You are on page 1of 23

COMPILACION BIBLIOGRAFICA ISO serie 27000, ISO 17799

Presentado Por Juan Pablo Castro Toro

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIAS Ingeniera de Sistemas Y Computacin Octubre 6 de 2010 Manizales

COMPILACION BIBLIOGRAFICA ISO serie 27000, ISO 17799

Presentado por Juan Pablo Castro Toro

Presentado a Carlos Hernn Gmez Gmez

Asignatura Auditoria Informtica

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIAS Ingeniera de Sistemas Y Computacin Octubre 6 de 2010 Manizales

CONTENIDO
INTRODUCCION...4 MARCO TERORICO.5 HISTORIA Y EVOLUCION..5 ISO 17799..6 ISO 27000.10 RESUMEN.16 COPARACION COBIT, ISO17799 e ISO 27000..21 COCLUSIONES Y OBSERVACIONES22 BIBLIOGRAFIA23

INTRODUCCION
Si no hubiera estndares, muy pronto lo notaramos. Los estndares hacen una contribucin enorme a la mayora de los aspectos de nuestras vidas, aunque muy a menudo, esa contribucin es invisible, Por ejemplo, como compradores o usuarios de productos, muy pronto notamos cuando resultan estar de mala calidad, son incompatibles con el equipo existente, son no fiables o peligrosos. Cuando los productos alcanzan nuestras expectativas, tendemos para tomar esto por concedido. Somos generalmente inconscientes del papel desempeado de los estndares pues estos levantan los niveles de la calidad, seguridad, confiabilidad, eficacia, as como en el abastecimiento de tales ventajas en un costo econmico, por tal razn cientos de compaas de todo el mundo se basan en los estndares ISO que es el desarrollador ms grande del mundo de estndares. Aunque la actividad principal de la ISO es el desarrollo de estndares tcnicos, los estndares de ISO tambin tienen repercusiones econmicas y sociales importantes. Los estndares de ISO hacen una diferencia positiva, no solamente a los ingenieros y a los fabricantes para quienes solucionan problemas bsicos en la produccin y la distribucin, pero a la sociedad en su totalidad. Los estndares internacionales que la ISO desarrolla son muy tiles, Son tiles a las organizaciones industriales y de negocio de todos los tipos. Los estndares de ISO contribuyen a hacer el desarrollo, la fabricacin y la fuente de los productos y de los servicios ms eficientes, ms seguros y ms limpios. Hacen comercio entre los pases ms fcil y ms favorablemente. Proveen de gobiernos una base tcnica para la salud, la seguridad y la legislacin ambiental. Ayudan en tecnologa de transferencia a los pases en vas de desarrollo. Los estndares de ISO tambin sirven para salvaguardar consumidores, y a usuarios en general, de productos y de servicios , as como para hacer sus vidas ms simples. Cuando las cosas van bien, por ejemplo, cuando los sistemas, la maquinaria y los dispositivos trabajan bien y con seguridad, es entonces porque ellos llegan a cumplir con los estndares y la organizacin responsable de muchos millares de los estndares que benefician a sociedad alrededor del mundo es ISO.

MARCO TERORICO
La norma ISO 17799 es un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, esta norma surge como evolucin histrica de la norma britnica BS 7799 y actualmente existen varias adaptaciones de la misma que convergern en un futuro prximo a las normas de la serie ISO 27000. La ISO 17799 introduce un cambio importante en los sistemas de gestin de la seguridad de la informacin ya que los aborda desde un punto de vista de continuidad de negocio y de mejora continua. Esta norma hereda muchos conceptos de la serie de normas ISO 9000 y subraya la seguridad entendida como proceso. ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO e IEC que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea; Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

HISTORIA Y EVOLUCION

La estandarizacin Internacional comenz en el campo electrotcnico: la Comisin Electrotcnica Internacional (IEC) fue establecida en 1906. Iniciando el trabajo en otros campos fue realizado por la Federacin Internacional de la Organizacin Estandarizadora Nacional (ISA), que fue instalada en 1926. El nfasis dentro de ISA fue puesto pesadamente en la ingeniera industrial. Las actividades de ISA acabaron en 1942. En 1946, delegados de 25 pases se reunieron en Londres y decidieron crear una nueva organizacin internacional, de la cual el objeto sera "facilitar la coordinacin y la unificacin internacional de estndares industriales". La nueva organizacin, ISO, comenz oficialmente operaciones el 23 de febrero de 1947. Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: 1979 Publicacin BS 5750 - ahora ISO 9001 1992 Publicacin BS 7750 - ahora ISO 14001 1996 Publicacin BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa , britnica o no, un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte

(BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. WWW.ISO27000.ES 3En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin. En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.

ISO 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La versin de 2005 del estndar incluye las siguientes once secciones principales:

1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento.

La norma ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements) s es certificable y

especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin segn el famoso Crculo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 y tiene su origen en la norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propsito de poder certificar los Sistemas de Gestin de la Seguridad de la Informacin implantados en las organizaciones y por medio de un proceso formal de auditora realizado por un tercero.

En toda organizacin que haga uso de las tecnologas de informacin se recomienda implementar buenas prcticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementacin adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la informacin. Este estndar internacional de alto nivel para la administracin de la seguridad de la informacin, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. El ISO 17799, al definirse como una gua en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios de la seguridad informtica: Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la informacin. Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas. Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran. Estos principios en la proteccin de los activos de informacin constituyen las normas bsicas deseables en cualquier organizacin, sean instituciones de gobierno, educativas e investigacin; no obstante, dependiendo de la naturaleza y metas de las organizaciones, stas mostrarn especial nfasis en algn dominio o rea del estndar ISO 17799. El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organizacin, reducir al mnimo los daos causados por una contingencia, as como optimizar la inversin en tecnologas de seguridad.

Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules metodologas, normas o estndares tcnicos pueden ser aplicados en el sistema de administracin de la seguridad de la informacin, se puede entender que estos estndares son auxiliares y sern aplicados en algn momento al implementar el mismo. La aplicacin de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organizacin que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la informacin. Las polticas, estndares locales y los procedimientos se encuentran adaptados a las necesidades de la organizacin debido a que el proceso mismo de su elaboracin integra mecanismos de control y por ltimo, la certificacin permite a las organizaciones demostrar el estado de la seguridad de la informacin, situacin que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificacin BS7799. Es importante entender los principios y objetivos que dan vida al ISO 17799, as como los beneficios que cualquier organizacin, incluyendo las instituciones pblicas, privadas y ambientes educativos pueden adquirir al implementarlo en sus prcticas de seguridad de la informacin. El estndar de seguridad de la informacin ISO 17799, descendiente del BS 7799 Information Security Management Standard de la BSI (British Standard Institute) que public su primera versin en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes: Parte 1. Cdigo de prcticas. Parte 2. Especificaciones del sistema de administracin de seguridad de la informacin. Por la necesidad generalizada de contar con un estndar de carcter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elabor el estndar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Cdigo de Prcticas (BS 7799 Part 1: Code of Practice). El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el anlisis de riesgos identificar los activos de la informacin y las amenazas a las cuales se encuentra expuesta. El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la organizacin; este proceso se conoce en la jerga del estndar como Statement of Applicability, que es la definicin de los controles que aplican a la organizacin con objeto de proporcionar niveles prcticos de seguridad de la informacin y medir el cumplimiento de los mismos.

A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de esclarecer los objetivos de estos controles. Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad documentadas y procedimientos internos de la organizacin que permitan su actualizacin y revisin por parte de un Comit de Seguridad. Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organizacin, tales como un foro de administracin de la seguridad de la informacin, un contacto oficial de seguridad (Information System Security Officer ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos. Clasificacin y control de activos. El anlisis de riesgos generar el inventario de activos que deber ser administrado y controlado con base en ciertos criterios de clasificacin y etiquetado de informacin, es decir, los activos sern etiquetados de acuerdo con su nivel de confidencialidad. Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles a las acciones del personal que opera con los activos de informacin. El objetivo de esta rea del estndar es contar con los elementos necesarios para mitigar el riesgo inherente a la interaccin humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la informacin. Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en el tipo de seguridad establecida. Comunicaciones y administracin de operaciones. Integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones. Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas de la organizacin. Continuidad de las operaciones de la organizacin. El sistema de administracin de la seguridad debe integrar los procedimientos de

recuperacin en caso de contingencias, los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos. Requerimientos legales. La organizacin establecer los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los contratos o convenios. Cada una de las reas establece una serie de controles que sern seleccionados dependiendo de los resultados obtenidos en el anlisis de riesgos, adems, existen controles obligatorios para toda organizacin, como es el de las polticas de seguridad cuyo nmero depender ms de la organizacin que del estndar, el cual no establece este nivel de detalle.

ISO 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. En Espaa, esta norma an no est traducida. El original en ingls y su traduccin al francs pueden descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards. ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. a pesar de no ser obligatoria la implementacin de todos los controles, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001) o Mxico (NMX-I-041/02-NYCE). El original en ingls y la traduccin al francs pueden adquirirse eniso.org. Actualmente, este estndar se encuentra en

periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012. ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002),Chile (NCh-ISO27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012. ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse eniso.org ISO/IEC 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en ingls

puede adquirirse en iso.org. En Espaa, esta norma an no est traducida, sin embargo, s lo est en pases como Mxico (NMX-I-041/05-NYCE), Chile(NChISO27005) o Colombia (NTC-ISO-IEC 27005). ISO/IEC 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma an no est traducida, sin embargo, s lo est en Mxico (NMX-I-041/06-NYCE). ISO/IEC 27007: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO/IEC 27008: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en 2012. Es una norma en 2 partes, que consistir en una gua para la gestin de la seguridad de la informacin en comunicaciones inter-sectoriales. ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Est publicada tambin como norma ITU-T X.1051. En Espaa, an no est traducida. El original en ingls puede adquirirse eniso.org. ISO/IEC 27012: En fase de desarrollo, con publicacin prevista en 2011. Consistir en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestin de seguridad de la informacin en organizaciones que proporcionen servicios de e-Administracin.

ISO/IEC 27013: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC 27015: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC 27031: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO/IEC 27032: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua relativa a la ciberseguridad. ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e implementacin de seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-6, convergencia IP (prevista para 2012); 27033-7, redes inalmbricas (prevista para 2012). ISO/IEC 27034: En fase de desarrollo, con publicacin prevista en 2010. Consistir en una gua de seguridad en aplicaciones informticas. ISO/IEC 27035: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de gestin de incidentes de seguridad de la informacin. ISO/IEC 27036: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de seguridad de outsourcing (externalizacin de servicios).

ISO/IEC 27037: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de identificacin, recopilacin y preservacin de evidencias digitales. ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El original en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma est publicada en Espaa como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR.

Algunos beneficios que trae aplicar ISO 27000 son: Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial.

Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001L). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

El siguiente grafica nos muestra la forma correcta de adaptar ISO 27000

Por ejemplo: La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).

RESUMEN
La norma ISO 17799 es un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, esta norma surge como evolucin histrica de la norma britnica BS 7799 y actualmente existen varias adaptaciones de la misma que convergern en un futuro prximo a las normas de la serie ISO 27000. La ISO 17799 introduce un cambio importante en los sistemas de gestin de la seguridad de la informacin ya que los aborda desde un punto de vista de continuidad de negocio y de mejora continua. Esta norma hereda muchos conceptos de la serie de normas ISO 9000 y subraya la seguridad entendida como proceso. ISO/IEC 27000 es un conjunto de estndares desarrollados, o en fase de desarrollo- por ISO e IEC que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea; Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. La norma ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements) s es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin segn el famoso Crculo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 y tiene su origen en la norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propsito de poder certificar los Sistemas de Gestin de la Seguridad de la Informacin implantados en las organizaciones y por medio de un proceso formal de auditora realizado por un tercero. El ISO 17799, al definirse como una gua en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios de la seguridad informtica:

Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la informacin. Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas. Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran. El estndar de seguridad de la informacin ISO 17799, descendiente del BS 7799 Information Security Management Standard de la BSI (British Standard Institute) que public su primera versin en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes: Parte 1. Cdigo de prcticas. Parte 2. Especificaciones del sistema de administracin de seguridad de la informacin. Por la necesidad generalizada de contar con un estndar de carcter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elabor el estndar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Cdigo de Prcticas (BS 7799 Part 1: Code of Practice). El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el anlisis de riesgos identificar los activos de la informacin y las amenazas a las cuales se encuentra expuesta. El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la organizacin; este proceso se conoce en la jerga del estndar como Statement of Applicability, que es la definicin de los controles que aplican a la organizacin con objeto de proporcionar niveles prcticos de seguridad de la informacin y medir el cumplimiento de los mismos. A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de esclarecer los objetivos de estos controles. Clasificacin y control de activos. El anlisis de riesgos generar el inventario de activos que deber ser administrado y controlado con base en ciertos criterios de clasificacin y etiquetado de informacin. Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles a las acciones del personal que opera con los activos de informacin. Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos,

transferencia de informacin y control de los accesos a las distintas reas con base en el tipo de seguridad establecida. Comunicaciones y administracin de operaciones. Integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones. Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas de la organizacin. Continuidad de las operaciones de la organizacin. El sistema de administracin de la seguridad debe integrar los procedimientos de recuperacin en caso de contingencias, los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos. Requerimientos legales. La organizacin establecer los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los contratos o convenios.

ISO 27000
ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. a pesar de no ser obligatoria la implementacin de todos los controles, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. ISO/IEC 27002: Es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

ISO/IEC 27003: No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. ISO/IEC 27004: No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. ISO/IEC 27005: No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. ISO/IEC 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. ISO/IEC 27007: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO/IEC 27008: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en 2012. Es una norma en 2 partes, que consistir en una gua para la gestin de la seguridad de la informacin en comunicaciones inter-sectoriales. ISO/IEC 27011: Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Est publicada tambin como norma ITU-T X.1051. ISO/IEC 27012: En fase de desarrollo, con publicacin prevista en 2011. Consistir en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestin de seguridad de la informacin en organizaciones que proporcionen servicios de e-Administracin. ISO/IEC 27013: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de implementacin integrada de ISO/IEC 27001

(gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC 27015: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC 27031: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO/IEC 27032: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua relativa a la ciberseguridad. ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales, 27033-2, directrices de diseo e implementacin de seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-6, convergencia IP (prevista para 2012); 27033-7, redes inalmbricas (prevista para 2012). ISO/IEC 27034: En fase de desarrollo, con publicacin prevista en 2010. Consistir en una gua de seguridad en aplicaciones informticas. ISO/IEC 27035: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de gestin de incidentes de seguridad de la informacin. ISO/IEC 27036: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de seguridad de outsourcing (externalizacin de servicios). ISO/IEC 27037: En fase de desarrollo, con publicacin prevista en 2012. Consistir en una gua de identificacin, recopilacin y preservacin de evidencias digitales. ISO 27799: Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215.

El siguiente grafica nos muestra la forma correcta de adaptar ISO 27000:

COPARACION COBIT, ISO17799 e ISO 27000


Los estndares ISO17799 y ISO 27000 Son es un conjunto de estndares desarrollados, o en fase de desarrollo, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea, mientras que COBIT es el marco aceptado internacionalmente como una buena prctica para el control de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez, Por lo que notamos una estrecha relacin entre ISO y COBIT, pues COBIT Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por COBIT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. En conclusin ISO17799 y ISO 27000 y COBIT van de la mano pues ambos velan por la buena gestin de la informacin de de las organizaciones.

COCLUSIONES Y OBSERVACIONES
Se puede prever, que la certificacin ISO 27000 ser una obligacin de cualquier empresa que desee competir en el mercado, se deben exigir niveles concretos y adecuados de seguridad informtica, sino se podran abrir brechas de seguridad, este estndar apunta a poder exigir dichos niveles y cubrir todas estas posibles brechas, y ya no puede caber duda que las empresas para competir con sus productos en el mercado ciberntico, tienen que exponer sus infraestructuras de informacin, es por esto que ISO 27000 en este sentido es una muy buena y solida solucin. En estos momentos ISO se encuentra trabajando en nuevos estndares que sern publicados para as cubrir casi en su totalidad las posibles brechas, que puedan llevar a cualquier tipo de riesgo la informacin de las organizaciones. Es claro que al aplicar en una organizacin un estndar como ISO 27000 el trabajo con estos estndares debe ser continuo , pues ISO ao tras ao publica nuevas modificaciones a estos estndares, para as asegurar una correcta gestin de la informacin de las organizaciones, por lo tanto se debe estar muy pendiente de todas estas nuevas publicaciones para no poner en riesgo la informacin de la organizacin. Algo que queda muy claro es que los estndares ISO 27000 son aplicables a cualquier tipo de organizacin, independientemente de la magnitud que sea, si es grande este estndar tiene todo el nivel de de detalle que se necesita y se es pequea, ISO 27000 nos permite Sacar adelante un verdadero SGSI.

BIBBLIOGRAFIA
http://www.iso27000.es/download/doc_iso27000_all.pdf http://es.wikipedia.org/wiki/ISO/IEC_17799

http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm http://www.worldamerican.com/spanish_pages/site/quality/iso.html http://www.iso27000.es/iso27000.html#section3b http://www.itsecurity.es/2010/01/origen-y-breve-historia-de-la-familia.html http://www.iso27000.es/download/doc_iso27000_all.pdf

You might also like