ISO/IEC 27001:2005 Gestión para la Seguridad de la Información CÓMO PROTEGER SUS ACTIVOS Seguridad de la Información para el Siglo Veintiuno raising standards worldwide TM
SU ORGANIZACIÓN PODRÍA ESTAR EN PELIGRO La cuestión de la seguridad de la información afecta a las organizaciones de todos los tamaños y de todos los sectores, con un problema idéntico, su vulnerabilidad inherente. Aunque parezca que su organización está protegida, podría haber una fuga de información confidencial, sin que usted lo sepa. Toda la información de todos sus departamentos, ya sea que se encuentre en un disco de computadora, en papel o en las cabezas de sus empleados, está en riesgo de varias amenazas reales. La seguridad de la información ya no es únicamente responsabilidad de los gerentes de TI. Un solo evento de violación de la seguridad le podría costar sus utilidades tan difícilmente ganadas y al mismo tiempo ocasionar un daño irreparable a su imagen y reputación. Su capacidad de operar rentablemente depende de su habilidad de gestionar este riesgo con eficacia. Conforme se incrementa de forma consistente el número de reportes de violaciones de la seguridad de la información, se intensifica la necesidad de un enfoque estructurado para gestionarla. El Sistema de Gestión de Seguridad de la Información (ISMS) que se basa en ISO/IEC 27001:2005 le proporcionará una estructura bien probada para iniciar, mantener y gestionar la seguridad de la información en su organización. Una vez que empiece a emplear ISO/IEC 27001:2005 como la base de su ISMS, un tercero, como BSI Management Systems, puede auditar y certificar su sistema de gestión. Este proceso aporta un valor significativo a la eficacia continua de su sistema. REVISIONES A LA NORMA BS 7799-2:2002 se ha actualizado y reemplazado con la norma internacional ISO/IEC 27001:2005 ISO 17799:2005 se ha convertido en ISO/IEC 27002:2005 y ahora forma parte de la familia de normas ISO/IEC 27000 2 BSI Gestión de Seguridad de la Información
CARACTERÍSTICAS Y BENEFICIOS DE ISO/IEC 27001:2005 Por la naturaleza tan amplia de ISO/IEC 27001:2005, hemos resaltado las áreas clave que tendría que cubrir al utilizar ISO/IEC 27001:2005. A continuación se presenta una lista de preguntas que deben considerarse para determinar si ya está implementando estas prácticas en su organización: Política de seguridad Cuentan con un documento para demostrar el apoyo y compromiso de la gerencia con el proceso del Sistema de Gestión de Seguridad de la Información? Organización de la seguridad Cuentan con un marco de referencia de gestión que se haya establecido para iniciar y controlar la implementación de la seguridad de la información en su organización? Lo que es más, este marco de referencia gestiona el suministro continuo de seguridad de la información? Clasificación y control de activos Cuenta con un inventario completo de los activos? Designa la responsabilidad para asegurar que se mantenga la protección eficaz a la seguridad? Seguridad del personal Existen descripciones de puestos bien definidas para todo el personal que cuente con funciones y responsabilidades de seguridad? Seguridad física y del medio ambiente Existe una definición clara y concisa de los requisitos de seguridad para sus instalaciones y la gente en ellas? Gestión de las comunicaciones y operaciones Optimiza sus habilidades de comunicación para facilitar la operación continua de su ISMS? Control de acceso Se administra la red para asegurar que únicamente aquellos con la responsabilidad correspondiente tengan acceso a la información de las redes y la protección de la infraestructura de soporte? Desarrollo y mantenimiento de los sistemas Se asegura de que los proyectos de TI y las actividades de soporte se conduzcan de manera segura por medio del control de datos y la codificación, en caso de ser necesario? Gestión de incidentes Se asegura de que la información de los eventos de seguridad y las debilidades relacionadas con la información, se comuniquen de tal forma que se permita la toma de medidas correctivas oportunas? Gestión de la continuidad de las operaciones del negocio Utiliza un sistema gestionado para desarrollar y mantener planes de contingencia de negocios que protejan los procesos críticos de su compañía de desastres o fallas mayores? Cumplimiento Le puede demostrar a sus clientes, a sus empleados y a las autoridades, su compromiso en el cumplimiento de los requisitos estatutarios o regulatorios de seguridad de la información? Cuántas contestó afirmativamente? Si este ejercicio le indicó que existen áreas de mejora, comuníquese con BSI Management Systems. BSI Gestión de Seguridad de la Información 3
IMPLEMENTACIÓN DE UN ISMS QUE SE BASE EN ISO/IEC 27001:2005 CON BSI MANAGEMENT SYSTEMS Existen algunos pasos clave que todas las empresas que deseen implementar un Sistema de Gestión de Seguridad de la Información necesitan considerar: ADQUIRIR LA NORMA Antes de que pueda empezar a preparar su sistema, necesitará una copia de la norma. Puede adquirir sus copias en: www.bsiamericas.com/27001standard CONSIDERAR LA CAPACITACIÓN FORMAR UN EQUIPO Y ACORDAR SU ESTRATEGIA ANALIZAR LAS OPCIONES DE CONSULTORÍA Existen cursos de capacitación para ayudarle a implementar y evaluar su ISMS. Si desea obtener más información sobre la capacitación puede entrar a: www.bsigroup.com.mx/capacitacion Debe comenzar el proceso completo de implementación con la preparación de su estrategia organizacional con los directivos. En esta etapa debe determinar el alcance de su certificación, si el sistema se adoptará a nivel de toda la compañía o en uno o más departamentos. Puede recibir asesoría de consultores externos sobre cómo implementar mejor su ISMS. Los consultores pueden contar con experiencia en la implementación con la que puede evitar errores costosos. REALIZAR UNA EVALUACIÓN DE RIESGOS Durante esta etapa debe evaluar las violaciones potenciales a la seguridad que no deben relacionarse únicamente con los sistemas de TI, sino incluir toda la información confidencial de su organización. DESARROLLAR UN DOCUMENTO CON LA POLÍTICA DESARROLLAR LOS DOCUMENTOS DE RESPALDO IMPLEMENTAR SU ISMS Lo anterior demostrará el apoyo y compromiso de la gerencia al proceso de ISMS. Crear un Documento de la Aplicación y los Procedimientos para respaldar la política de seguridad. Se deben de cubrir varias áreas, como la clasificación y control de activos, seguridad del personal, seguridad física y del medio ambiente y la gestión de la continuidad de las operaciones del negocio. La clave de la implementación es la comunicación y la capacitación. Durante la etapa de la implementación, su organización comenzará a operar de acuerdo con los procedimientos del sistema de gestión. SELECCIONAR UN ORGANISMO CERTIFICADOR Un organismo certificador es un tercero, como BSI Management Systems, que evalúa la eficacia de su ISMS y emite un certificado si cumple con los requisitos de la norma. OBTENER LA CERTIFICACIÓN Debe hacer los arreglos con el organismo certificador para su evaluación. En este momento, el organismo certificador auditará su ISMS y determinará si se debe recomendar la certificación. 4 BSI Gestión de Seguridad de la Información
EL PROCESO DE CERTIFICACIÓN Existen 8 pasos para obtener la certificación de ISO/IEC 27001:2005 con BSI Management Systems: CONSULTA INICIAL Le pedirán que complete un perfil de su compañía. Nuestros profesionales le ayudarán durante este proceso. COTIZACIÓN BSI Management Systems le enviará una propuesta detallada para realizar la evaluación. PRESENTACIÓN DE LA SOLICITUD Presentar una solicitud formal ante BSI Management Systems. DESIGNACIÓN DEL CLIENT MANAGER (AUDITOR) Se designará a su contacto principal con BSI Management Systems durante todo el proceso de certificación y para efectos posteriores. Tendrá el conocimiento relacionado con la naturaleza de su empresa y le brindará apoyo mientras usted desarrolla su sistema. PRE-AUDITORÍA Se puede realizar una preauditoría que es opcional, para revisar su ISMS y establecer qué tan listo está para la evaluación FASE 1 REALIZAR LA REVISIÓN BSI Management Systems conduce una revisión de escritorio de la evaluación de riesgos, la política, el alcance, el documento de aplicación y los procedimientos. Con lo anterior se identificará cualquier debilidad u omisión que se tenga que resolver. FASE 2 REALIZAR UNA AUDITORÍA COMPLETA Su Client Manager conduce una auditoría en el sitio y entonces hace una recomendación formal a los gerentes de certificación SE CONFIRMA LA CERTIFICACIÓN Al completar exitosamente la auditoría, se emite un certificado. Una vez que se le haya otorgado el certificado puede empezar a hacer publicidad de su éxito y promover su certificación. EVALUACIÓN CONTINUA Su organismo certificador revisará su ISMS periódicamente para asegurar que siga cumpliendo con los requisitos de la norma. Su certificado tendrá una vigencia de tres años. Al final de los tres años se ampliará la vigencia de su certificado con la condición de que su reevaluación sea positiva. BSI Gestión de Seguridad de la Información 5
BSI PROPORCIONA SOLUCIONES, PRODUCE RESULTADOS Al seleccionar a BSI como su socio de negocios, selecciona una reputación internacional de excelencia. Como el organismo de certificación de sistemas de gestión más grande y respetado, contamos con oficinas en todo el mundo. Se nos considera universalmente como un proveedor global de servicios de la más alta calidad e integridad. Además de la certificación de los sistemas de gestión, BSI ofrece una gran gama de servicios complementarios que proporcionan un verdadero valor agregado. Lo anterior incluye el desarrollo de esquemas, evaluación de sistemas, pruebas de productos, cursos y seminarios de capacitación. Estas son algunas razones adicionales por las cuales seleccionar a BSI: Personal de evaluación con experiencia internacional que tiene que aprobar el proceso de capacitación y calificación más detallado de cualquier organismo de certificación. Nos aseguramos de que cuando los auditores visiten su compañía, comprendan las necesidades y los requisitos específicos de su industria. Nuestro servicio de certificación está acreditado por un servicio independiente de acreditación, lo que garantiza la integridad de la decisión de certificación. El uso de la Marca de Certificación de BSI que se considera de gran valor y poder. Ingreso a nuestra base de datos de socios que usan los compradores conocedores. Al seleccionar a BSI como su socio de negocios, selecciona una reputación internacional de excelencia 6 BSI Gestión de Seguridad de la Información
Un marco de referencia bien desarrollado para iniciar, implementar, mantener y gestionar la seguridad de la información de su organización SISTEMAS GLOBALES DE GESTIÓN CÓMO LE PUEDE AYUDAR BSI En BSI Management Systems nos comprometemos a trabajar con su organización a todos los niveles para implementar su ISMS CAPACITACIÓN Se ofrecen los siguientes cursos para ayudarlo en cada etapa del proceso de certificación y posteriormente: ISO/IEC 27001:2005 Interpretación de un ISMS Este curso proporciona las generalidades de las técnicas más recientes y examina las cuestiones que rodean al ISMS. ISO/IEC 27001:2005 Auditor Líder de ISMS En este curso se imparten los aspectos fundamentales de la auditoría de los Sistemas de Gestión de Seguridad de la Información de acuerdo con ISO/IEC 27001:2005. ISO/IEC 27001:2005 Implementación de ISMS Este curso detalla los requerimientos para implementar un sistema de gestión formal, de acuerdo a las especificaciones de la norma ISO/ IEC 27001:2005 y proporciona un esquema de cuestiones relacionadas a la seguridad de la información. Seminario a través de la Web: Generalidades de ISO/IEC 27001:2005 Este curso describe los elementos básicos del ISMS de acuerdo con los lineamientos que determina la norma ISO/IEC 27001:2005 (sólo en idioma inglés). A excepción del Curso de Auditor Líder, se puede personalizar la capacitación en sus instalaciones para adaptarla a las necesidades de su organización. Para obtener la información más actualizada, más detalles de las descripciones de los cursos, los precios y las fechas de los siguientes seminarios que se vayan a impartir cerca de su localidad, favor de entrar a: www.bsigroup.com.mx/ capacitacion ACTUALIZACIONES POR CORREO ELECTRÓNICO Regístrese para obtener nuestro servicio gratuito de actualizaciones por correo electrónico y reciba los boletines regulares sobre los periodos de transición y los enfoques de las mejores prácticas sobre ISO/IEC 27001:2005. NORMA Puede adquirir sus copias de las normas en: www.bsiamericas.com/ ISO27001standard BSI Gestión de Seguridad de la Información 7
BSI México BSI Brasil Oficina Ciudad de México Torre Mayor Av. Paseo de la Reforma No. 505 Piso 41 Suite C Col. Cuauhtémoc, C.P. 06500 México, D.F. Tel: +52 (55) 5241 1370 Fax: +52 (55) 5241 1371 Email: informacion.msmexico@bsigroup.com Web: www.bsigroup.com.mx Oficina Monterrey Torre Capitel Av. Lázaro Cárdenas No. 1810 Piso 9 Suite 908 Col. Del Paseo Residencial, C.P. 64920 Monterrey, N.L. Rua Gomes de Carvahlo, 1306, cjs, 111/112 Vila Olímpia, Sao Paulo SP Brasil Tel: +55 11 2148 9600 Fax: +55 11 2148 9601 Web: www.bsibrasil.com.br BSI España Juan Esplandiu, 15, 3ª planta 28007 Madrid Tel: +34 914 008 620 Fax: +34 915 743 854 Web:www.bsigroup.es BSI/MX/08/MS/0309/S/RC Tel: +52 (81) 8155 6100 Fax: +52 (81) 8155 6105 Email: informacion.msmexico@bsigroup.com Web: www.bsigroup.com.mx La marca de certificación BSI puede ser utilizada en su papelería, literatura y vehículos, una vez que haya obtenido exitosamente la certificación. Grupo BSI: Normas Información Capacitación Inspección Pruebas Auditoría Certificación Software Soluciones en la Cadena de Suministro