Normas ISO

Normas ISO / IEC Serie 27000 de seguridad de la información

Que es  ISO

Representa las siglas de “International Standarization Organization

(Organización Internacional para la Normalizacion), cuya sede se encuentra en suiza

Creada tras la Segunda Guerra Mundial (23 de febrero de 1947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales, a excepción de la eléctrica y la electrónica

Su función Principal

Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país.

De hecho, la certificación a nivel mundial de las empresas, están regidas bajo las normas ISO, en muchos casos, son obligatorias si desean competir en el mercado internacional, conseguir contratos, o simplemente publicitar la calidad de sus productos. 

Que es la norma  ISO/ IEC  27000

La norma ISO 27000 es una norma internacional y abierta, cuyo objetivo es establecer los requisitos mínimos con los que debe cumplir un Sistema de Gestión de la Seguridad de la Información (SGSI) en una organización.

Al igual que muchas normas ISO, la norma ISO 27000 se basa en la aplicación del ciclo

PDCA (Plan-Do-Check-Act,Plani- fica-Ejecuta-Supervisa- Actúa) para la mejora del SGSI en la organización

Implantando y certificando la norma ISO 27000 para el SGSI de la organización se puede demostrar de manera independiente que la entidad cumple con los requisitos mínimos para asegurar la información.

A que se refieren la normas  ISO 27000 series

-          ISO 27000    Vocabulario estándar para el SGSI

-ISO 27001   Especifica los requisitos para la implementación del SGSI

-ISO 27002   Código de Buenas Prácticas para la gestión de seguridad   de la   Información

Que se gana con ISO 27000 series

 Implantar la norma ISO 27000 permite a las organizaciones demostrar que dispone de los controles y procedimientos adecuados para asegurar el tratamiento seguro de los datos y la información con la que se trata.

Además, cuenta con un ciclo PDCA, que asegura la mejora continua en lo que respecta a los controles de seguridad establecidos en la organización.

Además, implantando la norma ISO 27000 en la organización se obtiene un importante elemento diferenciador, que a un costo bajo permite destacar sobre la competencia a la hora de pujar sobre una oferta

En que organizaciones se aplica la norma ISO 27000

Esta norma puede aplicarse a cualquier organización para la que la información con la que trata sea importante. Por lo tanto, prácticamente cualquier organización que cuente con sistemas de información debería plantearse implantar la norma ISO 27000.

No existe limitación en cuanto al tamaño de la organización. Implantando la norma ISO 27000 se establecerán controles y procedimientos adecuados a cada organización, en función de su capacidad para implantarlos.

Cuales son las ventajas de aplicar la Norma ISO 27000

La seguridad de la información, lo que aumenta la confianza por parte del cliente

 • Elemento diferenciador, que permite destacar sobre la competencia

• Cumplimiento de las normativas legales relativas a la protección de datos, lo que permite reducir los problemas con clientes y usuarios 

Que hacer o como implantar ISO 27000

Sin el compromiso de la Gerencia, el Sistema no tendrá el apoyo ni la fuerza para su aceptación e implantación en la organización. El efecto del apoyo debe caer en cascada, desde los niveles altos hacia abajo en la organización

El equipo debe tener un líder establecido. Todos los miembros deben ser designados formalmente y deben recibir adiestramiento en Gestión de ISO 27000, Documentación y Auditoría, como mínimo.

Que se debe documentar

• Evaluación y tratamiento de riesgos

 • Políticas de Seguridad

• Aspectos Organizativos

 • Gestión de Activos

• Seguridad del Talento Humano

(antes y durante contratación)

• Seguridad física y ambiental

 • Gestión de comunicaciones y operaciones

 • Control de accesos

 • Adquisición, desarrollo y mantenimiento de S.I.

• Gestión de incidentes de seguridad 

Que hacer para implantar ISO 27000

 Se debe verificar, mediante Auditorías, que el SGSI está apto para funcionar. Si se presentan No Conformidades, se deben solucionar. Se pueden hacer Auditorías Internas para verificar, pero se deben hacer Auditorías Externas para la Certificación, por parte de los organismos autorizados.

Que es la norma  ISO/ IEC  27001

Define el sistema de gestión de la seguridad de la información (SGSI).

• ISO 27001 es una norma certificable

• Se creó en diciembre de 2005 a partir de la norma BS7799-2.

• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.

• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.

Es la norma internacional para la Gestión de Seguridad de la Información. Indica cómo establecer un sistema de Gestión de Seguridad de la Información auditado y certificado de forma independiente. Esto le permite asegurar de un modo más eficaz todos los datos financieros y confidenciales, minimizando así el riesgo de accesos ilegales o sin permiso.

Con la norma ISO/IEC 27001 podrá demostrar su compromiso y conformidad con las mejores prácticas globales, indicando a clientes, proveedores y demás partes interesadas que la seguridad constituye una prioridad máxima en su modo de trabajar. 

Ventajas de la norma ISO /IEC 27001

•         Identificar los riesgos y establecer controles para gestionarlos o eliminarlos

•         Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas

•         Conseguir que las partes interesadas y los clientes confíen en la protección de los datos 

•         Demostrar conformidad y conseguir el estatus de proveedor preferente

•         Cumplir con más requisitos demostrando conformidad 

Debe de tomar en cuenta la norma ISO 27001

•         Preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas implicados en su tratamiento: 

•         -Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

•          -Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

•          

•         -Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

•         ISO/IEC 27001   “ Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización

•         . Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”

OBJETIVO: mejora continua de la norma ISO 27001

Se adopta el modelo Plan-Do-Check Act (PDCA ó ciclo de Deming) para todos los procesos de la organización.

-Fase Planificación (Plan) [establecer el SGSI]: Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.

-Fase Ejecución (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.

-Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI.

-Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas ó en otra información relevante a fin de alcanzar la mejora contínua del SGSI.

Por que utilizar la norma ISO 27001

Es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad

Se  puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,

Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, permite “Organizar la seguridad de la información”

Que es la norma  ISO/ IEC  27002

Es el código de buenas prácticas para la gestión de la seguridad

Se refiere a un conjunto de recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización .

Como hace mención de  los objetivos de control (aspectos a analizar para garantizar la seguridad de la información),  y especifica los controles recomendables a implantar (medidas a tomar) 

La norma ISO/ IEC 27002 esta enfocada hacia:

-Los objetivos de seguridad recogen aquellos aspectos  fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa.

Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado. 

-Definir los aspectos prácticos/operativos de la  implantación del SGSI

Areas /secciones sobre las que actúa la norma ISO / IEC 27002

-Control de accesos

-Desarrollo y mantenimiento de sistemas

-Gestión de incidentes de seguridad de la información

-          Gestión de continuidad de negocio

-Conformidad

Incluye la política de seguridad de la norma ISO / IEC 27002

-Aspectos organizativos para la seguridad

-Clasificación y control de activos

-Seguridad ligada al personal

-Seguridad física y del entorno

-Gestión de comunicaciones y operaciones 



Referencias Bibliográficas

http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO27.php

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

http://www.dnvba.com/cl/Certificacion/Sistemas-de-Gestion/Seguridad-de-la-Informacion/Pages/ISO-27001.aspx

http://www.gesconsultor.com/iso-27001.html

http://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/cursos-iso-27001-seguridad-informacion/

http://www.iso27001standard.com/es/que-es-iso-27001/

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf