Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normas Leyes PDF
Normas Leyes PDF
¿Por qué normas/estándares de seguridad?
Las organizaciones necesitan (en ocasiones deben) demostrar que
realizan una gestión competente y efectiva de la seguridad de los
recursos y datos que gestionan.
− Deben demostrar que identifican y detectan los riesgos a los que está sometida y
que adoptan medidas adecuadas y proporcionadas.
− Necesario: conjunto estructurado, sistemático, coherente y completo de normas a
seguir.
Herramienta: SGSI (Sistema de Gestión de la Seguridad de la
Información)
En inglés ISMS (Information Security Management System)
SGSI: proceso sistemático, documentado y conocido por toda la
organización para garantizar que la seguridad de la información es
gestionada correctamente
Familia de Normas ISO/IEC 27000
Normas ISO 27000: Familia de estándares de ISO (International
Organization for Standardization) e IEC (International Electrotechnical
Commission) que proporciona un marco para la gestión de la seguridad
Conjunto de normas que especifican los requisitos para establecer,
implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un
SGSI
Normas base: 20001, 20002
Normas complementarias: 20003, 20004, 20005, ...
Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y
disponibilidad, así como la de los sistemas implicados en su tratamiento
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o
procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma
por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Familia de Normas ISO/IEC 27000
ISO/IEC 27000: define el vocabulario estándar empleado en la
familia 27000 (definición de términos y conceptos)
ISO/IEC 27001: especifica los requisitos a cumplir para
implantar un SGSI certificable conforme a las normas 27000
Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los
participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act)
Puntos clave: Gestión de riesgos + Mejora contínua
ISO/IEC 27002: código de buenas prácticas para la gestión de la
seguridad
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una
organización
Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la
información) y especifica los controles recomendables a implantar (medidas a tomar)
Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
Familia de Normas ISO/IEC 27000
ISO/IEC 27003:guía de implementación de SGSI e información
acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los
requerimientos de sus diferentes fases (en desarrollo, pendiente de
publicación)
ISO/IEC 27004: especifica las métricas y las técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles
relacionados (en desarrollo, pendiente de publicación)
medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO/IEC 27005: gestión de riesgos de seguridad de la información
(recomendaciones, métodos y técnicas para evaluación de riesgos
de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones
encargadas de emitir certificaciones ISO/IEC 27001
Requisitos para la acreditación de las entidades de auditoria y certificación
Familia de Normas ISO/IEC 27000
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las
normas 27000
ISO/IEC 27011: guía de gestión de seguridad de la información
específica para telecomunicaciones (en desarrollo)
elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)
ISO/IEC 27031: guía de continuidad de negocio en lo relativo a
tecnologías de la información y comunicaciones (en desarrollo)
ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo)
ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para
entornos médicos
ISO/IEC 27001
“ Norma que especifica los requisitos para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro
del contexto global de los riesgos de negocio de la organización. Especifica los requisitos
para la implantación de los controles de seguridad hechos a medida de las necesidades de
organizaciones individuales o partes de las mismas”
Conjunto de recomendaciones sobre qué medidas tomar en la
empresa para asegurar los Sistemas de Información.
Los objetivos de seguridad recogen aquellos aspectos
fundamentales que se deben analizar para conseguir un sistema
seguro en cada una de las áreas que los agrupa. Para conseguir
cada uno de estos objetivos la norma propone una serie de medidas
o recomendaciones (controles) que son los que en definitiva
aplicaremos para la gestión del riesgo analizado.
Objetivo: Definir los aspectos prácticos/operativos de la
implantación del SGSI
ISO/IEC 27002
Areas/secciones sobre las que actuar:
Política de seguridad Control de accesos
Aspectos organizativos para la Desarrollo y mantenimiento de
seguridad sistemas
Clasificación y control de activos Gestión de incidentes de seguridad de
Seguridad ligada al personal la información
Seguridad física y del entorno Gestión de continuidad de negocio
Gestión de comunicaciones y Conformidad
operaciones