Documentos de Académico
Documentos de Profesional
Documentos de Cultura
A+Nro4 Jul-Ago 2006 PDF
A+Nro4 Jul-Ago 2006 PDF
Normas y Estándares
Análisis de ISO-27001:2005
UN ANÁLISIS DE LA SITUACIÓN ACTUAL QUE PRESENTA ISO/IEC PARA CUALQUIER
EMPRESA QUE DESEE PLANIFICAR E IMPLEMENTAR UNA POLÍTICA DE SEGURIDAD
ORIENTADA A UNA FUTURA CERTIFICACIÓN DENTRO DE ESTE ESTÁNDAR
ben exigir mutuamente niveles concre- nismos nacionales que son miembros
tos y adecuados de seguridad informá- de ISO o IEC participan en el desarro-
tica, sino se abren brechas de seguri- llo de Normas Internacionales a través
Alejandro dad entre sí... este estándar apunta a de comités técnicos establecidos por la
Corletti Estrada
poder exigir dichos niveles; y ya no organización respectiva para tratar con
DIRECTOR DIVISIÓN puede caber duda que las empresas, los campos particulares de actividad
SEGURIDAD
para competir con sus productos (sean técnica. Los comités técnicos de ISO e
NCS
de la índole que fueren) en este mer- IEC colaboran en los campos de inte-
cado cibernético actual, tienen cada rés mutuo. Otras organizaciones inter-
vez más necesidad de interrelacionar nacionales, gubernamentales y no gu-
S
e debe dejar claro que el tema sus infraestructuras de información... bernamentales, en relación con ISO e
de certificación en aspectos de IEC, también forman parte del trabajo.
seguridad, tal vez aún no ha En el campo de tecnología de infor-
sido considerado con la seriedad que mación, ISO e IEC han establecido unir
merece en el ámbito empresarial, pero 1870 organizaciones en un comité técnico, ISO/IEC JTC 1 (Join
pleto en realidad es: BS 7799-2:2005 2:2005) – Publicado el 15 de octubre security management measurement
(ISO/IEC 27001:2005). También fue del 2005 (bajo desarrollo)
preparado por este JTC 1 y en el sub- ISO/IEC 27002 Code of practice ISO/IEC 27005 Information
comité SC 27, IT «Security for information security management - security risk management (basado e
Techniques». La versión que se consi- Actualmente ISO/IEC 17799:2005, incorporado a ISO/IEC 13335 MICTS
derará en este texto es la primera edi- Part 2) (bajo desarrollo).
ción, de fecha 15 de octubre de 2005,
si bien en febrero de 2006 acaba de
salir la versión cuatro del mismo.
Los requerimientos de este
1870 organizaciones en 57 países
han reconocido la importancia y los
estándar internacional,
beneficios de esta nueva norma. A
fines de marzo de 2006, son seis las
son genéricos y aplicables a
empresas españolas que poseen esta la totalidad de las
certificación declarada.
El conjunto de estándares que organizaciones
aportan información de la familia ISO-
2700x que se puede tener en cuenta
son:
ISO/IEC 27000 Fundamentals and publicado el 15 de junio del 2005
vocabulary ISO/IEC 27003 ISMS implemen-
ISO/IEC 27001 ISMS - tation guidance (bajo desarrollo)
Requirements (revised BS 7799 Part ISO/IEC 27004 Information
L a propuesta de esta
norma, no está
orientada a despliegues
dad de la información», por
ello propone toda una se-
cuencia de acciones ten-
System)» (como podrán
apreciar que se recalcará
repetidas veces a lo largo del
ISMS.
Valoración de riegos
(Risk Assesment)
tecnológicos o de infraes- dientes al «establecimiento, mismo). El ISMS, es el pun- Controles
tructura, sino a aspectos implemanetación, opera- to fuerte de este estándar. El desarrollo de estos
netamente organizativos, ción, monitorización, revi- Los detalles que confor- puntos y la documenta-
es decir, la frase que po- sión, mantenimiento y mejo- man el cuerpo de esta nor- ción que generan, es lo
dría definir su propósito ra del ISMS (Information ma, se podrían agrupar en que se tratará en esta serie
es «Organizar la seguri- Security Management tres grandes líneas: de artículos