Este documento describe los requisitos para establecer un sistema de gestión de seguridad de la información de acuerdo con la norma UNE-ISO/IEC 27002. Incluye la necesidad de realizar un análisis de riesgos, seleccionar controles, documentar políticas y procedimientos, realizar auditorías internas y revisiones por la dirección, e implementar acciones correctivas y preventivas para la mejora continua.

1. Administracion
Publica y Politica
Informatica

3. Cuerpo principal de la norma:
• Sistema de gestión de la seguridad de
la información.
• Responsabilidad de la dirección.
• Auditorías internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.

4. El sistema constará de una
documentación en varios niveles:
• Políticas, que proporcionan las guías generales de
actuación en cada caso.
• Procedimientos, que dan las instrucciones para
ejecutar cada una de las tareas previstas.
• Registros, que son las evidencias de que se han
llevado a cabo las actuaciones establecidas.

5. Documentación requerida para
establecer la norma:
• Política de seguridad: Contendrá las directrices
generales a las que se ajustará la organización en
cuanto a seguridad, así como la estrategia a seguir a
la hora de establecer objetivos y líneas de actuación.
• Inventario de activos: Detallar los activos dentro del
alcance del SGSI, así como los propietarios y la
valoración de tales activos.

6. • Análisis de riesgos: Con los riesgos identificados
basándose en la política de la organización sobre
seguridad de la información y el grado de
seguridad requerido.
o Nota: Las decisiones de la dirección respecto a los
riesgos identificados, así como la aprobación de los
riesgos residuales.
• Documento de aplicabilidad: La relación de los
controles que son aplicables para conseguir el nivel
de riesgo residual aprobado por la dirección.

8. Establecimiento del SGSI:
• Definición del alcance: Hay que evaluar los recursos
que se pueden dedicar al proyecto y si realmente es
preciso abarcar toda la organización.
• Definición de la política de seguridad: Decidir qué
criterios se van a seguir, estableciendo las principales
líneas de acción que se van a seguir para que la
confidencialidad, la integridad y la disponibilidad
queden garantizadas.
• Definición del enfoque del análisis de riesgos: El
análisis de riesgos determinará las amenazas y
vulnerabilidades de los activos de información
previamente inventariados.

9. • Identificación de los activos de información: El SGSI va a
proteger los activos que queden dentro del alcance definido,
por eso es vital listarlos todos, lo cual no significa que haya que
detallar cada componente de los sistemas de información y
cada documento que se maneje en la empresa, pero si es
indispensable identificar que activos son los que soportan los
procesos de la organización.
• Escoger la metodología del análisis de riesgos: Identificar los
riesgos que pueden afectar a la organización y a sus activos de
información. Hay que saber cuales son los peligros a los que se
enfrenta la empresa, los puntos débiles, para poder solucionar
de manera efectiva los problemas, insistiendo con mas recursos
y esfuerzos en los temas que mas lo necesitan.

10. •Tratamiento de los riesgos:
o Mitigar el riesgo: Mediante la implementación de
controles que disminuyan el riesgo hasta un nivel
aceptable.
o Asumir el riesgo: La dirección tolera el riesgo, ya que
esta por debajo de un valor de riesgo asumible o bien
porque no se puede hacer frente razonablemente a ese
riesgo
o Transferir el riesgo a un tercero: Asegurando el activo
que tiene el riesgo o subcontratando el servicio. Aun asi,
evidenciar que la responsabilidad sobre el activo
permanece siempre en manos de la organización.
o Eliminar el riesgo: Aunque no suele ser la opción mas
viable, ya que puede resultar complicado o costoso.

11. • Selección de controles: La norma especifica que los
controles deben ser seleccionados de entre los listados
en el anexo A de la propia norma, es decir, los que la
Norma UNE-ISO/IEC 27002 contiene. En caso necesario,
se pueden añadir otros, pero esta lista de controles es
un solido punto de partida para elegir las medidas de
seguridad apropiadas para el SGSI, asegurando que
ningún aspecto o control importante se pasan por alto.
• Gestión de riesgos: El valor del riesgo obtenido será el
riesgo actual, en función del que se determina el riesgo
asumible por la organización, y se deciden las nuevas
estrategias y acciones para reducir los riesgos que estén
por encima de ese valor.

12. •La preparación de una declaración
de aplicabilidad, debe incluir:
oLos objetivos de control y los controles
seleccionados, con las razones de esta selección.
oLos objetivos de control y los controles
actualmente implementados, con una justificación.
oLa exclusión de cualquier control objetivo del
control y de cualquier control en el anexo A y la
justificación para dicha exclusión.

13. • Implementación y puesta en marcha del SGSI: Para poner
en marcha el SGSI la dirección tiene que aprobar la
documentación desarrollada en las actividades detalladas en
el punto anterior y proveer los recursos necesarios para
ejecutar las actividades.
• Control y revisión del SGSI: Forma parte de la fase del Check
(comprobar) del ciclo PDCA. Hay que controlar y revisar el
SGSI de manera periódica para garantizar la conveniencia,
adecuación y eficacia continuas del sistema.
• Mantenimiento y mejora del SGSI: Un sistema de gestión
debe mantenerse y mejorarse en lo posible para que resulte
efectivo. El mantenimiento incluye el detectar mejoras e
implementarlas, aprender de los defectos y errores
identificados, y aplicar acciones correctivas y preventivas
donde sea apropiado.

14. Requisitos de documentación:
• Generalidades: El SGSI debe contar con la documentación
necesaria que justifique las decisiones de la dirección, las
políticas y las acciones tomadas y que se pueda demostrar
que los controles seleccionados lo han sido como resultado
de estas decisiones y del análisis de riesgos.
• Control de documentos: Los documentos requeridos por el
SGSI deben hallarse protegidos y controlados, por lo que se
precisan unos procedimientos de control de documentación,
de revisión y de registro (informes, auditorías, cambios,
autorizaciones de acceso, permisos temporales, bajas, etc.).
• Control de registros: Los registros son aquellos documentos
que proporcionan evidencia de la realización de actividades
del SGSI. Con ellos se puede verificar el cumplimiento de los
requisitos. Los registros estarán protegidos y controlados
teniendo en cuenta cualquier requisito de tipo legal,
reglamentario u obligación contractual.

15. • Compromiso de la dirección: Uno de los requisitos fundamentales para
poner en marcha un SGSI es contar con el compromiso de la dirección,
no sólo por ser uno de los epígrafes contemplados en la norma, sino
porque el cambio de cultura y concienciación que genera el proceso sería
imposible de sobrellevar sin el compromiso constante de la dirección. El
desarrollo, la implementación y el mantenimiento del SGSI exigen un
esfuerzo organizativo.
• Gestión de los recursos: Hay que contar con las diversas tareas que
implica el funcionamiento, la verificación y la mejora del sistema, puesto
que conservar el nivel de seguridad que aporta el SGSI sólo puede
lograrse comprobando regularmente que los procedimientos de
seguridad están alineados con el negocio, que cumplen con los requisitos
legales, que los controles están correctamente implementados y que se
llevan a cabo las acciones oportunas para corregir errores y mejorar el
sistema.
• Formación: La norma exige que todos los trabajadores con
responsabilidades definidas en el SGSI sean competentes para efectuar
las actividades necesarias. Esto significa que hay que definir las
competencias necesarias y, en función de tales necesidades,
proporcionar la formación a la plantilla o adoptar otras acciones para
satisfacerlas

16. • Auditorías internas: Una de las herramientas mas interesantes
para controlar el funcionamiento del SGSI son las auditorias
internas. Estas auditorias deben programarse y prepararse
regularmente, normalmente una vez al ano. Esta programación
se recogerá en el plan de auditorias.
• Revisión por la dirección: La dirección debe revisar el SGSI de
manera periódica para garantizar la conveniencia, adecuación y
eficacia continuas del sistema. El proceso de revisión por la
dirección no debería ser un ejercicio ejecutado únicamente para
cumplir los requisitos de la norma y de los auditores, sino que
debería ser una parte integral del proceso de gestión del negocio
de la organización.
• Mejora continua: La mejora continua es una actividad recurrente
para incrementar la capacidad a la hora de cumplir los requisitos.
El proceso mediante el cual se establecen objetivos y se
identifican oportunidades de mejora es continuo. Es un punto
fundamental en cualquier sistema de gestión según las normas
ISO. Este concepto también es crucial en todos los modelos de
mejora de procesos o negocio que existen.

17. Acciones de la Mejora Continua:
• Acción correctiva: La acción correctiva se define como la tarea
que se emprende para corregir una no conformidad
significativa con cualquiera de los requisitos del sistema de
gestión de seguridad de la información. Localizado el
problema debe determinarse la relación causa-efecto,
considerando todas las causas posibles.
• Acción preventiva: Las acciones preventivas se aplican para
evitar la aparición de futuras no conformidades. Son acciones
encaminadas a eliminar la causa de una posible no
conformidad. En una acción preventiva se determina la posible
fuente de problemas con el objeto de eliminarla.