Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
1. ISO/IEC 27001 y 27002 para la Gestión de
Seguridad de la Información
Abstract—With the increasing significance of
information technology, there is an urgent need for
adequate measures of information security. Systematic
information security management is one of most important
initiatives for IT management. At least since reports about
privacy and security breaches, fraudulent accounting
practices, and attacks on IT [1]. systems appeared in
public, organizations have recognized their responsibilities
to safeguard physical and information assets. The standards
ISO/IEC 27001 and 27002 are international standards that
are receiving growing recognition and adoption.
Keywords—Security; Standards; ISO/IEC 27001;
ISO/IEC 27002; 27 K
Resumen—Con la creciente importancia de las
tecnologías de la información, hay una necesidad urgente de
adoptar medidas adecuadas de seguridad de la información.
Un sistema de gestión de seguridad de la información
(SGSI) es una de las iniciativas más importantes para la
gestión de TI [1]. Ya que al menos los informes acerca de
privacidad y brechas de seguridad, las prácticas contables
fraudulentas, y los ataques a los sistemas de TI. Las
organizaciones han reconocido la importancia y la urgente
necesidad de incorporar la seguridad de la información,
para proteger y garantizar la privacidad y los derechos de la
organización. Las normas de seguridad se pueden utilizar
como guía o marco para desarrollar y mantener un sistema
de gestión de seguridad de la información (SGSI) adecuada.
Las normas ISO/IEC 27001 y 27002 son normas
internacionales que están recibiendo cada vez mayor
reconocimiento y adopción para la seguridad de la
información [2]. Con la norma ISO/IEC 27001 Las
organizaciones pueden obtener la certificación para
demostrar que cumplen con todos los puntos obligatorios de
la norma.
Palabras clave—Seguridad; Normas; ISO/IEC 27001;
ISO/IEC 27002; ISO 27 K
I. INTRODUCCIÓN
La información es el activo más importante de cada
organización [1]. Evidentemente se tendrán otros activos,
pero todos ellos serán adquiridos de algún modo, sin
embargo si tenemos algún problema de seguridad con la
información de la empresa no será posible volver a
adquirir. Este él es el motivo por lo que debe dedicar
todos los esfuerzos necesarios para garantizas la seguridad
de la información corporativa. Habitualmente la gestión
de seguridad de la información en una empresa esta
descoordinada, no sigue un criterio común definido, de
cada departamento o área, especialmente en de TI, tiene
sus propias políticas y procedimientos, establecidos sin
una visión global de las necesidades de la organización,
incluso alegados de los objetivos del negocio. La
implantación de un sistema de gestión de seguridad de la
información (SGSI), es la manera más eficaz de conseguir
esta coordinación y gestión necesaria para orientar los
esfuerzos y recursos, dedicados a la seguridad de la
información, hacia una dirección que refuerce la
consecución de los objetivos de la organización. Para la
protección de la información y sistemas de información
las normas y estándares ISO/IEC 27001, ISO/IEC 27002
protegen la confidencialidad, integridad y disponibilidad
de la información en una empresa. Esto lo hace
investigando cuáles son los potenciales problemas que
podrían afectar la información y luego definiendo lo que
es necesario hacer para evitar que estos problemas se
produzcan.
La norma ISO/IEC 27001 puede ser implementada en
cualquier tipo de organización, con o sin fines de lucro,
privada o pública, pequeña o grande. Está redactada por
los mejores especialistas del mundo en el tema y
proporciona una metodología para implementar la gestión
de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto
significa que una entidad de certificación independiente
confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la
norma ISO 27001 [3].
La norma ISO/IEC 27002 (anteriormente denominada
ISO 17799) consiste en una guía de buenas prácticas que
permiten a las organizaciones mejorar la seguridad de su
información. Con este fin, define una serie de objetivos de
control y gestión que deberían ser perseguidos por las
organizaciones [4].
II. ESTÁNDARES INTERNACIONALES
Las Normas Internacionales ISO aportan una contribución
positiva al mundo en que vivimos. Facilitan el comercio,
la difusión del conocimiento, diseminan los avances
innovadores en tecnología, y comparten buenas prácticas
de gestión y evaluación de la conformidad.
Las normas ISO proporcionan soluciones y beneficios
para casi todos los sectores de actividad, incluida la
agricultura, construcción, ingeniería mecánica,
fabricación, distribución, transporte, dispositivos médicos,
tecnologías de la información y comunicación, medio
ambiente, energía, gestión de la calidad, evaluación de la
conformidad y servicios. ISO es la Organización
Internacional de Normalización.
Juan Gabriel Gonzales Yauris
Escuela Profesional de Ingeniería de Sistemas
Universidad Nacional José María Arguedas
Andahuaylas, Apurímac
jgonzalesyauris@gmail.com
2. Los 161 miembros que la componen son los organismos
nacionales de normalización de países industrializados, en
desarrollo y en transición, de todos los tamaños y de todas
las regiones del mundo. El portafolio de ISO, con más de
18 100 normas, provee de herramientas prácticas a las
empresas, los gobiernos y la sociedad, para el desarrollo
sostenible de las variables económicas, ambientales y
sociales.
Las normas ISO/IEC 27001 e ISO/IEC 27002 se
desarrollaron en cooperación con la "Comisión
Internacional Electrotécnica" (IEC), es una organización
de normalización en los campos eléctrico, electrónico y
tecnologías relacionadas. Numerosas normas se
desarrollan conjuntamente con la ISO.
III. DESARROLLO Y DIFUSIÓN DE LOS
ESTÁNDARES ISO/IEC 27001 E ISO/IEC 27002
A. Desarrollo de los Estándares
A semejanza de otras normas ISO, ISO/IEC 27000
[11]. Es un conjunto de estándares desarrollados (o en
fase de desarrollo) por ISO (Organización Internacional
de Normalización) e IEC (Comisión Electrotécnica
Internacional), que proporcionan un marco de gestión de
la seguridad de la información utilizable por cualquier tipo
de organización, pública o privada, grande o pequeña e
indica cómo puede una organización implantar un sistema
de gestión de seguridad de la información (SGSI) basado
en ISO 27001 en conjunto con otras normas de la serie
27k pero también con otros sistemas de gestión.
Desde 1901, y como primera entidad de normalización
a nivel mundial, BSI (Instituto Británico de
Normalización,) por sus siglas en inglés. Es el responsable
de la publicación de importantes normas.
La norma BS 7799 de BSI apareció por primera vez en
1995 ver Figura 1, con objeto de proporcionar a cualquier
empresa (británica o no) un conjunto de buenas prácticas
para la gestión de la seguridad de su información. La
primera parte de la norma (BS 7799-1) fue una guía de
buenas prácticas, para la que no se establecía un esquema
de certificación. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que estableció los
requisitos de un sistema de seguridad de la información
(SGSI) para ser certificable por una entidad
independiente.
Las dos partes de la norma BS 7799 se revisaron en
1999 y la primera parte se adoptó por ISO, sin cambios
sustanciales, como ISO 17799 en el año 2000. En 2002,
se revisó BS 7799-2 para adecuarse a la filosofía de
normas ISO de sistemas de gestión. En 2005, con más de
1700 empresas certificadas en BS 7799-2, esta norma se
publicó por ISO, con algunos cambios, como estándar
ISO 27001. Al tiempo se revisó y actualizó ISO 17799.
Esta última norma se renombró como ISO 27002:2005 el
1 de Julio de 2007, manteniendo el contenido así como el
año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de
ISO 27001:2005, BSI publicó la BS 7799-3:2006,
centrada en la gestión del riesgo de los sistemas de
información. La revisión más reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es
ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo,
ISO ha continuado, y continúa aún, desarrollando otras
normas dentro de la serie 27k que sirvan de apoyo a las
organizaciones en la interpretación e implementación de
ISO/IEC 27001, que es la norma principal y única
certificable dentro de la serie.
Historia de las normas ISO/IEC 27001 e ISO/IEC
27002
Figura 1. Desarrollo de las normas ISO 27001 e ISO
27002 [12].
B. La difusión actual y Certificación de la Norma
ISO/IEC 27001
El número de certificaciones ha aumentado
considerablemente en los últimos años como
demostración de la relevancia que tiene la protección de la
información para el desarrollo de las actividades de las
organizaciones y para mantener y desarrollar el tejido
industrial de los diferentes países y en todo el mundo.
La norma ISO 27001, al igual que su antecesora BS
7799-2, es certificable. Esto quiere decir que la
organización que tenga implantado un SGSI puede
solicitar una auditoría a una entidad certificadora
acreditada y, caso de superar la misma con éxito, obtener
una certificación del sistema según ISO 27001.
Al final del año 2013 en todo el mundo hubo 22293
ver Figura 2 certificaciones según la norma ISO 27001
[5]. Un crecimiento del 14% (2673), se había emitido en
105 países y economías, dos más que en el año anterior.
Los tres países principales para el número total de
certificados emitidos fueron Japón, la India y el Reino
Unido, mientras que los tres primeros para el crecimiento
en el número de certificados en el 2013 fueron Italia, la
India y el Reino Unido[5].
Existe información regular aportada por ISO en el
documento encuestas realizadas por ISO [6] donde se
informa de manera detallada el resultado en el número de
certificaciones acreditadas con referencia a las regiones,
países, sectores industriales de mayor implantación, entre
otros, para la ISO/IEC 27001 como para otros sistemas de
gestión ver Figura 3.
Certificaciones de la Norma ISO/IEC 27001
3. Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5]
Evolución de las Certificaciones ISO / IEC 27001
Figura 3. Distribución mundial de la norma ISO/IEC 27001
certificados en 2013 [6].
C. Entidades Certificadoras.
Las entidades de certificación son organismos de
evaluación de la conformidad, encargados de evaluar y
realizar una declaración objetiva de que los servicios y
productos cumplen unos requisitos específicos.
Existen numerosas entidades de certificación en cada
país, ya que se trata de una actividad empresarial privada
con un gran auge en el último par de décadas, debido a la
creciente estandarización y homologación de productos y
sistemas en todo el mundo. La organización que desee
certificarse puede contactar a diversas entidades
certificadoras y solicitar presupuesto por los servicios
ofrecidos, comparando y decidiéndose por la más
conveniente, como hace con cualquier otro producto o
servicio.
Para que las entidades de certificación puedan emitir
certificados reconocidos, han de estar acreditadas. Esto
quiere decir que un tercero, llamado organismo de
acreditación, comprueba, mediante evaluaciones
independientes e imparciales, la competencia de las
entidades de certificación para la actividad objeto de
acreditación. En cada país suele haber una sola entidad de
acreditación (en algunos, hay más de una), a la que la
Administración encarga esa tarea.
La acreditación de entidades de certificación para
ISO/IEC 27001 o para BS 7799-2 -antes de derogarse
solía hacerse en base al documento EA 7/03 "Directrices
para la acreditación de organismos operando programas
de Certificación/Registro de sistemas de gestión de
seguridad en la información". La aparición de la norma
ISO/IEC 27006 ha supuesto la derogación del anterior
documento. En el caso de ISO 27001, certifican, mediante
la auditoría, que un sistema de gestión de seguridad de la
información SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo
detallado en la norma.
Las entidades de acreditación establecen acuerdos
internacionales para facilitar el reconocimiento mutuo de
acreditaciones y el establecimiento de criterios comunes.
Para ello, existen diversas asociaciones.
IV. ISO/IEC 27001
A. Concepto .
Publicada el 15 de Octubre de 2005, revisada el 25 de
Septiembre de 2013. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad
de la información. Tiene su origen en la BS 7799-2:2002
(que ya quedó anulada) y es la norma con arreglo a la cual
se certifican por auditores externos los SGSI de las
organizaciones. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005, para que sean
seleccionados por las organizaciones en el desarrollo de
sus SGSI.
El eje central de ISO 27001 es proteger la
confidencialidad, integridad y disponibilidad de la
información en una empresa. Esto lo hace investigando
cuáles son los potenciales problemas que podrían afectar
la información (es decir, la evaluación de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos
problemas se produzcan (es decir, mitigación o
tratamiento del riesgo). Por lo tanto, la filosofía principal
de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos ver figura 4 y luego
tratarlos sistemáticamente.
Figura 4. Estructura ISO/IEC 27001 [3].
Como este tipo de implementación demandará la
gestión de múltiples políticas, procedimientos, personas,
bienes, etc., ISO/IEC 27001 ha detallado cómo
amalgamar todos estos elementos dentro del sistema de
gestión de seguridad de la información (SGSI).
ISO/IEC 27001 se divide en 11 secciones más el
anexo A; las secciones 0 a 3 son introductorias (y no son
obligatorias para la implementación), mientras que las
secciones 4 a 10 son obligatorias, lo que implica que una
organización debe implementar todos sus requerimientos
si quiere cumplir con la norma. Los controles del Anexo
A deben implementarse sólo si se determina que
corresponden en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas
ISO/IEC de la Organización Internacional para la
4. Normalización, los títulos de las secciones de ISO 27001
son los mismos que en ISO 22301:2012, en la nueva ISO
9001:2015 y en otras normas de gestión, lo que permite
integrar más fácilmente estas normas.
Sección 0 – Introducción: Explica el objetivo de
ISO 27001 y su compatibilidad con otras normas
de gestión.
Sección 1 – Alcance: Explica que esta norma es
aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas: Hace
referencia a la norma ISO/IEC 27000 como
estándar en el que se proporcionan términos y
definiciones.
Sección 3 – Términos y definiciones: De nuevo,
hacen referencia a la norma ISO/IEC 27000.
Sección 4 – Contexto de la organización: Esta
sección es parte de la fase de Planificación del
ciclo PDCA (Planificación, Implementación,
Revisión y Mantenimiento; por sus siglas en
inglés), define los requerimientos para
comprender cuestiones externas e internas,
también define las partes interesadas, sus
requisitos y el alcance del SGSI.
Sección 5 – Liderazgo: Esta sección es parte de
la fase de Planificación del ciclo PDCA y define
las responsabilidades de la dirección, el
establecimiento de roles y responsabilidades y el
contenido de la política de alto nivel sobre
seguridad de la información.
Sección 6 – Planificación: Esta sección es parte
de la fase de Planificación del ciclo PDCA y
define los requerimientos para la evaluación de
riesgos, el tratamiento de riesgos, la Declaración
de aplicabilidad, el plan de tratamiento de riesgos
y la determinación de los objetivos de seguridad
de la información.
Sección 7 – Apoyo: Esta sección es parte de la
fase de Planificación del ciclo PDCA y define los
requerimientos sobre disponibilidad de recursos,
competencias, concienciación, comunicación y
control de documentos y registros.
Sección 8 – Funcionamiento: Esta sección es
parte de la fase de Planificación del ciclo PDCA
y define la implementación de la evaluación y el
tratamiento de riesgos, como también los
controles y demás procesos necesarios para
cumplir los objetivos de seguridad de la
información.
Sección 9 – Evaluación del desempeño: Esta
sección forma parte de la fase de Revisión del
ciclo PDCA y define los requerimientos para
monitoreo, medición, análisis, evaluación,
auditoría interna y revisión por parte de la
dirección.
Sección 10 – Mejora: Esta sección forma parte
de la fase de Mejora del ciclo PDCA y define los
requerimientos para el tratamiento de no
conformidades, correcciones, medidas
correctivas y mejora continua.
Anexo A: Este anexo proporciona un catálogo de
114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones A.5 a
A.18).
B. Beneficios
Hay 4 ventajas comerciales esenciales que una
empresa puede obtener con la implementación de esta
norma para la seguridad de la información:
Cumplir con los requerimientos legales: cada vez hay
más y más leyes, normativas y requerimientos
contractuales relacionados con la seguridad de la
información. La buena noticia es que la mayoría de ellos
se pueden resolver implementando ISO 27001 ya que esta
norma le proporciona una metodología perfecta para
cumplir con todos ellos.
Obtener una ventaja comercial: si su empresa obtiene
la certificación y sus competidores no, es posible que
usted obtenga una ventaja sobre ellos ante los ojos de los
clientes a los que les interesa mantener en forma segura su
información.
Menores costos: la filosofía principal de ISO 27001 es
evitar que se produzcan incidentes de seguridad, y cada
incidente, ya sea grande o pequeño, cuesta dinero; por lo
tanto, evitándolos su empresa va a ahorrar mucho dinero.
Y lo mejor de todo es que la inversión en ISO 27001 es
mucho menor que el ahorro que obtendrá.
Una mejor organización: en general, las empresas de
rápido crecimiento no tienen tiempo para hacer una pausa
y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qué
hay que hacer, cuándo y quién debe hacerlo. La
implementación de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no están
relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados.
C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001
La norma ISO 27001 fue publicada por primera vez en
2005 y luego fue revisada en 2013; por lo tanto, la
versión válida actual es la ISO/IEC 27001:2013 [9]. Los
cambios más importantes de la revisión 2013 están
relacionados con la estructura de la parte principal de la
norma, las partes interesadas, los objetivos, el monitoreo
y la medición; asimismo, el Anexo A ha disminuido la
cantidad de controles (de 133 a 114) y ha incrementado la
cantidad de secciones (de 11 a 14). En la revisión 2013 se
eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados
procedimientos.
Sin embargo, todos estos cambios en realidad no
modificaron mucho la norma en su conjunto, su filosofía
principal sigue centrándose en la evaluación y
tratamiento de riesgos y se mantienen las mismas fases
del ciclo de Planificación, Implementación, Revisión y
Mantenimiento (PDCA) [11]. Esta nueva revisión de la
norma es más fácil de leer y comprender y es mucho más
sencilla de integrar con otras normas de gestión como
ISO 9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC
27001:2005 deben hacer la transición a la nueva revisión
2013 hasta septiembre de 2015 si quieren mantener la
validez de su certificación.
D. Ciclo Deming en la norma ISO/IEC 27001
Para establecer y gestionar un Sistema de Gestión de
la Seguridad de la Información en base a ISO 27001, se
5. utiliza el ciclo continuo PDCA, tradicional en los
sistemas de gestión de la calidad [11]. El ciclo PDCA,
ciclo de Deming o ciclo de mejora continua es uno de los
temas que con más frecuencia aparece en el mundo
moderno de TI, tanto así que se ha ido incorporando a la
definición de estándares y mejores prácticas como ISO-
27001 o ITIL.
ISO-27001 se creó teniendo en cuenta un proceso de
seguridad de la información basada en el famoso ciclo de
Deming ciclo de mejora continua o ciclo PDCA (por las
iniciales de Plan, Do, Check y Act), creando con ello lo
que se llamó el Sistema de Gestión de la Seguridad de la
Información.
Ciclo Deming o Mejora Continua
Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11].
E. Procesos de Certificación
Para certificar su empresa según esta norma
internacional deberá conocer el proceso completo. Todos
los procesos deben cumplir los requerimientos de la
norma. Además, puede ser necesario añadir nuevos
procesos requeridos por este estándar internacional [10].
Existen dos tipos de certificados ISO/IEC 27001: para
las organizaciones y para las personas. Las organizaciones
pueden obtener la certificación para demostrar que
cumplen con todos los puntos obligatorios de la norma;
las personas pueden hacer el curso y aprobar el examen
para obtener el certificado.
Para obtener la certificación como organización,
Defina y documente correctamente los procesos, defina
indicadores y comience su medición, registre la actividad
de su empresa y forme a sus empleados para que
conozcan y ejecuten los procesos tal como se ha definido.
Por otro lado, trabajar con una empresa de consultoría
experta en ISO/IEC 27001 le ayudará:
A comprender mejor la norma y lo que pide.
A implementar los procesos con la experiencia del
equipo consultor, de manera que sea más fácil
implantarlos y aporte más valor a su empresa.
Reducir el tiempo de implantación al estar mucho
más enfocados.
A incrementar sus posibilidades a la hora de
certificarse.
Una vez haya implantado el estándar y esté
funcionando un tiempo, es decir, existan todas las
evidencias necesarias para que el auditor pueda
comprobar que efectivamente el SGSI de la empresa está
conforme a la norma ISO/IEC 27001 y hay registros e
indicadores que evidencian la implantación, el control, el
gobierno y sobretodo la mejora continua, usted puede
contactar con la certificadora para contratar la auditoría de
certificación.
La auditoría de certificación consiste en que la
empresa será auditada por un equipo auditor externo, que
vendrá a nuestra empresa y revisará si efectivamente
cumplimos los requerimientos de la norma. Si es así,
emitirá su recomendación para certificarnos y
obtendremos el sello de la certificadora como que
cumplimos con la ISO/IEC 27001 ver Figura 5.
En la FASE 1 el equipo auditor revisará toda la
documentación que conforma el SGSI de la organización
y realizará observaciones sobre potenciales no
conformidades.
En la FASE 2 el equipo auditor revisa ya toda la
organización, para comprobar si existen las evidencias de
que mantenemos un SGSI según la norma.
La certificación de un SGSI es un proceso mediante el
cual una entidad de certificación externa, independiente y
acreditada audita el sistema, determinando su
conformidad con ISO/IEC 27001, su grado de
implantación real y su eficacia y, en caso positivo, emite
el correspondiente certificado.
Certificación en la Norma ISO/IEC 27001
Figura 6. Proceso de implantación y certificación en la
norma ISO/IEC 27001 [10].
La implantación de un SGSI apropiado puede tomar
algunos meses a varios años, dependiendo en gran medida
de la madurez de la gestión de la seguridad de TI dentro
de una organización. Aquellas empresas y organizaciones
que hayan evolucionado según las prácticas señaladas por
COBIT o ITIL están más cerca de adaptarse y lograr la
certificación.
Existen algunas alternativas nacionales como La
Oficina Nacional de Gobierno Electrónico e Informática
(ONGEI) para las empresas peruanas que requieran
certificarse en la Norma Técnica Peruana (NTP-ISO/IEC
27001:2008 Tecnología de la Información: Sistemas de
Gestión de Seguridad de la Información. Requisitos),
Podrán realizar dicha certificación de forma opcional y
con recursos propios de cada entidad [7]. Cuyos controles
deberán ser implementados de acuerdo a las
recomendaciones de la Norma Técnica Peruana NTP-
ISO/IEC 17799:2007 EDI Tecnología de la Información:
Código de Buenas Prácticas para la gestión de la
Seguridad de la Información. 2da edición, dispuesto por la
RM 246-2007-PCM.
V. ISO/IEC 27002
Desde el 1 de Julio de 2007, es el nuevo nombre de
ISO 17799:2005, manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que describe los objetivos
de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene
39 objetivos de control y 133 controles, agrupados en 11
dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo
que resume los controles de ISO 27002:2005.
6. La ISO/IEC 27002:2013 proporciona directrices para
las normas de seguridad de información de la
organización y las buenas prácticas de gestión de
seguridad de la información, incluyendo la selección,
implementación y gestión de los controles, teniendo en
cuenta el medio ambiente riesgo seguridad de la
información de la organización (s) [8].
Está diseñado para ser utilizado por las organizaciones
que pretenden:
Seleccionar los controles dentro del proceso de
implantación de un Sistema de Gestión de
Seguridad de la Información basado en ISO / IEC
27001;
Implementar controles de seguridad de la
información generalmente aceptadas;
Desarrollar sus propias directrices de gestión de
seguridad de información.
La norma ISO/IEC 27002:2005 comprende la norma
ISO/IEC 17799:2005. Establece los lineamientos y
principios generales para iniciar, implementar, mantener y
mejorar la gestión de seguridad de la información en una
organización. Los objetivos trazados proporcionan una
guía general sobre los objetivos comúnmente aceptados de
gestión de la seguridad de la información. ISO/IEC
27002:2005 contiene las mejores prácticas de los
objetivos de control y controles en las siguientes áreas de
gestión de seguridad de la información:
política de seguridad;
organización de la seguridad de la información;
gestión de activos;
recursos humanos de seguridad;
seguridad física y ambiental;
comunicaciones y gestión de operaciones;
control de acceso;
los sistemas de información de adquisición,
desarrollo y mantenimiento;
información de gestión de incidentes de
seguridad;
gestión de la continuidad del negocio;
cumplimiento.
Los objetivos de control en ISO/IEC 27002:2005 están
destinadas a ejecutarse para satisfacer los requisitos
identificados por una evaluación de riesgos. ISO/IEC
27002:2005 pretende ser una base común y guía práctica
para el desarrollo de estándares de seguridad de la
organización y las prácticas eficaces de gestión de la
seguridad, y para ayudar a construir la confianza en las
actividades interinstitucionales [9].
VI. CONCLUSIONES
La información y los sistemas de están expuestos a
riesgos de seguridad cada vez más. A través del aumento
del apoyo a los procesos de negocio que ofrece la
tecnología de información, así como el aumento del nivel
de la creación de redes dentro de las empresas y con las
partes externas. Un SGSI efectivo ayuda a reducir los
riesgos y prevenir las violaciones de seguridad.
Las normas ISO/IEC 27001 y 27002 constituyen un
marco para diseñar y operar un SGSI, basados en
experiencias duraderas de desarrollo. Con estas normas se
les ofrece a las empresas la oportunidad de alinear sus
procedimientos y métodos de TI para garantizar un nivel
adecuado de seguridad de la información con una norma
internacional.
La certificación de un SGSI según ISO/IEC 27001
también proyecta una imagen positiva a través de la
verificación de un sistema de gestión de seguridad de la
información. Esta norma también es llamada como un
punto de referencia y una base para la evaluación en
materia de seguridad de la información aquí un certificado
según la norma ISO/IEC 27001 demuestra una disposición
con respecto a los servicios de seguridad de la
información. Las organizaciones pueden demostrar que
los servicios de TI son seguros.
Las normas ISO 27001 y 27002 han sido ampliamente
difundidos en Europa, América del norte y Asia. La
importancia de la certificación de seguridad de la
información cumple con las decisiones que una empresa
brinda sus servicios en TI.
REFERENCIAS
[1] A. Alexander C. Pelnekar, “Diseño de un sistema de gestión de
seguridad de información,” Alfaomega, 2007, pp. 9-25.
[2] E. Humphreys, “Information Security Management System
Standards, Normas en Sistemas de Gestión de Seguridad de la
Información” Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 7-
11.
[3] ISO 27001, “Tecnología de la Información, Técnicas de
Seguridad, Sistemas de gestion de seguridad de la Información ,
Requisitos,” Organización Internacional de Normalización, ISO,
Ginebra, 2009.
[4] ISO 27002, "Tecnología de la Información, Técnicas de
Seguridad, Código de Prácticas para la Gestión de Seguridad,"
Organización Internacional de Normalización, ISO, Ginebra,
2009.
[5] ISO, “The ISO Survey of Management System Standard
Certifications 2013, Executive summary,” Available:
http://www.iso.org/iso/iso_survey_executive-
summary.pdf?v2013. [Último acceso: 21 Noviembre 2014].
[6] ISO, «ISO Survey, estudio realizado por ISO» ISO, 2013.
Available:
http://www.iso.org/iso/home/standards/certification/iso-
survey.htm?certificate=ISO/IEC%2027001&countrycode=#standa
rdpick. [Último acceso: 15 noviembre 2014].
[7] ONGEI, “Norma tecnica peruana NTP-ISO/IEC 27001:2008”.
Available http://www.ongei.gob.pe/docs/isoiec27001.pdf. [Último
acceso: 12 noviembre 2014]
[8] ISO,”ISO/IEC 27002:2013” Available:
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail
_ics.htm?csnumber=54533 [Último acceso: 23 Noviembre 2014].
[9] ISO,”ISO/IEC 27002:2015” Available:
http://www.iso.org/iso/catalogue_detail?csnumber=50297 [Último
acceso: 25 Noviembre 2014].
[10] C. Pelnekar, “Planificación y ejecución de la ISO 27001,Planning
for and Implementing ISO 27001,” ISACA Journal, Vol. 4, No. 4,
2011, pp. 1-8.
[11] ISO 27000, "Tecnología de la Información, Técnicas de
Seguridad, Código de Prácticas para la Gestión de Seguridad,"
Información general y Vocabulario Organización Internacional de
Normalización, ISO, Ginebra, 2009.
[12] A López y J Ruiz, ”Historia ISO 27001” Available:
www.iso27000.es/download/HistoriaISO27001.pps [Último
acceso: 23 Noviembre 2014].
[13] ISO, "Técnicas de seguridad de TI,". Available: www.iso.org
[Último acceso: 24 Noviembre 2014].
[14] A López y J Ruiz, ”Historia ISO 27001” Available:
www.iso27000.es/download/HistoriaISO27001.pps [Último
acceso: 23 Noviembre 2014].