Professional Documents
Culture Documents
La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas
para la gestin de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para
la que no se estableca un esquema de certificacin. Es la segunda parte (BS
7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un
sistema de seguridad de la informacin (SGSI) para ser certificable por una
entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se
adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se
public por ISO, con algunos cambios, como estndar ISO 27001. Al tiempo se
revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO
27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de
publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI
public la BS 7799-3:2006, centrada en la gestin del riesgo de los sistemas de
informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro
de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e
implementacin de ISO/IEC 27001, que es la norma principal y nica certificable
dentro de la serie.
ISO 27002
Es el nuevo nombre de ISO17799:2005, manteniendo 2005como ao de edicin.
Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO
27002
ISO 27003
Consiste en una gua de implementacin de SGSI e informacin acerca del uso
del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen
en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por
BSI a lo largo de los aos con recomendaciones y guas de implantacin.
ISO 27004
Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan
fundamentalmente para la medicin de los componentes de la fase Do
(Implementar y Utilizar) del ciclo PDCA.
ISO 27005
Establece las directrices para la gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos generales especificados en la norma ISO/IEC
27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de
la informacin basada en un enfoque de gestin de riesgos.
ISO 27006
ISO 27007
Es un estndar Internacional el cual ha sido creado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema
de Gestin de Seguridad de la Informacin (SGSI).
El diseo e implementacin del SGSI de una organizacin es influenciado por las
necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el
tamao y estructura de la organizacin. Como resultado Se espera que estos y sus
sistemas de apoyo cambien con el transcurso del tiempo. Se espera que la
implementacin de un SGSI se extienda en concordancia con las necesidades de la
organizacin; por ejemplo, una situacin simple requiere una solucin SGSI simple.
ISO 27011
Esta gua de implementacin de SGSI para la industria de Telecomunicaciones fue
desarrollado conjuntamente por la UIT-T e ISO / IEC JTC 1 / SC 27, con el texto
idntico siendo publicado tanto como la UIT-T X.1051 e ISO / IEC 27011.
Esta Recomendacin especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un sistema documentado de gestin de
seguridad de la informacin (SGSI) en el contexto de los riesgos de negocio globales
de la telecomunicacin. Especifica los requisitos para la aplicacin de controles de
seguridad a medida de las necesidades de telecomunicaciones individuales o partes
de los mismos ".
ISO 27031
ISO / IEC 27031 proporciona orientacin sobre los conceptos y principios que
sustentan el papel de la tecnologa de la informacin y las comunicaciones para
asegurar la continuidad del negocio.
El estndar:
ISO 27032
Oficialmente, la norma ISO / IEC 27032 direcciones "ciber seguridad" o "seguridad
ciberespacio", definida como la "preservacin de la confidencialidad, integridad y
disponibilidad de la informacin en el ciberespacio". A su vez "el ciberespacio"
(completo con artculo definido) se define como "el entorno complejo que resulta
de la interaccin de las personas, software y servicios en Internet a travs de
redes y dispositivos conectados a la misma tecnologa, que no existe en ningn
fsico forma.
ISO 27033
El propsito de la norma ISO / IEC 27033 es proporcionar una gua detallada
sobre los aspectos de seguridad de la gestin, el funcionamiento y el uso de redes
de sistemas de informacin, y sus interconexiones. Aquellos individuos dentro de
una organizacin que son responsables de seguridad de la informacin en
general, y seguridad de la red, en particular, deben ser capaces de adaptar el
material en este estndar para satisfacer sus necesidades especficas. "[Citado de
la FCD de 27033-1].
ISOI / IEC 27033 proporciona orientacin detallada sobre la aplicacin de los
controles de seguridad de red que se introducen en la norma ISO / IEC 27002 . Se
aplica a la seguridad de los dispositivos conectados en red y la gestin de su
seguridad, aplicaciones de redes / servicios y los usuarios de la red, adems de
seguridad de la informacin que se transfiere a travs de enlaces de
comunicaciones.
ISO 27034
ISO / IEC 27034 ofrece una gua sobre seguridad de la informacin a las que
especifican, el diseo y la programacin o la adquisicin, implementacin y uso de
sistemas de aplicacin, es decir, gerentes de negocios y de TI, desarrolladores y
auditores, y en ltima instancia, los usuarios finales de las TIC. El objetivo es
garantizar que las aplicaciones informticas proporcionan el nivel deseado o
necesario de seguridad en apoyo del Sistema de Gestin de Seguridad de la
Informacin de la organizacin, que se aborden adecuadamente muchos riesgos
de seguridad de las TIC.
Certificaciones ISO
La seguridad de la informacin tiene asignada la serie 27000 dentro de los
estndares ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y
vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un
entendimiento ms claro de la serie y la relacin entre los diferentes documentos
que la conforman.
UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin
(SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es
la norma principal de requisitos de un Sistema de Gestin de Seguridad de la
Informacin. Los SGSIs debern ser certificados por auditores externos a las
organizaciones. En su Anexo A, contempla una lista con los objetivos de control y
controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).
ISO/IEC 27002: (anteriormente denominada ISO 17799). Gua de buenas
prcticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y
133 controles.
ISO/IEC 27003: En fase de desarrollo; probable publicacin en 2009. Contendr
una gua de implementacin de SGSI e informacin acerca del uso del modelo
PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de
la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de
los aos con recomendaciones y guas de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas
de medida aplicables para determinar la eficiencia y eficacia de la implantacin de
un SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del
riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO
27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para
acreditacin de entidades de auditora y certificacin de sistemas de gestin de
seguridad de la informacin
ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de
2010. Consistir en una gua de auditora de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es finales de
2008. Consistir en una gua de gestin de seguridad de la informacin especfica
conjuntamente
con
la
ITU
(Unin
Se define el grado de responsabilidad que hay hacia los activos y las personas
encargadas, al hablar de responsabilidad de los activos o recursos se hace
hincapi al:
Inventario de activos.
Responsable de los activos.
Acuerdos sobre el uso aceptable de los activos.
Una vez hecho esto se deber clasificar la informacin de la siguiente:
Directrices de clasificacin, marcado y tratamiento de la informacin.
Introduccin
Este caso se deriva de la presentacin que el Director General de la empresa
ficticia ServiceCo, una compaa de servicios TIC, realiz a una audiencia
compuesta por especialistas en seguridad de la informacin y de auditoras TI.
El DG explic su satisfaccin de poder hablar sobre esta materia dada la ilusin
por los resultados de negocio generados en la compaa aportados por la
seguridad de la informacin.
Situacin de negocio de serviceco
ServiceCo proporciona servicios TIC, hardware y software a sus clientes. Una vez
ganada la certificacin en ISO 9001 hace ya 10 aos aproximadamente, los
empleados se acostumbraron a trabajar de un modo adecuado y en relacin a los
procedimientos de calidad documentados y a las guas establecidas. Hace un par
de aos, sin embargo, el ambiente laboral empez a cambiar de forma negativa.
Las decisiones de la Gerencia fueron acometidas de manera instintiva y con poca
base de anlisis en datos reales mayoritariamente. Con una rotacin de la plantilla
en aumento, la Gerencia reconoci la necesidad de aplicar cambios y acometer un
anlisis serio de las debilidades y fortalezas de la organizacin.
La Gerencia de ServiceCo decidi implantar un ISO27k (que implica tanto ISO/IEC
27001 como 27002). Segn las palabras del Gerente de ServiceCo, la
implantacin de ISO27k tena sentido en el negocio. La seguridad en la