Planificación
• Definir alcance del SGSI: en función de características del
negocio, organización, localización, activos y tecnología, definir el
alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la
organización; de hecho, es recomendable empezar por un alcance
limitado). Es importante disponer de un mapa de procesos de negocio,
definir claramente los interfaces con el exterior del alcance,
determinar las terceras partes (proveedores, clientes...) que tienen
influencia sobre la seguridad de la información del alcance, crear mapas
de alto nivel de redes y sistemas, definir las ubicaciones físicas,
disponer de organigramas organizativos, definir claramente los
requisitos legales y contractuales relacionados con seguridad de la
información, etc.
• Definir política del SGSI: que incluya el marco general y los
objetivos de seguridad de la información de la organización, tenga en
cuenta los requisitos de negocio, legales y contractuales en cuanto a
seguridad, esté alineada con la gestión de riesgo general, establezca
criterios de evaluación de riesgo y sea aprobada por la Dirección. La
política del SGSI es normalmente un documento muy general, una especie
de "declaración de intenciones" de la Dirección.
• Definir el enfoque de evaluación de riesgos: definir una
metodología de evaluación de riesgos apropiada para el SGSI y las
necesidades de la organización, desarrollar criterios de aceptación de
riesgos y determinar el nivel de riesgo aceptable. Existen muchas
metodologías de evaluación de riesgos aceptadas internacionalmente (ver
sección de Herramientas); la organización puede optar por una de ellas,
hacer una combinación de varias o crear la suya propia. ISO 27001 no
impone ninguna ni da indicaciones de detalle, aunque ISO 27005 sí
profundiza en directrices sobre la materia. El riesgo nunca es
totalmente eliminable -ni sería rentable hacerlo-, por lo que es
necesario definir una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información
que tienen algún valor para la organización y que quedan dentro del
alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
• Identificar los impactos: los que podría suponer una pérdida de
la confidencialidad, la integridad o la disponibilidad de cada uno de
los activos de información.
• Análisis y evaluación de los riesgos: evaluar el daño
resultante de un fallo de seguridad (es decir, que una amenaza explote
una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar
el nivel de riesgo resultante y determinar si el riesgo es aceptable (en
función de los niveles definidos previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo:
el riesgo puede reducido (mitigado mediante controles), eliminado (p.
ej., eliminando el activo), aceptado (de forma consciente) o transferido
(p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el
tratamiento el riesgo en función de la evaluación anterior. Utilizar
para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que
las exclusiones habrán de ser justificadas) y otros controles
adicionales si se consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y
autorización de implantar el SGSI: hay que recordar que los riesgos de
seguridad de la información son riesgos de negocio y sólo la Dirección
puede tomar decisiones sobre su aceptación o tratamiento. El riesgo
residual es el que queda, aún después de haber aplicado controles (el
"riesgo cero" no existe prácticamente en ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA
(Statement of Applicability) es una lista de todos los controles
seleccionados y la razón de su selección, los controles actualmente
implementados y la justificación de cualquier control del Anexo A
excluido. Es, en definitiva, un resumen de las decisiones tomadas en
cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las
acciones, recursos, responsabilidades y prioridades en la gestión de los
riesgos de seguridad de la información.
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
Seguimiento
• Ejecutar procedimientos y controles de monitorización y
revisión: para detectar errores en resultados de procesamiento,
identificar brechas e incidentes de seguridad, determinar si las
actividades de seguridad de la información están desarrollándose como
estaba planificado, detectar y prevenir incidentes de seguridad mediante
el uso de indicadores y comprobar si las acciones tomadas para resolver
incidentes de seguridad han sido eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los
resultados de auditorías de seguridad, incidentes, mediciones de
eficacia, sugerencias y feedback de todos los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en
la organización, tecnología, procesos y objetivos de negocio, amenazas,
eficacia de los controles o el entorno tienen una influencia sobre los
riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
• Realizar regularmente auditorías internas: para determinar si
los controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001, el entorno legal y los
requisitos y objetivos de seguridad de la organización, están
implementados y mantenidos con eficacia y tienen el rendimiento
esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para
determinar si el alcance definido sigue siendo el adecuado, identificar
mejoras al proceso del SGSI, a la política de seguridad o a los
objetivos de seguridad de la información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.
• Registrar acciones y eventos que puedan tener impacto en la
eficacia o el rendimiento del SGSI: sirven como evidencia documental de
conformidad con los requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos
pretendidos: la eficacia de cualquier acción, medida o cambio debe
comprobarse siempre.