Plan de implementación del SGSI basado en la norma ISO 27001:2013 para la empresa Interfaces y Soluciones S A S

Texto completo

(1)ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 1 de 13. ANEXO E. INTERFACES Y SOLUCIONES S.A.S RECOMENDACIONES PARA EL SGSI 27001:2013. Elaborado Por:. Revisado Por:. Aprobado Por:. Ing. Jairo Hernández Gutiérrez. Ing. Jorge Pérez Acosta. Fecha: Agosto 2017. Fecha: agosto 2017. Fecha: agosto 2017. Cargo: Pasantes a cargo del SGSI. Cargo: Director y Asesor del trabajo de grado. Cargo: Director de Proyectos I&S. Yasmin Suárez Adriana Moyano.

(2) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 2 de 13. CONTENIDO. 1.. INTRODUCCIÓN. 3. 2.. SEGURIDAD DE LA INFORMACIÓN. 4. 2.1.. ISO 27001:2013. 4. 2.2.. BENEFICIOS ISO 27001:2013. 5. 2.3.. PROCESO DE CERTIFICACIÓN ISO 27001:2013. 5. 2.4.. RECOMENDACIONES GENERALES. 6. 2.4.1.. PROCESO DE CERTIFICACIÓN. 2.4.2.. PROCESO DE EVALUACIÓN Y AUDITORÍA. 7 10.

(3) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 3 de 13. INTRODUCCIÓN. El documento proporciona información relativa a la norma ISO/IEC 27001, los beneficios que esta trae consigo tras su implementación, las etapas del proceso de certificación y las recomendaciones básicas a tener en cuenta. Se incluye la puntualización de controles pendientes a intervenir por Interfaces y Soluciones, junto con, las sugerencias para preparar a la organización en materia de los procesos de evaluación, auditoría, certificación o acreditación correspondientes a la seguridad de TI..

(4) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. 1.. Fecha: Agosto 2017. Página: 4 de 13. SEGURIDAD DE LA INFORMACIÓN. Conscientes de la importancia de la información como un activo que condiciona el funcionamiento y crecimiento de la organización se procura mantener su integridad, confidencialidad y disponibilidad. En la actualidad gran parte de la información producida es gestionada en equipos informáticos, redes de datos y soportes de almacenamiento, agrupados bajo un mismo término, son conocidos como sistemas de información. Tales sistemas se ven sujetos a riesgos y amenazas que pueden ser originadas desde el interior o exterior de la organización. Por ello, es indispensable contar con un adecuado Sistema de Gestión de Seguridad de la Información (SGSI), como lo provee la norma ISO/IEC 27001:2013. 1.1.. ISO 27001:2013. La norma ISO/IEC 27001 es una metodología sencilla y de bajo coste que cualquier empresa puede utilizar. Esta norma permite establecer políticas, procedimientos y controles con el propósito de disminuir los riesgos. Basándose en los principios de confidencialidad, integridad y disponibilidad. La ISO 27001 abarca: • Políticas de seguridad de la información • Organización de la seguridad de la información • Seguridad de los recursos humanos • Gestión de activos • Control de acceso • Criptografía • Seguridad física y ambiental • Seguridad de las operaciones • Seguridad de las comunicaciones • Adquisición, desarrollo y mantenimiento de sistemas • Relaciones de proveedores • Incidentes de seguridad de la información De forma que, la norma contiene los requisitos para establecer, implementar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información..

(5) ANEXO E - RECOMENDACIONES Información Clasificada. 1.2.. Versión. 1.0. Fecha: Agosto 2017. Página: 5 de 13. BENEFICIOS ISO 27001:2013. El estándar ISO 27001:2013 considera que cada riesgo es crítico, puesto que cualquier interrupción o pérdida de calidad, cantidad o relevancia de los datos puede poner en riesgo los objetivos de la organización. Así, la implementación de la norma: ● Mejora la credibilidad de la organización, debido a que se garantiza la integridad de la información y el compromiso con la seguridad de ésta. ● Transforma la cultura organizacional, abriendo nuevas oportunidades de negocio con clientes conscientes de la seguridad. ● Refuerza la noción de confidencialidad, mejorando la ética de los empleados. ● Consigue una reducción de los costes vinculados a los incidentes. ● Produce sensibilización del personal en relación a la importancia de la correcta manipulación de la información, a la aplicación adecuada de las medidas de seguridad que deben adoptarse y a las responsabilidades personales y de la empresa con relación a la información de que disponen y a los dueños de dicha información. 1.3.. PROCESO DE CERTIFICACIÓN ISO 27001:2013. Al finalizar la implementación del SGSI se tiene la posibilidad de obtener un documento entregado por un tercero acreditado que certifique la correcta implementación de este. El proceso de certificación puede variar levemente según la entidad certificadora, sin embargo, normalmente cuenta con las siguientes etapas: ➢ Solicitud de Certificación: la organización (en este caso,Interfaces y Soluciones) solicita una oferta a la entidad certificadora. En ella, se especifican algunos datos sobre la organización y la implementación del SGSI. Según con la información suministrada (número de empleados, centros de trabajo dentro del alcance del SGSI, etc) se calcula el precio, tiempo y número de auditores necesarios. ➢ Auditoría formal etapa 1. Es una “auditoría de revisión” en la que se evalúan los documentos y elementos clave del sistema y se informan las no conformidades. En esta auditoría se revisa la documentación generada.

(6) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 6 de 13. durante la implantación del sistema: política de seguridad, análisis de riesgos, selección de controles, etc. ➢ Auditoría formal etapa 2. Es una “auditoría in-situ”, tiene lugar en la empresa. Los auditores visitan la organización para confirmar que ésta cumple con sus políticas y procedimientos, se busca comprobar que el SGSI está conforme a las especificaciones de la norma. Aquí, se realizan entrevistas, examen de registros y observación de prácticas de trabajo. Tras concluir cada fase de auditoría la entidad certificadora debe entregar un informe en el que se indican los resultados. Estos pueden ser: ● Todo está correcto. Si es en la auditoría documental se puede continuar con la auditoría in-situ. Si el resultado corresponde a la auditoría in-situ, la empresa quedará certificada. ● Observaciones sobre el SGSI que no tienen excesiva relevancia pero deben ser tomadas en cuenta en la siguiente fase de auditoría. Ya sea para ser revisadas o mejoradas en el siguiente ciclo de mejora. ● No conformidades menores. Incidencias subsanables mediante la presentación de un plan de acciones correctivas en el que se identifica la incidencia y la manera de solucionarla. ● No conformidades mayores. Se trata de incumplimientos graves de la norma. Si se encuentran en la auditoría documental es necesario resolverlos antes de la auditoría in-situ. Si son hallados en la última auditoría es probable que se deba solicitar una auditoría extra tras solucionar las no conformidades. Mientras, no es posible obtener el certificado. ➢ Revisiones Periódicas. Tras obtener el certificado del SGSI, válido por tres años, la entidad certificadora realizará auditorías periódicas para monitorear los esfuerzos de la organización con respecto a la seguridad de la información, durante la validez de la certificación, con el propósito de que estos se mantengan. 1.4.. RECOMENDACIONES GENERALES. La evaluación, auditoría y certificación son procesos claves para verificar el funcionamiento del SGSI. De modo que, no está de más tener en cuenta una serie de recomendaciones que guíen a la organización en estos procesos..

(7) ANEXO E - RECOMENDACIONES Información Clasificada. 1.4.1.. Versión. 1.0. Fecha: Agosto 2017. Página: 7 de 13. PROCESO DE CERTIFICACIÓN. En el proceso de certificación es esencial seleccionar una entidad certificadora que garantice que está siguiendo los protocolos necesarios y cumple con las buenas prácticas de la certificación. Por lo tanto, es importante asegurarse que la Entidad de Certificación está acreditada para certificar la actividad, sistema o proceso requerido. Para ello, es aconsejable visitar el sitio web del Organismo Nacional de Acreditación de Colombia - ONAC, ya que todos estos datos son públicos. Actualmente, en el país se encuentran cinco (5) Organismos de Certificación de Sistemas de Gestión Acreditados en materia de Sistemas de gestión de seguridad de la información - ISO/IEC 27001. Estos organismos son: ● ● ● ●. BVQI COLOMBIA LTDA. COTECNA CERTIFICADORA SERVICES LIMITADA. GLOBAL COLOMBIA CERTIFICACIÓN S.A.S INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN ICONTEC ● SGS COLOMBIA S.A.S - SGS Para información puntual de los servicios y acompañamiento en el proceso de certificación ofrecido por cada una de los organismos mencionados se listan los datos de contacto.. BVQI COLOMBIA LTDA. Fecha de Otorgamiento:. 2011-04-04. Fecha de Vencimiento: 2021-04-03 Dirección:. Calle 72 # 7-82 Piso 3 Edificio Acciones y Valores. Ciudad:. Bogotá D.C. - Bogotá D.C.. Teléfono - Fax:. 3129191 - 2110009. Web:. http://www.bureauveritascertification.com.co/. Correo electrónico:. [email protected]; [email protected].

(8) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 8 de 13. COTECNA CERTIFICADORA SERVICES LIMITADA. Fecha de Otorgamiento:. 2009-10-29. Fecha de Vencimiento: 2019-10-28 Dirección:. Carrera 7 No. 32-33 Piso 2, Edificio Fenix Telesentinel. Ciudad:. Bogotá D.C. - Bogotá D.C.. Teléfono - Fax:. 7427655 - 7550100. Web:. www.cotecna.com.co. Correo electrónico:. [email protected]; [email protected]. GLOBAL COLOMBIA CERTIFICACIÓN S.A.S Fecha de Otorgamiento:. 2016-04-26. Fecha de Vencimiento:. 2019-04-25. Dirección:. Calle 67 No. 59-46. Ciudad:. Bogotá D.C. - Bogotá D.C.. Teléfono - Fax:. 4595159 – 3162599630 – 3106984220 – 3213832348. Web:. www.globalcertificacion.com.co. Correo electrónico:. [email protected]; [email protected]. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN - ICONTEC Fecha de Otorgamiento:. 2009-10-29. Fecha de Vencimiento:. 2019-10-28. Dirección:. Carrera 37 No. 52-95. Ciudad:. Bogotá D.C. - Bogotá D.C.. Teléfono - Fax:. 6078888 - 2221435. Web:. www.icontec.org.co. Correo electrónico:. [email protected]; [email protected].

(9) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 9 de 13. SGS COLOMBIA S.A.S - SGS Fecha de Otorgamiento:. 2009-12-22. Fecha de Vencimiento: 2019-12-21 Dirección:. Carrera 100 # 25 C-11 Bodega 3. Ciudad:. Bogotá D.C. - Bogotá D.C.. Teléfono - Fax:. 7422274 Ext 2526. Web:. www.co.sgs.com. Correo electrónico:. [email protected]; [email protected]. Adicionalmente, para el proceso de certificación es primordial tener en cuenta: ● Los costos del proceso dependen del tamaño y complejidad de la empresa, el alcance del SGSI y el número de locaciones a incluir. Para evitar malas sorpresas se deben aclarar estos detalles en la solicitud de presupuesto, de forma que, este sea lo más real posible. ● Antes de la selección de la entidad certificadora es aconsejable preguntar a la entidad por la frecuencia de las visitas, la duración del contrato (suele ser de tres años), la penalización por cambio de fechas, la penalización por rescindir el contrato, condiciones de pago, momento del pago. Son cuestiones que varían por entidad y que pueden ayudar a tomar la decisión más adecuada. ● Verificar referencias de la entidad certificadora y definir el grado de confidencialidad que se va a tener con esta. Puesto que, en el proceso se va a reunir una gran cantidad de información de la organización y la entidad certificadora debe garantizar que la protege de cualquier uso ilegal o inadecuado. ● Después de la certificación tras haber aprobado la Auditoría formal, se recibe un certificado ISO/IEC 27001, que tendrá una validez de tres años. Luego, es posible solicitar una auditoría de renovación..

(10) ANEXO E - RECOMENDACIONES Información Clasificada. 1.4.2.. Versión. 1.0. Fecha: Agosto 2017. Página: 10 de 13. PROCESO DE EVALUACIÓN Y AUDITORÍA. En la medida que se avanza y se desarrollan las tecnologías de la información, también, se generan nuevos riesgos. Es por ello que el SGSI basado en la norma 27001 aplica una metodología de mejora continua. Razón por la cual, se exige realizar evaluaciones y/o auditorías que permitan asegurar que el sistema no quede anclado en la conformidad tanto si la empresa decide certificarse o no. Antes de solicitar un proceso de certificación es importante validar el estado de la seguridad de la información por medio de la evaluación de madurez. En el momento, ésta indica que la organización está avanzando en un proceso de concientización y tomando las medidas preventivas adecuadas según sus prioridades. Sin embargo, se recomienda revisar la posibilidad de aplicar las medidas correspondientes a los controles que aún se encuentran en el nivel “0inexistente”. Para dichos controles la guía de seguridad y privacidad de la información nacional 1 ofrece lo siguiente: ● A6.1.3 Contacto con las autoridades Control: Se deben mantener contactos apropiados con las autoridades pertinentes. ● A11.1.6 Áreas de carga, despacho y acceso público Control: Se deben controlar los puntos de acceso tales como las áreas de despacho y carga y otros puntos por donde pueden entrar personas no autorizadas y, si es posible, aislarlos de las instalaciones de procesamiento de información para evitar el acceso no autorizado. ● A12.4.4 Sincronización de relojes Control: Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de la organización o ámbito de seguridad se deben sincronizar con una única fuente de referencia de tiempo. ● A13.1.1 Controles de redes Control: Las redes se deben gestionar y controlar para proteger la información en sistemas y aplicaciones.. 1. («articles-5482_G8_Controles_Seguridad.pdf», 2016).

(11) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 11 de 13. ● A13.1.3 Separación en las redes Control: Los grupos de servicios de información, usuarios y sistemas de información se deben separar en las redes. ● A14.1.2 Seguridad de servicios de las aplicaciones en redes públicas Control: La información involucrada en los servicios de las aplicaciones que pasan sobre redes públicas se debe proteger de actividades fraudulentas, disputas contractuales y divulgación y modificación no autorizadas. ● A14.1.3 Protección de transacciones de los servicios de las aplicaciones Control: La información involucrada en las transacciones de los servicios de las aplicaciones se debe proteger para evitar la transmisión incompleta, el enrutamiento errado, la alteración no autorizada de mensajes, la divulgación no autorizada, y la duplicación o reproducción de mensajes no autorizada. ● A15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores Control: Se deben establecer y acordar todos los requisitos de seguridad de la información pertinentes con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para la información de la organización. ● A15.1.3 Cadena de suministro de tecnología de información y comunicación Control: Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de tecnología de información y comunicación. ● A18.2.2 Cumplimiento con las políticas y normas de seguridad Control: Los directores deben revisar con regularidad el cumplimiento del procesamiento y procedimientos de información dentro de su área de responsabilidad, con las políticas y normas de seguridad apropiadas, y cualquier otro requisito de seguridad..

(12) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 12 de 13. ● A18.2.3 Revisión del cumplimiento técnico Control: Los sistemas de información se deben revisar periódicamente para determinar el cumplimiento con las políticas y normas de seguridad de la información. El proceso de certificación no es instantáneo, puede durar meses o años y está condicionado por los resultados de las auditorías externas. Sin embargo, las auditorías internas harán más sencillo y eficiente la detección oportuna y la correspondiente solución de las no conformidades del SGSI, por lo tanto, es recomendable: ● Mantener un buen grupo de trabajo, con diálogo constante y apuntando hacia un mismo objetivo. Las capacitaciones recurrentes, explicando que es la norma, cual es el objetivo, los beneficios económicos que puede traer a la empresa son un punto fundamental para ello. En la fase de entrevistas y comprobación del cumplimiento de la norma es vital la participación activa de los miembros de Interfaces y Soluciones. ● Se debe creer en lo que se hace, la certificación no debe convertirse en un elemento burocrático en el que sólo se llenan papeles. La invención de datos no sirve al propósito de mejora continua. ● Realizar auditoría internas que permitan descubrir los problemas existentes o potenciales que pueden dañar la organización. En ocasiones las personas no son conscientes que están haciendo algo mal o no quieren ser descubiertas, las auditorías internas facilitan la detección de estos incidentes y la activación de medidas correctivas y preventivas. ● El auditor no debe considerarse como un enemigo, su papel es ayudar a la organización encontrar las falencias y así hacerla más fuerte y segura. Todos los miembros de la organización deben estar en capacidad de reconocer y apoyar el proceso. ● La documentación del SGSI debe mantenerse a la mano, ser conocida y aplicada por todos los responsables de los activos de información. Es probable que en la auditoría para la certificación se revise: ○ Alcance, política y los objetivos del SGSI ○ Descripción de la metodología de evaluación de riesgos ○ Informe sobre la evaluación de riesgos.

(13) ANEXO E - RECOMENDACIONES Información Clasificada. Versión. 1.0. Fecha: Agosto 2017. Página: 13 de 13. ○ Plan de tratamiento del riesgo ○ Procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. ○ Documentación de los controles del Anexo A de la norma(controles presentados en el “Anexo F - Evaluación de Madurez” disponible en el CD) que se hayan considerado aplicables: inventario de activos (A.7.1.1), uso aceptable de activos (A.7.1.3), tareas y responsabilidades de los empleados, contratistas y terceros (A.8.1.1),etc ○ También es posible que soliciten los registros de, al menos, una auditoría interna y una revisión por parte de la gerencia. ● Llevar registros de los procedimientos y controles realizados para garantizar la seguridad de la información. Como por ejemplo: registros de capacitaciones, auditorías internas, revisiones de la gerencia, medidas correctivas, medidas preventivas, entre otros. Estos deben corresponder a las prácticas reales en Interfaces y Soluciones. ● Los resultados de la auditoría deben ser tomados como base de conocimiento. Se deben adoptar las medidas correctivas correspondientes para solucionar el origen del incumplimiento. Normalmente, en el proceso de certificación, si los incumplimientos son graves el auditor da un plazo para que la organización implemente las acciones que permitan resolverlo. Si se realiza un trabajo a conciencia, en la mayoría de los casos, el auditor puede activar el proceso de emisión del certificado. Mientras, no se solucionen correctamente las no conformidades el proceso de certificación se detiene. Incluso si no se cumple con el plazo puede darse por terminado.. Aunque, la implementación del SGSI es un proceso que requiere bastante tiempo, trabajo y algunos costos económicos, beneficia el crecimiento y alcance de los objetivos de la organización si se gestiona de forma adecuada bajo el ciclo de mejora continua..

(14)