Professional Documents
Culture Documents
ISO/IEC 27001
Estndar para la seguridad de la informacin.
ISO/IEC 27001 es un estndar para la seguridad de la informacin
(Information technology - Security techniques - Information security
Planificacin
Se debe realizar una planificacin de la implantacin y la prestacin de la
gestin de servicios. El alcance puede venir definido dentro de parte del
plan de gestin de servicios. La gestin de servicios tiene que estar
planificada. Como mnimo, en dichas planificaciones se debe incluir lo
siguiente:
Tiene que existir una gestin clara por parte de la direccin y las
responsabilidades tienen que estar documentadas, revisadas, autorizadas,
comunicadas e implementadas.
Hacer
Implantar los objetivos y planificar la gestin de servicios. La empresa tiene
que implantar el plan de gestin de servicios para poder gestionar de una
forma mucho ms segura la informacin y se debe incluir:
Verificar
Se tiene que supervisar y verificar todos los objetivos y el plan de gestin de
servicios establecido por la organizacin, para comprobar que se cumplen.
La empresa tiene que realizar una planificacin para poder implementar la
supervisin y la verificacin de los procesos de gestin de servicios y los
servicios asociados.
La norma ISO 27001 nos dice que los resultados de la verificacin deben
ofrecer informacin sobre el programa de mejora del servicio. Entre todos
los elementos que se tienen que supervisar, evaluar y analizar se
encuentran:
Las empresas tienen que aplicar los mtodos ms adecuados para poder
supervisar y evaluar los procesos de gestin de servicios en el Sistema de
Gestin de Seguridad de la Informacin.
Todos los mtodos tienen que demostrar las capacidades que presentan los
procesos para conseguir los resultados planificados.
Actuar
El objetivo que persigue esta fase es mejorar la eficacia de las prestaciones
y la gestin de los servicios.
Se debe realizar una poltica, que sea pblica, para mejorar el servicio.
Cualquier falta de conformidad con la norma ISO 27001 tiene que ser
remediada. Todas las funciones y las responsabilidades que sean necesarias
para realizar las actividades de mejora del servicio se tienen que definir de
forma clara.
Todas las mejoras de los servicios que propone la organizacin deben pasar
por ser revisadas, registradas, priorizadas y autorizadas. Se puede utilizar
un plan de mejora del servicio para poder controlar la actividad.
La empresa tiene que disponer de un proceso que identifique, evale y
gestione todas las actividades de mejora.
Se tienen que incluir las mejoras del proceso individual para que la persona
responsable del proceso pueda implantar los recursos necesarios y las
mejoras de toda la empresa.
La empresa puede realizar una serie de actividades con las que recopilar
datos para llevar a cabo evaluaciones comparativas de la capacidad de la
empresa; identificar, planificar e implementar las mejoras necesarias;
consultar a las partes interesadas; generar objetivos para conseguir mejorar
la calidad de la seguridad de la informacin y disminuir los costes. Se tienen
que considerar las aportaciones que se realizan referentemente a las
mejoras que se realizan en el Sistema de Gestin de Seguridad de la
Informacin ISO 27001. Se debe revisar la poltica de seguridad y los
procedimientos siempre que sean necesarios.
Estructura
La versin actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra
normalizada por el Instituto Colombiano de Normas y Tcnicas y
Certificacin ICONTEC. Dicha norma es una adopcin idntica (IDT) por
traduccin de la norma ISO/IEC 27001:2013.
Esta norma se encuentra dividida en dos partes; la primera se compone de
10 puntos entre los cuales se encuentran:
1. Objeto y campo de aplicacin: Especifica la finalidad de la norma y su
uso dentro de una organizacin.
2. Referencias normativas
ISO 27001:2013
Existen varios cambios con respecto a la versin 2005 en esta versin 2013.
Entre ellos destacan:
Desaparece la seccin "enfoque a procesos" dando mayor flexibilidad
para la eleccin de metodologas de trabajo para el anlisis de riesgos y
mejoras.
Cambia su estructura conforme al anexo SL comn al resto de
estndares de la ISO.
Pasa de 102 requisitos a 130.
Considerables cambios en los controles establecidos en el Anexo A,
incrementando el nmero de dominios a 14 y disminuyendo el nmero
de controles a 114.
Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que
suele tener una duracin entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la informacin y el alcance, entendiendo por
alcance el mbito de la organizacin que va a estar sometido al Sistema de
Gestin de la Seguridad de la Informacin elegido. En general, es
recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma
rigurosa sus sistemas de informacin y sus procesos de trabajo a las
exigencias de las normativas legales de proteccin de datos (p.ej., en
Espaa la conocida LOPD y sus normas de desarrollo, siendo el ms
importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de
la Ley Orgnica de Proteccin de Datos) o que hayan realizado un
acercamiento progresivo a la seguridad de la informacin mediante la
aplicacin de las buenas prcticas de ISO/IEC 27002, partirn de una
posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por
representantes de todas las reas de la organizacin que se vean afectadas
Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita el sistema,
determinando su conformidad con ISO/IEC 27001, su grado de implantacin
real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones
interesadas eran certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin
ISO/IEC 27001 en su primera certificacin con xito o mediante su
recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado
reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de
Gestin de la Seguridad de la Informacin (SGSI) con el Sistema de Gestin
de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio
Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el punto de poder
llegar a certificar una organizacin en varias normas y con base en un
sistema de gestin comn.
ISO/IEC 27002
Cdigo de prcticas
informacin
para
los
controles
de
seguridad
de
la
ISO 27002:2013
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para
la seguridad de la informacin publicado por la Organizacin Internacional
de Normalizacin y la Comisin Electrotcnica Internacional. La versin ms
reciente es la ISO/IEC 27002:2013.
ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad
de la informacin de la organizacin y las prcticas de gestin de seguridad
de la informacin, incluida la seleccin, implementacin y gestin de
control, teniendo en cuenta el medio ambiente, el riesgo y la seguridad de
la informacin de la organizacin.
Est diseado para ser utilizado por las organizaciones que pretenden:
ISO/IEC 27003
Gua para la implementacin de
Seguridad de la Informacin.
un
Sistema
de
Gestin de
ISO 27003
ISO 27003 es un estndar internacional que constituye una gua para la
implantacin de un SGSI.
Se trata de una norma adaptada tanto para los que quieren lanzarse a
implantar un SGSI como para los consultores en su trabajo diario, debido a
que resuelve ciertas cuestiones que venan careciendo de un criterio
normalizado.
ISO-27003 focaliza su atencin en los aspectos requeridos para un diseo
exitoso y una buena implementacin del Sistema de Gestin de Seguridad
de la Informacin SGSI segn el estndar ISO 27001.
Alcance.
Referencias Normativas.
Trminos y Definiciones.
Estructura de esta Norma.
Obtencin de la aprobacin de la alta direccin para iniciar un SGSI.
Definicin del alcance del SGSI, lmites y polticas.
Evaluacin de requerimientos de seguridad de la informacin.
Evaluacin de Riesgos y Plan de tratamiento de riesgos.
Diseo del SGSI.
Anexo
Anexo
Anexo
Anexo
Anexo
ISO/IEC 27004
Medicin de la Seguridad de la Informacin.
ISO 27004
ISO 27004 facilita una serie de mejores prcticas para poder medir el
resultado de un SGSI basado en ISO 27001.
El estndar concreta cmo configurar el programa de medicin, qu
parmetros medir, cmo medirlos, y ayuda a las empresas a crear objetivos
de rendimiento y criterios de xito.
La medicin de la seguridad aporta proteccin a los sistemas de la
organizacin y da respuesta a las amenazas de la misma.
Las empresas deben definir lo que hay que medir y el alcance de la medida.
Slo se consideran en la medicin los procesos bien documentados que son
consistentes y repetibles. Objetos de medicin puede ser el rendimiento de
los controles o de procedimientos, el comportamiento del personal.
Definicin de las lneas base.
Los valores base que muestran el punto de referencia deben definirse para
cada objeto que se est midiendo.
Recopilacin de datos.
Los datos deben ser dimensionales precisos y oportunos. Se pueden
emplear tcnicas automatizadas de recogida de datos para lograr una
recoleccin estandarizada y presentar informes.
Desarrollo de un mtodo de medicin.
Segn ISO 27004, la secuencia lgica de operaciones se aplica en diversos
atributos del objeto seleccionado para la medicin. Se usan indicadores
como fuentes de datos para mejorar el rendimiento de los programas de
seguridad de la informacin.
Interpretacin de los valores medidos.
Mediante procesos y la tecnologa para el anlisis y la interpretacin de los
valores se deben identificar las brechas entre el valor inicial y el valor de
medicin real.
Comunicacin de los valores de medicin.
Los resultados de medicin del SGSI se comunicarn a las partes
interesadas. Se puede hacer en forma de grficos, cuadros de mando
operacionales, informes o boletines de noticias.
ISO/IEC 27005
Gestin de riesgos de la Seguridad de la Informacin.
ISO 27005
ISO 27005 es el estndar internacional que se ocupa de la gestin de
riesgos de seguridad de informacin. La norma suministra las directrices
para la gestin de riesgos de seguridad de la informacin en una empresa,
apoyando particularmente los requisitos del sistema de gestin de
seguridad de la informacin definidos en ISO 27001.
Los usuarios elijen el mtodo que mejor se adapte para, por ejemplo, una
evaluacin de riesgos de alto nivel seguido de un anlisis de riesgos en
profundidad sobre las zonas de alto riesgo.
La norma incorpora algunos elementos iterativos, por ejemplo si los
resultados de la evaluacin no son satisfactorios.
ISO 27005 sustituy a la Gestin de la Informacin y Comunicaciones
Tecnologa de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO
/ IEC TR 13335-4:2000.
Las secciones de contenido son:
Prefacio.
Introduccin.
Referencias normativas.
Trminos y definiciones.
Estructura.
Fondo.
Descripcin del proceso de ISRM.
Establecimiento Contexto.
Informacin sobre la evaluacin de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Informacin.
Admisin de Riesgos Seguridad de la informacin.
Comunicacin de riesgos de seguridad de informacin.
Informacin de seguridad Seguimiento de Riesgos y Revisin.
Anexo A: Definicin del alcance del proceso.
Anexo B: Valoracin de activos y evaluacin de impacto.
Anexo C: Ejemplos de amenazas tpicas.
Anexo D: Las vulnerabilidades y mtodos de evaluacin
vulnerabilidad.
Enfoques ISRA: Anexo E.
de
la
ISO/IEC 27006
Gua para la certificacin del SGSI.
ISO 27006
ISO 27006 tiene como ttulo oficial Tecnologa de la informacin -. Tcnicas
de seguridad Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de informacin de gestin de la seguridad, se
compone de 10 captulos y 4 anexos.
El estndar ISO 27006 responde a una gua para los organismos de
certificacin en los procesos formales que hay que seguir al auditar SGSI.
Los procedimientos descritos en dicha norma dan la garanta de que el
certificado emitido de acuerdo a ISO 27001 es vlido.
con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de
informacin con diligencia.
Esta norma se public en 2007 y se revis en 2011.
La prxima versin es probable que sea diferente debido a los cambios
relevantes en las normas en las que se basa.
Los requisitos generales a los que hace referencia son:
Orientacin especfica del SGSI en relacin con la imparcialidad.
Listado del trabajo que pudiera estar en conflicto.
Inclusin de una lista de todas las actividades que se pueden realizar
fuera.
ISO/IEC 27007
Gua para auditar.
ISO 27007
ISO 27007 forma parte de la familia de normas del Sistema de Gestin de
Seguridad de la Informacin SGSI .
La norma suministra una gua
certificacin para auditar SGSI.
para
las
entidades
acreditadas
de
Revisar por la direccin, sin olvidar las operaciones rutinarias que forman
parte del SGSI de una organizacin, para asegurarnos que todo est en
orden.