En este apartado se resumen las distintas
normas que componen la serie ISO 27000 y se
indica cómo puede una organización implantar
un sistema de gestión de seguridad de la
información (SGSI) basado en ISO 27001.
• ISO 27000: En fase de desarrollo; su fecha
prevista de publicación es Noviembre de 2008.
Contendrá términos y definiciones que se
emplean en toda la serie 27000. La aplicación de
cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de
gestión. Esta norma está previsto que sea
gratuita, a diferencia de las demás de la serie,
que tendrán un coste.
A semejanza de otras normas ISO,
la 27000 es realmente una serie de
estándares. Los rangos de
numeración reservados por ISO
van de 27000 a 27019 y de 27030 a
27044.
• ISO 27001: Publicada el 15 de Octubre de
2005. Es la norma principal de la serie y
contiene los requisitos del sistema de
gestión de seguridad de la información.
Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican
por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2,
habiéndose establecido unas condiciones
de transición para aquellas empresas
certificadas en esta última.
ISO 27001 es una norma internacional
emitida por la Organización Internacional
de Normalización (ISO) y describe cómo
gestionar la seguridad de la información
en una empresa.
La revisión más reciente de esta
norma fue publicada en 2013 y
ahora su nombre completo es
ISO/IEC 27001:2013.
primera revisión se publicó
en 2005 y fue desarrollada en
base a la norma británica BS
7799-2.
ISO 27001 puede ser
implementada en cualquier
tipo de organización, con o
sin fines de lucro, privada o
pública, pequeña o grande.
ISO 27001 se ha convertido
en la principal norma a
nivel mundial para la
seguridad de la información
y muchas empresas han
certificado su cumplimiento
ISO 27002: Desde el 1 de Julio de 2007,
es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que
describe los objetivos de control y
controles recomendables en cuanto a
seguridad de la información.
. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en
11 dominios. Como se ha mencionado en
su apartado
Los "lineamientos establecidos y
los principios generales para
iniciar, implementar, mantener y
mejorar la gestión de seguridad de
la información dentro de una
organización" estándar.
Los controles reales que figuran en
la norma están destinadas a atender
las necesidades específicas
identificadas a través de una
evaluación de riesgos formal.
Los controles reales que figuran en la
norma están destinadas a atender las
necesidades específicas identificadas a
través de una evaluación de riesgos
formal.
Por último, cabe señalar que en los
últimos años se han desarrollado una
serie de versiones específicas de la
industria de la norma ISO 27002, o se
encuentran en fase de desarrollo, (por
ejemplo: sector de la salud, manufactura,
etc.).
ISO 27003 es un estándar
internacional que constituye una
guía para la implantación de un
SGSI.Se trata de una norma
adaptada tanto para los que quieren
lanzarse a implantar un SGSI como
para los consultores en su trabajo
diario, debido a que resuelve ciertas
cuestiones que venían careciendo de
un criterio normalizado.
ISO-27003 focaliza su atención en los
aspectos requeridos para un diseño
exitoso y una buena implementación
del Sistema de Gestión de Seguridad de
la Información – SGSI – según el
estándar ISO 27001.
Especifica el proceso de
conseguir una aprobación para
la implementación de un SGSI,
define el proyecto para dicho
acometido, el cual es llamado en
la norma ISO 27003 proyecto de
SGSI, y da instrucciones sobre
cómo abordar la planificación de
la gestión para implementar el
SGSI.
La norma tiene el siguiente
contenido:Alcance.Referencias Normativas.Términos y
Definiciones.Estructura de esta Norma.Obtención de la
aprobación de la alta dirección para iniciar un
SGSI.Definición del alcance del SGSI, límites y
políticas.Evaluación de requerimientos de seguridad de la
información.Evaluación de Riesgos y Plan de tratamiento
de riesgos.Diseño del SGSI.
ISO 27004 facilita una
serie de mejores
prácticas para poder
medir el resultado de un
SGSI basado en ISO
27001.
El estándar concreta cómo
configurar el programa de
medición, qué parámetros
medir, cuñando y cómo
medirlos, y ayuda a las
empresas a crear objetivos
de rendimiento y criterios
de éxito.
ISO-27004 expone que el tipo de
medidas requeridas dependerá
del tamaño y complejidad de la
organización, de la relación coste
beneficio y del nivel de
integración de la seguridad de la
información en los procesos de la
propia organización.
Las etapas
propuestas por ISO
27004 con el objetivo
de medir la eficacia de
la seguridad de la
información son:
Selección
procesos y
objetos de
medición.
Definición
de las
líneas
base.
Recopilación
de datos.
Desarrollo de
un método de
medición.
Interpretación de
los valores
medidos.
Comunicación
de los valores
de medición.
ISO/IEC 27005:2008 proporciona una guía para la
gestión del riesgo en un sistema de seguridad de
la información. Soporta los conceptos definidos
en la ISO/IEC 27001 y está diseñado para ayudar
a la implementación de un sistema de seguridad
de la información basado en la gestión del
riesgo.
Publicada el 4 de Junio de
2008. Establece las
directrices para la gestión
del riesgo en la seguridad de
la información.
Apoya los conceptos generales
especificados en la norma ISO/IEC
27001 y está diseñada para ayudar a
la aplicación satisfactoria de la
seguridad de la información basada
en un enfoque de gestión de riesgos
El conocimiento de los conceptos, modelos,
procesos y términos descritos en la norma
ISO/IEC 27001 e ISO/IEC 27002 es importante
para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable a todo tipo
de organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales,
organizaciones sin fines de lucro)
ISO 27006 tiene como título oficial
“Tecnología de la información -.
Técnicas de seguridad Requisitos para
los organismos que realizan la
auditoría y certificación de sistemas
de información de gestión de la
seguridad
El estándar ISO 27006 responde a una
guía para los organismos de certificación
en los procesos formales que hay que
seguir al auditar SGSI.
Los procedimientos
descritos en dicha norma
dan la garantía de que el
certificado emitido de
acuerdo a ISO 27001 es
válido.
ISO-27006 está pensada para apoyar la
acreditación de organismos de
certificación que ofrecen la certificación
del Sistema de Gestión de Seguridad de
la Información.
ISO 27007: En fase de desarrollo;
su fecha prevista de publicación
es Mayo de 2010. Consistirá en
una guía de auditoría de un SGSI.
La gestión del programa de auditoría del
SGSI: establecer qué, cuándo y cómo se
debe auditar, asignar auditores
apropiados, gestionar los riesgos de
auditoría, mantenimiento de los
registros de la misma, mejora continua
del proceso
Ejecución de la auditoría
relativa al SGSI, ésta incluye
el proceso de auditoría, la
planificación, la realización
de actividades clave, trabajo
de campo, análisis,
presentación de informes y
seguimiento.
Gestión de los
auditores del SGSI:
competencias,
atributos, habilidades,
evaluación
Confirmar que los controles de
seguridad de la información
mitigan de forma correcta los
riesgos de la organización.
Verificar que los controles de seguridad
en relación con la contabilidad general o
de los sistemas y procesos de
contratación son correctas para que los
auditores corroboren los datos.
Ratificar que las obligaciones
contractuales de los proveedores son
satisfactorias en relación a la seguridad de
la información.
Revisar por la dirección, sin
olvidar las operaciones
rutinarias que forman parte
del SGSI de una
organización, para
asegurarnos que todo está
en orden.
Auditar tras incidentes de
seguridad de la información
como parte del análisis y
generar acciones correctivas.