Conceptos básicos

SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.

En este apartado se van a tratar los conceptos más importantes relacionados con este tipo de sistemas de cara a tener una noción básica de los Sistemas de Gestión de la Seguridad de la Información a la hora de enfrentarse a su implantación y, si así lo desea la empresa, a su certificación.

Concepto de un SGSISGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.

Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización.

Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos ... – , vandalismo, ) hay que sumarle los riesgos lógicos (virus, ataques de denegación de servicio, ).

Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que lesofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir.

En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos,que se revisa y mejora constantemente.

Normativa• Normativa • UNE-ISO 27001 • ISO 27002 • ISO 27002 (documentación)

Con el fin de proporcionar un marco de Gestión de la Seguridad de la Información utilizable porcualquier tipo de organización, independientemente de su tamaño o actividad, se ha creado un conjunto de estándares bajo el nombre de ISO/IEC 27000.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas:

Familia de normas 27000Norma ISO/IEC Título

ISO 27000 Gestión de la Seguridad de la Información: Fundamentos y vocabulario.ISO 27001 Especificaciones para un SGSI.ISO 27002 Código de Buenas Prácticas.ISO 27003 Guía de Implantación de un SGSI.ISO 27004 Sistema de Métricas e Indicadores.ISO 27005 Guía de Análisis y Gestión de Riesgos.ISO 27006 Especificaciones para Organismos Certificadores de SGSI.ISO 27007 Guía para auditar un SGSI.ISO 2701X Guías sectoriales.ISO 27XXX Futuras normas.

UNE-ISO 27001

Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familiaISO 27000.

En su Anexo A aparecen los objetivos de control y los controles que se desarrollan con más profundidad en la Norma ISO 27002.

ISO 27002

La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI.

Al igual que el Anexo A de la ISO 27001, se compone de 11 dominios, 39 objetivos de seguridad y 133 controles de seguridad.

Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información. En el siguiente dibujo se muestra la distribución de dichos dominios y el aspecto de seguridad que cubren:

Distribución de los dominios de la Norma ISO 27002

ISO 27002 (documentación)

La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.

La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:

Tipos de documentación

Donde las Políticas sientan las bases de la seguridad constituyendo la redacción de los objetivos generales y las implantaciones que ha llevado a cabo la organización. Pretenden indicar las líneas generales para conseguir los objetivos marcados sin entrar en detalles técnicos. Deben ser conocidaspor todo el personal de la organización.

Los Procedimientos desarrollan los objetivos marcados en la Políticas. En ellos sí que aparecerían detalles más técnicos y se concreta cómo conseguir los objetivos expuestos en las Políticas. No es necesario que los conozcan todas las personas de la organización sino, únicamente, aquellas que lo requieran para el desarrollo de sus funciones.

Las Instrucciones constituyen el desarrollo de los Procedimientos. En ellos se llega hasta describir los comandos técnicos que se deben realizar para la ejecución de dichos Procedimientos.

Y por último los Registros evidencian la efectiva implantación del SGSI y el cumplimiento de los requisitos. En este punto también es importante el contar con una serie de indicadores o métricas de seguridad que permitan evaluar la consecución de los objetivos de seguridad establecidos.

Modelo PDCA

• Modelo PDCA • Fases del Modelo PDCA

Todos los Sistemas de Gestión de la Seguridad de la Información se basan en la necesidad de que la Seguridad de la Información esté en continua evolución y que, además, dicha evolución esté documentada y justificada.

El modelo en el que se basa el SGSI es denominado Modelo PDCA ("Plan-Do-Check-Act") que se representa en la siguiente figura:

Modelo PDCA

Planificar

En esta primera fase se realiza un estudio de la situación de la Organización (desde el punto de vistade la seguridad), para estimar las medidas que se van a implantar en función de las necesidades detectadas.

Hay que tener en cuenta que no toda la información de la que dispone la organización tiene el mismo valor, e igualmente, no toda la información está sometida a los mismos riesgos. Por ello un hito importante dentro de esta fase es la realización de un Análisis de Riesgos que ofrezca una valoración de los activos de información y las vulnerabilidades a las que están expuestos. Así mismo se hace necesario una Gestión para dichos riesgos de cara a reducirlos en la medida de lo posible.

El resultado de este Análisis y Gestión de Riesgos será establecer una serie de prioridades en las tareas a realizar para minimizar dichos riesgos. Puesto que los riesgos nunca van a desaparecer totalmente, es importante que la Dirección de la Organización asuma un riesgo residual, así como las medidas que se van a implantar para reducir al mínimo posible dicho riesgo residual.

Ejecutar

En esta fase se lleva a cabo la implantación de los controles de seguridad escogidos en la fase anterior. En dicha implantación se instalarán dispositivos físicos (, , ...), pero también se creará o revisará la documentación necesaria (políticas, procedimientos, instrucciones y registros).

Dentro de esta fase es muy importante dedicar un tiempo a la concienciación y formación del personal de la empresa de cara a que conozcan los controles implantados.

Verificar

Es importante que la Organización disponga de mecanismos que le permitan evaluar la eficacia y éxito de los controles implantados. Es por esto que toman especial importancia los registros (evidencias) que dejan los diferentes controles, así como los indicadores que permiten verificar el correcto funcionamiento del SGSI.

Actuar

En esta fase se llevarán a cabo las labores de mantenimiento del sistema así como las labores de mejora y de corrección si, tras la verificación, se ha detectado algún punto débil. Esta fase se suelellevar en paralelo con la verificación y se actúa al detectarse la deficiencia, no se suele esperar a tener la fase de verificación completada para comenzar con las tareas de mejora y corrección.

Fases de Implantación

De acuerdo con este modelo (PDCA), la metodología de implantación de un SGSI en una PYME contempla los pasos que se detallan en las siguientes etapas. Para cada una de ellas se identifican lasacciones clave a llevar a cabo.

Establecimiento del SGSI

• Inicio del Proyecto • Asegurar el compromiso de la Dirección. • Seleccionar y entrenar a los miembros del equipo inicial que participan en el

proyecto. • Definición del SGSI

• Identificación del alcance del SGSI y de la Política de Seguridad del SGSI. • Recopilar los documentos de seguridad existentes en la organización. • Preparar los procedimientos relacionados con la gestión y la operación del SGSI.

• Análisis de Riesgos • Definición de una metodología para la clasificación de los riesgos. • Creación de un inventario de activos. • Evaluación de los activos a ser protegidos. • Identificación y evaluación de amenazas y vulnerabilidades de los activos. • Cálculo del valor de riesgo asociado a cada activo.

• Gestión de Riesgos • Identificar y evaluar alternativas posibles para tratar los riesgos. • Seleccionar e implantar los controles correctos que le permitan a la organización

reducir el riesgo a un nivel aceptable. • Redactar el documento de declaración de aplicabilidad (documento de selección de

controles), que debe ser firmado por Dirección. • Identificar los riesgos residuales que han quedado sin cubrir y obtener la firma de

Dirección. • Preparar el Plan de Tratamiento de Riesgos Preparar procedimientos para implantar

los controles.

Implantación y Operación

• Implantación del SGSI • Implantar el plan de tratamiento de riesgos. • Implantar políticas y procedimientos del SGSI. • Implantar los controles seleccionados.

• Formación y sensibilización • Impartir formación entre los empleados sobre los nuevos procedimientos que se van

a implantar. • Concienciar a la plantilla de la importancia que el proyecto de seguridad tiene para la

Organización.

Monitorización y Revisión

• Monitorización del SGSI • Ejecutar procedimientos de monitorización para detectar errores de proceso,

identificar fallos de seguridad de forma rápida y acciones a realizar. • Revisión del SGSI

• Revisiones periódicas de la política y alcance del SGSI, así como de su eficacia. • Revisiones de los niveles de riesgos residuales y riegos aceptables. • Auditorías internas/externas del SGSI.

Mantenimiento y Mejora

• Mantenimiento del SGSI • Comunicar resultados de las auditorías a las partes interesadas. • Adoptar acciones correctivas y preventivas.

• Mejora Continua • Medir el rendimiento del SGSI. • Implantar las mejoras identificadas en las revisiones del SGSI.

Beneficios

Las organizaciones de mayor tamaño cuentan con abundantes recursos humanos, técnicos y económicos que le permiten afrontar el mantenimiento de la seguridad en sus sistemas de información. La PYME, a falta de esos recursos necesita de una herramienta sencilla y de bajo costeque dé respuesta a los riesgos existentes.

Por ello, partiendo de la base que la seguridad al 100% no existe, la adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI) es una alternativa adecuada para que la PYME pueda establecer una metodología y una serie de medidas con las que ordenar, sintetizar y simplificar de manera continua el esfuerzo que ya se hace o que ya se debería hacer en seguridad dela información.

Esta mejora en la seguridad se ve reflejada en una serie de ventajas que se describen a continuación.

Reducción de riesgos

Partiendo del Análisis de Riesgos que impone la norma, hasta la implementación de los controles, el

conjunto de acciones adoptadas reducirá los riesgos hasta un nivel asumible por la PYME, siempre en relación a los objetivos de negocio de la organización.

Ahorro Económico

Como cualquier otro sistema de gestión, la implementación de la norma permite una racionalizaciónde recursos, lo que repercute en un ahorro de costes. Poder tomar decisiones basadas en datos cuantitativos y no solo cualitativos, permite gestionar mejor el gasto en TI. De esta manera las inversiones en tecnología se ajusten a las prioridades que se han impuesto a través del Análisis de Riesgos, evitando los gastos innecesarios, inesperados, y sobredimensionados.

Calidad a la seguridad

La implementación de un SGSI transforma la seguridad en una actividad de gestión. Este concepto es importante ya que deja de lado un conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado. En el que al participar toda la organización, se crea conciencia y compromiso de seguridad en todos los niveles de la empresa.

Cumplimiento Legal

Es necesario el cumplimiento de la legislación vigente. Todos los aspectos de conformidades legalesde la norma deben responder a la legislación del país, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación garantiza este hecho y a su vez seguramente crea un marco legal que protegerá a la empresa en aspectos que seguramente no se habían tenido en cuenta hasta entonces.

Competitividad en el mercado

Esta norma es tan importante como lo es hoy ISO 9000. Poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PyME. Es el único modo que puede garantizar un equilibrio en las medidas de seguridad entre esas partes. Lo que la convierte en un importante factor diferenciador con la competencia, por las ventajas derivadas de la mejora de imagen y ventaja competitiva en el mercado.

En definitiva, la UNE-ISO/IEC 27001 es un elemento de gestión que se irá generalizando en las empresas, distinguiéndose claramente quienes se anticipen en su implantación.