Qué Es La ISO 27001
Qué Es La ISO 27001
Qué Es La ISO 27001
En 2019, cerca del 32% de los negocios sufrieron una violación de datos
personales o recibieron ataques en los últimos 12 meses.
La norma ISO 27001 se estructura para ser compatible con otras normas
de sistemas de gestión, como la ISO 9001 y es neutral respecto a
tecnología y preveedores, lo que significa que es completamente
independiente de la plataforma de IT. Por ello, todos los miembros de la
organización deben ser educados sobre el significado de la norma y
cómo se aplica en la organización.
La norma ISO 27001:2013 ha sido desarrollada con base al Anexo SL, en la que se
proporciona un formato y un conjunto de alineamiento que siguen el desarrollo documental de
un Sistema de Gestión sin que le importe el enfoque empresarial, se alinean bajo la misma
estructura todos los documentos que se relacionan con el Sistema de Gestión de Seguridad
de la Información y así se evitan problemas de integración con otros marcos de referencia.
Además, la nueva estructura queda así:
0. Introducción
En la norma ISO 27001:2013 el cambios más significativo es la eliminación de la sección
“Enfoque del proceso” que sí contenía la versión 2005, donde se describía el modelo PHVA,
considerándose el corazón del Sistema de Gestión de Seguridad de la Información (SGSI).
1. Alcance
En la norma ISO 27001:2013 se establece como obligatorio el cumplimiento de los requisitos
especificados entre los capítulos 4 a 10 de dicho documentos, para poder obtener una
conformidad de cumplimiento y así poder certificase.
2. Referencias normativas
El estándar ISO 27002 ya no será referencia normativa para la norma ISO 27001:2013,
aunque se puede considerar necesario el desarrollo de una declaración de aplicabilidad.
3. Términos y definiciones
Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y
fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”,
con el fin de contar con una sola guía de términos y definiciones que sea consistente.
4. Contexto de la organización
Durante esta cláusula de la norma ISO 27001:2013 se identifican todos los problemas
externos e internos que rodean a la empresa:
Se intuyen todos los requisitos para definir el contexto del SGSI sin importar el tipo de
empresa que sea y el alcance que tenga.
Se introduce una nueva figura como un elemento primordial para definir el alcance del
SGSI
5. Liderazgo
Se realiza un ajuste de la relación y las responsabilidades de la gerencia de la organización
con respecto al Sistema de Gestión de Seguridad de la Información, destacando como
se deberá demostrar el compromiso, como por ejemplo:
Se debe garantizar la disponibilidad de todos los recursos para la implantación del SGSI.
6. Planeación
En este apartado de la norma ISO 27001:2013 se enfoca a la definición de los objetivos de
seguridad como un todo, los cuales deben estar claros y se deben contar con planes
específicos para conseguirlos.
El proceso para evaluar los riesgos ya no se encuentra enfocado a los activos, las
vulnerabilidades y las amenazas.
La metodología se enfoca con el objetivo de identificar todos los riesgos asociados con la
pérdida de confidencialidad, integridad y disponibilidad de la información.
El nivel de riesgos se determina con base a toda probabilidad de que ocurra un riego y las
consecuencias generadas, si el riesgo se materializa.
Se elimina el término propietario del activo y se adopta el término propietario del riesgo.
7. Soporte
Los requisitos del soporte para el establecimiento de la implementación y mejora
del SGSI, que incluye:
Recursos
Personal competente
Se incluye una nueva definición que es “información documentada”, ésta sustituye a los
términos “documentos y registros”, establece el proceso de documentar, mantener,
controlar y conservar la documentación que corresponde al Sistema de Gestión de
Seguridad de la Información.
8. Operación
Establece todos los requisitos para medir el funcionamiento del Sistema de Gestión de
Seguridad de la Información, todas las expectativas de la gerencia de la organización y la
retroalimentación sobre estas, además de cumplir con la norma ISO 27001:2013.
Todos los activos, las vulnerabilidades y las amenazas ya no son la base principal de la
evaluación de riesgos. Solo se requiere para realizar la identificación de los riesgos, que
están asociados a la confidencialidad, la integridad y la disponibilidad.
Se tiene que considerar el estado en el que se encuentran los planes de acción para poder
atender las no conformidades como es debido, además se establece la necesidad de
definir quién y cuándo realiza las evaluaciones, además de quien tiene que analizar la
información que se ha recolectado.
10. Mejora
El principal elemento del proceso de mejora son las no conformidades identificadas, las
cuales tiene que contabilizarse y compararse con las accione correctivas para asegurarse
de que no se repitan y que las acciones correctoras que se realicen sean efectiva
h_persona_cifras_5
Los activos de información son herramientas que se usan dentro del sistema de gestión de
seguridad de la información para que las empresas puedan cumplir con los objetivos propuestos
desde la alta dirección.
Una buena gestión de los activos de información requiere diseñar, establecer e implementar los
procesos para identificar, valorar y clasificar el tratamiento de los activos más importantes de la
compañía.
De acuerdo con la norma ISO 27001, los activos de información son "algo que una organización
valora y por lo tanto debe proteger".
Información que se utiliza en diferentes procesos de la compañía, tanto digitales como manuales.
Inventario: lo primero que se debe hacer es identificar los activos de información más importantes
de la empresa para poder clasificarlos y darles la relevancia necesaria.
Propiedad: después de identificar los activos, se les debe asignar un propietario o responsable que
se encargue de definir los controles de protección que se les van a aplicar.
Tratamiento: se deben implementar las mejores prácticas de seguridad, darle el manejo adecuado
a la información siguiendo los protocolos establecidos anteriormente.
Hay que tener en cuenta que los activos de información están relacionados directa e
indirectamente con amenazas, impactos, vulnerabilidades y riesgos internos y externos.
Digitales
Correos electrónicos.
Copias de seguridad.
Bases de datos.
Ecommerce.
Dispositivos de almacenamiento.
Servicios web.
Infraestructura digital.
Tangibles
Personas.
Financieros.
Legales.
Estrategia y comerciales.
Otros medios de almacenamiento.
Intangibles
Conocimiento de información.
Relacionamiento.
Licencias.
Conocimientos técnicos.
Imagen corporativa.
Marca.
Reputación comercial.
Ética.
Operativos
Servidores.
Computadores.
Dispositivos de red.
La nube.
Servicios TI
Hardware.
Enlaces.
Dispositivos de comunicación.
Tecnología.
Administración de procesos.
Software.
Integridad: la información del activo debe ser completa y legal, por ende no debe ser alterada por
ningún motivo o manipulada por un tercero pues esto causaría errores dentro del sistema.
Tal vez hayas escuchado hablar sobre activos de información, pero ¿sabes qué son los activos de
información en una organización? De acuerdo a la ISO 27000, estos activos se refieren a cualquier
información o elemento relacionado con el tratamiento de dicha información que tengan valor
para la organización. Algunos ejemplos de activos son bases de datos, archivos físicos, sistemas de
información, cableado y redes, dispositivos de almacenamiento e incluso las mismas personas que
manejan datos o conocimiento específico del negocio.
Algo de historia...
En 1993, en el Reino Unido se creó el Institute of Asset Management (IAM) con una filosofía
gerencial denominada Gestión de Activos (Asset Management). Esta organización crea un comité
llamado British Standard en Asset Management, donde en 2004 publica el British Standard PAS 55,
el cual establece 28 requerimientos dando respuesta a la demanda de la estandarización de la
gestión de activos para la industria. Lo anterior, tuvo tan buena acogida, que en el 2008 se
internacionalizó dándole paso a la norma ISO 55000 sobre gestión de activos.
La ISO 55000 clasificó los activos en 5 super categorías, donde una de ellas fue la de activos de
información:
Activos Humanos
Activos Financieros
Activos Intangibles
Activos de Información
Activos Físicos
Hoy en día contamos con una serie de estándares internacionales definidos por la ISO para la
gestión de la seguridad de la información en la serie de normas 27000.
Responsabilidad por los activos de información: ¿Cómo identificar los activos y definir la
responsabilidad de su protección?
Imaginemos que en nuestra organización asignamos un equipo de cómputo portátil con las últimas
características del mercado a un colaborador, sin ningún tipo de reporte ni control del mismo.
Tiempo después, el trabajador se retira de la compañía y en su paz y salvo de retiro no se detalla la
devolución de dicho activo. En otras palabras, no sabemos en dónde está dicho computador, en
este escenario surgen varias incógnitas: ¿El computador lo devolvió a algún colaborador de la
empresa? Si efectivamente se realizó la devolución del equipo, ¿dónde está?, ¿En qué condiciones
se entregó?, ¿Cuánto tiempo tardaremos en investigar el destino del equipo?, ¿Realmente el
colaborador requería un computador de estas características?, ¿El control de la confidencialidad
de la información de dicho equipo se controló desde un principio?
Buena práctica:
Contar con un inventario no necesariamente tiene que ser algo sofisticado; con una hoja de
cálculo es suficiente donde se defina un propietario del activo, etiqueta (número, siglas, letras)
que también tenga un sticker físico en el dispositivo, localización, autorizados con acceso del
dispositivo, estado, último mantenimiento realizado. También se recomienda realizar un acta tipo
bitácora donde estipule quien lo recibe, las condiciones en que es entregado, quién realiza la
entrega, las fechas de entrega o recepción del mismo que pueden ir adjuntas a la hoja de cálculo.
Adicionalmente, es importante controlar que el inventario de equipos cumpla con las políticas
empresariales; como por ejemplo, hacer un backup de la información del computador por retiro
de un colaborador o si es necesario formatearlo cuando se le asigna a un nuevo empleado,
verificar qué programas deben ir instalados, así como los accesos estrictos de acuerdo con el rol
que desempeñe en la compañía. Es importante tener en cuenta que se debe destinar un equipo
acorde a la función y rol del colaborador, ya que si solo necesitamos un software ofimático como
Word, Excel, PowerPoint y navegación para internet, es probable que no se requiere un equipo
con las últimas características del mercado.
Establecer los propietarios de los activos informáticos según su rol y responsabilidad es de vital
importancia para tener un mejor control y/o manejo de la información clave de la empresa. Los
activos de información se asignan según su importancia. Si bien es cierto que podemos subsanar
en cierta manera etiquetando e inventariando los recursos disponibles también debemos definir
un propietario que no es igual al dueño. El propietario es el responsable principal del activo y de
toda la información que custodia el medio magnético o digital, y el dueño es la persona o
compañía que compró dicho activo.
Buena práctica
Seamos congruentes!. Asignar el propietario del servidor X al área de Compras, que se asignó
erróneamente dado que allí se ejerció la adquisición del equipo, ¿No es congruente verdad?
Partimos de la lógica que se debe asignar al Director de Tecnología, ¡mejor, verdad! ; además el
director podrá delegar la responsabilidad al subordinado encargado de Infraestructura, Es más
fácil, verdad! Se recomienda establecer niveles de acceso según su importancia en la organización;
por ejemplo, no podemos dar un acceso de administrador al servidor de la base de datos de
producción al Auxiliar de sistemas con pocos días de haber ingresado a la compañía sin haber
recibido la capacitación requerida para dicha responsabilidad.
Pensando en ser práctico y aprovechando las facilidades que brinda la gestión de información en la
nube, es importante analizar la posibilidad de almacenar los archivos en una herramienta con esta
tecnología, que nos permite administrar niveles de acceso, con una alta disponibilidad, en tiempo
real y a un bajo costo, evitando el uso continuo de medios físicos.
Ahora, nunca está de más bloquear los puertos de salida como los USB y definir políticas
administrativas en cuanto a la creación, uso permitido, modificación o eliminación de archivos que
reposan allí, que sólo brinden esos privilegios únicamente cuando sea necesario y con los medios
removibles que estén previamente autorizados por el área de IT, su escaneo en el antivirus,
almacenamiento suficiente y con su mantenimiento al dia, donde en lo posible solo se utilicen
para transferencia de información y/o respaldos (copias) de seguridad.
Buena práctica
Supongamos que la empresa cuenta con una base de datos de clientes y prospectos, la cual se
almacena en un archivo de Excel y se comparte con los ejecutivos comerciales para que realicen
sus actividades diarias de llamadas y cierre de negocios con clientes. Es posible que si uno de los
colaboradores renuncia a la compañía pueda llevarse consigo una copia del archivo de Excel de
forma deshonesta para trabajar en la competencia y obtener una ventaja en sus resultados
comerciales con información que no es de su propiedad.
Por tanto, si vamos a gestionar este tipo u otra información en Excel es recomendable que
tengamos establecidos los permisos de modificación, creación, eliminación, visualización y
descarga. Analicemos previamente las necesidades reales de las personas frente a los archivos
para brindar los permisos adecuados; por ejemplo, si solo necesitamos que la persona lea
información solo le asignaremos privilegios de visualización.
Así mismo se recomienda que de acuerdo a la jerarquía organizacional se deleguen los accesos.
Por ejemplo, el Gerente General asigna permisos de información a sus directivos, estos a su vez
asignan permisos a los colaboradores a cargo, y así sucesivamente hasta llegar al último nivel de
cargos en la compañía.
Controles que deberías implementar según el Anexo A ISO 27001:
Te invito a que de manera práctica implementes en tu empresa estos controles que permitan
identificar y gestionar los activos de información más importantes. Puedes empezar con un
inventario, luego definir las responsabilidades, el uso permitido y su clasificación. La primera
barrera de seguridad somos las personas, por eso es importante comunicar y hacer conciencia de
cuidar los activos de información como si fueran de nuestra propiedad
Las amenazas
Infracción legal.
Destrucción de registros.
Revelación de información.
Divulgación de contraseñas.
Malversación y fraude.
Errores en mantenimiento.
Falsificación de registros.
Espionaje industrial.
Fuga de información.
Pérdida de electricidad.
Código malicioso.
Contaminación.
Errores de software.
Huelgas o paros.
Ataques terroristas.
Hurtos o vandalismo.
Error de usuario.
Las vulnerabilidades
Mantenimiento inadecuado.
Falta de procedimientos para eliminar los derechos de acceso a la terminación del empleo.
Software no documentado.
Empleados desmotivados.