Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PROFESOR.
ALUMNO
INTRODUCCIÓN
ISO
IEC
Misión IEC
La misión de la IEC es promover entre sus miembros la cooperación
internacional en todas las áreas de la normalización Electrotécnica. Para lograr lo
anterior, han sido formulados los siguientes objetivos:
Conocer las necesidades del mercado mundial eficientemente
Promover el uso de sus normas y esquemas de aseguramiento de la
conformidad a nivel mundial.
Asegurar e implementar la calidad de producto y servicios mediante sus
normas.
Establecer las condiciones de intemperabilidad de sistemas complejos.
Incrementar la eficiencia de los procesos industriales.
Contribuir a la implementación del concepto de salud y seguridad humana..
Contribuir a la protección del ambiente.
Dar a conocer los nuevos campos electrónicos
ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado
de cualquier organización. El aseguramiento de dicha información y de los
sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organización.
Para la adecuada gestión de la seguridad de la información, es necesario
implantar un sistema que aborde esta tarea de una forma metódica, documentada
y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a
los que está sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie
ISO 27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la
izquierda o siguiendo los marcadores de final de página.
La primera de ellas dio lugar a la creación de lo que se conocía como ITSEC. El
segundo dio lugar a la publicación de un documento denominado DISCO PD003,
que siguió a un mayor desarrollo de la NCC (National Computing Centre)
establecido en Manchester y a una gran cantidad de consorcios de organizaciones
de usuarios.
DESCRIPCIÓN
ISO 27000
El ciclo de Deming,
también conocido como
círculo PDCA,
presentado por Edwards
Deming, es una
estrategia de mejora
continua de la calidad en cuatro pasos, (Planificar, Hacer, Verificar, Actuar)
Fue publicada en Julio de 2005 como ISO 17799 y fue renombrado ISO/IEC
27002 el 01 Julio de 2007.
Hace referencia a las buenas practicas para la gestión de seguridad de la
información, describe los 39 objetivos de control y 133 controles recomendables
en cuanto a seguridad de la información.
Evaluación y tratamiento del riesgo: Indicaciones sobre cómo evaluar y tratar los
riesgos de seguridad de la información.
ISO 27003
ISO 27004
Anexo A sugiere una plantilla en la que para describir una métrica, mientras que el
Anexo B ofrece algunos ejemplos prácticos.
ISO 27005
ISO 27006
Publicada en segunda edición el 1 de Diciembre de 2011. Contiene requisitos para
la acreditación de las organizaciones que proporcionan la certificación de los
sistemas de gestión de la Seguridad de la Información. Esta norma especifica
requisitos para la certificación de SGSI. Es decir, ayuda a interpretar los criterios
de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación
de ISO 27001, pero no es una norma de acreditación por sí misma.
ISO 27007
ISO/IEC TR 27008:
ISO/IEC 27010:
ISO/IEC 27011:
SO/IEC 27013:2012
ISO/IEC 27014:
ISO/IEC 27015:
Aunque este sector ya cuenta con una franja de riesgo y las normas de seguridad
tales como ISO TR 13569 Directrices de Seguridad "Banca de información", la
norma amplifica y extiende algunas de las recomendaciones de la norma ISO /
IEC 27002 para las organizaciones de servicios financieros - por ejemplo,
recomendar que las actividades de sensibilización de seguridad debe abarcar los
clientes, no sólo a los empleados. Da ejemplos de los tipos de mensaje para crear
conciencia que, un banco haría bien transmitir a sus empleados, por ejemplo,
sobre "el uso de troyanos keyloggers, phishing y de ingeniería social para robar
credenciales de acceso de los clientes a partir de los sistemas de identidad.
ISO/IEC TR 27016:
ISO/IEC 27017:
Será acompañado por la norma ISO / IEC 27018 y cubre los aspectos de
privacidad del cloud computing.
ISO/IEC 27031:
La norma:
ISO/IEC 27032:
ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente
en 7 partes:
ISO/IEC 27034:
ISO/IEC 27035:
ISO/IEC 27036:
ISO/IEC 27038:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de
especificación para seguridad en la redacción digital, pretende establecer:
ISO/IEC 27039:
ISO/IEC 27040:
ISO/IEC 27041
ISO 27799:
Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable, por
ende, la organización que tenga implantado un Sistema de Gestión de Seguridad
- Administración
- Regulación
ISO 27000 Puede ser adoptado como marco de referencia para dar cumplimiento
a la regulación aplicable a la empresa en materia de TI. Es común que las
empresas sujetas a regulaciones de carácter internacional como Sarbanes Oxley y
COSO, tomen como referencia estándares de seguridad como ISO 27000 para
garantizar la veracidad, confidencialidad, disponibilidad e integridad de la
información.
- Control
- En Seguridad
- Estrategia
ISO 27000 menciona que la adopción de un ISMS debe ser una decisión tomada
a nivel estratégico, definiendo objetivos que satisfagan los requerimientos de
seguridad de los procesos del negocio.
Ejemplo en la aplicación de los estándares ISO 27000
En materia de seguridad antivirus, la norma explica en su capítulo sobre la
Gestion de Comunicaciones y Operaciones, en la sección sobre códigos
maliciosos (Controls against malicious code) que “es necesario tomar
precauciones para prevenir y detectar la introducción de software malicioso“, y se
detallan los siguientes puntos respecto a los controles a implementar:
1. La empresa debe contar con la “instalación y actualización periódica de
software de detección y reparación anti-virus, para examinar computadoras
y medios informáticos, ya sea como medida precautoria o rutinaria“.
2. La empresa debe verificar “la presencia de virus en archivos de medios
electrónicos de origen incierto o no autorizado, o en archivos recibidos a
través de redes no confiables, antes de su uso” y “la presencia de software
malicioso en archivos adjuntos a mensajes de correo electrónico y archivos
descargados por Internet antes de su uso“.
También extiende a modo de resumen que “se deben implementar controles de
detección y prevención para la protección contra software malicioso, y
procedimientos adecuados de concientización de usuarios“. Es decir, contar con
una solución antivirus con capacidades proactivas de detección.
Por último, la ISO 27001 también extiende, respecto a la importancia de
“concientizar a los usuarios acerca de los peligros del software no autorizado o
malicioso [...] En particular, es esencial que se tomen precauciones para detectar y
prevenir virus informáticos en computadoras personales“. El trabajo de ESET
Latinoamérica en la región a través de sus iniciativas educativas son otros
aportes de ESET para que las organizaciones estén acordes a lo que indican las
normas más prestigiosas del mercado.
CONCLUSIÓN
RESEÑA BIBLIOGRÁFICA
http://www.itnews.ec/marco/000175.aspx
Comisión Electrotécnica Internacional (IEC), Fuente: Guilenia.com
http://es.wikipedia.org/wiki/Comisi%C3%B3n_Electrot
%C3%A9cnica_InternacionalComisión Electrotécnica Internacional