Implantación ISO 27001:2013

Implantación estandar ISO 27001:2013

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión.

Los siguientes puntos de este apartado resumen los principales requerimientos para la implantación de un Sistema de Gestión de Seguridad de la Información según ISO 27001.

Arranque del proyecto

  • Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección.
  • Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Planificación

  • Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado.
  • Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política de seguridad es un documento muy general, una especie de «declaración de intenciones» de la Dirección, por lo que no pasará de dos o tres páginas.
  • Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. De manera genérica lo que se pretende es en primer lugar analizar el riesgo, en segundo lugar decidir y controlar ese riesgo y por último corregir y mejorar el control del mismo.
    • Un análisis de riesgos consiste en el proceso de identificar los riesgos de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda.
    • El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean más objetivos.
      • Introduce un grado importante de objetividad.
      • Permite a la organización gestionar sus riesgos por sí mismos.
      • Apoyar la toma de decisiones basándose en los riesgos propios.
      • Centrarse en proteger los activos importantes.
      • Formar y comunicar los aspectos de la seguridad necesarios.
    • Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente; la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla (en el futuro, ISO 27005 proporcionará ayuda en este sentido), aunque sí especifica que la metodología empleada debe ser coherente con la complejidad y los niveles de protección de la empresa. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
  • Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.
  • Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
  • Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos.
  • Análisis y evaluación de los riesgos: Para realizar estas acciones correctamente debemos:
    • Evaluar el impacto en el negocio que podría resultar de un fallo de seguridad, teniendo en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos.
    • Evaluar la posibilidad realista de que se produzca el fallo de seguridad en función de las amenazas y vulnerabilidades, los impactos asociados con estos activos, y los controles actualmente implantados.
    • Estimar los Niveles de riesgo.
    • Determinar si el riesgo es aceptable o requiere tratamiento usando los criterios de aceptación de riesgos establecidos.
  • Identificar y evaluar opciones para el tratamiento del riesgo: De forma genérica las distintas opciones de las que disponemos para hacer frente a un riesgo son:
    • Asumirlo: Aceptando los riesgos, de tal manera que se satisfaga la política de la organización y los criterios de aceptación del riesgo.
    • Evitarlo: Suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad.
    • Transferirlo: Cambiar un riesgo; Outsourcing, Seguros, etc.
  • Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios. La importancia de la selección de controles es básica para cualquier SGSI. Al respecto conviene resaltar:
    • Se debe definir la medición de la eficacia de los controles seleccionados grupos de controles y especificar cómo estas medidas son utilizadas para evaluar la eficacia de los controles.
    • La eficacia del SGSI depende de la eficacia de los controles implantados.
    • Para conocer la eficacia de los controles es imprescindible implantar indicadores que proporcionen información.
    • Un mismo indicador se puede aplicar a varios controles, o incluso a objetivos o secciones completas de la norma.
    • Con los indicadores se debe de analizar el grado de implantación y la eficacia de los controles seleccionados, proporcionando datos al sistema de mejora continua.
  • Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el «riesgo cero» no existe prácticamente en ningún caso).
  • Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Implementación

  • Definir plan de tratamiento de riesgos identificando:
    • Las acciones de gestión apropiadas,
    •  Los recursos
    • Las responsabilidades
    • Las prioridades para la gestión de riesgos de seguridad de la información.
  • Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados y que identifique:
    • Las acciones de gestión apropiadas,
    • Los recursos
    • Las responsabilidades
    • Las prioridades para la gestión de riesgos de seguridad de la información.
  • Implementar los controles: todos los que se seleccionaron en la fase anterior.
  • Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.
      • La organización debe asegurarse que todo el personal dentro del alcance del SGSI dispone de responsabilidades asignadas y definidas y quedes competente para desempeñar las tareas requeridas para:




      • Determinar las competencias necesarias del personal que realiza trabajos que afectan el SGSI;
      • Proporcionar formación o tomar otras acciones (por ejemplo empleando personal competente) para satisfacer dichas necesidades;
      • Evaluar la eficacia de las acciones tomadas y mantener los registros de la educación, formación, habilidades, experiencia y calificaciones.
    • La organización, debe asegurarse también de que todo el personal afectado sea conscientes de la trascendencia y de la importancia de las actividades de seguridad de la información y de su contribución a los objetivos del SGSI.
  • Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
  • Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
  • Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
    • Identificar eventos y problemas de seguridad que puedan provocar o provoquen incidentes de seguridad.
    • Utilizar indicadores para prevenir incidentes de seguridad.
    • Determinar la efectividad de las acciones acometidas para resolver incidentes de seguridad.

Seguimiento

  • Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.
  • Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.
  •  Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.
  • Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
  • Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado. En referencia a las auditorias internas se debe contar con:
    • Procedimientos para su realización, una planificación.
    • Se deben de realizar periódicamente (planificación).
    • Se deben de establecer unos requisitos específicos.
  • Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.
  • Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.
  • Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora continua

  • Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.
  • Acciones correctivas: para solucionar no conformidades detectadas. Se debe disponer de un procedimiento para:
    • Identificar las No Conformidades, y sus causas.
    • Establecer las acciones necesarias.
    • Registra los resultados
    • Revisar la eficacia de las acciones.
  • Acciones preventivas: para prevenir potenciales no conformidades.
    • Identificar las No Conformidades Potenciales, y sus causas.
    • Establecer las acciones necesarias.
    • Registra los resultados
    • Revisar la eficacia de las acciones.
  • Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
  • Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.

Acceso a más contenido en la sección de categorías y sus entradas Seguridad de la Información

Puntúe el artículo

MaloPobreNormalBuenoExcelente (1 Votos, Promedio: 5,00 de 5)
Cargando...

El autor

Admin Gestion-Calidad.com

Consultor-Auditor en Sistemas Integrados de Gestión y Conformidad de Producción

1 comentario

Añadir un comentario
  1. Artículo estupendo. Estoy comenzando con los análisis para poder planificar la implantación de la ISO 27001 y me ha venido muy bien.
    En cuanto al Alcance, digamos que se refiere a que análicemos todos los puntos (programas, bases de datos, papeles, etc.) desde que se obtiene la información hasta el almacenamiento y tratamiento de ésta?
    Sería reflejar esos procesos indicando los dptos por donde pasa?

    Un saludo, y gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.