ISO 27000.pdf
Click here to load reader
-
Upload
edwin-fabian -
Category
Documents
-
view
163 -
download
2
Transcript of ISO 27000.pdf
114
nº 25 � septiembre 2008
Normas y Estándares
T odas las organizaciones,
independientemente de su
tamaño, sector de actividad,
o localización geográfica, poseen una
preocupación común: la necesidad de
preservar y custodiar de manera
adecuada la información que manejan,
llegando a ser ésta en muchos casos
factor determinante para su
consolidación y continuidad en el
mercado actual, fidelizando al crear
confianza entre los clientes.
Sin embargo, el desarrollo de las
Tecnologías de la Información, con el
consecuente crecimiento de las redes
digitales, hace que hoy en día la
información se vea continuamente
amenazada por diversos factores:
virus, gusanos, piratas informáticos,…
que acechan los sistemas informáticos
tras cada ‘clic’ de ratón.
Symantec Corp publicó el pasado
septiembre su informe sobre
Amenazas a la Seguridad en Internet
correspondiente al primer semestre de
2007, en el que destacó que dentro
de la región EMEA (Europa, Oriente
Medio y África), España ocupaba el
segundo puesto, precedida
únicamente por Alemania, con el
mayor número de ordenadores
infectados por ‘bots’ o programas
informáticos que realizan diversas
funciones imitando el comportamiento
del ser humano.
Estos alarmantes datos hacen que la
implantación de Sistemas de Gestión
de la Seguridad de la Información
(SGSI) se convierta en un factor
decisivo a la hora de garantizar la
supervivencia de las empresas
españolas a través de la diferenciación,
aportando a la vez un valor añadido.
Disponibilidad, Confidencialidad e
Integridad son la clave de la
Seguridad de la Información de
cualquier tipo de organización,
conceptos que se manejan igualmente
en la Ley de Protección de Datos
(LOPD), pudiendo por lo tanto
fusionarse todos ellos dentro de un
modelo de gestión cuyo eje principal
es proteger la información que se
trata día a día.
Para poder obtener un nivel óptimo
de seguridad, es necesario considerar
aspectos que van más allá de la mera
instalación de un firewall o corta
fuegos. Es imprescindible, como en
todo sistema de gestión que se precie,
la implicación del personal en la
implantación de los distintos
dispositivos y procesos, relacionados
tanto con la actividad o negocio, como
con los propios datos que se manejan,
la integración de las TI, el grado de
seguridad de las instalaciones, el
know how o “saber hacer”, y cómo no,
la formación y sensibilización de todos
los trabajadores (incluyendo la
dirección). Esto, en definitiva, forma
parte de un SGSI.
En cuanto a la Pymes, Fundetec
destaca en su último informe que
alrededor de un 95% de las pequeñas
y medianas empresas afirman haber
implantado un sistema de seguridad,
pero sin haber realizado previamente
un análisis de los puntos críticos a
considerar. Este hecho puede llevar a
engaño al empresario y a su equipo al
desconocer sus debilidades y los
métodos de protección necesarios
para salvaguardar su negocio de los
actuales peligros.
Dinnorah Suárez
DIRECTORA GENERAL
Genera, Formación yConsultoríaGRUPO IFO, Instituto deFormación Online
ISO 27000: Garantizar laSeguridad de la InformaciónLA IMPLANTACIÓN DE ESTA NORMA OFRECE GARANTÍAS DE PROTECCIÓN DE LA
INFORMACIÓN PARA LAS EMPRESAS Y SUS CLIENTES
Disponibilidad,Confidencialidad eIntegridad son la clave de laSeguridad de la Informaciónde cualquier tipo deorganización
La necesidad de la certificación
A través de la familia de normas de
la serie ISO 27000, las empresas
asegurarán ante sus grupos de interés
(principalmente a partners, clientes,
trabajadores, proveedores, etc.), que
han implementado medidas para
garantizar una adecuada gestión de la
seguridad de la información que
tratan.
Así, la ISO 27001 podrá llegar a
formar parte de los requisitos a
cumplir, por parte de las
organizaciones, ante entidades,
organismos y administración pública,
de cara a garantizar un adecuado
tratamiento de la información que
manejan, asegurando niveles
concretos y adecuados de seguridad
para interrelacionar sistemas de
clientes, control de stocks,
facturación, pedidos, productos, etc.
Desde hace relativamente poco
tiempo, la implantación de sistemas
de gestión relacionados con aspectos
de seguridad en el ámbito empresarial
comienza a considerarse con la
seriedad y rigurosidad que se merece.
A corto plazo, con toda probabilidad,
pasará a ser un factor imprescindible
en la gestión interna de las
organizaciones. Por ello, empresas
consultoras especializadas ofrecen sus
servicios para realizar implantaciones
y auditorías internas de los SGSI, con
el fin de que cada vez sean más las
entidades certificadas en el estándar
ISO 27.001.
El equipo destinado a la
implantación de la ISO 27001 debe
estar formado por representantes de
todas las áreas de la
empresa/institución que se vean
afectadas por el SGSI, liderado por la
dirección y asesorado por consultores
externos especializados en Seguridad
Informática, Derecho de las Nuevas
Tecnologías, Protección de Datos y
Sistemas de Gestión,
El tiempo de implantación de esta
norma en una organización de tamaño
medio oscila entre los seis y los doce
meses, en función del grado de
avance en materia de Seguridad de la
Información y de su alcance.
115
nº 25 � septiembre 2008
Normas y Estándares
A semejanza de otras familias de normas ISO, la 27000 estáformada por:� ISO 27000: Contendrá términos y definiciones que seemplean en toda la serie 27000. La aplicación decualquier estándar necesita de un vocabulario claramentedefinido.� ISO 27001. Es la norma principal de la serie y contiene losrequisitos del Sistema de Gestión de Seguridad de laInformación. En su Anexo A, enumera en forma deresumen los objetivos de control y controles que desarrollala ISO 27002:2005 para que sean seleccionados por lasorganizaciones en el desarrollo de sus SGSI.� ISO 27002: Desde el 1 de Julio de 2007. Es una guía debuenas prácticas que describe los objetivos de control ycontroles recomendables en cuanto a Seguridad de laInformación. No es certificable.� ISO 27003: Consistirá en una guía de implementación deSGSI e información acerca del uso del modelo PDCA y delos requerimientos de sus diferentes fases.� ISO 27004: Especificará las métricas y las técnicas demedida aplicables para determinar la eficacia de un SGSI yde los controles relacionados.
� ISO 27005: Consistirá en una guía de técnicas para la gestióndel riesgo de la Seguridad de la Información y servirá, portanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.� ISO 27006: Especifica los requisitos para la acreditación deentidades de auditoría y certificación de Sistemas de Gestiónde Seguridad de la Información.� ISO 27007: Consistirá en una guía de auditoría de un SGSI.� ISO 27011: Consistirá en una guía de gestión de seguridadde la información específica para telecomunicaciones.� ISO 27031: Consistirá en una guía de continuidad denegocio en cuanto a tecnologías de la información ycomunicaciones.� ISO 27032: Consistirá en una guía relativa a la ciberseguridad.� ISO 27033: Es una norma consistente en 7 partes: gestiónde seguridad de redes, arquitectura de seguridad de redes,escenarios de redes de referencia, aseguramiento de lascomunicaciones entre redes mediante gateways, accesoremoto, aseguramiento de comunicaciones en redes medianteVPNs y diseño e implementación de seguridad en redes.� ISO 27034: Consistirá en una guía de seguridad en aplicaciones.� ISO 27799: Es un estándar de gestión de seguridad de lainformación en el sector.
Familia ISO 27000