ISO 27001:2013 | Análisis detallado – 1ra. parte

  • ¿Qué es norma ISO 27001?
  • ¿Qué significa la Seguridad de la Información?
  • ¿Cómo se debe realizar la clasificación de la información?
  • ¿Seguridad informática o seguridad de la información?

Aspectos importantes de la ISO 27001

 

  1. ACCIÓN CORRECTIVA. (inglés: Corrective action). Acción para eliminar la causa de una no conformidad y prevenir su repetición. Va más allá de la simple corrección.
  2. ACCIÓN PREVENTIVA. (inglés: Preventive action). Medida de tipo proactivo orientada a prevenir potenciales no conformidades. Es un concepto de ISO 27001:2005. En ISO 27001:2013, ya no se emplea; ha quedado englobada en Riesgos y Oportunidades.
  3. ACEPTACIÓN DEL RIESGO. (inglés: Risk acceptance). Decisión informada de asumir un riesgo concreto.
  4. (inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización.
  5. (inglés: Scope). Ámbito de la organización que queda sometido al SGSI.
  6. (inglés: Threat). Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.
  7. ANÁLISIS DE RIESGOS. (inglés: Risk analysis). Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
  8. ANÁLISIS DE RIESGOS CUALITATIVO. (inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa algún tipo de escalas de valoración para situar la gravedad del impacto y la probabilidad de ocurrencia.
  9. ANÁLISIS DE RIESGOS CUANTITATIVO. (inglés: Quantitative risk analysis). Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.
  10. (inglés: Auditor). Persona encargada de verificar, de manera independiente, el cumplimiento de unos determinados requisitos.
  11. AUDITOR DE PRIMERA PARTE. (inglés: First party auditor). Auditor interno que audita la organización en nombre de ella misma.
  12. AUDITOR DE SEGUNDA PARTE. (inglés: Second party auditor). Auditor que audita una organización en nombre de otra. Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o cuando una administración pública ordena una auditoría de una empresa.
  13. AUDITOR DE TERCERA PARTE. (inglés: Third party auditor). Auditor que audita una organización en nombre de una tercera parte independiente que emite un certificado de cumplimiento.
  14. AUDITOR JEFE. (inglés: Lead auditor). Auditor responsable de asegurar la conducción y realización eficiente y efectiva de la auditoría, dentro del alcance y del plan de auditoría acordado.
  15. AUDITORÍA. (inglés: Audit). Proceso sistemático, independiente y documentado para obtener evidencias de auditoriía y evaluarlas objetivamente para determinar el grado en el que se cumplen los criterios de auditoría.
  16. AUTENTICACIÓN. (inglés: Authentication). Provisión de una garantía de que una característica afirmada por una entidad es correcta.
  17. (inglés: Authenticity). Propiedad de que una entidad es lo que afirma ser.

Aspectos Básicos
  1. BS 7799. Norma británica de seguridad de la información, publicada por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera era un conjunto de buenas prácticas para la gestión de la seguridad de la información -no certificable- y la parte segunda especificaba el sistema de gestión de seguridad de la información -certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de éstos últimos.
  2. British Standards Institution, la entidad de normalización del Reino Unido, responsable en su día de la publicación de la norma BS 7799, origen de ISO 27001. Su función como entidad de normalización es comparable a la de AENOR en España. (inglés: CIA). Acrónimo español de confidencialidad, integridad y disponibilidad, las dimensiones básicas de la seguridad de la información.
  3. Certified Information Systems Auditor. Es una acreditación ofrecida por ISACA.
  4. Certified Information Security Manager. Es una acreditación ofrecida por ISACA.
  5. Certified Information Systems Security Professional. Es una acreditación ofrecida por ISC2.
  6. CHECK LIST. Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas también se pueden utilizar durante la implantación del SGSI para facilitar su desarrollo. Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores.
  7. COMPROMISO DE LA DIRECCIÓN. (inglés: Management commitment). Alineamiento firme de la Dirección de la organización con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. La versión de 2013 de ISO 27001 lo engloba bajo la cláusula de Liderazgo. (inglés: Confidentiality). Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados. Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo.
  8. CONTROL CORRECTIVO. (inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado pero que se corrige.
  9. CONTROL DETECTIVO. (inglés: Detective control). Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
  10. CONTROL DISUASORIO. (inglés: Deterrent control). Control que reduce la posibilidad de materialización de una amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a desistir de su intención.
  11. CONTROL PREVENTIVO. (inglés: Preventive control). Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
  12. CORRECCIÓN. (inglés: Correction). Acción para eliminar una no conformidad detectada. Si lo que se elimina es la causa de la no conformidad, véase acción correctiva.
  13. DECLARACIÓN DE APLICABILIDAD. (inglés: Statement of Applicability; SOA). Documento que enumera los controles aplicados por el SGSI de la organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- y su justificación, así como la justificación de las exclusiones de controles del anexo A de ISO 27001. (inglés: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organización durante el tiempo suficiente como para verse la misma afectada de manera significativa.
  14. DIRECTIVA O DIRECTRIZ. (inglés: Guideline). Una descripción que clarifica qué debería ser hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas. (inglés: Availability). Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada. Instituto Internacional de Recuperación de Desastres. Secretaría de Industria y Comercio del Reino Unido. Edita muchas guías prácticas en el ámbito de la seguridad de la información.

¿Dónde interviene la gestión de seguridad de la información en una empresa?
  1. ENTIDAD NACIONAL DE ACREDITACIÓN. Es el organismo español de acreditación, auspiciado por la Administración, que acredita organismos que realizan actividades de evaluación de la conformidad, sea cual sea el sector en que desarrollen su actividad. Además de laboratorios, entidades de inspección, etc., también acredita a las entidades de certificación, que son las que a su vez certificarán a las empresas en las diversas normas.
  2. ENTIDAD DE ACREDITACIÓN. (inglés: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar según diversas normas. Suele haber una por país. Son ejemplos de entidades de acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA (Argentina), etc.
  3. ENTIDAD DE CERTIFICACIÓN. (inglés: Certification body). Una empresa u organismo acreditado por una entidad de acreditación para auditar y certificar según diversas normas (ISO 27001, ISO 9001, ISO 14000, etc.) a empresas usuarias de sistemas de gestión.
  4. ENTIDAD DE NORMALIZACIÓN. (inglés: Standards body). Un organismo oficial que genera y publica normas. Suele haber una por país. Son ejemplos de entidades de normalización: AENOR (España), BSI (Reino Unido), DGN (México), IRAM (Argentina), etc. En nuestra sección.
  5. ESTIMACIÓN DE RIESGOS. (inglés: Risk evaluation). Proceso de comparar los resultados del análisis de riesgos con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o tolerable.
  6. EVALUACIÓN DE RIESGOS. (inglés: Risk assessment). Proceso global de identificación, análisis y estimación de riesgos.
  7. EVIDENCIA OBJETIVA. (inglés: Objective evidence). Información, registro o declaración de hechos, cualitativa o cuantitativa, verificable y basada en observación, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementación de un elemento del sistema de gestión de seguridad de la información.
  8. FASE 1 DE AUDITORÍA. (inglés: Stage 1 Audit). Etapa de la auditoría de primera certificación en la que, fundamentalmente a través de la revisión de documentación, se analiza en SGSI en el contexto de la política de seguridad de la organización, sus objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2.
  9. FASE 2 DE AUDITORÍA (inglés: Stage 2 Audit). Etapa de la auditoría de primera certificación en la que se comprueba que la organización se ajusta a sus propias políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que está siendo eficaz.
¡LLÁMANOS!  AHORA PARA HACER UNA CITA NO ESPERES MÁS
COMPARTE ESTE CONTENIDO CON TU COMUNIDAD EN REDES SOCIALES DANDO CLIC EN LOS BOTONES DE ABAJO.