Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de sistemas de TI complejos y rápidos. La tecnología de la información facilita muchos de los procesos, pero también entraña riesgos. Por tanto, una protección integral de datos e información confidencial es especialmente importante. La fiabilidad y seguridad de la tecnología de la información se convertirá en el factor decisivo para el éxito de una empresa. ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información TÜV SÜD Iberia, S.L.U.
Por qué la norma ISO / IEC 27001? La seguridad de la información es cada vez más importante. Así pues, la información es un factor decisivo para el éxito de una empresa. Es, por tanto, de máxima prioridad, administrar y proteger la información. Los datos que se procesan electrónicamente especialmente se exponen a constantes amenazas y riesgos. Por consiguiente, aumentan las exigencias de seguridad como la disponibilidad, confidencialidad e integridad. Esto implica la protección de los sistemas de información y comunicación frente a las ofensivas crecientes en la red, así como, por ejemplo, la prevención de pérdidas por robo y los daños causados por acciones externas, o la minimización de las consecuencias provocadas por el comportamiento negligente del ser humano. Para trabajar estos posibles factores que impiden la eficiencia, las medidas organizativas y técnicas no son suficientes Un comportamiento consciente de todos los trabajadores sobre la seguridad de la información es un requisito previo para conseguir una protección integral de datos. La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma internacional ISO / IEC 27 001 apoya a las empresas en la identificación sistemática y el análisis de riesgos, que surgen con el uso de la información, hasta la implementación y el mantenimiento de mecanismos adecuados de vigilancia y control. Qué se consigue con un Sistema de Gestión de Seguridad de la Información (SGSI)? Un Sistema de Gestión de Seguridad de la Información es un proceso continuo, basado en el conocido modelo PDCA (Plan-Do-Check-Act). Este sistema apoya la aplicación estructurada de todos los aspectos básicos de seguridad. Gracias al mismo puede identificar y analizar sus posibles riesgos, identificar sus necesidades de actuación y realizar las medidas necesarias, que se pueden supervisar y optimizar continuamente. De esta manera, siempre tiene a la vista los principales objetivos de seguridad. El ciclo PDCA PLAN (PLANIFICAR) Proteja el conocimiento y, así, los valores de su empresa. Aproveche las excelentes ventajas de un SGSI según la ISO / IEC 27001: ACT (ACTUAR) CHECK (VERIFICAR) DO (HACER) Mejor comprensión de las exigencias del negocio Protección de la información ante las amenazas Fácil identificación de las debilidades Disponibilidad continua de la información y así garantizar una continua actividad comercial Alto nivel de confianza con sus colaboradores Disminución del riesgo de dañar la imagen corporativa 2
Cuáles son los fundamentos de la Seguridad de la Información? La norma ISO / IEC 27 001 considera como las tres principales características de la información: la disponibilidad, la confidencialidad y la integridad. Estas características son fundamentales en todos los requisitos externos que tiene que cumplir la empresa. Disponibilidad de la información crítica para la empresa Disponibilidad Sólo personas autorizadas pueden acceder a la información Confidencialidad Información Fiabilidad y exhaustividad de la información crítica para la empresa Integridad La información no sólo debe cumplir con los requisitos formales, sino que también deben corresponder a distintas expectativas. Los principales aspectos son la credibilidad, la responsabilidad, la constancia y la confianza. Requisitos Disponibilidad Integridad Confidencialidad Información Datos TI Expectativas Credibilidad Responsabilidad Constancia Confianza El Sistema de Gestión de Seguridad de la Información (SGSI) toma en consideración todos los enfoques de la información y no se centra sólo en su uso electrónico: La información es más que simplemente almacenar y procesar La seguridad de la información no sólo abarca la seguridad TI Seguridad significa confidencialidad, integridad y disponibilidad La gestión no es únicamente sistemas técnicos y herramientas 3
Qué requiere la Seguridad de la Información? El campo de la Seguridad de la Información incluye la tecnología, que se preocupa por la seguridad de los sistemas TI y los datos almacenados en los mismos, así como la gestión de todos los procesos relacionados. Existe pues una reflexión esencial de conjunto; únicamente con la compra de firewalls y antivirus no es suficiente. Para garantizar una protección fiable se necesita más bien una planificación estructurada, así como un control de todas las medidas de seguridad. Tecnología Sistemas, herramientas, estructura etc. 20 % Gestión Política y responsabilidad de la seguridad de la información, conocimiento y formación, reporting, continuidad empresarial, procesos etc. 80 % Qué contiene la ISO / IEC 27001? La norma ISO / IEC 27001 consta de dos partes: el sistema de gestión y las medidas (controls) necesarias, que deben considerarse en cualquier caso. El siguiente gráfico es un esquema del contenido de ambas partes. Resumen del contenido ISO/IEC 27001 Sistema de gestión Ciclo PDCA Sistema de gestión basado en la ISO 9001 Determinación de controles de seguridad por medio de: Gestión y responsabilidad Documentación Formación Revisión por parte de la dirección Auditorías internas Gestión de riesgos Identificación Valoración Implementación de controles Definición de valores Los controles (controls) afectan a los siguientes aspectos: Seguridad física y del entorno Seguridad ligada a los RRHH Seguridad de comunicaciones y operaciones Control de accesos Seguridad en la fase de diseño y desarrollo Gestión de incidentes en la Seguridad de la Información Procedimientos de emergencia Cumplimiento 4
Cómo se implementa la ISO/IEC 27001 Las seis fases necesarias para la implementación de un Sistema de Gestión de Seguridad de la Información conforme a la ISO/IEC 27001 son: 6 pasos para la implementación Paso 1 Definición del alcance (scope) y los límites de SGSI El ámbito de aplicación aclara y establece en qué campos aplica el Sistema de Gestión de Seguridad de la Información. Paso 2 Definición de la política de la seguridad de la información Determinación de la política de seguridad de la información para el ámbito de aplicación definido. Paso 3 Identificación de los activos de la empresa (assets) y sus riesgos asociados. Dónde están las debilidades? Qué amenazas tenemos que tener en cuenta? Identificación de activos y evaluación Identificación de las debilidades Identificación de las amenazas Valorar las consecuencias Listado de riesgos de la empresa Paso 4 Control de riesgos Qué riesgos se corren? son asumibles? Identificación del riesgo Grado de aceptación del riesgo Criterio 2 Niveles de riesgo identificado Criterio 1 Control necesario Riesgo asumible Paso 5 Fijación de controles y objetivos de control. Paso 6 Definición de la Declaración de Aplicabilidad, la conocida SOA (Statement of Applicability), de la norma ISO/IEC 27001. Consiste en un resumen de las decisiones tomadas en relación al tratamiento del riesgo. 5
Cuáles son los factores de éxito? Para conseguir una implementación de su Sistema de Gestión de Seguridad de la Información con éxito conforme a la ISO/IEC 27001, tiene que tomar en consideración los siguientes factores: La política de Seguridad de la Información, medidas y objetivos El modelo PDCA deben estar orientados a los objetivos de la empresa debe estar de acuerdo con la estructura de la empresa Apoyo y aprobación de la dirección a todos los niveles de la organización Buena comprensión de la valoración y gestión de riesgos Formación a todos los implicados Conocimiento de la política de Seguridad de la Información Formación de directivos, empleados entre otros Preparación de presupuestos para todas las actividades de Gestión de Seguridad de la Información Crear concienciación de los problemas TI Configuración de un proceso eficaz frente a incidentes de Seguridad de la Información Planificación de costes de forma realista Introducir conceptos TI en los planes de formación Fijación de requisitos claros Garantía de eficiencia y mejora del Sistema de Gestión de Seguridad de la Información Elaboración de un sistema de indicadores 6
Cómo se desarrolla la Certificación? El Proceso de Certificación conforme a la ISO 27001 consta de dos fases. La Fase 1 de la auditoría sirve principalmente para conocer su empresa y su importancia para la seguridad. En la Fase 2 se comprueba el cumplimiento de cada unos de los requisitos de la norma. Fase I de la auditoría Fase II de la auditoría inicial de certificación Auditoría de mantenimiento Fase I de la auditoría: Ámbito de aplicación y alcance Comprensión y documentación Definición del grado de preparación para la certificación (Fase II) Fase II de la auditoría de certificación Comprobación de cumplimiento de los requisitos de la norma y su eficacia Visita a las instalaciones, verificación in situ y elaboración del informe Vigencia: Certificado para 3 años Auditoría anual Auditoría de mantenimiento Auditoría de renovación Entrega del Certificado y del Sello de Calidad de la Información una vez superada la Certificación. Un Certificado significa una visión de futuro Anuncie su éxito a sus empleados, proveedores, colaboradores y clientes. Haga publicidad de su empresa apoyándose en nuestra fuerte marca y mencione el valor añadido que le ofrece en su comunicación empresarial tanto interna como externa. Por ejemplo, en el marco de campañas de marketing. Incluya nuestro Sello de Calidad de la Información en su página Web, folletos, prospectos y artículos de papelería de su empresa. 7
www.tuev-sued.es Resumen En el mundo empresarial el tratamiento específico de la información adquiere cada vez un papel más importante. Sólo las personas autorizadas deben tener acceso siempre y en cualquier momento a la información disponible. Al mismo tiempo, también se tiene que tomar en consideración los requisitos a exigir a las partes externas, como clientes y autoridades, para tener acceso a la información. Sólo por medio de un procedimiento estructurado a través de un Sistema de Gestión de la Seguridad de la Información se cumplen todas las exigencias que afectan a una organización. Si este SGSI también lo audita y certifica un especialista externo, se abren nuevas posibilidades de marketing y comunicación gracias a nuestro sello de calidad de la información. TÜV SÜD Iberia, S.L.U. C/Frederic Mompou, 4A, 1 o 4 a 08960 Sant Just Desvern (Barcelona) España Tel: +34-93 490 22 20 Fax: +34-93 490 29 04 info@tuev-sued.es www.tuev-sued.es Mayo 2012/13 ES