Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas
prácticas para la gestión de la seguridad de su información.
ISO/IEC 27001
ISO 27001
Tiene que existir una gestión clara por parte de la dirección y las
responsabilidades tienen que estar documentadas, revisadas, autorizadas,
comunicadas e implementadas.
En cualquier plan específico de un proceso que se elabore debe ser
compatible con el plan de gestión de servicios de la empresa.
Hacer
Verificar
La norma ISO 27001 nos dice que los resultados de la verificación deben
ofrecer información sobre el programa de mejora del servicio. Entre todos
los elementos que se tienen que supervisar, evaluar y analizar se
encuentran:
Las empresas tienen que aplicar los métodos más adecuados para poder
supervisar y evaluar los procesos de gestión de servicios en el Sistema de
Gestión de Seguridad de la Información.
Todos los métodos tienen que demostrar las capacidades que presentan los
procesos para conseguir los resultados planificados.
Actuar
Se debe realizar una política, que sea pública, para mejorar el servicio.
Cualquier falta de conformidad con la norma ISO 27001 tiene que ser
remediada. Todas las funciones y las responsabilidades que sean necesarias
para realizar las actividades de mejora del servicio se tienen que definir de
forma clara.
Todas las mejoras de los servicios que propone la organización deben pasar
por ser revisadas, registradas, priorizadas y autorizadas. Se puede utilizar
un plan de mejora del servicio para poder controlar la actividad.
Se tienen que incluir las mejoras del proceso individual para que la persona
responsable del proceso pueda implantar los recursos necesarios y las
mejoras de toda la empresa.
La empresa puede realizar una serie de actividades con las que recopilar
datos para llevar a cabo evaluaciones comparativas de la capacidad de la
empresa; identificar, planificar e implementar las mejoras necesarias;
consultar a las partes interesadas; generar objetivos para conseguir mejorar
la calidad de la seguridad de la información y disminuir los costes. Se tienen
que considerar las aportaciones que se realizan referentemente a las
mejoras que se realizan en el Sistema de Gestión de Seguridad de la
Información ISO 27001. Se debe revisar la política de seguridad y los
procedimientos siempre que sean necesarios.
Estructura
ISO 27001:2013
Existen varios cambios con respecto a la versión 2005 en esta versión 2013.
Entre ellos destacan:
Implantación
Certificación
ISO/IEC 27002
ISO 27002:2013
ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad
de la información de la organización y las prácticas de gestión de seguridad
de la información, incluida la selección, implementación y gestión de
control, teniendo en cuenta el medio ambiente, el riesgo y la seguridad de
la información de la organización.
Está diseñado para ser utilizado por las organizaciones que pretenden:
1. Seleccionar los controles dentro del proceso de implementación de un
Sistema de Gestión de Seguridad de la Información basado en la
norma ISO / IEC 27001;
2. Implementar controles de seguridad de la información generalmente
aceptadas;
3. Desarrollar sus propias directrices de gestión de seguridad de la
información.
Certificación
ISO 27003
Se trata de una norma adaptada tanto para los que quieren lanzarse a
implantar un SGSI como para los consultores en su trabajo diario, debido a
que resuelve ciertas cuestiones que venían careciendo de un criterio
normalizado.
1. Alcance.
2. Referencias Normativas.
3. Términos y Definiciones.
4. Estructura de esta Norma.
5. Obtención de la aprobación de la alta dirección para iniciar un SGSI.
6. Definición del alcance del SGSI, límites y políticas.
7. Evaluación de requerimientos de seguridad de la información.
8. Evaluación de Riesgos y Plan de tratamiento de riesgos.
9. Diseño del SGSI.
Anexo A: lista de chequeo para la implementación de un SGSI.
Anexo B: Roles y responsabilidades en seguridad de la información
Anexo C: Información sobre auditorías internas.
Anexo D: Estructura de las políticas de seguridad.
Anexo E: Monitoreo y seguimiento del SGSI.
ISO/IEC 27004
ISO 27004
ISO 27004 facilita una serie de mejores prácticas para poder medir el
resultado de un SGSI basado en ISO 27001.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de
la seguridad de la información son:
Los valores base que muestran el punto de referencia deben definirse para
cada objeto que se está midiendo.
Recopilación de datos.
ISO/IEC 27005
ISO 27005
Los usuarios elijen el método que mejor se adapte para, por ejemplo, una
evaluación de riesgos de alto nivel seguido de un análisis de riesgos en
profundidad sobre las zonas de alto riesgo.
Prefacio.
Introducción.
Referencias normativas.
Términos y definiciones.
Estructura.
Fondo.
Descripción del proceso de ISRM.
Establecimiento Contexto.
Información sobre la evaluación de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información.
Comunicación de riesgos de seguridad de información.
Información de seguridad Seguimiento de Riesgos y Revisión.
Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto.
Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
Enfoques ISRA: Anexo E.
Se trata de un estándar que cuenta con una parte principal concentrada en
24 páginas, también cuenta con anexos en los que se incluye ejemplos y
más información de interés para los usuarios.
ISO/IEC 27006
ISO 27006
ISO/IEC 27007
ISO 27007
El estándar acoge:
Revisar por la dirección, sin olvidar las operaciones rutinarias que forman
parte del SGSI de una organización, para asegurarnos que todo está en
orden.