Post on 06-Jul-2015
Introducción
La información es un activo vital para las empresas.
Es necesario un sistema documentado, con objetvos de seguridad y planificación de riesgos.
ISO 27000 es un estándard para gestionar la seguridad de cualquier tipo de organización.
Origen
En 1995 aparece BS 7799 de BSI con objetivo de proporcionar un conjunto de buenas prácticas para la gestión de la seguridad de su información.
Consta de dos partes : La primera parte de la norma es una guía de buenas
prácticas, para la que no se establece un esquema de certificación.
La segunda parte establece los requisitos de un sistema para ser certificable.
En 1999 la primera parte se adoptó como ISO 17799.
Origen
En 2002, se revisó BS 77992 para adecuarse a la filosofía de normas ISO de sistemas de gestión.
En 2005 BS77992 se publicó como estándar 27001.
La ISO 17799 se actualizó y renombró como ISO 27002.
Origen
La serie 27000
Como muchas otras normas ISO, la ISO 27000 es en realidad una serie de estándares. Contiene de la 27000 a la 27019 y de la 27030 a la 27044.
La serie 27000
ISO 27000: Contiene unos términos y definiciones que se usarán en toda la serie 27000. La aplicación de cualquier estándard tiene que tener un vocabulario bien definido para evitar interpretaciones distintas. Actualmente esta en desarrollo.
La serie 27000
ISO 27001: Publicada en 2005, es la norma principal de la serie. Contiene los requisitos que una empresa tiene que cumplir sobre el sistema de gestión de la seguridad de la información y los enumera en unos puntos. Estos puntos no son obligatorios de implementar pero si de justificar su no implementación.
La serie 27000
ISO 27002: Publicada en 2007. Es una guía de buenas prácticas que describe objetivos de control y controles recomendables de seguridad. No es certificable.
ISO 27003: Publicada en 2010. Son directrices para la implementación de un SGSI (Sistema de Gestion de la Seguridad de la Información).
La serie 27000
ISO 27004: Publicada en 2009. Son técnicas y métricas para determinar la eficacia de un SGSI.
ISO 27005: Publicada en 2008. Son directrices que ayudan a la aplicación de la seguridad de la información basada en un enfoque de gestión de riesgos.
La serie 27000
ISO 27006: Publicada en 2007. Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los SGSI basadas en 27001.
ISO 27007: Publicada en 2010. Es una guia de auditoría de un SGSI.
La serie 27000
ISO 27011: Publicada en 2009. Es una guía de gestión de seguridad de la información específica en sistemas de telecomunicaciones.
ISO 27031: Publicada en 2011. Es una guía de continuidad de negocio sobre las tecnologías de la información.
La serie 27000
ISO 27032: En fase de desarrollo. Será una guía sobre la ciberseguridad (esencialmente en 'Ser un buen vecino en internet').
La serie 27000
ISO 27033: En fase de desarrollo. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.
La serie 27000
ISO 27034: En fase de desarrollo. Será una guía sobre la seguridad en las aplicaciones.
ISO 27799: Publicada en 2008. Es un estándard de gestión de seguridad de la información en el sector sanitario aplicando ISO 27002.
ISO 27001
La ISO 27001 ofrece:
Introducción al método PDCA. Términos y definiciones. Sistema de gestión de la seguridad de la
información. Responsabilidades de la dirección.
ISO 27001
Objetivos de control. Relación con los Principios de la OCDE. Correspondencia con otras normas. Auditorías del SGSI. Revisión y mejora del SGSI.
ISO 27002
La ISO 27002 ofrece:
Conceptos generales de seguridad de la información y SGSI.
Campo de aplicación. Términos y definiciones. Estructura del estándar. Evaluación y tratamiento del riesgo. Política de seguridad.
ISO 27002
Aspectos organizativos de la seguridad de la información.
Gestión de activos. Seguridad ligada a los recursos humanos. Seguridad física y ambiental. Gestión de comunicaciones y operaciones. Control de acceso.
ISO 27002
Adquisición, desarrollo y mantenimiento de los sistemas de información.
Gestión de incidentes de seguridad de la información.
Gestión de la continuidad del negocio. Cumplimiento.
Beneficios
Esta serie de estándard otorga unos beneficios a las empresas que veremos a continuación.
Beneficios
Tener una metodología de gestión clara, ordenada y estructurada que reduce el riesgo a robos o corrupción de la información.
Tanto clientes como trabajadores de la empresa acceden a datos a través de medidas de seguridad.
Beneficios
Confianza de clientes y socios por la garantía de confidencialidad y calidad.
Continuidad de las operaciones importantes de negocio después de incidentes de gravedad.
Conformidad sobre la legislación vigente sobre información personal y propiedad intelectual.
Beneficios
Imagen de empresa y elemento diferenciador sobre la competencia.
Confianza y reglas claras.
Reducción de costes y mejora de servicio.
Aumento de la motivación y satisfación personal.
Proceso de adaptación
A continuación se muestra el proceso de adaptación paso a paso que se puede diferenciar en 5 partes:
Arranque del proyecto Plan Do Check Act
Proceso de adaptación
Proceso de adaptación
Proceso de adaptación
Proceso de adaptación
Proceso de adaptación
Aspectos clave
Compromiso y apoyo de la Dirección de la organización.
Definición clara de un alcance apropiado. Concienciación y formación del personal. Evaluación de riesgos exhaustiva y adecuada a la
organización.
Aspectos clave
Compromiso de mejora continua. Establecimiento de políticas y normas. Organización y comunicación. Integración del SGSI en la organización.