Este documento describe la familia de estándares ISO 27000, que proporciona un marco para la gestión de la seguridad de la información. Explica varios estándares clave como ISO 27001, que contiene los requisitos para un sistema de gestión de seguridad de la información, ISO 27002, que provee directrices de buenas prácticas, e ISO 27005 que establece directrices para la gestión de riesgos en la seguridad de la información. Además, cubre otros estándares relacionados con la medición, certificación y sect

1. ISO 27000 GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN JULIANA BERMÚDEZ HENAO

2. ¿Qué es ISO 27000 ? Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.

3. ISO 27000 ESTA NORMA CONTIENE TÉRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIÓN DE CUALQUIER ESTÁNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TÉCNICOS Y DE GESTIÓN.

4. ISO 27001 Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Este estándar internacional ha sidopreparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Este estándar promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.

5. Este estándar adopta el modelo de proceso Planear-hacer-chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos SGSI.

6. PDCA

9. Seleccionar un alcance adecuado

10. Determinar el nivel de madurez ISO 27001

12. Seguridad de información: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad.

15. La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:

16. ISO 27003 Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

17. ISO 27004 Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

18. “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras” Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.

19. MEDICIONES EN UN SGSGI : Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que es un ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al “Do” (Implementación y operación de SGSI), como una entrada para el “Check” (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del “Act”. EL MODELO Y MÉTODO PARA LAS MEDICIONES DE SEGURIDAD: Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. 3. DEFINICIÓN Y SELECCIÓN DE LAS MEDICIONES EN UN SGSI: La norma especifica también, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles.

20. 4. OPERACIÓN DE LAS MEDICIONES DEL SGSI (FASE DO: HACER) : La fase “Do” es una de las que establece el enlace entre las mediciones que resultan adecuadas para cubrir en la organización en un momento dado. 5. MEJORAS DE LAS MEDICIONES DEL SGSI (FASES CHECK Y ACT: MONITORIZAR/AUDITAR Y ACTUAR): Las fases “Check” y “Act” facilitarán las mejoras y reencauces de los procesos de medición, y permitirán el análisis de la información de mediciones disponibles y su apoyo para la toma de decisiones. 6. LA DIRECCIÓN. La Dirección debería establecer y mantener acuerdos en sus mediciones. Su implementación debe ser acorde a lo que establecen los estándares internacionales, teniendo en cuenta la aceptación de los requerimientos de mediciones.

21. ISO 27005 Establece las directrices para la gestión del riesgo en la seguridad de la información. Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.

22. ISO 27006 Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

23. ISO 27011 Es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

24. Esta norma está orientada a los organismos que proporcionan procesos de apoyo e información en las telecomunicaciones, instalaciones de telecomunicaciones, redes y líneas y para los que éstos suponen importantes activos empresariales. La gestión de la seguridad de la información es sumamente necesario con el fin de que los organismos de telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y continuar con éxito sus actividades.

25. ISO 27799 Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002) Especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.