del Sistema de Gestin de la Carlos Manuel Fernndez Coordinador de TIC de AENOR Garanta de confidencialidad, integridad y Introduccin La informacin es como el aparato circu- latorio para las organizaciones y requiere que se proteja ante cualquier amena- za que pueda poner en peligro las em- presas tanto pblicas como privadas, pues en otro caso podra daarse la sa- lud empresarial. La realidad nos muestra que las orga- nizaciones empresariales se enfrentan en la actualidad con un alto nmero de ries- gos e inseguridades procedentes de una amplia variedad de fuentes (ver figura 1), entre las que se encuentran los nuevos negocios y nuevas herramientas de las Tecnologas de la Informacin y la Co- municacin (TIC), que los CEO (Directo- res Generales) y CIO (Directores de Infor- mtica) deberan aplicar. Todas estas herramientas deben apli- carse segn objetivos empresariales con la mayor seguridad, garantizando la con- fidencialidad (asegurando que slo quie- nes estn autorizados pueden acceder a la informacin), integridad (garantizando ARTCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 41 Seguridad de la Informacin disponibilidad de la informacin que la informacin es fiable y exacta) y disponibilidad (asegurando que los usua- rios autorizados tienen el acceso debido a la informacin). La informacin, como uno de los prin- cipales activos de las organizaciones, debe protegerse a travs de la implan- tacin, mantenimiento y mejora de las medidas de seguridad para que cual- quier empresa logre sus objetivos de negocio, garantice el cumplimiento le- gal, de prestigio y de imagen de la com- paa. ISO 27001. Sistema de Gestin de la Seguridad de la Informacin La norma/estndar UNE ISO/IEC 27001: 2007 del Sistema de Gestin de la Se- guridad de la Informacin es la solu- cin de mejora continua ms adecuada para evaluar los riesgos fsicos (incen- dios, inundaciones, sabotajes, vandalis- mos, accesos indebidos e indeseados) y lgicos (virus informticos, ataques de intrusin o denegacin de servicios) y establecer las estrategias y controles La piedra angular del Sistema de Gestin ISO 27001 es el anlisis y gestin de los riesgos basado en los procesos de negocio y servicios de TI Figura 1. Nuevos negocios y nuevas herramientas en las TIC para los CEO y CIO WEB 3.0 BigData Business Intelligence ISO 27001 - SGSI SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN (Anlisis y gestin de riesgos de TIC) ISO 27002 ISO 27011 (ISO 27002 para TELCO) ISO 27799 (ISO 27002 para SANIDAD) Portal corporativo Redes sociales Wikis e-Branding e-Mailing e-Learning B2C B2B MOBILITY Pdas Smartphone (Android, iOS) Blakberry/Iphone/HTC CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructura As A Service) PaaS (Platform As A Service) BYOD GIS RFID CRM ERP SCM Fuente: AENOR. SEGURIDAD Y SALUD / ARTCULO CALIDAD julio-septiembre 2012 42 de negocio/servicios de TI (por ejemplo, CRM, ERP, Business Inteligence, redes sociales, movilidad, cloud computing, servicios externalizados, Bring You Own Device, BYOD, etc.). El anlisis y gestin de los riesgos ba- sado en procesos de negocio/servicios de Tecnologas de Informacin es una herramienta muy til para evaluar y con- trolar una organizacin con respecto a los riesgos de los sistemas de informa- cin. De esta forma los procesos de ne- gocio/servicios de TI se fundamentan en los activos de las TIC que dan soporte a los procesos de negocio/servicios de TI. Esto exige un anlisis y gestin de los riesgos de sistemas de informacin realista y orientado a los objetivos de la organizacin. Una vez que se evala el riesgo y se aplican los controles adecua- dos de la UNE ISO/IEC 27002:2009 o de otros estndares nos queda un ries- go residual que la direccin de la empre- sa aprueba, y que se revisar al menos una vez al ao (ver figura 3). Es de destacar que, como todo siste- ma de gestin, el SGSI-ISO 27001 tiene adems del PDCA unos indicadores (objetivo de la mtrica) y mtricas para la medicin de la eficacia y eficiencia de los controles, que aportan realismo da a da a la seguridad de los SI. adecuados que aseguren una perma- nente proteccin y salvaguarda de la in- formacin. El Sistema de Gestin de la Seguridad de la Informacin (SGSI) se fundamenta en la norma UNE-ISO/IEC 27001:2007, que sigue un enfoque basado en proce- sos que utilizan el ciclo de mejora conti- nua o de Deming, que consiste en Panifi- car-Hacer-Verificar-Actuar,ms conocido con el acrnimo en ingls PDCA (Plan- DO-Check-Act) (similar a la ms extendi- da y reconocida norma ISO 9001). Asi- mismo, tiene tambin su fundamento en la norma UNEISO/IEC 27002:2009, que recoge una lista de objetivos de con- trol y controles necesarios para lograr los objetivos de seguridad de la informacin (ver figura 2). La piedra angular de este sistema SG- SI-ISO 27001 es el anlisis y gestin de los riesgos basados en los procesos Espaa es el segundo pas de Europa y el sexto del mundo por nmero de certificados de Seguridad de la Informacin, con ms de 710 reconocimientos Figura 2. Sistema de Gestin de la Seguridad de la Informacin ISO 27001 Definir poltica de seguridad Establecer alcance del SGSI Realizar anlisis de riesgos Seleccionar los controles Implantar plan de gestin de riesgos Implantar el SGSI Implantar los controles Adoptar las acciones correctivas Adoptar las acciones preventivas Revisar internamente el SGSI Realizar auditoras internas del SGSI Indicadores y mtricas Revisin por direccin C P D A A.5 Poltica de seguridad de informacin A.6 Estructura organizativa de la SI A.7 Clasificacin y control de activos A.8 Seguridad ligada al personal A.9 Seguridad fsica y del entorno A.10 Gestin de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestin de incidentes de seguridad A.14 Gestin continuidad de negocio A.15 Conformidad y cumplimiento legislacin ISO IEC 27002/Anexo A. ISO IEC 27001 Fuente: AENOR. ARTCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 43 Modelo de gobierno y gestin para las TIC La norma ISO 27001 tiene relacin con otras normas que conforman el modelo de gobierno y gestin de las TIC desarro- llado por AENOR, basado en estndares aceptados mundialmente (ver figura 4). Se puede decir que, gracias a este modelo, el Centro de Proceso de Datos (CPD) y el resto de la organizacin comienzan hablar el mismo lenguaje y a interconectarse de manera ms natural y eficiente. Este modelo propone dos certificacio- nes a mximo nivel: una para el gobierno corporativo de las TIC (segn la norma ISO 38500) y otra para el Sistema de Continuidad de Negocio (UNE 71599-2 e ISO 22301) en las empresas. Dentro de la primera divide a su vez la gestin en dos reas: los Sistemas de Gestin de los Servicios de TI (UNE-ISO/IEC 20000-1) y los Sistemas de Gestin de la Seguridad de la Informacin (UNE- ISO/IEC 27001). Con la implantacin de los sistemas se logra gestionar la calidad y seguridad de los servicios de Tecnolo- gas de Informacin y Comunicacin, lo que trae consigo la minimizacin de los riesgos en la seguridad de la informacin Figura 3. Anlisis y gestin de riesgos Activos de SI Sistemas de informacin (bases de datos) Software Hardware Telecomunicaciones Personas Anlisis y gestin de riesgos R = F ( 1 , 2 , 3 , N ) Integridad ( 1 ) Confidencialidad ( 2 ) Disponibilidad ( 3 ) Amenazas ( 4 ) Vulnerabilidades ( 5 ) Impacto econmico ( 6 )
N Riesgo residual Activo 1 - - - -- - - - - - - - - - - - R 1 Activo 2 - - - -- - - - - - - - - - - - R 2 Aplicando ISO/IEC 27002 (Seleccin de controles) Procesos de Negocio / Servicios de TI Fuente: AENOR. y mejorar la seguridad de las TIC en el nivel del servicio de las mismas. La otra rea de gestin es donde se agrupan las actividades de desarrollo de programas (software), dirigido a la cali- dad del proceso de ingeniera del soft- ware, con el modelo de evaluacin, me- jora y madurez del software (SPICE ISO 15504-ISO 12207). Este modelo significa un cambio cul- tural que impacta en el mundo empresa- rial y de las Administraciones Pblicas en su relacin con las TIC, que ha supuesto el primer paso hacia la consolidacin y optimizacin de las TIC en nuestro pas. Conclusiones El SGSI-ISO 27001 es un sistema activo, integrado en la organizacin, orientado a los objetivos empresariales y con una proyeccin de futuro. Es importante resaltar que cada vez que se incorpora un nueva herramienta o negocio de TIC a la empresa se debe actualizar el anlisis de riesgos para SEGURIDAD Y SALUD / ARTCULO CALIDAD julio-septiembre 2012 44 poder mitigar de forma responsable los riesgos y, por supuesto, considerando la regla bsica de Riesgo de TI vs. Control vs. Coste, es decir, minimizar los riesgos con medidas de control ajustadas y con- siderando los costes del control. Los certificados, por tercera parte in- dependiente, respaldan el cumplimiento de las normas, como en el caso de la ISO 27001. En una economa cada vez ms globalizada, en la que los producto- res espaoles de bienes y servicios de- ben competir, los certificados de confor- midad son pasaportes de calidad que abren mercados y una garanta de con- fianza entre empresas y consumidores de todo el mundo. En el momento actual, ms de 350 organizaciones se han certificado con AENOR en la ISO 27001-SGSI, lo que contribuye a fomentar las actividades de proteccin de la informacin en las enti- dades pblicas o privadas, mejorando su seguridad de la informacin, su ima- gen y generando confianza frente a ter- ceros. Otros factores intrnsecos al siste- ma son exponer su voluntad de cumplir con la legislacin vigente y garantizar la continuidad del negocio. Nuestro pas ocupa primeros puestos en la clasificacin mundial por nmero de certificados: Espaa es el segundo pas de Europa y el sexto del mundo por nmero de certificados de Seguridad de la Informacin, con ms de 710 recono- cimientos, segn el ltimo informe de la Organizacin Internacional de Normali- zacin (ISO). Este sistema est en plena actuali- dad y expansin siendo una esplendida herramienta para este siglo XXI, pues supone una salvaguarda continua para los sistemas de informacin y las nue- vas tecnologas. Asimismo supone un referente para otros sistemas como son el Esquema Nacional de Seguridad, los procesos industriales SCADA, etc. Y dado que se trata de un sistema abierto siempre se podr incorporar cualquier nueva tecnologa que irrumpa en el mundo empresarial, por lo que su valor aadido de permanente actuali- zacin es un potencial muy a tener en cuenta y a valorar en un mundo tan din- mico y cambiante como lo es el de las TIC. Figura 4. Modelo de gobierno y gestin de las TIC con normas y estndares ISO SGCN UNE 71599-2 ISO 22301 Sistema de Gestin Continuidad del Negocio Nivel de madurez. Ciclo de vida de SW SPICE ISO 15504 Modelo de evaluacin, mejora y madurez de software Objetivo: gobierno y gestin de las TIC con estndares ISO Fuente: AENOR. Desarrollo de software Procesos/servicios ISO 12207 Ciclo de vida de desarrollo de software ISO 20000-2 Gua de Buenas Prcticas SGSTI ISO 20000-1 Sistema de Gestin de Servicios TI SGSTI ISO 27001 Sistema de Gestin de Seguridad de Informacin ISO 27002 Gua de Controles Gobierno de TI ISO/IEC 38500 IT Governace