GARANTIZAR LA SEGURIDAD DE LA INFORMACIN

JULIANA BERMDEZ HENAO

Es una familia de estndares internacionales para Sistemas de Gestin de la Seguridad de la Informacin (SGSI) que proporcionan un marco de gestin de la seguridad de la informacin.

ESTA NORMA CONTIENE TRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIN DE CUALQUIER ESTNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TCNICOS Y DE GESTIN.

Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Este estndar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). Este estndar promueve la adopcin de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organizacin.

Este estndar adopta el modelo de proceso Planear-hacer-chequearactuar (PDCA), el cual se puede aplicar a todos los procesos SGSI.

Identificar los objetivos de negocio

Seleccionar un alcance adecuado

Determinar el nivel de madurez ISO 27001 Analizar el retorno de inversin

Trminos y definiciones:
Confidencialidad: la propiedad que esa informacin est disponible y no sea divulgada a personas, entidades o procesos no-autorizados. Seguridad de informacin: preservacin de la confidencialidad, integridad, disponibilidad de la informacin; adems, tambin pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad. Sistema de gestin de la seguridad de la informacin: esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la informacin

Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

La documentacin que se genera con la implantacin del SGSI se estructurar de la siguiente forma:

Es una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

El empleo de este estndar permitir a las organizaciones dar respuesta a los interrogantes de cun efectivo y eficiente es el SGSI y qu niveles de implementacin y madurez han sido alcanzados. Estas mediciones permitirn comparar los logros obtenidos en seguridad de la informacin sobre perodos de tiempo en reas de negocio similares de la organizacin y como parte de continuas mejoras Hace referencia a que es indispensable para la aplicacin de este documento, el conocimiento del estndar ISO 27001:2005.

1. MEDICIONES EN UN SGSGI : Se basa sobre el modelo PDCA (Plan Do Check Act) que es un ciclo continuo. Se podra resumir esto en la idea que, las mediciones estn orientadas principalmente al Do (Implementacin y operacin de SGSI), como una entrada para el Check (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a travs del Act. 2. EL MODELO Y MTODO PARA LAS MEDICIONES DE SEGURIDAD: Se debe desarrollar un programa de cmo ejecutar la medicin de la seguridad de la informacin. 3. DEFINICIN Y SELECCIN DE LAS MEDICIONES EN UN SGSI: La norma especifica tambin, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles.

4. OPERACIN DE LAS MEDICIONES DEL SGSI (FASE DO: HACER) : La fase Do es una de las que establece el enlace entre las mediciones que resultan adecuadas para cubrir en la organizacin en un momento dado. 5. MEJORAS DE LAS MEDICIONES DEL SGSI (FASES CHECK Y ACT: MONITORIZAR/AUDITAR Y ACTUAR): Las fases Check y Act facilitarn las mejoras y reencauces de los procesos de medicin, y permitirn el anlisis de la informacin de mediciones disponibles y su apoyo para la toma de decisiones.

6. LA DIRECCIN. La Direccin debera establecer y mantener acuerdos en sus mediciones. Su implementacin debe ser acorde a lo que establecen los estndares internacionales, teniendo en cuenta la aceptacin de los requerimientos de mediciones.

Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos, es aplicable a todo tipo de organizaciones que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin.

Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma.

Es una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones).

Esta norma est orientada a los organismos que proporcionan procesos de apoyo e informacin en las telecomunicaciones, instalaciones de telecomunicaciones, redes y lneas y para los que stos suponen importantes activos empresariales. La gestin de la seguridad de la informacin es sumamente necesario con el fin de que los organismos de telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y continuar con xito sus actividades.

Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002) Especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud.