NORMAISO27001:2014 EL ABORADO POR: ISAURA GUADALUPE SARMIENTO PANTI NORMA ISO 27001:2014 El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven una revolución tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a un avance en las tecnologías conocidas como SMAC (las siglas inglesas de social, móvil, analíticas y nube). Gracias a la Asociación Española de Normalización (AENOR), entidad líder en certificación de Sistemas de Gestión, Productos y Servicios, y responsable del desarrollo y difusión de las normas UNE, ya se cuenta con la última versión de la norma UNE-ISO/IEC 27001:2014 dedicada a la gestión de la seguridad de la información en las empresas. ¿QUÉ ES LA NORMA ISO 27001:2014? ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2014 y ahora su nombre completo es ISO/IEC 27001:2014. OBJETO Y CAMPO DE APLICACIÓN NORMA ISO 27001:2014 Esta norma internacional especifica los riesgos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de seguridad de la información en el contexto de la organización. Esta norma también incluye los requisitos para la apreciación y el tratamiento de los riesgos de la seguridad de la información a la medida de las necesidades de la organización. Los requisitos establecidos en esta norma internacional son genéricos y aplicables a todas las organización, cualquiera que sea su tipo, tamaño o naturaleza. NOVEDADE S La nueva versión de esta norma adopta el concepto de “Estructura de Alto Nivel” bajo el Anexo SL utilizado en todas las normas de Sistemas de Gestión que posibilita su incorporación con otros sistemas (calidad, medio ambiente o salud en el trabajo) de forma más sencilla. Otra novedad es que la nueva versión de la norma intensifica y refuerza la mejora continua, fundamentándose en el ciclo Deming o PHVA (Planificar, Hacer, Verificar y Actuar). Destaca una mayor consideración y relevancia de la organización, al liderazgo y compromiso de los directivos y a las necesidades de las partes interesadas. Así como una mayor relevancia a la definición y seguimiento de los objetivos de seguridad de la información. La nueva versión ISO27001 incluye 114 controles respecto a los 133 de la ISO/IEC 27001:2005 que estudian reforzar los análisis relacionados a la criptografía y con los proveedores. ANEXO ISO TOTAL DE 27001:2014.DOMINIO CONTROLES A.5 Políticas de Seguridad de la Información La Política de Seguridad de la Información de una organización debe definir las decisiones que ha tomado la organización en relación a la seguridad del almacenamiento y procesamiento de la información. Este conjunto de decisiones debería basarse en requisitos legales y regulatorios, en la demanda del mercado, en los objetivos de negocio y en la filosofía y cultura de la empresa. En base a la Política de Seguridad de la Información se tomarán muchas medidas de seguridad y se definirán otras políticas y documentos y todos deberán estar alineados con la Política de Seguridad de la Información. Todos los miembros de la organización, deben conocer la Política de Seguridad de la Información y deben comprometerse a cumplirla. A.6 Organización de la Seguridad de Información Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. • Una Política de Seguridad de Información • Un Responsable de Seguridad de Información • Un Comité de Gestión de Seguridad de Información Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. A.7 Seguridad en los Recursos Humanos Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y son convenientes para los roles para los que se les considera. La seguridad en esta gestión debe tener en cuenta la selección y contratación, la formación de empleados y la salida de la empresa. A.8 Gestión de Activos Objetivo: Identificar los activos de la organización y definir responsabilidades de protección apropiadas Responsabilidad por los Activos: Lograr mantener la protección adecuada de los activos de la organización. Todos los activos se deben incluir y deben tener un dueño designado. Se deben identificar los dueños para todos los activos y asignar la responsabilidad para el mantenimiento de los controles adecuados. A.9 Control de Accesos Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información. Como parte de este dominio se desarrollan los lineamientos para la política de control de acceso, la gestión de accesos de usuarios, los controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Además incluye las consideraciones para el manejo de ordenadores portátiles y teletrabajo. A.10 Criptografía Objetivo: Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información. La introducción de algún control tiene que determinarse siempre conforme a la identificación de cualquier riesgo que la empresa no asume, y cuya inversión no puede llegar a más que el valor del activo el cual se protege, por lo que entonces no llegaría a ser rentable. A.11 Seguridad Física y Ambiental Objetivo: Impedir acceso físico no autorizado, daño e interferencia a la información y a las instalaciones de procesamiento de la información de la organización. Los instalaciones que estén involucradas con los activos de información deben cumplir con las normas de seguridad física y ambiental, para garantizar que la información manejada en éstas permanezca siempre protegida de accesos físicos por parte de personal no autorizado o por factores ambientales que no se puedan controlar. A.12 Seguridad en las Operaciones Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la información sean correctas y seguras. A.13 Seguridad en las Comunicaciones Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de procesamiento de la información de apoyo. Manejo de los Medios Evitar la divulgación, modificación, retiro o destrucción de activos no autorizada, y la interrupción en las actividades del negocio. Estos medios se deberían controlar y proteger de forma física. Intercambio de la Información Mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa. Intercambio de la Información Mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa. A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas Objetivo: Garantizar que la seguridad de la información es una parte integral de los sistemas de información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de información que proporcionen servicios sobre redes públicas. Este domino está dirigido a aquellas organizaciones que desarrollen software internamente o que tengan un contrato con otra organización que sea la encargada de desarrollarlo. Se tiene que establecer los requisitos en la etapa de implementación o desarrollo del software para que sea seguro. A.15 Relaciones con Proveedores Objetivo: Asegurar protección a los activos de la organización que son accesibles por los proveedores. (RSE) Responsabilidad Social Empresarial: “Hacer negocios basados en principios ético y apegados a la ley . La empresa (no el empresario) tiene un rol ante la sociedad, ante el entorno en el cual opera. A.16 Gestión de Incidentes de Seguridad de la Información Objetivo: Asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad de la información, incluyendo la comunicación sobre eventos de seguridad y debilidades. Un incidente de seguridad es un evento o un conjunto de eventos, no deseados o no esperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la información. El procedimiento de gestión de incidencias debe documentar cláramente los roles y responsabilidades de los actores participantes. A.17 Aspectos de la Seguridad de la Información dentro de la Continuidad el Negocio Objetivo: La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización. A.18 Cumplimiento Objetivo: Evitar infracciones de las obligaciones legales, estatutarias , regulatorias o contractuales relacionadas a la seguridad de la información y a cualquier requisito de seguridad.