Está en la página 1de 2

114

Normas y Estándares

ISO 27000: Garantizar la Seguridad de la Información
LA IMPLANTACIÓN DE ESTA NORMA OFRECE GARANTÍAS DE PROTECCIÓN DE LA INFORMACIÓN PARA LAS EMPRESAS Y SUS CLIENTES

Dinnorah Suárez
DIRECTORA GENERAL Genera, Formación y Consultoría GRUPO IFO, Instituto de Formación Online

Medio y África), España ocupaba el segundo puesto, precedida únicamente por Alemania, con el mayor número de ordenadores infectados por ‘bots’ o programas informáticos que realizan diversas funciones imitando el comportamiento del ser humano. Estos alarmantes datos hacen que la implantación de Sistemas de Gestión

en la Ley de Protección de Datos (LOPD), pudiendo por lo tanto fusionarse todos ellos dentro de un modelo de gestión cuyo eje principal es proteger la información que se trata día a día. Para poder obtener un nivel óptimo de seguridad, es necesario considerar aspectos que van más allá de la mera instalación de un firewall o corta fuegos. Es imprescindible, como en todo sistema de gestión que se precie, la implicación del personal en la implantación de los distintos dispositivos y procesos, relacionados tanto con la actividad o negocio, como con los propios datos que se manejan, la integración de las TI, el grado de seguridad de las instalaciones, el know how o “saber hacer”, y cómo no, la formación y sensibilización de todos los trabajadores (incluyendo la dirección). Esto, en definitiva, forma parte de un SGSI. En cuanto a la Pymes, Fundetec destaca en su último informe que alrededor de un 95% de las pequeñas

T

odas las organizaciones, independientemente de su tamaño, sector de actividad,

de la Seguridad de la Información

o localización geográfica, poseen una preocupación común: la necesidad de preservar y custodiar de manera adecuada la información que manejan, llegando a ser ésta en muchos casos factor determinante para su consolidación y continuidad en el mercado actual, fidelizando al crear confianza entre los clientes. Sin embargo, el desarrollo de las Tecnologías de la Información, con el consecuente crecimiento de las redes digitales, hace que hoy en día la información se vea continuamente amenazada por diversos factores: virus, gusanos, piratas informáticos,… que acechan los sistemas informáticos tras cada ‘clic’ de ratón. Symantec Corp publicó el pasado septiembre su informe sobre Amenazas a la Seguridad en Internet correspondiente al primer semestre de 2007, en el que destacó que dentro de la región EMEA (Europa, Oriente

Disponibilidad, Confidencialidad e Integridad son la clave de la Seguridad de la Información de cualquier tipo de organización
(SGSI) se convierta en un factor decisivo a la hora de garantizar la supervivencia de las empresas españolas a través de la diferenciación, aportando a la vez un valor añadido. Disponibilidad, Confidencialidad e Integridad son la clave de la Seguridad de la Información de cualquier tipo de organización, conceptos que se manejan igualmente

y medianas empresas afirman haber implantado un sistema de seguridad, pero sin haber realizado previamente un análisis de los puntos críticos a considerar. Este hecho puede llevar a engaño al empresario y a su equipo al desconocer sus debilidades y los métodos de protección necesarios para salvaguardar su negocio de los actuales peligros.

nº 25

septiembre 2008

ISO 27004: Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. la 27000 está formada por: ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie 27000. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. pedidos. de apoyo a la ISO 27001 y a la implantación de un SGSI. organismos y administración pública. por parte de las organizaciones. trabajadores. No es certificable. ISO 27031: Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. facturación. ante entidades. etc. enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. ISO 27032: Consistirá en una guía relativa a la ciberseguridad.001. empresas consultoras especializadas ofrecen sus servicios para realizar implantaciones y auditorías internas de los SGSI. acceso remoto. asegurando niveles concretos y adecuados de seguridad para interrelacionar sistemas de clientes. las empresas asegurarán ante sus grupos de interés (principalmente a partners. aseguramiento de las comunicaciones entre redes mediante gateways. productos. nº 25 septiembre 2008 . ISO 27007: Consistirá en una guía de auditoría de un SGSI. Familia ISO 27000 A semejanza de otras familias de normas ISO. ISO 27034: Consistirá en una guía de seguridad en aplicaciones. control de stocks. ISO 27005: Consistirá en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información y servirá. proveedores. El tiempo de implantación de esta norma en una organización de tamaño medio oscila entre los seis y los doce meses. que han implementado medidas para garantizar una adecuada gestión de la seguridad de la información que tratan. El equipo destinado a la implantación de la ISO 27001 debe estar formado por representantes de todas las áreas de la empresa/institución que se vean afectadas por el SGSI. ISO 27001. ISO 27011: Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones. ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información. con toda probabilidad. ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes. ISO 27799: Es un estándar de gestión de seguridad de la información en el sector. clientes. con el fin de que cada vez sean más las entidades certificadas en el estándar ISO 27. Por ello. etc.). Así. liderado por la dirección y asesorado por consultores externos especializados en Seguridad Informática. En su Anexo A. de cara a garantizar un adecuado tratamiento de la información que manejan. la implantación de sistemas de gestión relacionados con aspectos de seguridad en el ámbito empresarial comienza a considerarse con la seriedad y rigurosidad que se merece. pasará a ser un factor imprescindible en la gestión interna de las organizaciones. ISO 27002: Desde el 1 de Julio de 2007. en función del grado de avance en materia de Seguridad de la Información y de su alcance. arquitectura de seguridad de redes. Desde hace relativamente poco tiempo. aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Protección de Datos y Sistemas de Gestión. Derecho de las Nuevas Tecnologías. la ISO 27001 podrá llegar a formar parte de los requisitos a cumplir. ISO 27003: Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. A corto plazo.115 Normas y Estándares La necesidad de la certificación A través de la familia de normas de la serie ISO 27000. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. por tanto. escenarios de redes de referencia.