c1.jpg

Cómo implantar un SGSI
según UNE-ISO/IEC 27001:2014 y
su aplicación en el Esquema Nacional de Seguridad

Luis Gómez Fernández
Pedro Pablo Fernández Rivero

222261.png

Créditos

Título: Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad. ePUB

Autores: Luis Gómez Fernández y Pedro Pablo Fernández Rivero

© AENOR (Asociación Española de Normalización y Certificación), 2015

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-908-3

Impreso en España - Printed in Spain

Edita: AENOR

Maqueta y diseño de cubierta: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

logoAENOR.jpg

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695
comercial@aenor.eswww.aenor.es

Agradecimientos

Los autores quieren expresar su agradecimiento por sus valiosas sugerencias y su colaboración en la revisión técnica de esta publicación, las cuales ayudaron a mejorar su calidad, a:

D. Miguel Ángel Amutio. Subdirector Adjunto de Coordinación de Unidades TIC. Dirección de Tecnologías de la Información y las Comunicaciones. Ministerio de Hacienda y Administraciones Públicas.

D. Carlos Manuel Fernández. Gerente de TICs. Evaluación de la conformidad. AENOR.

D. Boris Delgado. Auditor Jefe de TICs. AENOR.

Asimismo, agradecemos al Centro Criptológico Nacional su amable colaboración en todas las ocasiones.

Introducción

Con este libro se pretende ofrecer al lector una descripción de los conceptos y requisitos para la implantación efectiva de un Sistema de Gestión de Seguridad de la Información (SGSI), utilizando para ello el estándar más frecuentemente utilizado: UNE-ISO/IEC 27001, en su versión de 2014.

Por otra parte, se incluye un capítulo en relación al Esquema Nacional de Seguridad (ENS), regulado en el Real Decreto 3/2010, de obligado cumplimiento en el ámbito de la Administración Electrónica, en el que se analizan las similitudes entre UNE-ISO/IEC 27001 y ENS y cómo dar cumplimiento a este último mediante un SGSI.

En cualquier caso, esta publicación ofrece una orientación y alternativas para la implantación de un SGSI, presentando ejemplos y casos prácticos, si bien existen otros mecanismos y métodos igualmente válidos.

Otra herramienta importante para la implantación de los requisitos de la Norma UNE-ISO/IEC 27001 es la Norma UNE-ISO/IEC 27002, que ofrece un conjunto de recomendaciones y buenas prácticas para la implantación de las medidas de seguridad seleccionadas, para lo que se ha incluido un capítulo descriptivo de las mismas.

Capítulo 1. Los Sistemas de Gestión de Seguridad de la Información (SGSI)

1.1. Definición de un SGSI

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de procesos que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad de la información, tomando como base para ello los riesgos a los que se enfrenta la organización.

Su implantación supone el establecimiento de procesos formales y una clara definición de responsabilidades en base a una serie de políticas, planes y procedimientos que deberán constar como información documentada.

Fundamentalmente se distinguirán dos tipos de procesos:

1. Procesos de gestión. Controlan el funcionamiento del propio sistema de gestión y su mejora continua.

2. Procesos de seguridad. Se centran en los aspectos relativos a la propia seguridad de la información.

En su versión de 2014, la norma ha adoptado la estructura del Anexo SL, que será el que adopten otras normas internacionales como UNE-EN ISO 9001 o UNE-EN ISO 14001, y que permitirá una mejor integración de sistemas de gestión basados en estas normas, al poseer idéntica estructura y requisitos comunes. De esta manera, para conseguir una gestión más eficiente de los recursos, se recomienda, como norma general, integrar los distintos sistemas de gestión implantados en la organización.

1.2. El ciclo de mejora continua

Una novedad con respecto a anteriores versiones de la norma es la desaparición del ciclo PDCA como marco obligatorio para la gestión de mejora continua, indicando únicamente en su apartado 10.2 que “la organización debe mejorar de manera continua la idoneidad, adecuación y eficacia del sistema de gestión de seguridad de la información”.

No obstante, el ciclo PDCA está implícito en la propia estructura de la norma, por lo que a continuación se desarrolla este modelo de mejora continua que creemos que es necesario conocer. El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus siglas en inglés), consta de un conjunto de fases que permiten establecer un modelo comparable a lo largo del tiempo, de manera que se pueda medir el grado de mejora alcanzado (véase la figura 1.1):

Plan. En esta fase se planifica la implantación del SGSI. Se determina el contexto de la organización, se definen los objetivos y las políticas que permitirán alcanzarlos. Se correspondería con los capítulos 4, 5, 6 y 7 de la Norma UNE-ISO/IEC 27001:2014.

Do. En esta fase se implementa y pone en funcionamiento el SGSI. Se ponen en práctica las políticas y los controles que, de acuerdo al análisis de riesgos, se han seleccionado para cumplirlas. Para ello debe de disponerse de procedimientos en los que se identifique claramente quién debe hacer qué tareas, asegurando la capacitación necesaria para ello. Se correspondería con el capítulo 8 de la Norma UNE-ISO/IEC 27001:2014.

Check. En esta fase se realiza la monitorización y revisión del SGSI. Se controla que los procesos se ejecutan de la manera prevista y que además permiten alcanzar los objetivos de la manera más eficiente. Se correspondería con el capítulo 9 de la Norma UNE-ISO/IEC 27001:2014.

Act. En esta fase se mantiene y mejora el SGSI, definiendo y ejecutando las acciones correctivas necesarias para rectificar los fallos detectados en la anterior fase. Se correspondería con el capítulo 10 de la Norma UNE-ISO/IEC 27001:2014.

A la hora de diseñar el SGSI, se debe tener en cuenta que sobre el mismo se aplicará un proceso de mejora continua, con lo que conviene partir de una primera versión del mismo adaptado a las necesidades, operativas y recursos de la organización, con unas medidas de seguridad mínimas que permitan proteger la información y cumplir con los requisitos de la norma. Así, el SGSI será mejor adoptado por las personas implicadas, evolucionando de manera gradual y con un menor esfuerzo.

fig_1-1.jpg

Figura 1.1. Ciclo PDCA

1.3. La Norma UNE-ISO/IEC 27001:2014

1.3.1. Novedades en la última versión de la norma

En octubre de 2013 se publicaban las revisiones de las normas internacionales ISO/IEC 27001 (adoptada como norma española en 2014) e ISO/IEC 27002 (adoptada como norma española en 2015) que sustituían a las versiones de 2005.

Como se ha comentado anteriormente, esta norma internacional es una de las primeras en adoptar el Anexo SL, mejorando así la integración con otros sistemas de gestión. Presenta además otras diferencias con respecto a la anterior versión:

• Aparece la figura del propietario del riesgo. Se enfatiza así la importancia de gestionar riesgos y oportunidades en lugar de activos.

• No establece cómo se deben evaluar los riesgos. En la anterior norma se especificaba la necesidad de identificar activos, amenazas y vulnerabilidades, pero en esta nueva versión únicamente se hace referencia a “identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información”. Ahora, la identificación de activos, amenazas y vulnerabilidades es una opción para la evaluación de riesgos, pero se pueden aplicar otras alternativas, haciéndose referencia a la Norma UNE-ISO 31000 Gestión del riesgo. Principios y directrices.

• Desaparecen las referencias a documentos y registros, pasándose a hablar de información documentada, que podrá estar en cualquier soporte (papel o electrónico).

• Se modifica el enfoque en cuanto a la actividad de selección de controles. En anteriores versiones de la norma, se seleccionaban los controles del Anexo A que permitiesen reducir los riesgos a un nivel aceptable. En esta versión el proceso sería: inicialmente, determinar los controles que se necesitan (sin tomar ningún marco como referencia) y posteriormente comparar los controles determinados con el Anexo A para asegurarse de que no se ha olvidado ninguno.

• Se eliminan las acciones preventivas, ya que estas se consideran acciones derivadas de la gestión de riesgos.

• Se actualiza el conjunto de controles, pasando de 133 repartidos en 11 secciones, a 114 repartidos en 14 secciones. Aparecen nuevos controles y desaparecen otros cuyo contenido se reparte, evitando así anteriores duplicidades.

1.3.2. Objeto y campo de aplicación de la norma

Los requisitos de la Norma UNE-ISO/IEC 27001, al igual que sucede con otros sistemas de gestión, son aplicables a todo tipo de organizaciones, independientemente de su naturaleza, tamaño o sector de actividad.

Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un SGSI, teniendo en cuenta los objetivos y riesgos de la organización. No obstante, no concreta cómo deben llevarse a cabo estos procesos, existiendo diversas posibilidades de dar cumplimiento a los mismos. Por ejemplo, establece las características que debe cumplir el proceso de evaluación de riesgos, pero no concreta la metodología ni los métodos a seguir. Esto ofrece a la organización flexibilidad a la hora de definir la manera de dar cumplimiento a los requisitos, ajustándolos a su naturaleza y capacidad.

1.4. La Norma UNE-ISO/IEC 27002:2015

1.4.1. Objeto y campo de aplicación

La Norma UNE-ISO/IEC 27002 incluye un catálogo de buenas prácticas, desarrolladas en base a la experiencia y colaboración de numerosos participantes, que han alcanzado un consenso acerca de los objetivos generalmente aceptados para la implantación y gestión de la seguridad de la información.

Los objetivos de control y los controles de esta norma internacional sirven de guía para la implantación de las medidas de seguridad. Por ello, la selección de los controles se realizará en función de los resultados de un proceso previo de evaluación de riesgos, y el grado de implementación de cada control se llevará a cabo de acuerdo a las necesidades de seguridad identificadas y a los recursos disponibles de la organización, buscando un equilibrio entre seguridad y coste.

Capítulo 2. Requisitos de la Norma UNE-ISO/IEC 27001

2.1. Contexto de la organización

2.1.1. Sistema de gestión de seguridad de la información

Aunque podría pensarse que un sistema de gestión está orientado a grandes empresas, precisamente son las pequeñas organizaciones las que más pueden beneficiarse de los mismos, ya que aportan un conjunto de conocimiento y normas que de otra manera no estarían a su alcance. No obstante, es importante conocer la organización y su contexto, de manera que la definición del sistema de gestión tenga en cuenta los propios objetivos de negocio de la organización, con los que deberá alinearse la gestión de la seguridad de la información.

Cuando una organización quiera cumplir los requisitos de la Norma UNE-ISO/IEC 27001, debe demostrar la efectiva implantación de los apartados 4 al 10, que son los que conforman el cuerpo principal de la norma:

• Contexto de la organización.

• Liderazgo.

• Planificación.

• Soporte.

• Operación.

• Evaluación del desempeño.

• Mejora.

El sistema constará de información documentada en varios niveles (véase la figura 2.1):

• Políticas, que proporcionan las líneas generales de actuación en cada caso.

• Información documentada sobre procesos (generalmente denominados procedimientos), que proporcionan la descripción de las actividades a ejecutar.

Información documentada sobre evidencias (anteriormente denominados registros), que permiten demostrar que se han llevado a cabo las actividades previstas.

fig_2-1.jpg

Figura 2.1. Niveles de información documentada

2.1.2. Conocer la organización

Cuando se lleva a cabo la implantación de un sistema de gestión en una organización, es fundamental conocer sus objetivos de negocio y todas aquellas cuestiones externas e internas que pueden favorecer o perjudicar a la obtención de los mismos.

El objetivo es que el sistema de gestión favorezca el desempeño de la organización y para eso debe estar alineada con sus objetivos de negocio. En pocas palabras, se debe conocer la organización.

Como cuestiones internas se deben considerar, por ejemplo, los recursos financieros o humanos y sus competencias.

Como cuestiones externas se pueden considerar los aspectos políticos, culturales o socioeconómicos que rodean a la organización en su campo de acción así como las partes interesadas (proveedores, usuarios, competidores, organismos reguladores...) que podrán fijar, legal o contractualmente, los requisitos que afecten al sistema de gestión de seguridad de la información en el que vamos a trabajar.

En algunos casos las organizaciones conocen el nivel de seguridad que necesitan, pero estos no se encuentran formalizados. Estas necesidades deben establecerse antes de comenzar el diseño del SGSI ya que, con ello, se podrán valorar alternativas y tomar decisiones sobre las más adecuadas.

2.1.3. Definición del alcance del SGSI

Se trata de identificar aquellos procesos sobre los que el SGSI va a actuar, no siendo necesario aplicarlo sobre toda la actividad de la organización.

A la hora de definir el alcance, se deben tener en cuenta los recursos de los que se dispone, siendo generalmente más práctico limitarlo a aquellos procesos o servicios más importantes para la organización y, en posteriores ciclos de mejora continua, ir incorporando el resto.

En cualquier caso, es fundamental dimensionar adecuadamente el proyecto para que este tenga éxito.

2.2. Establecimiento y gestión del SGSI

2.2.1. Liderazgo

Para poner en marcha un SGSI es fundamental contar con el liderazgo y compromiso de la dirección, siendo este uno de los epígrafes contemplados en la norma, ya que el cambio de cultura que genera el proceso sería imposible de lograr sin la implicación constante de la dirección. Entre otras cosas, la dirección deberá demostrar su compromiso, aportando los recursos necesarios, tanto económicos como humanos.

Además, existen otras tareas en las que la dirección deberá evidenciar su implicación:

• Establecer la política u objetivos de seguridad de la información.

• Asegurar que los requisitos de seguridad se integran con los procesos de la organización.

• Proporcionar los recursos necesarios para el sistema de gestión.

• Comunicar la importancia de gestionar eficazmente la seguridad de la información, de acuerdo con los requisitos del sistema.

• Asegurar que el sistema de gestión consigue los resultados previstos.

• Dirigir y apoyar a las personas, contribuyendo así a la eficacia del sistema de gestión de seguridad de la información.

• Promover la mejora continua.

• Apoyar otros roles pertinentes de la dirección, demostrando así liderazgo aplicado a sus áreas de responsabilidad.

2.2.1.1. Política

Es la información documentada en la que se reflejan, en términos generales, los objetivos de la organización en materia de seguridad de la información y las principales líneas de acción que permitan proteger su información frente a pérdidas de confidencialidad, integridad y disponibilidad. Tendrá en cuenta los requisitos del negocio, así como los contractuales, legales y estatutarios, los cuales quedarán reflejados en la misma.

En la política de seguridad de la información, la organización adquiere el compromiso de implantar y mejorar de manera continua el sistema de gestión.

Se trata de un documento que debe ser comunicado a todos los empleados y a otras partes interesadas: proveedores, clientes, usuarios, etc.

2.2.1.2. Roles, responsabilidades y autoridades en la organización

Uno de los aspectos que siempre tienen que quedar claros en todos los procesos, incluyendo la gestión de la seguridad de la información, es quién tiene que hacer qué, de manera que se evite la situación en la que se documentan un conjunto de procesos que en la práctica no se llevan a cabo, porque no se tiene claro quién debe realizarlos.

Para que esta designación sea clara y no se ponga en duda, debe ser determinada por la dirección, que además debe asegurarse de que los roles sean comunicados.

La definición de responsabilidad permite a la dirección asegurar que se cumplen los requisitos de la Norma UNE-ISO/IEC 27001, así como mantenerse informada sobre el comportamiento del sistema de gestión de seguridad de la información. Para esto último es importante tener en cuenta los distintos niveles jerárquicos que pueda haber en la organización, encontrando la manera de que los requisitos de negocio puedan ser entendidos por la parte técnica y la de negocio.

Aunque el marco organizativo para la gestión de la seguridad de la información depende mucho de la organización interna y las jerarquías establecidas en la entidad, al menos deberían contemplarse:

• Un responsable de seguridad, que coordine las actividades en materia de seguridad y que idealmente reportará a la dirección.

• Un comité de seguridad que busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas.

Un error habitual a la hora de designar responsables para la gestión de la seguridad de la información es pensar que, al tratarse de temas técnicos, esta debe recaer en el personal informático. Si bien la norma tiene un fuerte componente técnico, hay que recordar que la seguridad debe basarse en los objetivos y necesidades del negocio, por lo que será desde las áreas de negocio desde donde se tendrán que determinar los requisitos de seguridad que, posteriormente, serán implementados por el personal informático. La figura del responsable de seguridad juega un papel importante a la hora de conseguir que las áreas de negocio y técnicas sean capaces entenderse.

2.2.2. Planificación

2.2.2.1. Acciones para tratar los riesgos y oportunidades

Teniendo en cuenta el contexto de la organización y las necesidades de las partes interesadas previamente determinadas, se deben acometer las actividades encaminadas a determinar los riesgos y oportunidades que será necesario tratar.

Para ello debe definirse un proceso de evaluación de riesgos de seguridad de la información, en las siguientes fases principales (en línea con la Norma UNE-ISO 31000):

1. Determinar los criterios de aceptación de riesgo y la metodología para llevar a cabo la evaluación del riesgo.

2. Identificación de riesgos, asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información. La identificación de riesgos debe ser lo más exhaustiva posible, ya que si un riesgo no se identifica en esta fase, no será evaluado ni tratado posteriormente. Se debe identificar además al propietario (o propietarios) del riesgo, que deberá aprobar los niveles de riesgo y los planes de tratamiento.

3. Análisis de riesgos. En esta fase se valoran las consecuencias y probabilidades de materialización de los riesgos identificados en la anterior fase, obteniendo así los niveles de riesgo.

4. Evaluación de riesgos. Por último, se comparan los resultados obtenidos en la anterior fase con los criterios de aceptación del riesgo para determinar las medidas de tratamiento y su prioridad.

2.2.2.2. Definir la metodología de evaluación de riesgos

El único requisito que establece la norma en cuanto a la metodología de evaluación de riesgos es que los resultados obtenidos sean consistentes, válidos y comparables, pudiendo así elegir cada organización la metodología que, adaptándose a sus procesos internos, resulte sencilla de aplicar. Seleccionar una metodología muy detallada o complicada provocará un excesivo consumo de recursos para esta tarea, que por otra parte debe repetirse periódicamente.

Pueden distinguirse dos tipos fundamentales de evaluación de riesgos:

• Evaluación cuantitativa. Consiste en asignar un valor a un riesgo en particular. Por ejemplo, cuál sería el coste económico para la organización de que se filtrase determinada información. Suelen ser análisis de riesgos más complejos de llevar a cabo, ya que por lo general no resulta sencillo cuantificar el impacto de un incidente de seguridad o un riesgo en concreto.

Evaluación cualitativa. Consiste en asignar a los riesgos valores del tipo “bajo”, “medio”, “alto”. Aunque sus resultados no son tan exactos como en la evaluación cuantitativa, son mucho más sencillos de llevar a cabo y son generalmente válidos para cualquier organización, especialmente para pequeñas y medianas empresas.

En este manual y en los ejemplos que incluye se utiliza un enfoque cualitativo para la evaluación de riesgos.

La anterior versión de la Norma UNE-ISO/IEC 27001 establecía como requisito, para la evaluación de riesgos, la identificación de activos de información, amenazas y vulnerabilidades. Si bien la actual versión de la norma elimina estos requisitos, este sigue siendo un método válido para la evaluación de riesgos, de acuerdo con los criterios que a continuación se describen.

2.2.2.3. Identificación de los activos de información

El SGSI permitirá mejorar la seguridad de los servicios o procesos incluidos en el alcance, cuyo funcionamiento depende de un conjunto de activos: información, aplicaciones, servidores, comunicaciones, etc.

Así, el primer paso será identificar todo el conjunto de activos que están dando soporte a los procesos y servicios en el alcance y elaborar un inventario de los mismos, asignando a cada uno de ellos un responsable. Asimismo, deben quedar reflejadas las dependencias entre los activos y los servicios o procesos.

Una vez identificados los activos, se valorarán en cada una de las dimensiones de confidencialidad, integridad y disponibilidad, de acuerdo con la importancia que tengan para la organización y especialmente para la prestación de los servicios identificados. El valor del activo será uno de los parámetros que intervendrán en el cálculo de los valores de riesgo: cuanto más valor tenga el activo para la organización, mayor riesgo tendrá.

2.2.2.4. Identificación de amenazas y vulnerabilidades

En el proceso de evaluación de riesgos se determinarán las amenazas y vulnerabilidades que pueden afectar a cada activo de información previamente identificado. Para ello puede ser útil disponer de un catálogo de amenazas en función de la naturaleza de los activos. Por ejemplo, el equipamiento informático podrá ser afectado por el fuego, inundaciones, cortes del suministro eléctrico, etc., mientras que el personal será susceptible de recibir ataques de ingeniería social, sobornos, etc.

En el caso de las amenazas y vulnerabilidades, se valorará su probabilidad y la degradación que provocarían sobre el activo en cuestión.

2.2.2.5. Cálculo del riesgo

En función de los valores establecidos hasta el momento, se procederá a aplicar las fórmulas o funciones establecidas por la metodología seleccionada para calcular los valores de riesgo. Generalmente, el cálculo del riesgo tendrá en cuenta el valor del activo, la degradación que provocan sobre los mismos las amenazas cuando estas tienen lugar y la probabilidad de ocurrencia de las mismas.

La forma de calcular el riesgo, según cada metodología, puede ir desde complejas fórmulas matemáticas, hasta el uso de sencillas tablas de doble entrada. Cada organización deberá seleccionar la metodología en función del nivel de detalle que haya decidido para la evaluación de riesgos.

2.2.2.6. Tratamiento de los riesgos

Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según los criterios fijados inicialmente. Si no lo son, los propietarios del riesgo deberán evaluar cómo se van a tratar esos riesgos, disponiendo para ello, entre otras, de las siguientes opciones:

• Mitigar el riesgo. Reducirlo a un nivel aceptable mediante la implantación de medidas de seguridad.

• Asumir el riesgo. El propietario del riesgo acepta convivir con él, al estar por debajo del umbral fijado o bien porque reducirlo sería más costoso que el beneficio que se obtendría. El propietario del riesgo debe aprobar que los activos con un valor de riesgo inferior no estarán sometidos a controles que lo mitiguen.

• Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los elementos afectados o externalizando el servicio. En cualquier caso, la responsabilidad sobre el servicio o activo será siempre de la organización, que deberá valorar el impacto que pueda tener su deterioro en dimensiones como la reputación.

• Evitar o eliminar el riesgo, eliminando la fuente del mismo o la actividad que lo produce. En casos extraordinarios, con niveles de riesgo muy elevados, podrá suponer la suspensión de un determinado servicio o producto ofrecido por la organización.

Las opciones de tratamiento no siempre son excluyentes entre sí. Por ejemplo, para un servicio crítico podrán aplicarse un conjunto de medidas de seguridad para reducir el riesgo y transferirlo mediante la contratación de un seguro. Generalmente se aplicarán medidas de seguridad que reduzcan los niveles de riesgo a unos valores asumibles.

2.2.2.7. Selección de controles

Se deben seleccionar los controles de seguridad que permitan implementar las opciones elegidas previamente para el tratamiento de riesgos, pudiendo diseñarlos según sea necesario o identificarlos de alguna fuente. Esta selección de controles será comparada con los que la Norma UNE-ISO/IEC 27002 contiene, para verificar que no se han pasado por alto controles necesarios.

A la hora de valorar la aplicación de un control se debe considerar hasta qué punto permitirá reducir el riesgo y cuál va a ser el coste de su implementación y mantenimiento. Puede darse el caso de que un control que ayude a reducir el nivel de riesgo sea demasiado costoso o difícil de implementar frente a los beneficios que aporta, siendo por lo tanto viable excluir dicho control. El coste de implementación y mantenimiento de un control nunca debería superar a los beneficios que se esperan de él.

2.2.2.8. Gestión de riesgos

Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas (riesgo actual) y aquellas planificadas (riesgo residual), que deberán figurar en un plan de tratamiento de riesgos de seguridad de la información.

El propietario del riesgo debe aprobar el valor de riesgo aceptable, asumir el riesgo residual y aprobar el plan de tratamiento de riesgos.

2.2.2.9. Declaración de aplicabilidad

Otro requisito de la norma es la elaboración de una declaración de aplicabilidad, que debe incluir:

• Los controles que se han determinado como necesarios en las fases anteriores.

• La justificación de las inclusiones y exclusiones de los controles del Anexo A de la norma.

Esta declaración de aplicabilidad permitirá verificar que se han considerado todos los controles previstos.

2.2.3. Soporte

2.2.3.1. Gestión de los recursos

Como se ha mencionado en puntos anteriores, la dirección debe comprometerse aportando y gestionando los recursos necesarios para una efectiva implantación de la seguridad de la información, teniendo en cuenta que cada una de las fases –planificación, implantación, monitorización y mejora–, requerirán unos medios concretos.

Así, los planes de tratamiento de riesgos definidos deberían incluir una previsión de los costes de implantación, tanto de medios económicos como de recursos humanos, siendo este último un factor crítico para el éxito del proyecto. Esto permitirá, tanto al responsable de seguridad como al comité de seguridad, realizar un seguimiento de la evolución del plan de tratamiento de riesgos e identificar desviaciones con respecto al aprovisionamiento de recursos realizado.

2.2.3.2. Competencia y concienciación

vsvs