April 24, 2017 | Author: Alfredo Márquez | Category: N/A
1 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
CONTENIDOS Introducción: el papel de la seguridad de la información en el futuro de las empresas
3
¿Qué es un SGSI y qué puede aportar a su empresa?
6
Pilares de una Norma ISO 27001:2014:
8
El papel del contexto y el alcance Política Roles y responsabilidades Riesgos y oportunidades Gestión de recursos y competencia Comunicación Información documentada Auditoría Interna y Revisión por la dirección Mejora continua
10 12 13 15 16 17 18 19 20
La ISO 27002:2015 y sus controles a aplicar en la ISO 27001:2014
21
Beneficios de la implantación de la ISO 27001 en su empresa
23
¿Qué puede hacer SBQ Consultores por su empresa?
25
2 / 27
Junio2016 2016 | ISO Junio ISO 27001:2014. 27001:2014. Protegiendo Protegiendo su su activo activo más más valioso: valioso: la la información información
Introducción: El papel de la seguridad de la información en el futuro de las empresas.
Vivimos en un entorno altamente cambiante, en el que la tecnología es el aliado perfecto de las empresas al abrir nuevas vías de negocio, la imagen de marca se compone de numerosos factores todos ellos relevantes, los nuevos medios de comunicación permiten acercarse a los clientes a un nivel que hace años era impensable y el uso de dispositivos móviles, aplicaciones, almacenamiento en la nube, web, etc., sitúa la relación competitiva con otras organizaciones del sector a otro nivel.
3 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
Sin embargo, en este entorno también tenemos que tener presente que, de igual manera, las amenazas a las que se están expuestas son cada vez mayores. Una gran proporción de estas amenazas centran su atención en unos de los activos más valiosos de que disponen todas las empresas sin distinción: la información. Solamente tenemos que observar cómo los incidentes en materia de seguridad de la información están en aumento. Los objetivos se diversifican y ya no sólo son las grandes organizaciones las que se ven afectadas sino que las pymes también están en el punto de mira. De la misma forma, cada vez es más habitual que se produzcan noticias en las que el tema principal es el robo de identidad con intenciones de dañar la imagen de marca, entre otros objetivos. Teniendo presente todo lo anterior, parece lógico pensar que contar con un sistema de gestión de la seguridad de la información según la Norma ISO 27001:2014 se convierte en una decisión estratégica clave y de gran calado para el futuro de la empresa. Si todavía no lo ves claro piensa que la pérdida o deterioro de la información que tu empresa emplea en su día a día y que va recopilando poco a poco a través de años, no solamente supone fallos en el funcionamiento y en la realización del producto y/o servicio ofrecido al cliente, sino que se traduce a costes económicos directos y en pérdidas de credibilidad que afecta a la imagen de tu empresa, generando inseguridad en tu cliente y socavando la confianza que colocan en ella para cubrir sus necesidades y superar sus expectativas.
4 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
5 / 27
Junio 2016| ISO 27001:2014. Protegiendo su activo más valioso: la información Junio 2016
¿Qué es un SGSI y que puede aportar a su empresa?
Un Sistema de Gestión de Seguridad de la Información (SGSI) según la Norma ISO 27001:2014 es una herramienta que permite establecer, implementar, mantener y mejorar de manera continua la seguridad de la información de que dispone a través de un conjunto de procesos que toman como base los riesgos a los que se enfrenta la empresa en su día a día y en todas sus actividades e interacciones. De esta forma, garantiza la integridad, confidencialidad y disponibilidad de la información de que se dispone, así como de todos aquellos sistemas que la procesan, protegiendo, como ya he indicado, uno de los activos más valiosos que puede poseer: la información.
6 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
Además, la ISO 27001:2014 se convierte en el aliado perfecto en el control de los riesgos y amenazas en materia de seguridad de la información, así como en su tratamiento para que sean eliminados o mitigados hasta un límite aceptable.
Contar con la ISO 27001:2014 le permitirá garantizar la confidencialidad, integridad y disponibilidad de la información, así como el control y tratamiento adecuado de aquellos riesgos y amenazas relacionadas con ella, a los que se encuentra expuesta su empresa y que pueden afectarla gravemente.
7 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Pilares de la Norma ISO 27001:2014.
Como cualquier herramienta, la Norma ISO 27001:2014 se revisa cada cierto tiempo para adaptarla a las nuevas necesidades de las organizaciones, a las novedades del mercado, a los puntos que desde su aplicación son necesarios perfeccionar y mejorar, etc. El objetivo es que el sistema siga siendo eficaz y ofrezca un apoyo real al futuro y crecimiento de las empresas. Esto se traduce en esta versión del 2014, entre otros aspectos, en una integración completa con otros sistemas de gestión como la ISO 9001, Sistema de Gestión de la Calidad, o la ISO 14001, Sistema de Gestión Ambiental, para que su empresa pueda contar con el valioso apoyo, ventajas y beneficios que disponer de estos sistemas de gestión le aporta.
8 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
Esta integración se logra gracias a la adopción de la estructura de alto nivel o HLS que, más allá de un índice o esquema, aporta textos comunes, definiciones consensuadas y una estructura general para todas las normas, ya sean nuevas o estén revisadas. De esta forma, se evitan duplicidades, utilización innecesaria de recursos para llevar cada sistema y se disminuyen las pérdidas en esfuerzo y tiempo que solía suponer llevar varios sistemas de gestión por separado.
La Norma ISO 27001:2014 permite una integración perfecta con otros sistemas de gestión para que su empresa cuente con los mejores apoyos y herramientas que le ayuden en su presente y futuro.
Para comprender un poco más la importancia de esta norma vamos a ver los pilares sobre los que se sustentan y que la definen. Así que, comencemos!
9 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
El papel del contexto y el alcance.
Aunque de forma inicial se podría pensar que un sistema de gestión solamente es asumible por aquellas empresas de grandes dimensiones, son precisamente las pymes las que más pueden beneficiarse ya que les aporta un conjunto de conocimientos y herramientas que, de otra manera, saldrían fuera de sus posibilidades. La Norma ISO 27001:2014 es adecuada para implantarse en cualquier empresa, sin importar dimensiones, mercado o actividad. Además, el Sistema de Gestión de la Seguridad de la Información pone un especial cuidado y tiene como uno de los objetivos clave favorecer el desempeño de su empresa y, para ello, debe estar en consonancia y alineada con sus objetivos de negocio. De esta forma, debemos conocer el “contexto de la organización” valorando aquellas cuestiones, tanto internas como externas, que pueden en alguna medida favorecer o perjudicar la labor de lograr las metas marcadas. Como cuestiones internas podemos identificar los recursos financieros o el personal y sus competencias, por poner dos ejemplos. Por otro lado, algunas cuestiones externas pueden ser los aspectos culturales o socioeconómicos. Todo ello permitirá que más allá de contar con una herramienta de gestión de la seguridad de la información, adquiera una imagen global de la posición que ocupa y de todo aquello que la rodea y que le afecta en mayor o menor medida y a lo que afecta de igual forma. Pero en esta imagen no
10 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
podemos olvidar el papel que ocupan las partes interesadas y sus necesidades y expectativas. Ellos son los personajes que se mueven en el anterior escenario y que marcan los posibles objetivos a seguir. Por último en este punto, definir el alcance del sistema es clave ya que va a determinar el ámbito de la empresa que trabajará bajo los requisitos de la Norma ISO 27001:2014.
No es necesario que incluyamos toda la empresa desde un principio, sino que teniendo en cuenta los recursos, tiempo, mercado o localización puede ser más práctico comenzar la implantación por aquellos procesos o servicios claves para luego, en el camino de la mejora continua, ir adaptando o ampliando el alcance del sistema de gestión de seguridad de la información de forma progresiva.
11 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Política
La Política de seguridad de la información es un documento clave que permite reflejar, de forma clara y en términos generales, los objetivos que la empresa se ha marcado en materia de seguridad de la información de que dispone y establece las principales líneas de actuación que van a permitir proteger todos estos datos frente a pérdidas, garantizando su integridad, confidencialidad y disponibilidad. Este compromiso que la empresa adquiere y que es comunicado, tanto a nivel interno como a las partes interesadas externas, aporta seguridad, contribuye a una mejora de la imagen de la empresa y permite una diferenciación con la competencia. Por lo que, más allá de un documento estático, es uno de los pilares del sistema de gestión de seguridad de la información según la ISO 27001:2014.
12 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Roles y responsabilidades.
Saber quién tiene que hacer cada uno de los procesos o actividades es clave para que estas se realicen de forma eficaz. De esta forma, la identificación adecuada de los distintos roles y responsabilidades se convierte en otro pilar que va a permitir que todas aquellos procesos u objetivos que se planifiquen en papel no queden ahí debido a que nadie sabe quién tiene que realizarlos, en que tiempo, a quién tienen que aportar los resultados e incidencias, etc. En este punto es indudable la importancia que ocupa el liderazgo, tanto de la dirección como, si existieran, de los mandos intermedios. Y es que la Norma ISO 27001:2014 busca y promueve un liderazgo marcado por su capacidad para dirigir al resto de los empleados, a todos los niveles, para alcanzar las metas y objetivos marcados a través del uso de la motivación y no de la imposición, promoviendo de forma efectiva la implicación de todas las personas de la empresa en la consecución de sus objetivos y avanzando en la mejora continua.
13 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
La norma contempla la existencia de los siguientes roles: Responsable de seguridad que coordina actividades en materia de seguridad y que sirve de enlace con la dirección. Comité de seguridad que busca soluciones en temas de seguridad, aprueba directrices y, además, resuelve asuntos interdisciplinares. Su existencia y exclusividad dependerán de la organización interna, número de empleados y jerarquía de la empresa.
14 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Riesgos y oportunidades.
En materia de seguridad de la información, determinar los riesgos, los criterios de aceptación de estos y las medidas de tratamiento y prioridad que permitirán que todos ellos se eliminen o se reduzcan a niveles aceptables que previamente hemos determinado, es esencial. Sin embargo no debemos olvidar que no solamente existen riesgos sino también oportunidades que la empresa puede aprovechar si las tiene en cuenta de forma correcta. Esto es uno de los puntos clave de la Norma ISO 27001:2014, el punto fuerte podríamos decir, y para ayudarle en su labor cuenta con los controles indicados en la Norma ISO 27002:2015 de los que hablaré posteriormente. Para tratar de forma adecuada los riesgos y oportunidades hay que definir un proceso que estará marcado por las siguientes etapas:
15 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Gestión de recursos y competencia.
Contar con los recursos necesarios es clave para poder llevar a cabo las actividades planificadas y realizar una buena gestión de la seguridad de la información de que se dispone. Es por esta razón que la Norma ISO 27001:2014 pone una especial atención en el papel de la dirección de comprometerse en aportar y gestionar todos estos recursos necesarios para una efectiva gestión de la seguridad, teniendo en cuenta las distintas fases (planificación, implantación, monitorización y mejora) y las distintas medidas que se requieren. De la misma forma, contar con la adecuada competencia del personal de la empresa que va a realizar las distintas actividades es relevante si queremos que sean realizadas de forma eficaz, continuada y que se mejoren de forma constante. La Norma ISO 27001:2014 indica que se debe:
Definir cada perfil con sus competencias asociadas. Identificar las necesidades de formación. Realizar acciones formativas concretas centradas en estas necesidades. Dejar evidencias documentadas que permitan evaluarlas en un futuro. Y valorar la eficacia de estas acciones formativas.
El sistema de gestión de seguridad de la información tiene como requisito que todas las personas que componen la empresa deben tener conciencia de la importancia que estas actividades de formación ocupan para alcanzar los objetivos, tanto en la seguridad de la información como en la mejora continua.
16 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Comunicación
Tal y como decía antes, la gestión de la comunicación es imprescindible ya que permitirá que el sistema funcione adecuadamente incluyendo a las partes interesadas internas, pero también a las externas, en el logro de los objetivos, motivando a la mejora continua, consiguiendo información sobre riesgos e incidencias antes de que ocurran o a tiempo real, etc. Bien utilizada, la gestión de la comunicación nos permitirá mejorar, no sólo a nivel de la seguridad de la información sino en el de toda la empresa, y para ello debemos considerar:
el contenido que se va a comunicar. el tiempo (¿Cuándo?) los destinatarios (¿A quién?) los responsables de esta comunicación (¿Quién?) y el medio a emplear.
17 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Información documentada.
Tradicionalmente se viene pensando que un sistema de gestión viene unido a un gran número de documentación que se generará en cada uno de los pasos y que, por ello, cargará de trabajo a la empresa. Sin embargo, esto no es así. El sistema de gestión de la seguridad de la información nos aporta una gran flexibilidad al no exigir un formato concreto en el que esta información documentada sea recogida. A la vez que permite que, a parte de algunos documentos mínimos necesarios, la empresa determine aquellos procesos y evidencias de cumplimiento que es necesario conservar como información documentada con el fin de que tenga constancia de que se ha llevado a cabo según lo planificado y que han resultado eficaces.
Información documentada necesaria: política, objetivos y alcance procesos de evaluación y tratamiento de riesgos, así como los resultados. resultados de los procesos de seguimiento, medición, análisis y evaluación. Auditorias y resultados Revisión por la dirección. No conformidades y acciones correctivas Procesos y evidencias que la empresa haya considerado que es necesario mantener como información documentada. 18 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Auditoría Interna y Revisión por la dirección.
Se trata de dos de las herramientas más poderosas para la mejora si se realizan de forma correcta. Para ello es necesario:
establecer una periodicidad de, al menos, una vez al año, estar planificada y en el caso de la revisión por la dirección incluir unas entradas concretas que deben considerarse.
Si se realizan adecuadamente, por personal competente y no como un meró trámite las auditorías internas nos aportarán:
las evidencias recogidas y los aspectos comprobados. las deficiencias detectadas a corregir. las desviaciones a tener en cuenta para que en un futuro no se conviertan en deficiencias. y las valiosas oportunidades de mejora. Por su parte, del Informe de la Revisión por la Dirección saldrán como resultado decisiones sobre las necesidades de cambios en el sistema de gestión de la seguridad de la información y la identificación de los recursos necesarios para llevarlos a cabo, entre otros aspectos.
19 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
Mejora continua.
La mejora continua, más allá de un pilar sobre el que se sustenta la Norma ISO 27001:2014, es un eje trasversal que se encuentra presente en cada uno de los capítulos, requisitos y puntos de esta. Tenemos que tener presente que el Sistema de Gestión de la Seguridad de la Información tiene que permanecer en constante evolución, adaptándose a los cambios de su entorno, a las necesidades en el negocio, a las nuevas tecnologías, a las amenazas que se produzcan o aparezcan, etc., para mantener los riesgos controlados en todo momento, aprovechar las oportunidades que se produzcan y gestionarse de forma cada vez más eficaz.
20 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
La ISO 27002:2015 y los controles a aplicar en la ISO 27001:2014.
La Norma ISO 27002:2015 es el complemento ideal del SGSI al aportar una guía de buenas prácticas para la implantación de controles que aseguren la seguridad de la información de que se dispone. Nos aporta ideas para la aplicación de los controles en cada uno de sus 14 capítulos pero es la empresa la que decidirá cuales de ellas se implantarán y en qué grado. Por lo que, más allá de un requisito se trata de un apoyo, una guía a tener en cuenta y a consultar, pero, a la vez, esencial para garantizar la eficacia del Sistema de Gestión de la Seguridad de la Información implantado.
21 / 27
Junio2016 2016 | ISO Junio ISO 27001:2014. 27001:2014. Protegiendo Protegiendo su su activo activo más más valioso: valioso: la la información información
1
Políticas de seguridad de la información Organización de la seguridad de la información
2
3
Seguridad relativa a los recursos humanos
4 Gestión de activos Control de acceso
5
Criptografía
6
Seguridad física y del entorno
7
Seguridad de las operaciones
8
Seguridad de las comunicaciones
9
Adquisiciones, desarrollo y mantenimiento de los sistemas de información
10 Capítulos de la ISO 27002:2015
11
Relación con proveedores
12
Gestión de incidentes de seguridad de la información
13 Aspectos de seguridad de la información para la gestión de la continuidad de negocio
14 Cumplimiento
114 Controles divididos en 14 capítulos
22 / 27
Junio2016 2016 | ISO Junio ISO 27001:2014. 27001:2014. Protegiendo Protegiendo su su activo activo más más valioso: valioso: la la información información
Beneficios de la implantación de la Norma ISO 27001 en su empresa.
Las principales ventajas y beneficios que podrá conseguir y disfrutar al implantar un Sistema de Gestión de Seguridad de la Información en su empresa se puede resumir en los siguientes puntos:
Mejorar de forma continua la gestión de la seguridad de la información. Garantizar la confidencialidad, disponibilidad e integridad de la información de que dispone. Disminuir los riesgos que pueden afectarles. Mejorar la imagen corporativa. Incremento de la confianza en su empresa.
23 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
Reducción de los gastos asociados a incidentes de seguridad de la información. Mejora de los procesos y servicios. Posible integración con otros sistemas de gestión como ISO 9001 o ISO 14001. Mayor implicación del personal en la adecuada gestión y en la seguridad de la información de que disponen. Cumplimiento de la legislación vigente en temas de seguridad de la información.
24 / 27
Junio2016 2016 | ISO Junio ISO27001:2014. 27001:2014.Protegiendo Protegiendosu suactivo activomás másvalioso: valioso:lalainformación información
¿Qué puede hacer SBQ Consultores por su empresa?
Desde SBQ Consultores le ofrecemos un servicio totalmente personalizado, adaptado a las peculiaridades de su empresa y a sus necesidades y objetivos para que la implantación del sistema de gestión de seguridad de la información le aporte todos los beneficios anteriormente mencionados. Para ello le acompañamos en todo el proceso de implantación realizando las siguientes actividades:
25 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
Evaluación del estado inicial de la empresa en relación con los requisitos de la Norma ISO 27001. Análisis del contexto y partes interesadas. Definición del alcance. Elaboración de la política y propuesta de objetivos. Evaluación de riesgos Tratamiento de los riesgos Selección de controles y declaración de aplicabilidad. Documentar la información del SGSI y consenso con la empresa sobre ello. Implementación del SGSI. Actividades de formación adaptada a su empresa. Realización de Auditoría Interna y Revisión del Sistema. Acompañamiento en la auditoría de certificación. Resolución de las posibles no conformidades detectadas.
También le ofrecemos las actividades de Mantenimiento de su Sistema de Gestión de la Seguridad de la Información, Auditoría Interna y Formación específica a sus trabajadores.
Póngase en contacto con nosotros y descubra lo que puede hacer SBQ Consultores por su empresa.
26 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información
Si te ha parecido interesante puedes seguir el contenido de nuestro blog donde hablamos de temas relacionados con los sistemas de gestión.
Autor: ANA ROJO ROJO Auditora en Sistemas de Gestión
Avd. Ponferrada, Nº 7 – 9 24700 Astorga (León) Telf. 987 044 140
[email protected] www.sbqconsultores.es
27 / 27
