Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
2. 27000
Contenido
• ¿Qué es ISO?
• ¿Qué es la Norma ISO 27000?
• ¿Quiénes conforman la familia ISO 27000?
• ¿Qué se gana con ISO 27000?
• ¿En qué tipo de organizaciones se puede
implantar ISO 27000?
• ¿Qué ventajas trae ISO 27000?
• ¿Qué hacer para implantar ISO 27000?
Normas ISO 27000 1Dr Luis Castellanos
4. 27000
¿Qué es ISO?
ISO representa las siglas de la
“International Standarization
Organization” (Organización
Internacional para la
Normalización), cuya sede se
encuentra en Suiza.
Normas ISO 27000 3Dr Luis Castellanos
5. 27000
¿Qué es ISO?
Creada tras la Segunda Guerra
Mundial (23 de febrero de 1947), es
el organismo encargado de
promover el desarrollo de normas
internacionales de fabricación,
comercio y comunicación para todas
las ramas industriales, a excepción
de la eléctrica y la electrónica.
Normas ISO 27000 4Dr Luis Castellanos
6. 27000
¿Qué es ISO?
Su función principal es la
de buscar la
estandarización de normas
de productos y seguridad
para las empresas u
organizaciones a nivel
internacional.
Normas ISO 27000 5Dr Luis Castellanos
7. 27000
¿Qué es ISO?
Las normas desarrolladas por
ISO son voluntarias,
comprendiendo que ISO es un
organismo no gubernamental
y no depende de ningún otro
organismo internacional, por
lo tanto, no tiene autoridad
para imponer sus normas a
ningún país.
Normas ISO 27000 6Dr Luis Castellanos
8. 27000
¿Qué es ISO?
ISO ha establecido más de 17000 estándares
internacionales en materias que van desde el tamaño
de las hojas de papel común (norma ISO 216) al uso
de ISBN en libros (norma ISO 2108).
Normas ISO 27000 7Dr Luis Castellanos
9. 27000
¿Qué es ISO?
Como en estos dos casos, muchas de las normas ISO son de
uso requerido en Venezuela para la producción de
determinados bienes por ser estándares internacionales
aceptados.
De hecho, la certificación de empresas
venezolanas bajo las normas ISO, en
muchos casos, son obligatorias si desean
competir en el mercado internacional,
conseguir contratos, o simplemente
publicitar la calidad de sus productos.
Normas ISO 27000 8Dr Luis Castellanos
10. 27000
¿Qué es ISO?
Algunos estándares, sin embargo, son nominativos y
simplemente buscan hacer más fácil la transmisión de
información. De estas normas las más características
son la ISO 3166-1 (códigos para identificar países) y su
derivada, la norma 4217, el estándar internacional para
describir las divisas del mundo.
Normas ISO 27000 9Dr Luis Castellanos
11. 27000
¿Qué es ISO?
En Venezuela, FONDONORMA,
asociación civil sin fines de lucro,
fue creada en 1973 con el fin de
desarrollar las actividades de
normalización y certificación en
todos los sectores industriales y
de servicios, y de formar
recursos humanos en dichas
especialidades.
Normas ISO 27000 10Dr Luis Castellanos
13. 27000
¿Qué es la Norma ISO 27000?
La norma ISO 27000 es
una norma internacional y
abierta, cuyo objetivo es
establecer los requisitos
mínimos con los que debe
cumplir un Sistema de
Gestión de la Seguridad de
la Información (SGSI) en
una organización.
Normas ISO 27000 12Dr Luis Castellanos
14. 27000
¿Qué es la Norma ISO 27000?
Al igual que muchas
normas ISO, la norma ISO
27000 se basa en la
aplicación del ciclo PDCA
(Plan-Do-Check-Act, Plani-
fica-Ejecuta-Supervisa-
Actúa) para la mejora del
SGSI en la organización.
Normas ISO 27000 13Dr Luis Castellanos
15. 27000
¿Qué es la Norma ISO 27000?
Implantando y certificando
la norma ISO 27000 para el
SGSI de la organización se
puede demostrar de
manera independiente que
la entidad cumple con los
requisitos mínimos para
asegurar la seguridad de la
información.
Normas ISO 27000 14Dr Luis Castellanos
17. 27000
¿Quiénes conforman la familia ISO
27000?
Normas ISO 27000 16Dr Luis Castellanos
http://www.ideasparapymes.com/red-proveedores/productos/ISO%2027000.png
18. 27000
¿Qué es la Norma ISO 27000?
• ISO 27000 - vocabulario estándar para el SGSI.
• ISO 27001 - especifica los requisitos para la
implantación del SGSI.
•ISO 27002 - código de buenas prácticas para la gestión
de seguridad de la información.
•ISO 27003 - directrices para la implementación del SGSI.
Normas ISO 27000 17Dr Luis Castellanos
19. 27000
¿Qué es la Norma ISO 27000?
• ISO 27004 - métricas para la gestión de seguridad de la
información.
• ISO 27005 - gestión de riesgos en seguridad de la
información.
• ISO 27006 - requisitos para acreditación de
organizaciones que proporcionan certificación de SGSI.
Normas ISO 27000 18Dr Luis Castellanos
20. 27000
¿Qué es la Norma ISO 27000?
• ISO 27007 - Es una guía para auditar al SGSI.
• ISO 27799 - Es una guía para implementar ISO
27002 en la industria de la salud.
• ISO 27035 - actividades de: detección, reporte y
evaluación de incidentes de seguridad y sus
vulnerabilidades.
Normas ISO 27000 19Dr Luis Castellanos
22. 27000
¿Qué se gana con ISO 27000?
Implantar la norma ISO 27000
permite a las organizaciones
demostrar que dispone de los
controles y procedimientos
adecuados para asegurar el
tratamiento seguro de los
datos y la información con la
que se trata.
Normas ISO 27000 21Dr Luis Castellanos
23. 27000
¿Qué se gana con ISO 27000?
Además, cuenta con un
ciclo PDCA, que
asegura la mejora
continua en lo que
respecta a los
controles de seguridad
establecidos en la
organización.
Normas ISO 27000 22Dr Luis Castellanos
24. 27000
¿Qué se gana con ISO 27000?
Además, implantando la
norma ISO 27000 en la
organización se obtiene
un importante elemento
diferenciador, que a un
costo bajo permite
destacar sobre la
competencia a la hora de
pujar sobre una oferta
Normas ISO 27000 23Dr Luis Castellanos
25. ¿En qué tipo de organizaciones
se puede aplicar la Norma ISO
27000?
26. 27000
¿En qué tipo de organizaciones se
puede aplicar la Norma ISO 27000?
Esta norma puede aplicarse a
cualquier organización para
la que la información con la
que trata sea importante. Por
lo tanto, prácticamente
cualquier organización que
cuente con sistemas de
información debería
plantearse implantar la
norma ISO 27000.
Normas ISO 27000 25Dr Luis Castellanos
27. 27000
¿En qué tipo de organizaciones se
puede aplicar la Norma ISO 27000?
No existe limitación en
cuanto al tamaño de la
organización.
Implantando la norma ISO
27000 se establecerán
controles y procedimientos
adecuados a cada
organización, en función de
su capacidad para
implantarlos.
Normas ISO 27000 26Dr Luis Castellanos
28. 27000
¿En qué tipo de organizaciones se
puede aplicar la Norma ISO 27000?
Normas ISO 27000 27Dr Luis Castellanos
Existen 88.268 empresas certificadas con ISO 27000, en el mundo
229
699
2.041 24.704
1.283
7.526
51.787
Fuente: ISO Data Survey 2012
29. 27000
¿En qué tipo de organizaciones se
puede aplicar la Norma ISO 27000?
Normas ISO 27000 28Dr Luis Castellanos
Argentina: 77
Chile: 76
Bolivia: 6
Perú: 31
Ecuador: 6
Colombia: 144
Uruguay: 24
Brasil: 267
Guyana: 2
Venezuela: 1
Cuba: 4Barbados: 2
Pto Rico: 10
Jamaica: 2
Rep Dominicana: 7
Panamá: 4
Costa Rica: 27
Honduras: 2
El Salvador: 3
Guatemala: 3
699Empresas en
Latinoamérica
Fuente: ISO Data Survey 2012
Trinidad: 1
31. 27000
¿Cuáles son las ventajas de aplicar
la Norma ISO 27000?
• Aseguramiento de la seguridad
de la información, lo que aumenta la
confianza por parte del cliente
• Elemento diferenciador, que
permite destacar sobre la
competencia
• Cumplimiento de las normativas
legales relativas a la protección de
datos, lo que permite reducir los
problemas con clientes y usuarios
Normas ISO 27000 30Dr Luis Castellanos
33. 27000
¿Qué hacer para implantar ISO
27000?
1. Lograr el compromiso de la
Gerencia.
2. Establecer y adiestrar el equipo
de Implantación.
3. Elaborar la documentación del
SGSI.
4. Auditar el SGSI.
Normas ISO 27000 32Dr Luis Castellanos
34. 27000
¿Qué hacer para implantar ISO
27000?
Sin el compromiso de la Gerencia,
el Sistema no tendrá el apoyo ni la
fuerza para su aceptación e
implantación en la organización.
El efecto del apoyo debe caer en
cascada, desde los niveles altos
hacia abajo en la organización.
Normas ISO 27000 33Dr Luis Castellanos
35. 27000
¿Qué hacer para implantar ISO
27000?
El equipo debe tener un líder establecido.
Todos los miembros deben ser designados
formalmente y deben recibir adiestramiento en
Gestión de ISO 27000, Documentación y Auditoría,
como mínimo.
Normas ISO 27000 34Dr Luis Castellanos
36. 27000
¿Qué hacer para implantar ISO
27000?
La documentación se debe elaborar
de la manera más sencilla posible.
• Piense lo que hace
• Escriba lo que piense
• Haga lo que escribió
Los manuales deben ser organismos
vivos, sujetos a constante
modificación, y disponibles para
todos los que los requieran.
Normas ISO 27000 35Dr Luis Castellanos
37. 27000
¿Qué hacer para implantar ISO
27000?
¿Qué se debe documentar?
• Evaluación y tratamiento de riesgos
• Políticas de Seguridad
• Aspectos Organizativos
• Gestión de Activos
• Seguridad del Talento Humano (antes y durante contratación)
• Seguridad física y ambiental
• Gestión de comunicaciones y operaciones
• Control de accesos
• Adquisición, desarrollo y mantenimiento de S.I.
• Gestión de incidentes de seguridad
Normas ISO 27000 36Dr Luis Castellanos
38. 27000
¿Qué hacer para implantar ISO
27000?
Se debe verificar, mediante
Auditorías, que el SGSI está apto
para funcionar.
Si se presentan No Conformidades,
se deben solucionar.
Se pueden hacer Auditorías Internas
para verificar, pero se deben hacer
Auditorías Externas para la
Certificación, por parte de los
organismos autorizados.
Normas ISO 27000 37Dr Luis Castellanos
39. 27000
¿Qué hacer para implantar ISO
27000?
Y, ¿en cuánto tiempo se hace?
Depende del compromiso, de los
recursos empleados, del
conocimiento, y de factores externos
que pueden influir.
En promedio se puede llevar de 12 a
18 meses para su implantación.
Normas ISO 27000 38Dr Luis Castellanos
40. 27000
¿Qué hacer para implantar ISO
27000?
Algunas empresas certificadas:
Banco Agrario
Banco de la República
Ecopetrol
Fiduciaria revisora
Inducol
Seguros La Equidad
Normas ISO 27000 39Dr Luis Castellanos
42. Normas ISO
27000: ¿para qué
sirven?
Dr Luis Castellanos
Gracias por su atención
https://lciso27000.wordpress.com/
http://luiscastellanos.org
luiscastellanos@yahoo.com
@lrcastellanos