SlideShare una empresa de Scribd logo

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion

Gabriel Gonzales
Gabriel Gonzales

Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.

Tecnología
1 de 6
Descargar para leer sin conexión
ISO/IEC 27001 y 27002 para la Gestión de Seguridad de la Información Abstract—With the increasing significance of information technology, there is an urgent need for adequate measures of information security. Systematic information security management is one of most important initiatives for IT management. At least since reports about privacy and security breaches, fraudulent accounting practices, and attacks on IT [1]. systems appeared in public, organizations have recognized their responsibilities to safeguard physical and information assets. The standards ISO/IEC 27001 and 27002 are international standards that are receiving growing recognition and adoption. Keywords—Security; Standards; ISO/IEC 27001; ISO/IEC 27002; 27 K Resumen—Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma. Palabras clave—Seguridad; Normas; ISO/IEC 27001; ISO/IEC 27002; ISO 27 K I. INTRODUCCIÓN La información es el activo más importante de cada organización [1]. Evidentemente se tendrán otros activos, pero todos ellos serán adquiridos de algún modo, sin embargo si tenemos algún problema de seguridad con la información de la empresa no será posible volver a adquirir. Este él es el motivo por lo que debe dedicar todos los esfuerzos necesarios para garantizas la seguridad de la información corporativa. Habitualmente la gestión de seguridad de la información en una empresa esta descoordinada, no sigue un criterio común definido, de cada departamento o área, especialmente en de TI, tiene sus propias políticas y procedimientos, establecidos sin una visión global de las necesidades de la organización, incluso alegados de los objetivos del negocio. La implantación de un sistema de gestión de seguridad de la información (SGSI), es la manera más eficaz de conseguir esta coordinación y gestión necesaria para orientar los esfuerzos y recursos, dedicados a la seguridad de la información, hacia una dirección que refuerce la consecución de los objetivos de la organización. Para la protección de la información y sistemas de información las normas y estándares ISO/IEC 27001, ISO/IEC 27002 protegen la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan. La norma ISO/IEC 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001 [3]. La norma ISO/IEC 27002 (anteriormente denominada ISO 17799) consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones [4]. II. ESTÁNDARES INTERNACIONALES Las Normas Internacionales ISO aportan una contribución positiva al mundo en que vivimos. Facilitan el comercio, la difusión del conocimiento, diseminan los avances innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación de la conformidad. Las normas ISO proporcionan soluciones y beneficios para casi todos los sectores de actividad, incluida la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, dispositivos médicos, tecnologías de la información y comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la conformidad y servicios. ISO es la Organización Internacional de Normalización. Juan Gabriel Gonzales Yauris Escuela Profesional de Ingeniería de Sistemas Universidad Nacional José María Arguedas Andahuaylas, Apurímac jgonzalesyauris@gmail.com
Los 161 miembros que la componen son los organismos nacionales de normalización de países industrializados, en desarrollo y en transición, de todos los tamaños y de todas las regiones del mundo. El portafolio de ISO, con más de 18 100 normas, provee de herramientas prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo sostenible de las variables económicas, ambientales y sociales. Las normas ISO/IEC 27001 e ISO/IEC 27002 se desarrollaron en cooperación con la "Comisión Internacional Electrotécnica" (IEC), es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO. III. DESARROLLO Y DIFUSIÓN DE LOS ESTÁNDARES ISO/IEC 27001 E ISO/IEC 27002 A. Desarrollo de los Estándares A semejanza de otras normas ISO, ISO/IEC 27000 [11]. Es un conjunto de estándares desarrollados (o en fase de desarrollo) por ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión. Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (Instituto Británico de Normalización,) por sus siglas en inglés. Es el responsable de la publicación de importantes normas. La norma BS 7799 de BSI apareció por primera vez en 1995 ver Figura 1, con objeto de proporcionar a cualquier empresa (británica o no) un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27k que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. Historia de las normas ISO/IEC 27001 e ISO/IEC 27002 Figura 1. Desarrollo de las normas ISO 27001 e ISO 27002 [12]. B. La difusión actual y Certificación de la Norma ISO/IEC 27001 El número de certificaciones ha aumentado considerablemente en los últimos años como demostración de la relevancia que tiene la protección de la información para el desarrollo de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial de los diferentes países y en todo el mundo. La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. Al final del año 2013 en todo el mundo hubo 22293 ver Figura 2 certificaciones según la norma ISO 27001 [5]. Un crecimiento del 14% (2673), se había emitido en 105 países y economías, dos más que en el año anterior. Los tres países principales para el número total de certificados emitidos fueron Japón, la India y el Reino Unido, mientras que los tres primeros para el crecimiento en el número de certificados en el 2013 fueron Italia, la India y el Reino Unido[5]. Existe información regular aportada por ISO en el documento encuestas realizadas por ISO [6] donde se informa de manera detallada el resultado en el número de certificaciones acreditadas con referencia a las regiones, países, sectores industriales de mayor implantación, entre otros, para la ISO/IEC 27001 como para otros sistemas de gestión ver Figura 3. Certificaciones de la Norma ISO/IEC 27001
Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5] Evolución de las Certificaciones ISO / IEC 27001 Figura 3. Distribución mundial de la norma ISO/IEC 27001 certificados en 2013 [6]. C. Entidades Certificadoras. Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. La acreditación de entidades de certificación para ISO/IEC 27001 o para BS 7799-2 -antes de derogarse solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de Certificación/Registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior documento. En el caso de ISO 27001, certifican, mediante la auditoría, que un sistema de gestión de seguridad de la información SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones. IV. ISO/IEC 27001 A. Concepto . Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos ver figura 4 y luego tratarlos sistemáticamente. Figura 4. Estructura ISO/IEC 27001 [3]. Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO/IEC 27001 ha detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI). ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad. De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la
Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.  Sección 0 – Introducción: Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.  Sección 1 – Alcance: Explica que esta norma es aplicable a cualquier tipo de organización.  Sección 2 – Referencias normativas: Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.  Sección 3 – Términos y definiciones: De nuevo, hacen referencia a la norma ISO/IEC 27000.  Sección 4 – Contexto de la organización: Esta sección es parte de la fase de Planificación del ciclo PDCA (Planificación, Implementación, Revisión y Mantenimiento; por sus siglas en inglés), define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.  Sección 5 – Liderazgo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.  Sección 6 – Planificación: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.  Sección 7 – Apoyo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.  Sección 8 – Funcionamiento: Esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.  Sección 9 – Evaluación del desempeño: Esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.  Sección 10 – Mejora: Esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.  Anexo A: Este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18). B. Beneficios Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información: Cumplir con los requerimientos legales: cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos. Obtener una ventaja comercial: si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información. Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá. Una mejor organización: en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados. C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001 La norma ISO 27001 fue publicada por primera vez en 2005 y luego fue revisada en 2013; por lo tanto, la versión válida actual es la ISO/IEC 27001:2013 [9]. Los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos. Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en su conjunto, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA) [11]. Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc. Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer la transición a la nueva revisión 2013 hasta septiembre de 2015 si quieren mantener la validez de su certificación. D. Ciclo Deming en la norma ISO/IEC 27001 Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se
utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad [11]. El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando a la definición de estándares y mejores prácticas como ISO- 27001 o ITIL. ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información basada en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información. Ciclo Deming o Mejora Continua Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11]. E. Procesos de Certificación Para certificar su empresa según esta norma internacional deberá conocer el proceso completo. Todos los procesos deben cumplir los requerimientos de la norma. Además, puede ser necesario añadir nuevos procesos requeridos por este estándar internacional [10]. Existen dos tipos de certificados ISO/IEC 27001: para las organizaciones y para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado. Para obtener la certificación como organización, Defina y documente correctamente los procesos, defina indicadores y comience su medición, registre la actividad de su empresa y forme a sus empleados para que conozcan y ejecuten los procesos tal como se ha definido. Por otro lado, trabajar con una empresa de consultoría experta en ISO/IEC 27001 le ayudará:  A comprender mejor la norma y lo que pide.  A implementar los procesos con la experiencia del equipo consultor, de manera que sea más fácil implantarlos y aporte más valor a su empresa.  Reducir el tiempo de implantación al estar mucho más enfocados.  A incrementar sus posibilidades a la hora de certificarse. Una vez haya implantado el estándar y esté funcionando un tiempo, es decir, existan todas las evidencias necesarias para que el auditor pueda comprobar que efectivamente el SGSI de la empresa está conforme a la norma ISO/IEC 27001 y hay registros e indicadores que evidencian la implantación, el control, el gobierno y sobretodo la mejora continua, usted puede contactar con la certificadora para contratar la auditoría de certificación. La auditoría de certificación consiste en que la empresa será auditada por un equipo auditor externo, que vendrá a nuestra empresa y revisará si efectivamente cumplimos los requerimientos de la norma. Si es así, emitirá su recomendación para certificarnos y obtendremos el sello de la certificadora como que cumplimos con la ISO/IEC 27001 ver Figura 5. En la FASE 1 el equipo auditor revisará toda la documentación que conforma el SGSI de la organización y realizará observaciones sobre potenciales no conformidades. En la FASE 2 el equipo auditor revisa ya toda la organización, para comprobar si existen las evidencias de que mantenemos un SGSI según la norma. La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Certificación en la Norma ISO/IEC 27001 Figura 6. Proceso de implantación y certificación en la norma ISO/IEC 27001 [10]. La implantación de un SGSI apropiado puede tomar algunos meses a varios años, dependiendo en gran medida de la madurez de la gestión de la seguridad de TI dentro de una organización. Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT o ITIL están más cerca de adaptarse y lograr la certificación. Existen algunas alternativas nacionales como La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) para las empresas peruanas que requieran certificarse en la Norma Técnica Peruana (NTP-ISO/IEC 27001:2008 Tecnología de la Información: Sistemas de Gestión de Seguridad de la Información. Requisitos), Podrán realizar dicha certificación de forma opcional y con recursos propios de cada entidad [7]. Cuyos controles deberán ser implementados de acuerdo a las recomendaciones de la Norma Técnica Peruana NTP- ISO/IEC 17799:2007 EDI Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. 2da edición, dispuesto por la RM 246-2007-PCM. V. ISO/IEC 27002 Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.
La ISO/IEC 27002:2013 proporciona directrices para las normas de seguridad de información de la organización y las buenas prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo seguridad de la información de la organización (s) [8]. Está diseñado para ser utilizado por las organizaciones que pretenden:  Seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO / IEC 27001;  Implementar controles de seguridad de la información generalmente aceptadas;  Desarrollar sus propias directrices de gestión de seguridad de información. La norma ISO/IEC 27002:2005 comprende la norma ISO/IEC 17799:2005. Establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos trazados proporcionan una guía general sobre los objetivos comúnmente aceptados de gestión de la seguridad de la información. ISO/IEC 27002:2005 contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información:  política de seguridad;  organización de la seguridad de la información;  gestión de activos;  recursos humanos de seguridad;  seguridad física y ambiental;  comunicaciones y gestión de operaciones;  control de acceso;  los sistemas de información de adquisición, desarrollo y mantenimiento;  información de gestión de incidentes de seguridad;  gestión de la continuidad del negocio;  cumplimiento. Los objetivos de control en ISO/IEC 27002:2005 están destinadas a ejecutarse para satisfacer los requisitos identificados por una evaluación de riesgos. ISO/IEC 27002:2005 pretende ser una base común y guía práctica para el desarrollo de estándares de seguridad de la organización y las prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales [9]. VI. CONCLUSIONES La información y los sistemas de están expuestos a riesgos de seguridad cada vez más. A través del aumento del apoyo a los procesos de negocio que ofrece la tecnología de información, así como el aumento del nivel de la creación de redes dentro de las empresas y con las partes externas. Un SGSI efectivo ayuda a reducir los riesgos y prevenir las violaciones de seguridad. Las normas ISO/IEC 27001 y 27002 constituyen un marco para diseñar y operar un SGSI, basados en experiencias duraderas de desarrollo. Con estas normas se les ofrece a las empresas la oportunidad de alinear sus procedimientos y métodos de TI para garantizar un nivel adecuado de seguridad de la información con una norma internacional. La certificación de un SGSI según ISO/IEC 27001 también proyecta una imagen positiva a través de la verificación de un sistema de gestión de seguridad de la información. Esta norma también es llamada como un punto de referencia y una base para la evaluación en materia de seguridad de la información aquí un certificado según la norma ISO/IEC 27001 demuestra una disposición con respecto a los servicios de seguridad de la información. Las organizaciones pueden demostrar que los servicios de TI son seguros. Las normas ISO 27001 y 27002 han sido ampliamente difundidos en Europa, América del norte y Asia. La importancia de la certificación de seguridad de la información cumple con las decisiones que una empresa brinda sus servicios en TI. REFERENCIAS [1] A. Alexander C. Pelnekar, “Diseño de un sistema de gestión de seguridad de información,” Alfaomega, 2007, pp. 9-25. [2] E. Humphreys, “Information Security Management System Standards, Normas en Sistemas de Gestión de Seguridad de la Información” Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 7- 11. [3] ISO 27001, “Tecnología de la Información, Técnicas de Seguridad, Sistemas de gestion de seguridad de la Información , Requisitos,” Organización Internacional de Normalización, ISO, Ginebra, 2009. [4] ISO 27002, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Organización Internacional de Normalización, ISO, Ginebra, 2009. [5] ISO, “The ISO Survey of Management System Standard Certifications 2013, Executive summary,” Available: http://www.iso.org/iso/iso_survey_executive- summary.pdf?v2013. [Último acceso: 21 Noviembre 2014]. [6] ISO, «ISO Survey, estudio realizado por ISO» ISO, 2013. Available: http://www.iso.org/iso/home/standards/certification/iso- survey.htm?certificate=ISO/IEC%2027001&countrycode=#standa rdpick. [Último acceso: 15 noviembre 2014]. [7] ONGEI, “Norma tecnica peruana NTP-ISO/IEC 27001:2008”. Available http://www.ongei.gob.pe/docs/isoiec27001.pdf. [Último acceso: 12 noviembre 2014] [8] ISO,”ISO/IEC 27002:2013” Available: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail _ics.htm?csnumber=54533 [Último acceso: 23 Noviembre 2014]. [9] ISO,”ISO/IEC 27002:2015” Available: http://www.iso.org/iso/catalogue_detail?csnumber=50297 [Último acceso: 25 Noviembre 2014]. [10] C. Pelnekar, “Planificación y ejecución de la ISO 27001,Planning for and Implementing ISO 27001,” ISACA Journal, Vol. 4, No. 4, 2011, pp. 1-8. [11] ISO 27000, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Información general y Vocabulario Organización Internacional de Normalización, ISO, Ginebra, 2009. [12] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/HistoriaISO27001.pps [Último acceso: 23 Noviembre 2014]. [13] ISO, "Técnicas de seguridad de TI,". Available: www.iso.org [Último acceso: 24 Noviembre 2014]. [14] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/HistoriaISO27001.pps [Último acceso: 23 Noviembre 2014].

Recomendados

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudioJonathan Imbaquingo Castillo
 

Recomendados

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudioJonathan Imbaquingo Castillo
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5Software Guru
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoRoberto Soriano Domenech
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TIINSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Sqap ejemplos
Sqap ejemplosSqap ejemplos
Sqap ejemplosJose Limon
 
Alinear TI con las Metas Empresariales usando Cobit
Alinear TI con las Metas Empresariales usando CobitAlinear TI con las Metas Empresariales usando Cobit
Alinear TI con las Metas Empresariales usando CobititService ®
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 

Más contenido relacionado

La actualidad más candente

Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5Software Guru
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Alinear TI con las Metas Empresariales usando Cobit
Alinear TI con las Metas Empresariales usando CobitAlinear TI con las Metas Empresariales usando Cobit
Alinear TI con las Metas Empresariales usando CobititService ®
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 

La actualidad más candente (20)

Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemas
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De Gobierno
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
Sqap ejemplos
Sqap ejemplosSqap ejemplos
Sqap ejemplos
 
Alinear TI con las Metas Empresariales usando Cobit
Alinear TI con las Metas Empresariales usando CobitAlinear TI con las Metas Empresariales usando Cobit
Alinear TI con las Metas Empresariales usando Cobit
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 

Destacado

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
ISO 27002
ISO 27002ISO 27002
ISO 27002DGT
 
Rackspace & Purna Cloud
Rackspace & Purna CloudRackspace & Purna Cloud
Rackspace & Purna CloudHernan Gazzo
 
Balanced Scorecard De It Por Franco It Grc
Balanced Scorecard De It Por Franco It GrcBalanced Scorecard De It Por Franco It Grc
Balanced Scorecard De It Por Franco It Grcfrancoit_grc
 
Protección de datos
Protección de datosProtección de datos
Protección de datosAbel Revoredo
 
Protección de datos personales y medidas de seguridad de la información
Protección de datos personales y medidas de seguridad de la informaciónProtección de datos personales y medidas de seguridad de la información
Protección de datos personales y medidas de seguridad de la informaciónCarlos A. Horna Vallejos
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Ley federal de proteccion de datos personales
Ley federal de proteccion de datos personalesLey federal de proteccion de datos personales
Ley federal de proteccion de datos personalesJuan Carlos Carrillo
 
Revolución de las Plataformas - Capitulo 2 - Efectos de Red
Revolución de las Plataformas - Capitulo 2 - Efectos de RedRevolución de las Plataformas - Capitulo 2 - Efectos de Red
Revolución de las Plataformas - Capitulo 2 - Efectos de RedCarlos Francavilla
 

Destacado (20)

NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Rackspace & Purna Cloud
Rackspace & Purna CloudRackspace & Purna Cloud
Rackspace & Purna Cloud
 
Principales novedades de COBIT5
Principales novedades de COBIT5Principales novedades de COBIT5
Principales novedades de COBIT5
 
Aviso de Privacidad
Aviso de PrivacidadAviso de Privacidad
Aviso de Privacidad
 
Balanced Scorecard De It Por Franco It Grc
Balanced Scorecard De It Por Franco It GrcBalanced Scorecard De It Por Franco It Grc
Balanced Scorecard De It Por Franco It Grc
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Protección de datos
Protección de datosProtección de datos
Protección de datos
 
Protección de datos personales y medidas de seguridad de la información
Protección de datos personales y medidas de seguridad de la informaciónProtección de datos personales y medidas de seguridad de la información
Protección de datos personales y medidas de seguridad de la información
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Ley federal de proteccion de datos personales
Ley federal de proteccion de datos personalesLey federal de proteccion de datos personales
Ley federal de proteccion de datos personales
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Revolución de las Plataformas - Capitulo 2 - Efectos de Red
Revolución de las Plataformas - Capitulo 2 - Efectos de RedRevolución de las Plataformas - Capitulo 2 - Efectos de Red
Revolución de las Plataformas - Capitulo 2 - Efectos de Red
 

Similar a Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion

Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 allabc000123
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 

Similar a Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion (20)

Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 all
 
ii
iiii
ii
 
Iso27001
Iso27001Iso27001
Iso27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 

Último

Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Luis Olivera
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (20)

Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion

  • 1. ISO/IEC 27001 y 27002 para la Gestión de Seguridad de la Información Abstract—With the increasing significance of information technology, there is an urgent need for adequate measures of information security. Systematic information security management is one of most important initiatives for IT management. At least since reports about privacy and security breaches, fraudulent accounting practices, and attacks on IT [1]. systems appeared in public, organizations have recognized their responsibilities to safeguard physical and information assets. The standards ISO/IEC 27001 and 27002 are international standards that are receiving growing recognition and adoption. Keywords—Security; Standards; ISO/IEC 27001; ISO/IEC 27002; 27 K Resumen—Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma. Palabras clave—Seguridad; Normas; ISO/IEC 27001; ISO/IEC 27002; ISO 27 K I. INTRODUCCIÓN La información es el activo más importante de cada organización [1]. Evidentemente se tendrán otros activos, pero todos ellos serán adquiridos de algún modo, sin embargo si tenemos algún problema de seguridad con la información de la empresa no será posible volver a adquirir. Este él es el motivo por lo que debe dedicar todos los esfuerzos necesarios para garantizas la seguridad de la información corporativa. Habitualmente la gestión de seguridad de la información en una empresa esta descoordinada, no sigue un criterio común definido, de cada departamento o área, especialmente en de TI, tiene sus propias políticas y procedimientos, establecidos sin una visión global de las necesidades de la organización, incluso alegados de los objetivos del negocio. La implantación de un sistema de gestión de seguridad de la información (SGSI), es la manera más eficaz de conseguir esta coordinación y gestión necesaria para orientar los esfuerzos y recursos, dedicados a la seguridad de la información, hacia una dirección que refuerce la consecución de los objetivos de la organización. Para la protección de la información y sistemas de información las normas y estándares ISO/IEC 27001, ISO/IEC 27002 protegen la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan. La norma ISO/IEC 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001 [3]. La norma ISO/IEC 27002 (anteriormente denominada ISO 17799) consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones [4]. II. ESTÁNDARES INTERNACIONALES Las Normas Internacionales ISO aportan una contribución positiva al mundo en que vivimos. Facilitan el comercio, la difusión del conocimiento, diseminan los avances innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación de la conformidad. Las normas ISO proporcionan soluciones y beneficios para casi todos los sectores de actividad, incluida la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, dispositivos médicos, tecnologías de la información y comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la conformidad y servicios. ISO es la Organización Internacional de Normalización. Juan Gabriel Gonzales Yauris Escuela Profesional de Ingeniería de Sistemas Universidad Nacional José María Arguedas Andahuaylas, Apurímac jgonzalesyauris@gmail.com
  • 2. Los 161 miembros que la componen son los organismos nacionales de normalización de países industrializados, en desarrollo y en transición, de todos los tamaños y de todas las regiones del mundo. El portafolio de ISO, con más de 18 100 normas, provee de herramientas prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo sostenible de las variables económicas, ambientales y sociales. Las normas ISO/IEC 27001 e ISO/IEC 27002 se desarrollaron en cooperación con la "Comisión Internacional Electrotécnica" (IEC), es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO. III. DESARROLLO Y DIFUSIÓN DE LOS ESTÁNDARES ISO/IEC 27001 E ISO/IEC 27002 A. Desarrollo de los Estándares A semejanza de otras normas ISO, ISO/IEC 27000 [11]. Es un conjunto de estándares desarrollados (o en fase de desarrollo) por ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión. Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (Instituto Británico de Normalización,) por sus siglas en inglés. Es el responsable de la publicación de importantes normas. La norma BS 7799 de BSI apareció por primera vez en 1995 ver Figura 1, con objeto de proporcionar a cualquier empresa (británica o no) un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27k que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. Historia de las normas ISO/IEC 27001 e ISO/IEC 27002 Figura 1. Desarrollo de las normas ISO 27001 e ISO 27002 [12]. B. La difusión actual y Certificación de la Norma ISO/IEC 27001 El número de certificaciones ha aumentado considerablemente en los últimos años como demostración de la relevancia que tiene la protección de la información para el desarrollo de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial de los diferentes países y en todo el mundo. La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. Al final del año 2013 en todo el mundo hubo 22293 ver Figura 2 certificaciones según la norma ISO 27001 [5]. Un crecimiento del 14% (2673), se había emitido en 105 países y economías, dos más que en el año anterior. Los tres países principales para el número total de certificados emitidos fueron Japón, la India y el Reino Unido, mientras que los tres primeros para el crecimiento en el número de certificados en el 2013 fueron Italia, la India y el Reino Unido[5]. Existe información regular aportada por ISO en el documento encuestas realizadas por ISO [6] donde se informa de manera detallada el resultado en el número de certificaciones acreditadas con referencia a las regiones, países, sectores industriales de mayor implantación, entre otros, para la ISO/IEC 27001 como para otros sistemas de gestión ver Figura 3. Certificaciones de la Norma ISO/IEC 27001
  • 3. Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5] Evolución de las Certificaciones ISO / IEC 27001 Figura 3. Distribución mundial de la norma ISO/IEC 27001 certificados en 2013 [6]. C. Entidades Certificadoras. Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. La acreditación de entidades de certificación para ISO/IEC 27001 o para BS 7799-2 -antes de derogarse solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de Certificación/Registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior documento. En el caso de ISO 27001, certifican, mediante la auditoría, que un sistema de gestión de seguridad de la información SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones. IV. ISO/IEC 27001 A. Concepto . Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos ver figura 4 y luego tratarlos sistemáticamente. Figura 4. Estructura ISO/IEC 27001 [3]. Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO/IEC 27001 ha detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI). ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad. De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la
  • 4. Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.  Sección 0 – Introducción: Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.  Sección 1 – Alcance: Explica que esta norma es aplicable a cualquier tipo de organización.  Sección 2 – Referencias normativas: Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.  Sección 3 – Términos y definiciones: De nuevo, hacen referencia a la norma ISO/IEC 27000.  Sección 4 – Contexto de la organización: Esta sección es parte de la fase de Planificación del ciclo PDCA (Planificación, Implementación, Revisión y Mantenimiento; por sus siglas en inglés), define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.  Sección 5 – Liderazgo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.  Sección 6 – Planificación: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.  Sección 7 – Apoyo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.  Sección 8 – Funcionamiento: Esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.  Sección 9 – Evaluación del desempeño: Esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.  Sección 10 – Mejora: Esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.  Anexo A: Este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18). B. Beneficios Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información: Cumplir con los requerimientos legales: cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos. Obtener una ventaja comercial: si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información. Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá. Una mejor organización: en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados. C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001 La norma ISO 27001 fue publicada por primera vez en 2005 y luego fue revisada en 2013; por lo tanto, la versión válida actual es la ISO/IEC 27001:2013 [9]. Los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos. Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en su conjunto, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA) [11]. Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc. Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer la transición a la nueva revisión 2013 hasta septiembre de 2015 si quieren mantener la validez de su certificación. D. Ciclo Deming en la norma ISO/IEC 27001 Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se
  • 5. utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad [11]. El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando a la definición de estándares y mejores prácticas como ISO- 27001 o ITIL. ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información basada en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información. Ciclo Deming o Mejora Continua Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11]. E. Procesos de Certificación Para certificar su empresa según esta norma internacional deberá conocer el proceso completo. Todos los procesos deben cumplir los requerimientos de la norma. Además, puede ser necesario añadir nuevos procesos requeridos por este estándar internacional [10]. Existen dos tipos de certificados ISO/IEC 27001: para las organizaciones y para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado. Para obtener la certificación como organización, Defina y documente correctamente los procesos, defina indicadores y comience su medición, registre la actividad de su empresa y forme a sus empleados para que conozcan y ejecuten los procesos tal como se ha definido. Por otro lado, trabajar con una empresa de consultoría experta en ISO/IEC 27001 le ayudará:  A comprender mejor la norma y lo que pide.  A implementar los procesos con la experiencia del equipo consultor, de manera que sea más fácil implantarlos y aporte más valor a su empresa.  Reducir el tiempo de implantación al estar mucho más enfocados.  A incrementar sus posibilidades a la hora de certificarse. Una vez haya implantado el estándar y esté funcionando un tiempo, es decir, existan todas las evidencias necesarias para que el auditor pueda comprobar que efectivamente el SGSI de la empresa está conforme a la norma ISO/IEC 27001 y hay registros e indicadores que evidencian la implantación, el control, el gobierno y sobretodo la mejora continua, usted puede contactar con la certificadora para contratar la auditoría de certificación. La auditoría de certificación consiste en que la empresa será auditada por un equipo auditor externo, que vendrá a nuestra empresa y revisará si efectivamente cumplimos los requerimientos de la norma. Si es así, emitirá su recomendación para certificarnos y obtendremos el sello de la certificadora como que cumplimos con la ISO/IEC 27001 ver Figura 5. En la FASE 1 el equipo auditor revisará toda la documentación que conforma el SGSI de la organización y realizará observaciones sobre potenciales no conformidades. En la FASE 2 el equipo auditor revisa ya toda la organización, para comprobar si existen las evidencias de que mantenemos un SGSI según la norma. La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Certificación en la Norma ISO/IEC 27001 Figura 6. Proceso de implantación y certificación en la norma ISO/IEC 27001 [10]. La implantación de un SGSI apropiado puede tomar algunos meses a varios años, dependiendo en gran medida de la madurez de la gestión de la seguridad de TI dentro de una organización. Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT o ITIL están más cerca de adaptarse y lograr la certificación. Existen algunas alternativas nacionales como La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) para las empresas peruanas que requieran certificarse en la Norma Técnica Peruana (NTP-ISO/IEC 27001:2008 Tecnología de la Información: Sistemas de Gestión de Seguridad de la Información. Requisitos), Podrán realizar dicha certificación de forma opcional y con recursos propios de cada entidad [7]. Cuyos controles deberán ser implementados de acuerdo a las recomendaciones de la Norma Técnica Peruana NTP- ISO/IEC 17799:2007 EDI Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. 2da edición, dispuesto por la RM 246-2007-PCM. V. ISO/IEC 27002 Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.
  • 6. La ISO/IEC 27002:2013 proporciona directrices para las normas de seguridad de información de la organización y las buenas prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo seguridad de la información de la organización (s) [8]. Está diseñado para ser utilizado por las organizaciones que pretenden:  Seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO / IEC 27001;  Implementar controles de seguridad de la información generalmente aceptadas;  Desarrollar sus propias directrices de gestión de seguridad de información. La norma ISO/IEC 27002:2005 comprende la norma ISO/IEC 17799:2005. Establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos trazados proporcionan una guía general sobre los objetivos comúnmente aceptados de gestión de la seguridad de la información. ISO/IEC 27002:2005 contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información:  política de seguridad;  organización de la seguridad de la información;  gestión de activos;  recursos humanos de seguridad;  seguridad física y ambiental;  comunicaciones y gestión de operaciones;  control de acceso;  los sistemas de información de adquisición, desarrollo y mantenimiento;  información de gestión de incidentes de seguridad;  gestión de la continuidad del negocio;  cumplimiento. Los objetivos de control en ISO/IEC 27002:2005 están destinadas a ejecutarse para satisfacer los requisitos identificados por una evaluación de riesgos. ISO/IEC 27002:2005 pretende ser una base común y guía práctica para el desarrollo de estándares de seguridad de la organización y las prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales [9]. VI. CONCLUSIONES La información y los sistemas de están expuestos a riesgos de seguridad cada vez más. A través del aumento del apoyo a los procesos de negocio que ofrece la tecnología de información, así como el aumento del nivel de la creación de redes dentro de las empresas y con las partes externas. Un SGSI efectivo ayuda a reducir los riesgos y prevenir las violaciones de seguridad. Las normas ISO/IEC 27001 y 27002 constituyen un marco para diseñar y operar un SGSI, basados en experiencias duraderas de desarrollo. Con estas normas se les ofrece a las empresas la oportunidad de alinear sus procedimientos y métodos de TI para garantizar un nivel adecuado de seguridad de la información con una norma internacional. La certificación de un SGSI según ISO/IEC 27001 también proyecta una imagen positiva a través de la verificación de un sistema de gestión de seguridad de la información. Esta norma también es llamada como un punto de referencia y una base para la evaluación en materia de seguridad de la información aquí un certificado según la norma ISO/IEC 27001 demuestra una disposición con respecto a los servicios de seguridad de la información. Las organizaciones pueden demostrar que los servicios de TI son seguros. Las normas ISO 27001 y 27002 han sido ampliamente difundidos en Europa, América del norte y Asia. La importancia de la certificación de seguridad de la información cumple con las decisiones que una empresa brinda sus servicios en TI. REFERENCIAS [1] A. Alexander C. Pelnekar, “Diseño de un sistema de gestión de seguridad de información,” Alfaomega, 2007, pp. 9-25. [2] E. Humphreys, “Information Security Management System Standards, Normas en Sistemas de Gestión de Seguridad de la Información” Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 7- 11. [3] ISO 27001, “Tecnología de la Información, Técnicas de Seguridad, Sistemas de gestion de seguridad de la Información , Requisitos,” Organización Internacional de Normalización, ISO, Ginebra, 2009. [4] ISO 27002, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Organización Internacional de Normalización, ISO, Ginebra, 2009. [5] ISO, “The ISO Survey of Management System Standard Certifications 2013, Executive summary,” Available: http://www.iso.org/iso/iso_survey_executive- summary.pdf?v2013. [Último acceso: 21 Noviembre 2014]. [6] ISO, «ISO Survey, estudio realizado por ISO» ISO, 2013. Available: http://www.iso.org/iso/home/standards/certification/iso- survey.htm?certificate=ISO/IEC%2027001&countrycode=#standa rdpick. [Último acceso: 15 noviembre 2014]. [7] ONGEI, “Norma tecnica peruana NTP-ISO/IEC 27001:2008”. Available http://www.ongei.gob.pe/docs/isoiec27001.pdf. [Último acceso: 12 noviembre 2014] [8] ISO,”ISO/IEC 27002:2013” Available: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail _ics.htm?csnumber=54533 [Último acceso: 23 Noviembre 2014]. [9] ISO,”ISO/IEC 27002:2015” Available: http://www.iso.org/iso/catalogue_detail?csnumber=50297 [Último acceso: 25 Noviembre 2014]. [10] C. Pelnekar, “Planificación y ejecución de la ISO 27001,Planning for and Implementing ISO 27001,” ISACA Journal, Vol. 4, No. 4, 2011, pp. 1-8. [11] ISO 27000, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Información general y Vocabulario Organización Internacional de Normalización, ISO, Ginebra, 2009. [12] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/HistoriaISO27001.pps [Último acceso: 23 Noviembre 2014]. [13] ISO, "Técnicas de seguridad de TI,". Available: www.iso.org [Último acceso: 24 Noviembre 2014]. [14] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/HistoriaISO27001.pps [Último acceso: 23 Noviembre 2014].