GARANTIZAR LA SEGURIDAD DE LA INFORMACIN

CLASE 8

ISO 27000

Es una familia de estndares internacionales para Sistemas de Gestin de la Seguridad de la Informacin (SGSI) que proporcionan un marco de gestin de la seguridad de la informacin.

FAMILIA DE NORMAS ISO 27000

Familia de normas 27000 Norma ISO/IEC Ttulo Gestin de la Seguridad de la Informacin: ISO 27000 Fundamentos y vocabulario. ISO 27001 Especificaciones para un SGSI. ISO 27002 Cdigo de Buenas Prcticas. ISO 27003 Gua de Implantacin de un SGSI. ISO 27004 Sistema de Mtricas e Indicadores. ISO 27005 Gua de Anlisis y Gestin de Riesgos. Especificaciones para Organismos ISO 27006 Certificadores de SGSI. ISO 27007 Gua para auditar un SGSI. ISO 2701X Guas sectoriales. ISO 27XXX Futuras normas.

ISO 27000

Esta norma contiene trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.

ISO 27000
Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Este estndar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este estndar promueve la adopcin de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organizacin.

Este estndar adopta el modelo de proceso Planearhacer-chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos SGSI.

PDCA

ISO 27001

LA NORMA ISO 27001

Define cmo organizar la seguridad de la informacin en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es posible afirmar que esta norma constituye la base para la gestin de la seguridad de la informacin.

LAS FASES DE LA ISO 27001

La Fase de planificacin La Fase de implementacin

La Fase de verificacin La Fase de mantenimiento y mejora

LAS FASES DE LA ISO 27001

La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a travs de un sistema de gestin de seguridad de la informacin. Un sistema de gestin de este tipo, igual que las normas ISO 9001 o ISO 14001, est formado por cuatro fases que se deben implementar en forma constante para reducir al mnimo los riesgos sobre confidencialidad, integridad y disponibilidad de la informacin.

LAS FASES DE LA ISO 27001

Las fases son las siguientes: La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y establecer los objetivos de la seguridad de la informacin y para escoger los controles adecuados de seguridad (la norma contiene un catlogo de 133 posibles controles). La Fase de implementacin: esta fase implica la realizacin de todo lo planificado en la fase anterior.

LAS FASES DE LA ISO 27001

La Fase de revisin: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos canales y verificar si los resultados cumplen los objetivos establecidos. La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

DOCUMENTOS DE ISO 27001

La norma ISO 27001 requiere los siguientes documentos: El alcance del SGSI; La poltica del SGSI; Procedimientos para control de documentacin, auditoras internas y procedimientos para medidas correctivas y preventivas; Todos los dems documentos, segn los controles aplicables; Metodologa de evaluacin de riesgos; Informe de evaluacin de riesgos; Declaracin de aplicabilidad; Plan de tratamiento del riesgo; Registros.

PRINCIPALES CLAVES PARA IMPLANTAR LA ISO 27001 Identificar los objetivos de negocio Seleccionar un alcance adecuado

Determinar el nivel de madurez ISO 27001

Analizar el retorno de inversin

ISO 27002

LAS FASES DE LA ISO 27002

Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

LA DOCUMENTACIN QUE SE GENERA CON LA IMPLANTACIN DEL SGSI SE ESTRUCTURAR DE LA SIGUIENTE FORMA

ISO 27003

LAS FASES DE LA ISO 27003

Es una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

LAS FASES DE LA ISO 27003

La ISO 27003, se constituye en una gua de implementacin de controles relacionados con la gestin de un SGSI, el cual nos permite realizar una planeacin clara para de como implementar la ISO 27001 en sus numeral 4,5, y 7, y definir las estrategias de seguridad relacionadas con el negocio acorde con los requisitos de ISO 27001.

LAS FASES DE LA ISO 27003

Cabe resaltar, la importancia que tiene incluir entro del proceso de implementacin de un SGSI, los lineamientos de otras normas de la familia 27000, como son la gestin de riesgos ISO 27005, la medicin y mtricas del sistema ISO 27004, el cdigo de prctica ISO 27002, y las definiciones y conceptos enumerados en la ISO 27000, para la implementacin de un correcto y apropiado SGSI en las organizaciones.

LAS FASES DE LA ISO 27003

El empleo de este estndar permitir a las organizaciones dar respuesta a los interrogantes de cun efectivo y eficiente es el SGSI y qu niveles de implementacin y madurez han sido alcanzados. Estas mediciones permitirn comparar los logros obtenidos en seguridad de la informacin sobre perodos de tiempo en reas de negocio similares de la organizacin y como parte de continuas mejoras

LAS FASES DE LA ISO 27003

Se centra en los aspectos crticos necesarios para el xito del diseo e implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) de acuerdo con la norma ISO / IEC 27001:2005. Se describe el proceso de especificacin de SGSI y el diseo desde el inicio hasta la elaboracin de planes de ejecucin. En l se describe el proceso de obtener la aprobacin de la gestin para implementar un SGSI, se define un proyecto para implementar un SGSI (denominado en la norma ISO / IEC 27003:2010 como el proyecto de SGSI), y da pautas sobre cmo planificar el proyecto de SGSI, resultando en una SGSI proyecto final de ejecucin del plan. La publicacin se realiz a primeros de este mes y a continuacin detallo la estructura del contenido que recoge la norma.

ISO 27004

LAS FASES DE LA ISO 27004

La nueva norma, oficialmente denominada Information technology Security techniques Information security management Measurement viene a sofocar uno de los grandes abismos que existen en el proceso de construccin de un SGSI.

LAS FASES DE LA ISO 27004

Certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestin y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestin y revisin continua pero es slo una condicin necesaria, no suficiente.

LAS FASES DE LA ISO 27004

Es una gua para el desarrollo y uso de mtricas para evaluar la efectividad del Sistema de Gestin de Seguridad de la Informacin (SGSI) y controles o grupo de controles, como se especifica en ISO/IEC 27001. La ISO/IEC 27004:2009 aplica para todos los tipos de organizacin. Cabe resaltar que esta gua es la que faltaba en la familia de las ISO 27000 para poder saber si se estan haciendo las cosas bien con nuestro SGSI implementado.

LAS FASES DE LA ISO 27004

Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

LAS FASES DE LA ISO 27004

Esta nueva norma establece criterios para la medicin del estado de la seguridad. Es aqu donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan informacin sobre cual es la situacin real de las medidas y si estn o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicacin de esa norma. Es la nica manera de valorar si tanta gestin de la seguridad est sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se estn midiendo.

ISO 27005

LAS FASES DE LA ISO 27005

LAS FASES DE LA ISO 27005

Proporciona directrices para la gestin de riesgos de seguridad de la informacin. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseada para ayudar a la puesta en prctica satisfactoria del anlisis y la gestin del riesgo, fase principal del diseo de todo buen sistema de gestin de la seguridad de la informacin (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologas descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008.

LAS FASES DE LA ISO 27005 ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones pblicas, organizaciones no lucrativas) que tengan la intencin de manejar los riesgos que podran comprometer la seguridad de la informacin de la organizacin.

LAS FASES DE LA ISO 27005

Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos, es aplicable a todo tipo de organizaciones que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin.

LAS FASES DE LA ISO 27005

Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma.

FIN