Continuamos con este pequeño manual sobre el estandar ISO-27001.
La siguiente terminología aplica a esta norma:
Recurso (Asset): Cualquier cosa que tenga valor para la organización.
Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.
Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.
Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.
Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.
Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información.
Sistema de administración de la seguridad de la información (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información.
Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.
Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
Aceptación de riesgo: Decisión de aceptar un riesgo.
Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.
Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.
Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
ACLARACIÓN AJENA A LA NORMA: En definitiva la Evaluación del riesgo, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a Análisis y Valoración, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial.
Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización.
Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo.
Declaración de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organización del ISMS.
ISMS (Information Security Managemet System).
Requerimientos generales:
La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA comentado en el punto 0.2.
Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para:
Responsabilidades de administración:
La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:
Formación, preparación y competencia:
La organización asegurará que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación, guías y programas de formación y preparación).
Recurso (Asset): Cualquier cosa que tenga valor para la organización.
Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.
Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.
Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.
Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.
Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información.
Sistema de administración de la seguridad de la información (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información.
| Nota:el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. |
Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.
Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
Aceptación de riesgo: Decisión de aceptar un riesgo.
Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.
Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.
Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
ACLARACIÓN AJENA A LA NORMA: En definitiva la Evaluación del riesgo, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a Análisis y Valoración, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial.
Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización.
Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo.
| Nota:el término control en esta norma es empleado como sinónimo de Medida o medición. |
Declaración de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organización del ISMS.
| Nota:Estos controles están basados en los resultados y conclusiones de la valoración y los procesos de tratamiento de riesgo, los requerimientos y regulaciones legales, las obligaciones contractuales y los requerimientos de negocio para la seguridad de la información que defina la organización. |
ISMS (Information Security Managemet System).
Requerimientos generales:
La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA comentado en el punto 0.2.
Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para:
- Aprobar documentos y prioridades o clasificación de empleo.
- Revisiones, actualizaciones y reaprobaciones de documentos.
- Asegurar que los cambios y las revisiones de documentos sean identificados.
- Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.
- Asegurar que los documentos permanezcan legibles y fácilmente identificables.
- Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificación.
- Asegurar que los documentos de origen externo sean identificados.
- Asegurar el control de la distribución de documentos.
- Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificación para poder acceder a ellos y que queden almacenados para cualquier propósito
Responsabilidades de administración:
La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:
- Establecimiento de la política del ISMS
- Asegurar el establecimiento de los objetivos y planes del ISMS.
- Establecer roles y responsabilidades para la seguridad de la información.
- Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.
- Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS (5.2.1).
- Decidir los criterios de aceptación de riesgos y los niveles del mismo.
- Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan a la administración para la revisión del ISMS (ver 7.)
Formación, preparación y competencia:
La organización asegurará que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas, para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación, guías y programas de formación y preparación).
Alejandro Corletti Estrada