La cooperativa de servicio “IP Comunicaciones“ (IPCom), tiene como finalidad el Suministro, Instalación, Mantenimientos y Desarrollo de Proyectos llave en mano en todo lo que respecta a las áreas de Telecomunicaciones e Informática y afines; en toda el área del territorio Nacional.

domingo, julio 30, 2006

ISO 27000: orden a la seguridad

La nueva serie ISO 27000 es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI), que propone requerimientos de sistemas de gestión de seguridad de la información, gestión de riesgo, métricas y medidas, guías de implantación, vocabulario y mejora continua. De esta serie ya se mencionan seis normas, encabezada por la ISO 27001 la cual ya fue liberada, esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".

  • La ISO 27002 está en fase de desarrollo, es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información, esta norma no es certificable.
  • La ISO 27003 se estima que se publique en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act: Tomado del ciclo de calidad de Edwards Deming) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.
  • La ISO 27004 será publicada probablemente en Noviembre de 2006. Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase "Do" (Implementar y Utilizar) del ciclo PDCA.
  • La ISO 27005 consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.
  • Finalmente la ISO 27006 especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.

A continuación hablaremos en detalle del estándar publicado, ISO 27001, su estructura, beneficios y riesgos:

ISO 27001

Este estándar fue desarrollado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI teniendo en cuenta la política, estructura organizativa, las políticas, procedimientos y los recursos de la empresa.

La norma está dividida en:

  • Introducción.
  • Aplicación.
  • Normativas de Referencia.
  • Términos y Definiciones.
  • Sistema de Gestión de la Seguridad de la Información.
  • Responsabilidades de la Administración.
  • Auditoría Interna de SGSI.
  • Administración de las revisiones del SGSI.
  • Mejoras.
  • Anexo A que contiene un resumen de controles.
  • Anexo B que provee una guía de los principios de OCDE (Administración de Riesgos de Sistemas de Información y Redes).
  • Anexo C que contiene una tabla de correspondencia con la ISO 9001 y 14001.
  • Y finalmente la documentación a considerar (Normas y publicaciones de referencia).

El SGSI de la ISO 27001 le permite prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias, garantizando la continuidad del negocio.

La norma responde a la aplicación del modelo PDCA (Plan-Do-Check-Act) de mejora continua también existente en otras normas. La aplicación del proceso PDCA en el SGSI conforma un modelo de gestión de riesgos que guía la estrategia del Corporate Governance, incluyendo la gestión de riesgos de negocios. De hecho, bajo el esquema común del modelo PDCA, la ISO 27001 también ofrece un interesante alineamiento con otras normas también de sistemas de gestión, como la ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente, lo que se traduce en reducción de esfuerzos y costos en una implementación integrada.

Entre los principales beneficios de la implementación de ésta norma se tiene:

  • Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada.
  • Reducción de riesgos de pérdida, robo o corrupción de la información.
  • Los clientes tienen acceso a la información de manera segura, lo que se traduce en confianza.
  • Los riesgos y sus respectivos controles son revisados constantemente.
  • Las auditorías externas permiten identificar posibles debilidades del sistema.
  • Continuidad en las operaciones del negocio tras incidentes de gravedad.
  • Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información.
  • Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática.
  • Proporciona confianza y reglas claras al personal de la empresa.
  • Provee la seguridad como una ventaja competitiva para las empresas que realizan operaciones de comercio electrónico.
  • Aporta grandes beneficios para los bancos que requieren reducir riesgos operacionales, introducido por el Nuevo Acuerdo de Capitales Basilea II.
  • Es consistente con lo establecido en regulaciones como la Ley Sarbanes-Oxley.

Para su implementación se debe entre otros pasos:

  • Determinar primero el alcance del proyecto (si es completo, o un servicio, o un área, etc.) y una Política General.
  • Realizar un inventario de activos de información.
  • Evaluación de riesgos y plan de tratamiento de los mismos (cuya metodología no establece la ISO 27001).
  • Realización de auditoría basada en los controles de la norma ISO 17799, la cual permite determinar los controles que deben implementarse.

Entre los factores de éxito de la implementación de la norma se tiene:

  • La creación de cultura de seguridad en el personal
  • Realización de comités de dirección con el objetivo de tomar acciones de mejoras
  • Crear un sistema de gestión de incidencias donde los usuarios puedan reportar incidentes
  • Monitoreo constante de los incidentes.
  • Revisión periódica del nivel de riesgo residual, del propio SGSI y de su alcance.
  • La seguridad debe ser una actividad continua.
  • La seguridad debe ser inherente a los proceso de informática y del negocio.
  • Realización de auditorias internas.

Finalmente en la implementación del estándar existen ciertos riesgos entre los cuales podemos mencionar:

  • Exceso de tiempos de implantación.
  • Temor al cambio.
  • Definición poco clara del alcance.
  • Discrepancias en los comités de dirección.
  • Calendarios de planes que no puedan ser cumplidos.
  • Falta de comunicación de los progresos al personal de la organización.

Fuente: PC-News

Technorati : ,
Del.icio.us : ,

1 Comentarios:

Blogger José Manuel Fernández dijo...

Hola amigos:

Como es un tema que me gusta, aprovecho su entrada para hacer las siguientes consideraciones sobre la misma, la cual proviene de una fuente que bien han determinado en su post.

Fundamentalmente de la enumeración de normas que se hace en el artículo, falta la ISO 27000 que es la encomendada a vocabulario, conforme otras familias normativas orientadas a la gestión como ISO 9000. Se prevé la aparición de más normas dentro de la familia ISO 27000, sobre todo tras la reunión del SC 27 en Madrid hace relativamente poco.

ISO 27002 es la actual ISO 17799, está en fase de desarrollo el cambio en la denominación del estándar básicamente. La Norma ISO 27004 es una norma muy esperada dentro del mundillo de la gestión de seguridad de la información. Básicamente es para ver qué nos cuentan acerca de las métricas / indicadores para el SGSI. Con la salida a escena de BS 7799-3 y las distintas metodologías de Risk Assessment y Risk Management, no se espera tanto la salida de ISO 27005.

Respecto de ISO 27006 se está a la espera de la formalización de votos para el documento de trabajo que compondrá la misma. El voto español se espera para septiembre de 2006 según propios componentes del Grupo de Trabajo de ENAC (Entidad de Acreditación Española) y vendrá a establecer el marco de referencia internacional.

Actualmente se trabajo con EA-7/03 y con adaptaciones para SGSI de EN 45012.

Se dice en la entrada que ISO 27001 fue desarrollado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI, pero hay que añadir que la finalidad fundamental fue la de aunar criterios para el establecimiento de requisitos para un SGSI según normativa internacional, pues estándares tan sólidos como BS 7799-2 han venido haciendo la misma tarea desde mediados de la década de los 90.

Hay que hacer otra puntualización, y es que la aplicación del ciclo PDCA al SGSI no conforma un modelo de gestión de riesgos. El modelo de gestión de riesgos es seleccionado por la organización y no es especificado de forma unívoca por el estándar. La aplicación del ciclo PDCA al SGSI, lo que proporciona es un marco de actuación para la mejora continua del SGSI, y que a su vez proporciona entradas para el proceso de Gestión del Riesgo. Son dos cosas distintas.

También hay que hacer otra aclaración en uno de los principales beneficios aportados. Al hablar de que las auditorías externas permiten identificar posibles debilidades del sistema, es un argumento correcto pero incompleto ya que se echa de menos el aporte en el mismo sentido de las auditorías internas, las cuales alinean aún más otro de los beneficios, como es el de concienciación del personal o toma de conciencia. Habría que hablar de ‘auditorías’.

Un correcto y bien implantado SGSI incrementa el nivel de concienciación del personal con respecto a la gestión de la seguridad, no respecto a los tópicos de seguridad informática. Un tópico de seguridad informática es: utilizar Firefox en lugar de Explorer. El implantar un SGSI no incrementa el nivel de concienciación del personal respecto del uso de Firefox. Lo que se busca en sí es una implicación y toma de conciencia con las prácticas más apropiadas de cara a minimizar el riesgo de las operaciones del personal.

Respecto de los pasos para implementación, la auditoría se basa en los requisitos de ISO 27001 y no sólo en los controles de la norma ISO 17799, lo cual constituye sólo parte del alcance de la auditoría.

Entre los factores de éxito de la implementación falta el más importante, que es el compromiso de la alta dirección con el proyecto. Si ese compromiso, puede desistirse de la implementación de un SGSI o de cualquier otro sistema de gestión en la organización.

Una vez dicho esto, felicitarles por tratar este tema y poner a su disposición mi blog ISO 27001 para cualquier intercambio de experiencias que puedan aportar o necesitar.

Saludos.

José Manuel Fernández
Blog ISO 27001

5:28 p. m.

 

Publicar un comentario

<< Home