Practica 1.5.
Resumen de la normativa ISO 27000
¿Qué es ISO 27000?
Es una familia de estándares
internacionales para Sistemas de Gestión de la Seguridad de la Información
(SGSI) que proporcionan un marco de gestión de la seguridad de la información.
ESTA NORMA CONTIENE TÉRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIÓN DE CUALQUIER ESTÁNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TÉCNICOS Y DE GESTIÓN.
ISO 27001
Es la norma principal de la serie
y contiene los requisitos del sistema de gestión de seguridad de la
información.
ISO 27001 es una norma
internacional emitida por la Organización Internacional de Normalización (ISO)
y describe cómo gestionar la seguridad de la información en una empresa. La
revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada
en cualquier tipo de organización, con o sin fines de lucro, privada o pública,
pequeña o grande. Está redactada por los mejores especialistas del mundo en el
tema y proporciona una metodología para implementar la gestión de la seguridad
de la información en una organización. También permite que una empresa sea
certificada; esto significa que una entidad de certificación independiente
confirma que la seguridad de la información ha sido implementada en esa
organización en cumplimiento con la norma ISO 27001.
Este estándar internacional ha
sido preparado para proporcionar un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI).
Este estándar adopta el modelo de
proceso Planear-hacer-chequear-actuar (PDCA), el cual se puede aplicar a todos
los procesos SGSI.
Confidencialidad: la propiedad que esa información esté disponible
y no sea divulgada a personas, entidades o procesos no-autorizados.
Seguridad de información: preservación de la confidencialidad,
integridad, disponibilidad de la información; además, también pueden estar
involucradas otras propiedades como la autenticidad, responsabilidad,
no-repudio, y confiabilidad.
Sistema de gestión de la seguridad de la información: esa parte del
sistema gerencial general, basado en un enfoque de riesgo comercial; para
establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad
de la información.
ISO 27002
Es una guía de buenas prácticas
que describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios.
ISO 27003
Es una guía de implementación de
SGSI e información acerca del uso del modelo PDCA y de los requerimientos de
sus diferentes fases.
ISO 27004
Especifica las métricas y las
técnicas de medida aplicables para determinar la eficacia de un SGSI y de los
controles relacionados.
“El empleo de este estándar
permitirá a las organizaciones dar respuesta a los interrogantes de cuán
efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han
sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en
seguridad de la información sobre períodos de tiempo en áreas de negocio
similares de la organización y como parte de continuas mejoras”.
ISO 27005
Establece las directrices para la
gestión del riesgo en la seguridad de la información.
Está diseñada para ayudar a la
aplicación satisfactoria de la seguridad de la información basada en un enfoque
de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la
intención de gestionar los riesgos que puedan comprometer la organización de la
seguridad de la información.
ISO 27006
Especifica los requisitos para la
acreditación de entidades de auditoría y certificación de sistemas de gestión
de seguridad de la información. Es decir, ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de
ISO 27001, pero no es una norma de acreditación por sí misma.
ISO/IEC 27007:
No certificable. Es una guía de
auditoría de un SGSI, como complemento a lo especificado en ISO 19011. En
España, esta norma no está traducida.
ISO/IEC TR 27008:
No certificable. Es una guía de
auditoría de los controles seleccionados en el marco de implantación de un
SGSI. En España, esta norma no está traducida.
ISO/IEC 27009:
No certificable. Es una guía
sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector
servicios específicos en emisión de certificaciones acreditadas de tercera
parte.
ISO/IEC 27010:
Publicada el 20 de Octubre de
2012. Consiste en una guía para la gestión de la seguridad de la información
cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es
aplicable a todas las formas de intercambio y difusión de información sensibles,
tanto públicas como privadas, a nivel nacional e internacional, dentro de la
misma industria o sector de mercado o entre sectores. En particular, puede ser
aplicable a los intercambios de información y participación en relación con el
suministro, mantenimiento y protección de una organización o de la
infraestructura crítica de los estados y naciones.
ISO 27011
Es una guía de gestión de
seguridad de la información específica para telecomunicaciones, elaborada
conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
Esta norma está orientada a los
organismos que proporcionan procesos de apoyo e información en las
telecomunicaciones, instalaciones de telecomunicaciones, redes y líneas y para
los que éstos suponen importantes activos empresariales.
La gestión de la seguridad de la
información es sumamente necesaria con el fin de que los organismos de
telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y
continuar con éxito sus actividades.
ISO/IEC 27013:
Es una guía de implementación
integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de
ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:
Consistirá en una guía de
gobierno corporativo de la seguridad de la información.
ISO/IEC TR 27015:
Es una guía de SGSI orientada a
organizaciones del sector financiero y de seguros y como complemento a ISO/IEC
27002:2005.
ISO/IEC TR 27016:
Consistirá en una guía de
valoración de los aspectos financieros de la seguridad de la información.
ISO/IEC TS 27017:
Consistirá en una guía de
seguridad para Cloud Computing.
ISO/IEC 27018:
Consistirá en un código de buenas
prácticas en controles de protección de datos para servicios de computación en
cloud computing.
ISO/IEC TR 27019:
Guía con referencia a ISO/IEC
27002:2005 para el proceso de sistemas de control específicos relacionados con
el sector de la industria de la energía.
ISO/IEC 27031:
No certificable. Es una guía de
apoyo para la adecuación de las tecnologías de información y comunicación (TIC)
de una organización para la continuidad del negocio. El documento toma como
referencia el estándar BS 25777. En España, esta norma no está traducida.
ISO/IEC 27032:
Proporciona orientación para la
mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de
esa actividad y de sus dependencias en otros dominios de seguridad,
concretamente: Información de seguridad, seguridad de las redes, seguridad en
Internet e información de protección de infraestructuras críticas (CIIP). Cubre
las prácticas de seguridad a nivel básico para los interesados en el
ciberespacio. Esta norma establece una descripción general de Seguridad
Cibernética, una explicación de la relación entre la ciberseguridad y otros
tipos de garantías, una definición de las partes interesadas y una descripción
de su papel en la seguridad cibernética, una orientación para abordar problemas
comunes de Seguridad Cibernética y un marco que permite a las partes
interesadas a que colaboren en la solución de problemas en la ciberseguridad.
ISO/IEC 27033:
Norma dedicada a la seguridad en
redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2,
directrices de diseño e implementación de seguridad en redes; 27033-3,
escenarios de referencia de redes; 27033-4, aseguramiento de las comunicaciones
entre redes mediante gateways de seguridad; 27033-5, aseguramiento de
comunicaciones mediante VPNs; 27033-6, convergencia IP; 27033-7, redes
inalámbricas.
ISO/IEC 27034:
Parcialmente desarrollada. Norma
dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes:
27034-1, conceptos generales; 27034-2, marco normativo de la organización; 27034-3,
proceso de gestión de seguridad en aplicaciones; 27034-4, validación de la
seguridad en aplicaciones; 27034-5, estructura de datos y protocolos y
controles de seguridad de aplicaciones; 27034-6, guía de seguridad para
aplicaciones de uso específico.
ISO/IEC 27035:
Publicada el 17 de Agosto de
2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la
información. En España, no está traducida.
ISO/IEC 27036:
En fase de desarrollo, con
publicación prevista a partir de 2013. Consistirá en una guía en cuatro partes
de seguridad en las relaciones con proveedores: 27036-1, visión general y
conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro
TIC; 27036-4, seguridad en entornos de servicios Cloud.
ISO/IEC 27037:
Publicada el 15 de Octubre de
2012. Es una guía que proporciona directrices para las actividades relacionadas
con la identificación, recopilación, consolidación y preservación de evidencias
digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria,
dispositivos electrónicos personales, sistemas de navegación móvil, cámaras
digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan
ser utilizadas con valor probatorio y en el intercambio entre las diferentes
jurisdicciones.
ISO/IEC 27038:
Consistirá en una guía de
especificación para seguridad en la redacción digital.
ISO/IEC 27039:
Consistirá en una guía para la
selección, despliegue y operativa de sistemas de detección y prevención de
intrusión (IDS/IPS).
ISO/IEC 27040:
Consistirá en una guía para la
seguridad en medios de almacenamiento.
ISO/IEC 27041:
Consistirá en una guía para la
garantizar la la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042:
Consistirá en una guía con
directrices para el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Desarrollará principios y
procesos de investigación.
ISO/IEC 27044:
Gestión de eventos y de la
seguridad de la información - Security Information and Event Management (SIEM).
ISO 27799:
Es un estándar de gestión de
seguridad de la información en el sector sanitario aplicando ISO 17799 (actual
ISO 27002)
Especifica un conjunto detallado
de controles y directrices de buenas prácticas para la gestión de la salud y la
seguridad de la información por organizaciones sanitarias y otros custodios de
la información sanitaria en base a garantizar un mínimo nivel necesario de
seguridad apropiado para la organización y circunstancias que van a mantener la
confidencialidad, integridad y disponibilidad de información personal de salud.