2. Introducción
La información es el principal activo de muchas organizaciones y precisa ser protegida
adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio.
En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más
con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales
pueden dañar considerablemente tanto los sistemas de información como la información
procesada y almacenada.
Para proteger la información de una manera coherente y eficaz es necesario implementar un
Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una parte del sistema
global de gestión, basado en un análisis de los riesgos del negocio, que permite asegurar la
información frente a la pérdida de:
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
1
3. 1.1 Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC
27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y
mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera
intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de
información y sobre la propia información que se maneja en la organización. Nos permitirá
conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación
mejore.
4. 1.2 El ciclo de mejora continua
Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido
también como ciclo Deming), tradicional en los sistemas de gestión de la calidad (véase la figura 1.1).
• Plan. Esta fase se corresponde con establecer el SGSI.
• Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI.
• Check. Esta fase es la de monitorización y revisión del SGSI.
• Act. Es la fase en la que se mantiene y mejora el SGSI.
5. 1.3 Origen de la norma UNE-ISO/IEC
27001
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)
constituyen el sistema especializado para la normalización a nivel mundial. Los organismos
nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas
internacionales a través de comités técnicos establecidos por las organizaciones respectivas para
realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e
IEC colaboran en los campos de interés mutuo.
La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas
Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de
seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos
nacionales miembros de ISO e IEC.
6. 2
Comprender la Norma UNE-ISO/IEC
27001
La seguridad no es el resultado de un proceso, es un proceso en sí mismo. Se
conseguirá un nivel de seguridad aceptable en la medida en que este proceso
funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma
UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer,
implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una
organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se
obtienen los resultados esperados y, en función de esa evaluación, tomar
acciones para corregir las desviaciones detectadas o intentar mejorar la
situación, en este caso, la seguridad de la información. Y todo ello de una
manera ordenada y metódica, mediante un proceso.
7. 2.1 Requisitos generales del sistema de
gestión de la seguridad
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar
eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar
entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son
aprovechadas nuevamente como entradas, generando una realimentación.
Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las
organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta
la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una
organización solicite su conformidad con esta norma. Estos apartados son las que realmente
conforman el cuerpo principal de la norma:
• Sistema de gestión de la seguridad de la información.
• Responsabilidad de la dirección.
• Auditorías internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.
8. 2.1 Requisitos generales del sistema de
gestión de la seguridad
Lo que la norma reclama es que exista un sistema documentado:
9. 2.1 Requisitos generales del sistema de
gestión de la seguridad
El sistema constará de una documentación en varios niveles (véase la figura 2.1):
10. 2.2 Establecimiento y gestión del SGSI
La norma establece una serie de requisitos, que se detallan a continuación (véase la figura 2.2).
Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias,
necesidades y, por supuesto, los recursos disponibles. Debe recopilarse información sobre varios
aspectos, tales como a qué se dedica la organización, qué necesidades de seguridad precisa
teniendo en cuenta su actividad, y el ámbito en el que opera, así como las restricciones legales a
las que puede estar sujeta dicha actividad.
11. 2.2 Establecimiento y gestión del SGSI
Cuando una empresa decide adaptarse a esta norma (véase la figura 2.3 sig. filmina),
básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen
que ser documentadas, al finalizarlas, el SGSI contará ya con los siguientes documentos:
• Política de seguridad, que contendrá las directrices generales a las que se ajustará la
organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer
objetivos y líneas de actuación.
• Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los
propietarios y la valoración de tales activos.
• Análisis de riesgos, con los riesgos identificados basándose en la política de la organización
sobre seguridad de la información y el grado de seguridad requerido.
• Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de
los riesgos residuales.
• Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir
el nivel de riesgo residual aprobado por la dirección
13. 2.2 Establecimiento y gestión del SGSI
Definición del alcance del SGSI:
Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a
toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso
abarcar toda la organización.
Definición de la política de seguridad:
Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para
que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Esta política tendrá en
cuenta los requisitos del negocio, los contractuales y los legales y estatutarios que sean aplicables. Es
primordial incorporar en esta fase inicial las necesidades de la organización.
Identificación de los activos de información:
Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del
alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada
componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es
indispensable identificar qué activos son los que soportan los procesos de la organización.
Definición del enfoque del análisis de riesgos:
Hay que decidir cómo se enfocará el análisis de riesgos. El análisis de riesgos determinará las amenazas y
vulnerabilidades de los activos de información previamente inventariados.
14. 2.2 Establecimiento y gestión del SGSI
Cómo escoger la metodología del análisis de riesgos:
Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe
escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el
ejercicio se integrará sin problemas en el trabajo cotidiano
Tratamiento de los riesgos:
Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado
previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos:
• Mitigar el riesgo. • Transferir el riesgo a un tercero.
• Asumir el riesgo. • Eliminar el riesgo.
Selección de controles:
Norma UNE-ISO/IEC 27002. En caso necesario, se pueden añadir otros, pero esta lista de controles es un
sólido punto de partida para elegir las medidas de seguridad apropiadas para el SGSI, asegurando que
ningún aspecto o control importante se pasan por alto.
Gestión de riesgos:
Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las
medidas de seguridad implementadas y aquellas elegidas para hacerlo.
15. 2.2 Establecimiento y gestión del SGSI
Declaración de aplicabilidad:
El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir:
• Los objetivos de control y los controles seleccionado.
• Los objetivos de control y los controles actualmente implementados.
• La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la
justificación para dicha exclusión.
Implementación y puesta en marcha del SGSI:
Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las
actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
Si bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y
tamaño de la organización, en cualquier caso se ha de contar con la designación de:
• Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad.
• Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos
interdisciplinarios y apruebe directrices y normas.
Control y revisión del SGSI:
La revisión del SGSI forma parte de la fase del Check(comprobar) del ciclo PDCA. Hay que controlar y revisar
el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
16. 2.2 Establecimiento y gestión del SGSI
Mantenimiento y mejora del SGSI:
La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco
lo es. Por lo tanto, sería un grave error considerar que una vez analizados los riesgos y definidas las
medidas para reducirlos se haya terminado el trabajo.
17. 4. El inventario de activos.
5. Los procedimientos y controles de apoyo
al SGSI.
6. El análisis del riesgo.
2.3. Requisitos de documentación
Generalidades:
El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las
políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido
como resultado de estas decisiones y del análisis de riesgos.
◘ Por ello es necesario tener documentado:
1. La política y los objetivos del
SGSI.
2. El alcance del SGSI.
3. Una descripción de la
metodología de análisis del riesgo.
18. 10. Los procedimientos necesarios para
la implementación de los controles y para
asegurarse de que se cumplan los
objetivos..
2.3. Requisitos de documentación
◘ Por ello es necesario tener documentado:
7. El plan de tratamiento del
riesgo.
8. La declaración de aplicabilidad.
9. Los registros requeridos por la
norma.
19. 2.3. Requisitos de documentación
Control de documentos:
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan
unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías,
cambios, autorizaciones de acceso, permisos temporales, bajas, etc.).
Control de registros:
Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del
SGSI. Con ellos se puede verificar el cumplimiento de los requisitos.
Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la
dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de
cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante
de la dirección.
La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las
siguientes tareas:
• Establecer la política del SGSI.
• Asegurar que se establecen los objetivos y planes del SGSI.
• Asignar los roles y las responsabilidades para la seguridad de la información.
20. 2.3. Requisitos de documentación
• Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la
información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la
necesidad de la mejora continua.
• Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI.
• Decidir los criterios de aceptación de los riesgos.
• Verificar que se realizan las auditorías internas del SGSI.
• Dirigir la gestión de las revisiones del SGSI.
21. 2.4. Compromiso de la dirección
Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la
dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de
cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante
de la dirección.
La dirección debe comprometerse de manera evidente con el establecimiento, implementación, puesta en
marcha, monitorización, revisión, mantenimiento y Guía de aplicación de la Norma UNE-ISO/IEC 27001
sobre seguridad en sistemas de información para pymes mejora del SGSI. La forma en la que se plasma
este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas:
• Establecer la política del SGSI.
• Asegurar que se establecen los objetivos y planes del SGSI.
• Asignar los roles y las responsabilidades para la seguridad de la información.
• Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la
información
• Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI.
• Decidir los criterios de aceptación de los riesgos.
• Verificar que se realizan las auditorías internas del SGSI.
• Dirigir la gestión de las revisiones del SGSI.
22. 2.5. Gestión de los recursos
Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar
por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario
para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y
mejorar el SGSI.
Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del
sistema, puesto que conservar el nivel de seguridad que aporta el SGSI sólo puede lograrse comprobando
regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los
requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las
acciones oportunas para corregir errores y mejorar el sistema.
Capítulo aparte merece la gestión de los recursos humanos. Este punto es uno de los factores críticos de
éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI.
372
23. 2.6 Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes
para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y,
en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para
satisfacerlas (por ejemplo, la contratación de personal competente).
Como cualquier otra actividad, requiere una planificación, así como verificar que se cumplen los objetivos
y mantener los registros de educación, formación y cualificación de los empleados.
Independientemente de la formación, el personal estará concienciado de la importancia de las
actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la
aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en
consecuencia los de la organización. En la medida que seamos capaces de formar al personal y
concienciarlo de que
24. 2.7 Auditorías internas
Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías
internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año.
Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay
que fijarse en:
• El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el
tiempo y los recursos que habrá que destinar para efectuar la auditoría.
• Los criterios de la auditoría.
• El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte).
• La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la
organización debe ser auditada.
• Los métodos que se van a utilizar para hacer las auditorías.
Las auditorías internas sirven para determinar si los objetivos, los controles y los procedimientos son
conformes con los requisitos aplicables (los de la propia norma, los de negocio, los legales, los de
seguridad, etc.), así como el grado de implementación que tienen, si se están aplicando bien y si los
resultados obtenidos son los esperados.
25. 2.8 Revisión por la dirección
La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y
eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado
únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte
integral del proceso de gestión del negocio de la organización.
Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del
SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir
sobre las posibles soluciones.
◘ Entradas a la revisión: Los resultados de la revisión deben ser documentados para proporcionar
evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de
mejora. Las entradas a la revisión pueden ser:
• Los resultados de las auditorías y las revisiones del SGSI.
• Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes.
26. 2.8 Revisión por la dirección
• Técnicas, productos o procedimientos que podrían ser empleados en la organización para mejorar el
funcionamiento y la efectividad del SGSI.
• El estado de las acciones preventivas y correctivas.
• Las vulnerabilidades o amenazas que no se han tratado adecuadamente en análisis de riesgos
anteriores.
• Los resultados de las métricas de efectividad.
• Las acciones de seguimiento de anteriores revisiones por la dirección.
• Cualquier cambio que pudiera afectar al SGSI.
• Recomendaciones para la mejora.
◘ Salidas de la revisión: Los resultados de la revisión pueden ser de varios tipos:
• Identificación de acciones para mejorar la efectividad del SGSI.
• Actualización de la evaluación y la gestión de riesgos.
• Modificación de los procedimientos y controles que afectan a la seguridad de la información para
ajustarse a incidentes o cambios.
27. 2.9 Mejora continua
La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los
requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora
es continuo.
◘ Acción correctiva: La acción correctiva se define como la tarea que se emprende para corregir una no
conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la
información.
◘ Acción preventiva: Las acciones preventivas se aplican para evitar la aparición de futuras no
conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede
decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorías internas o externas,
del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que
pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas:
• Los resultados de la revisión por la dirección.
• Los resultados de los análisis de incidencias y objetivos.
• Los registros.
• El personal.