Último artículo de este pequeño manual sobre el estandar ISO-27001.
Auditoría interna del ISMS:
La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él.
La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento (Ver: Procedimiento de Revisión del ISMS - Periódicas y aperiódicas Administración de las revisiones del ISMS:
Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al año para asegurar su vigencia, adecuación y efectividad. Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos. Los resultados de estas revisiones, como se mencionó en el punto anterior serán claramente documentados y los mismos darán origen a esta actividad. Esta actividad está constituida por la revisión de entradas (7.2.) y la de salidas (7.3.) y dará como resultado el documento correspondiente (Ver: Documento de administración de las revisiones del ISMS). 8. Mejoras al ISMS Análisis de ISO-27001:205 Alejandro Corletti Estrada Página 9 de 12 La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración. Acciones correctivas:
La organización llevará a cabo acciones para eliminar las causas que no estén en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos. Cada una de estas acciones correctivas deberá ser documentada (Ver: Documento de acciones correctivas)
El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan agrupados y numerados de la siguiente forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de OECD (guía de administración de riesgos de sistemas de información y redes - París, Julio del 2002, www.oecd.org) y su correspondencia con el modelo PDCA. Por último el Anexo C, también informativo, resume la correspondencia entre esta norma y los estándares ISO 9001:2000 y el ISO 14001:2004
DOCUMENTACIÓN A CONSIDERAR:
A continuación se presenta un listado de los documentos que se deben considerar como mínimo y sobre los cuales el estándar hacer referencia. Dentro de cada uno de ellos, se especifica brevemente algunas consideraciones y los puntos desde donde son referenciados en la norma. Estos documentos son:
Debe incluir:
Ámbito y límites del ISMS en términos de características del negocio, la organización, ubicaciones, recursos y tecnologías empleadas y también detalles y justificaciones para cualquier exclusión fuera del mismo, como se especifica en 1.2.
Definición de la política de este ISMS, en los mismos términos anteriores y teniendo en cuenta:
Definición de la Valoración de riesgo de la organización:
Identificar la metodología de valoración de riesgo, la información de seguridad identificada de la empresa y los requerimientos y regulaciones legales.
Desarrollar un criterio para la aceptación de riesgo y los diferentes niveles de aceptación del mismo.
Descripción de la metodología que se aplica para la valoración de riesgos
Identificación de riesgos
Identificar los recursos que se encuentran dentro del ámbito del ISMS y los propietarios de los mismos.
Identificar las amenazas hacia los mismos.
Identificar las vulnerabilidades que pueden ser explotados por esas amenazas.
Identificar los impactos que la pérdida de confidencialidad, integridad y disponibilidad, pueden ocasionar sobre esos recursos.
Análisis y evaluación de riesgos:
Valorar el impacto de negocio hacia la organización que puede resultar desde cualquier fallo de seguridad, teniendo en cuenta la pérdida de confidencialidad, integridad y/o disponibilidad de los recursos.
Probabilidad real de la ocurrencia de fallos de seguridad a la luz de las amenazas, vulnerabilidades e impacto asociado a esos recursos y los controles actualmente implementados.
Estimación del nivel de riesgo.
Determinación si un riesgo es aceptable o requiere el uso de algún tipo de tratamiento de los criterios de riesgo establecidos.
Identificación y evaluación de las opciones de tratamiento de riesgo. Las posibles acciones incluyen:
Aplicación de los controles apropiados.
Conocimiento y objetividad para la aceptación de riesgos, proveyendo una clara satisfacción de ellos con la política y criterios de aceptación.
Evitar riesgos y transferencia de los riesgos asociados a otras partes, por ejemplo, proveedores, socios, etc.
Selección de controles objetivos para el tratamiento del riesgo. Estos controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo.
El anexo A de esta norma proporciona una buena base de referencia, no siendo exhaustivos, por lo tanto se pueden seleccionar más aún.
Obtención de aprobación de la dirección para los riesgos residuales propuestos.
Obtener autorización de la dirección para implementar y operar el ISMS.
Preparar una declaración de aplicación, la cual debería incluir:
Los objetivos de control, los controles seleccionados y las razones para su selección.
Los controles actualmente implementados y la exclusión y justificación de los que figuran en el Anexo A
- Planificación, guías y programas de formación y preparación (5.2.2)
- Documento de administración de las revisiones del ISMS (7.)
Deberá incluir:
- Documento de acciones correctivas (8.)
Deberá incluir:
- Procedimientos de:
Control de documentos (Ver los detalles del mismo en el punto 4.3.2 de este documento).
De registro: Debería existir un procedimiento general, y dentro del mismo, algunos específicos como son:
Detección de eventos de seguridad.
Recolección y centralización de eventos de seguridad.
Revisión del ISMS (Periódica y aperiódica)(punto 6.).
Revisión y medición de la efectividad de los controles.
Todos estos documentos y registros pueden realizarse en cualquier formato, tipo o medio.
Como se mencionó en esta norma se especifican (en el Anexo A), una serie de controles (o mediciones) a considerar y documentar, que se pueden considerar uno de los aspectos fundamentales del ISMS (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. Se reitera una vez más que la evaluación de cada uno de ellos debe quedar claramente establecida en los documentos que se presentaron en este texto, y muy especialmente la de los controles que se consideren excluidos de la documentación.
La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él.
La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento (Ver: Procedimiento de Revisión del ISMS - Periódicas y aperiódicas Administración de las revisiones del ISMS:
Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al año para asegurar su vigencia, adecuación y efectividad. Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos. Los resultados de estas revisiones, como se mencionó en el punto anterior serán claramente documentados y los mismos darán origen a esta actividad. Esta actividad está constituida por la revisión de entradas (7.2.) y la de salidas (7.3.) y dará como resultado el documento correspondiente (Ver: Documento de administración de las revisiones del ISMS). 8. Mejoras al ISMS Análisis de ISO-27001:205 Alejandro Corletti Estrada Página 9 de 12 La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración. Acciones correctivas:
La organización llevará a cabo acciones para eliminar las causas que no estén en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos. Cada una de estas acciones correctivas deberá ser documentada (Ver: Documento de acciones correctivas)
El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan agrupados y numerados de la siguiente forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de OECD (guía de administración de riesgos de sistemas de información y redes - París, Julio del 2002, www.oecd.org) y su correspondencia con el modelo PDCA. Por último el Anexo C, también informativo, resume la correspondencia entre esta norma y los estándares ISO 9001:2000 y el ISO 14001:2004
DOCUMENTACIÓN A CONSIDERAR:
A continuación se presenta un listado de los documentos que se deben considerar como mínimo y sobre los cuales el estándar hacer referencia. Dentro de cada uno de ellos, se especifica brevemente algunas consideraciones y los puntos desde donde son referenciados en la norma. Estos documentos son:
- Declaración de Aplicabilidad (3.16)
- Documento ISMS (4.1.)
Debe incluir:
Ámbito y límites del ISMS en términos de características del negocio, la organización, ubicaciones, recursos y tecnologías empleadas y también detalles y justificaciones para cualquier exclusión fuera del mismo, como se especifica en 1.2.
Definición de la política de este ISMS, en los mismos términos anteriores y teniendo en cuenta:
- Establecimiento del marco y objetivos de la dirección y principales líneas de acción en temas de seguridad de la información.
- Considerar requerimientos legales y de empresa y también obligaciones contractuales en aspectos relacionados a la seguridad.
- Establecer la alineación con el contexto de la estrategia de administración de riesgo de la empresa dentro del cual se establecerá y mantendrá el ISMS.
- Establecer los criterios contra los cuales se evaluarán loa riesgos y han sido evaluados por la
dirección.
Para los criterios de este estándar internacional, la política del ISMS puede ser considerada como una parte del documento de Política de seguridad general de la empresa.
Definición de la Valoración de riesgo de la organización:
Identificar la metodología de valoración de riesgo, la información de seguridad identificada de la empresa y los requerimientos y regulaciones legales.
Desarrollar un criterio para la aceptación de riesgo y los diferentes niveles de aceptación del mismo.
Descripción de la metodología que se aplica para la valoración de riesgos
Identificación de riesgos
Identificar los recursos que se encuentran dentro del ámbito del ISMS y los propietarios de los mismos.
Identificar las amenazas hacia los mismos.
Identificar las vulnerabilidades que pueden ser explotados por esas amenazas.
Identificar los impactos que la pérdida de confidencialidad, integridad y disponibilidad, pueden ocasionar sobre esos recursos.
Análisis y evaluación de riesgos:
Valorar el impacto de negocio hacia la organización que puede resultar desde cualquier fallo de seguridad, teniendo en cuenta la pérdida de confidencialidad, integridad y/o disponibilidad de los recursos.
Probabilidad real de la ocurrencia de fallos de seguridad a la luz de las amenazas, vulnerabilidades e impacto asociado a esos recursos y los controles actualmente implementados.
Estimación del nivel de riesgo.
Determinación si un riesgo es aceptable o requiere el uso de algún tipo de tratamiento de los criterios de riesgo establecidos.
Identificación y evaluación de las opciones de tratamiento de riesgo. Las posibles acciones incluyen:
Aplicación de los controles apropiados.
Conocimiento y objetividad para la aceptación de riesgos, proveyendo una clara satisfacción de ellos con la política y criterios de aceptación.
Evitar riesgos y transferencia de los riesgos asociados a otras partes, por ejemplo, proveedores, socios, etc.
Selección de controles objetivos para el tratamiento del riesgo. Estos controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo.
El anexo A de esta norma proporciona una buena base de referencia, no siendo exhaustivos, por lo tanto se pueden seleccionar más aún.
Obtención de aprobación de la dirección para los riesgos residuales propuestos.
Obtener autorización de la dirección para implementar y operar el ISMS.
Preparar una declaración de aplicación, la cual debería incluir:
Los objetivos de control, los controles seleccionados y las razones para su selección.
Los controles actualmente implementados y la exclusión y justificación de los que figuran en el Anexo A
- Planificación, guías y programas de formación y preparación (5.2.2)
- Documento de administración de las revisiones del ISMS (7.)
Deberá incluir:
- Resultados de la revisión. Realimentación hacia las partes interesadas.
- Técnicas, productos o procedimientos que pueden ser empleados en la organización para mejorar su eficiencia.
- Estado de acciones preventivas y correctivas.
- Vulnerabilidades o amenazas que no se adecuan a la valoración de riesgo previa.
- Resultado de la eficiencia en las mediciones (o controles).
- Acciones seguidas desde la última revisión.
- Cualquier cambio que pudiera afectar al ISMS y las recomendaciones de mejora.
- Actualización de la valoración de riesgos y plan de tratamiento de riesgo.
- Modificación de procedimientos y/o controles que afecten a la seguridad de la información.
- Necesidad de recursos.
- Mejoras en cuanto a la efectividad con que están siendo medidos los controles.
- Documento de acciones correctivas (8.)
Deberá incluir:
- Identificación de no conformidades.
- Determinación de las causas de las mismas.
- Evaluación de necesidades para acciones que aseguren la no recurrencia de las mismas.
- Determinación e implementación de las acciones correctivas necesarias.
- Registro de resultados y acciones llevadas a cabo.
- Revisión de la actividad correctiva llevada a cabo.
- Procedimientos de:
Control de documentos (Ver los detalles del mismo en el punto 4.3.2 de este documento).
De registro: Debería existir un procedimiento general, y dentro del mismo, algunos específicos como son:
- De actividad (reportes, autorizaciones de acceso, auditorías, cambios, permisos temporales, bajas, etc.) (4.3.3.)
- de mejoras y decisiones que afectan al ISMS
Detección de eventos de seguridad.
Recolección y centralización de eventos de seguridad.
Revisión del ISMS (Periódica y aperiódica)(punto 6.).
Revisión y medición de la efectividad de los controles.
Todos estos documentos y registros pueden realizarse en cualquier formato, tipo o medio.
Como se mencionó en esta norma se especifican (en el Anexo A), una serie de controles (o mediciones) a considerar y documentar, que se pueden considerar uno de los aspectos fundamentales del ISMS (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. Se reitera una vez más que la evaluación de cada uno de ellos debe quedar claramente establecida en los documentos que se presentaron en este texto, y muy especialmente la de los controles que se consideren excluidos de la documentación.
Alejandro Corletti Estrada