Otros Estndares

Contenidos
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Normas ISO del SC27 ISO/IEC 20000 ITIL NIST Serie 800 CobiT UNE 71502:2004 BS 7799-3 PAS 99 BS 25999 BS 25777 COSO-Enterprise Risk Management / SOX

WWW.ISO27000.ES

[ Este documento est disponible online en: http://www.iso27000.es/otros_estandar.html ]

Las normas publicadas bajo la serie ISO 27000 son estndares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comits tcnicos especficos. Aquellas organizaciones que ya empleen algn estndar o conjunto de buenas prcticas en seguridad de la informacin en base a otros modelos de gestin, obtendrn el beneficio de una adaptacin y certificacin en la norma ISO 27001 con un menor esfuerzo. En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuacin una seleccin de los estndares y mtodos de referencia ms conocidos y relevantes. Adems de los aqu resumidos, existen muchos otros estndares, guas, metodologas y buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin, publicados por prestigiosas instituciones en todo el mundo. Puede consultar nuestra seccin de Herramientas para encontrar enlaces a muchos de ellos.

1. Normas ISO del SC27

ISO es la Organizacin Internacional para la Estandarizacin, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representacin de 153 pases con el objetivo de lograr la coordinacin internacional y la unificacin de estndares en la industria. ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comit tcnico conjunto especfico para las Tecnologas de la Informacin denominado JTC1 (Joint Technical Committee). Dentro de dicho comit, el subcomit SC27 es el encargado del desarrollo de proyectos en tcnicas de seguridad, labor que realiza a travs de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una pgina web (www.jtc1sc27.din.de/en) donde se puede acceder a informacin sobre su mbito, organizacin, agenda de reuniones y temas de trabajo. Cada pas miembro establece subcomits espejo que coordinan los trabajos a nivel nacional. En Espaa, es AENOR quien tiene dicha responsabilidad. Lo hace a travs del subcomit AEN/CTN 71/SC "Tcnicas de Seguridad - Tecnologa de la Informacin" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5. El Ministerio de Administraciones Pblicas espaol ofrece en su pgina web una informacin detallada sobre todos estos aspectos, en especial de las aportaciones espaolas realizadas a travs del GT1.

WWW.ISO27000.ES

ISO JTC1 / SC27 / WG1: Sistemas de gestin de seguridad de la informacin - SGSI. Las actividades de este grupo de trabajo incluyen:

Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000. Identificacin de requisitos para futuros estndares y directrices relativas a los SGSI. Colaboracin con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estndares relativos a la implementacin de objetivos de control y controles definidos en ISO/IEC 27001. Contacto y colaboracin con otros comits y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.

ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografa. Las actividades de este grupo de trabajo incluyen:

Identificacin de las necesidades y los requisitos de tcnicas y mecanismos de seguridad en sistemas y aplicaciones de TI. Desarrollo de terminologa, modelos generales y estndares de dichas tcnicas y mecanismos para su uso en servicios de seguridad. Tratamiento de todas las tcnicas y mecanismos, sean criptogrficos o no, que cubran aspectos como confidencialidad, autenticacin, no repudio, gestin de claves, integridad, etc.

ISO JTC1 / SC27 / WG3: Criterios de evaluacin de la seguridad. Las actividades de este grupo de trabajo incluyen:

Desarrollo de estndares de evaluacin y certificacin de la seguridad de sistemas, componentes y productos de tecnologas de la informacin. Tratamiento de los tres aspectos a considerar en este mbito: criterios de evaluacin, metodologa de aplicacin de dichos criterios y procedimientos administrativos para la evaluacin, la certificacin y los esquemas de acreditacin. Coordinacin con los comits ISO responsables de estndares de comprobacin y gestin de calidad para no duplicar esfuerzos.

ISO JTC1 / SC27 / WG4: servicios y controles de seguridad. Las actividades de este grupo de trabajo incluyen:

El desarrollo y mantenimiento de estndares y directrices relativas a servicios y aplicaciones que apoyen la implantacin de objetivos de control y controles definidos en ISO/IEC 27001. Identificacin de requisitos y desarrollo de futuros estndares en reas como continuidad de negocio, ciberseguridad, externalizacin (outsourcing), etc.

WWW.ISO27000.ES

Colaboracin con otros grupos de trabajo del SC27, en particular con el WG1. Contacto y colaboracin con otros comits y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.

ISO JTC1 / SC27 / WG5: tecnologas de gestin de identidad y privacidad. Las actividades de este grupo de trabajo incluyen:

Desarrollo y mantenimiento de estndares y directrices relativos a los aspectos de seguridad de la gestin de identidad, biometra y proteccin de datos personales. Identificacin de requisitos y desarrollo de futuros estndares en reas como control de acceso basado en roles (RBAC), provisioning, identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologas para la mejora de la privacidad (PETs), tcnicas de autenticacin biomtrica, proteccin de datos biomtricos, etc. Colaboracin con otros grupos de trabajo del SC27: WG1 en aspectos de gestin, WG2 en tcnicas de seguridad y WG3 en evaluacin. Contacto y colaboracin con otros comits y organizaciones tales como ISO/IEC SC37 (biometra), ECRYPT, FIDIS, etc.

Puede obtenerse una lista actualizada de los estndares en vigor publicados por el subcomit 27 en el siguiente enlace. Puede obtenerse una lista actualizada de los estndares en desarrollo del subcomit 27 en el siguiente enlace.

2. ISO/IEC 20000
Es el primer estndar internacional certificable para la gestin de servicios TI. Proviene del estndar britnico BS 15000. ISO 20000-1: especificaciones en las cuales se describe la adopcin de un proceso de mejora integrado para el desempeo y gestin de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: Alcance, Trminos y definiciones, Requisitos de un sistema de gestin, Planificacin e implantacin de la gestin de servicio, Planificacin e implantacin de servicios nuevos o modificados, Proceso de entrega de servicios, Procesos de relacin, Procesos de resolucin, Procesos de control y Procesos de liberacin. ISO 20000-2: cdigo de prcticas donde se describen las mejores prcticas para la gestin de los servicios y dentro del mbito indicado por la norma ISO 20000-1.

WWW.ISO27000.ES

ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prcticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicacin para la implantacin en la norma ISO 20000, s suele ser una adecuada referencia para aquellas organizaciones que desean la implantacin de ste norma mediante la introduccin de un paso intermedio.

3. ITIL
IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prcticas en la gestin de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias y experiencia de cada proveedor de servicios.

WWW.ISO27000.ES

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propsito de que los dos conjuntos de publicaciones formen parte de la misma estructura lgica para mejor comprensin en su publicacin y difusin. ITIL sirve de base para el estndar ISO 20000 y consta de 7 bloques principales: Managers Set, Service Support, Service Delivery, Software Support, Networks, Computer Operations y Environmental: Las reas cubiertas por ITIL en cada documento publicado por la OGC son:

Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado adems de la mejor forma posible. Entrega del servicio: administracin de los servicios de soporte y mantenimiento que se prestan al cliente. Planificacin de la implantacin: determina las ventajas de implantar ITIL en una determinada organizacin. Administracin de aplicaciones: conjunto de buenas prcticas para la gestin de todo el ciclo de vida de las aplicaciones, centrndose sobre todo en definicin de requisitos e implementacin de soluciones. Administracin de la infraestructura de tecnologas de la informacin y comunicaciones: gestin de la administracin de sistemas como mquinas, redes o sistemas operativos, entre otros. Administracin de seguridad: proceso para la implantacin de requerimientos de seguridad; relaciona las reas ITIL de soporte y entrega de servicio. Administracin de activos de software: pautas necesarias para la gestin del software adquirido y/o de desarrollo propio. Entrega de servicios desde un punto de vista de negocio: fidelizacin de clientes, servicios de externalizacin y gestin del cambio, entre otros.

4. NIST Serie 800

El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administracin de Tecnologa (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misin del NIST consiste en elaborar y promover patrones de medicin, normas y tecnologa con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida.

WWW.ISO27000.ES

Distintos principios y prcticas en seguridad comunes y de aplicacin tanto en agencias gubernamentales como en corporaciones privadas estn recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga. Estas guas y directrices son documentos muy elaborados y de reconocido prestigio, que cubren mltiples aspectos relacionados con la seguridad de la informacin y que pueden servir de apoyo a la hora de desarrollar polticas, procedimientos y controles.

5. CobiT
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administracin, seguridad y aseguramiento TI. Como consecuencia de su rpida difusin internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseados para apoyar una gestin efectiva de las TI en el mbito de la empresa. Uno de sus documentos ms conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologas de la informacin y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por CobiT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestin y el modelo de madurez para el objetivo) que dan una visin completa de cmo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio. No existe un certificado en las prcticas indicadas por CobiT, aunque ISACA s ofrece la posibilidad a ttulo personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.

WWW.ISO27000.ES

6. UNE 71502:2004
Norma espaola certificable, desarrollada en base a BS7799-2:2002, que establece las especificaciones para los sistemas de gestin de seguridad de la informacin. Guarda relacin con UNE-ISO/IEC17799:2002 mediante su Anexo A. Elaborada por el comit tcnico AEN/CTN 71 de la Tecnologa de la Informacin, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organizacin. Fue publicada en Febrero de 2004 ante la perspectiva de la publicacin de la norma internacional para el 2008-2009. Sin embargo, la publicacin anticipada de ISO 27001 en el ao 2005 acort la vigencia de la norma espaola. Con la traduccin al espaol de ISO 27001 y su publicacin como UNEISO/IEC 27001, UNE 71502 quedar anulada el 31-12-2008. Puede adquirirse en AENOR. Normas para consulta: UNE71501-1 IN Parte 1: Conceptos y modelos para la seguridad TI UNE71501-2 IN Parte 2: Gestin y planificacin de la seguridad TI UNE71501-3 IN Parte 3: Tcnicas para la gestin de la seguridad TI

WWW.ISO27000.ES

UNE-ISO/IEC 17799:2002 Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. Aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por UNE 71502:2004 requieren de un esfuerzo mnimo para su reconocimiento internacional bajo la norma ISO 27001.

Puede descargar esta tabla comparativa en formato .pdf aqu.

WWW.ISO27000.ES

7. BS 7799-3
BSI (British Standards Institution) public en 2006 la tercera parte de BS 7799, dedicada a la gestin de riesgos de seguridad de la informacin. ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la informacin, pero no da indicaciones ms detalladas de cmo realizar dicho proceso ni de cmo situar dichos riesgos en el marco de los riesgos generales de la empresa. BS7799-3 profundiza en estos aspectos y da directrices sobre evaluacin de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Direccin, re-evaluacin de riesgos, monitorizacin y revisin del perfil de riesgo, riesgos de seguridad de la informacin en el contexto del gobierno corporativo y conformidad con otros estndares y regulaciones sobre el riesgo.

8. PAS 99
BSI (British Standards Institution) public en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestin y puede ser utilizado por las organizaciones como un marco de integracin de sistemas. Hoy en da, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestin: calidad segn ISO 9001, medio ambiente segn ISO 14001, seguridad y salud laboral segn OHSAS 18001, seguridad de la informacin segn ISO 27001... Todos estos sistemas tienen metodologas, procesos, objetivos, documentacin, etc., en comn, lo que abre el camino a la integracin de los mismos en un solo sistema de gestin, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantacin y mantenimiento. PAS 99 da directrices sobre cmo abordar un proceso de integracin de sistemas de gestin, teniendo en cuenta los seis requisitos comunes establecidos en la Gua ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check-Act). BSI pone a disposicin otras publicaciones relacionadas con la integracin de sistemas.

10

9. BS 25999
Cada vez resulta ms importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organizacin en caso de cualquier tipo de interrupcin.

WWW.ISO27000.ES

BSI (British Standards Institution) public en 2006 BS25999-1, que es un cdigo de buenas prcticas dedicado a la gestin de la continuidad de negocio. Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organizacin puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prcticas de BCM (Business Continuity Management). Est pensada para su uso por cualquier organizacin grande, mediana o pequea, tanto del sector pblico como privado. En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestin de continuidad de negocio documentado en el contexto de la gestin global de riesgos de una organizacin. En base a esta norma pueden ser certificados los sistemas de gestin de continuidad de negocio.

10. BS 25777
BSI (British Standards Institution) public en 2006 un documento llamado PAS 77 (PAS = Publicly Available Specification), que es un cdigo de buenas prcticas que establece un marco y da unas directrices generales para crear un plan de continuidad de servicios de tecnologas de la informacin. Desarrollado por BSI en conjunto con Adam Continuity, Dell Corporation, Unisys y SunGard, est orientado para organizaciones de todo tipo. BSI tiene el objetivo de desarrollar este documento PAS como un estndar llamado BS 25777 a lo largo de 2008 y 2009. Est previsto que en otoo de 2008 se publique BS 25777-1, que ser un cdigo de buenas prcticas sobre cmo abordar la gestin de la continuidad de servicios TI en una organizacin. A finales de 2009, se publicar la segunda parte, BS 25777-2, que especificar los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestin de continuidad de servicios TI. En base a esta segunda parte, podrn ser auditados y certificados los sistemas de gestin de las organizaciones por entidades de certificacin.

11

11. COSO-Enterprise Risk Management / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definicin comn de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.

WWW.ISO27000.ES

COSO est patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relacin directa entre los objetivos que la entidad desea lograr y los componentes de la gestin de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relacin se representa con una matriz tridimensional, en forma de cubo.

12

Las cuatro categoras de objetivos (estrategia, operaciones, informacin y conformidad) estn representadas por columnas verticales, los ocho componentes lo estn por filas horizontales y las unidades de la entidad, por la tercera dimensin del cubo. Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Informacin adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestin TI. COSO est teniendo una difusin muy importante en relacin a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estndar especfico de seguridad de la informacin pero, por el impacto que est teniendo en muchas empresas y por sus

WWW.ISO27000.ES

implicaciones indirectas en la seguridad de la informacin, conviene mencionarlo en esta seccin. La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentacin de la situacin de las empresas. Entr en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel pas. Adems del registro en un servicio de inspeccin pblica, SOX exige el establecimiento de un sistema de control interno para la elaboracin de informes financieros. La ley requiere una mayor transparencia de informacin, ampla los deberes de publicacin y formaliza los procesos que preceden a la elaboracin de un informe de la empresa. Es la ya famosa Seccin 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la direccin en la implantacin y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la informacin financiera. El marco ms empleado por las empresas para cumplir con esta obligacin es, precisamente, el de gestin del riesgo empresarial de COSO. Este sistema de control tiene tambin un importante reflejo en el rea de seguridad de la informacin. Uno de los marcos que ms se utilizan para implantar el sistema en esta rea es CobiT. Ms especficamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT.

13

WWW.ISO27000.ES