En este apartado se resumen las distintas
normas que componen la serie ISO 27000 y se
indica cómo puede una organización implantar
un sistema de gestión de seguridad de la
información (SGSI) basado en ISO 27001.
• ISO 27000: En fase de desarrollo; su fecha
prevista de publicación es Noviembre de 2008.
Contendrá términos y definiciones que se
emplean en toda la serie 27000. La aplicación de
cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de
gestión. Esta norma está previsto que sea
gratuita, a diferencia de las demás de la serie,
que tendrán un coste.
A semejanza de otras normas ISO,
la 27000 es realmente una serie de
estándares. Los rangos de
numeración reservados por ISO
van de 27000 a 27019 y de 27030 a
27044.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma
principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Tiene su origen en la BS
7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la
BS 7799-2, habiéndose establecido unas condiciones de
transición para aquellas empresas certificadas en esta última.
ISO 27001 es una norma internacional
emitida por la Organización Internacional
de Normalización (ISO) y describe cómo
gestionar la seguridad de la información
en una empresa.
La revisión más reciente de esta
norma fue publicada en 2013 y
ahora su nombre completo es
ISO/IEC 27001:2013.
primera revisión se publicó
en 2005 y fue desarrollada en
base a la norma británica BS
7799-2.
ISO 27001 puede ser
implementada en cualquier
tipo de organización, con o
sin fines de lucro, privada o
pública, pequeña o grande.
ISO 27001 se ha convertido
en la principal norma a
nivel mundial para la
seguridad de la información
y muchas empresas han
certificado su cumplimiento
ISO 27002: Desde el 1 de Julio de 2007,
es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que
describe los objetivos de control y
controles recomendables en cuanto a
seguridad de la información.
. No es certificable. Contiene
39 objetivos de control y 133
controles, agrupados en 11
dominios. Como se ha
mencionado en su apartado
Los "lineamientos establecidos y
los principios generales para
iniciar, implementar, mantener y
mejorar la gestión de seguridad de
la información dentro de una
organización" estándar.
Los controles reales que figuran en
la norma están destinadas a atender
las necesidades específicas
identificadas a través de una
evaluación de riesgos formal.
Los controles reales que figuran en la
norma están destinadas a atender las
necesidades específicas identificadas a
través de una evaluación de riesgos
formal.
Por último, cabe señalar que en los
últimos años se han desarrollado una
serie de versiones específicas de la
industria de la norma ISO 27002, o se
encuentran en fase de desarrollo, (por
ejemplo: sector de la salud, manufactura,
etc.).
ISO 27003 es un estándar
internacional que constituye una
guía para la implantación de un
SGSI.Se trata de una norma
adaptada tanto para los que quieren
lanzarse a implantar un SGSI como
para los consultores en su trabajo
diario, debido a que resuelve ciertas
cuestiones que venían careciendo de
un criterio normalizado.
ISO-27003 focaliza su atención en los
aspectos requeridos para un diseño
exitoso y una buena implementación
del Sistema de Gestión de Seguridad de
la Información – SGSI – según el
estándar ISO 27001.
Especifica el proceso de
conseguir una aprobación para
la implementación de un SGSI,
define el proyecto para dicho
acometido, el cual es llamado en
la norma ISO 27003 proyecto de
SGSI, y da instrucciones sobre
cómo abordar la planificación de
la gestión para implementar el
SGSI.
La norma tiene el siguiente
contenido:Alcance.Referencias Normativas.Términos y
Definiciones.Estructura de esta Norma.Obtención de la
aprobación de la alta dirección para iniciar un
SGSI.Definición del alcance del SGSI, límites y
políticas.Evaluación de requerimientos de seguridad de la
información.Evaluación de Riesgos y Plan de tratamiento
de riesgos.Diseño del SGSI.
ISO 27004 facilita una serie de mejores
prácticas para poder medir el resultado
de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el
programa de medición, qué parámetros
medir, cuñando y cómo medirlos, y
ayuda a las empresas a crear objetivos
de rendimiento y criterios de éxito.
ISO-27004 expone que el tipo de medidas
requeridas dependerá del tamaño y complejidad
de la organización, de la relación coste beneficio y
del nivel de integración de la seguridad de la
información en los procesos de la propia
organización.
Las etapas propuestas por ISO
27004 con el objetivo de medir
la eficacia de la seguridad de la
información son:
Selección procesos y
objetos de medición.
Definición de las
líneas base.
Recopilación de
datos.
Desarrollo de
un método de
medición.
Interpretación de los
valores medidos.
Comunicación
de los valores
de medición.
ISO/IEC 27005:2008 proporciona una guía para la gestión
del riesgo en un sistema de seguridad de la información.
Soporta los conceptos definidos en la ISO/IEC 27001 y
está diseñado para ayudar a la implementación de un
sistema de seguridad de la información basado en la
gestión del riesgo.
Publicada el 4 de Junio de
2008. Establece las
directrices para la gestión
del riesgo en la seguridad de
la información.
Apoya los conceptos generales
especificados en la norma ISO/IEC 27001 y
está diseñada para ayudar a la aplicación
satisfactoria de la seguridad de la
información basada en un enfoque de
gestión de riesgos
El conocimiento de los conceptos, modelos, procesos y
términos descritos en la norma ISO/IEC 27001 e ISO/IEC
27002 es importante para un completo entendimiento de
la norma ISO/IEC 27005:2008, que es aplicable a todo tipo
de organizaciones (por ejemplo, empresas comerciales,
agencias gubernamentales, organizaciones sin fines de
lucro)
ISO 27006 tiene como título oficial
“Tecnología de la información -.
Técnicas de seguridad Requisitos para
los organismos que realizan la
auditoría y certificación de sistemas
de información de gestión de la
seguridad
El estándar ISO 27006 responde a una guía
para los organismos de certificación en los
procesos formales que hay que seguir al
auditar SGSI.
Los procedimientos
descritos en dicha norma
dan la garantía de que el
certificado emitido de
acuerdo a ISO 27001 es
válido.
ISO-27006 está pensada para apoyar la
acreditación de organismos de
certificación que ofrecen la
certificación del Sistema de Gestión de
Seguridad de la Información.
ISO 27007: En fase de desarrollo;
su fecha prevista de publicación
es Mayo de 2010. Consistirá en
una guía de auditoría de un SGSI.
La gestión del programa de auditoría del
SGSI: establecer qué, cuándo y cómo se
debe auditar, asignar auditores
apropiados, gestionar los riesgos de
auditoría, mantenimiento de los
registros de la misma, mejora continua
del proceso
Ejecución de la auditoría
relativa al SGSI, ésta incluye
el proceso de auditoría, la
planificación, la realización
de actividades clave, trabajo
de campo, análisis,
presentación de informes y
seguimiento.
Gestión de los
auditores del SGSI:
competencias,
atributos, habilidades,
evaluación
Confirmar que los controles de
seguridad de la información
mitigan de forma correcta los
riesgos de la organización.
Verificar que los controles de seguridad
en relación con la contabilidad general o
de los sistemas y procesos de
contratación son correctas para que los
auditores corroboren los datos.
Ratificar que las obligaciones
contractuales de los proveedores son
satisfactorias en relación a la seguridad de
la información.
Revisar por la dirección, sin
olvidar las operaciones
rutinarias que forman parte
del SGSI de una
organización, para
asegurarnos que todo está
en orden.
Auditar tras incidentes de
seguridad de la información
como parte del análisis y
generar acciones correctivas.