You are on page 1of 18

Juan Francisco Acosta

Grupo2
LAS NORMAS
ISO/IEC 27001?
Quien es quien?

ISO/IEC

17799,

Origen de la normativa
2

Grupo de trabajo enero 1993


Emisin de cdigo Septiembre 1993
Publicacin de BS 7799-1 Febrero 1995
Publicacin de BS 7799-2 Febrero 1998
Publicacin BS7799: 1999 1 y 2 Abril 1999
ISO 17799 (BS 7799-1) Diciembre 2000
BS 7799-2 - Publicado en Septiembre 2002.
ISO 17799 - Publicado Julio 2005
ISO 27001 Publicado Noviembre 2005.

ISO/IEC 27001 ISO/IEC


17799?
3

British Standard 7799 Parte 1 Es un cdigo


de mejores prcticas que se sugieren:
....deberan...

ISO/IEC 17799-2000 Basado en la BS 7799


Parte 1.

No hay una certificacin.

10 reas de Control
36 Objetivos de Control
127 Controles

ISO/IEC 27001 ISO/IEC


17799?
4

British Standard 7799 Parte 2 Aporta conceptos


de implantacin obligatorios para certificar:
...deben...
Requisitos para Sistemas de Gestin de Seguridad
de la informacin.
Vinculada con la BS 7799-1 (ISO/IEC 17799)
Proceso de Evaluacin para Certificacin.
Obsoleta.

ISO/IEC 27001.

Basada en la BS 7799:2

Versiones actuales:

ISO/IEC 17799:2005 / ISO/IEC 27001: 2005

ISO/IEC 17799:2000
5

10 reas de Control
Poltica de Seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de los activos
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad

ISO/IEC 17799:2005
6

11 reas de Control

Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad

Certificados BS 7799-2 / ISO/IEC


27001
7

2800 Empresas Certificadas a nivel mundial.


1800 en Japn.
415 Reino Unido
11en Brasil.
3 en Argentina.
Uruguay?

Certificacin ISO/IEC 27001.


Implica la misma certificacin, por parte de
organismos locales a nivel mundial.
Es razonable considerar un crecimiento equiparable
al de normas ISO ya existentes.

Relacin entre Normas


8

BSI

ISO/IEC

BS 7799 - 1

ISO/IEC 17799

BS 7799 - 2

UNIT (Ej. Uruguay)

UNIT/ISO/IEC 17799

UNIT 17799:2
(2005)

Nuevas Versiones ISO/IEC


9

ISO/IEC

ISO/IEC

ISO/IEC 17799
(2000)

ISO/IEC 17799
(2005)

BSI

BS 7799 - 2

ISO/IEC 27001
(2005)

Introduccin

Qu es la ISO/IEC 27000?

Es un conjunto de estndares desarrollados o en fase


de desarrollo por ISO (International Organization for
Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestin de
la seguridad de la informacin, utilizable para cualquier
tipo de organizacin.

Introduccin

Para qu se utiliza?

Establecer una metodologa de gestin de la seguridad clara y


estructurada.

Reducir el riesgo de prdida o robo de informacin.

Dar confianza a los clientes y socios estratgicos por la garanta de


calidad y confidencialidad comercial.

Dar la posibilidad de integrarse con otros sistemas de gestin (ISO


9001, ISO 14001,).

Dar una imagen de la empresa a nivel internacional.

Reducir los costes y mejorar los procesos y servicios.

Aumentar la motivacin y satisfaccin del personal.

Origen

Publicaciones desde el 1901


(BSI equivalente a AENOR en Espaa)
1979 Publicacin BS 5750 ahora ISO 9001
1992Publicacin BS 7750 ahora ISO 14001
1995Publicacin BS 7799 ahora ISO 27001
1996Publicacin BS 8800 ahora ISO 18001

Origen

La serie 27000

Recorrido por este estndar:

ISO 27000: contiene conceptos tcnicos y de gestin.

ISO 27001: requisitos del sistema de gestin de la seguridad de la


informacin.

ISO 27002: objetivos de control y controles recomendables.

ISO 27003: gua de implementacin de SGSI y modelo PDCA.

ISO 27004: mtricas y tcnicas de medida en SGSI.

ISO 27005: directrices para la gestin de riesgo.

ISO 27006: requisitos para la acreditacin de entidades de auditora.

ISO 27007, 27011, 27031, 27032, 27033, 27034, 27799.


EN GENERAL, CADA UNA SE ENCARGA DE UN OBJETIVO
RELACIONADO CON LA SEGURIDAD DE L A INFORMACION.

Descripcin de sus
elementos

El documento se divide en fases:

Introduccin.

Objeto y campo de aplicacin.

Normas para consulta.

Trminos y definiciones.

Sistema de gestin de la seguridad de la informacin.

Responsabilidad de la direccin.

Auditoras internas del SGSI.

Revisin del SGSI por la direccin.

Mejora del SGSI.

Cmo adaptarse?

Pasos a seguir:

Riesgos

Exceso de tiempos de implantacin.


Discrepancias en los comits de direccin.
Delegacin de todas las responsabilidades en
departamentos tcnicos.
Planes de formacin y concienciacin inadecuados.
Calendario de revisiones que no se puedan cumplir.
Definicin poco clara del alcance.
Falta de comunicacin de los progresos al personal
de la organizacin

Factores de xito

La concienciacin del empleado por la seguridad.


Realizacin de comits de direccin con descubrimiento
continuo de no conformidades.
Creacin de un sistema de gestin de incidencias.
La seguridad absoluta no existe, se trata de reducir el
riesgo a niveles asumibles.
La seguridad debe ser inherente a los procesos de
informacin y del negocio.

You might also like