1. ESCUELA DE INGENIERÍA
FACULTAD DE INGENIERÍA
DE SISTEMAS
AUDITORIA DE SISTEMAS
TITULO:
“Estándares ISO 27001”
Estándares 27001
ESTUDIANTE:
Ticerán López, Christopher
DOCENTE:
ING.CIP CARLOS CHÁVEZ MONZÓN
ING.
CICLO:
VIII
CHIMBOTE-PERÚ
CHIMBOTE
2009
2. Auditoria de Sistemas
Estandares ISO 27001 implementado en
Auditoria de Sistemas
El estándar para la seguridad de la información ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems -
Requirements) fue aprobado y publicado como estándar internacional en Octubre
)
de 2005 por International Organization for Stand
Standardization y por la comisión
International Electrotechnical Commission
Commission.
ISO 27001 es una norma internacional, que establece requisitos relacionados con
los Sistemas de Gestión de Seguridad de la Información que permite a una
organización evaluar sus riesgos e implantar los controles adecuados para
mantener la confidencialidad, integridad y disponibilidad de sus activos de
información.
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene
los requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
2:2002
auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición
2,
para aquellas empresas certificadas en esta última. En su Anexo A, enumera en
última.
forma de resumen los objetivos de control y controles que desarrolla la ISO
27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007),
para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI;
s
a pesar de no ser obligatoria la implementación de todos los controles
enumerados en dicho anexo, la organización deberá argumentar sólidamente la no
aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de
2007, esta norma está publicada en España como UNE ISO/IEC 27001:2007 y
á UNE-ISO/IEC
puede adquirirse online en AENOR. Otros países donde también está publicada
.
en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en
Argentina
inglés y la traducción al francés pueden adquirirse en ISO.org.
Especifica los requisitos necesarios para establecer, implantar, mantener y
implantar,
mejorar un Sistema de Gestión de la Seguridad de la Información.
INGENIERÍA DE SISTEMAS Página 2
3. Auditoria de Sistemas
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele
tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en
seguridad de la información y el alcance, entendiendo por alcance el ámbito de la
organización que va a estar sometido al Sistema de Gestión de la Seguridad de la
Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda
de consultores externos.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos
para un sistema de gestión de la seguridad de la información (SGSI). La norma se
ha concebido para garantizar la selección de controles de seguridad adecuados y
a
proporcionales.
INGENIERÍA DE SISTEMAS Página 3
4. Auditoria de Sistemas
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de información y sus procesos de trabajo a las exigencias de las
normativas legales de protección de datos (p.ej., en España la conocida LOPD y
sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de
21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que
Datos
hayan realizado un acercamiento progresivo a la seguridad de la información
mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una
posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de
po
todas las áreas de la organización que se vean afectadas por el SGSI, liderado por
la dirección y asesorado por consultores externos especializados en seguridad
informática, derecho de las nuevas tecnologías protección de datos (que hayan
tecnologías,
realizado un máster o curso de especialización en la materia) y sistemas de
gestión de seguridad de la información (que hayan realizado un curso de
implantador de SGSI).
La información tiene una importancia fundamental para el funcionamiento y quizá
incluso sea decisiva para la supervivencia de la organización. El hecho de
disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger
sus valiosos activos de información
información.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera
de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque
por procesos para establecer, implementar, operar, supervisar, revisar, mantener y
mejorar un SGSI.
¿Para quién es significativo?
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o
pequeña, de cualquier sector o parte del mundo. La norma es particularmente
interesante si la protección de la información es crítica, como en finanzas, sanidad
sector público y tecnología de la información (TI).
ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la
información por encargo de otros, por ejemplo, empresas de subcontratación de
TI. Puede utilizarse para garantizar a los clientes que su información está
garantizar
protegida.
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las
siguientes ventajas a la organización:
• Demuestra la garantía independiente de los controles internos y cumple los
requisitos de gestión corporativa y de continuidad de la actividad
comercial.
• Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicación.
INGENIERÍA DE SISTEMAS Página 4
5. Auditoria de Sistemas
Proporciona una ventaja competitiva al cumplir los requisitos contractuales
na
y demostrar a los clientes que la seguridad de su información es
primordial.
• Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que
gestionados
formaliza los procesos, procedimientos y documentación de protección de
la información.
• Demuestra el compromiso de la cúpula directiva de su organización con la
seguridad de la información.
• El proceso de evaluaciones periódicas ayudan a supervisar continuamente
el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las
recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran
estas ventajas.
ISO 27001 - un marco de Cumplimiento Normativo
ISO 27001 también puede ayudar a crear un marco que ayuda a las ventas del
crear
Reino Unido y los departamentos de marketing cumplir con el Reglamento de
Telecomunicaciones 1998 (protección de datos y de privacidad). Aparte de la Ley
de Protección de Datos de 1998, todas las organizaciones del Reino Unido debe
cumplir con la Ley de abuso de la informática 1990, la Ley de Derechos Humanos
de 1998, el Reglamento de la Ley de Facultades Investigadora 2000 y el Derecho
de Autor, Diseños y Patentes Ley 1988. Las organizaciones del sector público del
Reino Unido que, además, cumplir con la Freedom of Information Act 2000.
ISO 27001 es el paso esencial para efectuar y demostrar el cumplimiento de
esta legislación.
También hay relaciones claras entre la ISO 27001 y las recomendaciones de la
elaciones
Información de Seguridad de las Directrices de la OCDE de 2002 y el papel del
Comité de Basilea "buenas prácticas para la Gestión y Supervisión del Riesgo
Operativo".
En los Estados Unidos, los requisitos reglamentarios y el cumplimiento de
impuestos, por ejemplo, la Ley Gramm
Gramm-Leach-Bliley Act (GLBA), la Health
Bliley
Insurance Portability and Availability (HIPAA), el californiano SB 1386 y la Ley de
Protección en Línea personales como Bueno, por supuesto, como la Ley
ínea
Sarbanes-Oxley (SOX) y la Federal de Seguridad de Información de Gestión Ley,
Oxley
son mejor atendidas mediante el desarrollo de un sistema de información de
gestión de seguridad que está integrado, global y ampliamente reconocido
incorpora las mejores prácticas. Esto es precisamente lo que establece la ISO
27001.
INGENIERÍA DE SISTEMAS Página 5
6. Auditoria de Sistemas
Requisitos para la certificación
ISO / IEC 27001 se escribe como una especificación formal de tal manera que
están destinados los auditores de certificación acreditado para poder utilizar la
norma como una descripción formal de los temas que sus clientes deben tener
para ser certificadas conformes. Pues sí especificar ciertos documentos
obligatorios de forma explícita . Sin embargo, en otros ámbitos es más vaga y, en
la práctica, los documentos son comúnmente exigido, incluyendo algunos
tica,
elementos que proporcionan los auditores de las pruebas o la prueba de que el
SGSI está en funcionamiento. El siguiente diagrama (tomado de la guía ISO27k)
muestra en ¿Qué etapas del proceso de ISO27k implementación típica de la
mayoría de los documentos que se producen normalmente:
INGENIERÍA DE SISTEMAS Página 6
7. Auditoria de Sistemas
ISO 27001: ¿Hacia un cumplimiento obligatorio?
Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de
gestión de Seguridad de la Información. Desde su publicación en 2005, año en
que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC
BS 2
27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el
import
ajetreado mundo de la certificación.
Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser
certificable, es un compendio de recomendaciones para aquellos que se enfrentan
a la ingente -y exigente- tarea de implementar un Sistema de Gestión de
y exigente
Seguridad de la Información (SGSI).
No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de
implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el
ampliamente conocido estándar que establece los requisitos de un sistema de
los
Gestión de la Calidad: ISO 9001.
Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si
se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no
estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.
9001,
Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera
publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las
empresas que operan en el mercado dependen ya de una manera absoluta de la
manera
información, parece lógico pensar que ISO 27001 va a ir ganando peso
progresivamente tanto en organizaciones de carácter público como en la empresa
privada.
En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se
convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto,
o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero
también es cierto que empezamos a ver ciertos signos indicativos de que quizás
no estemos hablando de un futuro tan lejano.
ablando
Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas
recordemos,
prácticas y no el estándar certificable- es de uso obligatorio en todas las
certificable
instituciones públicas desde el año 2004, fijando así un estándar para la las
operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina
Nacional de Gobierno Electrónico e Informática – ONGEI.
Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento
obligatorio para algunos sectores. Es el caso de los operadores de información,
que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos
al cumplimiento del estándar.
INGENIERÍA DE SISTEMAS Página 7
8. Auditoria de Sistemas
Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO
27001 en el lugar que le corresponde, debido al importante papel que puede
corresponde,
desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en
cuanto a gestión de riesgos se refiere.
Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la
Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting
Información,
Council (FRC), el regulador británico al que las empresas de ese país que cotizan
en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores
presidido por Douglas Flint, de HSBC Hold
Holdings Plc.
La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas
prácticas de control interno para empresas británicas cotizadas en bolsa,
publicadas por primera vez en 1999. Con las observaciones realizadas por el
grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta
có
actualización refuerza la importancia del control interno y la gestión de riesgos en
el gobierno corporativo de las empresas.
Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy
resul
familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el
estándar en gestión de Seguridad de la Información, no se limita a gestionar los
sistemas de información de las organizaciones, sino que va bastante más allá.
Supone todo un examen del proceso o procesos que pretendemos certificar,
obteniendo un conocimiento exhaustivo del mismo.
Esa exhaustividad proviene de la identificación y valoración de los activos de la
organización, y del análisis de riesgos correspondiente, que nos ap
aportará luz sobre
los controles que debemos aplicar para mitigar los riesgos detectados.
Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito
de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto
de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott
rnance,
L Mitchell, del think tank estadounidense Open Compliance & Ethics Group
(OCEG). Este concepto supone superar el de responsabilidad social corporativa,
integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad
cumplimiento
de la Información.
Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la
Información pasaría a convertirse en algo tan intrínseco a las empresas como lo
es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene
pendiente la Seguridad de la Información para hacerse un hueco en la empresa y
quedarse para siempre.
Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el
Informe Anual 2008 del IT Policy Compliance Group, con el título Improving
del
Business Results and Mitigating Financial Risk. Según los datos que recoge el
INGENIERÍA DE SISTEMAS Página 8
9. Auditoria de Sistemas
informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de
las Tecnologías de la Información superan la media de ingresos en un 17%, que
Información-
se traduce en un 13,8% más de beneficios.
Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando
posiciones en su particular carrera por equipararse al estándar de calidad ISO
9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por
convertirse en un estándar cuya certificación las empresas obtendrán no sólo para
mejorar la seguridad de su información, sino también para incrementar sus
resultados y, por supuesto, para estar en el mercado. Un mercado que para
mercado.
entonces habrá madurado lo suficiente como para marginar a aquellas
organizaciones que no se tomen muy en serio la seguridad de sus activos de
información.
Áudea Seguridad de la Información Manuel Díaz San Pedro Consultor de
Seguridad.
FASES
INGENIERÍA DE SISTEMAS Página 9
10. Auditoria de Sistemas
ISO / IEC 27001, por medio de certificaciones ~ 1.000 por año
Un número de organismos de certificación acreditados por organismos nacionales
de normalización (como la British Standards Institution y el Instituto Nacional de
Ciencia y Tecnología) para examinar el cumplimiento de la norma ISO / IEC 27001
y expedir certificados. Más de 5.600 organizaciones en todo el mundo ya han sido
certificados conformes con la norma ISO / IEC 27001 o equivalente variantes
nacionales:
El gráfico muestra el número cada vez mayor de la norma ISO / IEC 27001
certificados informado por el sitio Ted Humphrey ISO27001certificates.com de los
últimos años. Ted rutinariamente recibe y recopila información sobre la norma
ISO / IEC 27001 certificados expedidos por organismos de certificación en todo el
mundo.
INGENIERÍA DE SISTEMAS Página 10