NORMA TECNICA COLOMBIANA NCTC-ISO/IEC 27001

Flowchart nodes

• NORMA TECNICA COLOMBIANA NCTC-ISO/IEC 27001

• Elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejoras del sistema de gestión de la seguridad de la información (SGSI)

• La adopción de esta deberá ser una decisión estratégica para la organización.

• OBJETO

• SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

• REFERENCIAS NORMATIVAS

• RESPONSABILIDADES DE LA DIRECCIÓN

• AUDITORIAS INTERNAS DEL SGSI

• REVISIÓN DEL SGSI POR LA DIRECCIÓN

• MEJORAR DEL SGSI

• La implementación se ajusta de acuerdo a las necesidades y objetivos de la organización.

• Esta norma adopta el modelo del proceso PHVA que incluye

• Planificar

• Verificar

• Hacer

• Actuar

• Esta norma brinda un modelo robusto para implementar los principios que controlan la evaluación de riesgos, diseño e implementación de la seguridad, gestión y reevaluación de la seguridad

• Esta norma se alinea con otras como las NTC-ISO 9001 / NTC-ISO 14001 :2004 con el fin de apoyar la implementación y operación consistente e integradas con sistemas de gestión.

• Dentro de esta norma se determinan algunos ítems aplicados para el desarrollo de la misma:

• Cubre todo tipo de organizaciones, de empresas comerciales, agencias gubernamentales, sin ánimo de lucro.

• Especifica los requisitos para la implementación de controles de seguridad adoptados a las necesidades.

• Esta diseñada para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de información que brinden confianza.

• APLICACIÓN

• Requisitos establecidos en esta norma son genéricos y están previstos para ser aplicables a todas las organizaciones, independientes de su tipo, tamaño y naturaleza.

• Este documento es indispensable para la aplicación de la norma.

• Para referencias fechadas aplica esta edición, para no fechadas, se aplica la última edición del documento referenciado

• La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar el SGSI

• ESTABLECIMIENTO DEL SGSI La organización debe:

• Definir el alcance y limites  de acuerdo con las características del negocio

• Definir una política en termino de las características del negocio

• Definir el enfoque organizacional para la valoración del riesgo

• Identificación de los riesgos

• Seleccionar los objetos de control y los controles para el tratamiento del riesgo

• Analizar y evaluar los riesgos

• Identificar y evaluar la opción para el tratamiento del riesgo

• La metodología seleccionada para la valoración del riesgo debe asegurar los resultados.

• Obtener la aprobación y autorización de la dirección 

• Elaborar una declaración  de aplicabilidad esta incluye:

• 1. Objetos de control y controles. 2.Implementaciones actuales 3. La exclusión de cualquier control

• IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI La organizaciones debe:

• Formular un plan para el tratamiento de riesgos

• Implementar procedimientos y otros controles para dictar y dar respuesta oportuna

• Gestionar los recursos del SGSI

• Gestionar la operación del SGSI

• Implementar programas de formación y toma de conciencia

• Definir como medir la eficiencia de los controles o grupos de control

• Implementar controles seleccionados para cumplir los objetivos de control

• Implementar un plan de tratamiento de riesgos

• Identificando, gestión, recursos, responsabilidades y prioridades

• Logrando los objetivos de control identificados, la financiación y asignación de funciones 

• Compromisos de la dirección

• Gestión de recursos

• El establecimiento de una política del SGSI

• Asegurando que se establezcan los objetivos y planes del SGSI

• Estableciendo funciones y responsabilidades de seguridad de la información

• Comunicando a la organización la importancia de cumplir los objetivos

• Brindando los recursos suficientes para establecer, implementar, operar, hacer, revisar, mantener y mejorar el SGSI

• Decidiendo los criterios para aceptación de riesgos y los nieles de riesgo

• Asegurando que se realizan auditorías internas

• Efectuando las revisiones de la dirección

• SEGIMIENTO Y REVISIÓN DEL SGSI La organización debe:

• Ejecutar procesos de seguimiento y revisión y otros controles

• Realizar auditorías internas del SGSI a intervalos planificados 

• Revisar las valoraciones de los riesgos a intervalos planificados y revisar el nivel de riesgo

• Medir la eficiencia de los controles para verificación de su cumplimiento

• Emprender revisiones regulares de la eficiencia del SGSI.

• Actualizar los planes de seguridad para tener en cuenta las conclusiones de la actividad de seguimiento.

• Emprender una revisión, realizada por la dirección, de forma regular para asegurar el alcance e identifique mejoras

• Registrar acciones y eventos que podrían tener impacto en la eficiencia o el desempeño

• Debe tener en cuenta los resultados de las auditorias de seguridad, incidentes y mediciones. 

• MANTENIMIENTO Y MEJORAS DEL SGSI La organización debe:

• Implementar las mejoras identificadas

• Comunicar las acciones y mejoras a todas las partes interesadas

• Emprender las acciones correctivas y preventivas

• Asegurar que las mejoras logren los objetivos

• Aplicando las lecciones aprendidas de la experiencia de seguridad

• Con un nivel de detalle apropiado a las circunstancias

• REQUISITOS DE DOCUMENTACIÓN Incluirán:

• Alcance del SGSI

• Declaraciones de políticas y objetivos 

• Declaración de aplicabilidad

• Registros exigidos por la norma

• Procedimiento que necesita la organización para la eficiencia

• Plan de tratamiento de riesgos

• informe de valoración de riesgos

• Descripción de metodología de valoración de riesgos

• Procedimiento y controles que apoyan

• Provisión de recursos

• Formación, toma de conciencia y competencia

• Establecer, implementar, operar, hacer, revisar, mantener y mejorar

• Asegurar que los procedimientos de seguridad de la información brindan apoyo al negocio

• Identificar y atender los requisitos legales y reglamentarios

• Mantener la seguridad suficiente mediante la aplicación correcta

• Llevar a cabo revisiones cuando sea necesarios y reaccionar a los resultados

• Mejorar la eficiencia del SGSI

• Determinación de las competencias necesarias para el personal que ejecute

• Suministro de formación o realización de otras acciones

• Mantenimiento de registro de la educación, formación, habilidades, experiencias y calificaciones

• Evaluación de la eficiencia de las acciones emprendidas

• La organización también deberá asegurar que todo el personal tiene conocimiento de la pertinencia e importancia de sus actividades de seguridad

• La organización deberá llevar auditorias internas en intervalos planificados

• Determinando con esta: 1. Objetivos de control 2. Controles 3. Procesos 4. Procedimientos de SGSI

• Se planificara un programa de auditoría tomando en cuenta el estado e importancia de procesos y áreas que serán auditadas

• Con esta se busca determinar procedimientos, responsabilidades y requisitos.

• La dirección debe revisar de acuerdo a los intervalos planificados (Por o menos 1 vez al año)

• La finalidad es asegurar la convivencia, suficiencia y eficiencia continuas

• DEBERAN INCLUIR

• Evaluación de oportunidades, necesidades de cambio incluidas políticas y objetivos.

• Deberá mejorar continuamente la eficiencia del SGSI mediante el uso de políticas de seguridad

• Sus resultados se evidencian en dos frentes 

• ACCIONES PREVENTIVAS

• ACCIONES CORRECTIVAS

• La organización empreden acciones para elimintar causas de no conformidades asociadas con los requisitos del SGSI para que no vuelvan a ocurrir.

• La organización debe determinar acciones para eliminar la causa de conformes potenciales con los requisitos del SGSI y evitar que ocurran.

• Presentado por: Sebastián Rodriguez Ruiz Materia: Auditoria de sistemas Universidad Libre 2020   Referencia: NCTC-ISO / IEC 27001 - Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)