Ir al contenido principal

Comprendiendo el entorno de las ISOs...

Visitar también mi Blog´s en Agoenaga Tech Inc 

Sistema de Gestión de la Seguridad de la Información – SGSI: es el concepto central sobre el que se construye ISO 27001

Por analogía con una norma tan conocida como la ISO 9001, el SGSI se puede definir como el sistema de calidad para la seguridad de la información.

El propósito de un sistema de gestión de la seguridad de la información es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

ISO 27000: La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

•             ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

 •            ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo, Colombia, Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en ISO.org.

•             ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en ISO.org.

 •            ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

 •            ISO 27004: En fase de desarrollo; su fecha prevista de publicación es noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

 •            ISO 27005: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Recogerá partes de ISO/IEC TR 13335.

 •            ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.

 •            ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

•             ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

•             ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

 •            ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

 •            ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

 •            ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

 ISO 27799: En fase de desarrollo; su fecha prevista de publicación es 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario.

 •           ISO 27002

Más ISOs. Metodología de implantación y certificación de ISO27001.

Desarrollo conceptual para llevar adelante la implementación de ISO-27001 en una Organización.

El principal objetivo de este artículo es ofrecer una clara comprensión y determinar el plan de acción para las Organizaciones, antes de contratar una consultoría externa; lo que les permitirá implementar a la mayoría de los puntos de este estándar, con gran independencia y conocer todo lo que se gesta alrededor de todo estándar certificable.


Etiquetas:
Ubicación: Bogotá, Colombia

Comentarios

Publicar un comentario

Entradas más populares de este blog

Guía Práctica PM4R Agile

 La aventura del PM4R (Project Management for Results) comenzó el año 2011 con la elaboración de una metodología basada en la Guía del PMBOK® , estándar internacional de gestión de proyectos del PMI® (Project Management Institute) . El PM4R es la primera metodología de gestión de proyectos de desarrollo para América Latina y el Caribe. Como resultado de continuos éxitos aplicando el PM4R a la gestión de los proyectos que el Banco Interamericano de Desarrollo financia, el enfoque PM4R Agile que aquí se presenta, constituye un salto hacia el futuro para la gestión de los proyectos de desarrollo. Esto no significa que la metodología PM4R sea sustituida por el enfoque PM4R Agile, sino que se presenta como un valioso complemento para gestionar algunos trabajos críticos donde el tiempo es la variable más importante a controlar. El enfoque PM4R Agile está basado en el estándar PMI-ACP® y recoge buenas prácticas de Agile PM (Prince 2) y Scrum . Representa un cambio cultural en la...
Publicar un comentario
Leer más

Agoenaga Tech Inc - Alfredo Enrique Goenaga Suárez

 Consultor y asesor, en la implementación de soluciones empresariales y sistemas de información gerencial; basados en tecnologías de internet. Seguridad de la Información, reingeniería de procesos, diseño de soluciones Informáticas e infraestructura tecnológica y gerencia de proyectos. Con una amplia experiencia , en importantes compañías, con un alto impacto social y económico. Participando activamente en todas las fases de vida de Sistemas de Información, optimizando los recursos, disminuyendo costos y mejorando de manera productiva los procesos, servicios y controles informáticos de las comunidades empresariales en las que ha prestado mis servicios profesionales. Con tecnologías de punta y siendo pionero en la implementación y puesta en producción de aplicaciones reales, con soluciones innovadoras. Implementando oficinas de Gestión de Proyectos (PMO ), para poder cumplir con los alcances, expectativas de los clientes, controlando los costos, en las condiciones económicas dadas, ...
Publicar un comentario
Leer más

Security Meeting - Seguridad de la Información.

Se han efectuado  importantes eventos de Seguridad, en Bogotá, Colombia... y en otras partes del mundo, todos preocupados por las amenazas que surgen a diario, en todos los entornos y obviamente en lo digital ó tecnológico es uno de los más frecuentes, los ciberdelincuentes a toda costa quieren aprovechar las vulnerabilidades y la ingenuidad de las personas, Ingeniería social. para robar la información, acceso a medios de pago, etc.  No hay que escatimar esfuerzos para comprender y prevenir los fraudes informáticos de esto se trata la; "Seguridad de la Información". Concentrados en el mismo recinto los principales productores de hardware, Software, empresas de servicios de seguridad, y con satisfacción también encontramos a los usuarios o clientes finales de importantes entidades del estado, sector militar y financiero, y por supuesto el sector real y productivo. Muchas caras conocidas, todos preocupados por proteger el bien más valioso que tienen las empresas hoy en día, la ...
Publicar un comentario
Leer más