La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

RIESGOS Y SEGURIDAD

¿Se tiene una política formal y se han adoptado contro-les adecuados para la protección de los activos de la Organización? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está pro-tegida?

Para poder responder a estas preguntas de manera con-tundente, y poder protegernos de forma óptima hacia to-dos los ataques en cuanto a seguridad de la información, tenemos que tener muy presente en nuestra organiza-ción norma ISO 27001.

La ISO 27001, Sistemas de Gestión de Seguridad de la Información es la norma que especifica los requisitos para planificar, implantar, revisar y mejorar...un sistema de gestión de seguridad de la información garantizando la confidencialidad, integridad y disponibilidad de la infor-mación, así como de los sistemas que la procesan.

El objetivo principal de la implantación de un SGSI es el con-trol y mitigación de los riesgos de seguridad de la informa-ción a los que se encuentra expuesta la organización y que pueden afectar gravemente a la empresa y a su entorno.

Alcanzar la excelencia en la Seguridad de la Información. Un mejor servicio con una menor inversión

La Norma ISO 27001 y laimportancia de la Gestión dela Seguridad de la Información

La norma ISO 27001 adquiere un papel cada vez más importante en las Organizaciones, debido a la gran de-pendencia que existe de los sistemas de información. La materialización de las amenazas que afectan a los activos de la Organización, pueden ocasionar graves problemas.

Este estándar internacional fue publicado como tal por la International Organization for Standardization y por la comisión International Electrotechnical Commission en octubre del año 2005.

Pero la ISO 27001, tal y como la conocemos hoy en día, ha sido resultado de la evolución de otros estándares relacionados con la seguridad de la información. En el pasado año 2013 se publicó la nueva versión que ha su-puesto algunos cambios en su estructura, evaluación y tratamiento de los riesgos.

La norma ISO 27001 es certificable, teniendo un recono-cimiento internacional. Cualquier organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada para obtener la certifica-ción del sistema según ISO 27001.

Introducción

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace más sencilla con esta nueva versión ISO 27001:2013, debido a que esta nueva versión de la norma está adaptada a los requisitos del Anexo SL., que es la nueva estructura ISO para cualquier sistema de gestión y que facilita la integración con cualquier otro sistema de gestión de la organiza-ción, al tener exactamente la misma estructura.

¿Cómo implantar un SGSI en base aISO 27001?

ISO 27001 posibilita la idea de implantar un siste-ma de gestión de seguridad de la información que pueda operar, monitorear, mantener y mejorar la seguridad de la información.

La implantación de un SGSI debe realizarse de acuerdo a unas pautas marcadas por la ISO 27001, realizándose de manera sistemática, documentada y comunicada a toda la organización.

Por ello, la implantación de un Sistema de Gestión de Seguridad de la Información es útil para cual-quier tipo de empresa, ya que todas tienen un activo fundamental que es necesario proteger: In-formación (De trabajadores, clientes, proveedores, etc).

Existen ciertos pasos previos importantes a la im-plantación, y que la empresa debe afrontar, son los siguientes:

Reunión inicial para identificar y conocer los pro-cesos internos del negocio, documentación de se-guridad… con objetivo de poder definir el alcance.

Análisis diferencial para estar al tanto el estado de situación en seguridad de la información de donde se va a obtener una planificación personali-zada y las primeras líneas de actuación.

Con esto la empresa está lista para implantar el SGSI fundamentado ISO 27001.

1979

Normas BSLa British Standars Ins-titution publica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001.1995

1998

2000

2002

2005

2007

2009

2013

BS 7799-1:1995Mejores prácticas para ayudar a las empresas británicas a adminis-trar la Seguridad de la Información. Eran re-comendaciones que no permitían la certifiación ni establecía la forma de conseguirla.

BS 7799-2:1999Revisión de la anterior norma. Estrablecía los requisitos para implantar un Sistema de Gestión de Seguri-dad de la Información certificable. En 1999 se revisa.

ISO/IEC 17799:2000La organización Inter-nacional para la Estan-darización (ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar gran-des cambios.

BS 7799-2:2002Se publicó una nueva versión que permitió la acreditación de empresas por una en-tidad certificadora de Reino Unido y en otros países.

ISO 17799. Se renom-bra y pasa a ser la ISO 27002:2005ISO/IEC 27001:2007. Se publica la nueva versión

ISO/IEC 27001:2005 e ISO/IEC 17799:2005Aparece el estándar ISO 27001 como norma internacional certifica-ble y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.

ISO 27001: 2007/1M:2009Se publica un do-cumento adicional de modificacio-nes llamado ISO 27001:2007/1M:2009.

Nueva ISO 27001:2013Nueva ISO 27002:2013

Evoluciónde la normaISO 27001

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

Con estos pasos previos la empresa está en condiciones de poder afrontar la implantación de un Sistema de Ges-tión de Seguridad de la Información según la ISO 27001:

Alcance

Toda implantación ha de comenzar con la definición del alcance del sistema, es decir, el ámbito de la organización que va a trabajar bajo los requisitos de la norma.

Es conveniente revisar el estado inicial de la organización en relación a los puntos de la norma. Con esto se fija el punto de partida y de referencia para medir el progreso que se irá alcanzando con el SGSI.

Es importante evaluar, aprobar y distribuir la política de seguridad que represente los objetivos y líneas a seguir en materia de seguridad de la información.

Es indispensable que la Dirección esté implicada para que el SGSI tenga éxito, ésta debe decidir, apoyar, apro-bar, dirigir y dotar de recursos a la empresa para llegar al éxito del sistema.

Se creará una estructura organizativa de la seguridad interna, liderada por un responsable de seguridad, así como un comité de seguridad que tome decisiones de alto nivel relativas al SGSI.

Análisis de Riesgos

El siguiente paso es elaborar un inventario de activos. Se han de identificar todos los activos de la entidad suscep-tibles de ser gestionados en relación con la seguridad de la información. Se recomienda, para facilitar esta tarea, clasificar o categorizar los activos.

Se debe calcular la probabilidad de ocurrencia de cada amenaza asociada a cada activo, el impacto que supon-dría para la Organización su materialización y y definir un nivel de riesgo aceptable por la organización. A continua-ción se debe pasar al tratamiento de los riesgos no acep-tados por la organización.

De esta etapa resultará un plan de tratamiento de riesgos.

Ciclo PDCA

• Revisión por Dirección: Revisión anual del SGSI, se es-tablecen unos puntos de entrada y salidas a la revisión, los cuales vienen especificados en la propia norma

• Auditoría Interna: Una vez finalizada la implantación y antes de la auditoría de certificación, se hace una au-ditoría interna para revisar la implantación del sistema

• Política de Seguridad: Normativa interna en relación a la Seguridad de la Información

• Concienciación: Todo el personal de la Organización tiene que estar concienciado en materia de Seguridad de la Información

• Acciones correctivas/preventivas: Para cada una de las desviaciones, o incumplimientos, que se detecten en el Sistema, se tienen que llevar a cabo acciones co-rrectivas/preventivas

• Indicadores: Se establecen para medir la eficacia de los controles de seguridad

• Responsabilidades de la Dirección: La Dirección de la Organización se tiene que comprometer formalmente a proporcionar todos los recursos necesarios para la implantación del SGSI

PDCACycle

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

La implantación de un SGSI basado en ISO 27001, obvia-mente, supone una dedicación e inversión de recursos, pero, por contra, aporta grandes beneficios a las empre-sas que deciden implantarlo.

Con la aplicación de ISO 27001, se obtienen importan-tes mejoras en la competitividad, al mismo tiempo que se mejora la imagen de su Organización.

Todos estos beneficios vienen derivados del estableci-miento de una operativa basada en la seguridad y la ex-celencia en el tratamiento de la información en la orga-nización, que se traducen en un mejor servicio con una menor inversión.

Garantizar la confidencialidad, integridad y dispo-nibilidad de información sensible.

Disminuir el riesgo, con la consiguiente reducción de gastos asociados.

Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados.

Mejorar continuamente la gestión de la seguridad de la información.

Garantizar la continuidad del negocio.

Aumento de la competitividad por mejora de la imagen corporativa

Incremento de la confianza de los stakeholders.

Aumento de la rentabilidad, derivado de un con-trol de los riesgos.

Cumplir la legislación vigente referente a seguri-dad de la información.

Aumentar las oportunidades de negocio.

Reducir los costos asociados a los incidentes.

Mejorar la implicación y participación del personal en la gestión de la seguridad.

Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros.

Mejorar los procesos y servicios prestados.

Aumentar de la competitividad por mejora de la imagen corporativa.

Revisión por la dirección y auditoría interna

La revisión es responsabilidad del comité de seguridad, y se propondrán cambios y mejoras.

Mejora continua

Mediante el análisis de las no conformidades detectadas se pretende impedir que éstas se vuelvan a producir, me-jorando el SGSI ISO 27001.

En definitiva, la implantación de un SGSI basado en ISO 27001, supone el conocimiento, de la organización en su conjunto y de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente.

Ventajas de implantar un SGSI basado en la ISO 27001

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

Nueva versión de ISO 27001:2013

La implantación de un SGSI basado en ISO 27001, obviamente, supone una dedicación e inversión de recursos, pero, por contra, aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicación de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que mejora la imagen de su Organización.

Otras de las ventajas que aporta su implantación son:

1. Desaparece el apartado “Enfoque a procesos” que es-tablecía una metodología de trabajo en base al ciclo PDCA de mejora continua, ofreciendo una mayor flexibilidad en cuanto a la elección de metodologías de trabajo de análi-sis de riesgos o de mejora continua.

2. Cambio de la estructura de acuerdo al Anexo SL común al resto de estándares ISO, lo que facilita la integración entre sistemas.

3. Este mismo anexo SL, establece un nuevo modelo de estructura de la documentación, que elimina la obliga-toriedad de algunos documentos en la versión anterior, conservándose solamente como obligatoria la declara-ción de aplicabilidad.

4. Se reducen los controles. Los controles establecidos en el Anexo A se eliminan, fusionan y añaden, viéndose aumentado el número de dominios de 11 a 14 y redu-ciéndose el número de controles de 133 a 114. Desta-camos un nuevo dominio que se crea sobre “Relaciones con el Proveedor” debido a la evolución a la nube o Cloud Computing.

5. Enfoque del análisis del riesgo en la fase de planificación y operación. A partir de ahora para identificar los riesgos no es necesario identificar los activos, las amenazas y sus vulnerabilidades. Sino que se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A para que no se olvide ninguno aplicable.

Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión.

Nueva ISO 27001:2013

DesapareceEnfoque a procesos

Cambio de estructura

que facilita laintegración

Nuevo modelo deestructura

documental

Se reducen los

controlesEnfoque del análisis del riesgo en la fase

de planificación y operación.

Más informaciónTlf. (+34) 902 361 231www.isotools.orginfo@isotools.org

RIESGOS Y SEGURIDAD

La Norma ISO 27001 y la importancia de la Gestiónde la Seguridad de la Información.Alcanzar la excelencia en la Seguridad de la Información.Un mejor servicio con una menor inversión.

Conclusiones

La implantación de un SGSI basado en ISO 27001, supone el co-nocimiento, de la organización en su conjunto, de los riesgos a los que se encuentra expuesta. De manera que se asuman y se trabaje en su minimización y control de manera sistemática, para mejorar continuamente.

La ISO 27001 es perfectamente integrable con otros sistemas de gestión como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta inte-gración se hace más sencilla con esta nueva versión ISO 27001:2013

Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la anterior ISO 27001:2005.

La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el tratamiento de la información en la organización, que se traducen en un mejor servicio con una menor inversión.

ISOTools es la Plataforma Tec-nológica ideal para facilitar la implementación, mantenimien-to y automatización de su sis-tema de gestión de Seguridad en la Información conforme a la norma ISO 27001:2013. Así como dar cumplimiento de ma-nera complementaria y sencilla a las buenas prácticas o contro-les establecidos en ISO 27002.

ISOTools es una herramienta de gestión integral de la norma que cumple con el ciclo comple-to de la misma, desde las fases de inicio y planificación del pro-yecto hasta el mantenimiento y mejora continua, pasando por el análisis de riesgos, el cuadro de mando, la implantación de procedimientos, etc.

Con ISOTools puede integrar, en una misma Herramienta, este estándar con otros exis-tentes en la organización como ISO 9001, ISO 14001, OHSAS 18001, entre otras.

La Plataforma Tecnológica ISOTools le ayuda a automatizar su sistema ISO 27001