.7. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . . 9.4.8. Formacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 140 140 141 141 141 141 142 142 142 143 143 143 144 144 144 144 145 145 146 146 146 147 147 147 148

9.4.

10. Implementacin del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10.1. El plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 10.2. Adecuacin al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2.1. Planificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 10.2.2. Implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

10.2.3. Verificacin y validacin . . . . . . . . . . . . . . . . . . . . . . . . . . 154 10.2.4. Actualizacin y mejora continua . . . . . . . . . . . . . . . . . . . . . 155 11. Ejemplo prctico: plan de adecuacin . . . . . . . . . . . . . . . . . . . . . . . . . . 157 11.1. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . 157 11.2. Documentacin de la categora del sistema . . . . . . . . . . . . . . . . . . . 158 11.2.1. Criterios de valoracin de los activos . . . . . . . . . . . . . . . . . 158 11.2.2. Categorizacin de sistemas . . . . . . . . . . . . . . . . . . . . . . . . 158 11.3. Documentacin del anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . 11.3.1. Metodologa de anlisis . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.3. Mapas de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.4. Nivel de riesgo aceptable . . . . . . . . . . . . . . . . . . . . . . . . . 160 160 160 161 161

11.4. Documentacin de la declaracin de aplicabilidad . . . . . . . . . . . . . 164 11.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 11.6. Plan de mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 12. Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Normas de referencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Legislacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Otros documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Links de inters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Norma UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Introduccin

La informacin es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez ms con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden daar considerablemente tanto los sistemas de informacin como la informacin procesada y almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestin segura de los procesos del negocio, primando la proteccin de la informacin. Para proteger la informacin de una manera coherente y eficaz es necesario implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este sistema es una parte del sistema global de gestin, basado en un anlisis de los riesgos del negocio, que permite asegurar la informacin frente a la prdida de: Confidencialidad: slo acceder a la informacin quien se encuentre autorizado. Integridad: la informacin ser exacta y completa. Disponibilidad: los usuarios autorizados tendrn acceso a la informacin cuando lo requieran. La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mnimo los riesgos a los que se est expuesto y el impacto que ocasionaran si efectivamente se produjeran.

Objeto de esta gua

El objeto de esta publicacin es facilitar la comprensin de los diversos conceptos involucrados en un sistema de gestin normalizado y contemplar las recomendaciones generales para la implementacin de un SGSI en una pyme, utilizando la norma de facto en el mercado internacional para ello, la Norma UNE-ISO/IEC 27001. Tambin se ofrece una visin general de cmo hacerlo en el caso de utilizar el modelo del Esquema Nacional de Seguridad (ENS), obligatorio por ley en nuestro pas, para la proteccin de los sistemas que soportan la administracin electrnica, visin tambin particularmente de inters para pymes que proporcionen servicios TIC a las Administraciones Pblicas. Tanto la Norma UNE-ISO/IEC 27001 como el ENS, facilitan la mejora en seguridad, aunque pueden resultar de difcil aplicacin para aquellos que no estn familiarizados con los conceptos que tratan. Esta gua no pretende ser preceptiva (existen infinidad de formas de implementar correctamente la norma y el ENS), sino informativa, proporcionando explicaciones bsicas de los requisitos de la norma y orientando respecto a la manera en que se pueden cumplir esos requisitos. Generalmente, una primera aproximacin a la norma puede infundir desconfianza en cuanto a la capacidad de la empresa para poder llevar a cabo todos los requerimientos que expresa. Muchos trminos no se utilizan en la actividad cotidiana de una pyme, tales como riesgos, amenazas, vulnerabilidades. Adems, exige una serie de tareas desconocidas en la operativa habitual, tales como la realizacin de un anlisis de riesgos y la seleccin de controles. Para complicar ms las cosas, se hace referencia a la Norma UNE-ISO/IEC 27002, que especifica una amplia gama de controles de seguridad a implementar, en numerosos casos, con una gran carga de contenido tcnico. Los objetivos, controles e indicaciones contenidos en la Norma

12

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

UNE-ISO/IEC 27002 pueden llegar a ser muy difciles de valorar por un gestor que no cuente con la informacin o la formacin adecuada, hecho que le impedira decidir cabalmente sobre cul es su relevancia para la empresa y las consecuencias de la implementacin o no de un determinado control en ella. Esta gua pretende suplir semejantes carencias, proporcionando informacin detallada sobre el significado prctico de los requisitos de la norma y explicando con ejemplos cmo se pueden realizar, teniendo siempre en cuenta la situacin inicial, los requisitos de seguridad de la empresa y, por supuesto, los recursos disponibles, ya que sin contar con esto ningn sistema de gestin se hallar bien diseado y, por lo tanto, estar condenado al fracaso. Para una mejor comprensin de las implicaciones de los diversos requisitos de la norma, esta gua incluye un ejemplo prctico, basado en una empresa ficticia, con la documentacin bsica que debe incluir un SGSI e indicaciones sobre la informacin que debe recoger cada documento.

Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

1.1. Definicin de un SGSI

Un Sistema de Gestin de Seguridad de la Informacin (SGSI), segn la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestin general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de informacin y sobre la propia informacin que se maneja en la organizacin. Nos permitir conocer mejor nuestra organizacin, cmo funciona y qu podemos hacer para que la situacin mejore. La norma especifica que, como cualquier otro sistema de gestin, el SGSI incluye tanto la organizacin como las polticas, la planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentacin de soporte como las tareas que se realizan. Los sistemas de gestin que definen las normas ISO siempre estn documentados, ya que, por un lado, es la mejor manera de formalizar normas e instrucciones y, por otro, son ms fciles de transmitir y comunicar, cosa que no sucedera si se confa en un traspaso de informacin verbal informal. La norma es compatible con el resto de las normas ISO para sistemas de gestin (UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idntica estructura y requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de los sistemas de gestin que existan en la empresa para no duplicar esfuerzos. Incluso cuando no exista un sistema de gestin formal, el amplio conocimiento actual de estos sistemas hace que las principales caractersticas de la norma sean

14

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

comprensibles para la mayora de la gente, y que para explicarla en detalle sea suficiente con incidir en las diferencias fundamentales, a saber, que con un SGSI lo que tratamos es de gestionar la seguridad de la informacin de nuestra organizacin.

1.2. El ciclo de mejora continua

Para establecer y gestionar un sistema de gestin de la seguridad de la informacin se utiliza el ciclo PDCA (conocido tambin como ciclo Deming), tradicional en los sistemas de gestin de la calidad (vase la figura 1.1). El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por algunos de los ms sobresalientes personajes del mundo de la calidad. Esta metodologa ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases. El modelo PDCA o Planificar-Hacer-Verificar-Actuar (Plan-Do-Check-Act, de sus siglas en ingls), tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y mtricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organizacin: Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y disea el programa, sistematizando las polticas a aplicar en la organizacin, cules son los fines a alcanzar y en qu ayudarn a lograr los objetivos de negocio, qu medios se utilizarn para ello, los procesos de negocio y los activos que los soportan, cmo se enfocar el anlisis de riesgos y los criterios que se seguirn para gestionar las contingencias de modo coherente con las polticas y objetivos de seguridad. Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. Las polticas y los controles escogidos para cumplirlas se implementan mediante recursos tcnicos, procedimientos o ambas cosas a la vez, y se asignan responsables a cada tarea para comenzar a ejecutarlas segn las instrucciones. Check. Esta fase es la de monitorizacin y revisin del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. Adems, hay que verificar el grado de cumplimiento de las polticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones y auditoras.

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

15

Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar los fallos, detectados en las auditoras internas y revisiones del SGSI, o cualquier otra informacin relevante para permitir la mejora permanente del SGSI. La mejora continua es un proceso en s mismo. Debe entenderse como la mejora progresiva de los niveles de eficiencia y eficacia de una organizacin en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados propios. Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este tipo. El objetivo debera ser disear un SGSI que se ajuste lo ms posible a la realidad de la organizacin, que contemple las medidas de seguridad mnimas e imprescindibles para proteger la informacin y cumplir con la norma, pero que consuma pocos recursos e introduzca el menor nmero de cambios posibles. De esta manera, el SGSI se podr integrar de una forma no traumtica en la operativa habitual de la organizacin, dotndola de herramientas con las que hasta entonces no contaba que puedan demostrar su eficacia a corto plazo. La aceptacin de este primer SGSI es un factor de xito fundamental. Permitir a la organizacin ir mejorando su seguridad paulatinamente y con escaso esfuerzo.

Tomar acciones correctivas y preventivas

Act

Plan

Definir poltica y alcance

Revisar y auditar el SGSI

Check

Do

Implementar el SGSI

Figura 1.1. Ciclo PDCA

16

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

1.3. La Norma UNE-ISO/IEC 27001

1.3.1. Origen de la norma
ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotcnica Internacional) constituyen el sistema especializado para la normalizacin a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a travs de comits tcnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en los campos de inters mutuo. En el campo de la tecnologa de la informacin, ISO e IEC han establecido un comit tcnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unin de este comit tcnico, son enviados a los organismos de las diferentes naciones para su votacin. La publicacin como norma internacional requiere la aprobacin de, por lo menos, el 75% de los organismos nacionales que emiten su voto. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Britnico (como BS 7799), y adoptada bajo la supervisin del subcomit de tcnicos de seguridad del comit tcnico ISO/IEC JTC 1, en paralelo con su aprobacin por los organismos nacionales miembros de ISO e IEC. Una vez que fue publicada la Norma ISO/IEC 17799-1 (actualmente se corresponde con la Norma ISO/IEC 27002), Reino Unido (BSI) y Espaa (AENOR) elevaron al comit internacional sus normas nacionales sobre las especificaciones de los sistemas de gestin de la seguridad de la informacin (SGSI), BS 7799-2 y UNE 71502 respectivamente, siendo estas normas el origen de lo que finalmente acabo publicndose como norma internacional ISO/IEC 27001 en el ao 2005, que fue adoptada como norma espaola UNE-ISO/IEC 27001 en el ao 2007, tras un periodo de convivencia con la norma anteriormente mencionada. Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 estn en proceso de revisin internacional, y se espera que se publiquen las nuevas versiones a lo largo del ao 2013. Como se ha comentado anteriormente, este estndar internacional adopta tambin el modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora continua que consiste en planificar, desarrollar, comprobar y actuar en consecuencia con lo que se haya detectado al efectuar las comprobaciones. De esta manera se conseguir ir refinando la gestin, hacindola ms eficaz y efectiva.

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

17

1.3.2. Objeto y campo de aplicacin de la norma

La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemas de gestin, est pensada para que se emplee en todo tipo de organizaciones (empresas privadas y pblicas, entidades sin nimo de lucro, etc.), sin importar el tamao o la actividad. Esta norma especifica los requisitos para la creacin, implementacin, funcionamiento, supervisin, revisin, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organizacin. Es decir, explica cmo disear un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organizacin o de partes de la misma, pero no aclara mediante qu procedimientos se ponen en prctica. Por ejemplo, uno de los principales requisitos es la realizacin de un anlisis de riesgos con unas determinadas caractersticas de objetividad y precisin, pero no aporta indicaciones de cul es la mejor manera de llevar a cabo dicho anlisis. Puede ejecutarse con una herramienta comercial, con una aplicacin diseada expresamente para la empresa, mediante reuniones, entrevistas, tablas o cualquier otro mtodo que se estime oportuno. Todos estos recursos servirn para cumplir la norma, siempre y cuando se observen los requisitos de objetividad del mtodo, los resultados sean repetibles y la metodologa se documente.

1.4. La Norma UNE-ISO/IEC 27002

1.4.1. Origen
La Norma UNE-ISO/IEC 27002 Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, ha sido elaborada por el AEN/CTN 71/SC 27 Tcnicas de seguridad que pertenece al comit tcnico conjunto ISO/IEC JTC 1/SC 27 Tecnologa de la informacin. En ambas normas el contenido es idntico, diferencindose nicamente en la numeracin, que ha sido modificada en el marco de la creacin de la familia de normas ISO 27000. Esta norma se est desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Tal familia incluye normas internacionales sobre requisitos, gestin del riesgo, mtricas y mediciones, as como una gua de implementacin de los sistemas de gestin de la seguridad de la informacin. Dicha familia de normas tiene un esquema de numeracin que utilizar los nmeros de la serie 27000.

18

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

1.4.2. Objeto y campo de aplicacin

La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementacin, el mantenimiento y la mejora de la gestin de la seguridad de la informacin en una organizacin. Es un catlogo de buenas prcticas, obtenido a partir de la experiencia y colaboracin de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comnmente aceptados para la gestin de la seguridad de la informacin. Los objetivos de control y los controles de esta norma internacional tienen como fin servir de gua para el desarrollo de pautas de seguridad internas y prcticas efectivas de gestin de la seguridad. Por ello, la eleccin de los controles permanece sujeta a lo detectado en un anlisis de riesgos previo, y el grado de implementacin de cada uno de los controles se llevar a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organizacin para alcanzar as un balance razonable entre seguridad y coste.

1.5. El Esquema Nacional de Seguridad (ENS)

1.5.1. Origen
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos est siendo el motor y la gua de la administracin electrnica. Esta ley ha dado paso a una nueva etapa en la gestin de la Administracin Pblica, impulsando la adopcin de los medios tecnolgicos actualmente disponibles para realizar tareas de gestin y facilitando a los ciudadanos el acceso a la Administracin Pblica en contextos ms adecuados a la realidad social. Esta ley, en su artculo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Pblicas por medios electrnicos con la misma validez que por los medios tradicionales, y estipula que stas utilicen las tecnologas de la informacin asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservacin de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. Tambin determina que la herramienta para conseguir este objetivo ser el Esquema Nacional de Seguridad, que establecer una poltica de seguridad en la utilizacin de medios electrnicos, y contar con unos principios bsicos y una serie de requisitos mnimos que permitirn una proteccin adecuada de los sistemas y la informacin. El ENS est regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los requisitos tcnicos y organizativos que se deben cumplir para proteger la informacin dentro del mbito de aplicacin del mismo. Por tanto, se puede decir que trata

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

19

la proteccin de la informacin y de los servicios en el mbito de la administracin electrnica y que, a la luz de principios y requisitos generalmente reconocidos, exige la gestin continuada de la seguridad, aplicando un sistema de gestin de seguridad de la informacin.

1.5.2. Objeto y campo de aplicacin

El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrnicos, de manera que los ciudadanos puedan realizar cualquier trmite con la confianza de que va a tener validez jurdica plena y que sus datos van a ser tratados de manera segura. Toda la Administracin Pblica espaola, Administracin General del Estado, Administraciones de las Comunidades Autnomas, Administraciones Locales, as como las entidades de derecho pblico vinculadas o dependientes de las mismas, estn sujetas al cumplimiento de los requisitos del ENS. Su mbito de aplicacin son los sistemas de informacin, los datos, las comunicaciones y los servicios electrnicos, que permitan a los ciudadanos y a las Administraciones Pblicas el ejercicio de derechos y el cumplimiento de deberes a travs de medios electrnicos.

1.6. Trminos y definiciones

Para cumplir con las intenciones de este documento, conviene aclarar el significado de ciertos trminos y definiciones: Activo Cualquier bien que tiene valor para la organizacin. [ISO/IEC 13335-1:2004] Disponibilidad La propiedad de ser accesible y utilizable por una entidad autorizada. [ISO/IEC 13335-1:2004] Confidencialidad La propiedad por la que la informacin no se pone a disposicin o se revela a individuos, entidades o procesos no autorizados. [ISO/IEC 13335-1:2004]

20

Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes

Seguridad de la informacin La preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. [ISO/IEC 17799:2005] Evento de seguridad de la informacin La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la informacin, un fallo de las salvaguardas o una situacin desconocida hasta el momento y que puede ser relevante para la seguridad. [ISO/IEC TR 18044:2004] Incidente de seguridad de la informacin Un nico evento o una serie de eventos de seguridad de la informacin, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin. [ISO/IEC TR 18044:2004] Sistema de Gestin de la Seguridad de la Informacin (SGSI) [Information Security Management System, ISMS] La parte del sistema de gestin general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin.
Nota: el sistema de gestin incluye la estructura organizativa. las polticas, las actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos.

Integridad La propiedad de salvaguardar la exactitud y completitud de los activos. [ISO/IEC 13335-1:2004] Riesgo residual Riesgo remanente que existe despus de que se hayan tornado las medidas de seguridad. [ISO/IEC Guide 73:2002]

1. Introduccin a los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

21

Aceptacin del riesgo La decisin de aceptar un riesgo. [ISO/IEC Guide 73:2002] Anlisis de riesgos Utilizacin sistemtica de la informacin disponible para identificar peligros y estimar los riesgos. [ISO/IEC Guide 73:2002] Evaluacin de riesgos El proceso general de anlisis y estimacin de los riesgos. [ISO/IEC Guide 73:2002] Estimacin de riesgos El proceso de comparacin del riesgo estimado con los criterios de riesgo, para as determinar la importancia del riesgo. [ISO/IEC Guide 73:2002] Gestin de riesgos Actividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos. [ISO/IEC Guide 73:2002] Tratamiento de riesgos El proceso de seleccin e implementacin de las medidas encaminadas a modificar los riesgos. [ISO/IEC Guide 73:2002].
Nota: en esta norma internacional, el trmino control se utiliza como sinnimo de medida de seguridad.

Declaracin de aplicabilidad Declaracin documentada que describe los objetivos de control y los controles que son relevantes para el SGSI de la organizacin y aplicables al mismo.
Nota: los objetivos de control y los controles se basan en los resultados y conclusiones de la evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organizacin en materia de seguridad de la informacin.