ISO 27001

Mdulo 6:
Definicin de las polticas, organizacin, alcance del sistema de gestin y concienciacin

En este mdulo se desglosan de manera detallada los primeros pasos que deben llevarse a cabo para desarrollar un SGSI de acuerdo con la Norma UNE/ISO-IEC 27001: cmo se debe definir una Poltica de Seguridad coherente, cuales son las principales responsabilidades que deben asignarse internamente, cmo debe definirse el alcance del Sistema y de qu manera debe llevarse a cabo una labor de concienciacin que permita posteriormente implantar un SGSI eficaz. El contenido de este mdulo es: 1. Alcance del SGSI. Poltica de Seguridad. Organizacin de la seguridad. Concienciacin. Alcance del SGSI:

Para comenzar a disear el SGSI en primer lugar hay que decidir qu se quiere proteger, es decir, el alcance que se le va a dar al sistema. Segn lo especificado por la Norma UNE/ISO-IEC 27001, los lmites del SGSI deben estar definidos en trminos de las caractersticas de la organizacin, localizacin, activos y tecnologas. Esto significa que hay que considerar qu parte de la organizacin va a quedar protegida por el SGSI, si es que no se pretende abarcarla toda. Que el SGSI comprenda toda la organizacin o no depende sobre todo del tamao de la misma. En una gran empresa es raro que se intente hacer un SGSI de estas caractersticas porque el esfuerzo y los recursos que habra que dedicarle al proyecto seran muy elevados debido a la gran cantidad de personal involucrado y a la complejidad de las actividades que se realizan. Lo ms habitual en este tipo de organizaciones es escoger un departamento o servicio relevante dentro de la misma y disear e implantar un SGSI con ese alcance reducido. Una vez completado el proyecto satisfactoriamente, se va extendiendo paulatinamente el sistema al resto de la organizacin, normalmente a lo largo de varias fases y en un periodo de tiempo importante. En una organizacin pequea sin embargo es ms factible preparar un SGSI que abarque toda la organizacin, ya que su menor tamao y el limitado nmero de actividades que se realizan lo permiten. A pesar de ello hay que valorar cuidadosamente los recursos que van a ser necesarios para poner en marcha y mantener el SGSI y considerar si esta opcin es posible o es ms realista escoger un alcance ms reducido para empezar. Ing. Jos Manuel Poveda 1

ISO 27001 No se debe olvidar que la implantacin de este tipo de sistemas debe ayudar a los procesos propios de la empresa y no debe interferir en su desarrollo para que se lleven a cabo de la mejor manera posible, aunque inevitablemente la organizacin ver modificados algunos de sus hbitos sobre todo a nivel de gestin y del personal involucrado. Una vez decidido si el alcance va a ser toda la organizacin o slo una parte de ella, hay que definir claramente este alcance. Para ello deben enumerarse: Las localizaciones fsicas incluidas: oficinas, sedes, fbricas, delegaciones, etc. De manera que queden claros los lmites fsicos del SGSI. Las actividades de la organizacin: servicios y productos que suministra, actividades internas, etc. Es aqu donde es importante detallar exactamente qu queda dentro del alcance y qu queda excluido, por ejemplo, si la organizacin proporciona servicios de asesora legal y fiscal, y se ha decidido que slo se van a considerar dentro del alcance los de asesora fiscal. Hay que tener en cuenta que no sera lgico excluir por ejemplo el departamento de informtica, ya que no se puede obviar que este departamento es el que manipula y gestiona probablemente toda la informacin. Aunque este servicio estuviera subcontratado, hay que tener los mecanismos para poder gestionarlo con seguridad y el SGSI debe incluir los controles necesarios para ello. Las tecnologas utilizadas: tipos de equipos informticos, redes, comunicaciones, etc. En general esta parte queda documentada con un mapa esquemtico de la red de la organizacin. No es necesario que muestre mucho detalle, pero s que para cualquiera que tenga acceso a la documentacin pueda hacerse una idea cabal de qu elementos constituyen la red informtica de la organizacin y como estn dispuestos.

La definicin del Alcance es, por tanto, uno de los puntos crticos en la implantacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI), ya que su correcta definicin har que las tareas de implantacin y los responsables estn correctamente determinados y que, de esta manera, dichas tareas as como el mantenimiento del sistema estn acordes con los recursos disponibles y las necesidades de la organizacin.

2.

Poltica de Seguridad:

El objetivo de la Poltica de Seguridad es dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo a los requisitos del negocio y la legislacin aplicable. Es el punto de partida del diseo del SGSI, a partir del cual se desarrollan las actuaciones necesarias para implantar el SGSI. Es un requisito de la Norma UNE/ISO-IEC 27001 contar con este documento, y los controles asociados estn en el primer objetivo de control, Poltica de Seguridad de la Informacin. La Poltica de Seguridad la define la Direccin, estableciendo en ella de forma clara las lneas de actuacin en esta rea, que deben estar alineadas con los objetivos de negocio. La Poltica es tambin una manifestacin expresa del apoyo y compromiso de la Direccin con la seguridad de la informacin. El Documento que recoja la Poltica de Seguridad debe ser aprobado por la Direccin, Ing. Jos Manuel Poveda 2

ISO 27001 publicado y comunicado a todos los empleados y terceras partes, tiene que ser del dominio pblico las intenciones y objetivos de la organizacin. Esto es fundamental para que el personal perciba la importancia del asunto y sea consciente de que no es una comunicacin ms dentro de la organizacin, sino que debe ser tenida en cuenta y puesta en prctica. La Poltica debe ser un documento legible y comprensible para toda la audiencia a la que va dirigido, lo cual es ms fcil de conseguir si es corto y preciso, enfocado a describir qu se quiere proteger en la organizacin y por qu.

Adems de la declaracin de principios, debe recogerse, en el mismo documento o en otro, una breve explicacin de las polticas, principios, normas y requisitos de cumplimiento ms importantes para la organizacin, como por ejemplo: Definicin de las responsabilidades en materia de gestin de la seguridad de la informacin de cada puesto y descripcin de las posibles consecuencias en caso de no observar estas responsabilidades. Cmo se deben comunicar las incidencias de seguridad de la informacin para que puedan ser gestionadas adecuadamente. Cmo se va llevar a cabo el cumplimiento de los requisitos legales, reglamentarios y contractuales. Cules son las responsabilidades y tareas de cada uno en cuanto a la continuidad del negocio. Las referencias a documentacin que pueda sustentar la poltica; por ejemplo, normas, instrucciones y procedimientos detallados para poder ejecutar tareas especficas o las reglas de seguridad que los usuarios deben cumplir.

Esta poltica de seguridad de la informacin debe ser comunicada a todos los miembros de la empresa, y estar disponible para todos aquellos a los que va dirigida. El objetivo es asegurarse que la plantilla conoce y comprende los problemas asociados a la seguridad de la informacin y que asumen Ing. Jos Manuel Poveda 3

ISO 27001 y son conscientes de sus responsabilidades en este tema. Debe transmitirse el mensaje claro de que la seguridad es un asunto de todos y no solo de la direccin o del responsable de seguridad.

La poltica de seguridad de la informacin se debera revisar a intervalos planificados, aunque lo recomendable es que sea al menos anualmente, o en el caso de que se produzcan cambios importantes, para que se ajuste en todo momento a las necesidades y contexto de la organizacin. Por ejemplo: 1. Despus de incidentes de seguridad (sobre todo de aquellos que sean considerados como graves). 2. Despus de una auditora / revisin del sistema que no haya tenido xito (evidentemente esto es porque falla el SGSI y no est acorde con la normativa). 3. Frente a cambios que afecten a la estructura de la organizacin: nuevos servicios o eliminacin de alguno de ellos, cambios en el contexto econmico, cambios en el sector, etc.

3.

Organizacin de la seguridad:

El segundo dominio de actuacin de la norma ISO 27001 se corresponde con los aspectos organizativos de la seguridad de la informacin y trata tanto la organizacin interna como la relacin de la empresa con terceras partes (clientes, subcontratas, etc.) Es por ello que el diseo e implantacin de un SGSI y su posterior mantenimiento implica describir nuevas funciones dentro de la organizacin para hacerse cargo de las nuevas actividades. En algunos casos se aadirn responsabilidades a puestos ya definidos y en otros se tratar de perfiles completamente nuevos aunque en organizaciones de pequeo tamao probablemente sern asumidos por personas de la plantilla y no necesariamente por personal nuevo. Hay dos funciones principales: Un responsable de seguridad, que ser el que coordine las tareas y esfuerzos en materia de seguridad. Esta persona centralizar todos los aspectos de seguridad de la organizacin y sus responsabilidades cubrirn todas las funciones de seguridad. Integrantes del comit de seguridad. Los participantes de este comit son los que tratan los problemas de seguridad y las no conformidades, discuten y deciden las soluciones a los mismos, Identifican cambios significativos y como deben ser gestionados, valoran si los controles implantados son suficientes y coordinan la implantacin de los nuevos, resuelven los asuntos interdisciplinarios, revisan y aprueban directrices y normas, proponen objetivos a la direccin y revisan con ella la marcha de los mismos. Si la organizacin es muy pequea puede no existir este comit y es el propio responsable de seguridad el que asume estas funciones. Pero en la medida de lo posible deberan colaborar todas las reas de la organizacin de manera que todas las decisiones fueran lo ms informadas y consensuadas posible.

Ing. Jos Manuel Poveda 4

ISO 27001 Sin embargo la gestin y operacin de un SGSI requiere la colaboracin de todo el personal, por lo que deben definirse y asignarse todas las responsabilidades relativas a la seguridad de la informacin. Esto evitar lagunas de seguridad, ya que todos los aspectos quedarn bajo la responsabilidad de alguien. Como parte de este proceso puede hacerse uso de los acuerdos de confidencialidad. En algunas organizaciones se exige a la plantilla que firmen acuerdos sobre el mantenimiento de la confidencialidad de la informacin a la que tienen acceso, incluyendo incluso en este tipo de documentos la Poltica de Seguridad. De esta manera queda asegurado que todo el personal conoce las normas y ha aceptado seguirlas. Sin ser exhaustivos, las principales responsabilidades de los roles ms habituales que se encuentran en cualquier organizacin son:

a. Direccin: La Direccin tiene varias de las responsabilidades clave en la puesta en marcha y funcionamiento del SGSI. Es la Direccin la que debe: Aprobar la Poltica y los objetivos de seguridad. Aprobar los riesgos residuales, aquellos que quedan tras la aplicacin de controles de seguridad y que en ese momento no se pueden reducir ms, por lo que la organizacin debe asumirlos. Aprobar los planes de formacin y auditoras. Realizar la revisin del SGSI. Demostrar su compromiso con la seguridad de la informacin para promover una cultura efectiva dentro de la organizacin.

b. Responsable de Sistemas: Tiene entre sus obligaciones: Llevar a cabo las actividades de gestin del SGSI actuando en coordinacin con el responsable de seguridad. Administrar y gestionar las cuentas de los usuarios y los privilegios de acceso de cada uno de ellos. Asegurarse de que slo las personas autorizadas a tener acceso a la informacin y los sistemas cuentan con l. Asegurarse de que los sistemas tienen los niveles de disponibilidad requeridos por la organizacin. Ing. Jos Manuel Poveda 5

ISO 27001 Incluir en los requisitos para nuevos desarrollos los aspectos de seguridad que apliquen.

c. Propietario de activos: El propietario de un activo, entendiendo por tal al responsable de dicho activo, tendr las siguientes responsabilidades: Definir si el activo est afectado por la Ley de Proteccin de Datos y aplicarle en su caso, los procedimientos correspondientes. Definir quienes pueden tener acceso a la informacin, cmo y cundo, de acuerdo con la clasificacin de la informacin y la funcin a desempear. Informar al Responsable de Seguridad de la Informacin cuando detecte cualquier incidencia para tratarla y corregirla. Implementar las medidas de seguridad necesarias en su rea para evitar fraudes, robos o interrupcin en los servicios. En los casos que aplique, asegurarse de que el personal y los contratistas tienen clusulas de confidencialidad en sus contratos y son conscientes de sus responsabilidades. d. Personal. En general, cualquier integrante de la plantilla deber: Conocer y comprender la Poltica de Seguridad y los procedimientos que apliquen a su trabajo. Llevar a cabo su trabajo, asegurndose de que sus acciones no producen ninguna infraccin de seguridad. Comunicar las incidencias de seguridad que detecte mediante el canal establecido para ello. e. Terceras partes: Cualquier entidad externa a la organizacin que de alguna manera tenga acceso a los activos de informacin de la misma (clientes, usuarios, contratistas, etc.) debera: Conocer la Poltica de Seguridad y entender su impacto en las relaciones con la organizacin. Cumplir lo estipulado en los contratos respecto a la seguridad de la informacin de los activos con los que trabajan. Comunicar las incidencias de seguridad que detecten.

4.

Concienciacin:

Esta es una parte crucial de un proyecto de implantacin de un SGSI. Aunque todo el proceso de diseo y desarrollo del sistema se haya hecho cuidadosamente, escogiendo las mejores soluciones y las implementaciones ms prcticas y adecuadas, todo puede fallar de manera estrepitosa si no se consigue que el personal se involucre para que el sistema funcione. Es imprescindible para obtener el nivel de seguridad que se persigue que todo el personal sea consciente de la trascendencia y de la importancia de las actividades de seguridad de la informacin y como sus propias tareas contribuyen a conseguir los objetivos del SGSI. Desde el arranque del proyecto hay que llevar a cabo acciones de divulgacin, para que todo el personal, aunque no participe directamente, sepa qu se est haciendo y por qu. Dar difusin a las tareas de diseo y desarrollo del SGSI permite a la plantilla ir hacindose a la idea de los cambios que se avecinan de una manera transparente. No hacerlo puede dar lugar a suspicacias, ya que el SGSI puede ser percibido como un mecanismo de control por parte de la direccin. Por supuesto que lo es, pero no est dirigido al personal sino a la seguridad de la informacin que hay que observar para poder funcionar eficazmente en un entorno digital como este en el que nos movemos. Ing. Jos Manuel Poveda 6

ISO 27001 Esta parte de concienciacin, debe ser complementada con formacin. Por muy mentalizada que se haya conseguido que est la plantilla, no servir de mucho si no se les han dado los medios para poder ejecutar sus tareas de manera segura. Es necesario que el personal al que se le han asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo sus tareas. Habr algunos puntos en los que ya se cuente con las competencias necesarias, pero cuando no sea as, hay que formar al personal. Realizar un plan de formacin razonable pasa por determinar cuales son las necesidades de formacin. Debe realizarse un anlisis de las competencias necesarias y de las existentes para detectar las carencias. Con esa informacin se pueden planificar las acciones formativas necesarias para cubrirlas. Hay que decidir tambin quin va a recibir la formacin y escoger el mejor momento para que puedan recibirla, aunque una formacin bsica en los aspectos fundamentales de la seguridad de la informacin y en el SGSI de la organizacin deben recibirla todos los empleados. Volviendo al tema de los recursos, tambin aqu hay que ser cuidadosos y contar con los recursos disponibles en ese momento para elaborar un plan que sea viable. Las acciones formativas no tienen por qu reducirse a cursos externos, presenciales y habitualmente costosos. Hay que valorar las numerosas alternativas que hoy en da estn disponibles, comenzando por la formacin en lnea, que no requiere desplazamientos ni estancias fuera del lugar de residencia, y cuyo coste es reducido en muchos casos. Tambin se puede buscar internamente a alguien que cuente con el conocimiento que se busca y que pueda formar al resto de las personas que lo necesitan. La asistencia a conferencias o jornadas de difusin son otros tipos de acciones que puede perfectamente formar parte del plan de formacin. Tras la planificacin, hay que asegurarse de que el plan va cumplindose y las acciones van realizndose. Se debe llevar algn tipo de registro para que quede evidencias de esta ejecucin. Tras un periodo de tiempo razonable, se debe realizar una evaluacin acerca de la eficacia de las acciones tomadas. Se trata de verificar si han servido para el propsito con el que se planificaron. Dependiendo de las circunstancias, puede darse el caso de que sea ms prctico contratar a una persona que cuente con las competencias que necesita la organizacin en ese momento. Si es as, la informacin sobre el perfil de la personal a contratar y el detalle de las cualificaciones o habilidades que se requieren debe comunicarse a quien se encargue de esta tarea. Con todas estas actuaciones se crear en la empresa una cultura de seguridad que conllevar el asumir las labores relativas a la seguridad de la informacin como parte del da a da y como un todo en la organizacin.

Ing. Jos Manuel Poveda 7

ISO 27001

Evaluacin Mdulo 6

1.

El alcance del SGSI de una empresa de telecomunicaciones no incluye su CPD: Se considera aceptable, el CPD tiene mucha complejidad. No se considera aceptable, el CPD es el centro vital de la organizacin. Habra que subcontratar el servicio Dejar en blanco

2.

La Poltica de Seguridad es un documento: Pblico e informativo De obligado cumplimiento para el personal de la organizacin De obligado conocimiento para clientes y proveedores. Dejar en blanco

3.

La funcin de coordinar las acciones de seguridad recae en: El personal El departamento de sistemas El comit de seguridad Dejar en blanco

4.

Deben recibir formacin: Todo el personal El Responsable de Sistemas. El Responsable de Seguridad. Dejar en blanco

Ing. Jos Manuel Poveda 8