lunes, 30 de mayo de 2016



Historia de ISO 27000
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution) es responsable de la publicación de importantes normas como: 
  • 1979 Publicación BS 5750 - ahora ISO 9001
  • 1992 Publicación BS 7750 - ahora ISO 14001
  • 1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa británica o no un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de gestión de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.

La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. 
  • ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste. 
  • ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. 
  • ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005.
ISO 27001:2005: 

Generalidades 

Esta Norma Internacional ha sido preparada para proporcionar un modelo que permita establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para la organización. Se espera que la escala de implementación de un SGSI se establezca de acuerdo a las necesidades de la organización, es decir, una situación sencilla requiere una solución de SGSI sencilla. 

¿Qué aporta la certificación ISO 27001? 

La certificación ISO 27001 avala la adecuada implantación, gestión y operación de todo lo relacionado con la implantación de un SGSI, siendo la norma más completa que existe en lo relativo a la implantación de controles, métricas e indicadores que permiten establecer un marco adecuado de gestión de la seguridad de la información para las organizaciones. 

Entre las ventajas que ofrece, al ser un estándar ISO, se encuentran las facilidades que ofrece de integración con otros sistemas de gestión vigentes en la empresa, por ejemplo ISO 9001 e ISO 14001. 
  • Introducción: generalidades e introducción al método PDCA. 
  • Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. 
  • Normas para consulta: otras normas que sirven de referencia. 
  • Términos y definiciones: breve descripción de los términos más usados en la norma. 
  • Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. 
  • Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 
  • Auditorias internas del SGSI: cómo realizar las auditorias internas de control y cumplimiento. 
  • Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección. 
  • Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. 
  • Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005. 
  • Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. 
  • Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001. 
  • Bibliografía: normas y publicaciones de referencia. 
ISO 27002:2005 (anterior ISO 17799:2005): 
  • Introducción: conceptos generales de seguridad de la información y SGSI. 
  • Campo de aplicación: se especifica el objetivo de la norma. 
  • Términos y definiciones: breve descripción de los términos más usados en la norma. 
  • Estructura del estándar: descripción de la estructura de la norma. 
  • Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información. 
  • Política de seguridad: documento de política de seguridad y su gestión. 
  • Aspectos organizativos de la seguridad de la información: organización interna; terceros. 
  • Gestión de activos: responsabilidad sobre los activos; clasificación de la información. 
  • Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo. 
  • Seguridad física y ambiental: áreas seguras; seguridad de los equipos. 
  • Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión. 
  • Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo. 
  • Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica. 
  • Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras. 
  • Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio. 
  • Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorias de los sistemas de información. 
  • Bibliografía: normas y publicaciones de referencia. 
Beneficios 
  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. 
  • Reducción del riesgo de pérdida, robo o corrupción de información. 
  • Los clientes tienen acceso a la información a través medidas de seguridad. 
  • Los riesgos y sus controles son continuamente revisados. 
  • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. 
  • Las auditorias externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. 
  • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 1800). 
  • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. 
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. 
  • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. 
  • Confianza y reglas claras para las personas de la organización. 
  • Reducción de costes y mejora de los procesos y servicio. 
  • Aumento de la motivación y satisfacción del personal. 
  • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

0 comentarios:

Publicar un comentario