Este documento describe la familia de estándares ISO 27000, que proporciona un marco para la gestión de la seguridad de la información. Explica varios estándares clave como ISO 27001, que contiene los requisitos para un sistema de gestión de seguridad de la información, ISO 27002, que provee directrices de buenas prácticas, e ISO 27005 que establece directrices para la gestión de riesgos en la seguridad de la información. Además, cubre otros estándares relacionados con la medición, certificación y sect

1. ISO 27000GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓNJULIANA BERMÚDEZ HENAO

2. ¿Qué es ISO 27000 ?Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.

3. ISO 27000ESTA NORMA CONTIENE TÉRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIÓN DE CUALQUIER ESTÁNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TÉCNICOS Y DE GESTIÓN.

4. ISO 27001Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.Este estándar internacional ha sidopreparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).Este estándar promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.

5. Este estándar adopta el modelo de proceso Planear-hacer-chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos SGSI.

6. PDCA

8. PRINCIPALES CLAVES PARA IMPLANTAR LA ISO 27001Identificar los objetivos de negocio

9. Seleccionar un alcance adecuado

10. Determinar el nivel de madurez ISO 27001

11. Analizar el retorno de inversiónTérminos y definiciones: Confidencialidad: la propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados.

12. Seguridad de información: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad.

13. Sistema de gestión de la seguridad de la información: esa parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la informaciónISO 27002Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

15. La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:

16. ISO 27003Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

17. ISO 27004Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

18. “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.

19. MEDICIONES EN UN SGSGI : Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que es un ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al “Do” (Implementación y operación de SGSI), como una entrada para el “Check” (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del “Act”.EL MODELO Y MÉTODO PARA LAS MEDICIONES DE SEGURIDAD:Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información.3. DEFINICIÓN Y SELECCIÓN DE LAS MEDICIONES EN UN SGSI: La norma especifica también, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles.

20. 4. OPERACIÓN DE LAS MEDICIONES DEL SGSI (FASE DO: HACER) :La fase “Do” es una de las que establece el enlace entre las mediciones que resultan adecuadas para cubrir en la organización en un momento dado.5. MEJORAS DE LAS MEDICIONES DEL SGSI (FASES CHECK Y ACT: MONITORIZAR/AUDITAR Y ACTUAR):Las fases “Check” y “Act” facilitarán las mejoras y reencauces de los procesos de medición, y permitirán el análisis de la información de mediciones disponibles y su apoyo para la toma de decisiones.6. LA DIRECCIÓN. La Dirección debería establecer y mantener acuerdos en sus mediciones. Su implementación debe ser acorde a lo que establecen los estándares internacionales, teniendo en cuenta la aceptación de los requerimientos de mediciones.

21. ISO 27005Establece las directrices para la gestión del riesgo en la seguridad de la información.Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.

22. ISO 27006Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.