Preguntas más frecuentes

Transcripción

1 Preguntas más frecuentes Contenidos 1. Norma ISO SGSI 3. Certificaciones

2 (Para cualquier pregunta, no dude en ponerse en contacto con nosotros.) En esta sección se muestran respuestas a una serie de preguntas habituales sobre los siguientes temas: Norma ISO Origen, implementación, ventajas. SGSI El Sistema de Gestión de Seguridad de la Información. Certificación El proceso de auditoría y el ámbito de certificación de la norma. 1. Norma ISO Qué es ISO? 2 ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado ). ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores ) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y expertos que colaboran en el desarrollo de normas. Qué es un estándar? Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología.

3 Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores). En principio, son de uso voluntario, aunque la legislación y las reglamentaciones nacionales pueden hacer referencia a ellos. Qué es AENOR y cuál es su relación con ISO? AENOR es una entidad española de normalización y certificación en todos los sectores industriales y de servicios. En su vertiente de normalización, tiene encomendada esta tarea por la Administración española y es el representante de España en ISO. En su vertiente de certificación, opera en el mercado como cualquier otra entidad privada de certificación y no tiene concedida ninguna exclusividad. Qué es la norma ISO 27001? Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO Cuál es el origen de ISO 27001? Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la adaptación pertinente, ISO fue publicada el 15 de Octubre de Puede consultar la historia de ISO en el archivo sonoro: Qué tiene que ver ISO con ISO 17799? ISO es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables (en relación a la gestión de la continuidad de negocio, la gestión de incidentes de seguridad, control de accesos o regulación de las actividades del personal interno o externo, entre otros muchos), que ayudarán a la organización a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de

4 la información. Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 1, que fue publicada por primera vez en No es certificable. ISO contiene un anexo A, que considera los controles de la norma ISO para su posible aplicación en el SGSI que implante cada organización (justificando, en el documento denominado Declaración de Aplicabilidad, los motivos de exclusión de aquellos que finalmente no sean necesarios). ISO es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información. Está previsto que, en 2007, ISO pase a denominarse ISO Puedo certificar mi empresa en ISO 17799? ISO es un conjunto de buenas prácticas de seguridad de la información que describe 133 controles aplicables. No es certificable, al igual que su norma antecesora BS , y la aplicación total o parcial en cada organización se realiza de forma totalmente libre y sin necesidad de una supervisión regular externa. La norma que sí es certificable es ISO 27001, como también lo fue su antecesora BS Qué es la serie ISO 27000? ISO ha reservado la serie de numeración para las normas relacionadas con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen un SGSI según ISO Entre otras, serán (términos y definiciones), (objetivos de control y controles), (guía de implantación de un SGSI), (métricas y técnicas de medida de la efectividad de un SGSI), (guía para la gestión del riesgo de seguridad de la información) y (proceso de acreditación de entidades de certificación y el registro de SGSIs). Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la visita de nuestra sección Qué aporta la ISO a la seguridad de la información de una empresa? Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua. Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de

5 información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc. ISO tiene que ver sólo con la seguridad informática de una empresa? La información crítica de una empresa está presente en los sistemas informáticos, pero también en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefónicas y reuniones y está presente en el propio conocimiento y experiencia de los trabajadores. ISO propone un marco de gestión de la seguridad de toda la información de la empresa. La presencia masiva de sistemas informáticos en el tratamiento de la información lleva a menudo a centrar la atención sólo en la informática, dejando así expuesta información esencial para las actividades del negocio. La evaluación de riesgos previa a la implantación de controles debe partir de un análisis de los impactos que podría suponer para la organización la pérdida de la confidencialidad, la integridad o la disponibilidad de cualquier parte de su información. Esto es un estudio en términos de negocio, independiente del soporte de la información. La aplicación posterior de controles considera temas como los aspectos organizativos, la clasificación de la información, la inclusión de la seguridad en las responsabilidades laborales, la formación en seguridad de la información, la conformidad con los requisitos legales o la seguridad física, además de controles propiamente técnicos. 5 Quién debe promover la implantación de ISO en la empresa? La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Dirección quien debe tomar decisiones. Además, la implantación de ISO implicará cambios de mentalidad, de sensibilización, de procedimientos y tareas, etc., y la Dirección es la única que puede introducirlos en la organización. Sin el apoyo decidido de la Dirección, según la propia ISO indica, no es posible la implantación ni la certificación de la norma en la empresa. En qué términos entiende mejor la Dirección la importancia de ISO 27001? La Dirección de la empresa conoce los riesgos del negocio, la tolerancia en su aceptación y las obligaciones con sus clientes y accionistas mejor que nadie. Por tanto, los términos en que debe entender la Dirección la importancia de ISO son los de los riesgos asumibles, la continuidad de negocio y los costes de noseguridad. La Dirección no tiene por qué verse confrontada con tecnologías y descripción de amenazas desde el punto de vista técnico.

6 Aporta un retorno de inversión la certificación en ISO27001 de la empresa? Como cualquier otro proyecto de la empresa, la certificación requiere de una inversión de mayor o menor importancia en función de las prácticas actuales en seguridad. El retorno de la inversión es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001: Se aprovecha el hecho comprobado de que el coste de la implementación de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseño e implantación de las soluciones de negocio. Las inversiones en tecnología se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos. Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos. Se asegura la continuidad de negocio en el tiempo mínimo requerido ante cualquier incidencia, por grave que sea. Se evita la fuga de información esencial a competidores y medios públicos que pueda perjudicar el crecimiento, pérdida de competitividad y reputación de la empresa en el mercado en el que participa. Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio. Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciación en la protección de la información y conformidad y cumplimento de la legalidad. 6 Qué tipo de empresas se están certificando en ISO 27001? El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros. En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes. Qué es la norma UNE 71502? Es una norma española certificable de ámbito local que surgió como versión adaptada de BS y que también guarda relación con UNE-ISO/IEC17799 mediante su Anexo A. Publicada en Febrero de 2004 y elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar,

7 documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización. Es mejor certificarse en ISO o en UNE 71502? Ambas evolucionan desde el mismo estándar certificable BS y la diferencia fundamental radica en el ámbito internacional de las normas ISO y el local -España- de la UNE Probablemente, a corto-medio plazo, las empresas certificadas en UNE pasarán a estarlo en ISO 27001, como estándar único e internacional de certificación. Es ISO compatible con ISO 9001? ISO ha sido redactada de forma análoga a otros estándares, como ISO 9001 (Calidad), ISO (Medio Ambiente) y OHSAS (prevención de riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la integración de todos ellos en un solo sistema de gestión. La propia norma incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria para facilitar la integración. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra. Nuestra sección de Artículos ( contiene referencias específicas y experiencias sobre este tema. 7 Cómo se relaciona ISO con otros estándares de seguridad de la información? Ciertamente, existen otros estándares relacionados con seguridad de la información (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de vista como a controles de seguridad, buen gobierno, gestión de servicios TI, seguridad de producto La organización debería considerar cuál es la mejor opción en relación a sus necesidades. Quiero implantar ISO 27001, por dónde empiezo? Si está planteándose abordar ISO en su organización, puede empezar por: Recopilar información en páginas web como esta que está visitando y asistir a eventos informativos. Comprar las normas ISO e ISO en los sitios oficiales; p. ej., ISO ( AENOR ( en España, DGN ( en México, ICONTEC

8 ( en Colombia, INN ( en Chile, IRAM ( en Argentina, etc. (lista completa en ISO). Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma, a su implantación y su auditoría. En nuestra sección de Eventos podrá encontrar algunos ( Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habrá que recorrer. En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organización. Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden aportarle puntual información. Paralelamente, formar y concienciar a todo el personal. En nuestra sección de Herramientas ( encontrará informaciones útiles sobre planes de sensibilización. Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera adecuada. Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de pre-auditoria muy recomendable para afrontar con garantías una primera certificación en la norma. En nuestra sección de Certificación ( encontrará informaciones útiles SGSI Qué es un SGSI? Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información. El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.

9 Qué es un ISMS? Son las siglas en inglés (Information Security Management System) de SGSI (Sistema de Gestión de Seguridad de la Información). En qué ayudan los sistemas de gestión en general? Aseguran que una organización es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestión en procedimientos escritos, instrucciones, formularios y registros que aseguren la eficiencia de la organización y su mejora continua. Qué información protege un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores... Qué es exactamente la seguridad de la información? La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organización. Estos tres factores se definen como: Confidencialidad: acceso a la información por parte únicamente de quienes estén autorizados. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Disponibilidad: acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. 9 Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup. Qué aporta un SGSI a mi empresa? Estas medidas no son más que unos pocos controles técnicos que, por sí mismos, no significan que se esté gestionando la seguridad. Un SGSI implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las políticas y procedimientos relacionados y ha entrado en un proceso continuo de revisión y mejora de todo el sistema. El SGSI da así la garantía a la empresa de que los riesgos que afectan a su información son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada.

10 Existe algún producto que cubra los principales aspectos de seguridad de la información? No. Por influencia de la publicidad y las campañas de venta agresivas, es un error común pensar que el nivel de seguridad depende exclusivamente del presupuesto dedicado a la compra de productos relacionados. La seguridad exige de un plan de gestión del riesgo continuado, políticas adecuadas a cada empresa y una seguridad establecida en base a múltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso. Si la seguridad total no existe, qué diferencia aporta un SGSI? Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar. En qué consiste la gestión del riesgo y el ciclo de vida PDCA? Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información. 10 PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-Check-Act (Planificar-Hacer-Verificar-Actuar). En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de los controles según los nuevos niveles obtenidos y requeridos. Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al cambio continuo que se produce en la empresa y su entorno. 3. Certificaciones Por qué dentro de la serie es certificable únicamente la 27001? Es la norma que define el modelo completo de gestión de seguridad de la información según ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionas no certificables, como ISO (que pasará a ser ISO en 2007).

11 Quién certifica a mi empresa en ISO 27001? Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación. Para mayor detalle, consulte nuestra sección de Certificación ( En qué ayuda a las empresas la auditoría de certificación? Supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información. Añade un factor de tensión y de concentración en un objetivo a todos los miembros del proyecto y de la organización en general, lo que redunda en beneficio de la implantación del sistema. Da una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente. Es el requisito indispensable para acceder a la certificación y poder utilizar el sello de certificación junto al de la propia empresa. Por qué crece el número de empresas certificadas? El acta Sarbanes-Oxley en EEUU y la publicación de directivas en el ámbito EU y en cada estado miembro ha activado las alarmas en la dirección de las empresas. Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal. 11 ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la información para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la información. Obliga mi certificación a la de mis empresas de servicio externas (outsourcing)? No necesariamente. ISO27001 indica los controles a considerar para servicios de outsourcing desde el ámbito de su empresa (requisitos contractuales, niveles de servicio, obligaciones legales, auditoría, etc.). La seguridad de los sistemas de información que están fuera del ámbito es responsabilidad de la empresa externa, que debe cumplir regularmente con los compromisos contractuales exigidos por el cliente. Dónde puedo ver si una empresa está certificada? El registro oficial de organizaciones certificadas en ISO o BS a nivel mundial está en

12 Quién acredita a las entidades certificadoras? Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. En España, es ENAC (Entidad Nacional de Acreditación; quien tiene esta misión. También se da el caso de entidades certificadoras que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera. En ISO 27001, se da frecuentemente el caso con UKAS (entidad nacional de acreditación del Reino Unido), por el origen inglés de la norma y su corta vida aún como ISO. Cómo es el proceso de certificación? El proceso de certificación puede resumirse en las siguientes fases: Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real. Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema. Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable. Auditoría de seguimiento: auditoría semestral o anual de mantenimiento. Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa. 12 Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal, a día de hoy, no. Sin embargo, como en toda relación comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser considerado siquiera como opción de contratación. Hay administraciones públicas que están empezando a exigir certificados de este tipo a las empresas que quieran acceder a concursos públicos de productos o servicios relacionados con sistemas de información. Igualmente, es previsible que empresas privadas comiencen en algún momento a exigírselo a sus proveedores siempre que vaya a haber algún tipo actividad relacionada con información sensible.