sea-logo

Seguridad en América | Post

de Javier Nery Rojas Benjumea fecha 10 sept 2023

ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN

Estableciendo mejores prácticas para la ciberseguridad

Las normas que forman la serie ISO-27000 son un conjunto de estándares creados y gestionados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales están participadas por multitud de países, lo que garantiza su amplia difusión, implantación y reconocimiento en todo el mundo.

Las series 27000 están orientadas al establecimiento de buenas prácticas en relación con la implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI) o por su denominación en inglés, Information Security Management System (ISMS). Estas guías tienen como objetivo establecer las mejores prácticas en relación con diferentes aspectos vinculados a la gestión de la seguridad de la información, con una fuerte orientación a la mejora continua y la mitigación de riesgos.

  • ISO 27000: facilita las bases y lenguaje común para el resto de las normas de la serie.

  • ISO 27001: especifica los requerimientos necesarios para implantar y gestionar un SGSI. Esta norma es certificable.

  • ISO 27002: define un conjunto de buenas prácticas para la implantación del SGSI, a través de 114 controles, estructurados en 14 dominios y 35 objetivos de controles.

  • ISO 27003: proporciona una guía para la implantación de forma correcta un SGSI, centrándose en los aspectos importantes para realizar con éxito dicho proceso.

  • ISO 27004: proporciona pautas orientadas a la correcta definición y establecimiento de métricas que permitan evaluar de forma correcta el rendimiento del SGSI.

  • ISO 27005: define cómo se debe realizar la gestión de riesgos vinculados a los sistemas de gestión de la información orientado en cómo establecer la metodología a emplear.

  • ISO 27006: establece los requisitos que deben cumplir aquellas organizaciones que quieran ser acreditadas para certificar a otras en el cumplimiento de la ISO/IEC-27001.

  • ISO 27007: es una guía que establece los procedimientos para realizar auditorías internas o externas con el objetivo de verificar y certificar implementaciones de la ISO/IEC-27001.

  • ISO 27008: define cómo se deben evaluar los controles del SGSI con el fin de revisar la adecuación técnica de los mismos, de forma que sean eficaces para la mitigación de riesgos.

  • ISO 27009: complementa la norma 27001 para incluir requisitos y nuevos controles añadidos que son de aplicación en sectores específicos, con el objetivo de hacer más eficaz su implantación.

  • ISO 27010: indica cómo debe ser tratada la información cuando es compartida entre varias organizaciones, qué riesgos pueden aparecer y los controles que se deben emplear para mitigarlos, especialmente cuando están relacionados con la gestión de la seguridad en infraestructuras críticas.

  • ISO 27011: establece los principios para implantar, mantener y gestionar un SGSI en organizaciones de telecomunicaciones, indicando cómo implantar los controles de manera eficiente.

  • ISO 27013: establece una guía para la integración de las normas 27001 (SGSI) y 20000 Sistema de Gestión de Servicios (SGS) en aquellas organizaciones que implementan ambas.

  • ISO 27014: establece principios para el gobierno de la seguridad de la información, para que las organizaciones puedan evaluar, monitorizar y comunicar las actividades relacionadas con la seguridad de la información.

  • ISO 27015: facilita los principios de implantación de un SGSI en empresas que prestan servicios financieros, tales como servicios bancarios o banca electrónica.

  • ISO 27016: proporciona una guía para la toma de decisiones económicas vinculadas a la gestión de la seguridad de la información, como apoyo a la dirección de las organizaciones.

  • ISO 27017: proporciona una guía de 37 controles específicos para los servicios Cloud, estos controles están basados en la norma 27002.

  • ISO 27018: complementa a las normas 27001 y 27002 en la implantación de procedimientos y controles para proteger datos personales en aquellas organizaciones que proporcionan servicios en Cloud para terceros.

  • ISO 27019: facilita una guía basada en la norma 27002 para aplicar a las industrias vinculadas al sector de la energía, de forma que puedan implantar un SGSI.

Como ya se indicó la ISO 27001 es un estándar para la seguridad de la información (Information Technology – Security Techniques – Information Security Management Systems – Requirements), aprobado y publicado como estándar internacional en octubre de 2005, por la International Organization for Standardization y por la International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información según el conocido “Ciclo de Deming”: denotado por las siglas PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

Es consistente con las mejores prácticas descritas en ISO 27002, anteriormente conocidas como ISO/IEC 17799, cuyo origen es la norma BS 7799-2:2002; desarrollada por la British Standards Institution (BSI), entidad de normalización británica.

LA VERSIÓN ACTUAL DE LA NORMA ES ISO-27001:2013

La norma se encuentra dividida en dos partes, la primera se compone de los siguientes puntos:

Objeto y campo de aplicación: especifica la finalidad de la norma, su uso dentro de una organización y el modo de aplicación del estándar.

  • Referencias normativas: recomendación de la consulta a documentos necesarios para la aplicación del estándar.

  • Términos y definiciones: los términos y definiciones usados se basan en la norma ISO 27000.

Contexto de la organización: se busca determinar las necesidades y expectativas dentro y fuera de la organización que afecten directa o indirectamente al sistema de gestión de la seguridad de la información (SGSI). Se debe determinar el alcance.

  • Entendiendo la organización y su contexto.

  • Entendiendo las necesidades y expectativas de los implicados.

  • Determinando el campo de aplicación del SGSI.

  • Sistema de gestión de la seguridad de la información.

Liderazgo: habla sobre la importancia de la alta dirección y su compromiso con el sistema de gestión, estableciendo políticas y asignando a los empleados de la organización roles, responsabilidades y autoridades, asegurando así la integración de los requisitos del sistema de seguridad en los procesos de la organización, así como los recursos necesarios para su implementación y operatividad.

  • Compromiso.

  • Políticas.

  • Roles organizativos, responsabilidad y autoridades.

Planificación: se deben valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, adicionalmente se debe dar un tratamiento a los riesgos de la seguridad de la información. Los objetivos y los planes para lograr dichos objetivos.

  • Acciones para abordar riesgos y oportunidades.

  • Objetivos de la seguridad de la información y cómo conseguirlos.

Soporte: se trata sobre los recursos destinados por la organización, la competencia de personal, la toma de conciencia por parte de las partes interesadas, la importancia sobre la comunicación en la organización. La importancia de la información documentada.

  • Recursos.

  • Competencias.

  • Concienciación.

  • Comunicación.

  • Información / documentación.

Operación: el cómo se debe planificar, implementar y controlar los procesos de la operación, así como la valoración de los riesgos y su tratamiento.

  • Planificación operacional.

  • Evaluación de riesgos.

  • Tratamiento de los riesgos.

Evaluación de desempeño: debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento, una medición, un análisis, una evaluación, una auditoría interna y una revisión por la dirección del SGSI del sistema de gestión de la información, para asegurar su correcto funcionamiento.

  • Supervisión, medida, análisis y evaluación.

  • Auditorías internas.

  • Revisiones de la gestión.

Mejora: habla sobre el tratamiento de las no conformidades, las acciones correctivas y la mejora continua.

  • Disconformidades y acciones correctivas.

  • Mejora continua.

La segunda parte de la norma ISO-27001:2013, está conformada por el anexo A, el cual establece los objetivos de control y los controles de referencia.

Notas Fijadas

    Noticias relevantes

      Categorías