Nte Inen Iso-Iec 27003

INSTITUTO ECUATORIANO DE NORMALIZACIN
Quito - Ecuador
NORMA TCNICA ECUATORIANA
NTE INEN-ISO/IEC 27003:2011

NMERO DE REFERENCIA ISO/IEC 27003:2010(E)
TECNOLOGIA DE LA INFORMACIN TECNICAS DE SEGURIDAD GUIA DE IMPLEMENTACIN DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN.
Primera Edicin
INFORMATION TECHNOLOGY SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEM IMPLEMENTATION GUIDANCE.
First Edition
DESCRIPTORES: Tecnologa de la informacin, grupos de caracteres y cdigos de informacin, tcnicas de seguridad, gua de implementacin, sistema de gestin de la seguridad de la informacin. TI 01.01-301 CDU: 65.012.8 CIIU: 8329 ICS: 35.040
CDU: 65.012.8 ICS: 35.040
CIIU: 8329 TI 01.01-301
Contenido Pgina Prlogo...................................................................................................................................... iv
Introduccin...................................................................................................................................... v 1 2 3 4 4.1 4.2 4.3 Alcance...................................................................................................................................... 1 Referencias normativas........................................................................................................... 1 Trminos y definiciones........................................................................................................ Estructura de esta Norma....................................................................................................... Estructura general de las clusulas ................................................................................. Estructura general de una clusula ..................................................................................... Diagramas ............................................................................................................................... 1 2 2 3 4 5 5 6 9 11 12 12 15 16 17 18 19 20 20 21 23 23 25 25 27 28 29 30 30 33 38 40 44
5 Obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI .... 5.1 Perspectiva general de la obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI... 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI ................................ 5.3 Definir el alcance preliminar del SGSI ............................................................................... 5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la Direccin.. 6 Definir el alcance del SGSI, lmites y polticas del SGSI ........................................... 6.1 Perspectiva general de la definicin del alcance, lmites y polticas del SGSI ................. 6.2 Definir el alcance y lmites organizacionales................................................................... 6.3 Definir el alcance y lmites de las Tecnologas de la Informacin y Comunicacin (TIC) 6.4 Definir el alcance y lmites fsicos .......................................................................................... 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI . 6.6 Desarrollarla poltica del SGSI y obtener la aprobacin de la Direccin................... 7 Realizar el anlisis de los requerimientos de seguridad de la informacin................. .. 7.1 Perspectiva general de la realizacin del anlisis de los requerimientos de seguridad de la informacin........................................................................................ 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI 7.3 Identificar los activos dentro del alcance del SGSI ...... 7.4 Realizar una evaluacin de la seguridad de la informacin.... 8 Realizar la evaluacin del riesgo y la planificacin del tratamiento del riesgo. 8.1 Perspectiva general de la realizacin de la evaluacin del riesgo y la planificacin del tratamiento del riesgo 8.2 Realizarla evaluacin del riesgo...... 8.3 Seleccionar los objetivos de control y los controles.. 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI........................ 9 Diseo del SGSI.......................................................................................................................... 9.1 Perspectiva general del diseo del SGSI .............................................................................. 9.2 Disear la seguridad de la informacin organizacional........................................................ 9.3 Disear la seguridad de la informacin de las TIC y fsica .... 9.4 Disear la seguridad de la informacin especfica del SGSI................................................ 9.5 Producir del plan final del proyecto del SGSI ........................................................................ Anexo A (informativo) Descripcin del listado de verificacin....................................................
45 Anexo B (informativo) Funciones y responsabilidades de la seguridad de la informacin Anexo C (informativo) Informacin relativa a la Auditora Interna.............................................. 49 53
-ii-
2011-684
CDU: 65.012.8 ICS: 35.040
CIIU: 8329 TI 01.01-301
Anexo D (informativo) Estructura de las polticas..................................................................... Anexo E (informativo) Monitoreo y medicin.......................................................................... Bibliografa.................................................................................................................................... Apndice Z ..
55 60 66 67
-iii-
2011-684
CDU: 65.012.8 ICS: 35.040
CIIU: 8329 TI 01.01-301
Prlogo
ISO (la Organizacin Internacional de Normalizacin) e IEC (la Comisin Electrotcnica Internacional) conforman el sistema especializado para la normalizacin a nivel mundial. Los organismos nacionales que son miembros de ISO o de IEC participan en el desarrollo de Normas Internacionales a travs de comits conformados por la respectiva organizacin para manejar los campos especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en los campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y nogubernamentales, en coordinacin con ISO e IEC, t a m b i n p a r t i c i p a n e n e l t r a b a j o . E n e l c a m p o d e l a t e c n o l o g a d e l a i n f o r m a c i n , ISO e IEC han establecido un comit tcnico conjunto, ISO/IEC JTC 1. Las Normas Internacionales son emitidas de acuerdo con las regulaciones constantes en el Instructivo ISO/IEC, Parte 2. La tarea principal del comit conjunto es preparar las Normas Internacionales. El Borrador de las Normas Internacionales adoptadas por el comit tcnico conjunto se lo circula entre los organismos nacionales para someterlo a votacin. La publicacin como Norma Internacional requiere de la aprobacin de al menos el 75% de los organismos nacionales que emiten un voto. Se llama la atencin a la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. ISO e IEC no sern responsables por la identificacin de alguno o todos aquellos derechos de patente. La Norma ISO/IEC 27003 fue preparada por el Comit Tcnico Conjunto de Tecnologa de la Informacin, ISO/IEC JTC 1, Subcomit SC 27, IT Security techniques.
NOTA DEL INEN: La NTE INEN-ISO/IEC 27003:2011 es idntica a la norma ISO/IEC 27003 de 2010.
-iv-
2011-684
CDU: 65.012.8 ICS: 35.040
CIIU: 8329 TI 01.01-301
Introduccin
La finalidad de esta Norma Internacional es proveer una gua prctica en el desarrollo del plan de implementacin de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) dentro de una organizacin de acuerdo con la Norma NTE INEN-ISO/IEC 27001. La implementacin real de un SGSI se ejecuta generalmente como un proyecto. El proceso descrito dentro de esta Norma Internacional ha sido diseado para proveer soporte a la implementacin de la NTE INEN ISO/IEC 27001; (partes relevantes de las Clusulas 4, 5, y 7) y documenta: a) la preparacin para iniciar un plan de implementacin de un SGSI en una organizacin, la definicin de la estructura organizacional para el proyecto, y la obtencin de la respectiva aprobacin por parte de la Direccin, b) las actividades crticas del proyecto del SGSI y, c) ejemplos para lograr los requerimientos de la Norma NTE INEN-ISO/IEC 27001. Mediante el uso de esta Norma, la organizacin ser capaz de desarrollar un proceso para la gestin de la seguridad de la informacin, proveyendo a los interesados la seguridad de que los riesgos de los activos de informacin se mantengan permanentemente dentro de lmites aceptables de seguridad de la informacin definidos por parte de la organizacin. Esta Norma no cubre las actividades operacionales y otras actividades del SGSI, pero s cubre los conceptos sobre cmo disear las actividades que resultarn despus de que las operaciones del SGSI comiencen. El concepto resulta en el plan final de implementacin del proyecto del SGSI. La ejecucin efectiva de la parte organizacional especfica de un proyecto de SGSI est fuera del alcance de esta Norma. La implementacin del proyecto de SGSI debera ser realizado utilizando metodologas estandarizadas para gestin de proyectos (para mayor informacin, favor ver las Normas ISO e ISO/IEC y NTE INEN que tratan la gestin de proyectos).
-v-
2011-684
CDU: 65.012.8 ICS: 35.040
CIIU: 8329 TI 01.01-301
Norma Tcnica Ecuatoriana
TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD GUA DE IMPLEMENTACIN DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN
NTE INENISO/IEC 27003:2011
1 Objeto
Instituto Ecuatoriano de Normalizacin, INEN Casilla 17-01-3999 Baquerizo Moreno E8-29 y Almagro Quito-Ecuador Prohibida la reproduccin
Esta Norma se enfoca en los aspectos crticos requeridos para el diseo e implementacin exitosa de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) de acuerdo con la NTE INEN ISO/IEC 27001. Esta describe el proceso de especificaciones del SGSI y el diseo desde el inicio hasta la produccin de planes de implementacin. Esta describe el proceso para obtener la aprobacin de parte de la Direccin para implementar un SGSI, define un proyecto para implementar un SGSI (referido en esta Norma como el proyecto de SGSI), y provee guas respecto a cmo planificar un proyecto de SGSI, que resulte en un plan final de implementacin del proyecto de SGSI. Esta Norma tiene el propsito de ser usada por las organizaciones que se encuentren implementando un SGSI. Es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias de gobierno, organizaciones sin fines de lucro) de todos los tamaos. La complejidad de cada organizacin y riesgos son nicos, y sus necesidades especficas son las que conducirn la implementacin del SGSI. Las organizaciones ms pequeas encontrarn que las actividades contenidas en esta Norma son aplicables a ellas y pueden ser simplificadas. Las organizaciones grandes o complejas pueden encontrar que una organizacin o sistema de gestin estratificado se requiere para manejar las actividades de esta Norma de forma efectiva. No obstante lo anterior, en ambos casos, las actividades relevantes pueden planificarse mediante la aplicacin de esta Norma. Esta Norma provee recomendaciones y explicaciones; sta no especifica requisitos. Esta Norma tiene el propsito de ser utilizada en conjunto con las Normas NTE INEN ISO/IEC 27001 e NTE INEN ISO/IEC 27002, pero no tiene el propsito de modificar y/o reducir los requisitos especificados en la NTE INEN ISO/IEC 27001 o las recomendaciones provistas en la NTE INEN ISO/IEC 27002. N o e s a p r o p i a d o s o l i c i t a r c o n f o r m i d a d c o n e s t a N o r m a .
2 Referencias normativas
Los siguientes documentos de referencia son indispensables para la aplicacin de este documento. Para referencia con fecha, solamente la edicin citada aplica. Para referencias que no cuentan con fecha, la ltima versin del documento de referencia aplica. NTE INEN-ISO/IEC 27000, Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de la seguridad de la informacin Descripcin general y vocabulario. NTE INEN-ISO/IEC 27001, Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de la seguridad de la informacin - Requisitos
3 Trminos y definiciones
Para los fines de este documento, los trminos y definiciones dados en la Normas NTE INEN ISO/IEC 27000, NTE INEN ISO/IEC 27001, y los siguientes aplican. 3.1 Proyecto de SGSI Actividades estructuradas asumidas por una organizacin para implementar un SGSI
(Contina)
DESCRIPTORES: Tecnologa de la informacin, grupos de caracteres y cdigos de informacin, tcnicas de seguridad, gua de implementacin, sistema de gestin de la seguridad de la informacin. -12011-684
NTE INEN-ISO/IEC 27003
4 Estructura de esta Norma

4.1 Estructura general de las clusulas
La implementacin de un SGSI es una actividad importante y es generalmente ejecutada como un proyecto en una organizacin. Este documento explica la implementacin del SGSI enfocndose en la iniciacin, planificacin, y definicin del proyecto . El proceso de planificacin de la implementacin final del SGSI tiene cinco fases y cada fase est representada por una clusula separada. Todas las clusulas tienen una estructura similar, segn se describe a continuacin. Las cinco fases son: a) Obtencin de aprobacin de la Direccin para la iniciacin de un proyecto de SGSI (Clusula 5) b) Definicin del Alcance del SGSI y de la Poltica del SGSI (Clusula 6) c) Realizacin del Anlisis de la Organizacin (Clusula 7) d) Realizacin de la Evaluacin del Riesgo y planificacin del Tratamiento del Riesgo (Clusula 8) e) Diseo del SGSI (Clusula 9) La Figura 1 ilustra las cinco fases de la planificacin del proyecto del SGSI de acuerdo a las normas NTE INEN ISO/IEC y a los principales documentos de salida.
Obtencin de aprobacin de la direccin para iniciar un proyecto de SGSI 5
Definicin del alcance, lmites y polticas del SGSI. 6
Realizacin del anlisis de requerimientos de seguridad de la informacin 7
Realizacin de la evaluacin del riesgo y planificacin del tratamiento del riesgo 8
Diseo el ISMS
9
Aprobacin de la Direccin para la iniciacin del Proyecto de SGSI Aprobacin escrita de la direccin para la implementacin del SGSI Plan final de implementacin del proyecto de SGSI
El Alcance y lmites del SGSI
Requerimientos de seguridad de la informacin
Poltica del SGSI
Activos de informacin
Plan de tratamiento del riesgo
Resultados de la evaluacin de la seguridad de la informacin
Declaracin de aplicabilidad, incluyendo los objetivos control y los controles
seleccionados
Plazo
Figura 1 Fases del proyecto de SGSI
-2-
2011-684
Informacin adicional consta en los anexos. Estos anexos son: Anexo A. Resumen de actividades con referencias de acuerdo con la NTE INEN ISO/IEC 27001 Anexo B. Roles y responsabilidades de la seguridad de la informacin Anexo C. Informacin sobre planificacin de las auditoras internas Anexo D. Estructura de las polticas Anexo E. Informacin sobre planificacin de monitoreo y medicin
4.2 Estructura general de una clusula

Cada clusula contiene: a) uno o ms objetivos determinando qu se espera lograr, indicados en un cuadro de texto al inicio de cada clusula. y b) una o ms actividades necesarias para lograr el o los objetivos de la fase. Cada actividad est descrita en una sub-clusula. Las descripciones de actividades en cada sub-clusula estn estructuradas de la siguiente forma: Actividad La actividad define qu se requiere para satisfacer esta actividad, la cual logra todo o parte de los objetivos de la fase. Entrada La entrada describe el punto de inicio, tal como la existencia de decisiones documentadas o salidas de otras actividades descritas en esta norma. Las entradas pueden ser referidas como la salida completa de una actividad, nicamente sealando la clusula pertinente, o la informacin especfica de una actividad puede ser agregada luego de la clusula referida. Gua La gua provee informacin detallada para posibilitar la ejecucin de esta actividad. Algunas de las guas pueden no ser apropiadas en todos los casos y otras formas de lograr los resultados pueden ser ms apropiadas. Salida La salida describe el/los resultado(s) o entregable(s) al completarse la actividad; por ejemplo, un documento. Las salidas son las mismas, independientemente del tamao de la organizacin o del alcance del SGSI. Otra informacin La otra informacin provee cualquier informacin adicional que pueda ayudar en la ejecucin de la actividad, por ejemplo, referencias a otras normas.
NOTA Las fases y actividades descritas en este documento incluyen una secuencia sugerida para ejecutar las actividades, basada en las dependencias identificadas a travs de cada una de las descripciones de Entrada y Salida de la s actividades. Sin embargo, dependiendo de muchos factores diferentes (por ejemplo, eficacia del sistema de gestin actual, comprensin en relacin a la importancia de la seguridad de la informacin, razones para implementar un SGSI), una organizacin podra seleccionar cualquier actividad en cualquier orden, segn sea necesario, para prepararse para el establecimiento e implementacin del SGSI.
-3-
2011-684
4.3 Diagramas Un proyecto est generalmente ilustrado en forma de grficos o diagramas que muestran una visin general de las actividades y de las salidas. La Figura 2 muestra la leyenda de los diagramas que estn ilustrados en una sub-clusula de descripcin general de cada fase. Los diagramas proveen una descripcin general de alto nivel de las actividades incluidas en cada fase.
Las fases de planificacin de un proyecto de SGSI Fase X Fase Y Z Documento Fase Z
Documento
Plazo
Actividad A
Document o Document o Actividad B Actividad C
C B Documento Documento
Document o
Document o Plazo
Figura 2 Leyenda de diagrama de flujo

-42011-684
El cuadro superior ilustra las fases de planificacin de un proyecto de SGSI . La fase explicada en la clusula especfica es entonces enfatizada con sus documentos claves de salida. El diagrama inferior (actividades de la fase) muestra las actividades claves que estn incluidas en la fase enfatizada del cuadro superior, y los principales documentos de salida de cada actividad. El Plazo en el cuadro inferior se basa en la Plazo del cuadro superior. La Actividad A y la Actividad B pueden ejecutarse al mismo tiempo. La Actividad C debera iniciarse despus de que se concluyan las Actividades A y B.
5 Obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI.

5.1 Perspectiva general de la obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI Existen varios factores que deberan ser tomados en cuenta cuando se decida im plementar un SGSI. Con el fin de tratar estos factores, la Direccin debera entender el caso de negocio de un proyecto de implementacin de SGSI y aprobarlo, por lo tanto, el objetivo de esta fase es: Objetivo: Obtener aprobacin de la Direccin para iniciar el proyecto de SGSI mediante la definicin de un caso de negocio y el plan del proyecto. Para obtener la aprobacin de la Direccin, una organizacin debera crear un caso de negocio, que incluya las prioridades y objetivos, para implementar un SGSI, adems de la estructura de la organizacin para el SGSI. Tambin, se debe crear el plan inicial del proyecto de SGSI . El trabajo realizado en esta fase har posible que la organizacin entienda la importancia de un SGSI, y aclara las funciones y responsabilidades de seguridad de la informacin dentro de la organizacin que requiere un proyecto de SGSI. La salida esperada de esta fase ser la aprobacin preliminar, y el compromiso, por parte de la Direccin para implementar un SGSI y ejecutar las actividades descritas en esta Norma. Los entregables de esta clusula incluyen un caso de negocio y un borrador del plan del proyecto de SGSI con hitos claves. La Figura 3 ilustra el proceso para obtener aprobacin de la Direccin para iniciar el proyecto de SGSI.
NOTA La salida de la Clusula 5 (El compromiso documentado de la Direccin para planificar e implementar un SGSI) y uno de las salidas de la Clusula 7 (Resumen documentado del estado de la seguridad de la informacin) no son requerimientos de la NTE INEN-ISO/IEC 27001. Sin embargo, los resultados de estas actividades son entradas recomendados para otras actividades descritas en este documento.
Obtener aprobacin Gerencia para iniciar proyecto ISMS 5
Definir alcance, limites y poltica ISMS 6
Realizar anlisis requisitos seguridad informacin 7
Conducir evaluacin riesgo y planificar tratamiento riesgos 8
Disear el ISMS 9
Aprobacin gerencia iniciar proyecto ISMS
Plazo Plazo
-5-
2011-684
Aclarar prioridades organizacin para desarrollar ISMS 5.2
Objetivos para un ISMS resumidos
Lista restricciones legales contractuales y de industria pertinentes a seguridad informacin de organizacin
Caractersticas negocio bosquejadas
Definir alcance preliminar ISMS 5.3
Desarrollar alcance preliminar ISMS 5.3.1 5.3.1
Definir papeles y responsabilidades alcance preliminar ISMS 5.3.2
5.3
Bosquejo caractersticas negocio
Descripcin papeles y responsabilidades para implementar ISMS
Crear caso negocio y plan de proyecto para manejo aprobacin 5.4
Caso negocio
Propuesta proyecto ISMS
Figure 3 Overview of obtaining management approval for initiating an SGSI project

Aprobacin de un proyecto ISMS
Plazo
Figura 3 Perspectiva general para la obtencin de aprobacin para iniciar un proyecto de SGSI
5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI

Actividad Los objetivos para implementar un SGSI deben incluirse tomando en consideracin las prioridades y requerimientos de seguridad de la informacin de la organizacin.
-6-
2011-684
Entrada a) los objetivos estratgicos de la organizacin b) visin general de los sistemas de gestin existentes c) una lista de requerimientos legales, regulatorios y contractuales respecto a la seguridad de la informacin aplicable a la organizacin Gua Con el fin de iniciar el proyecto de SGSI, en general, se necesita aprobacin de la Direccin. Consecuentemente, la primera actividad que debera ser realizada es recopilar la informacin relevante que ilustre el valor de un SGSI para la organizacin. La organizacin debera aclarar por qu necesita un SGSI y decidir los objetivos de la implementacin del SGSI e iniciar el proyecto de SGSI. Los objetivos para implementar un SGSI pueden determinarse respondiendo las siguientes preguntas: a) manejo de riesgos Cmo un SGSI generar mejor gestin de los riesgos de seguridad de la informacin? b) eficiencia Cmo puede un SGSI mejorar la gestin de la seguridad de la informacin? c) ventaja para el negocio Cmo puede un SGSI crear ventaja competitiva para la organizacin? Con el fin de contestar las anteriores preguntas, las prioridades y requerimientos de seguridad de la organizacin estn indicados por los siguientes factores posibles: a) negocios y reas organizacionales crticas: 1. 2. 3. 4. Cules son los negocios y las reas organizacionales crticas? Qu reas organizacionales proveen al negocio y con qu enfoque? Qu relaciones y acuerdos con terceros existen? Existen servicios que hayan sido subcontratados?
b) informacin sensible o valiosa: 1. 2. Qu informacin es crtica para la organizacin? Cules seran las posibles consecuencias si cierta informacin fuera revelada a personas no autorizadas (por ejemplo, prdida de ventaja competitiva, dao a la marca o a la reputacin, accin legal, etc.)?
c) leyes que disponen medidas de seguridad de la informacin: 1. Qu leyes relacionadas con el tratamiento de los riesgos o seguridad de la informacin aplican a la organizacin?
2. Es la organizacin parte de una organizacin pblica global a la que se le requiere contar con informes financieros externos? d) acuerdos contractuales u organizacionales relacionados con la seguridad de la informacin: 1. Cules son los requerimientos de almacenamiento (incluyendo los perodos de retencin) para almacenamiento de datos?
2. Existen requerimientos contractuales relacionados con la privacidad o la calidad (por ejemplo, Acuerdos de Nivel de Servicio (Service Level Agreements - SLA)?
-72011-684
e) requerimientos de la industria que especifiquen controles o medidas particulares de la seguridad de la informacin: 1. Qu requerimientos especficos sectoriales aplican a la organizacin? f) El entorno de amenazas: 1. Qu clase de proteccin se necesita, y contra qu amenazas? 2. Cules son las distintas categoras de informacin que requieren proteccin? 3. Cules son los diferentes tipos de actividades de informacin que requieren proteccin? g) Factores Competitivos: 1. Cules son los requerimientos mnimos del mercado para la seguridad de la informacin? 2. Qu controles adicionales de seguridad de la informacin deberan proveer una ventaja competitiva para la organizacin? h) Requerimientos de continuidad del negocio 1. Cules son los procesos crticos del negocio? 2. Por cunto tiempo puede la organizacin tolerar interrupciones para cada proceso crtico del negocio?
El alcance preliminar del SGSI puede determinarse respondiendo a la informacin anterior. Tambin se necesita, con el fin de crear un caso de negocio y un plan general del proyecto de SGSI para aprobacin de la Direccin. El alcance detallado del SGSI se definir durante el proyecto de SGSI. Los requisitos sealados en la NTE INEN ISO/IEC 27001 referencia 4.2.1 a) bosqueja el alcance en trminos de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa. La informacin resultante respalda esta determinacin. Algunos tpicos que podran considerarse cuando se tomen las primeras decisiones relativas al alcance incluyen: a) Cules son los mandatos para la gestin de la seguridad de la informacin establecidos por la Direccin organizacional y las obligaciones impuestas externamente en la organizacin? b) Recae la responsabilidad de los sistemas propuestos, que se encuentran dentro del alcance, en ms de un grupo de gestin (por ejemplo, gente en diferentes subsidiarias o en diferentes departamentos)? c) Cmo los documentos relacionados con el SGSI sern comunicados a travs de la organizacin (por ejemplo, impresos o a travs de la red interna de la corporacin)? d) Puede el actual sistema de gestin respaldar las necesidades de la organizacin? Es ste totalmente operativo, bien mantenido y funciona como se espera? Ejemplos del manejo de objetivos que pueden utilizarse como entrada para definir el alcance preliminar del SGSI incluyen: a) facilitar la continuidad del negocio y la recuperacin de desastres b) mejorar la resistencia a incidentes c) sealar las responsabilidades/cumplimientos legales/contractuales d) permitir la certificacin frente a otras normas NTE INEN ISO/IEC e) permitir la evolucin y posicin organizacional f) reducir costos de controles de seguridad
-8-
2011-684
g) proteger los activos de valor estratgico h) establecer un entorno de control interno saludable y efectivo i) asegurar a los interesados que los activos de informacin estn apropiadamente protegidos.
Salida Los entregables de esta actividad son: a) un documento que resume los objetivos, prioridades de la seguridad de la informacin de seguridad y requerimientos organizacionales de un SGSI. b) una lista de requerimientos regulatorios, contractuales y propios de la industria relacionados con la seguridad de la informacin de la organizacin. c) Bosquejo de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa. Otra informacin Normas NTE INEN ISO/IEC 9001, ISO/IEC 14001:2004, NTE INEN ISO/IEC 20000-1
5.3 Definir el alcance preliminar del SGSI

5.3.1 Desarrollar el alcance preliminar del SGSI Actividad Los objetivos para implementar el SGSI debera incluir la definicin preliminar del alcance del SGSI, que es necesario para el proyecto del SGSI. Entrada La salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI. Gua Con el fin de ejecutar la implementacin de un proyecto de SGSI, la estructura de una organizacin para el SGSI debera definirse. El alcance preliminar del SGSI debera ser definido para proveer manejo orientado de las decisiones de implementacin, y para respaldar actividades posteriores. Se requiere el alcance preliminar del SGSI con el fin de crear el caso de negocio y el plan del proyecto propuesto, para aprobacin por parte de la Direccin. La salida de esta etapa ser un documento que defina el alcance preliminar del SGSI, lo que incluye: a) un resumen de los mandatos de la seguridad de la informacin determinada por la administracin organizacional, y las obligaciones impuestas externamente en la organizacin; b) una descripcin de cmo interacta(n) el/las rea(s) de alcance con otros sistemas de gestin; c) una lista de los objetivos de negocio de gestin de la seguridad de la informacin (segn se deriva en la clusula 5.2); d) una lista de procesos de negocio, sistemas, activos de informacin, estructuras organizacionales y ubicaciones geogrficas crticas a las cuales el SGSI ser aplicado. e) la relacin de los actuales sistemas de gestin, regulaciones, cumplimiento, y objetivos de la organizacin; f) las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa.
-9-
2011-684
Los elementos comunes y las diferencias operacionales entre los procesos de cualquier sistema(s) existente de gestin y el SGSI propuesto deberan ser identificados. Salida El entregable es un documento que describe el alcance preliminar del SGSI. Otra informacin Ninguna otra informacin especfica.
NOTA Se debera poner especial atencin de que en caso de los requerimientos de documentacin especfica de certificacin de la NTE ISO/IEC 27001, as como los constantes en el alcance del SGSI, deben cumplirse sin importar los sistemas de gestin que tengan lugar dentro de la organizacin.
5.3.2 Definir funciones y responsabilidades para el alcance preliminar del SGSI Actividad Se deberan definir las funciones y responsabilidades generales para el alcance preliminar del SGSI. Entrada a) salida de la Actividad 5.3.1 Desarrollar el alcance preliminar del SGSI b) lista de interesados quienes se beneficiarn de los resultados del proyecto del SGSI. Gua Con el fin de ejecutar el proyecto del SGSI, se debe determinar el rol de una organizacin para el proyecto. El rol es generalmente diferente en cada organizacin, en razn del nmero de personas involucradas con la seguridad de la informacin. La estructura organizacional y los recursos para la seguridad de la informacin varan de acuerdo con el tamao, tipo y estructura de la organizacin. Por ejemplo, en una organizacin ms pequea, una misma persona puede estar a cargo de varios roles. Sin embargo, la gestin debe explcitamente identificar el rol (tpicamente Jefe de Seguridad de la Informacin, Gerente de Seguridad de la Informacin o similares) con responsabilidad general de gestin de la seguridad de la informacin, y al personal debe asignrsele roles y responsabilidades en base a la aptitud requerida para desempear el trabajo. Esto es crtico para asegurarse de que las tareas asignadas sean ejecutadas eficiente y efectivamente. Las consideraciones ms importantes para definir los roles en la gestin de la seguridad de la informacin son: a) la responsabilidad general de las tareas recae en el nivel directivo, b) una persona (generalmente el Jefe de Seguridad de la Informacin) es designada para promover y coordinar el proceso de seguridad de la informacin, c) cada uno de los empleados es igualmente responsable de su tarea original y de mantener la seguridad de la informacin en el lugar de trabajo y en la organizacin. Los roles para la gestin de la seguridad de la informacin deberan trabajar conjuntamente; esto se puede facilitar realizando un Foro sobre Seguridad de la Informacin, o algo similar. Se debe comprometer (y documentar) la colaboracin de especialistas de negocio apropiados en todas las etapas del desarrollo, implementacin, operacin y mantenimiento del SGSI. Los representantes de los departamentos dentro del alcance identificado (tal como manejo de riesgos) son potenciales miembros del equipo de implementacin del SGSI. Este tamao del equipo debera ser mantenerse en un nmero ptimo, que sea prctico para efectos de velocidad y uso efectivo de los recursos. Tales reas no son solamente aquellas directamente incluidas en el alcance del SGSI sino tambin las divisiones indirectas, tales como los departamentos legales, de manejo de riesgos y administrativos.
-102011-684
Salida El entregable es un documento o tabla que describe las funciones y las responsabilidades con los nombres y la organizacin requerida para implementar de manera exitosa un SGSI. Otra informacin El Anexo B provee detalles de las funciones y responsabilidades requeridas en una organizacin para implementar de manera exitosa un SGSI.
5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la direccin.
Actividad La aprobacin de la Direccin y el compromiso de recursos para la implementacin del proyecto del SGSI deberan ser obtenidos mediante la creacin del modelo de negocio y la propuesta de proyecto del SGSI. Entrada a) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI b) la salida de la Actividad 5.3 Definir el alcance preliminar del SGSI Los documentados: 1. alcance preliminar del SGSI y 2. roles y responsabilidades preliminares asociadas. Gua La informacin para el caso de negocio y el plan inicial de proyecto del SGSI debera incluir un cronograma, recursos e hitos estimados, requeridos para las actividades principales detalladas en las Clusulas 6 a 9 de esta Norma. El caso de negocio y el plan inicial del proyecto de SGSI sirven como base del proyecto, pero tambin asegura el compromiso de la Direccin y la aprobacin de los recursos necesarios para la implementacin del SGSI. La manera en la cual el SGSI implementado dar soporte a l os objetivos del negocio contribuye a la efectividad de los procesos organizacionales e incrementa la eficiencia del negocio. El caso de negocio para la implementacin de un SGSI debera incluir sentencias cortas ligadas a los objetivos de la organizacin y cubrir los siguientes asuntos: a) metas y objetivos especficos b) beneficio para la organizacin c) alcance preliminar del SGSI incluyendo los procesos de negocio afectados d) procesos y factores crticos para lograr los objetivos del SGSI e) visin general de alto nivel del proyecto f) plan inicial de implementacin
g) roles y responsabilidades definidas h) recursos requeridos (tecnolgicos y humanos) i) consideraciones de implementacin incluyendo la seguridad de la informacin existente
j) cronograma con hitos claves k) costos esperados l) factores crticos de xito
m) cuantificar los beneficios para la organizacin

-112011-684
El plan del proyecto debera incluir actividades relevantes de las fases de las Clusulas 6 a la 9 establecidas en esta Norma. Las personas que efectan o son afectadas por el SGSI deben ser identificadas y permitirles un tiempo prudencial para revisar y comentar sobre el caso de negocio del SGSI y la propuesta de proyecto del SGSI. El caso de negocio y la propuesta de proyecto del SGSI deberan ser actualizados cada vez que sea necesario, en razn de nuevas entradas . Una vez que se logra suficiente respaldo, el caso de negocio y la propuesta de proyecto del SGSI deberan presentarse a la Direccin para su aprobacin. La Direccin debe aprobar el caso de negocio y el plan inicial del proyecto con el fin de lograr un compromiso total de la organizacin e iniciar la ejecucin del proyecto del SGSI. Los beneficios esperados del compromiso de la Direccin para implementar un SGSI son: a) conocimiento e implementacin de leyes, regulaciones, obligaciones contractuales y normas pertinentes relacionadas con la seguridad de la informacin, que permitan evitar responsabilidades y multas en razn del incumplimiento.
b) uso eficiente de mltiples procesos para la seguridad de la informacin,
c) estabilidad y elevada confianza para crecer a travs de una mejor gestin de los riesgos de la seguridad de la informacin, d) identificacin y proteccin de la informacin crtica del negocio. Salida Los entregables de esta actividad son: a) una aprobacin documentada por parte de la Direccin para ejecutar el proyecto del SGSI con los recursos asignados b) un caso de negocio documentado c) una Propuesta inicial de Proyecto del SGSI, con hitos, tales como realizacin de una evaluacin del riesgo, implementacin, auditoras internas y revisin por parte de la Direccin. Otra informacin La Norma NTE INEN-ISO/IEC 27000 contiene ejemplos de factores crticos de xito para respaldar el caso de negocio del SGSI.
6 Definir el alcance del SGSI, lmites y polticas del SGSI

6.1 Perspectiva general de la definicin del alcance, lmites y polticas del SGSI
La aprobacin de la Direccin para la implementacin de un SGSI se basa en el alcance preliminar, el caso de negocio y el plan inicial del proyecto del SGSI. La definicin detallada del alcance y lmites del SGSI, la definicin de la poltica del SGSI, y la aceptacin y el respaldo por parte de la Direccin son los factores primarios claves para una implementacin exitosa del SGSI. Consecuentemente, los objetivos de esta fase son: Objetivos: Definir el alcance, los lmites detallados del SGSI, desarrollar la poltica del SGSI y obtener aprobacin de la Direccin. NTE ISO/IEC 27001 clusulas 4.2.1 a) y 4.2.1 b)
-122011-684
Con el fin de lograr el objetivo de Definir el alcance y los lmites detallados del SGSI, son necesarias las siguientes actividades. a) definir el alcance y los lmites organizacionales, b) definir el alcance y los lmites de las Tecnologas de la Informacin y Comunicacin (TIC) y c) definir el alcance y los lmites fsicos. d) las caractersticas especificadas en la NTE INEN ISO/IEC 27001 clusulas 4.2.1 a) negocio, organizacin, ubicacin, activos y aspectos tecnolgicos del alcance y los lmites; y 4.2.1 b) la poltica estn determinados en el proceso de definicin de estos alcances y lmites. e) integrar el alcance y los lmites elementales para obtener el alcance y los lmites del SGSI. Para lograr la definicin de la poltica del SGSI y obtener la aceptacin por parte de la Direccin, es necesaria una sola actividad. Para construir un sistema de gestin efectivo para la organizacin, se debera determinar el alcance detallado del SGSI mediante la consideracin de activos de informacin crticos de la organizacin. Es importante contar con una terminologa y un enfoque sistemtico comunes para identificar los activos de informacin y evaluar los mecanismos de seguridad viables. Esto facilita la comunicacin y promueve entendimientos consistentes a lo largo de todas las fases de la implementacin. Tambin, es importante para asegurar que las reas crticas de la organizacin estn incluidas en el alcance. Es posible definir el alcance de un SGSI para abarcar a toda la organizacin, o una parte de la misma, tal como una divisin o una subsidiaria claramente delimitada. Por ejemplo, en el caso de servicios provistos a los clientes, el alcance del SGSI puede ser un servicio, o un sistema transversal de gestin (una divisin completa o una parte de una divisin). Los requerimientos de la NTE INENISO/IEC 27001 deben cumplirse totalmente para la certificacin, a pesar de los sistemas de gestin existentes dentro de la organizacin. El alcance y los lmites organizacionales; el alcance y los lmites de las TIC (6.3); y el alcance y lmites fsicos (6.4) no siempre se los realiza de manera secuencial. Sin embargo, es til hacer referencia del alcance y los lmites ya obtenidos cuando se definen otros alcances y lmites.
Aprobacin gerencia iniciar proyecto ISMS 5
Definir alcance limites y poltica ISMS 6
Anlisis requisitos seguridad informacin 7
Evaluacin riesgo y planificacin tratamiento riesgo 8
Disear ISMS
Aprobacin gerencia inicio proyecto ISMS
Alcance y limites ISMS
Poltica ISMS
-13-
2011-684
Definir alcance y limites organizacionales 6.2
Limite organizacional para ISMS
Definir comunicacin de informacin alcance y limite tecnologa 6.3
Alcance y limites ICT
Definir alcance fsico y limites 6.4
Alcance fsico y limites
Integrar alcance y limites para obtener alcance y lmites ISMS 6.5
alcance y limites ISMS
Desarrollar poltica ISMS y obtener aprobacin gerencia 6.6
Poltica ISMS
Plazo
Figura 4 Perspectiva general de la definicin del alcance, los lmites y la poltica del SGSI
-14-
2011-684
6.2 Definir el alcance y lmites organizacionales Actividad El alcance y los lmites organizacionales deberan ser definidos.
Entrada a) la salida de la Actividad 5.3 Definir el alcance preliminar del SGSI El alcance preliminar documentado del SGSI que seala: 1. relacin de sistemas de gestin, regulacin, cumplimiento, y objetivos de la organizacin; 2. caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa. b) la salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI La aprobacin documentada por parte de la administracin para implementar un SGSI e iniciar el proyecto con los recursos necesarios asignados. Gua La cantidad de esfuerzo requerido para implementar un SGSI depende de la magnitud del alcance al cual el mismo ser aplicado. Esto tambin puede impactar todas las actividades relacionadas con el mantenimiento de la seguridad de la informacin en los tems incluidos en el alcance (tales como procesos, ubicaciones fsicas, sistemas de TI y personas), incluyendo los controles de implementacin y mantenimiento, la gestin de las operaciones, y la realizacin de tareas tales como: la identificacin de activos de informacin y la evaluacin del riesgo. Si la administracin decide excluir ciertas partes de la organizacin del alcance del SGSI, sus razones para hacerlo deberan ser debidamente documentadas. Cuando el alcance del SGSI est definido, es importante que sus lmites sean lo suficientemente claros para explicarlos a aquellos que no estuvieron involucrados en su definicin. Algunos controles relacionados con la seguridad de la informacin podran ya existir como resultado de la implementacin de otros sistemas de gestin. Estos deben ser tomados en cuenta cuando se planifica el SGSI, pero no necesariamente indicarn los lmites del alcance para el SGSI actual . Un mtodo para definir los lmites organizacionales es identificar aquellas reas de responsabilidad que estn sobreponindose, y as, facilitar la asignacin de responsabilidades dentro de una organizacin. Las responsabilidades directamente relacionadas con los activos de informacin o procesos del negocio incluidos en el alcance del SGSI deberan seleccionarse como parte de la organizacin que se encuentra bajo control del SGSI. Cuando se definen los lmites organizacionales, se deben tomar en cuenta los siguientes factores: a) el foro de gestin del SGSI debera estar conformado por los directores involucrados directamente en el alcance del SGSI. b) el miembro de la Direccin encargado del SGSI debera ser el mismo que finalmente est a cargo de todas las reas de responsabilidad afectadas (es decir, su posicin estar generalmente impuesta por su campo de control y responsabilidad dentro de una organizacin). c) En el caso que la posicin responsable de la gestin del SGSI no sea un miembro de la alta Direccin, es esencial contar con un auspiciante de dicho nivel, para representar los intereses de la seguridad de la informacin y actuar como defensor del SGSI en los ms altos niveles de la organizacin. d) el alcance y los lmites necesitan ser definidos para asegurar que todos los activos pertinentes son tomados en cuenta al realizar la evaluacin del riesgo, y para determinar los riesgos que puedan surgir a travs estos lmites.
-15-
2011-684
Basados en el enfoque, los lmites organizacionales analizados deberan identificar a todo el personal afectado por el SGSI, y esto debera estar incluido en el alcance. La identificacin del personal podra estar ligada a procesos y/o funciones, dependiendo del enfoque seleccionado. Si algunos procesos dentro del alcance estn subcontratados, aquellas dependencias deben estar claramente documentadas. Dichas dependencias estarn sujetas a posterior anlisis durante la implementacin del proyecto del SGSI. Salida Los entregables de esta actividad son: a) descripcin de los lmites organizacionales para el SGSI, incluyendo cualquier justificacin para partes de la organizacin que han sido excluidas del alcance del SGSI, b) funciones y estructura de aquellas partes de la organizacin dentro del alcance del SGSI, c) identificacin de la informacin intercambiada dentro del alcance e informacin intercambiada a travs de los lmites d) procesos y responsabilidades organizacionales para los activos de informacin dentro del alcance y fuera del mismo, e) proceso para la jerarqua de la toma de decisiones, as como, para la estructura dentro del SGSI. Otra informacin No existe otra informacin especfica. 6.3 Definir el alcance y lmites de las tecnologas de la informacin y comunicacin (TIC) Actividad El alcance y los lmites de los elementos de la tecnologa de la informacin y comunicacin (TIC) y otros tems de tecnologa cubiertos por el SGSI deberan definirse. Entrada a) salida de la Actividad 5.3 Definir el alcance preliminar del SGSI El docum ento para el alcance prelim inar del SGSI b) salida de la Actividad 6.2 Definir el alcance y lmites organizacionales Gua La definicin del alcance y los lmites de las TIC se puede obtener a travs de un enfoque de sistema de informacin (en lugar de un enfoque basado en TI). Una vez que exista una decisin de la direccin para incluir los procesos de sistemas de informacin del negocio en el alcance del SGSI, todos los elementos relacionados con las TIC deberan tambin ser considerados. Esto incluye todas las partes de la organizacin que almacenan, procesan o transportan informacin crtica, activos, o lo que sea crtico para las partes de la organizacin consideradas en el alcance. Los sistemas de informacin pueden cruzar los lmites organizacionales o nacionales. De ser este el caso, debera considerarse lo siguiente: a) situacin socio-cultural b) requerimientos legales, regulatorios y contractuales aplicables a las organizaciones c) responsabilidad sobre funciones claves d) restricciones tcnicas (por ejemplo, ancho de banda disponible, disponibilidad de servicio, etc.)
-16-
2011-684
Tomando en consideracin lo anterior, los lmites de las TIC deberan incluir una descripcin de lo siguiente, cuando sea aplicable: a) la infraestructura de las comunicaciones, en donde la responsabilidad de su manejo recaiga en la organizacin, incluyendo tecnologas diferentes (por ejemplo, redes inalmbricas, de telefona fija o de voz y datos). b) software dentro de los lmites organizacionales, que sea usado y controlado por la organizacin c) hardware de las TIC requerido por la red o redes, aplicaciones o sistemas de produccin d) roles y responsabilidades relativas al hardware de las TIC, red y software Si uno o ms de los puntos mostrados arriba no estn bajo control de la organizacin, las dependencias de terceros deben estar documentadas. Ver la Gua del tema 6.2. Salida Los entregables de esta actividad son: a) informacin intercambiada dentro del alcance e informacin intercambiada a travs de los lmites b) Los lmites de las TIC para el SGSI, incluyendo cualquier justificacin para la exclusin de las TIC bajo control de la organizacin que han sido excluidas del alcance del SGSI. c) los sistemas de informacin y las redes de telecomunicaciones, que describen lo que est en el alcance, junto con las roles y responsabilidades para estos sistemas. Los sistemas que estn fuera del alcance deberan ser resumidos brevemente. Otra informacin No existe otra informacin especfica. 6.4 Definir el alcance y lmites fsicos Actividad El alcance y los lmites fsicos que deberan ser cubiertos por el SGSI, deberan ser definidos. Entrada a) salida de la Actividad 5.3 Definir el alcance preliminar del SGSI El docum ento para el alcance prelim inar del SGSI b) salida de la Actividad 6.2 Definir el alcance y lmites organizacionales. c) salida de la Actividad 6.3 Definir el alcance y lmites de las tecnologas de la informacin y comunicacin (TIC) Gua La definicin del alcance y las limitaciones fsicas consiste en la identificacin de los locales, ubicaciones o instalaciones dentro de una organizacin que deberan ser parte del SGSI. Es ms complejo tratar con sistemas de informacin, que cruzan los lmites fsicos, que necesitan: a) instalaciones remotas b) interfaces a los sistemas de informacin del cliente y a servicios provistos por terceros c) interfaces apropiadas aplicables y niveles de servicio. Tomando en consideracin lo anterior, los lmites fsicos deberan incluir la descripcin de lo siguiente, cuando sea aplicable:
-172011-684
a) descripcin de funciones o procesos considerando su ubicacin fsica y la medida en que la organizacin los controla b) instalaciones especiales utilizadas que contienen o almacenan el hardware de las TIC o datos dentro del alcance (por ejemplo, cintas de respaldo), basados en la cobertura de los lmites de las TIC Si una o ms de los puntos indicados arriba no es controlado por la organizacin, las dependencias de terceros se deberan documentar. Ver la Gua del tema 6.2. Salida Los entregables de esta actividad son: a) descripcin de los lmites fsicos del SGSI, incluyendo cualquier justificacin de la exclusin de lmites fsicos bajo la gestin de la organizacin y que han sido excluidos del alcance del SGSI, b) descripcin de la organizacin y sus caractersticas geogrficas pertinentes al alcance. Otra informacin No existe otra informacin especfica. 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI Actividad El alcance y los lmites del SGSI deberan obtenerse mediante la integracin de cada uno de los alcances y lmites. Entrada a) salida de la Actividad 5.3 Definir el alcance preliminar del SGSI El docum ento para el alcance prelim inar del SGSI b) salida de la Actividad 6.2 Definir el alcance y lmites organizacionales c) salida de la Actividad 6.3 Definir el alcance y lmites de las tecnologas de la informacin y comunicacin(TIC) d) salida de la Actividad 6.4 Definir el alcance y lmites fsicos Gua El alcance de un SGSI se puede describir y justificar de muchas formas. Por ejemplo, una ubicacin fsica, tal como un centro de datos u oficina, podra ser seleccionada y los procesos crticos listados, cada uno de los cuales involucre reas fuera de ese centro de datos pero incluyndolas en el alcance. Uno de tales procesos crticos podra ser, por ejemplo, el acceso mvil a un sistema central de informacin. Salida El entregable de esta actividad es un documento que describa el alcance y los lmites del SGSI y que contiene la siguiente informacin: a) las caractersticas claves de la organizacin (su funcin, estructura, servicios, activos y el alcance y los lmites de la responsabilidad de cada activo) b) los procesos organizacionales incluidos en el alcance
c) la configuracin de equipamiento y redes incluidos en el alcance d) una lista preliminar de activos de informacin incluidos en el alcance e) una lista de activos de las TIC incluidos en el alcance (por ejemplo, servidores)
-182011-684
f) mapas de los sitios incluidos en el alcance, indicando las limitaciones fsicas del SGSI. g) descripciones de las funciones y responsabilidades dentro del SGSI y sus relaciones con la estructura organizacional h) detalles y justificacin para cualquier exclusin del alcance del SGSI Otra informacin No existe otra informacin especfica.
6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la direccin

Actividad La poltica del SGSI debera ser desarrollada y la aprobacin de la Direccin debera ser obtenida. Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites documentados del SGSI b) salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI Los objetivos documentados para implementar el SGSI c) salida de la Actividad 5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la Direccin Los documentas de: 1. requerimientos de la organizacin y prioridades de la seguridad de la informacin, 2. el plan inicial del proyecto para la implementacin del SGSI, con hitos, tales como la realizacin de la evaluacin del riesgo, implementacin, au ditoras internas y revisin de la Direccin Gua Al definir la poltica del SGSI, se deberan tomar en cuenta los siguientes aspectos: a) establecer los objetivos del SGSI en base a los requerimientos organizacionales y las prioridades de seguridad de la informacin de la organizacin b) establecer el enfoque general y la gua de accin para lograr los objetivos del SGSI c) considerar los requerimientos de la organizacin, legales o regulatorios y las obligaciones contractuales relacionadas con la seguridad de la informacin d) el contexto de la gestin del riesgo dentro de la organizacin e) establecer los criterios de evaluacin de los riesgos (ver NTE INEN ISO/IEC 27005) y definir una estructura de evaluacin del riesgo f) aclarar las responsabilidades de la alta Direccin en relacin al SGSI h) obtener la aprobacin de la Direccin. Salida El entregable es un documento que describe la poltica del SGSI aprobada por la Direccin y debidamente documentada. Este documento debera ser re-confirmado en una fase posterior del proyecto por cuanto es dependiente del resultado de la evaluacin del riesgo. Otra informacin La NTE INEN-ISO/IEC 27005 provee informacin adicional sobre los criterios para la evaluacin de riesgos.
-192011-684
7 Realizar el anlisis de los requerimientos de seguridad de la informacin

7.1 Perspectiva general de la realizacin del anlisis de los requerimientos de seguridad de la informacin
El anlisis de la situacin actual en la organizacin es importante, por cuanto hay requerimientos existentes y activos de informacin que deberan ser considerados cuando se implemente un SGSI. Las actividades descritas en esta fase pueden ser emprendidas en paralelo con aquellas descritas en la Clusula 6 por razones de eficiencia y practicidad. Objetivos: Definir los requerimientos pertinentes para ser respaldados por el SGSI, identificar los activos de informacin y obtener el estado actual de la seguridad de la informacin dentro del alcance. NTE INEN-ISO/IEC 27001 clusulas 4.2.1.c)1) parcialmente, 4.2.1. d), 4.2.1. e)
La informacin recopilada a travs del anlisis de la seguridad de la informacin debera: a) proveer a la Direccin de un punto de inicio (es decir, datos bsicos correctos) b) identificar y documentar las condiciones para la implementacin c) proveer entendimiento claro y bien establecido de las instalaciones de la organizacin d) considerar las circunstancias particulares y la situacin de la organizacin e) identificar el nivel de proteccin deseado de la informacin f) determinar la compilacin de la informacin requerida para toda o parte de una empresa dentro del alcance de implementacin propuesto.
Obtener aprobacin gerencia inicio proyecto ISMS 5
Disear el ISMS
Aprobacin gerencia para iniciar proyecto ISMS
Alcance y limites del ISMS
Requisitos seguridad de la Informacin
Poltica ISMS
Activos informacin
Resultados evaluacin seguridad informacin
Plazo
-20-
2011-684
Define requisitos seguridad informacin para proceso ISMS 7.2
Requisitos seguridad informacin
Identificar activos dentro alcance y limites ISMS 7.3
Activos identificados
clasificacin procesos / activos
Conducir evaluacin seguridad informacin 7.4
Resumen estado seguridad de organizacin
Plazo
Figura 5 Descripcin general para ejecutar fase de requisitos de seguridad de la informacin
7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI Actividad Los requerimientos detallados de la seguridad de la informacin para el proceso del SGSI deberan ser analizados y definidos. Entrada a) salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI Los documentos: 1. que resumen los objetivos, prioridades de la seguridad de la informacin, y requerimientos de la organizacin para el SGSI 2. que listen las restricciones regulatorias, contractuales y de la industria pertinentes a la seguridad de la informacin de la organizacin
-21-
2011-684
b) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI c) salida de la Actividad 6.6 D e s a r r o l l a r l a p o l t i c a d e l SGSI y o b t e n e r l a a p r o b a c i n d e l a D i r e c c i n L a p o l t i c a d e l SGSI Gua El primer paso requiere la recoleccin de toda la informacin de respaldo para el SGSI. Para cada proceso organizacional y tarea especializada, se necesita tomar una decisin en trminos de qu tan crtica es la informacin, es decir, el nivel de proteccin requerido. Una variedad de condiciones internas podra afectar la seguridad de la informacin y estas deberan ser determinadas. En esta etapa temprana no es importante describir la tecnologa de la informacin en detalle. Debera haber un resumen bsico de la informacin analizada para un proceso organizacional y las aplicaciones y sistemas de TIC asociados. El anlisis de los procesos de la organizacin provee sentencias acerca de los efectos de los incidentes de seguridad de la informacin en la actividad de la organizacin. En muchos casos, es adecuado trabajar con una descripcin muy bsica de los procesos de la organizacin. Los procesos, funciones, ubicaciones, sistemas de informacin y redes de comunicaciones necesitan ser identificados y documentados, si es que no han sido ya incluidos como parte del alcance del SGSI. Lo siguiente debera ser considerado para obtener los requerimientos detallados de la seguridad de la informacin para el SGSI: a) identificacin preliminar de activos de informacin importantes y su proteccin actual de la seguridad de la informacin. b) identificar visiones de la organizacin y determinar el efecto de las visiones identificadas en futuros requerimientos de procesamiento de informacin c) analizar las formas actuales de procesamiento de la informacin, aplicaciones del sistema, redes de comunicacin, ubicacin de actividades y recursos de TI, etc. d) identificar todos los requerimientos esenciales (por ejemplo, requerimientos legales y normativos, obligaciones contractuales, requerimientos organizacionales, normas de la industria, acuerdos con clientes y proveedores, condiciones de aseguramiento, etc.) e) identificar el nivel de concientizacin sobre seguridad de la informacin y, desde ah, derivar los requerimientos de capacitacin y educacin, en trminos de cada unidad operativa y administrativa. Salida Los entregables de esta actividad son: a) identificacin de los procesos, funciones, ubicaciones, sistemas de informacin y redes de comunicacin principales b) identificacin de los activos de informacin de la organizacin c) clasificacin de los procesos/activos crticos d) requerimientos de seguridad de la informacin derivados de los requerimientos legales, regulatorios, y contractuales de la organizacin. e) lista de vulnerabilidades pblicamente conocidas que sern consideradas como un resultado de los requerimientos de seguridad f) requisitos organizacionales de capacitacin y educacin sobre seguridad de la informacin Otra informacin No existe otra informacin especfica.
-22-
2011-684
7.3 Identificar los activos dentro del alcance del SGSI

Actividad Se deberan identificar los activos a ser respaldados por el SGSI. Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la Direccin La poltica del SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI. Gua Para identificar los activos dentro del alcance del SGSI la siguiente informacin debera ser identificada y enlistada: a) nombre nico del proceso b) descripcin del proceso y de las actividades relacionadas (creadas, almacenadas, transmitidas, eliminadas) c) ponderacin del proceso para la organizacin (crtico, importante, de respaldo) d) propietario del proceso (unidad de la organizacin) e) procesos que proveen entradas y salidas de este proceso f) aplicaciones de TI que respaldan el proceso g) clasificacin de la informacin (confidencialidad, integridad, disponibilidad, control de acceso, no repudio, y / u otras propiedades importantes para la organizacin, por ejemplo, por cunto tiempo podra almacenarse la informacin) Salida Los entregables de esta actividad son: a) activos de informacin identificados de los principales procesos de la organizacin dentro del alcance del SGSI b) clasificacin de la seguridad de la informacin de los procesos y activos de informacin crticos Otra informacin No existe otra informacin especfica.
7.4 Realizar una evaluacin de la seguridad de la informacin

Actividad La evaluacin de seguridad de la informacin debera realizarse comparando el estado actual de la seguridad de la informacin de la organizacin con los objetivos deseados por la organizacin.
-23-
2011-684
Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida d e l a Actividad 6.6 Desarrollar la poltica del SGSI y o b t e n e r a p r o b a c i n d e l a D i r e c c i n L a p o l t i c a d e l SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI d) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI Gua La evaluacin de la seguridad de la informacin es la actividad para identificar el nivel existente de seguridad de la informacin (es decir, los actuales procedimientos de la organizacin de manejo de la proteccin de la informacin). La finalidad fundamental de la evaluacin de la seguridad de la informacin es proveer informacin que respalde la descripcin requerida para el sistema de gestin, en la forma de polticas y las directrices. Obviamente, es necesario asegurarse que las deficiencias identificadas se las maneja en forma paralela mediante un plan de accin priorizado. Todas las partes involucradas deberan estar familiarizadas con los resultados del anlisis de la organizacin, los documentos normativos, y tener acceso al personal de gestin pertinente. Las evaluaciones de la seguridad de la informacin analizan la situacin actual de la organizacin y determinan el estado actual de la seguridad de la informacin y la vulnerabilidad de documentos, utilizando la siguiente informacin: a) estudiando hechos de fondo basados en procesos crticos b) clasificacin de los activos de informacin c) requerimiento organizacional de seguridad de la informacin. Los resultados de la evaluacin de la seguridad de la informacin, junto con los objetivos de la organizacin, son a menudo una parte importante del incentivo para trabajo futuro en seguridad de la informacin. La evaluacin de la seguridad de la informacin debera ser realizada por un recurso interno o externo que sea independiente de la organizacin. La participacin en la evaluacin de la seguridad debera incluir a personas que posean un profundo conocimiento del entorno, condiciones actuales y lo que sea pertinente en trminos de seguridad de la informacin. Estas personas deberan ser seleccionadas para representar un amplio espectro dentro de la organizacin e incluir: a) gerentes de lnea (por ejemplo, jefes de unidad de la organizacin) b) propietarios de proceso (es decir, quienes representen reas importantes de la organizacin) c) otras personas que posean un profundo conocimiento del entorno, condiciones actuales y lo que sea pertinente en trminos de seguridad de la informacin. Por ejemplo, usuarios de procesos de negocio, y funciones operativas, administrativas y legales. Las siguientes acciones son importantes para una evaluacin exitosa de la seguridad de la informacin: a) identificar y enlistar las normas pertinentes de la organizacin (por ejemplo, La NTE INENISO/IEC 27002). b) identificar requerimientos de control conocidos que surjan de las polticas, de los requerimientos legales y regulatorios, de las obligaciones contractuales, de los resultados de auditoras pasadas o de resultados de evaluaciones del riesgo realizadas en el pasado. c) utilizarlas como documentos de referencia con el fin de realizar una estimacin aproximada de los requerimientos actuales de la organizacin relativos a su nivel de seguridad de la informacin.
-242011-684
La priorizacin realizada en conjuncin con el anlisis de la organizacin constituye la base para la cual se deberan considerar precauciones de seguridad y verificaciones (controles). El siguiente es el enfoque para la realizacin de la evaluacin de la seguridad de la informacin : a) seleccionar los procesos organizacionales de negocio importantes y los pasos de proceso relativos a los requerimientos de seguridad de la informacin, b) crear un flujograma completo que cubra los principales procesos de la organizacin incluyendo infraestructura (lgica y tcnica), si es que ste no existe ya o fue realizado durante el anlisis de la organizacin. c) discutir con personal apropiado y clave, y analizar la situacin actual de la organizacin en relacin con los requerimientos de seguridad de la informacin. Por ejemplo, qu procesos son crticos?, qu tan bien trabajan actualmente? (Los resultados son utilizados posteriormente en la evaluacin del riesgo). d) determinar las deficiencias de control mediante la comparacin de los controles existentes con requerimientos de control previamente identificados. e) completar y documentar el estado actual. Salida El entregable de esta actividad es: a) un documento que resume el estado evaluado de la seguridad de la organizacin, y las vulnerabilidades evaluadas. Otra informacin La evaluacin de la seguridad de la informacin realizada en esta etapa, nicamente entregar informacin preliminar sobre el estado de la seguridad de la informacin de la organizacin y las vulnerabilidades, ya que el conjunto completo de polticas y normas de seguridad de la informacin es desarrollado en una etapa posterior (ver Clusula 9), y una evaluac in del riesgo an no ha sido realizada.
8 Realizar la evaluacin del riesgo y la planificacin del tratamiento del riesgo

8.1 Perspectiva general de la realizacin de la evaluacin del riesgo y la planificacin del tratamiento del riesgo La implementacin de un SGSI debera sealar riesgos relevantes de la seguridad de la informacin. La identificacin, evaluacin y tratamiento planificado de los riesgos, y la seleccin de los objetivos de control y los controles, son pasos importantes par a la implementacin de un SGSI y que deberan ser manejados en esta fase. La NTE INEN ISO/IEC 27005 provee directrices especficas para la Gestin de Riesgos de la Seguridad de la Informacin y debera ser referida en toda la Clusula 8. Se asume que la Direccin se ha comprometido a la implementacin del SGSI; que el alcance del SGSI y la poltica del SGSI han sido definidos; y que los activos de informacin son conocidos al igual que los resultados de la evaluacin de la seguridad de la informacin. Objetivo: Definir la metodologa de evaluacin del riesgo; identificar, analizar y evaluar los riesgos de la seguridad de la informacin, para seleccionar las opciones de tratamiento del riesgo y los objetivos de control y los controles. Norma NTE INEN ISO/IEC 27001 clusulas 4.2.1 c) a 4.2.1 j)
-25-
2011-684
Obtener aprobacin gerencia iniciar proyecto ISMS 5
definir alcance, limites y poltica ISMS 6
Disear el ISMS
Aprobacin gerencia inicio proyecto ISMS
Alcance y limitaciones ISMS
Requisitos seguridad de informacin
Notificacin escrita gerencia aprobacin ejecucin ISMS
Poltica ISMS
Informacin de activos
Plazo
Resultados evaluacin seguridad de informacin
Plan tratamiento riesgo
SOA, Incluyendo control objetivos y controles seleccionados
Plazo
Evaluacin riesgo 8.2
Metodologas evaluacin riesgo
Resultado evaluacin riesgo Seleccionar objetivos control y controles 8.3
Lista controles seleccionados y objetivos control
Plan tratamiento riesgo Autorizacin gerencia implementacin y operacin ISMS 8.4
Aprobacin implementacin ISMS
Aceptacin riesgos residuales
SoA, incluyendo control objetivo y control seleccionado
Plazo
Figura 6 Descripcin general de la fase de evaluacin del riesgo

-262011-684
8.2 Realizar la evaluacin del riesgo Actividad Se debera realizar la evaluacin del riesgo. Entrada a) salidas de la Actividad de la clusula 7 Realizar el anlisis de los requerimientos de seguridad de la informacin La informacin relacionada con: 1. resumen del estado de la seguridad de la informacin 2. activos de informacin identificados b) salida de la Actividad de la clusula 6 Definir el alcance del SGSI, lmites y polticas del SGSI Los documentos de: 1. alcance del SGSI 2. poltica del SGSI c) NTE INEN ISO/IEC 27005 Gua La realizacin de una evaluacin del riesgo dentro del contexto del negocio en apoyo del alcance del SGSI, es esencial para el cumplimiento e implementacin exitosa del SGSI de acuerdo con la NTE INEN ISO/IEC 27001. La evaluacin del riesgo debera: a) identificar amenazas y sus fuentes b) identificar controles existentes y planificados c) identificar las vulnerabilidades que pueden ser explotadas por las amenazas, para causar daos a los activos o a la organizacin d) identificar las consecuencias que las prdidas de confidencialidad, integridad, disponibilidad, no repudio y otros requerimientos de seguridad, podran tener sobre los activos e) evaluar el impacto al negocio que podra resultar de incidentes de seguridad de la informacin anticipados o reales f) evaluar la probabilidad de escenarios de incidentes g) estimar el nivel de riesgo h) comparar los niveles de riesgo frente a los criterios de evaluacin del riesgo y los criterios de aceptacin del riesgo La participacin en la evaluacin del riesgo debera incluir a personas con profundos conocimientos de los objetivos de la organizacin y entendimiento de seguridad (por ejemplo, una buena visin sobre lo que es relevante actualmente en trminos de amenazas de los objetivos de la organizacin). Estas personas deberan seleccionarse para representar un amplio espectro dentro de la organizacin. Para referencia, ver Anexo B, Roles y Responsabilidades. Una organizacin podra emplear una metodologa de evaluacin del riesgo que sea especfica para un proyecto, compaa o norma del sector.
-27-
2011-684
Salida Los entregables de esta actividad son: a) la descripcin de las metodologas de evaluacin del riesgo b) los resultados de la evaluacin del riesgo Otra informacin Anexo B informacin sobre Roles y Responsabilidades.
NOTA Un escenario de incidente es la descripcin de una amenaza que explote cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de seguridad de la informacin. La NTE INEN ISO/IEC 27001 describe la ocurrencia de escenarios de incidentes como fallas de seguridad. (ver NTE INEN ISO/IEC 27005)
8.3 Seleccionar los objetivos de control y los controles Actividad Las opciones para el tratamiento de los riesgos, al igual que la seleccin de los controles apropiados, deberan ser identificadas de acuerdo con las opciones de tratamiento del riesgo identificadas. Entrada a) salida de Actividad 8.2 Realizar la evaluacin del riesgo El resultado de la evaluacin del riesgo b) NTE INEN ISO/IEC 27005 c) NTE INEN ISO/IEC 27002 Gua Es importante especificar la relacin que existe entre los riesgos y las opciones seleccionadas para el tratamiento de los mismos (por ejemplo, un plan de tratamiento del riesgo), por cuanto este proveer un resumen del tratamiento del riesgo. Las posibles opciones para el tratamiento de los riesgos estn enumeradas en la NTE INEN ISO/IEC 27001. Clusula 4.2.1 f). El Anexo A (normativa) Objetivos de control y controles" de la NTE INEN ISO/IEC 27001 es utilizado para seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Si no existen objetivos de control o controles apropiados en el Anexo A, los objetivos de control y los controles adicionales deberan ser especificados y utilizados. Es importante demostrar como los controles seleccionados mitigarn riesgos segn lo requiere el plan de tratamiento de riesgos. Los datos provistos en el Anexo A de la NTE INEN ISO/IEC 27001 no intentan ser exhaustivos. Controles de un sector especfico podran ser identificados para apoyar las necesidades especficas del negocio, as como del SGSI. En el caso de la reduccin del riesgo, el manejo de la relacin entre cada riesgo y los objetivos de control y los controles seleccionados, es beneficioso para el diseo de la implementacin del SGSI. Esto podra ser agregado a la lista que describe la relacin entre los riesgos y las opciones de tratamiento del riesgo seleccionadas. Para facilitar las auditorias, la organizacin debera compilar una lista de controles que han sido seleccionados como pertinentes y aplicables al SGSI de la organizacin. Esto tiene la ventaja agregada de mejorar las relaciones del negocio, tales como subcontratacin electrnica, mediante la provisin de un resumen de controles en prctica.
-28-
2011-684
Es importante tomar en cuenta que el resumen de los controles es muy probable que contenga informacin sensible. Por lo tanto, se debera tomar la debida precaucin cuando se hace un resumen de los controles disponibles a los beneficiarios, tanto internos como externos. En realidad podra ser apropiado tomar en cuenta la informacin generada como parte de la creacin del SGSI para la definicin de los activos. Salida Los entregables de esta actividad son: a) una lista de los controles y objetivos de control seleccionados b) El Plan de Tratamiento del Riesgo, con: 1. Una descripcin de la relacin entre los riesgos y la opcin de tratamiento del riesgo seleccionada 2. Una descripcin de la relacin entre los riesgos y los objetivos de control y los controles seleccionados (especialmente en el caso de reduccin del riesgo) Otra informacin NTE INEN-ISO/IEC 27002 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI Actividad La aprobacin de la Direccin debera obtenerse para implementar un SGSI, as como documentar la aceptacin de los riesgos residuales. Entrada a) Salida de las Actividades de la clusula 5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la Direccin - La aprobacin inicial por parte de la Direccin del Proyecto del SGSI b) salidas de las Actividades en la clusula 6 Definir el alcance del SGSI, lmites y polticas del SGSI Las declaraciones documentadas de: 1. las polticas y objetivos del SGSI 2. el alcance del SGSI c) salida de la Actividad 8.2 Realizar la evaluacin del riesgo Los documentos de: 1. la descripcin de las metodologas de evaluacin del riesgo 2. el resultado de la evaluacin del riesgo d) salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles El Plan de Tratamiento del Riesgo Gua Para obtener aprobacin de la Direccin, los documentos descritos como las entradas de esta clusula deberan ser preparados para evaluacin y toma de decisiones de la Direccin. Las preparaciones para la Declaracin de Aplicabilidad (SoA Statement of Applicability) deberan incluirse como parte de los esfuerzos de gestin de la seguridad de la informacin. El nivel de detalle en el cual los controles estn especificados, debera cumplir con los requerimientos necesitados para respaldar la aprobacin del SGSI por parte de la Direccin de la organizacin.
-29-
2011-684
Se debera obtener aprobacin de la alta Direccin para la decisin de aceptar riesgos residuales, y autorizacin para la operacin real del SGSI. Estas decisiones deberan basarse en una evaluacin de los riesgos y oportunidades que podran ocurrir como resultado de la implementacin del SGSI, comparado con aquellos que resulten de no implementarlo. Salida Los entregables de esta actividad son: a) notificacin escrita de la aprobacin de la Direccin para implementar el SGSI b) aceptacin de la Direccin de los riesgos residuales. c) declaracin de aplicabilidad, incluyendo los objetivos de control y los controles seleccionados Otra informacin No existe otra informacin especfica.
Diseo del SGSI
9.1 Perspectiva general del diseo del SGSI Un diseo detallado del proyecto del SGSI y las actividades planificadas para su implementacin deberan ser desarrollados ahora. El plan final del proyecto del SGSI ser nico en su detalle para la organizacin especfica, dependiendo de los resultados de las actividades anteriores, as como de los resultados de las actividades especficas en la fase de diseo descrita en esta clusula. El plan especfico final de implementacin del proyecto del SGSI, es la salida de esta clusula. En base a este plan, el proyecto del SGSI puede ser lanzado en la organizacin como parte de la primera fase HACER del ciclo PHVA descrito en la NTE INEN ISO/IEC 27001. Se entiende que la Direccin se ha comprometido a la implementacin del SGSI que est definido en el alcance y en la poltica del SGSI. Los activos de informacin, al igual que los resultados de la evaluacin de la seguridad de la informacin, se asumen disponibles. Adicionalmente, el plan de tratamiento del riesgo que describa los riesgos, las opciones de tratamiento del riesgo, con los objetivos de control y controles seleccionados e identificados, tambin deberan estar disponibles. El diseo del SGSI descrito aqu, se enfoca en la estructura interna y requerimientos del SGSI. Se debera tomar en cuenta que, en ciertos casos, el diseo del SGSI podra tener un impacto directo o indirecto del diseo de los procesos del negocio. De igual manera, se debera tomar en cuenta que generalmente existe la necesidad de integrar los componentes del SGSI con acuerdos de gestin e infraestructura pre-existentes. Objetivo: Completar el plan final de implementacin para el SGSI mediante: el diseo de la seguridad organizacional en base a las opciones de tratamiento del riesgo seleccionadas, al igual que los requerimientos relativos al registro y documentos; y el diseo de los controles, integrando provisiones de seguridad para las TIC, los procesos fsicos y organizacionales; y el diseo de los requerimientos especficos del SGSI. NTE INEN ISO/IEC 27001 clusulas: 4.2.2 a)-e), h) En el diseo del SGSI, los siguientes asuntos deberan ser tomados en cuenta: a) seguridad organizacional cubre los aspectos administrativos de la seguridad de la informacin, incluyendo la responsabilidad de la operacin de la organizacin para el tratamiento del riesgo. Esto debera formar parte del grupo de actividades que resultan en las polticas, objetivos, procesos y procedimientos para manejar y mejorar la seguridad de la informacin, en relacin con las necesidades y riesgos de la organizacin.
-30-
2011-684
b) seguridad de las TIC cubre los aspectos de seguridad de la informacin especficamente relacionados con la responsabilidad de las operaciones de las TIC para la reduccin del riesgo. Esto es para cumplir con los requerimientos establecidos por la organizacin y con la implementacin tcnica de controles para reducir los riesgos. c) seguridad fsica cubre los aspectos de la seguridad de la informacin especficamente relacionados con la responsabilidad del manejo del ambiente fsico, tal como edificios y su infraestructura para la reduccin de riesgos. Esto es para cumplir con los requerimientos establecidos por la organizacin y con la implementacin tcnica de controles para reducir los riesgos. d) Especficos del SGSI cubre los aspectos de los diferentes requerimientos especficos para un SGSI de acuerdo con la NTE INEN ISO/IEC 27001, aparte de lo que se cubren en las otras tres reas. El enfoque es sobre ciertas actividades, que deberan ejecutarse en la implementacin para lograr un SGSI operativo, las mismas que son: 1. monitoreo 2. medicin 3. auditoria interna del SGSI 4. entrenamiento y concientizacin 5. gestin de incidentes 6. revisin por parte de la Direccin 7. mejoramiento del SGSI incluyendo acciones correctivas y preventivas El desarrollo del Proyecto del SGSI y el diseo de su implementacin de controles planificada debera involucrar y hacer uso de las habilidades y experiencia del personal de aquellas partes de la organizacin que estn, bien sea, dentro del alcance del SGSI, o tienen responsabilidades relacionadas con la gestin del SGSI. Los aspectos especficos del SGSI requieren dilogo con la Direccin. Para disear los controles seleccionados para el tratamiento del riesgo, es crucial disear el entorno de seguridad fsica y de las TIC, y el entorno de seguridad organizacional. La seguridad de las TIC trata, no solamente con los sistemas y redes de informacin, sino tambin con los requerimientos operacionales. La seguridad fsica trata con todos los aspectos del control de acceso, no repudio, proteccin fsica de los activos de informacin y lo que est almacenado o guardado; al igual que ser en s, un medio de proteccin para los mismos controles de seguridad. Los controles seleccionados en las actividades descritas en la clusula 8.3 deberan ser implementados de acuerdo con un plan especfico de implementacin estructurado y detallado, como parte del plan de proyecto del SGSI. Esta parte especfica del plan de proyecto del SGSI debera indicar cmo manejar cada riesgo con el fin de lograr los objetivos de control. Esta parte especfica del plan de proyecto del SGSI es esencial para que los controles seleccionados sean implementados apropiada y efectivamente. El equipo de gestin de la seguridad de la informacin es responsable de la preparacin de esta parte especfica del plan de implementacin, que constituye la parte final del plan de proyecto del SGSI.
-31-
2011-684
Aprobacin gerencia inicio proyecto ISMS 5
Disear el ISMS 9
aprobacin gerencia iniciar proyecto ISMS
alcance y limites del ISMS
Requisitos seguridad informacin
Notificacin escrita aprobacin gerencia implementacin IS,MS
Plan implementacin proyecto final ISMS
Poltica ISMS
Informacin activos Plan tratamiento riesgo
Resultado evaluacin seguridad informacin
SoA. Incluyendo objetivos control y controles seleccionados
Plazo
Diseo seguridad Informacin Organizacional 9.2
Diseo estructura final organizacin 9.2.1
Diseo marco documentacin ISMS 9.2.2
Diseo poltica seguridad informacin 9.2.3
Desarrollo normas y procedimientos seguridad informacin 9.2.4
Estructura organizacin papeles y responsabilidades
Marco ISMS registros y documentacin
Poltica seguridad informacin
Marco normas seguridad informacin
Diseo ICT y seguridad fsica informacin 9.3
Procedimientos seguridad informacin
Implementacin controles relacionados ICT y seguridad
Diseo control especfico seguridad informacin 9.4
Plan revisin gestin 9.4.1
Diseo programa concientizacin y capacitacin
Lista entradas para ejecutar revisin manejo
Materiales capacitacin seguridad informacin
Planes concientizacin seguridad informacin, capacitacin educacin
Producir el proyecto final del ISMS 9.5
Procedimiento manejo revisin incluyendo auditoria, monitoreo, aspectos medicin
Capacitacin seguridad informacin incluyendo roles y responsabilidades
Registro resultados capacitacin seguridad de informacin
Plan implementacin proyecto final del ISMS
Plazo
Figura 7 Descripcin general del diseo de la fase del SGSI
-32-
2011-684
9.2 Disear la seguridad de la informacin organizacional 9.2.1 Diseo de la estructura organizacional final para la seguridad de la informacin Actividad Las funciones, roles y responsabilidades organizacionales para la seguridad de la informacin deberan estar alineadas con el tratamiento del riesgo. Entrada a) salida d e l a Actividad 5.3.2 D e f i n i r r o l e s y r e s p o n s a b i l i d a d e s p a r a e l a l c a n c e p r e l i m i n a r d e l S G S I La tabla de funciones y responsabilidades b) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI c) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener aprobacin de la Direccin La poltica del SGSI d) salida de la actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI e) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI f) salida de la Actividad 7.4 Realizar una evaluacin de la seguridad de la informacin g) salida de la Actividad 8.2 Realizar la evaluacin del riesgo - Los resultados de la evaluacin del riesgo h) salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles i) NTE INEN ISO/IEC 27002 Gua El diseo de las estructuras y procesos organizacionales para operaciones internas del SGSI debera buscar crear e integrarse con reas pre existentes, cuando sea apropiado. De la misma forma, la integracin del SGSI en estructuras de gestin pre-existentes ms amplias (por ejemplo, auditora interna) debera ser tomada en cuenta para el proceso de diseo del SGSI. La estructura organizacional diseada para el SGSI debera reflejar las actividades para la implementacin y operacin del SGSI, al igual que sealar como una parte de las operaciones del SGSI, por ejemplo, los mtodos de monitoreo y registro. Consecuentemente, la estructura para las operaciones del SGSI debera disearse en base a la implementacin del SGSI planificada, tomando en consideracin lo siguiente: a) Se necesita cada rol de la implementacin del SGSI para las operaciones del SGSI? b) Los roles definidos son diferentes de aquellos para la implementacin del SGSI? c) Qu roles deberan agregarse para la implementacin del SGSI? Por ejemplo, los siguientes roles podran agregarse para las operaciones del SGSI: a) un responsable de las operaciones de seguridad de la informacin en cada departamento b) un responsable de la medicin del SGSI en cada departamento Considerar los puntos detallados en el Anexo B Roles y Responsabilidades podra ayudar a decidir la estructura y roles para la operacin del SGSI mediante la revisin de la estructura y los roles para la implementacin del SGSI.
-33-
2011-684
Salida El entregable de esta actividad es un documento que resume: a) estructura de la organizacin, sus roles y responsabilidades Otra informacin Anexo B Informacin sobre roles y responsabilidades Anexo C Informacin sobre planificacin de auditoras 9.2.2 Disear un marco referencial para la documentacin del SGSI Actividad Los registros y documentos en el SGSI deberan ser controlados mediante la identificacin de los requerimientos y el marco referencial que permite cumplir con los requerimientos para el actual control de registros y documentos dentro del SGSI. Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) definicin del alcance y lmites del SGSI c) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener aprobacin de la Direccin La poltica del SGSI d) salida de la Actividad 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI. e) salida de la Actividad 9.2.1 Diseo de la estructura organizacional final para la seguridad de la informacin f) NTE INEN ISO/IEC 27002 Gua El diseo del registro del SGSI incluye las siguientes actividades: a) un marco referencial que describa los principios para documentar el SGSI, la estructura de los procedimientos para documentar el SGSI, los roles involucrados, formato de datos, y rutas de reportes para la Direccin b) diseo de los requerimientos de la documentacin c) diseo de los requerimientos de registro La documentacin del SGSI debera, incluir registros de las decisiones de la Direccin; asegurarse que las acciones son trazables a las decisiones y polticas de la Direccin y que los resultados registrados son reproducibles. Los documentos del SGSI deberan proveer la evidencia de que los controles son seleccionados en base a los resultados de la evaluacin del riesgo y tratamiento del riesgo, y que tales procesos son implementados conjuntamente con la poltica y objetivos del SGSI. La documentacin es esencial para la reproduccin de los resultados y procedimientos. Al igual que para los controles seleccionados, el establecimiento y documentacin de los procedimientos debera tener una referencia a la persona responsable de la parte real de la documentacin. La documentacin del SGSI debera incluir la documentacin que se especifica en la clusula 4.3.1 de la NTE INEN ISO/IEC 27001.
-342011-684
Es necesario que los documentos del SGSI sean manejados y puestos a disposicin del personal segn sea requerido. Esto incluye lo siguiente: a) establecer el procedimiento administrativo de gestin de documentos del SGSI b) una aprobacin formal de los documentos para la adecuacin previa a la emisin c) asegurar que los cambios y el estado de la revisin actual de los documentos estn identificados d) proteccin y control de los documentos como un activo de informacin de la organizacin Es importante que las versiones pertinentes de los documentos aplicables, estn disponibles en los puntos de uso, asegurndose que los documentos se mantengan legibles, fcilmente identificables, transferidos, almacenados y finalmente, dispuestos de acuerdo con los procedimientos aplicables para su clasificacin. Adicionalmente, asegurar que los documentos de origen externo sean identificados, que la distribucin de los documentos sea controlada, evitando el uso no intencionado de documentos obsoletos, y aplicar el seguimiento apropiado de ellos, si es que son retenidos con cualquier propsito. Los registros deberan ser creados, mantenidos y controlados como evidencia de que el SGSI de la organizacin cumple con la NTE INEN ISO/IEC 27001, y para mostrar la efectividad de las operaciones. Tambin se requiere mantener registros del estado de la implementacin para toda la fase PHVA, al igual que registros de incidentes y eventos contra la seguridad de la informacin; registros de educacin, capacitacin, destrezas, experiencia y capacidades; auditoras internas del SGSI, acciones correctivas y preventivas, y registros organizacionales. Las siguientes tareas deberan ser realizadas para controlar los registros : a) documentar los controles requeridos para identificar, almacenar, proteger, buscar y descartar datos, y documentar la duracin de su almacenamiento b) definir qu debera ser registrado, y en qu medida, dentro de los procesos operativos de gestin c) cuando un perodo de conservacin sea especificado por las leyes o la legislacin, el perodo de retencin se debera establecer de conformidad con el requerimiento legal. Salida Los entregables de esta actividad son: a) un documento que resume los requerimientos para los registros del SGSI y el control de documentacin b) depsitos y plantillas para los registros requeridos del SGSI Otra informacin No existe otra informacin especfica. 9.2.3 Disear la poltica de seguridad de la informacin Actividad Se debera documentar la posicin estratgica de la Direccin y de la Administracin en cuanto a los objetivos de la seguridad de la informacin, con respecto de la operacin del SGSI. Entrada a) salida de la Actividad 5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI Los objetivos resumidos y la lista de requerimientos
-35-
2011-684
b) salida de la actividad 5.4 Crear el caso de negocio y el plan del proyecto para aprobacin de la Direccin La aprobacin inicial de la Direccin para el proyecto del SGSI c) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI d) salida d e l a Actividad 6.6 Desarrollar la poltica del SGSI y o b t e n e r l a a p r o b a c i n d e la Direccin La poltica del SGSI e) salida de la actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI f) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI g) salida de la Actividad 7.4 Realizar una evaluacin de la seguridad de la informacin h) salida de la Actividad 8.2 Realizar la evaluacin del riesgo Los resultados de la evaluacin del riesgo de la salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles i) salida de la Actividad 9.2.1 Diseo de la estructura organizacional final para la seguridad de la informacin j) salida de la Actividad 9.2.2 Disear un marco referencial para la documentacin del SGSI k) NTE INEN ISO/IEC 27002 clusula 5.1.1 Gua La poltica de seguridad de la informacin documenta la posicin estratgica de la organizacin con respecto a los objetivos de la seguridad de la informacin en toda la organizacin La poltica es elaborada en base a la informacin y el conocimiento. Lo que ha sido identificado por la Direccin como importante en el anlisis realizado previamente, debera hacerse evidente y enfatizarse en la poltica, con el fin de proveer incentivo y motivacin en la organizacin. Tambin es importante sealar lo que sucede si no se sigue la poltica. Los impactos legales y regulatorios que afectan la organizacin en cuestin, tambin deberan ser enfatizados. Ejemplos de una poltica de seguridad de la informacin pueden ser preparados a partir de literatura de referencia, el Internet, asociaciones de inters y asociaciones de la industria. Formulaciones y connotaciones pueden ser extradas de informes anuales, de otras polticas o de otros documentos que la Direccin admita. Podra haber diferentes interpretaciones y requerimientos relativos al tamao real de una poltica. Debera ser suficientemente resumida, de tal manera que el personal pueda entender la intencin de la poltica. Adicionalmente, debera distinguir muy claramente los objetivos que son necesarios para tratar el grupo de regulaciones y objetivos de la organizacin. El tamao y estructura de la poltica de seguridad de la informacin debera sustentar a los documentos que son usados en la siguiente etapa del proceso para introducir un sistema de gestin de la seguridad de la informacin (ver tambin el Anexo D Informacin sobre estructura de la norma). Para organizaciones grandes y complejas (por ejemplo, con reas operacionales muy diversas) podra ser necesario elaborar una norma general y varias normas subyacentes adaptadas a las operaciones. La gua sobre el contenido de una poltica de seguridad de la informacin se provee en la NTE INEN ISO/IEC 27002 clusula 5.1.1. La poltica propuesta (con el nmero de versin y fecha) debera ser verificada y establecida dentro de la organizacin por el gerente de operaciones. A continuacin del establecimiento dentro del grupo directivo o su equivalente, el gerente de operaciones aprueba la poltica de seguridad de la informacin. sta es luego comunicada a todas las personas en la organizacin de tal manera que sea pertinente, accesible y comprensible para sus lectores.
-36-
2011-684
Salida El entregable de esta actividad es un documento de la poltica de la seguridad de la informacin. Otra informacin Anexo B Informacin sobre roles y responsabilidades Anexo D - Informacin sobre la estructura de la poltica 9.2.4 Desarrollar normas y procedimientos de seguridad de la informacin Actividad Se deberan desarrollar las normas y procedimientos de seguridad de la informacin dirigida a toda la organizacin o a partes especficas. Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la Direccin La poltica del SGSI c) salida de la Actividad 8.2 Realizar le evaluacin del riesgo d) salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles e) salida de la Actividad 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI -La declaracin de aplicabilidad, incluyendo los objetivos de control y los controles seleccionados f) salida de la Actividad 9.2.1 Diseo de la estructura organizacional final para la seguridad de la informacin g) salida de la Actividad 9.2.2 Disear un marco referencial para la documentacin del SGSI h) salida de la Actividad 9.2.3 Disear la poltica de seguridad de la informacin i) NTE INEN ISO/IEC 27002 Gua Con el fin de proveer una base para el trabajo sobre la seguridad de la informacin dentro de la organizacin, las normas para la seguridad de la informacin, al igual que el grupo de requerimientos legales y regulatorios deberan estar a disposicin de aquellos que necesitan conocerlos. Representantes de diferentes partes de la organizacin dentro del alcance del SGSI deberan participar en el proceso de desarrollo de normas y procedimientos. Aquellos que participen deberan tener autoridad y ser representantes de la organizacin. Por ejemplo, los siguientes roles podran ser incluidos: a) directores de seguridad de la informacin, b) representantes de la seguridad fsica, c) propietarios de sistemas de informacin, y d) propietarios de procesos de reas estratgicas y operacionales.
-37-
2011-684
Se sugiere mantener el grupo editorial tan pequeo como sea posible, con la opcin de incorporar temporalmente especialistas al equipo, segn se requiera. Cada representante debera mantenerse en contacto activo con su propia rea de la organizacin para proveerle soporte operativo transparente. Esto facilita la posterior mejora en la forma de procedimientos y rutinas a nivel operativo. Las normas y procedimientos de seguridad deberan entonces ser usados como una base para disear procedimientos tcnicos u operativos detallados. Una manera prctica de enfocar el desarrollo de normas y procedimientos de seguridad de la informacin es considerar cada punto de la gua de implementacin de las NTE INEN ISO/IEC 27001 e NTE INEN ISO/IEC 27002 que se considere aplicable (basado en los resultados de la evaluacin del riesgo), y describir de manera precisa cmo debera aplicarse. Una evaluacin de cualquier norma y procedimiento existente relativo a la seguridad de la informacin debera ser revisada. Por ejemplo, si pueden ser mejorados y desarrollados, o requieren ser totalmente reemplazados? La documentacin pertinente y actualizada debera proveerse a cada miembro del personal incluido en el alcance. Las normas y procedimientos de seguridad de la informacin deberan aplicarse a toda la organizacin o aclarar qu roles, sistemas y reas estn cubiertos. Una primera versin debera producirse oportunamente. La edicin y proceso de revisin deberan definirse en una etapa temprana. Luego, se debera elaborar una estrategia respecto a cmo debera ser distribuida la informacin sobre cambios en la poltica. Salida a) El entregable de esta actividad es un plan de implementacin estructurado y detallado, parte del plan final del proyecto del SGSI, para controles relacionados con la seguridad organizacional y que incluya un marco referencial documentado del grupo de normas de seguridad de la informacin. b) normas de seguridad de la informacin incluyendo la lnea de base de la organizacin c) procedimientos de seguridad de la informacin que cumplen normas de seguridad de la informacin Otra informacin Anexo D- Informacin sobre la estructura de la poltica 9.3 Disear la seguridad de la informacin de las TIC y fsica Actividad Se deberan disear los controles para los ambientes de seguridad de las TIC y fsicos . Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida d e l a Actividad 6.6 Desarrollar la poltica del SGSI y o b t e n e r l a a p r o b a c i n d e l a D i r e c c i n L a p o l t i c a d e l SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI d) salida de la Actividad 7.3 Identificar los activos dentro del alcance del SGSI e) salida de la Actividad 7.4 Realizar una evaluacin de la seguridad de la informacin f) salida de la Actividad 8.3 Seleccionar los objetivos de control y los controles
-382011-684
g) salida d e l a Actividad 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI Declaracin de aplicabilidad, incluyendo los objetivos de control y los controles seleccionados h) NTE INEN ISO/IEC 27002 Gua En esta actividad lo siguiente debera ser documentado para cada control y debera formar parte del plan de proyecto del SGSI: a) nombre de la persona responsable de la implementacin de un control b) prioridad del control para ser implementado c) tareas o actividades para implementar controles d) definicin del tiempo en el cual el control debera haber sido implementado e) persona a quien se debera reportar la implementacin del control, una vez que se lo haga f) recursos para la implementacin (recurso humano, requerimientos de recursos, requerimientos de espacio, costos) Inicialmente, la seguridad de las TIC y fsica deberan ser diseados conceptualmente. Lo siguiente debera ser considerado: Las responsabilidades para el proceso inicial de implementacin generalmente incluyen: a) especificacin de los objetivos de control con una descripcin del estado planificado esperado b) asignacin de los recursos (carga laboral, recursos financieros) c) tiempo meta realista para implementacin del control d) opciones de integracin con la seguridad de las TIC, fsica y organizacional Luego del diseo conceptual, se debera hacer el diseo real, como el desarrollo del sistema con el fin de alcanzar e implementar las mejores prcticas para la organizacin. Se debera tomar en cuenta lo siguiente: Las responsabilidades para el proceso real de implementacin incluyen: a) diseo de cada uno de los controles seleccionados para las TIC, reas fsicas y organizacionales a nivel operativo del sitio de trabajo b) ejemplificacin de cada control de acuerdo con el diseo acordado c) provisin de procedimientos e informacin para controles y cursos de capacitacin para promover la conciencia de seguridad d) provisin de asistencia e implementacin de los controles en el sitio de trabajo Dependiendo del tipo de controles (TIC, fsico u organizacional) no siempre podra ser apropiado o necesario trazar una lnea definida entre la parte inicial y la parte final del proceso de implementacin. La implementacin de controles requiere frecuentemente la cooperacin de diferentes roles dentro de una organizacin. Es as que, por ejemplo, personas que tienen bajo su responsabilidad el sistema se requerirn para obtener, instalar y mantener infraestructura tcnica. Otros roles podran ser ms apropiadas para concebir y documentar los procedimientos que rigen el uso de sistemas.
-39-
2011-684
La seguridad de la informacin debera ser integrada en los procedimientos y procesos de toda la organizacin. Si su implementacin se dificulta tanto para una parte de la organizacin como para un tercero, las partes involucradas deberan reportar esta situacin inmediatamente a fin de que una determinacin pueda ser acordada. Las soluciones a este tipo de situaciones incluyen la modificacin de los procedimientos y procesos, la re-asignacin de roles y responsabilidades, y la adaptacin de procedimientos tcnicos. Los siguientes son los resultados de la implementacin de controles del SGSI. a) Plan de implementacin que especifica los detalles de la implementacin de controles, como cronograma, estructura del equipo de implementacin, etc. b) Registros y documentacin de los resultados de la implementacin Salida El entregable d e e s t a a c t i v i d a d e s u n p l a n e s t r u c t u r a d o y d e t a l l a d o d e l a i m p l e m e n t a c i n d e c o n t r o l e s r e l a c i o n a d o s c o n l a s e g u r i d a d f s i c a y d e l a s TIC, como parte del Plan del Proyecto del SGSI, que debe incluir para cada control: a) descripcin detallada b) responsabilidades de diseo e implementacin c) plazo de ejecucin esperado d) tareas involucradas e) recursos requeridos f) propiedad (lnea jerrquica de reporte)
Otra informacin No existe otra informacin especfica. 9.4 Disear la seguridad de la informacin especfica del SGSI 9.4.1 Plan para la revisin por parte de la Direccin Actividad Se debera desarrollar un plan para asegurar que la Direccin participe y se comprometa en la revisin de la operacin y mejoramiento continuo del SGSI. Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la Direccin La poltica del SGSI c) salida d e l a Actividad 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI Declaracin de aplicabilidad, incluyendo los objetivos de control y los controles seleccionados d) salida de la Actividad 9.2.3 Disear la poltica de seguridad de la informacin e) NTE INEN ISO/IEC 27004
-40-
2011-684
Gua La revisin de las actividades del SGSI por parte de la Direccin debera iniciar en las etapas ms tempranas de especificacin y desarrollo del caso de negocio del SGSI y continuar durante la revisin regular de las operaciones del SGSI. Esta cercana participacin provee un medio para validar el SGSI frente a las necesidades del negocio y para mantener el compromiso del negocio con el SGSI. La planificacin de las revisiones por parte de la Direccin incluye establecer cundo y cmo deberan efectuarse las revisiones por parte de la Direccin. La informacin detallada relativa a los pre-requisitos para las revisiones por parte de la Direccin se encuentra en la clusula 7.2 de la NTE INEN ISO/IEC 27001. Para planificar la revisin, se debe realizar una evaluacin de qu roles se deben involucrar. La aprobacin de la Direccin se debera buscar para la seleccin de roles, los cuales deberan ser informados tan pronto como sea posible. Se recomienda proporcionar a la Direccin informacin adecuada relativa a la necesidad y propsito del proceso revisin. (Ver Anexo B para mayor informacin acerca de roles y responsabilidades.) Las revisiones de la Direccin se deberan basar en los resultados de mediciones del SGSI y en otra informacin recopilada durante la operacin del SGSI. Esta informacin es usada por las actividades de la Direccin del SGSI para determinar la madurez y eficacia del SGSI. Las entradas y salidas requeridas de las mediciones del SGSI se presentan en la NTE INEN ISO/IEC 27001, y mayor informacin relativa a las mediciones del SGSI se encuentra en el Anexo E y en la NTE INEN ISO/IEC 27004. Tambin se debera tomar en cuenta que una revisin de la metodologa y resultados de la evaluacin del riesgo debera incluirse. Esto debera llevarse a cabo a intervalos planificados, tomando en consideracin los cambios ocurridos en el entorno, como organizacin y tecnologa. Se debera realizar la planificacin para una auditora interna del SGSI con el fin de poder evaluar regularmente el SGSI una vez que el mismo ha sido implementado. Los resultados de la auditora interna del SGSI son importantes entradas para la revisin por parte de la Direccin del SGSI. Consecuentemente, antes de que se realice la revisin por parte de la Direccin, se debera planificar una auditora interna del SGSI. La auditora interna debera incluir la perspectiva respecto a si los objetivos de control, controles, procesos y procedimientos del SGSI estn siendo efectivamente implementados, mantenidos y estn en conformidad con: a) los requerimientos de la NTE INEN ISO/IEC 27001, b) legislacin y regulaciones pertinentes, y c) los requerimientos identificados de seguridad de la informacin, (Ver Anexo C para mayor informacin sobre la planificacin de auditora). Las pre-condiciones de la revisin por parte de la Direccin son la informacin recolectada en base al SGSI implementado y operado. La informacin provista a un equipo de revisin de la Direccin, podra incluir lo siguiente: a) Reportes de incidentes del ltimo perodo de operacin b) Verificacin de la efectividad del control y de no conformidades identificadas c) Los resultados de otras verificaciones regulares (ms detalle si las verificaciones han revelado incumplimiento de la poltica). d) Recomendaciones para mejorar el SGSI. Un plan de monitoreo debera documentar los resultados de monitoreo, que deben ser registrados y reportados a la Direccin (para informacin adicional sobre monitoreo ver Anexo E).
-41-
2011-684
Salida El entregable de esta actividad es un documento que resume el plan requerido para la revisin por parte de la Direccin, y que seale: a) entradas requeridas para realizar la revisin del SGSI por parte de la Direccin b) procedimientos para la revisin por parte de la Direccin que cubran la auditora, el monitoreo y aspectos de medicin Otra informacin Anexo B Roles y responsabilidades de la seguridad de la informacin Anexo C Informacin relativa a la Auditora Interna Anexo E Informacin sobre el establecimiento de Monitoreo y Medicin 9.4.2 Disear el programa de concientizacin, capacitacin y educacin sobre la seguridad de la informacin Actividad Se debera desarrollar el programa de concientizacin, capacitacin y educacin sobre la seguridad de la informacin, Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la Direccin La poltica del SGSI c) salida de la Actividad 7.2 Definir los requerimientos de seguridad de la informacin para el proceso del SGSI - Particularm ente los requerim ientos de las organizaciones de capacitacin y educacin sobre la seguridad de la inform acin Direccin d) salida de la actividad 8.3 Seleccionar los objetivos de control y los controles Plan de tratamiento del riesgo e) salida d e l a actividad 8.4 Obtener autorizacin de la Direccin para implementar y operar un SGSI Declaracin de aplicabilidad, incluyendo objetivos de control y los controles seleccionados f) salida de la actividad 9.2.3 Disear la poltica de seguridad de la informacin g) salida de la actividad 9.2.4 Desarrollar normas y procedimientos de seguridad de la informacin h) perspectiva general del programa de educacin y capacitacin general de la organizacin Gua La Direccin es responsable de llevar a cabo la educacin y capacitacin para asegurar que todo el personal al que se le ha asignado roles claramente definidos, tengan la capacidad para realizar las operaciones requeridas. Idealmente, el contenido de la educacin y capacitacin realizada debera ayudar a todo el personal a concientizarse y entender el significado e importancia de las actividades de la seguridad de la informacin en que estn involucrados, y la forma en que pueden contribuir para alcanzar las metas y objetivos del SGSI.
-42-
2011-684
En este punto, es importante asegurarse de que todos los empleados dentro del alcance del SGSI reciban la capacitacin y/o educacin necesaria sobre seguridad. En organizaciones grandes, por lo general, un solo paquete de material no es suficiente, por cuanto contiene muchos datos que son pertinentes solamente a tipos de trabajo especficos; por lo tanto sern grandes, complejos y difciles de usar. En estos casos, generalmente es apropiado contar con diferentes juegos de material de capacitacin, diseados para cada rol, tal como para personal de oficina, personal de TI o choferes, y que estn hechos para sus necesidades especficas. Un programa de concientizacin, capacitacin y educacin sobre seguridad de la informacin debera asegurar que se generen los registros de esta capacitacin y educacin en seguridad. Estos registros deberan ser revisados regularmente para asegurarse que todo el personal ha recibido la capacitacin que requiere. Un rol debera ser responsable de este proceso. Los materiales de capacitacin sobre seguridad de la informacin deberan ser diseados para que concuerden con otros materiales de capacitacin utilizados por la organizacin, especialmente cursos de capacitacin brindados a usuarios de los sistemas de TI. La capacitacin en aspectos relevantes de la seguridad de la informacin debera idealmente estar integrada en cada uno de los cursos para los usuarios de TI. El material de capacitacin sobre seguridad de la informacin debera contener, como mnimo, los siguientes puntos segn sea apropiado para la audiencia objetivo: a) riesgos y amenazas relativos a la seguridad de la informacin b) trminos bsicos de seguridad de la informacin c) definicin clara de un incidente de seguridad: gua de cmo puede ser identificado y cmo debera ser manejado y reportado d) poltica de seguridad de la informacin, normas y procedimientos de la organizacin e) responsabilidades y canales de reporte relacionados con la seguridad de la informacin en la organizacin f) gua sobre la forma de ayudar a mejorar la seguridad de la informacin g) gua sobre incidentes de seguridad de la informacin y reporte h) dnde obtener informacin adicional. Se debera determinar un equipo de capacitacin sobre seguridad de la informacin, el cual podra incluir las siguientes tareas: a) creacin y manejo de registros de capacitacin b) creacin y manejo de materiales de capacitacin c) realizacin de capacitacin Estas tareas podran ser asignadas utilizando el personal de capacitacin existente. Pero el personal existente podra requerir entrenamiento sustancial en conceptos de seguridad de la informacin para asegurar que estos son expuestos de manera efectiva y precisa. Un programa de concientizacin, capacitacin y educacin sobre seguridad de la informacin debera incluir un procedimiento para asegurar que los materiales de capacitacin sean revisados y actualizados continuamente. Un rol debera ser designado explcitamente responsable de revisar y actualizar los materiales de capacitacin. Salida Los entregables de esta actividad son: a) materiales de concientizacin, capacitacin y educacin sobre seguridad de la informacin
-43-
2011-684
b) estructura para concientizacin, capacitacin y educacin sobre seguridad de la informacin, incluyendo roles y responsabilidades c) planes para la concientizacin, educacin y capacitacin sobre seguridad de la informacin, d) registros reales que muestran los resultados de la concientizacin, educacin y capacitacin sobre seguridad de la informacin a los empleados Otra informacin No existe otra informacin especfica. 9.5 Producir el plan final del proyecto del SGSI Actividad El plan de proyecto del SGSI debera ser finalizado incluyendo las actividades necesarias para implementar los controles seleccionados. Entrada a) salida de la Actividad 6.5 Integrar cada alcance y lmites para obtener el alcance y lmites del SGSI El alcance y los lmites del SGSI b) salida de la Actividad 6.6 Desarrollar la poltica del SGSI y obtener la aprobacin de la Direccin La poltica del SGSI c) salida de la Actividad 9.2 Disear la Seguridad de la Informacin Organizacional d) salida de la Actividad 9.3 Disear la Seguridad de la Informacin de las TIC y fsica e) salida de la Actividad 9.4 Disear la Seguridad de la Informacin especfica del SGSI f) NTE INEN ISO/IEC 27002 Gua Las actividades requeridas para implementar los controles seleccionados y llevar a cabo otras actividades relacionadas con el SGSI deberan ser formalizados en un plan de implementacin detallado como parte del proyecto final del SGSI. El plan de implementacin detallado tambin podra estar respaldado por descripciones de herramientas y mtodos de la implementacin propuestos. Por cuanto un proyecto de SGSI involucra muchos roles diferentes en la organizacin, es importante que las actividades sean claramente asignadas a las partes responsables, y que el plan sea comunicado tanto tempranamente en el proyecto, como en toda la organizacin. Al igual que con todos los proyectos, es esencial que la persona responsable se asegure que los recursos suficientes han sido asignados al proyecto. Salida El entregable de esta actividad es el plan final de implementacin del proyecto del SGSI. Otra informacin No existe otra informacin especfica
-44-
2011-684
Anexo A (informativo) Descripcin del listado de verificacin (checklist)

Objeto: proveer un listado de verificacin de actividades requeridas para establecer e implementar un SGSI respaldar el monitoreo del progreso de la implementacin de un SGSI mapear las actividades relacionadas con la implementacin del SGSI, con los requisitos de la NTE INEN ISO/IEC 27001
Fase de Implementacin NTE INEN ISO/IEC 27003
Nmero Actividad, referencia NTE INEN ISO/IEC de paso 27003
Paso PreRequisito
Salida Documentada
Referencia a la NTE INEN ISO/IEC 27001
5 Obtener 1. Aprobacin de la Direccin para la implementacin del 2. SGSI
Determinar los objetivos de negocio de la Ninguno compaa Entender los existentes sistemas de gestin Ninguno
Lista de los objetivos de N/A negocio de la compaa Descripcin de los sistemas N/A de gestin existentes Resumen de los objetivos, N/A necesidades y requerimientos del negocio para el SGSI
3.
5.2 Definir objetivos, necesidades de 1, 2 seguridad de la inform acin, requerim ientos del negocio para el SGSI Recopilar normas regulatorias, de Ninguno cumplimiento, y de la industria pertinentes aplicables a la compaa
4.
Resumen de normas N/A regulatorias, de cumplimiento y de la industria que son aplicables a la compaa Descripcin del alcance preliminar del SGSI (5.3.1) Definicin de los roles y responsabilidades en el SGSI (5.3.2) N/A
5.
5.3 Definir el alcance preliminar del SGSI
3, 4
N/A
6.
5.4 Crear el caso de negocio y el plan del 5 proyecto para aprobacin de la Direccin 5.5 Obtencin de aprobacin y6 compromiso de la Direccin para iniciar un proyecto para implementar un SGSI 6.2 Definir lmites organizacionales 7
Caso de negocio y el plan de proyecto propuesto
N/A
7.
Aprobacin de la Direccin N/A para iniciar un proyecto para implementar un SGSI Descripcin de lmites 4.2.1.a) organizacionales (parcialmente) Funciones y estructura de la organizacin intercambio de informacin a travs de los lmites Procesos del negocio y las responsabilidades de los activos de informacin dentro y fuera del alcance
6 Definicin del 8. alcance y poltica del SGSI
-45-
2011-684
Paso PreRequisito
Salida Documentada
Referencia a la NTE INEN ISO/IEC 27001 4.2.1.a) (parcialmente)
9.
6.3 Definir los lmites de las tecnologas 7 de la informacin y comunicacin
Descripcin de los lmites de las TIC Descripcin de los sistemas de informacin y redes de telecomunicaciones que describen los aspectos internos y externos del alcance
10.
6.4 Definir los lmites fsicos
Descripcin de lmites fsicos del SGSI Descripcin de la organizacin y sus caractersticas geogrficas describiendo el alcance interno y externo
los 4.2.1.a) (parcialmente)
11.
6.5 Definir los lmites del alcance del SGSI 8, 9, 10
Un documento que describe 4.2.1.a) el alcance y los lmites del SGSI Poltica del SGSI aprobada 4.2.1.b) por la Direccin SGSI Lista de los principales procesos, funciones, ubicaciones, sistemas de informacin, redes de comunicacin Requerimientos de la organizacin para la confidencialidad, disponibilidad e integridad Requerimientos de la organizacin de aspectos legales, normativos, contractuales y requerimientos de seguridad de la informacin del negocio N/A
12.
6.6 Desarrollar la poltica del SGSI
11
7 Realizar el Anlisis de la Organizacin
13.
7.2 Definir requerimientos de seguridad de la informacin que respaldan el SGSI
12
N/A
4.2.1.c) 1) Parcial mente
Lista de vulnerabilidades 4.2.1.d) conocidas de la organizacin 3) 14. 7.3 Identificar activos dentro del alcance del SGSI 13 Descripcin de los principales N/A procesos de la organizacin Identificacin de los activos de informacin de los principales procesos de la organizacin Clasificacin de los procesos/activos crticos 15. 7.4 Generar una evaluacin seguridad de la informacin de la 14 4.2.1.d) 1)
N/A
Documento del estado y 4.2.1.e) evaluacin real de la seguridad 2) de la informacin de la Parcialorganizacin, incluyendo los mente controles de seguridad de la informacin existentes Documento de las deficiencias de la organizacin, valoradas y evaluadas.
-46-
2011-684
Fase de Implementacin
Paso PreRequisito
Salida Documentada
NTE INEN Fase ISO/IEC de Nmero Actividad, referencia NTE INEN ISO/IEC 27003 Implementacin de paso 27003 NTE INEN ISO/IEC 8 Realizar 16. 27003 Evaluacin del Riesgo y Seleccin de las Opciones de Tratamiento del Riesgo 8.2 Realizar evaluacin del riesgo
Paso Pre- Salida Documentada Requisito 15 Alcance de la evaluacin del riesgo Metodologa de evaluacin del riesgo aprobada, alineada con el contexto estratgico de gestin del riesgo de la organizacin Criterios de aceptacin del riesgo
Referencia a la NTE INEN ISO/IEC 27001 a Referencia la NTE INEN ISO/IEC 27001 4.2.1.c) 1)
17.
8.3 Seleccionar los objetivos de control y 16 controles
Evaluacin documentada del 4.2.1.e) riesgo de alto nivel 3) partially; Identificar la necesidad de N/A una evaluacin adicional ms profunda del riesgo additional in-depth risk Evaluacin profunda del 4.2.1.e) assessment riesgo documentada 3) Parcialmente Resultados en conjunto de la N/A evaluacin del riesgo
18.
8.4 Obtener aprobacin de la Direccin 17 para implementar un SGSI
Riesgos y sus opciones 4.2.1.f) identificadas para tratamiento del riesgo Objetivos de con-trol seleccionados y controles para reduccin del riesgo 4.2.1.g)
19.
Aprobacin de la Direccin de riesgos residuales
18
Aprobacin documentada de 4.2.1.h) la Direccin de los riesgos residuales propuestos (debera ser salida de 8.4) Autorizacin documentada por la Direccin para implementar y operar un SGSI (debera ser salida de 8.4) Declaracin de Aplicabilidad 4.2.1.i)
20.
Autorizacin de la administracin para implementar y operar el SGSI
19
21.
Preparar declaracin de aplicabilidad
18
4.2.1.j)
9 Diseo del SGSI 22.
9.2 Disear la seguridad organizacional
20
Estructura de la organizacin 5.1.c) y sus roles y responsabilidades relacionados con la seguridad de la informacin Identificacin de la 4.3 documentacin relacionada con el SGSI Plantillas de registros del SGSI e instrucciones para su uso y almacenamiento Documento de la poltica de NTE INEN seguridad de la informacin ISO/IEC 27002; 5.1.1 Lnea base de las polticas y procedimientos de seguridad de la informacin (y si es aplicable, planes para el desarrollo de polticas, procedimientos especficos, etc.)
-47-
2011-684
Paso PreRequisito
Salida Documentada
Referencia a la NTE INEN ISO/IEC 27001
23.
9.3 Disear la seguridad de las TIC 20, 21 fsica
Planes de 4.2.2.c) implementacin del proyecto para el proceso de Parcialimplementacin de los mente controles de seguridad seleccionados para la seguridad de la informacin de las TIC y fsica Procedimientos que describen 7.1 los procesos de reporte y revisin por parte de la administracin Descripciones para auditora, monitoreo y medicin 4.2.3.a) Parcialmente 4.2.3.b) Parcialmente; 6
24.
9.4 Disear seguridad de la informacin 22, 23 especfica del SGSI
25.
26.
Un programa de 5.2.2 capacitacin y concientizacin
27.
9.5 Producir el plan final del proyecto del SGSI
25
Plan de implementacin del N/A proyecto, aprobado por la Direccin, para el proceso de implementacin Un plan de implementacin N/A del proyecto del SGSI especfico de la organizacin, que cubra la ejecucin planificada de actividades para la seguridad de la informacin organizacional, de TIC y fsica, al igual que los requerimientos especficos del SGSI para la implementacin de un SGSI de acuerdo a los resultados de las actividades cubiertas en la Norma ISO0/IEC 27003
28.
El plan final del proyecto final del SGSI
28
-48-
2011-684
Anexo B (informativo) Roles y responsabilidades para la Seguridad de la Informacin

Este anexo provee una gua adicional respecto a los roles y responsabilidades dentro de una organizacin relacionadas con la seguridad de la informacin. Los roles son inicialmente dados en la visin organizacional para la implementacin de un SGSI. Una tabla resume esta informacin y presenta ejemplos generales de roles y responsabilidades. 1. Rol del Comit de Seguridad de la Informacin El comit de seguridad de la informacin debera tener un rol de liderazgo para el SGSI en una organizacin. El comit de seguridad de la informacin debera ser responsable del manejo de los activos de informacin de la organizacin, y debera tener un entendimiento suficiente de la seguridad de la informacin para dirigir, monitorear y completar las tareas que sean necesarias. Los siguientes son ejemplos de posibles roles del comit de seguridad de la informacin: a) Completar la gestin del riesgo, estableciendo el plan para los documentos del SGSI, siendo responsable de la determinacin del contenido de estos documentos y obtener aceptacin de parte de la Direccin. b) Planificar la compra de nuevo equipamiento y/o decidir respecto de la re-utilizacin de equipo existente que ya posea la organizacin. c) Manejar cualquier problema que pueda surgir d) Considerar las mejoras que surjan de la implementacin y medicin del SGSI e) Brindar Direccin estratgica al SGSI (tanto durante la implementacin del proyecto, como durante la operacin), y f) Unin entre la alta Direccin , el equipo de implementacin del proyecto y el personal de seguridad de la informacin. 2. Roles del Equipo de Planificacin de la Seguridad de la Informacin El equipo del proyecto responsable del SGSI, cuando se encuentra planificando el proyecto, debera ser asistido por miembros quienes cuenten con una amplio entendimiento de los activos de informacin importantes dentro del alcance del SGSI, y que tengan suficiente conocimiento para considerar la forma de manejar esta informacin. Por ejemplo, al determinar cmo manejar los activos de informacin, podran haber diferentes opiniones entre los distintos departamentos dentro del alcance del SGSI, por lo que podra haber una necesidad de ajustar los efectos positivos y negativos del plan. Se requiere que el equipo del proyecto trabaje como un coordinador de conflictos a travs de lmites departamentales. Para realizar esto, sus miembros necesitan aptitudes comunicacionales, basadas en sus experiencias y capacidades de coordinacin, al igual que altos niveles de conocimiento sobre seguridad. 3. Especialistas y Consultores Externos Una organizacin debera seleccionar miembros para las funciones descritas anteriormente (si es posible, miembros con un rol exclusivo) antes de establecer el SGSI. Sin embargo, los miembros necesitan tener amplio conocimiento y experiencia en el campo de la seguridad de la informacin tal como TI, decisiones gerenciales y entendimiento de la organizacin. La gente responsable de determinadas operaciones en su organizacin podra conocer mejor su campo especfico de accin. Los especialistas que sean expertos en campos especficos en su organizacin deberan ser mencionados en trminos del SGSI, cuando ste se refiera a sus campos especficos.
-49-
2011-684
Tambin es importante contar con un balance de esta pericia con el amplio conocimiento necesario para cumplir los objetivos de la organizacin. Los consultores externos pueden brindar asesora basados en sus puntos de vista macroscpicos de una organizacin y su experiencia de otras ocasiones similares, aunque en general no necesariamente tienen un profundo conocimiento de los detalles especficos y operacionales de una organizacin. Los trminos que se utilizan en los anteriores ejemplos, tal como Comit de Seguridad de la Informacin y Equipo de Planificacin de la Seguridad de la Informacin, no son importantes. nicamente la funcin de cada estructura debe ser entendida. Idealmente, deberan haber estructuras internas para coordinar la seguridad de la informacin de la organizacin, comunicando y trabajando estrechamente con cada departamento tcnico. 4. Propietarios de los Activos de Informacin Una persona debera ser designada para cada proceso de la organizacin y aplicacin especializada; esta persona acta como propietario del activo de informacin para todos los asuntos de la seguridad de la informacin relacionados con el procesamiento de datos dentro de este proceso particular de la organizacin. La persona de contacto o propietario del proceso es responsable, por ejemplo, de la delegacin de tareas y manejo de la informacin dentro de los procesos de la organizacin a los cuales han sido asignadas. En caso de comparticin, evasin y conservacin del riesgo, las acciones necesarias deberan tomarse de los aspectos de seguridad organizacional. Si se ha tomado la decisin de transferir riesgos, las acciones apropiadas deberan tomarse, usando contratos, convenios de seguros y la estructura organizacional, tal como asociaciones o emprendimientos conjuntos. . La Figura B.1 muestra un ejemplo de la estructura organizacional para establecer el SGSI. Los principales roles y responsabilidades de la organizacin dados abajo se basan en este ejemplo.
Direccin Emitir una carta de designacin Aprobar Comit de seguridad de la informacin Ajustar Aprobar Equipo de planificacin de la seguridad de la informacin Asesorar
Departamento de Sistemas Departamento de Contabilidad Departamento de Recursos Humanos Departamento de Auditoria Departamento Administrativo Departamento de Gestin de infraestructura e instalaciones
Especialistas Consultores externos
Figura B.1 Estructura Organizacional Ejemplo para Establecer el SGSI Interaccin con la organizacin Todas las partes involucradas deberan revisar y familiarizarse con los requerimientos actuales para proteger los activos de la organizacin. La participacin en el anlisis organizacional debera incluir a las personas que posean un profundo conocimiento de la organizacin y del entorno en el cual opera. Estas personas deberan ser seleccionadas para representar un amplio espectro dentro de la organizacin e incluir:
-50-
2011-684
a) alta Direccin (por ejemplo, Director General de Operaciones y Director Financiero) b) miembros del Comit de Seguridad de la Informacin c) miembros del Equipo de Planificacin de la Seguridad de la Informacin d) gerentes de lnea (por ejemplo, jefes de unidad de la organizacin) e) propietarios del proceso (es decir, representantes de reas operacionales importantes) f) especialistas y consultores externos Ejemplos de roles y responsabilidades generales relacionadas con la seguridad de la informacin La seguridad de la informacin es un rea muy amplia que afecta a toda la organizacin. Como tal, es esencial que las responsabilidades respecto a la seguridad sean claramente definidas para una exitosa implementacin. Por cuanto los roles y responsabilidades respecto a la seguridad varan, es fundamental un entendimiento de los diferentes roles para entender algunas de las actividades descritas ms adelante en esta Norma. La siguiente tabla bosqueja los roles y responsabilidades relacionados con la seguridad. Se debera tomar en cuenta que estas posiciones son generales y que para la implementacin de un SGSI particular se necesitan descripciones especficas. Tabla B.1 Lista de Roles y Responsabilidades Ejemplificadas para la Seguridad de la Informacin
Posicin Alta Direccin (por ejemplo, Director General de Operaciones, Director Ejecutivo, Director de Seguridad y Director Financiero) Gerentes de Lnea Director de la Seguridad de la Informacin Breve Descripcin de Responsabilidades Para la visin, decisiones estratgicas y actividades coordinadas para dirigir y controlar la organizacin.
Tienen la responsabilidad superior de las funciones organizacionales. Tiene la responsabilidad y Direccin total de la seguridad de la informacin asegurando el manejo correcto de los activos de informacin.
Comit de Seguridad de la Informacin Manejo de los activos de informacin y rol de liderazgo para el SGSI en la (miembro del) organizacin. Equipo de Planificacin de la Seguridad Durante las operaciones mientras el SGSI est siendo establecido. El equipo de de la Informacin (miembro del) planificacin trabaja con los departamentos y resuelve conflictos hasta que el SGSI se establecido. Parte interesada En el contexto de las descripciones de otros roles relativos a la seguridad de la informacin, la parte interesada es fundamentalmente definida como personas/organizaciones fuera de las operaciones normales tal como el directorio, los propietarios (ambos en trminos de propietarios organizacionales si es que la organizacin es parte de un grupo o una organizacin gubernamental y/o propietarios directos tales como accionistas en una organizacin privada). Otros ejemplos de partes interesadas podran ser las compaas filiales, clientes, proveedores u otras organizaciones pblicas tales como agencias gubernamentales de control financiero o bolsas de valores pertinentes, si la organizacin est cotizada. El administrador de sistemas es el responsable de un sistema de TI. El gerente de todos los recursos de TI (por ejemplo, Gerente del Departamento de TI.) La persona responsable de la seguridad fsica, por ejemplo, edificios etc., a menudo referido como Gerente e Instalaciones. La/s persona/s responsable/s del marco referencial de incluyendo evaluacin, tratamiento y monitoreo del riesgo. gestin del riesgo,
Administrador de Sistemas Gerente de IT
Seguridad Fsica Gestin del Riesgos
Asesor Legal Recursos Humanos
Muchos riesgos de seguridad de la informacin tienen aspectos legales y el asesor legal es responsable de tomarlos en consideracin. La/s persona/personas con total responsabilidad del personal.
-51-
2011-684
Posicin
Breve Descripcin de Responsabilidades
Archivo
Datos Personales
Todas las organizaciones cuentan con archivos que contienen informacin vital que debe ser almacenada a largo plazo. La informacin podra ser ubicada en mltiples tipos de medios y una persona especfica debera ser responsable de la seguridad de este almacenamiento. Si es requerido por la legislacin nacional, puede haber una persona responsable de ser el contacto con el directorio de inspeccin de datos u otra organizacin oficial similar que supervise asuntos de integridad y privacidad personal. Si una organizacin desarrolla sus propios sistemas de informacin, alguien es responsable de este desarrollo. Los especialistas y expertos responsables de algunas operaciones en una organizacin deberan ser referidos en trminos de su intencin sobre asuntos del SGSI, en relacin al uso en sus campos especficos. Los consultores externos pueden dar asesora en base a sus puntos de vista macroscpicos de una organizacin o experiencia en la industria. Sin embargo, los consultores podran no contar con un profundo conocimiento de la organizacin y sus operaciones. Cada empleado es equitativamente responsable de mantener la seguridad de la informacin en el lugar de trabajo y en su entorno. El auditor es responsable de valorar y evaluar el SGSI. El capacitador implementa programas de capacitacin y concientizacin. Este no es un rol responsable como tal, pero en grandes organizaciones podra ser de gran ayuda en la etapa de implementacin, contar con gente con profundos conocimientos sobre la implementacin de un SGSI y que pueda apoyar el entendimiento y las razones que se encuentran detrs de la implementacin. Ellos podran influir positivamente en la opinin y podra, tambin, ser llamados Embajadores.
Desarrollador de sistemas Especialista / Experto
Consultor Externo
Empleado / Personal / Usuario Auditor Capacitador Promotor (Persona Influyente)
-52-
2011-684
Anexo C (informativo) Informacin sobre Auditora Interna

Este Anexo provee una gua adicional para respaldar la planificacin de auditora. La implementacin de un SGSI debera ser evaluada regularmente por medio de auditoras internas e independientes. Estas tambin sirven para recopilar y evaluar las experiencias que da la prctica diaria. Con el fin de implementar un SGSI las formas de auditora deben ser planificadas. En una auditoria de un SGSI, los resultados de la auditoria deberan ser determinados en base a evidencia. Por lo tanto, durante las operaciones del SGSI, se debera asignar una buena parte adecuada del tiempo para recolectar evidencia apropiada. Una auditoria interna de un SGSI, debera ser implementada y ejecutada de manera regular para evaluar si los objetivos de control, controles, procesos y procedimientos del SGSI cumplen los requerimientos de la NTE INEN ISO/IEC 27001 y con la legislacin y normativa pertinentes; cumplen con los requerimientos identificados de seguridad de la informacin y si estn implementados y mantenidos de manera efectiva. No obstante, la seleccin de los auditores internos del SGSI podra ser difcil para compaas pequeas. Si no estn disponibles recursos suficientes para la realizacin de esta clase de auditoras por personal interno experimentado, entonces se debe encargar la realizacin de actividades de auditora a expertos externos . Cuando las organizaciones utilizan auditores externos, se debera tomar en cuenta lo siguiente : los auditores externos estn familiarizados con auditoras internas de los SGSI; sin embargo, pueden no contar con conocimiento suficiente acerca del entorno organizacional. Esta informacin debera ser proporcionada por el personal interno. Por otra parte, los auditores internos podran ejecutar auditoras detalladas considerando el entorno organizacional pero podran no tener suficiente conocimiento sobre la ejecucin de auditoras de SGSI. Las organizaciones deberan reconocer las caractersticas y potenciales deficiencias de las auditoras internas de un SGSI llevadas a cabo por auditores internos o por auditores externos. La efectividad y eficiencia de los controles implementados (ver NTE INEN ISO/IEC 27004) debera ser examinada dentro del alcance de las auditoras internas. Es importante que ninguna de las auditoras sean realizadas por aquellas personas que estuvieron involucrados en la planificacin y diseo de los objetivos de seguridad, porque es difcil encontrar los errores propios. Por lo tanto, las unidades de la organizacin o personas que se encuentran fuera del alcance de las auditoras internas del SGSI deberan ser seleccionadas por la Direccin como auditores. Estos auditores deberan planificar, realizar, emitir informes y dar seguimiento de las auditoras internas del SGSI para obtener el compromiso de la Direccin. Dependiendo del tamao de la organizacin, podra ser til llamar a auditores externos para evitar una situacin en la cual los miembros del personal se descuidan de su propio trabajo. En una auditoria interna del SGSI, debera constatarse que el SGSI est siendo operado de manera efectiva y mantenido de acuerdo con lo esperado. Los auditores deberan tomar en cuenta el estado y la importancia de las metas, controles, procesos y procedimientos de gestin a ser auditados cuando se planifica un programa de auditora, al igual que los resultados de auditoras anteriores. Cuando se realiza una auditoria, los criterios, alcance aplicable, frecuencia y mtodo de la auditora deberan ser documentados. La objetividad e imparcialidad del proceso de auditoria debera asegurarse en el momento de seleccionar a los auditores. Se requiere que un auditor cuente con las siguientes competencias cuando realice la serie de procesos de la auditora: a) Planificacin y ejecucin de la auditoria b) Reporte de los resultados c) Propuesta de acciones preventivas y correctivas, etc.
-53-
2011-684
Adicionalmente, la organizacin debe definir en la documentacin de procedimiento, las responsabilidades de los auditores y las series de procesos para la auditora. Un director responsable de un proceso que est siendo auditado debera asegurarse que no conformidades y sus causas sean apropiadamente tratadas sin demora. Sin embargo, esto no significa que la inconformidad necesariamente tiene que ser corregida inmediatamente. Adems, las acciones correctivas ejecutadas deberan incluir una verificacin de la accin que ha sido tomada y un informe de los resultados de verificacin. Desde el punto de vista de la Direccin, la auditora interna del SGSI puede ser realizada efectivamente como una parte de, o en colaboracin con, otras auditoras internas de la organizacin. Cuando se realiza la auditora, es una buena idea referirse a Requisitos de organizaciones que proveen auditora y certificacin de SGSI, NTE INEN-ISO/IEC 27006.
-54-
2011-684
Anexo D (informativo) Estructura de las polticas

Este anexo provee una gua adicional respecto de la estructura de las polticas incluyendo la poltica de seguridad de la informacin. En general, una poltica es una declaracin de la intencin total y orientacin segn lo expresado formalmente por la Direccin (ver FCD 27000 y NTE INEN ISO/IEC 27002). El contenido de una poltica gua las acciones y decisiones relativas al tema de la poltica. Una organizacin podra tener varias polticas; una para cada rea de actividad importante para la organizacin. Algunas polticas son independientes la una de la otra, mientras que otras polticas tienen una relacin jerrquica. En el rea de seguridad, las polticas son comnmente organizadas jerrquicamente. Por lo general, la poltica de seguridad de la organizacin es la poltica de ms alto nivel. Esta poltica es respaldada por una variedad de otras polticas ms especficas, incluyendo la poltica de seguridad de la informacin y la poltica del Sistema de Gestin de la Seguridad de la Informacin. A su vez, la poltica de seguridad de la informacin puede estar respaldada por varias polticas ms detalladas sobre asuntos especficos relacionados con la seguridad de la informacin. Varias de estas son tratadas en la NTE INEN ISO/IEC 27002, por ejemplo la poltica de seguridad de la informacin est respaldada por las polticas relativas a acceso al control, escritorio limpio y pantalla limpia, el uso de servicios de red y el uso de controles criptogrficos. Es posible que en algunos casos podran ser aadidas capas de polticas adicionales. Esta organizacin se muestra en la Figura D1.
Polticas Generales de Alto Nivel Por ejemplo, poltica de seguridad, poltica de privacidad, poltica de mercadeo, poltica de desarrollo de producto
Polticas Especficas de Alto Nivel por ejemplo, poltica de seguridad de la informacin
Polticas Detalladas Por ejemplo, poltica de control de acceso, poltica de escritorio y pantalla limpios, poltica de uso de servicios de red, Poltica de uso de controles criptogrficos Figura D.1 Jerarqua de las polticas La NTE INEN ISO/IEC 27001 requiere que las organizaciones cuenten tanto con una poltica del SGSI, como con una poltica de seguridad de la informacin. Sin embargo, esto no especifica ninguna relacin particular entre estas polticas. Los requerimientos para la poltica del SGSI son dados en las clusulas 4.2.1 de la NTE INEN ISO/IEC 27001. Las directrices para las polticas de seguridad de la informacin estn dadas en la clusula 5.1.1 de la NTE INEN ISO/IEC 27002. Estas polticas podran ser desarrolladas como normas similares; la poltica del SGSI podra estar subordinada a la poltica de seguridad de la informacin, o a la poltica de seguridad de la informacin podra estar subordinada a la poltica del SGSI.
-55-
2011-684
El contenido de las polticas se basa en el contexto en el cual una organizacin opera. Especficamente lo siguiente debera ser considerado cuando se desarrolle cualquier poltica dentro del marco de referencia de la poltica. 1) Los fines y objetivos de la organizacin 2) Estrategias adoptadas para alcanzar sus objetivos 3) La estructura y procesos adoptados por la organizacin 4) Fines y objetivos asociados con el tema de la poltica 5) Los requerimientos de polticas de ms alto nivel relacionadas Esto se muestra en la Figura D.2.
Estrategias de la organizacin
Fines y objetivos de alto nivel de la organizacin
Poltica sobre un tema
Requisitos de polticas de alto nivel
Estructura y procesos de la organizacin
Fines y objetivos de la organizacin en el rea de la poltica
Figura D.2 Entradas para el desarrollo de una poltica Las polticas pueden tener la siguiente estructura: 1. Resumen de la Poltica Una descripcin general de una o dos oraciones. (Algunas veces sta podra unirse con la introduccin.) 2. Introduccin - una breve explicacin del tema de la poltica. 3. Alcance describe aquellas partes o actividades de una organizacin que son afectadas por la poltica. Si es pertinente, la clusula de alcance enlista otras polticas que sean respaldadas por poltica. 4. Objetivos describe el propsito de la norma. 5. Principios describe las reglas relativas a las acciones y decisiones para lograr los objetivos. En algunos casos esto puede ser til para identificar los procesos claves asociados con el tema de la poltica y luego las reglas para operar los procesos. 6. Responsabilidades describe quin es responsable de las acciones para cumplir los requerimientos de la norma. En algunos casos esto podra incluir una descripcin de los planes organizacionales, al igual que las responsabilidades del personal que tiene roles asignados.
-56-
2011-684
7. Resultados Claves describe los resultados del negocio si es que los objetivos se cumplen 8. Polticas relacionadas describe otras polticas pertinentes al logro de los objetivos, generalmente mediante la provisin de detalles adicionales relativos a temas especficos.
NOTA El contenido de la poltica puede ser organizado de varias formas. Por ejemplo, las organizaciones que hacen nfasis en los roles y responsabilidades podran simplificar la descripcin de los objetivos y aplicar los principios especficamente a la descripcin de responsabilidades.
El siguiente es un ejemplo de una poltica de seguridad de la informacin que muestra su estructura y ejemplo de contenido. Poltica de Seguridad de la Informacin (Ejemplo) Resumen de la Poltica La informacin debera ser protegida siempre, cualquiera que sea su forma y sin importar que sea compartida, comunicada o almacenada. Introduccin La informacin puede existir de mucha formas. Esta puede ser impresa o escrita sobre papel, almacenada electrnicamente, transmitida por correo o usando medios electrnicos, mostrada en filmaciones, o hablada en una conversacin. La seguridad de la informacin es la proteccin de la informacin frente una gran variedad de amenazas con el fin asegurar la continuidad del negocio, minimizar el riego del negocio y maximizar el retorno de las inversiones y oportunidades de negocio. Alcance Esta poltica respalda la poltica general de seguridad de la organizacin. Esta poltica aplica a toda la organizacin. Objetivos de Seguridad de la Informacin 1) Los riesgos estratgicos y operacionales de la seguridad de la informacin son entendidos y tratados como aceptables a la organizacin. 2) Se protege la confidencialidad de la informacin del cliente, el desarrollo de producto y los planes de mercadeo. 3) 4) La integridad de los registros contables es preservada. Los servicios web pblicos y las redes internas cumplen normas especficas de disponibilidad.
Principios de Seguridad de la Informacin 1) Esta organizacin incentiva la toma de riesgos y tolera los riesgos que podran no son tolerados en organizaciones administradas conservadoramente siempre y cuando los riesgos de la informacin sean entendidos, monitoreados y tratados cuando sea necesario. Los detalles del enfoque tomado para la evaluacin y tratamiento del riesgo se encuentran en la poltica del SGSI. 2) Todo el personal ser consciente y responsable de la seguridad de la informacin como importante para a su rol de trabajo. 3) Se har la provisin para consolidar controles de seguridad de la informacin en procesos operacionales y de gestin de proyecto. 4) Las posibilidades de fraude asociadas con abuso de los sistemas de informacin sern tomadas en cuenta en la gestin general de los sistemas de informacin. 5) Estarn disponibles informes del estado de la seguridad de la informacin.
-57-
2011-684
6) Los riesgos de la seguridad de la informacin sern monitoreados y las acciones sern tomadas cuando cambios resulten en riesgos que no sean aceptables. 7) Los criterios de clasificacin y aceptabilidad del riesgo se encuentran en la poltica del SGSI. 8) Las situaciones que podran colocar a la organizacin en un incumplimiento de las leyes o regulaciones estatutarias no sern pueden tolerar. Responsabilidades 1) El equipo de alta Direccin tiene la responsabilidad de asegurar que la seguridad de la informacin sea adecuadamente dirigida en toda la organizacin 2) Cada alto gerente es responsable de asegurar que las personas que trabajan bajo su control protejan la informacin de acuerdo con las normas de la organizacin. 3) El director de seguridad aconseja al equipo de alta Direccin, provee soporte especializado al personal de la organizacin y se asegura que los informes del estado de la seguridad de la informacin estn disponibles. 4) Cada miembro del personal tiene responsabilidades sobre la seguridad de la informacin como parte de su trabajo. Resultados Clave 1) Los incidentes de seguridad de la informacin no resultarn en costos serios e inesperados o en interrupciones importantes de los servicios y actividades del negocio. 2) Las prdidas por fraude sern conocidas y dentro de lmites aceptables. 3) La aceptacin del producto o servicios por parte del cliente no ser afectadas adversamente por preocupaciones sobre la seguridad de la informacin. Polticas Relacionadas Las polticas detalladas a continuacin proveen principios y gua sobre aspectos especficos de la seguridad de la informacin: 1) La poltica del Sistema de Gestin de la Seguridad de la Informacin (SGSI) 2) la poltica de control de acceso 3) la poltica sobre escritorio limpio y pantalla limpia 4) la poltica de software no autorizado 5) la poltica relativa a la obtencin de archivos de software de o a travs de redes externas. 6) la poltica relativa a cdigo mvil 7) la poltica de respaldo 8) la poltica concerniente al intercambio de informacin entre organizaciones 9) la poltica concerniente al uso aceptable de instalaciones de comunicaciones electrnicas 10) la poltica de conservacin de registros 11) la poltica sobre el uso de servicios de red 12) la norma concerniente a computacin y comunicacin mvil 13) la poltica del tele trabajo
-58-
2011-684
14) la poltica sobre el uso de controles criptogrficos 15 la poltica de cumplimiento 16) La poltica de licenciamiento de software 17) la poltica de desecho de software 18) la poltica de proteccin de datos y privacidad Todas estas polticas respaldan: Identificacin del riesgo, mediante la provisin de una controles de lnea base, que pueden ser usados para identificar vacos en los diseos e implementaciones de sistemas; y Tratamiento del riesgo mediante el soporte de la identificacin de tratamientos para vulnerabilidades y amenazas identificados. Identificacin del Riesgo y Tratamiento del Riesgo, ambos son procesos definidos bajo la seccin Principios de la poltica. Para detalles refirase a la Poltica del SGSI.
-59-
2011-684
Anexo E (informativo) Monitoreo y medicin

Este anexo provee una gua adicional para respaldar la planificacin y diseo del monitoreo y medicin. Informacin sobre Establecimiento de Monitoreo y Medicin. El diseo de los requerimientos especficos del SGSI incluye un programa de monitoreo y de medicin del SGSI que respalde la revisin de la Direccin. Diseo del Monitoreo
Figura E.1 Flujo del Proceso de Monitoreo
Preparacin y coordinacin: Identificacin de activos relevantes para monitoreo
Se debera tomar en cuenta que el monitoreo es un proceso continuo y, como tal, el diseo debera tomar en consideracin el establecimiento del proceso de monitoreo al igual que el diseo de las necesidades y actividades reales de monitoreo. Estas actividades necesitan ser coordinadas, lo cual es parte del diseo. Con base a informacin previa establecida por el alcance y los activos definidos, en combinacin con los resultados del anlisis del riesgo y la seleccin de controles, se pueden definir los objetivos del monitoreo. Estos objetivos deberan incluir: Qu Detectar Cundo Contra qu, En trminos prcticos, las actividades/procesos organizacionales establecidos previamente y los activos vinculados son el alcance bsico para el monitoreo (punto a Contra qu de arriba). Para disear el monitoreo, se podra necesitar una seleccin para cubrir los activos importantes desde un punto de vista de seguridad de la informacin. Se debera tambin tomar en consideracin el tratamiento del riesgo y la seleccin de controles con el fin de encontrar qu es lo que debera ser monitoreado de los activos y las actividades/procesos vinculadas de la organizacin. (Esto establecer los puntos Qu Detectar y Cundo).
-60-
2011-684
Por cuanto el monitoreo podra implicar aspectos legales, es esencial que el diseo del monitoreo sea revisado de tal manera que no tenga ninguna ramificacin legal Para asegurarse que el monitoreo es verdaderamente efectivo, es importante coordinar y hacer el diseo final de todas las actividades para el monitoreo. Actividades de Monitoreo Con el fin de mantener el nivel de seguridad de la informacin, los controles de seguridad de la informacin identificados como apropiados deberan ser aplicados correctamente; los incidentes de seguridad deberan ser detectados y respondidos a tiempo; y el desempeo del sistema de gestin de la seguridad de la informacin debera ser monitoreado regularmente. Revisiones regulares deberan ser realizadas para verificar si todos los controles estn siendo aplicados e implementados segn planeado en el concepto de seguridad de la informacin. Esto debera incluir la verificacin de que se ha cumplido con los controles tcnicos (por ejemplo, en relacin a la configuracin) y los controles organizacionales (por ejemplo, procesos, procedimientos y operaciones). Las revisiones deberan estar dirigidas principalmente hacia la remediacin de defectos. Si las revisiones van a ser aceptadas, es importante que esta motivacin sea reconocida por todos aquellos involucrados como objetos de las revisiones. Es importante analizar posibles soluciones a los problemas con los participantes durante una verificacin y para pre-preparar remedios apropiados. Las revisiones deberan ser preparadas cuidadosamente para asegurar que puedan lograr sus metas tan eficientemente como sea posible y que al mismo tiempo causen el menor transtorno como sea posible a la rutina de trabajo. La implementacin general de revisiones debera ser coordinada por anticipado con la Direccin. Las actividades de diseo podran ser concluidas en tres formas bsicas diferentes: Informes de incidentes Verificacin o no conformidad de la funcionalidad del control Otras Revisiones Regulares
Adicionalmente, los resultados de las actividades deberan ser diseadas en trminos de cmo se hacen los registros y la informacin se provee a la Direccin. La documentacin formal debera ser hecha para describir el diseo y cubriendo las actividades iniciales y su propsito, al igual que la diferentes responsabilidades. Requerimientos para el resultados del monitoreo Los resultados son: a. Registros de las actividades de monitoreo en el nivel requerido de detalle Como un resultado de las actividades de monitoreo, un informe para la administracin debera ser provisto. Toda la informacin que la Direccin requiere con el fin de cumplir sus obligaciones administrativas y de supervisin debera ser registrada con el nivel de detalle requerido. b. Informacin para la Direccin para la toma de decisiones cuando sean requeridas acciones rpidas. Los informes para la Direccin deberan terminar siempre con una lista de acciones recomendadas, claramente priorizada, junto con una evaluacin realista del costo esperado de implementacin de cada una de estas acciones. Esto asegura que las decisiones necesarias puedan ser obtenidas de la Direccin sin demoras indebidas. Establecimiento del programa de medicin de la seguridad de la informacin
-61-
2011-684
Visin general para el diseo de un programa de medicin de la seguridad de la informacin El proceso de medicin debera ser transparentemente integrado en el ciclo del SGSI del proyecto u organizacin, y usado para el mejoramiento continuo de procesos o resultados relacionados con la seguridad dentro de ese proyecto u organizacin. Esto es referido como un programa de medicin de la seguridad de la informacin (NTE INEN ISO/IEC 27004). El diseo del programa necesita ser visto en una perspectiva del ciclo del SGSI. La siguiente figura describe cmo el proceso de medicin se acomoda dentro del ciclo del SGSI. Se requieren las siguientes funciones de los sistemas de gestin para asegurar la satisfaccin de los objetos requeridos y las expectativas, tal como la estructuracin del PHVA necesario; la medicin de la validez de las salidas y su eficacia; y provisin de retroalimentacin de los resultados de medicin al gerente de los procesos Con el fin de tener las medicines correctas establecidas, contar con informacin previamente generada es esencial, especialmente: a) b) c) d) e) La poltica del SGSI, incluyendo alcance y lmites El resultado de la evaluacin del riesgo La seleccin de controles Los objetivos de control Los objetivos especficos de seguridad de la informacin
f) Procesos y recursos especificados, y su clasificacin La Direccin debera establecer y sustentar un compromiso sobre todo el proceso de medicin. Al implementar un proceso de medicin, la Direccin debera: a) Aceptar los requerimientos para la medicin; ver NTE INEN ISO/IEC 27004 para ms detalles b) Poner atencin a las necesidades de informacin; ver NTE INEN ISO/IEC 27004 para ms detalles, c) Obtener el compromiso del personal mediante lo siguiente: La organizacin debera demostrar su compromiso a travs de, por ejemplo, una poltica de medicin para la organizacin, asignacin de responsabilidades y deberes, capacitacin, y asignacin de presupuesto y otros recursos Una persona o unidad organizacional responsable del programa de medicin debera ser asignada. La persona o unidad organizacional es responsable de comunicar la importancia de la medicin del SGSI y sus resultados en toda la organizacin para asegurar su aceptacin y uso, y debera contar con el respaldo de la Direccin. Asegurar que los datos de las medidas del SGSI sean compilados, analizados, y reportados al Director de Informacin y a otros interesados. Capacitar a los gerentes de lnea de programa acerca del uso de resultados de la medicin del SGSI para la poltica, asignacin de recursos y decisiones sobre el presupuesto. El programa de medicin de la seguridad de la informacin y el diseo deberan involucrar las siguientes roles: a) Alta Direccin b) Los usuarios de los productos de seguridad c) Las personas a cargo de sistemas de informacin d) Las personas a cargo de la seguridad de la informacin
-62-
2011-684
Un Programa de Medicin de la Seguridad de la Informacin se establece con el fin de obtener indicadores de la efectividad del SGSI, objetivos de control y controles. El programa est descrito en la NTE INEN ISO/IEC 27004. El resultado de las mediciones apropiadas de la Fase de Planificacin debera ser conducido para cumplir estos objetivos. Un Programa de Medicin de la Seguridad de la Informacin apropiado podra ser diferente dependiendo de la estructura de la organizacin: Tamao Complejidad Perfil/necesidad general del riesgo de seguridad de la informacin Generalmente, mientras ms grande y compleja sea una organizacin, se necesita de un programa de medicin ms amplio. Pero el nivel de riesgo general afecta tambin el alcance del programa de medicin. Si el impacto de una pobre seguridad de la informacin es severo, una organizacin comparativamente ms pequea podra necesitar un programa de medicin ms exhaustivo para cubrir el riesgo, en comparacin de una organizacin ms grande que no enfrente el mismo impacto. El alcance del programa de medicin puede ser evaluado en base a la seleccin de controles que necesitan ser cubiertos y en los resultados del anlisis del riesgo. Diseo del programa de medicin de la seguridad de la informacin La persona responsable del programa de medicin de la seguridad de la informacin debera considerar lo siguiente: Alcance Mediciones Realizar las mediciones Perodos de las mediciones Reporte El alcance del programa de medicin debera cubrir el alcance, objetivos de control y controles del SGSI. Particularmente, los objetivos y lmites de la medicin del SGSI deberan ser puestos en trminos de las caractersticas de la organizacin, la organizacin, su ubicacin, activos y tecnologa, e incluir detalles y justificacin de cualquier exclusin del alcance del SGSI. Esto podra ser un solo control de seguridad, un proceso, un sistema, un rea funcional, la empresa entera, un solo sitio, o una organizacin de sitios mltiples. Cuando se seleccionan mediciones simples, la NTE INEN ISO/IEC 27004 Proceso de Medicin de la Seguridad de la Informacin estipula que el punto de inicio es el objeto de la medida. Con el objeto de establecer un programa de medicin estos objetos deberan ser identificados. Estos objetos podran ser un proceso o un recurso. (Ver NTE INEN ISO/IEC 27004 para m s detalles ). Cuando se define el programa, los objetos definidos por el alcance del SGSI son a menudo echados abajo para encontrar los objetos reales que deberan ser medidos. Este proceso de definicin podra ser ejemplificado por el siguiente ejemplo: La Organizacin es el objeto general El Proceso A de la Organizacin / o el sistema de TI X es una parte de ese objeto y constituye un objeto en s mismo Objetos dentro de ese proceso que afecta la seguridad de la informacin (Personas, Reglas, Red, Aplicaciones, Instalaciones, etc.) son generalmente los objetos de medida con el fin de ver la efectividad de proteger la informacin.
-63-
2011-684
Cuando se implementa un Programa de Medicin de la Seguridad de la Informacin, se debera tener mucho cuidado al considerar que los objetos de medicin podran servir a muchos procesos de la organizacin dentro del alcance del SGSI, y puede por lo tanto tener u n impacto mayor sobre la efectividad del SGSI y los objetivos de control. Tales Objetos deberan generalmente ser priorizados con el alcance del programa, tal como la Organizacin de Seguridad y procesos relacionados, Centro de Cmputo, colegas relacionados con seguridad de la informacin, etc. El intervalo de medicin podra variar, pero es preferible que la medicin sea hecha o resumida en ciertos intervalos con el fin de acomodarse a la revisin de la Direccin y al proceso de mejora continua y ambiciones del SGSI. El diseo del programa debera establecer esto. El reporte de los resultados debera ser diseado de tal manera que la comunicacin est asegurada de acuerdo con la NTE INEN ISO/IEC 27004. El diseo del programa de Medicin de la Seguridad de la Informacin debera concluir en un documento que estipula el procedimiento, y debera ser aprobado por la Direccin. Es documento debera cubrir lo siguiente: a) Responsabilidades para el Programa de Medicin de la Seguridad de la Informacin b) Responsabilidades de comunicacin c) El alcance de las mediciones d) Cmo se va a ejecutar (mtodo bsico usado, ejecucin interna y externa, etc.) e) Cundo debe ser ejecutado f) Cmo es reportado Si la organizacin desarrolla sus propios puntos de medicin, stos deben ser documentados como parte de la fase de diseo; para ms referencia ver la NTE INEN ISO/IEC 27004. Este documento podra ser muy exhaustivo y no necesariamente necesita ser firmado por la Direccin, por cuanto los detalles podran cambiar al ser implementado. Medicin de la efectividad del SGSI Cuando se establece el alcance para el Programa de Medicin de la Seguridad de la Informacin que debera ser implementado, se debera tener mucho cuidado de tal manera que los objetos no sean muy numerosos. Si lo son, podra ser sensato dividir el programa en diferentes partes. El alcance de estas partes podra ser visto como mediciones separadas para efec tos de comparacin, pero su principal propsito prevalece: que una combinacin de las mediciones provea una indicacin para evaluar la efectividad del SGSI. Estos sub -alcances son normalmente una unidad organizacional que podra ser definida con lmites c laros. Una combinacin de objetos que sirve a muchos procesos de la organizacin y las mediciones de los objetos dentro de los sub-alcances podran juntos formar un alcance apropiado para el Programa de Medicin de la Seguridad de la Informacin. Esto tambin podra ser visto como una serie de actividades del SGSI que pueden ser consideradas como construidas con dos o ms procesos/objetos. Por lo tanto, la efectividad de todo el SGSI puede ser medida en base a la medicin de los resultados de estos dos o ms procesos/objetos. Por cuanto los objetivos son para medir la efectividad del SGSI, es importante medir los objetivos de control y controles. Un nmero suficiente de controles es un aspecto, y que estos controles sean suficientes para evaluar la efectividad del SGSI es el otro aspecto. (Podran haber otras razones para limitar el alcance del Programa de Medicin de la Seguridad de la Informacin, el cual es mencionado en la NTE INEN-ISO/IEC 27004:2009.)
-64-
2011-684
Medicin de la Efectividad del SGSI

Partes interesadas
Revisar
Medir
Partes interesadas
Planificar
Entradas
Hacer
Requerimientos y Expectativas
Salidas
Actuar Verificar
Condicin Administrada
Medicin de la Efectividad de Cada Proceso
Proceso 1
Proceso 2
Proceso 3
Figura E.2 Dos aspectos de medicin de la efectividad con el proceso PHVA del SGSI y los ejemplos del proceso dentro de la organizacin Cuando se usan resultados de la medicin para evaluar la efectividad del SGSI, objetivos de control y controles, es esencial que la Direccin est consciente del alcance del Programa de Medicin de la Seguridad de la Informacin. La persona responsable del programa de medicin debera contar con la aprobacin de la Direccin respecto al alcance del Programa de Medicin de la Seguridad de la Informacin previo al lanzamiento. NOTA 1 El requisito relacionado con la medicin de la efectividad en la NTE INEN-ISO/IEC 27001 es la medicin de controles o series de controles. (ver 4.2.2 d) en la NTE INEN-ISO/IEC 27001) NOTA 2 El requisito relacionado con la efectividad de todo el SGSI en la NTE INEN-ISO/IEC 27001 es solamente una revisin de la efectividad de todo el SGSI, y l a m e d i c i n d e t o d o e l SGSI n o s e r e q u i e r e . (Ver 0.2.2 e n l a NTE INEN-ISO/IEC 27001). La realizacin real de mediciones podra ser hecha utilizando personal interno, externo o una combinacin. El tamao, estructura y cultura de la organizacin son factores a considerar cuando se evalan recursos internos y externos. Compaas pequeas y medianas se benefician ms que las organizaciones grandes del uso de ayuda externa. El resultado de utilizar recursos externos podra tambin proveer un resultado de mayor validez, dependiendo de la cultura. Si la organizacin est acostumbrada a auditoras internas, recursos internos podran tener la misma validez.
-65-
2011-684
Bibliografa [1] [2] [3] ISO 9001:2008, Quality management systems Requirements ISO 14001:2004, Environmental management systems Requirements with Guidance for use ISO/IEC 15026 (all parts), Systems and software engineering Systems and software assurance1) ISO/IEC 15408-1, Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model ISO/IEC 15408-2:2008, Information technology Security techniques Evaluation criteria for IT security Part 2: Security functional components ISO/IEC 15408-3:2008, Information technology Security techniques Evaluation criteria for IT security Part 3: Security assurance components ISO/IEC TR 15443-1, Information technology Security techniques A framework for IT security assurance Part 1: Description general and framework ISO/IEC TR 15443-2, Information technology Security techniques A framework for IT security assurance Part 2: Assurance methods ISO/IEC TR 15443-3:2007, Information technology Security techniques A framework for IT security assurance Part 3: Analysis of assurance methods ISO/IEC 15939:2007, Systems and software engineering Measurement process ISO/IEC 16085:2006, Systems and software engineering Life cycle processes Risk management ISO/IEC 16326, Systems and software engineering Life cycle processes Project management ISO/IEC 18045:2008, Information technology Security techniques Methodology for IT security evaluation ISO/IEC TR 19791:2006, Information technology Security techniques Security assessment of operational systems ISO/IEC 20000-1, Information technology Service management Part 1: Specification ISO/IEC 27001, Information technology Security techniques Information security management systems Requirements ISO/IEC 27004, Information technology Security techniques Information security management Measurement ISO/IEC 27005, Information technology Security techniques Information security risk management ISO 21500, Project management Guide to project management2) ISO/IEC 27006 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems
[4]
[5]
[6]
[7]
[8]
[9]
[10] [11]
[12]
[13]
[14]
[15] [16]
[17]
[18]
[19] [20]
_________
1) A ser publicada. 2) En preparacin.
-66-
2011-684
APNDICE Z Z.1 DOCUMENTOS NORMATIVOS A CONSULTAR Norma Tcnica Ecuatoriana NTE INEN-ISO 9001 Sistemas de gestin de la calidad. Requisitos Norma Tcnica Ecuatoriana NTE INEN-ISO/IEC 20000-1 Tecnologa de la informacin. Gestin del servicio parte 1: Especificaciones (ISO/IEC 20000-1:2005) Norma Tcnica Ecuatoriana NTE INEN-ISO/IEC 27001 Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de la seguridad de la informacin (SGSI). Requisitos Norma Tcnica Ecuatoriana NTE INEN-ISO/IEC 27004 Tecnologas de la Informacin Tcnicas de Seguridad Gestin de la Seguridad de la Informacin Medicin Norma Tcnica Ecuatoriana NTE INEN-ISO/IEC 27005 Tecnologa de la Informacin. Tcnicas de Seguridad. Gestin del riesgo en la seguridad de la Informacin Norma Tcnica Ecuatoriana NTE INEN-ISO/IEC 27006 Tecnologa de la informacin Tcnicas de Seguridad Requisitos para organizaciones que proveen auditora y certificacin de sistemas de gestin de la seguridad de la informacin Norma Tcnica Ecuatoriana NTE INEN ISO 14001 Sistemas de gestin ambiental Requisitos con orientacin para su uso ISO/IEC 15026 (all parts), Systems and software engineering Systems and software assurance ISO/IEC 15408-1 Information technology Security techniques Evaluation criteria for IT security Part 1: Introduction and general model ISO/IEC 15408-2 Information technology Security techniques Evaluation criteria for IT security Part 2: Security functional components ISO/IEC 15408-3 Information technology Security techniques Evaluation criteria for IT security Part 3: Security assurance components ISO/IEC TR 15443-1 Information technology Security techniques A framework for IT security assurance Part 1: Description general and framework ISO/IEC TR 15443-2 Information technology Security techniques A framework for IT security assurance Part 2: Assurance methods ISO/IEC TR 15443-3 Information technology Security techniques A framework for IT security assurance Part 3: Analysis of assurance methods ISO/IEC 15939 Systems and software engineering Measurement process ISO/IEC 16085 Systems and software engineering Life cycle processes Risk management ISO/IEC 16326 Systems and software engineering Life cycle processes Project management
-67-
2011-684
ISO/IEC 18045
ISO/IEC TR 19791
ISO 21500
Information technology Security techniques Methodology for IT security evaluation Information technology Security techniques Security assessment of operational systems Project management Guide to project management
Z.2 BASES DE ESTUDIO Esta norma es una adopcin de la norma ISO/IEC 27003:2010. Information technology Security techniques Information security management system implementation guidance. International Organization for Standardization ISO. Geneve, 2010.
-68-
2011-684
INFORMACIN COMPLEMENTARIA
TTULO: TECNOLOGA DE LA INFORMACIN TCNICAS Cdigo: DE SEGURIDAD GUA DE IMPLEMENTACIN DEL TI 01.01-301 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN. ORIGINAL: REVISIN: Fecha de iniciacin del estudio: Fecha de aprobacin anterior del Directorio Oficializacin con el Carcter de por Resolucin No. de publicado en el Registro Oficial No. de Documento: NTE INENISO/IEC 27003 Fecha de iniciacin del estudio: Fechas de consulta pblica: de Subcomit Tcnico: Tecnologas de la informacin Fecha de iniciacin: Integrantes del Subcomit Tcnico: NOMBRES:
Manuel Rodrguez (Presidente) Christian Len Diego Ponce Efrn Cepeda Ramiro Pulgar Johan Garzn Karen Alvarado Paulina Carrera Reinaldo Vlez Fernando Guerrero Rafael Melgarejo Tania Guevara Ana Ypez Yandry Castro Fabin Baez Rodolfo Espinosa Galo Garzon Bermeo Pablo Maldonado Heriberto Soto Diana Martnez Julio Bustamante Vilma Zapata Nubia Pazmio Marco Javier jara Mario Hernn Pazmio Alex Anchaluisa Marcelo Brugos Jaime Senz Gabriel Llumiquinga Jos Luis Carrasco Andrea Ruiz Benhur Escobar Wilson Largo Edgar Valenzuela V. (Secretario Tcnico)
Fecha de aprobacin:
INSTITUCIN REPRESENTADA:
SUBSECRETARIA DE INFORMATICA BANCO ECUATORIANO DE LA VIVIENDA BANCO ECUATORIANO DE LA VIVIENDA BLUEHAT CONSULTORES BLUEHAT CONSULTORES CONATEL CONATEL CONSORCIO DE CONSEJOS PROVINCIALES DEL ECUADOR CONSORCIO DE CONSEJOS PROVINCIALES DEL ECUADOR CORPORACION ELECTRICA DEL ECUADOR CORPORACION ELECTRICA DEL ECUADOR CORPORACION FINANCIERA NACIONAL CORPORACION NACIONAL DE TELECOMUNICACIONES CORPORACION NACIONAL DE TELECOMUNICACIONES CORREOS DEL ECUADOR ECUADOR TURISTICO EXTERMO SOFTWARE HEWLETT PACKARD INSTITUTO DE ALTOS ESTUDIOS NACIONALES INSTITUTO ECUATORIANO DE CREDIT EDUCATIVO Y BECAS INSTITUTO ECUATORIANO DE CREDIT EDUCATIVO Y BECAS INSTITUTO NACIONAL DE PREINVERSION MINISTERIO DE FINANZAS MINISTERIO DE TELECOMUNICACIONES MINISTERIO DE TELECOMUNICACIONES ORGANISMO DE ACREDITACION ECUATORIANO ORGANISMO DE ACREDITACION ECUATORIANO REGISTRO CIVIL SECRETARIA NACIONAL DE PLANIFICACION Y DESARROLLO SERVICIO DE RENTAS INTERNAS SUPERINTENDENCIA DE TELECOMUNICACIONES SUPERINTENDENCIA DE TELECOMUNICACIONES UNIVERSIDAD TECNOLOGICA INSTITUTO ECUATORIANO DE NORMALIZACION
Otros trmites: La Subsecretara de la Calidad del Ministerio de Industrias y Productividad aprob este proyecto de norma Oficializada como: Por Resolucin No. Registro Oficial No.
Instituto Ecuatoriano de Normalizacin, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815 Direccin General: E-Mail:direccion@inen.gob.ec rea Tcnica de Normalizacin: E-Mail:normalizacion@inen.gob.ec rea Tcnica de Certificacin: E-Mail:certificacion@inen.gob.ec rea Tcnica de Verificacin: E-Mail:verificacion@inen.gob.ec rea Tcnica de Servicios Tecnolgicos: E-Mail:inenlaboratorios@inen.gob.ec Regional Guayas: E-Mail:inenguayas@inen.gob.ec Regional Azuay: E-Mail:inencuenca@inen.gob.ec Regional Chimborazo: E-Mail:inenriobamba@inen.gob.ec URL:www.inen.gob.ec

Nte Inen Iso-Iec 27003

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Nte Inen Iso-Iec 27003

Hochgeladen von

Copyright:

Verfügbare Formate

INSTITUTO ECUATORIANO DE NORMALIZACIN

NORMA TCNICA ECUATORIANA

NTE INEN-ISO/IEC 27003:2011

CDU: 65.012.8 ICS: 35.040

CIIU: 8329 TI 01.01-301

Contenido Pgina Prlogo...................................................................................................................................... iv

CDU: 65.012.8 ICS: 35.040

CIIU: 8329 TI 01.01-301

CDU: 65.012.8 ICS: 35.040

CIIU: 8329 TI 01.01-301

CDU: 65.012.8 ICS: 35.040

CIIU: 8329 TI 01.01-301

CDU: 65.012.8 ICS: 35.040

CIIU: 8329 TI 01.01-301

Norma Tcnica Ecuatoriana

NTE INENISO/IEC 27003:2011

NTE INEN-ISO/IEC 27003

4 Estructura de esta Norma

Obtencin de aprobacin de la direccin para iniciar un proyecto de SGSI 5

Definicin del alcance, lmites y polticas del SGSI. 6

Realizacin del anlisis de requerimientos de seguridad de la informacin 7

Realizacin de la evaluacin del riesgo y planificacin del tratamiento del riesgo 8

El Alcance y lmites del SGSI

Requerimientos de seguridad de la informacin

Poltica del SGSI

Plan de tratamiento del riesgo

Resultados de la evaluacin de la seguridad de la informacin

Declaracin de aplicabilidad, incluyendo los objetivos control y los controles

Figura 1 Fases del proyecto de SGSI

NTE INEN-ISO/IEC 27003

4.2 Estructura general de una clusula

NTE INEN-ISO/IEC 27003

Las fases de planificacin de un proyecto de SGSI Fase X Fase Y Z Documento Fase Z

Document o Document o Actividad B Actividad C

Figura 2 Leyenda de diagrama de flujo

NTE INEN-ISO/IEC 27003

5 Obtencin de aprobacin de la Direccin para iniciar un proyecto de SGSI.

Obtener aprobacin Gerencia para iniciar proyecto ISMS 5

Definir alcance, limites y poltica ISMS 6

Realizar anlisis requisitos seguridad informacin 7

Conducir evaluacin riesgo y planificar tratamiento riesgos 8

Aprobacin gerencia iniciar proyecto ISMS

NTE INEN-ISO/IEC 27003

Aclarar prioridades organizacin para desarrollar ISMS 5.2

Objetivos para un ISMS resumidos

Lista restricciones legales contractuales y de industria pertinentes a seguridad informacin de organizacin

Caractersticas negocio bosquejadas

Definir alcance preliminar ISMS 5.3

Desarrollar alcance preliminar ISMS 5.3.1 5.3.1

Definir papeles y responsabilidades alcance preliminar ISMS 5.3.2

Bosquejo caractersticas negocio

Descripcin papeles y responsabilidades para implementar ISMS

Crear caso negocio y plan de proyecto para manejo aprobacin 5.4

Propuesta proyecto ISMS

Figure 3 Overview of obtaining management approval for initiating an SGSI project

5.2 Aclarar las prioridades de la organizacin para desarrollar un SGSI

NTE INEN-ISO/IEC 27003

NTE INEN-ISO/IEC 27003

NTE INEN-ISO/IEC 27003

5.3 Definir el alcance preliminar del SGSI

NTE INEN-ISO/IEC 27003

NTE INEN-ISO/IEC 27003

j) cronograma con hitos claves k) costos esperados l) factores crticos de xito