Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unidad 1 - Implementación de Un SGSI
Unidad 1 - Implementación de Un SGSI
Unidad 1:
Introducción y fundamentos
Presentación:
En la medida en que crece y evoluciona la Tecnología de la Información, aumenta
también la necesidad de capacitarse en Seguridad de la Información, las organizaciones
de todo tipo y tamaño deben establecer un compromiso para establecer, mantener, operar
y mejorar la Gestión de la Seguridad de la Información, a través de un enfoque
sistemático y la mejora continua implantando un Sistema de gestión de Seguridad de la
Información. (SGSI).
Objetivos:
Que los participantes*:
Se familiaricen con los términos y definiciones propios de una implementación.
Bloques temáticos:
1. Introducción y fundamentos.
2. Términos y definiciones aplicables a una Implementación: objetivos, alcance y
criterios, etc.
3. Resumen Resumen de Estándares internacionales. Las normativas ISO, IRAM y
BS, filosofía y requisitos generales. Orígenes e historia.
En esta Unidad los participantes se encontrarán con diferentes tipos de actividades que,
en el marco de los fundamentos del MEC*, los referenciarán a tres comunidades de
aprendizaje, que pondremos en funcionamiento en esta instancia de formación, a los
efectos de aprovecharlas pedagógicamente:
Es importante que todos los participantes realicen algunas de las actividades sugeridas y
compartan en los foros los resultados obtenidos.
El carácter constructivista y colaborativo del MEC nos exige que todas las actividades
realizadas por los participantes sean compartidas en los foros.
Tomen nota*
Las actividades son opcionales y pueden realizarse en forma individual, pero siempre es
deseable que se las realice en equipo, con la finalidad de estimular y favorecer el trabajo
colaborativo y el aprendizaje entre pares. Tenga en cuenta que, si bien las actividades
son opcionales, su realización es de vital importancia para el logro de los objetivos de
aprendizaje de esta instancia de formación. Si su tiempo no le permite realizar todas las
actividades, por lo menos realice alguna, es fundamental que lo haga. Si cada uno de los
participantes realiza alguna, el foro, que es una instancia clave en este tipo de cursos,
tendrá una actividad muy enriquecedora.
Asimismo, también tengan en cuenta cuando trabajen en la Web, que en ella hay de todo,
cosas excelentes, muy buenas, buenas, regulares, malas y muy malas. Por eso, es
necesario aplicar filtros críticos para que las investigaciones y búsquedas se encaminen a
la excelencia. Si tienen dudas con alguno de los datos recolectados, no dejen de consultar
al profesor-tutor. También aprovechen en el foro proactivo las opiniones de sus
compañeros de curso y colegas.
1. Introducción y Fundamentos.
La ISO 27001 es la norma ISO que establece los requisitos mínimos para implantar,
operar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información
(SGSI).
Dicho estándar internacional fue publicado como tal por la International Organization for
Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC)
en octubre del año 2005 (actualmente existe una versión de 2013 actualizada) y es el
único estándar aceptado a nivel internacional para la gestión de la Seguridad de la
Información.
La ISO 27001 como se conoce hoy, data de hace casi 20 años, ha sido resultado de la
evolución de otros estándares relacionados con la seguridad de la información.
La ISO 27001 es la norma principal de la serie 27000 y contiene los requisitos del sistema
de gestión de seguridad de la información. Su origen es la BS 7799-2:2002 (que quedó
anulada en su oportunidad) y es la norma con la cual se certifican los SGSI (Sistemas de
Gestión de Sistemas de Información) de las organizaciones a nivel internacional.
Dicha norma en varios países se denomina con distintos nombres, está publicada en
España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también
en lengua gallega). Luego, en 2009, se publicó un documento adicional de modificaciones
(UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde está publicada en español son,
por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001),
Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001).
Tenga en cuenta que en los últimos años se han modificado distintas ISO/IEC y todas
ellas poseen formato similar en sus últimas versiones.
https://www.youtube.com/watch?v=vWAV0bdWvtI
Los términos y definiciones que son propias al Curso que nos ocupa y que se referencian
en las ISO relacionadas:
ISO 9000:2005
ISO/IEC 27000:2014
ISO/IEC 27000:2014
Tenga en cuenta que en los últimos años se han unificado los términos a utilizar en las
distintas normas para su mejor compresión.
https://www.youtube.com/watch?v=i_3z68QGaJs
2. Revise los cambios realizados en la norma en los últimos años mediante una
investigación Web. Compare los términos y definiciones en cada una de las normas
y realice una muy breve síntesis de sus hallazgos y compártala en el foro.
Las Normas “BS” de la British Standards Institution llevan el prefijo “BS” con carácter
internacional. Son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS
18001.
En el año 2005, este esquema se publicó por ISO como estándar ISO 27001, al tiempo
que se revisó y actualizó ISO 17799-2.
Centro de
Revisión por:
Seguridad
de
• NCC (Centro Revisión
Informática Estándar
Nacional de Estándar Revisión
Comercial conjunta de
Computación) nacional Internacional periódica
■del Reino •■Consorcio ■ británico ■las partes 1 ■ ■
Código
Unido PD0003
usuarios BS 7799 y 2 7799-1
BS ISO/IEC 17799 ISO/IEC 17799
Código de (Fast Track) (5 años)
de
(CCSC/DTI) :1999 :2000 :2005
prácticas prácticas
para para la
usuarios gestión de
la
seguridad
de la
información
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las
Directivas ISO / IEC.
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los
Proyectos de Normas Internacionales adoptados por el comité técnico conjunto se
circulan a los organismos nacionales para votación. La publicación como Norma
Internacional requiere la aprobación por al menos el 75 % de los organismos nacionales
con derecho a voto.”
Fuente ISO/IEC
27001.
Bibliografía complementaria:
The CISSP Prep Guide—Mastering the Ten Domains of Computer Security - Ronald L.
Krutz & Russell Dean Vines – Wiley
Lo que vimos
En esta primera Unidad hemos revisado los antecedentes históricos, la filosofía, las
definiciones y términos pertinentes como así también los términos de implementación que
aplican en el caso de la ISO/IEC 27001.
Lo que viene:
En la Unidad siguiente analizaremos los pasos de una implementación de un SGSI
(Sistema de Gestión de Seguridad de la Información).