ISO / IEC 27001 es un estándar internacional sobre cómo gestionar la seguridad de la información. La norma fue publicada originalmente conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en 2005 [1] y luego revisada en 2013. [2] Detalla los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de seguridad de la información (SGSI): el objetivo es ayudar a las organizaciones a hacer más seguros los activos de información que poseen. [3] En 2017 se publicó una actualización europea de la norma. [4]Las organizaciones que cumplen con los requisitos del estándar pueden optar por ser certificadas por un organismo de certificación acreditado luego de completar con éxito una auditoría .
Cómo funciona el estándar
La mayoría de las organizaciones tienen varios controles de seguridad de la información . Sin embargo, sin un sistema de gestión de seguridad de la información (SGSI), los controles tienden a ser algo desorganizados e inconexos, habiéndose implementado a menudo como soluciones puntuales para situaciones específicas o simplemente como una cuestión de convención. Los controles de seguridad en funcionamiento generalmente abordan ciertos aspectos de la tecnología de la información (TI) o la seguridad de los datos específicamente; dejando los activos de información que no son de TI (como el papeleo y el conocimiento patentado) menos protegidos en general. Además, la planificación de la continuidad del negocio y la seguridad física pueden gestionarse de forma bastante independiente de la seguridad de la información o de TI, mientras que las prácticas de recursos humanos pueden hacer poca referencia a la necesidad de definir y asignar roles y responsabilidades de seguridad de la información en toda la organización.
ISO / IEC 27001 requiere que la gerencia:
- Examinar sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas, vulnerabilidades e impactos;
- Diseñar e implementar un conjunto coherente y completo de controles de seguridad de la información y / u otras formas de tratamiento de riesgos (como evitar o transferir riesgos) para abordar los riesgos que se consideran inaceptables; y
- Adopte un proceso de gestión global para garantizar que los controles de seguridad de la información continúen satisfaciendo las necesidades de seguridad de la información de la organización de forma continua.
Tenga en cuenta que ISO / IEC 27001 está diseñado para cubrir mucho más que solo TI.
Los controles que se probarán como parte de la certificación según ISO / IEC 27001 dependen del auditor de certificación. Esto puede incluir cualquier control que la organización haya considerado que está dentro del alcance del SGSI y esta prueba puede ser en cualquier profundidad o extensión según lo evalúe el auditor según sea necesario para probar que el control se ha implementado y está operando de manera efectiva.
La gerencia determina el alcance del SGSI para propósitos de certificación y puede limitarlo a, digamos, una sola unidad de negocios o ubicación. El certificado ISO / IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de alcance, tenga un enfoque adecuado para la gestión de la seguridad de la información.
Otras normas de la familia de normas ISO / IEC 27000 brindan orientación adicional sobre ciertos aspectos del diseño, implementación y operación de un SGSI, por ejemplo, sobre la gestión de riesgos de seguridad de la información ( ISO / IEC 27005 ).
Historia de ISO / IEC 27001
BS 7799 fue una norma publicada originalmente por BSI Group [5] en 1995. Fue redactada por el Departamento de Comercio e Industria (DTI) del Gobierno del Reino Unido y constaba de varias partes.
La primera parte, que contiene las mejores prácticas para la gestión de la seguridad de la información, se revisó en 1998; Después de una larga discusión en los organismos de normalización de todo el mundo, ISO finalmente lo adoptó como ISO / IEC 17799, "Tecnología de la información - Código de prácticas para la gestión de la seguridad de la información". en 2000. ISO / IEC 17799 fue luego revisada en junio de 2005 y finalmente incorporada en la serie de normas ISO 27000 como ISO / IEC 27002 en julio de 2007.
La segunda parte de BS7799 fue publicada por primera vez por BSI en 1999, conocida como BS 7799 Parte 2, titulada "Sistemas de gestión de seguridad de la información - Especificación con orientación para su uso". BS 7799-2 se centró en cómo implementar un sistema de gestión de seguridad de la información (SGSI), refiriéndose a la estructura de gestión de seguridad de la información y los controles identificados en BS 7799-2. Esto más tarde se convirtió en ISO / IEC 27001: 2005. BS 7799 Parte 2 fue adoptado por ISO como ISO / IEC 27001 en noviembre de 2005.
BS 7799 Parte 3 se publicó en 2005 y cubre el análisis y la gestión de riesgos. Se alinea con ISO / IEC 27001: 2005.
Se hace muy poca referencia o uso a cualquiera de los estándares BS en relación con ISO / IEC 27001.
Certificación
Un SGSI puede ser certificado de conformidad con ISO / IEC 27001 por varios registradores acreditados en todo el mundo. [6] La certificación según cualquiera de las variantes nacionales reconocidas de ISO / IEC 27001 (por ejemplo, JIS Q 27001, la versión japonesa) por un organismo de certificación acreditado es funcionalmente equivalente a la certificación según la propia ISO / IEC 27001.
En algunos países, los organismos que verifican la conformidad de los sistemas de gestión con las normas especificadas se denominan "organismos de certificación", mientras que en otros se les suele denominar "organismos de registro", "organismos de evaluación y registro", "organismos de certificación / registro", ya veces "registradores".
La certificación ISO / IEC 27001, [7] al igual que otras certificaciones de sistemas de gestión ISO, generalmente implica un proceso de auditoría externa de tres etapas definido por las normas ISO / IEC 17021 [8] e ISO / IEC 27006 [9] :
- La etapa 1 es una revisión preliminar e informal del SGSI, por ejemplo, verificando la existencia y la integridad de la documentación clave, como la política de seguridad de la información de la organización, la Declaración de aplicabilidad (SoA) y el Plan de tratamiento de riesgos (RTP). Esta etapa sirve para familiarizar a los auditores con la organización y viceversa.
- La etapa 2 es una auditoría de cumplimiento más detallada y formal , que prueba de forma independiente el SGSI contra los requisitos especificados en ISO / IEC 27001. Los auditores buscarán pruebas para confirmar que el sistema de gestión se ha diseñado e implementado correctamente y que, de hecho, está en funcionamiento ( por ejemplo, confirmando que un comité de seguridad u organismo de gestión similar se reúne periódicamente para supervisar el SGSI). Las auditorías de certificación suelen ser realizadas por auditores principales de ISO / IEC 27001 . Pasar esta etapa da como resultado que el SGSI se certifique en conformidad con ISO / IEC 27001.
- Continuo implica revisiones de seguimiento o auditorías para confirmar que la organización sigue cumpliendo con el estándar. El mantenimiento de la certificación requiere auditorías periódicas de reevaluación para confirmar que el SGSI continúa funcionando según lo especificado y previsto. Estos deberían ocurrir al menos una vez al año, pero (por acuerdo con la administración) a menudo se realizan con más frecuencia, particularmente mientras el SGSI aún está madurando.
Estructura del estándar
El título oficial de la norma es "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos".
ISO / IEC 27001: 2013 tiene diez cláusulas breves, más un anexo extenso, que cubre:
- 1. Alcance de la norma
- 2. Cómo se hace referencia al documento
- 3. Reutilización de los términos y definiciones en ISO / IEC 27000
- 4. Contexto organizativo y partes interesadas
- 5. Liderazgo en seguridad de la información y apoyo de alto nivel a las políticas
- 6. Planificación de un sistema de gestión de seguridad de la información ; Evaluación de riesgos; tratamiento de riesgo
- 7. Apoyo a un sistema de gestión de la seguridad de la información
- 8. Poner en funcionamiento un sistema de gestión de la seguridad de la información
- 9. Revisión del desempeño del sistema
- 10. Acción correctiva
- Anexo A: Lista de controles y sus objetivos
Esta estructura refleja otros estándares de gestión como ISO 22301 ( gestión de la continuidad del negocio ) y esto ayuda a las organizaciones a cumplir con múltiples estándares de sistemas de gestión si así lo desean. Se han eliminado los anexos B y C de 27001: 2005.
Control S
La cláusula 6.1.3 describe cómo una organización puede responder a los riesgos con un plan de tratamiento de riesgos; una parte importante de esto es elegir los controles adecuados. Un cambio muy importante en ISO / IEC 27001: 2013 es que ahora no existe el requisito de utilizar los controles del Anexo A para gestionar los riesgos de seguridad de la información. La versión anterior insistía ("deberá") que los controles identificados en la evaluación de riesgos para gestionar los riesgos deben haber sido seleccionados del Anexo A. Por lo tanto, casi todas las evaluaciones de riesgos que se hayan completado bajo la versión anterior de ISO / IEC 27001 usaban controles del Anexo A, pero una Cada vez más evaluaciones de riesgos en la nueva versión no utilizan el Anexo A como conjunto de control. Esto permite que la evaluación de riesgos sea más simple y mucho más significativa para la organización y ayuda considerablemente a establecer un sentido adecuado de propiedad tanto de los riesgos como de los controles. Ésta es la razón principal de este cambio en la nueva versión.
Hay 114 controles en 14 grupos y 35 categorías de control:
- A.5: Políticas de seguridad de la información (2 controles)
- A.6: Organización de la seguridad de la información (7 controles)
- A.7: Seguridad de los recursos humanos: 6 controles que se aplican antes, durante o después del empleo
- A.8: Gestión de activos (10 controles)
- A.9: Control de acceso (14 controles)
- A.10: Criptografía (2 controles)
- A.11: Seguridad física y ambiental (15 controles)
- A.12: Seguridad operativa (14 controles)
- A.13: Seguridad de las comunicaciones (7 controles)
- A.14: Adquisición, desarrollo y mantenimiento del sistema (13 controles)
- A.15: Relaciones con proveedores (5 controles)
- A.16: Gestión de incidentes de seguridad de la información (7 controles)
- A.17: Aspectos de seguridad de la información de la gestión de la continuidad del negocio (4 controles)
- A.18: Cumplimiento; con requisitos internos, como políticas, y con requisitos externos, como leyes (8 controles)
Los controles reflejan cambios en la tecnología que afectan a muchas organizaciones, por ejemplo, computación en la nube, pero como se indicó anteriormente, es posible usar y estar certificado según ISO / IEC 27001: 2013 y no usar ninguno de estos controles.
Ver también
Referencias
- ^ "Se publica la norma internacional de seguridad de la información ISO / IEC 27001" . bsigroup.com . BSI . Consultado el 21 de agosto de 2020 .
- ^ Bird, Katie. "NUEVA VERSIÓN DE ISO / IEC 27001 PARA ABORDAR MEJOR LOS RIESGOS DE SEGURIDAD" . iso.org . ISO . Consultado el 21 de agosto de 2020 .
- ^ "ISO / IEC 27001: 2013" . ISO . ISO . Consultado el 9 de julio de 2020 .
- ^ "BS EN ISO / IEC 27001: 2017 - ¿Qué ha cambiado?" . www.bsigroup.com . Grupo BSI . Consultado el 29 de marzo de 2018 .
- ^ "Hechos y cifras" . bsigroup.com .
- ^ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (octubre de 2013). "Proceso de certificación ISO 27001 de Factura Electrónica en el Estado de Minas Gerais" . 2013 47th International Carnahan Conference on Security Technology (ICCST) . Medellín: IEEE: 1–4. doi : 10.1109 / CCST.2013.6922072 . ISBN 978-1-4799-0889-9.
- ^ El proceso de certificación ISO / IEC 27001 .
- ^ ISO / IEC 17021 .
- ^ ISO / IEC 27006 .
enlaces externos
- Sitio web ISO