Este documento trata sobre la norma ISO 27001 sobre seguridad de la información, la Ley de Protección de Datos (LOPD) y cómo estas normas se integran con otras. Explica brevemente los conceptos clave de seguridad de la información como confidencialidad, integridad y disponibilidad. También describe los beneficios que las empresas obtienen al certificarse con ISO 27001, como demostrar el compromiso con la seguridad de la información y cumplir con los requisitos legales como la LOPD.
1. Seguridad de la Información ISO
27000, LOPD y su integración con
otras normas
Jornada - Seminario
“ISO 27001:05 Sistema de Gestión de Seguridad
de la Información”
2. seguro, ra.
(Del lat. secūrus).
1. adj. Libre y exento de todo peligro, daño
o riesgo.
2. adj. Cierto, indubitable y en cierta
manera infalible.
3. adj. Firme, constante y que no está en
peligro de faltar o caerse.
4. adj. No sospechoso.
5. m. Seguridad, certeza, confianza.
13. Información
• La información, junto a los procesos y
sistemas que hacen uso de ella, es un
activo vital para el éxito y la continuidad
en el mercado de cualquier organización,
y debe se protegida adecuadamente
14. Ciclo de vida
• La información puede ser:
– Creada
– Guardada
– Destruida
– Procesada
– Transmitida
– Utilizada (con fines adecuados e inadecuados)
– Corrompida
– Robada
– Perdida
15. Tipos de
información
• Impresa o escrita en papel
• Guardada electrónicamente
• Transmitida por correo o medio
electrónicos
• En videos corporativos
• Publicada en la web
• Verbal – en conversación
16. Información
• Conjunto de datos organizados en poder
de una entidad que posean valor para la
misma, independientemente de la forma
en que se guarde o transmita, de su
origen o de la fecha de elaboración
17. Seguridad de
la Información
• “Preservación de la confidencialidad,
integridad y disponibilidad de la
información; además, también pueden
estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-
repudio y confiabilidad”
(ISO/IEC 27001)
18. Seguridad de
la información
• Confidencialidad
– Información es accesible solo a usuarios
autorizados
• Integridad
– Exactitud e integridad de la información y de los
métodos de proceso
• Disponibilidad
– Asegurar que los usuarios autorizados tengan
acceso a la información y recursos asociados
cuando requeridos
19. Seguridad de
la información
• En la gestión efectiva de la seguridad
debe tomar parte activa toda la
organización, con la gerencia al frente,
tomando en consideración también a
clientes y proveedores de bienes y
servicios.
20. Seguridad de
la información
• El modelo de gestión de la seguridad debe
contemplar unos procedimientos
adecuados y la planificación e
implantación de controles de seguridad
basados en una evaluación de riesgos y
en una medición de la eficacia de los
mismos.
22. ¿Qué es la norma ISO
27001?
Es un estándar ISO que proporciona un modelo
para establecer, implementar, utilizar,
monitorizar, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la
Información (SGSI). Se basa en un ciclo de vida
PDCA (Plan-Do-Check-Act; o ciclo de Deming) de
mejora continua, al igual que otras normas de
sistemas de gestión (ISO 9001 para calidad, ISO
14001 para medio ambiente, etc.).
23. ¿Cuál es el origen de ISO
27001?
Su origen está en la norma de BSI (British
Standards Institution) BS7799-Parte 2,
norma que fue publicada por primera vez
en 1998 y ya era un estándar certificable
desde entonces. Tras la adaptación
pertinente, ISO 27001 fue publicada el 15
de Octubre de 2005.
24. ¿Qué aporta la ISO 27001 a la
seguridad de la información de
una empresa?
Aplica una arquitectura de gestión de la
seguridad que identifica y evalúa los riesgos que
afectan al negocio, con el objetivo de implantar
contramedidas, procesos y procedimientos para
su apropiado control y mejora continua. Ayuda a
la empresa a gestionar de una forma eficaz la
seguridad de la información, evitando las
inversiones innecesarias, ineficientes o mal
dirigidas que se producen para contrarrestar
amenazas sin una evaluación previa.
25. ¿Qué tipo de empresas se
están certificando en ISO
27001?
El estándar se puede adoptar por la mayoría de los
sectores comerciales, industriales y de servicios de
pequeñas, medianas o grandes entidades y
organizaciones: finanzas, aseguradoras,
telecomunicaciones, servicios públicos, minoristas,
sectores de manufactura, industrias de servicios diversos,
sector del transporte y gobiernos entre otros. En la
actualidad destaca su presencia en empresas dedicadas a
servicios de tecnologías de la información, como prueba
del compromiso con la seguridad de los datos de sus
clientes.
26. ¿Es ISO 27001 compatible
con ISO 9001?
ISO 27001 ha sido redactada de forma análoga a otros
estándares, como ISO 9001 (Calidad), ISO 14001 (Medio
Ambiente) y OHSAS 18001 (prevención de riesgos), con el
objetivo, entre otros, de facilitar a las organizaciones la
integración de todos ellos en un solo sistema de gestión.
La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001 con ISO 900 e ISO 14001 y
sus semejanzas en la documentación necesaria para
facilitar la integración.
27. ¿Quién certifica a mi
empresa en ISO 27001?
Una entidad de certificación acreditada, mediante una
auditoría. Esta entidad establece el número de días y
auditores necesarios, puede realizar una pre-auditoría (no
obligatoria) y lleva a cabo una auditoría formal. Si el
informe es favorable, la empresa recibirá la certificación.
28. ¿Alguien puede obligarme
a certificarme en ISO
27001?
Como obligación legal, a día de hoy, no. Sin embargo, como en
toda relación comercial, el cliente puede exigir a su proveedor
ciertas condiciones previas para ser considerado siquiera como
opción de contratación. Hay administraciones públicas que están
empezando a exigir certificados de este tipo a las empresas que
quieran acceder a concursos públicos de productos o servicios
relacionados con sistemas de información. Igualmente, es
previsible que empresas privadas comiencen en algún momento a
exigírselo a sus proveedores siempre que vaya a haber algún tipo
actividad relacionada con información sensible.
29. Implantación de Sistemas de
Gestión de Seguridad de la
Información
La norma ISO 27001 permite a las empresas
certificar su Sistema de Gestión de Seguridad de
la Información (SGSI). Obtener esta
certificación supone decir a sus clientes,
empleados y proveedores que se preocupa por la
Gestión de la Seguridad de la Información y que
presta un servicio de calidad reconocido a través
de un certificado. Nuestro equipo le ayudará a
implantar la norma ISO 27001 y obtener el
certificado correspondiente.
30. Implantación de Sistemas de
Gestión de Seguridad de la
Información
•Definición de las políticas, procedimientos y
controles a implantar.
•Establecimiento de las políticas, procedimientos
y controles.
•Cumplimiento de los requerimientos del SGSI.
•Capacitación técnica y capacitación orientada a
la toma de conciencia.
•Análisis, verificación y auditoria para la
certificación según ISO 2700
31. Ventajas derivadas de la implantación
de la ISO 27001 - Sistemas de
Seguridad de la Información
La implantación de un Sistema de Seguridad de
Sistemas de la Información garantiza la fiabilidad
de la información y de los sistemas de la
información, la confidencialidad, la integridad y
disponibilidad de la información, todo ello es
fundamental para el mantenimiento de la
competitividad, la liquidez, la rentabilidad y la
imagen comercial de las organizaciones.
32. Ventajas derivadas de la implantación
de la ISO 27001 - Sistemas de
Seguridad de la Información
Cuando una empresa ha implantado la norma ISO
27001, le resulta de gran ayuda para el
cumplimiento de la LOPD. Con la implantación de
un SGSI se mejora la gestión a nivel corporativo
y aumenta la garantía para las partes interesadas,
tales como inversores, clientes, consumidores y
proveedores
33. Ventajas derivadas de la implantación
de la ISO 27001 - Sistemas de
Seguridad de la Información
•Una Auditoria de seguridad es una fuente clave de
información para el conocimiento de seguridad de una
empresa
•Demuestra un compromiso inequívoco de los órganos de
dirección de la empresa con el sistema de gestión de la
seguridad de la información, además del cumplimiento de
los requisitos legales, reglamentarios y contractuales.
•Mejora de la gestión a nivel corporativo y garantía para las
partes interesadas, tales como inversores, clientes,
consumidores y proveedores.
34. Ventajas derivadas de la implantación
de la ISO 27001 - Sistemas de
Seguridad de la Información
•Mediante un adecuado análisis de riesgos, se identifican
las posibles amenazas contra los activos, se evalúan las
vulnerabilidades y su posibilidad de ocurrencia y se
estiman los posibles impactos, de tal manera que su
inversión se destina allí donde es necesario.
•Proporciona la oportunidad de una mejora continua.
•Supone un mejora en la operatividad de la empresa