Historia de ISO 27001

La norma BS 7799 de BSI (Standards, Training, Testing, Assessment & Certification) apareci por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin.

La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se

estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO,

sin cambios sustanciales, como ISO 17799 en el ao 2000.

En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de

gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se public por

ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS

7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.

Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie

27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC 27001, que es la norma principal y nica certificable dentro de la serie.

Qu es ISO/IEC 27001?

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012.

Beneficios

Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial.

Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar.

Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001, entre otros).

Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras.

Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin.

Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

Aspectos claves

Fundamentales Compromiso y apoyo de la Direccin de la organizacin. Definicin clara de un alcance apropiado. Concienciacin y formacin del personal. Evaluacin de riesgos adecuada a la organizacin. Compromiso de mejora continua. Establecimiento de polticas y normas. Organizacin y comunicacin. Gestin adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalizacin. Integracin del SGSI en la organizacin.

Factores de xito La concienciacin del empleado por la seguridad. Principal objetivo a conseguir. Realizacin de comits a distintos niveles (operativos, de direccin, etc.) con gestin continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos... Creacin de un sistema de gestin de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso. La seguridad no es un proyecto, es una actividad continua y el programa de proteccin requiere el soporte de la organizacin para tener xito. La seguridad debe ser inherente a los procesos de informacin y del negocio.

Riesgos Exceso de tiempos de implantacin: con los consecuentes costes descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. No asumir que la seguridad de la informacin es inherente a los procesos de negocio. Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Falta de comunicacin de los progresos al personal de la organizacin.

Consejos bsicos Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un nico centro de proceso de datos o un rea sensible concreta; una vez conseguido el xito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases. Comprender en detalle el proceso de implantacin: iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que rpidamente sobrecarga de problemas la implantacin; adquirir experiencia de otras implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores externos especializados. Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. La autoridad y compromiso decidido de la Direccin de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarn un muro de excusas para desarrollar las buenas prcticas, adems de ser uno de los puntos fundamentales de la norma. La certificacin como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin por un tercero asegura un mejor enfoque, un objetivo ms claro y tangible y, por lo tanto, mejores opciones de alcanzar el xito. Eso s, la certificacin es la "guinda del pastel", no es bueno que sea la meta en s misma. El objetivo principal es la gestin de la seguridad de la informacin alineada con el negocio. No reinventar la rueda: apoyarse lo ms posible en estndares, mtodos y guas ya establecidos, as como en la experiencia de otras organizaciones. Servirse de lo ya implementado: otros sistemas de gestin (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organizacin son tiles como

estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestin. Reservar la dedicacin necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto. Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificacin para demostrar que el SGSI funciona adecuadamente. No precipitarse en conseguir la certificacin. Mantenimiento y mejora continua: tener en consideracin que el mantenimiento y la mejora del SGSI a lo largo de los aos posteriores requerirn tambin esfuerzo y recursos.

ISO 27001:2005 0 Introduccin: generalidades e introduccin al mtodo PDCA. 0.1 Generalidades 0.2 Enfoque por proceso 0.3 Compatibilidad con otros sistemas de gestin 1 Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y el tratamiento de exclusiones. 1.1 Generalidades 1.2 Aplicacin 2 Normas para consulta: otras normas que sirven de referencia. 3 Trminos y definiciones: breve descripcin de los trminos ms usados en la norma. 4 Sistema de gestin de la seguridad de la informacin: cmo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentacin y control de la misma. 4.1 Requisitos generales 4.2 Creacin y gestin del SGSI - 4.2.1 Creacin del SGSI - 4.2.2 Implementacin y operacin del SGSI - 4.2.3 Supervisin y revisin del SGSI - 4.2.4 Mantenimiento y mejora del SGSI 4.3 Requisitos de documentacin -4.3.1 Generalidades -4.3.2 Control de documentos

-4.3.3 Control de registros 5 Responsabilidad de la direccin: en cuanto a compromiso con el SGSI, gestin y provisin de recursos y concienciacin, formacin y capacitacin del personal. 5.1 Compromiso de la direccin 5.2 Gestin de los recursos - 5.2.1 Provisin de los recursos - 5.2.2 Concienciacin, formacin y competencia 6 Auditoras internas del SGSI: cmo realizar las auditoras internas de control y cumplimiento. 7 Revisin del SGSI por la direccin: cmo gestionar el proceso peridico de revisin del SGSI por parte de la direccin. 7.1 Generalidades 7.2 Datos iniciales de la revisin 7.3 Resultados de la revisin 8 Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. 8.1 Mejora continua 8.2 Accin correctiva 8.3 Accin preventiva Anexo A: (normativo) Objetivos de control y controles - anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005. Anexo B: (informativo) Relacin con los Principios de la OCDE con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. Anexo C: (informativo) Correspondencia con otras normas mediante una tabla de correspondencia de clusulas con ISO 9001 e ISO 14001.

Bibliografa: normas y publicaciones de referencia.

Fuente: http://www.iso27000.es/iso27000.html#section3c

Antecedentes
Depender de los sistemas de informacin y servicios hace a las organizaciones ms vulnerables contra amenazas de la seguridad. La informacin es un activo que, al igual que otros de su negocio, tiene valor en su organizacin y por consiguiente tiene que ser protegida adecuadamente. Su empresa, a travs de una identificacin y clasificacin apropiada de esos activos y una evaluacin de riesgo sistemtica de vulnerabilidad y amenaza, puede optar por controles apropiados para gestionar riesgos. As, demostrar que se preserva la confidencialidad, la integridad y la disponibilidad de esos activos ante clientes, consumidores, accionistas, autoridades y sociedad en general. m En la actualidad, el mercado necesita y demanda: Criterios de Calidad de Servicio Cumplimiento Legal Innovacin Tecnolgica

Qu es la ISO 27001? c
La ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la Informacin que permite a una organizacin evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la informacin. El objetivo fundamental es proteger la informacin de su organizacin para que no caiga en manos incorrectas o se pierda para siempre.

Beneficios
Mejora del conocimiento de los sistemas de informacin, sus problemas y los medios de proteccin. Mejora de la disponibilidad de los materiales y datos. Proteccin de la informacin.

Diferenciacin sobre la competencia y mercado. Algunas licitaciones internacionales empiezan a solicitar una gestin ISO 27001. Reduccin de los costos vinculados a incidentes. Posibilidad de disminucin de las primas de seguro. http://www.bureauveritas.com.pe/Home2/Our-Services/Certification/iso_27001.pdf

Intro: http://www.intertek-cb.com/mexico/espanol-ISO27001.shtml

Aporte 27002: http://www.iso27000.es/download/ControlesISO27002-2005.pdf