|
Autor del artículo
|
Colaboración
| |
JOSE
LUIS COLOM PLANAS
|
MARGARITA PARDO DE
SANTAYANA C.
| |
Actualizado
|
19 de diciembre de 2013
|
|
ÍNDICE.
1. OBJETIVOS A GARANTIZAR POR UN SGSI
2. OBJETIVO DE OBLIGADO CUMPLIMIENTO3. NORMAS ISO MÁS CONOCIDAS RESPECTO TI
4. HOJA DE RUTA PARA LA IMPLANTACIÓN DE UN SGSI
4.3. Requisitos de la documentación
4.4. Las pymes que se inician
5. BIBLIOGRAFÍA CONSULTADA
6. DERECHOS DE AUTOR
1. OBJETIVOS A GARANTIZAR POR UN SGSI.
Existen diferentes objetivos que debe garantizar un SGSI (Sistema de Gestión de la Seguridad de la Información) para ser eficaz:
DISPONIBILIDAD: Garantizar que la información esté disponible y se pueda usar cuando se necesite.
CONFIDENCIALIDAD: Garantizar que la información esté disponible
exclusivamente para personas autorizadas.
INTEGRIDAD: Garantizar que la información sea completa, precisa y protegida contra
cambios no autorizados.
AUTENTICIDAD: Garantizar la confiabilidad en la generación de
información y en el intercambio de ésta entre ubicaciones diferentes.
TRAZABILIDAD: Garantizar que se pueda determinar en qué momento, quién hizo qué.
CUMPLIMIENTO: Garantizar que se adecúe a la legislación vigente, como puede ser la LOPD
(Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de carácter
personal) y el RLOPD (Real Decreto 1720/2007, de 21 de Diciembre, su Reglamento de aplicación). Todo SGSI debe cumplir con la legislación vigente.
2. OBJETIVO DE OBLIGADO CUMPLIMIENTO.
De todos los objetivos expuestos, únicamente el último
es de obligado cumplimiento, al ampararse en una Ley Orgánica.
Las tres normas más conocidas que incluyen SI, son:
- ISO/IEC
20000-1:2011, cuyo objetivo es certificar el SGS (Sistema de
Gestión de Servicios) de una empresa, que incluya políticas y un marco de trabajo
orientado a procesos, para hacer posible una efectiva gestión e implementación
de todos los servicios.
Se basa en el ciclo PDCA de mejora continua y se
inspira en las mejores prácticas de ITIL.
Es de carácter general, y por consiguiente solamente
habla de seguridad en el apartado “6.6 Gestión de la Seguridad de la
Información”.
Define como objetivo, gestionar la seguridad de la
información de manera eficaz para todas las actividades del servicio.
- ISO/IEC
27001:2013, cuyo objetivo es certificar el SGSI (Sistema de
Gestión de la Seguridad de la Información) de una empresa, especificando los
requisitos para la creación, implementación, funcionamiento, supervisión,
revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los
riesgos empresariales generales.
- ISO 22301:2012, cuyo objetivo es certificar el SGCN (Sistema de
Gestión de la Continuidad del Negocio). Ha sido publicada recientemente.
4. HOJA DE RUTA PARA LA IMPLANTACIÓN DE UN SGSI.
4.1. DEFINIR EL ALCANCE.
Antes de implementar un SGSI, lo
primero que tenemos que hacer es definir es el alcance. Deben identificarse
todos los activos y valorarse junto a los riesgos asociados para que se puedan
categorizar, relacionándolos con los diferentes procesos del negocio que
soportan, centrándonos en los más importantes.
Es absurdo pretender abarcarlo todo
de entrada, dado que el esfuerzo necesario conducirá al desánimo primero y al
fracaso después. No olvidemos que se trata de un sistema basado en la mejora
continua y que por tanto deberá ir evolucionando y perfeccionándose con el paso
del tiempo.
Ya que hemos mencionado que los
objetivos de CUMPLIMIENTO son los únicos obligatorios, una idea es empezar
integrando el SGSI con las medidas de seguridad que establece el RLOPD
(Reglamento de aplicación de la LOPD: Real Decreto 1720/2007 de 21 de
Diciembre) y que deben estar reflejadas en el DOCUMENTO DE SEGURIDAD
preceptivo.
Dicho documento debe estar siempre actualizado y a disposición de posibles inspecciones por parte de la AEPD, para comprobar que se protegen adecuadamente los datos de carácter personal.
En cualquier caso y como paso previo,
al margen del obligado cumplimiento legislativo, deberíamos analizar las
necesidades del negocio con respecto a la SI (Seguridad de la Información),
para así poder determinar de forma óptima objetivos y alcance, incluyendo el
valor que podrían aportar a la empresa las certificaciones mencionadas.
4.2. ¿CÓMO LOGRAR UN SGSI CONFORME A LA ISO27001?
Para lograr un SGSI conforme a la ISO 27001, debe seguirse el siguiente esquema u hoja de ruta:
· Definir los objetivos del proyecto y la política de
seguridad.
·
Establecer un sistema de gestión de la documentación.
·
Definir el alcance del SGSI.
·
Desarrollar el inventario de activos.
·
Efectuar un análisis diferencial (optativo).
·
Efectuar un análisis de riesgos.
·
Obtener un plan de tratamiento de riesgos.
·
Elaborar la declaración de Aplicabilidad.
·
Definir registros y procedimientos.
·
Implementar procedimientos y controles.
·
Establecer un programa de formación y concienciación.
·
Planificar intervalos para las auditorías internas y
la revisión del SGSI por la Dirección.
·
Estudiar las oportunidades de mejora y solucionar las
“no conformidades” obtenidas de las auditorías.
Una vez definido el alcance del SGSI, a través de la gestión
de cambios hay que llevar este alcance de una situación de inseguridad,
hacia una nueva situación de seguridad.
Mediante el análisis diferencial, que se realiza en poco tiempo, podemos:
·
Detectar áreas de carencia evidentes.
·
Conocer el nivel de madurez de los controles de
seguridad en la empresa.
·
Permite identificar acciones de mejora, sin esperar al
análisis de riesgos.
El análisis diferencial es optativo ya que la norma ISO 27001 no lo exige, pero es una buena práctica. Debe basarse en:
·
Los Controles de Gestión de la norma ISO 27001
(apartados 4 a 8).
·
Los Controles de Seguridad de la norma ISO 27002 o
Anexo A de la norma ISO 27001.
Todas las recomendaciones del Análisis Diferencial
deben estar apoyadas en evidencias.
El Análisis de Riesgos consiste en identificar
todos los casos posibles dentro del alcance del SGSI, donde los tres
componentes:
·
Amenazas
·
Vulnerabilidades
·
Activo
pueden materializarse en un impacto para la
empresa, pudiendo producir pérdidas de:
·
Confidencialidad
·
Disponibilidad
·
Integridad
de la información que deseamos proteger.
A Continuación hay que atribuir a cada riesgo un valor
que nos permitirá tomar decisiones. De esta manera podemos:
·
Clasificar o priorizar todos los riesgos.
·
Establecer criterios o umbrales que puedan convertir
un riesgo en asumible, en cuyo caso no haremos nada o en no asumible, lo
que implicará tratarlo.
Dicha información se reflejará en un documento llamado
Plan de Tratamiento de Riesgos o también nombrado como Plan Director de Seguridad.
Una vez dicho plan de tratamiento de riesgos es aprobado por la Dirección,
es cuando elaboramos la Declaración de Aplicabilidad, que debe incluir:
·
Los objetivos de control y los controles seleccionados con las
justificaciones de su elección.
·
Los objetivos de control y los controles actualmente implementados.
·
La exclusión de cualquier objetivo de control y control del anexo A de la
norma, con la justificación de dicha exclusión.
Deben implementarse todos los controles según la Declaración de Aplicabilidad y definirse el modo de medir la su
eficacia. Debe especificarse como deben
usarse las mediciones para evaluar la eficacia de los controles, para poder
producir unos resultados comparables y reproducibles.
Debe implementarse en la empresa un programa de formación y de
concienciación dirigido a todo el personal sin excepción, y otro más específico
a los que tengan relación directa con el SGSI.
Se implementarán procedimientos y otros controles que permitan una
detección temprana de eventos de seguridad y una rápida respuesta ante
cualquier incidente de seguridad.
Deben realizarse auditorías internas del SGSI en intervalos planificados,
igual que una revisión con carácter regular por parte de la Dirección, para
asegurar que el ámbito de aplicación sigue siendo adecuado y que se identifican
mejoras del proceso del SGSI.
Evidentemente deben registrarse las acciones e incidencias que pudieran
afectar a la eficacia o al funcionamiento del SGSI. A partir de ellas deberán
actualizarse los planes de seguridad, teniendo también en cuenta las
conclusiones de las actividades de supervisión y revisión en base a las
auditorías.
NOTA DEL EDITOR: Para profundizar sobre las auditorías internas, puede consultarse un
artículo específico en este mismo Blog:
4.3. REQUISITOS DE LA DOCUMENTACIÓN.
Los documentos exigidos por el SGSI deben estar protegidos y controlados.
Debe establecerse un procedimiento documentado para gestionarlos.
Se considerará su revisión, actualización, aprobación, control de
versiones, política de acceso y conservación, distribución, retirada de
obsoletos. . .
La documentación deberá incluir:
·
Declaraciones documentadas de la política de Seguridad de la Información.
· Alcance del SGSI / Objetivos.
·
Los procedimientos y mecanismos de control que soportan el SGSI.
·
Una descripción de la metodología de evaluación de riesgos.
·
El informe de evaluación de riesgos.
·
El plan de tratamiento de riesgos.
·
Los procedimientos documentados que necesita la empresa para aplicar el
SGSI.
·
Los registros requeridos por la norma.
·
La declaración de aplicabilidad.
4.4. LAS PYMES QUE SE INICIAN.
Las pymes que no
dispongan hasta la fecha de un SGSI, pueden contemplar la posibilidad de
empezar con la gestión de las medidas de seguridad y procedimientos que establece el RLOPD y una
vez estabilizado dicho sistema, ir abarcando mayor alcance dentro de la
empresa, hasta conseguir un completo SGSI.
NOTA DEL
EDITOR: Como introducción didáctica a la LOPD y para obtener la hoja de ruta necesaria
para la adecuación de una empresa a dicha Ley Orgánica, puede consultarse el
material de la ponencia específica, que se presentó en el “hotel Palace” de
Barcelona:
ADECUAR UNA EMPRESA A LA LOPD
5. BIBLIOGRAFÍA CONSULTADA.
- Cristina Merino y Ricardo Cañizares. “Implantación
de un SISTEMA de GESTIÓN de SEGURIDAD de la INFORMACIÓN según ISO 27001”. FC
Editorial 2011.
- AENOR. “UNE-ISO/IEC 27001: 2008 ;
Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos”.
- ISO cpyright office. “ISO/IEC 27002 –
Code of practice for information security management”. 2005.
- AENOR. “UNE 71501-1 ; Parte 1:
Conceptos y modelos para la seguridad de TI”.
- AENOR. “UNE 71501-3 ; Parte
3: Técnicas para la gestión de la seguridad de TI”.
6. DERECHOS DE AUTOR.
Todas las
imagines bajo licencia 123RF Internacional o extraídas de los documentos
referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.
La presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee
un doble perfil, jurídico y técnico, que le facilita el desempeño profesional
en el ámbito de los diferentes marcos normativos, especialmente del Derecho de
las nuevas tecnologías y las normas ISO de adscripción voluntaria.
Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.
También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.
También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Colaboración
| ||
MARGARITA PARDO DE SANTAYANA C.
| ||
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.