140 likes | 448 Views
Nombre: Claudia Grandi Bustillos. Norma iso / iec 27001. Introducción.
E N D
Nombre: Claudia Grandi Bustillos Norma iso/iec 27001
Introducción • La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad que a su vez haga una evaluación de los riesgos a los que está sometida la información de la organización. • ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. A continuación se resumen las características del estándar ISO/IEC 27001 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.
ISO/IEC 270001 • El estándar para la seguridad de la información ISO/IEC 27001 fue aprobado y publicado como estándar internacional en Octubre de 2005 por International OrganizationforStandardization (ISO) y por la International ElectrotechnicalCommission (IEC). • Esta norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido PDCA - (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British StandarsdsInstitution (BSI).
Implantación • La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses. • Aquellas organizaciones que hayan aplicado las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. • El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI.
Este equipo debe estar liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información.
La Serie 2700 • La seguridad de la información tiene asignada la serie 2700 dentro de los estándares ISO/IEC: • ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. • UNE-ISO/IEC 27001: Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. • ISO 27002: Anteriormente denominada ISO 17799. • ISO 270023:En fase de desarrollo; probable publicación en 2009. • ISO 27004: En fase de desarrollo; probable publicación en 2009. • ISO 27005: Publicada en Junio de 2008. • ISO 27006: Publicada en Febrero de 2007.
Beneficios de la Norma ISO/IEC 27001 • Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. • Reducción de Riesgos, perdidas, corrupción o robo de la información. • Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. • Los riesgos y sus respectivos controles son revisados constantemente. • Garantiza el cumplimiento de las leyes y reglamentos establecidos en materia de gestión de la información. • Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. • Proporciona confianza y reglas clara al personal de la empresa.
Comparación con la norma ISO 17799 • La ISO 17799 no es certificable, ni fue diseñada para esto.La norma que si es certificable es ISO 27001 como también lo fue su antecesora BS 7799-2. • ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible aplicación en el SGSI que implanta cada organización. • ISO 17799 es como un complemento para la ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información. • ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 17799 lo hace para certificar ISMS (Information Security Management System).
Preguntas • ¿ Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada 17799)? • De acuerdo a los beneficios que aporta esta norma ¿ Es considerable el retorno de la inversión que se realiza para tener una certificación ISO 27001 en la empresa?