Está en la página 1de 17

NORMA TECNICA ISO/IEC 27000

(International Organization for


Standarization/International
Electrotechnical Commission)
UEC: AUDITORIA DE LA INFORMACION
DOCENTE: ING. YAEL PEA-VASQUEZ RODRIGUEZ

LA ISO 27000/IEC ES UN CONJUNTO DE


ESTANDARES DESARROLLADOS O EN
FASE DE DESARROLLO POR:

ISO

IEC
INTERNATIONAL
ELECTROTECNICA
L COMMISSION

INTERNATIONA
L
ORGANIZATION
FOR
STANDARIZATI
QUE PROPORCIONAN
UN MARCO TEORICO DE GESTION
DE LA ON
SEGURIDAD DE LA INFORMACION
UTILIZABLE POR CUALQUIER TIPO DE ORGANIZACIN
PUBLICA O PRIVADA
GRANDE O PEQUEA

LA ISO / IEC ESTA FORMADA POR DIFERENTES NORMAS


1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas
prcticas para la gestin de la seguridad de su informacin.
En el ao 2005, la norma BS7799-2, public por ISO como estndar ISO 27001, al
tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como
ISO 27002:2005.
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI
public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de
informacin.

LA SERIE 27000
A semejanza de otras normas ISO, la 27000 es
realmente una serie de estndares.
Los rangos de numeracin reservados por ISO van de
27000 a 27019 y de 27030 a 27044.
ISO 27000: Contiene trminos y definiciones que se emplean en toda la serie 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad
de la informacin. Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones.
ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.

LA SERIE 27000
ISO 27003: Consiste en una gua de implementacin de SGSI e informacin acerca del uso del
modelo PDCA (PLANEAR, ) y de los requerimientos de sus diferentes fases.
ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia
de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la
medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya
los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la
aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de
gestin de riesgos.
ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de
sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos
para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a
ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de
sistemas de gestin).

LA SERIE 27000
ISO 27007: Consiste en una gua de auditora de un SGSI.
ISO 27011: Consistir en una gua de gestin de seguridad de la informacin especfica para
telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones).
ISO 27031: Consiste en una gua de continuidad de negocio en cuanto a tecnologas de la
informacin y comunicaciones.

ISO 27032: Consiste en una gua relativa a la ciberseguridad.


ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de
seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre
redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante
VPNs y diseo e implementacin de seguridad en redes. Proviene de la revisin, ampliacin y
reenumeracin de ISO 18028.

LA SERIE 27000
ISO 27034: Consiste en una gua de seguridad en aplicaciones.
ISO 27799: Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO
17799 (actual ISO 27002). ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en
la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. Se aplica a la
informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras
y nmeros, grabaciones sonoras, dibujos, vdeos y imgenes mdicas), sea cual fuere el medio utilizado
para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento ) y sea cual
fuere el medio utilizado para transmitirlo (a mano, por fax, por redes
informticas o por correo), ya que la informacin siempre debe estar adecuadamente
protegida.
NOTA : Si desea acceder a las normas completas,
debe saber que stas no son de libre difusin sino
que han de ser adquiridas.

Para los originales en ingls, puede hacerlo


online en la tienda virtual de la propia
organizacin: http://
www.iso.org/iso/en/prods-services/ISOst
ore/store.html

SISTEMA DE GESTION DE SEGURIDAD DE LA


INFORMACION SGSI ISMS INFORMATION SECURITY
MANAGEMENT SYSTEM

Que es un SGSI?
PODEMOS DEFINIRLO POR ANALOGIA
ISO 9001
SON ESTANDARES DE
CALIDAD PARA LA
PRODUCCION

UN SGSI
SON ESTANDARES DE
CALIDAD PARA LA
SEGURIDAD DE LA
INFORMACION
EN ESTO SE BASA LA
EXISTENCIA DE ISO 27000
EN ESTO SE BASA LA
EXISTENCIA COBIT
EN ESTO SE BASA LA
EXISTENCIA DE ITIL

SISTEMA DE GESTION DE SEGURIDAD DE LA


INFORMACION SGSI ISMS INFORMATION
SECURITY MANAGEMENT SYSTEM
Este proceso es el que constituye un SGSI,

La gestin de la seguridad de la informacin


debe realizarse mediante un proceso
sistemtico, documentado y conocido por
toda la organizacin.

que podra considerarse, por analoga con


una norma tan conocida como ISO 9001,
como el sistema de calidad para la
seguridad
de la informacin.

OBJETIVO
Garantizar un nivel de proteccin total es virtualmente imposible, incluso
en el caso de disponer de un presupuesto ilimitado.
El propsito de un sistema de gestin de la seguridad de la informacin es,

garantizar que los riesgos de la


seguridad de la informacin SE CONOZCAN, SE
por tanto,

por la organizacin de
una forma documentada, sistemtica, estructurada,
repetible, eficiente y adaptada a los cambios que se
GESTIONEN, SE ASUMAN, Y SE MINIMICEN

INFORMACION = todo aquel conjunto de datos


organizados en poder de una entidad que posean
valor para la misma.
Independientemente de la forma en que se guarde
o se transmita (escrita, en imgenes,
oral, impresa en papel, almacenada
electrnicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.),
De su origen (de la propia
organizacin o de fuentes externas) o,
De la fecha de elaboracin.

La seguridad de la informacin, segn ISO 27001,


consiste en la preservacin de su

Confidencialidad
Integridad y
Disponibilidad,

As como la preservacin de los sistemas


implicados en su tratamiento, dentro de
una organizacin.
Es en estos tres trminos que se cimienta todo el
edificio de la seguridad de la informacin:

SEGURIDAD DE LA
INFORMACION

Confidencialidad: la informacin no se pone a


disposicin ni se revela a individuos, entidades o
procesos no autorizados.
Disponibilidad: acceso y utilizacin de la
informacin y los sistemas de tratamiento de la
misma por parte de los individuos, entidades o
procesos autorizados cuando lo
requieran.
Integridad: mantenimiento de la exactitud y
completitud de la informacin y sus mtodos de
proceso.

RIESGOS
Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms
elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes,
pueden someter a activos crticos de informacin a diversas formas de:

Fraude,
Espionaje,
Sabotaje o vandalismo.
Algunos ejemplos son: Los virus informticos, el hacking o los ataques de denegacin de
servicio.
Tambin se deben considerar:

Los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente


desde dentro de la propia organizacin,

Y aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos.

APROVECHAN
AMENAZAS
AUMENTAN
PROTEG
EN
DE LAS

VULNERAB
ILIDADES

EXPONEN

AUMENTAN
DISMINUYEN

RIESGOS
ACTIVOS

CONTROLE
S

AUMENTAN
MARCAN

IMPONEN

REQUERIMIENT
OS DE

SEGURIDAD

IMPACTAN
NEGATIVAMENT
E SI SE
MATERIALIZAN

CICLO DEL RIESGO

VALOR DE
LOS
ACTIVOS

TIENEN

IDENTIFICACION DE RIESGOS
La identificacin de riesgos corresponde a la confeccin de
una lista de los posibles eventos que pueden afectar las
operaciones y los servicios ofrecidos por TI a la institucin;
para facilitar la posterior evaluacin del riesgo en cuanto a
su nivel de impacto se les asocia la categora
correspondiente: