Introducción
Esta norma ha sido elaborada para brindar
un modelo para el establecimiento, implementación, operación, seguimiento,
revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la
información (SGSI). La adopción de un SGSI debería ser una decisión estratégica
para una organización. El diseño e implementación del SGSI de una organización
están influenciados por las necesidades y objetivos, los requisitos de
seguridad, los procesos empleados y el tamaño y estructura de la organización.
Se espera que estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se
espera que la implementación de un SGSI se ajuste de acuerdo con las
necesidades de la organización, por ejemplo, una situación simple requiere una
solución de SGSI simple. Esta norma se puede usar para evaluar la conformidad,
por las partes interesadas, tanto internas como externas.
Diferencias en la estructura de ISO 27001:2005, ISO 27001:2012 e ISO 27001:2013.
Alcance del SGSI
El alcance
describe la extensión y los límites del SGSI, por lo que puede encontrarse
definido en términos de los activos de información, la ubicación física, las
unidades organizaciones, las actividades o procesos de mayor importancia para
la empresa, es decir, se trata de la selección de los elementos críticos que se
deben proteger.
Es necesario
definir el alcance siendo un requisito descrito en la cláusula 4.3 ISO/IEC
27001 2013, por lo que las características de dicho requisito con la intención
de dejar claro todo lo que resulta de interés para el sistema de gestión,
se relaciona con las actividades esenciales, es decir, las que permiten cumplir
con la misión y los objetivos generales de la empresa.
Es la primera
decisión importante que se debe considerar, ya que determina de forma exacta lo
que se encuentra protegido por la empresa y la magnitud de los
recursos necesarios para la implantación y la operación del sistema de
gestión. Cuando se define, el alcance debe encontrase disponible como
información documentada. Es necesario que se revisen los
diferentes requisitos que establece la norma ISO 27001.
La organización y su contexto
El estándar
establece que la empresa tiene que determinar los límites y aplicabilidad
del SGSI para definir su alcance, dicho proceso, se tiene que considerar
según factores externos e internos referidos a la empresa y su contexto. Es
decir, se deben conocer los elementos relevantes para los propósitos de la
empresa que afectan a la capacidad de conseguir los
resultados esperados con relación al SGSI.
Los elementos
internos, son cuestiones que se consideran dentro de la empresa y que se
encuentran bajo el control de la misma, como puede ser la misión, visión y
objetivos, el gobierno y estructura organizacional, roles y responsabilidades
según la política, los objetivos y las estrategias, siendo el proceso o niveles
de madurez de las partes interesadas entre otros.
Por otro lado,
los factores externos no son controlables por las actividades que se
realizan dentro de la empresa, y entre ellos, se encuentran el mercado laboral
y la competencia, siendo prácticas de la industria, leyes y regulaciones,
ambiente político y financiero, además de todas las condiciones culturales y
sociales, partes interesadas externas, entre otros factores.
La identificación de los elementos permite conocer todas las
características de la organización y el ambiente en el que se consiguen los
objetivos.
Necesidades y expectativas de las partes interesadas
Los requisitos
de los estándares establecen que el alcance debe ser considerado por las
necesidades y las expectativas de las partes interesadas. Las partes
interesas son todos los individuos, grupos o empresas que generen un beneficio
o perjuicio que se encuentra relacionado con los intereses y las actividades de
la empresa.
Las partes
interesadas pueden ser internas o externas, además deben considerarse como
elementos importantes para la planificación del SGSI, ya que en ocasiones
pueden incluir requisitos legales o reglamentarios, además de las obligaciones.
Entre las partes
interesadas con el sistema de gestión puede incluirse diferentes roles dentro
de la empresa, entre ellos, directores, empleados, dueños de procesos o jefes
de áreas. Las partes interesadas varían de una empresa a otra, y se
encuentra directamente relacionadas con las actividades primordiales. Algunas
partes interesadas externas pueden ser:
Proveedores
Clientes
Usuarios
Acreedores
Gobiernos
Sociedad
Otros
En un sentido
amplio, una parte interesada debe ser la entidad o persona que se beneficia de
la efectiva seguridad de la información según el SGSI, y en sentido
opuesto, quien puede verse afectado si se presenta algún accidente de seguridad
de la información, es decir, la lista no se encuentra limitada.
Por esto, la
empresa tiene que definir todas las partes interesadas que son relevantes para
el sistema de gestión y los requisitos de las partes
interesadas siendo relevantes en la seguridad de la información, así como
las expectativas de seguridad.
Interfaces de las actividades de la empresa
Como parte de la
definición del alcance se describe en los diferentes requisitos del estándar,
se tienen que identificar todos los interfaces y las dependencias entre
actividades desempeñadas por la empresa, y aquellas que se lleva a cabo por las
empresas.
Una manera de
abordar la definición del alcance es mediante el enfoque de procesos, por lo
que la empresa necesita identificar los procesos que soportan las
actividades críticas, además de los puntos por lo que interactúan entradas y
salidas de los procesos.
Para definir las
interfaces, se puede tratar de identificar los diferentes puntos finales que se
encuentran bajo control. Son límites lógicos, como la red local o los
límites físicos, como pueden ser inmuebles u oficinas. Otro enfoque para la
identificación de las interfaces mediante la interacción de las personas,
los procesos y la tecnología.
Alcance del SGSI: entre los límites y la aplicabilidad
Por lo que, la
definición de alcance permite conocer la aplicabilidad y los límites para
la protección de la informacióny otros activos, ahí la importancia de su
declaración en la implementación de las medidas de seguridad. Esto no supone
que se realicen otras actividades o iniciativas de seguridad que se deben descartar
por que se encuentra fuera del alcance.
Por el
contrario, las actividades pueden contribuir para que el alcance puede estar
conforme a la criticidad de los procesos, unidades físicas o activos de
información que tienen que estar protegidos, pero con un mayor alcance. Es
necesario utilizar muchos más recursos y más esfuerzos para cumplir con los
diferentes requisitos de seguridad en la empresa.
Modelo PHVA aplicado a los procesos de SGSI
Proceso
PHVA
|
Descripción
|
Planificar: Establecer el SGSI
|
Establecer la política, los objetivos,
procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y
mejorar la seguridad de la información con el fin de entregar resultados
acordes con las políticas y objetivos globales de una organización.
|
Hacer: Implementar y operar el
SGSI
|
Implementar y operar la política, los
controles, procesos y procedimientos del SGSI
|
Verificar: hacer seguimiento y revisar
el SGSI
|
Evaluar, y, en donde sea aplicable,
medir el desempeño del proceso contra la política y los objetivos de
seguridad y la experiencia práctica y reportar los resultados a la dirección
para su revisión.
|
Actuar: Mantener y mejorar el SGSI
|
Emprender acciones correctivas y
preventivas con base en los resultados de la auditoria interna del SGSI y la
revisión por la dirección para lograr la mejora continua.
|
¿QUÉ INCLUYE UN SGSI?
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1
Manual de seguridad: por analogía con el
manual de calidad, aunque el término se usa también en otros ámbitos. Sería el
documento que inspira y dirige todo el sistema, el que expone y determina las
intenciones, alcance, objetivos, responsabilidades, políticas y directrices
principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel
operativo, que aseguran que se realicen de forma eficaz la planificación,
operación y control de los procesos de seguridad de la información.
Documentos de Nivel 3
Instrucciones, checklists y formularios:
documentos que describen cómo se realizan las tareas y las actividades
específicas relacionadas con la seguridad de la información.
Documentos de Nivel 4
Registros: documentos que proporcionan una
evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados
a documentos de los otros tres niveles como output que demuestra que se ha
cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que
un SGSI debe estar formado por los siguientes documentos (en cualquier formato
o tipo de medio):
•
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,
incluyendo una identificación clara de las dependencias, relaciones y límites
que existen entre el alcance y aquellas partes que no hayan sido consideradas
(en aquellos casos en los que el ámbito de influencia del SGSI considere un
subconjunto de la organización como delegaciones, divisiones, áreas, procesos,
sistemas o tareas concretas).
•
Política y objetivos de seguridad: documento de contenido genérico que
establece el compromiso de la dirección y el enfoque de la organización en la
gestión de la seguridad de la información.
•
Procedimientos y mecanismos de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI.
•
Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo
se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de
ocurrencia e impactos en relación a los activos de información contenidos
dentro del alcance seleccionado), desarrollo de criterios de aceptación de
riesgo y fijación de niveles de riesgo aceptables.
•
Informe de evaluación de riesgos: estudio resultante de aplicar la metodología
de evaluación anteriormente mencionada a los activos de información de la
organización.
• Plan de tratamiento de riesgos: documento
que identifica las acciones de la dirección, los recursos, las responsabilidades
y las prioridades para gestionar los riesgos deseguridad de la información, en
función de las conclusiones obtenidas de la evaluación de riesgos, de los
objetivos de control identificados, de los recursos disponibles, etc.
• Procedimientos documentados: todos los
necesarios para asegurar la planificación, operación y control de los procesos
de seguridad de la información, así como para la medida de la eficacia de los
controles implantados.
•
Registros: documentos que proporcionan evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
•
Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación Para los documentos generados se debe establecer,
documentar, implantar y mantener un procedimiento que defina las acciones de
gestión necesarias para:
•
Aprobar documentos apropiados antes de su emisión.
•
Revisar y actualizar documentos cuando sea necesario y renovar su validez.
• Garantizar que los cambios y el estado
actual de revisión de los documentos están identificados. • Garantizar que las
versiones relevantes de documentos vigentes están disponibles en los lugares de
empleo.
• Garantizar que los documentos se
mantienen legibles y fácilmente identificables.
• Garantizar que los documentos permanecen
disponibles para aquellas personas que los necesiten y que son transmitidos,
almacenados y finalmente destruidos acorde con los procedimientos aplicables
según su clasificación.
•
Garantizar que los documentos procedentes del exterior están identificados.
• Garantizar que la distribución de
documentos está controlada.
•
Prevenir la utilización de documentos obsoletos.
•
Aplicar la identificación apropiada a documentos que son retenidos con algún
propósito.
Estudiantes de la Universidad Autonoma de Occidente.
Maryory Vanessa Rodriguez.
Andrés Felipe Umenza Ospina.
