ANÁLISIS DE ISO-27001:2005

Análisis de ISO-27001:205

Alejandro Corletti Estrada Página 1 de 12

ANÁLISIS DE ISO-27001:2005

Por: Alejandro Corletti Estrada

Mail: acorletti@hotmail.com

Madrid, abril de 2006.

PRÓLOGO

Este texto, trata de presentar un análisis de la situación actual que presenta ISO/IEC para cualquier

empresa que desee planificar e implementar una política de seguridad orientada a una futura

certificación dentro de este estándar.

Se debe dejar claro que el tema de certificación en aspectos de seguridad, tal vez aún no ha sido

considerado con la seriedad que merece en el ámbito empresarial, pero no cabe duda que lo será en el

muy corto plazo. Justamente, la sensación que deja el análisis de esta norma, es que se está gestando

con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar

internacional ha sido desarrollado (por primera vez con relación a la seguridad, a juicio de este autor)

con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su

aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de

cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se

desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre

diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad

informática, sino se abren brechas de seguridad entre sí............este estándar apunta a poder exigir

dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de

la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de

interrelacionar sus infraestructuras de información.....ISO-27001 en este sentido es una muy buena y

sólida opción.

DESARROLLO

I. ORIGEN Y POSICIONAMIENTO DEL ESTÁNDAR:

ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de Electrotécnia)

conforman un especializado sistema especializado para los estándares mundiales. Organismos

nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a

Análisis de ISO-27001:205

Alejandro Corletti Estrada Página 2 de 12

través de comités técnicos establecidos por la organización respectiva para tratar con los campos

particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de

interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en

relación con ISO e IEC, también forman parte del trabajo.

En el campo de tecnología de información, ISO e IEC han establecido unir un comité técnico, ISO/IEC

JTC 1 (Join Technical Committee Nº1). Los borradores de estas Normas Internacionales adoptadas

por la unión de este comité técnico son enviados a los organismos de las diferentes naciones para su

votación. La publicación, ya como una Norma Internacional, requiere la aprobación de por lo menos el

75% de los organismos nacionales que emiten su voto.

El Estándar Internacional ISO/IEC 17799 fue preparado inicialmente por el Instituto de Normas

Británico (como BS 7799) y fue adoptado, bajo la supervisión del grupo de trabajo “Tecnologías de la

Información”, del Comité Técnico de esta unión entre ISO/IEC JTC 1, en paralelo con su aprobación

por los organismos nacionales de ISO e IEC.

El estándar ISO/IEC 27001 es el nuevo estándar oficial, su título completo en realidad es: BS 7799-

2:2005 (ISO/IEC 27001:2005). También fue preparado por este JTC 1 y en el subcomité SC 27, IT

“Security Techniques”. La versión que se considerará en este texto es la primera edición, de fecha 15

de octubre de 2005, si bien en febrero de 2006 acaba de salir la versión cuatro del mismo.

1870 organizaciones en 57 países han reconocido la importancia y los beneficios de esta nueva norma.

A fines de marzo de 2006, son seis las empresas españolas que poseen esta certificación declarada.

El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en

cuenta son:

• ISO/IEC 27000 Fundamentals and vocabulary

• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de

octubre del 2005

• ISO/IEC 27002 Code of practice for information security management - Actualmente ISO/IEC

17799:2005, publicado el 15 de junio del 2005

• ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo)

• ISO/IEC 27004 Information security management measurement (bajo desarrollo)

• ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335

MICTS Part 2) (bajo desarrollo)

Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la

administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su

tamaño como por su actividad

A los efectos de la certificación, la transición entre ambas normas queda propuesta (o establecida) por

el TPS-55 de UKAS (United Kingdom Acreditation Service): ”Transition Statement Regarding

Arrangements for the Implementation of ISO 27001:2005”. Establece que las empresas (en realidad

los auditores, lo cual afecta directamente a las empresas) durante los primeros seis meses (desde que se

firmó el acuerdo “MoU: Memorandum of Understanding” entre UKAS y el Departamento de Comercio

e Industria de Reino Unido), pueden elegir acerca de qué estándar aplicar, a partir del 23 de julio del

Análisis de ISO-27001:205

Alejandro Corletti Estrada Página 3 de 12

2006, la única certificación que se deberá aplicar será la ISO/IEC 27001:2005. Ante cualquier no

conformidad con la aplicación de la misma motivada claramente por su transición, se establece un

plazo de un año para solucionarla, es decir, hasta el 23 de julio de 2007.

II. PRESENTACION DE ESTE TEXTO

El presente documento es un muy breve resumen de los aspectos más importantes a tener en cuenta

para la aplicación del Estándar Internacional ISO-27001:2005. Se debe dejar claro que este es la

versión actual del ISO-17799:2002, y dentro del primero se detallan claramente todos los aspectos de

compatibilidad entre ellos. El verdadero enfoque que se debe encarar para tratar de alcanzar la

compatibilidad con este estándar es aplicar la Norma ISO-27001 con todo detalle y a través del

seguimiento de todos los aspectos que propone, se estará cumplimentando también con la anterior (lo

cual no elude el hecho que se deba conocer también esta predecesora).

III. CONSIDERACIONES CLAVE DEL ESTANDAR

La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a

aspectos netamente organizativos, es decir, la frase que podría definir su propósito es “Organizar la

seguridad de la información”, por ello propone toda una secuencia de acciones tendientes al

“establecimiento, implemanetación, operación, monitorización, revisión, mantenimiento y mejora del

ISMS (Information Security Management System)” (como podrán apreciar que se recalcará repetidas

veces a lo largo del mismo). El ISMS, es el punto fuerte de este estándar.

Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:

- ISMS.

- Valoración de riegos (Risk Assesment)

- Controles

El desarrollo de estos puntos y la documentación que generan, es lo que se tratará en este texto.

IV. BREVE RESUMEN DEL ESTANDAR

Se presentan a continuación las líneas que se consideran de especial interés para la aplicación de esta

norma.

Análisis de ISO-27001:205

Alejandro Corletti Estrada Página 4 de 12

Los párrafos siguientes son una breve descripción de los puntos que se considerarán en este texto para

poder llegar finalmente y avalando la importancia de la documentación que es necesaria preparar y

mantener.

Se consideró importante el mantener la misma puntuación que emplea el Estándar Internacional, para

que, si fuera necesario, se pueda acceder directamente al mismo, para ampliar cualquier aspecto, por lo

tanto, la numeración que sigue a continuación, no respeta la de este texto, pero sí la de la norma.

0. Introducción:

0.1 General:

Este estándar fue confeccionado para proveer un modelo para el establecimiento,

implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la

adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está

influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los

procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación,

ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las

soluciones.

0.2. Aproximación (o aprovechamiento) del modelo:

Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar,

...