miércoles, 19 de agosto de 2015

ISO/IEC 27001: Sistemas de Gestión de Seguridad de la Información - La Familia | Parte II.

La familia 27K, conocida como la ISO/IEC 27000 es un conjunto de estándares desarrollados -o en desarrollo en algún caso- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información que puede ser aplicable en cualquier organización: pública o privada, grande o pequeña.

27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.

27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.

27003: Es una guía que se centra en los aspectos críticos necesarios para el diseño y la implementación exitosa de un SGSI de acuerdo a ISO/IEC 27001.

27004: Es una guía para el desarrollo y utilización de métricas y técnicas de medición aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.

27005: Proporciona directrices para la gestión del riesgo en la seguridad de la información.

Existen otras muchas ISO de la familia que pueden utilizarse, pero se tendrá en cuenta que se necesita aplicar en cada organización. Asimismo, en los últimos años se han desarrollado normas para industrias y/o servicios: Salud, Entidades Financieras, Telecomunicaciones, Cloud Computing, etc.

En particular, se debe tener en cuenta que la ISO/IEC 27013 une las ISO 27001 y la ISO 20000, unificando así la seguridad de la información, como así también la gestión de servicios de TI.

En 2013 se ha actualizado la norma. La transición se describe en la siguiente figura que las relaciona:

clip_image002

Fuente www.iso27001.es


Autora:
Ing. Lic. Marcela Meyorín Lorenzo
IT Infraestructure & Security
CISA, Lead Auditor 25999/22301, ITIL v.3 Foundation/ISO-IEC 20000/AI 9001.

miércoles, 5 de agosto de 2015

ISO/IEC 27001: Sistemas de Gestión de Seguridad de la Información – Haciendo un poco de historia | Parte I

La ISO 27001 es la norma que establece los requisitos mínimos para implantar, operar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Dicho estándar internacional fue publicado como tal por la International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC) en octubre del año 2005 (actualmente existe una versión 2013) y es el único aceptado a nivel internacional para la gestión de la seguridad de la información.

La norma, que data de hace casi 20 años, ha sido resultado de la evolución de otros estándares relacionados con la seguridad de la información.

La ISO 27001 es la principal de la serie 27000 y contiene los requisitos del sistema de gestión de seguridad de la información. Su origen primigenio es la norma BS 7799-2:2002, con la cual se certifican los SGSI (Sistemas de Gestión de Sistemas de Información) de las organizaciones a nivel internacional. Pero al no ser obligatoria, algunas compañías deciden implantar los controles y/o el Sistema de Gestión de Seguridad de la Información y no certificar.

Asimismo, la norma enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002, perteneciente a la familia 27k, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. A  pesar de no ser obligatoria la implementación de todos los controles mencionados, la organización deberá justificar la no aplicabilidad de los mismos.

En cuanto a su denominación, varios países le asignan distintos nombres. En España está publicada como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega). Aunque hay que tener en cuenta que en el 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE) y Uruguay (UNIT-ISO/IEC 27001).

Actualmente, en los distintos países se está traduciendo la última versión del año 2013. En Argentina, la misma se publicará a fines de este año.


Autora:
Ing. Lic. Marcela Meyorín Lorenzo
IT Infraestructure & Security
CISA, Lead Auditor 25999/22301, ITIL v.3 Foundation/ISO-IEC 20000/AI 9001.