1. ISO / IEC 27000 CMI Mario Hernández Instructor CISCO CCNA4º Nivel
2. ISO/IEC 27000-series La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
3. ISO La Organización Internacional para la Estandarización o ISO (del griego, ἴσος (isos), 'igual', y cuyo nombre en inglés es International OrganizationforStandardization), nacida tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
4. IEC La Comisión Electrotécnica Internacional (CEI o IEC, por sus siglas del idioma inglés International ElectrotechnicalCommission) es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).
5. ISO/IEC 27000-series La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación e incluyen:
6. ISO/IEC 27001 Es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre 2005.
7. ISO/IEC 27002 Informationtechnology - Security techniques - Code of practiceforinformationsecuritymanagement. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 01 de julio de 2007.
8. ISO/IEC 27003 Son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Se encuentra en preparación y probablemente sea publicada en éste año (2009).
9. ISO/IEC 27004 Son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Se encuentra preparación y probablemente sea publicada en éste año (2009).
10. ISO/IEC 27005 Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3. Publicada en Junio de 2008.
11. ¿Qué es ISO 27000 ? Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos para la especificación de sistemas de gestión de la seguridad de la información Proceso del análisis y gestión del riesgo Métricas y medidas de protección Guías de implantación Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.
12. Alcance ISO27000 General Cubre todos los tipos de organizaciones. También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio. Aplicación El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza.
13. SISTEMA DE ADMINISTRACION DE LA SEGURIDAD DE LA INFORMACIÓN Implantar el SASI Definir el alcance y las fronteras del SASI en términos de las características del negocio. Definir la aproximación a la evaluación del riesgo de la organización. Identificar los riesgos. Analizar y evaluar los riesgos. Identificar y evaluar opciones para el tratamiento de riesgos. Seleccionar objetivos de control y controles para el tratamiento de riesgos.
14. SISTEMA DE ADMINISTRACION DE LA SEGURIDAD DE LA INFORMACIÓN (cont.) Obtener aprobación de la gerencia de los riesgos remanentes propuestos. Preparar una declaración de aplicabilidad. Monitorear y revisar el SASI. Mantener y mejorar el SASI.
15. ¿Qué debe incluir el SASI? Enunciados documentados de la política del SASI y los objetivos; El alcance del SASI; Procedimientos y controles que soportan el SASI; Una descripción de la metodología de evaluación de riesgos; El reporte de evaluación de riesgos; El plan de tratamiento del riesgo; Procedimientos documentados necesarios para que la organización asegure una planeación, operación y control efectivo de sus procesos de seguridad de la información y describir como medir la efectividad de los controles; Registros requeridos por este Estándar Internacional; La declaración de aplicabilidad.
19. Áreas que se deben cubrir Marco de las normas de gestión de la seguridad de la información. Sistema de gestión de la seguridad de la información. Análisis y gestión de riesgos. Controles y salvaguardas. Métricas. Auditoria. Directrices de implantación de los sistemas de gestión de la seguridad de la información. Difusión y concienciación. Así también, cabe considerar aspectos tales como los siguientes: Productos y servicios. Política y procedimientos. Personal Seguridad Física Esquemas de Reporte.
20. Medidas del ISMS Objetivos Evaluar la efectividad de las medidas de seguridad del SMSI con respecto a las métricas preestablecidas. Evaluar el ISMS y su permanente actualización. Proveer una guía estándar para evaluar las revisiones, facilitar las mejoras y para proveer trazar para posibles auditorias Comunicar, dentro de la organización, la importancia de la seguridad. Ser una herramienta para el análisis y tratamiento del riesgo