• Author / Uploaded
• Eduardo S. Piña

• Categories
• Organización internacional para la estandarización
• Evaluación
• Ciencia
• Tecnología
• Informática y tecnología de la información

Citation preview

Eduardo Sánchez Piña Seguridad en Redes Familia ISO 27000: Seguridad de la Información. Proviene de la norma BS 7799 de British Standards Institution (organización británica equivalente a AENOR en España) creada en 1995 con el fin de facilitar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de la información. La norma ISO 27001 fue aprobada y publicada como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Objetivos Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.

FAMILIA 27000 ESTANDAR RESUMEN ISO ISO 27000 La Organización Internacional de Estandarización (ISO) recoge un extenso número de normas dentro de la familia de ISO 27000. Cada norma tiene reservado una número dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie: Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la serie 27000. Para aplica cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación. ISO 27001 La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados ya que no es obligatorio. ISO 27002 Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes.

Ingeniero en computación

Eduardo Sánchez Piña ISO 27003

Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002. Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.

ISO 27004

En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo deming.

ISO 27005

Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.

ISO 27006

Este estándar específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.

ISO 27007

Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO 27008

Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida. El

Ingeniero en computación

Eduardo Sánchez Piña original en inglés puede adquirirse en iso.org. Actualmente en proceso de revisión para su actualización. ISO 27009

En estado de desarrollo. No certificable. Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios especifícos en emisión de certificaciones acreditadas de tercera parte.

ISO 27010

Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensibles, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.

ISO 27011

Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).

ISO 27013

Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). Actualmente finalizando el proceso de revisión para su actualización.

ISO 27014

Publicada el 23 de Abril de 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.

ISO 27015

Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005.

ISO 27016

Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la seguridad de la información.

ISO 27017

En fase de desarrollo, con publicación prevista en 2015. Consistirá en una guía de seguridad para Cloud Computing.

ISO 27018

Publicada el 29 de Julio de 2014. Es un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.

ISO 27019

Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. Actualmente en proceso de revisión para su actualización.

Ingeniero en computación

Eduardo Sánchez Piña Referencias El portal de ISO 27001 en Español. (2012). ISO 27000.es. Recuperado el 12 de Septiembre de 2015, de http://iso27000.es/index.html ISO, S. (21 de Enero de 2015). La familia de normas ISO 27000. Blog Calidad y Exelencia. Recuperado el 12 de Septiembre de 2015, de HTTPS://WWW.ISOTOOLS.ORG/CATEGORY/SISTEMAS-DE-GESTIONNORMALIZADOS

Ingeniero en computación