Claves de la Norma ISO 27001 para la Seguridad de la Información Empresarial

Norma UNE-ISO/IEC 27001: Sistema de Gestión de la Seguridad de la Información

La norma UNE-ISO/IEC 27001 define los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Incluye un "Código de buenas prácticas para la gestión de la seguridad de la información" (Anexo A), que establece las pautas a seguir para gestionar la seguridad de la información de forma adecuada y completa.

Función y Objetivos del SGSI

Es importante comprender que la seguridad total no es posible al cien por cien; incluso destinando amplios recursos económicos y materiales, no se puede garantizar una seguridad absoluta. La función principal de un SGSI consiste en asegurar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización. Este proceso debe ser documentado, sistemático, estructurado, repetible, eficiente y adaptable a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. Un SGSI requiere actualización constante y mejora continua de los sistemas y la gestión de la seguridad.

El Ciclo PDCA en el SGSI

El SGSI se basa en el ciclo de mejora continua PDCA (Plan-Do-Check-Act):

• Plan (Planificar): Establecer el SGSI (definir política, alcance, objetivos, procesos, metodología de riesgos).
• Do (Hacer): Implementar y operar el SGSI (ejecutar los planes, aplicar tratamientos de riesgos y controles).
• Check (Verificar): Monitorizar y revisar el SGSI (medir eficacia, realizar auditorías internas, revisar por la dirección).
• Act (Actuar): Mantener y mejorar el SGSI (tomar acciones correctivas y preventivas basadas en los resultados de la verificación).

Componentes Clave del SGSI

Política de Seguridad

La política de seguridad debe reflejar claramente la postura de la organización respecto a la seguridad de la información. Define los objetivos generales que se pretenden conseguir, contempla los requisitos legales y reglamentarios aplicables y demuestra el compromiso de la dirección para alcanzar dichos objetivos.

Alcance del SGSI

Como otros sistemas de gestión, el SGSI se aplica a un alcance determinado. Es fundamental definir con precisión los servicios, procesos, actividades, departamentos, etc., a los que aplica el SGSI. Se debe prestar especial atención a las oficinas o instalaciones físicas incluidas, el entorno tecnológico y las características específicas del negocio.

Análisis de Riesgos

Es imprescindible definir una metodología de evaluación de riesgos apropiada para el SGSI y los requerimientos del negocio. Esta metodología debe incluir el establecimiento de criterios de aceptación del riesgo y la especificación de los niveles de riesgo aceptables. Un aspecto primordial es que los resultados obtenidos mediante esta metodología sean comparables y repetibles.

Jerarquía de Documentación y Responsabilidad

• Nivel Estratégico (Responsabilidad de la Dirección): Define la Política de Seguridad.
• Nivel Táctico (Responsabilidad de Mandos Intermedios): Desarrolla los Procedimientos.
• Nivel Operativo (Responsabilidad de Usuarios): Sigue las Instrucciones de Trabajo, aplica Controles y utiliza Herramientas.

Nota: Los Registros de la Operación alimentan el Plan de Acción para la mejora continua.

Plan de Gestión de Riesgos

Tras realizar el análisis, la organización debe tomar decisiones sobre cómo tratar cada uno de los riesgos identificados. Estas decisiones se plasman en un plan de gestión de riesgos (también conocido como plan de tratamiento de riesgos). Es crucial tener en cuenta que de cada riesgo se derivan requisitos o necesidades de seguridad específicas.

Selección de Objetivos de Control y Controles

Una vez definido el plan de tratamiento de riesgos, que identifica las acciones a implementar, se seleccionan los objetivos de control y los controles específicos (a menudo basados en el Anexo A de la norma ISO 27001) para cubrir los requisitos de seguridad derivados de la evaluación y tratamiento de riesgos.

Declaración de Aplicabilidad (SoA)

La selección de los controles aplicables se documenta formalmente en la Declaración de Aplicabilidad (SoA - Statement of Applicability). Este documento recoge, para cada objetivo de control y control (generalmente los del Anexo A), las razones de su selección o exclusión del SGSI en el contexto específico de la organización. Es muy importante justificar por qué ciertos controles son aplicables (y cómo se implementan) y por qué otros no lo son, teniendo en cuenta el tipo de negocio, la estructura organizativa, el personal, las infraestructuras, etc.

Revisión por la Dirección y Mejora Continua

El SGSI debe revisarse regularmente por la dirección. Esta revisión debe atender al cumplimiento de la política y los objetivos del SGSI, los resultados de las auditorías de seguridad (internas y externas), la gestión de incidentes, los resultados de las mediciones de eficacia de los controles, y las sugerencias y observaciones de todas las partes interesadas. Es fundamental recordar que el proceso no termina con la implantación del sistema y la posible certificación; el SGSI debe mejorarse continuamente para mantener su eficacia y adecuación.

Resumen del Proceso de Implantación y Documentación Asociada

• Definir Política de Seguridad: Genera los Documentos de Política.
• Establecer Alcance del SGSI: Define el documento de Alcance del SGSI.
• Realizar Análisis de Riesgos: Requiere un Inventario de Activos y produce el Informe de Análisis de Riesgos.
• Gestionar los Riesgos: Resulta en el Plan de Tratamiento de Riesgos y las conclusiones sobre riesgos residuales.
• Seleccionar los Controles: Se documenta en la Declaración de Aplicabilidad (SoA) y la relación de controles seleccionados.
• Implantar los Controles: Implica la ejecución de los planes y la generación de Registros.