Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenidos
1. Origen
2. La serie 27000
3. Contenido
4. Beneficios
5. Cmo adaptarse?
6. Aspectos Clave
WWW.ISO27000.ES
La informacin es un activo vital para la continuidad y desarrollo de cualquier
organizacin pero la implantacin de controles y procedimientos de seguridad se
realiza frecuentemente sin un criterio comn establecido, en torno a la compra de
productos tcnicos y sin considerar toda la informacin esencial que se debe proteger.
1. Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin inglesa equivalente a la AENOR espaola) es
responsable de la publicacin de importantes normas como:
2
1979 Publicacin BS 5750 - ahora ISO 9000
La norma BS7799 de BSI aparece por primera vez en 1995, con objeto de preparar a
cualquier empresa -britnica o no- en la certificacin de la gestin de la seguridad de
su informacin por medio de una auditora realizada por un auditor acreditado y
externo. El gobierno del Reino Unido recomend como parte de su Ley de Proteccin
de la Informacin que las compaas britnicas utilizasen BS7799 como mtodo de
cumplimiento de la Ley.
La primera parte de la norma (BS7799-1) es una gua de buenas prcticas, para la que
no se establece un modelo de certificacin. Es la segunda parte (BS7799-2) la que se
audita y certifica en aquellas empresas solicitantes que hayan desarrollado un SGSI
(Sistema de Gestin de Seguridad de la Informacin) segn el conocido modelo PDCA
(acrnimo ingls de Plan-Do-Check-Act: Planificar-Hacer-Verificar-Actuar), ya
presentado en otros estndares como ISO9000, y que asegura la adaptacin continua
de la seguridad a los requisitos siempre cambiantes de la empresa y su entorno.
Las dos partes de la norma BS7799 se revisaron en 1999 y la primera parte se adopta
por ISO, sin cambios sustanciales, como ISO17799 en el ao 2000, con una acogida
de ms de 80.000 empresas. En 2005, y con ms de 1700 empresas certificadas en
BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001,
junto a la primera revisin formal realizada en ese mismo ao de ISO17799.
WWW.ISO27000.ES
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public
la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Servir probablemente de base a la ISO27005, que tardar an algn tiempo en
editarse.
2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares.
WWW.ISO27000.ES
ISO 27004: En fase de desarrollo; probable publicacin en Noviembre de 2006.
Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficiencia y efectividad de la implantacin de un SGSI y de los controles
relacionados. Estas mtricas se usan fundamentalmente para la medicin de los
componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Probable publicacin en 2007 2008. Consistir en una gua para la
gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a
la ISO27001 y a la implantacin de un SGSI. Se basar en la BS7799-3 (publicada
en Marzo de 2006) y, probablemente, en ISO 13335.
3. Contenido
En esta seccin se hace un pequeo resumen del contenido de las normas ISO 27001
e ISO 17799 (futura ISO 27002). Si desea acceder a las normas completas, debe
saber que stas no son de libre difusin sino que han de ser adquiridas.
Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia
organizacin:
http://www.iso.org/iso/en/prods-services/ISOstore/store.html 4
Las normas en espaol pueden adquirirse en:
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
ISO 27001
WWW.ISO27000.ES
Responsabilidades de la Direccin: en cuanto a compromiso con el SGSI,
provisin de recursos y formacin y concienciacin del personal.
Auditoras internas del SGSI: cmo realizar las auditoras internas de control.
Resumen de controles: anexo que enumera los objetivos de control y controles que
se encuentran detallados en la norma ISO 17799:2005.
Evaluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y tratar los
riesgos de seguridad de la informacin.
WWW.ISO27000.ES
Gestin de comunicaciones y operaciones: procedimientos y responsabilidades
de operacin; gestin de servicios de terceras partes; planificacin y aceptacin del
sistema; proteccin contra software malicioso; backup; gestin de seguridad de
redes; utilizacin de soportes de informacin; intercambio de informacin y software;
servicios de comercio electrnico; monitorizacin.
Puede descargarse una lista de todos los controles que contiene esta norma aqu:
http://www.iso27000.es/download/ControlesISO17799-2005.pdf
4. Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.
Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema
y las reas a mejorar.
WWW.ISO27000.ES
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
5. Cmo adaptarse?
WWW.ISO27000.ES
Arranque del proyecto
Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar
un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la
organizacin. No slo por ser un punto contemplado de forma especial por la norma
sino porque el cambio de cultura y concienciacin que lleva consigo el proceso
hacen necesario el impulso constante de la Direccin.
Planificacin
Definir alcance del SGSI: segn el modelo organizativo, definir los lmites del marco
de direccin de seguridad de la informacin.
WWW.ISO27000.ES
Definir poltica de seguridad: que incluya el marco general y los objetivos de
seguridad de la informacin de la organizacin.
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del
inventario.
Seleccin de controles.
Implementacin
WWW.ISO27000.ES
Monitorizacin
Realizar auditoras internas del SGSI: para determinar la efectividad del SGSI y
detectar posibles no conformidades.
10
Mejora continua
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la
fase anterior.
WWW.ISO27000.ES
6. Aspectos Clave
Fundamentales
Organizacin y comunicacin.
Factores de xito
Riesgos
WWW.ISO27000.ES
Exceso de medidas tcnicas en detrimento de la formacin y concienciacin.
Consejos bsicos
Gestin del proyecto fijando los diferentes hitos con sus objetivos y resultados.
Registre evidencias: deben recogerse evidencias al menos tres meses antes del
intento de certificacin para demostrar que el SGSI funciona adecuadamente.
WWW.ISO27000.ES