ISO/IEC 27000-series
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se encuentran en preparación e incluyen:
ISO/IEC 27000 - es un vocabulario estándar para el SGSI. Se encuentra en desarrollo actualmente.
ISO/IEC 27001 - es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre de 2005.
ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero de 2010, No está certificada actualmente.
ISO/IEC 27004 - son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de diciembre de 2009, no se encuentra traducida al español actualmente.
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008.
ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma específica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación. ISO/IEC 27007 - Es una guía para auditar al SGSI. Se encuentra en
preparación.
ISO/IEC 27016 - Es una norma de análisis financiero y económico para los SGSI.
ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.
ISO/IEC 27035:2011 - Seguridad de la información – Técnicas de Seguridad – Gestión de Incidentes de Seguridad. Este estándar hace foco en las actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades.
FUNDAMENTOS DE SEGURIDAD INFORMÁTICA Estándares BS 7799 (Reino Unido)
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización inglesa equivalente a AENOR en España) es responsable de la publicación de importantes normas como: 1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.
El estándar británico BS 7799 es un estándar aceptado ampliamente que ha sido utilizado como base para elaborar otros estándares de seguridad de la información incluyendo el ISO 17799
La versión actual de estándar tiene dos partes:
BS7799-1:1999 Information Security Management. Code of Practice for Information Security Management (Código de prácticas para la Gestión de la Información de Seguridad). Es la guía de buenas prácticas, para la que no se establece un modelo de certificación. BS7799-2:1999 Information Security Management. Specification for
Information Security Management Systems (Especificación para Sistemas de Gestión de Seguridad de la Información). Establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.
ISO/IEC 27001
Estándar para la seguridad de la información.
ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security
management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
ISO 27001: Ciclo de Deming ISO 27001
La norma ISO 27001 incluye el ciclo de Deming, como bien sabemos consiste en Planificar-Hacer-Verificar-Actuar (PHVA) y puede ser aplicado a todos los procesos. La metodología PHVA se puede describir de la siguiente forma:
Planificar: se establecen los objetivos y los procesos necesarios para conseguir resultados según las necesidades de los clientes y la política de seguridad de la organización.
Hacer: se implantan los procesos.
Verificar: se revisan y se evalúan tanto lo servicios como los procesos comprándolos con las políticas, los objetivos y los requisitos de información sobre los resultados.
Actuar: comienzan a emprender acciones para mejorar el rendimiento del Sistema de Gestión Ambiental de forma continua.
Planificación
Se debe realizar una planificación de la implantación y la prestación de la gestión de servicios. El alcance puede venir definido dentro de parte del plan de gestión de servicios. La gestión de servicios tiene que estar planificada. Como mínimo, en dichas planificaciones se debe incluir lo siguiente:
El alcance de la gestión de los servicios de la empresa.
Los requisitos y los objetivos que tiene que cumplir la gestión de servicios.
Los procesos que se deben realizar.
La infraestructura de las funciones y las responsabilidades de gestión, incluyendo al responsable del proceso y la gestión de proveedores externos a la organización.
La interfaz entre todos los procesos de gestión de servicios y el modo en el que se tiene que coordinar las actividades llevadas a cabo por la empresa.
Enfocar lo que se tiene que hacer para poder identificar, evaluar y gestionar los problemas y los riesgos de llevar a cabo los objetivos que se han definido.
El intercambio de información con proyectos que ya estén creados o en proceso.
Los recursos, las instalaciones y el presupuesto necesario para conseguir todos los objetivos que han sido definidos.
Es la herramienta más adecuada para dar soporte a todos los procesos del Sistema de Gestión de Seguridad de la Información. Tiene que existir una gestión clara por parte de la dirección y las responsabilidades tienen que estar documentadas, revisadas, autorizadas, comunicadas e implementadas.
En cualquier plan específico de un proceso que se elabore debe ser compatible con el plan de gestión de servicios de la empresa.
Un plan de gestión de servicios tiene que incluir: Implementación de gestión de servicios. Facilitar los procesos de gestión de servicios.
Los cambios en los procesos de gestión de servicios. Las mejoras en los procesos de gestión de servicios. Nuevos servicios.
Hacer
Implantar los objetivos y planificar la gestión de servicios. La empresa tiene que implantar el plan de gestión de servicios para poder gestionar de una forma mucho más segura la información y se debe incluir:
La asignación de fondos y presupuestos. Asignación de funciones y responsabilidades.
Documentación y mantenimiento de políticas, procedimientos y definiciones para cada proceso.
Identificar y gestionar los riesgos para el servicio. Gestionar equipos.
Servicio de atención al cliente y operaciones.
Informe de progreso y coordinación de procesos de gestión de servicios.
Verificar
Se tiene que supervisar y verificar todos los objetivos y el plan de gestión de servicios establecido por la organización, para comprobar que se cumplen. La empresa tiene que realizar una planificación para poder implementar la supervisión y la verificación de los procesos de gestión de servicios y los servicios asociados.
La norma ISO 27001 nos dice que los resultados de la verificación deben ofrecer información sobre el programa de mejora del servicio. Entre todos los elementos que se tienen que supervisar, evaluar y analizar se encuentran:
Los logros respecto de los objetivos del servicio definido. La satisfacción de los clientes.
La utilización de recursos. Las tendencias.
Las no conformidades.
Todos los resultados de los análisis que pueden generar una mejora. Las empresas tienen que aplicar los métodos más adecuados para poder supervisar y evaluar los procesos de gestión de servicios en el Sistema de Gestión de Seguridad de la Información.
Todos los métodos tienen que demostrar las capacidades que presentan los procesos para conseguir los resultados planificados.
Actuar
El objetivo que persigue esta fase es mejorar la eficacia de las prestaciones y la gestión de los servicios.
Se debe realizar una política, que sea pública, para mejorar el servicio. Cualquier falta de conformidad con la norma ISO 27001 tiene que ser remediada. Todas las funciones y las responsabilidades que sean necesarias para realizar las actividades de mejora del servicio se tienen que definir de forma clara.
Todas las mejoras de los servicios que propone la organización deben pasar por ser revisadas, registradas, priorizadas y autorizadas. Se puede utilizar un plan de mejora del servicio para poder controlar la actividad.
La empresa tiene que disponer de un proceso que identifique, evalúe y gestione todas las actividades de mejora.
Se tienen que incluir las mejoras del proceso individual para que la persona responsable del proceso pueda implantar los recursos necesarios y las mejoras de toda la empresa.
La empresa puede realizar una serie de actividades con las que recopilar datos para llevar a cabo evaluaciones comparativas de la capacidad de la empresa; identificar, planificar e implementar las mejoras necesarias; consultar a las partes interesadas; generar objetivos para conseguir mejorar la calidad de la seguridad de la información y disminuir los costes. Se tienen que considerar las aportaciones que se realizan referentemente a las mejoras que se realizan en el Sistema de Gestión de Seguridad de la Información ISO 27001. Se debe revisar la política de seguridad y los procedimientos siempre que sean necesarios.
Estructura
La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el Instituto Colombiano de Normas y Técnicas y Certificación ICONTEC. Dicha norma es una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013.
Esta norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre los cuales se encuentran:
1. Objeto y campo de aplicación: Especifica la finalidad de la norma y su uso dentro de una organización.
3. Término y definiciones: Los términos y definiciones usados se basan en la norma ISO/IEC 27000.
4. Contexto de la organización: Se busca determinar las necesidades y expectativas dentro y fuera de la organización que afecten directa o indirectamente al sistema de gestión de la seguridad de la información. Adicional a esto, se debe determinar el alcance.
5. Liderazgo: Habla sobre la importancia de la alta dirección y su compromiso con el sistema de gestión, estableciendo políticas, asegurando la integración de los requisitos del sistema de seguridad en los procesos de la organización, así como los recursos necesarios para su implementación y operatividad.
6. Planificación: Se deben valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, adicional mente se debe dar un tratamiento a los riesgos de la seguridad de la información. Los objetivos y los planes para logar dichos objetivos también se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organización, la competencia de personal, la toma de conciencia por parte de las partes interesadas, la importancia sobre la comunicación en la organización. La importancia de la información documentada, también se trata en este punto.
8. Operación: El cómo se debe planificar y controlar la operación, así como la valoración de los riesgos y su tratamiento.
9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento, medición, análisis y evaluación del sistema de gestión de la información.
10.Mejora: Habla sobre el tratamiento de las no conformidades, las acciones correctivas y a mejora continua.
La segunda parte, está conformada por el anexo A, el cual establece los objetivos de control y los controles de referencia.
ISO 27001:2013
Existen varios cambios con respecto a la versión 2005 en esta versión 2013. Entre ellos destacan:
Desaparece la sección "enfoque a procesos" dando mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.
Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.
Pasa de 102 requisitos a 130.
Considerables cambios en los controles establecidos en el Anexo A, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.
Inclusión de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.
Se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.
Beneficios que aporta a los objetivos de la organización
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas
por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
Certificación
La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.
ISO/IEC 27002
Código de prácticas para los controles de seguridad de la información
ISO 27002:2013
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente es la ISO/IEC 27002:2013.
ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad de la información de la organización y las prácticas de gestión de seguridad de la información, incluida la selección, implementación y gestión de control, teniendo en cuenta el medio ambiente, el riesgo y la seguridad de la información de la organización.
1. Seleccionar los controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO / IEC 27001;
2. Implementar controles de seguridad de la información generalmente aceptadas;
3. Desarrollar sus propias directrices de gestión de seguridad de la información.
Precedentes y evolución histórica
El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En el año 2000 la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005.
Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la Seguridad de la Información, el estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC 27002 en el año 2007.
Directrices del estándar
ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". La versión de 2013 del estándar describe los siguientes catorce dominios principales:
1. Organización de la Seguridad de la Información. 2. Seguridad de los Recursos Humanos.
3. Gestión de los Activos. 4. Control de Accesos. 5. Criptografía.
6. Seguridad Física y Ambiental.
7. Seguridad de las Operaciones: procedimientos y responsabilidades; protección contra malware; resguardo; registro de actividad y
monitorización; control del software operativo; gestión de las vulnerabilidades técnicas; coordinación de la auditoría de sistemas de información.
8. Seguridad de las Comunicaciones: gestión de la seguridad de la red; gestión de las transferencias de información.
9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de información; seguridad en los procesos de desarrollo y soporte; datos para pruebas.
10.Relaciones con los Proveedores: seguridad de la información en las relaciones con los proveedores; gestión de la entrega de servicios por proveedores.
11.Gestión de Incidencias que afectan a la Seguridad de la Información: gestión de las incidencias que afectan a la seguridad de la información; mejoras.
12.Aspectos de Seguridad de la Información para la Gestión de la Continuidad del Negocio: continuidad de la seguridad de la información; redundancias.
13.Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la información.
Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación. El número total de controles suma 114 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades.
Certificación
La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.
La norma ISO/IEC 27001 (Information technology Security techniques -Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.
ISO/IEC 27003
Guía para la implementación de un Sistema de Gestión de Seguridad de la Información.
ISO 27003
ISO 27003 es un estándar internacional que constituye una guía para la implantación de un SGSI.
Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.
ISO-27003 focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001.
Contiene una descripción del proceso de delimitación del SGSI, y además el diseño y ejecución de distintos planes de implementación.
Especifica el proceso de conseguir una aprobación para la implementación de un SGSI, define el proyecto para dicho acometido, el cual es llamado en la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cómo abordar la planificación de la gestión para implementar el SGSI.
La norma tiene el siguiente contenido: 1. Alcance.
2. Referencias Normativas. 3. Términos y Definiciones. 4. Estructura de esta Norma.
5. Obtención de la aprobación de la alta dirección para iniciar un SGSI. 6. Definición del alcance del SGSI, límites y políticas.
7. Evaluación de requerimientos de seguridad de la información. 8. Evaluación de Riesgos y Plan de tratamiento de riesgos. 9. Diseño del SGSI.
Anexo A: lista de chequeo para la implementación de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la información Anexo C: Información sobre auditorías internas.
Anexo D: Estructura de las políticas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI.
ISO/IEC 27004
Medición de la Seguridad de la Información. ISO 27004
ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de medición, qué parámetros medir, cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.
La medición de la seguridad aporta protección a los sistemas de la organización y da respuesta a las amenazas de la misma.
ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel de integración de la seguridad de la información en los procesos de la propia organización.
La norma ISO27004 establece cómo se deben constituir estas medidas y cómo se deben documentar e integrar los datos obtenidos en el SGSI.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de la información son:
Las empresas deben definir lo que hay que medir y el alcance de la medida. Sólo se consideran en la medición los procesos bien documentados que son consistentes y repetibles. Objetos de medición puede ser el rendimiento de los controles o de procedimientos, el comportamiento del personal.
Definición de las líneas base.
Los valores base que muestran el punto de referencia deben definirse para cada objeto que se está midiendo.
Recopilación de datos.
Los datos deben ser dimensionales precisos y oportunos. Se pueden emplear técnicas automatizadas de recogida de datos para lograr una recolección estandarizada y presentar informes.
Desarrollo de un método de medición.
Según ISO 27004, la secuencia lógica de operaciones se aplica en diversos atributos del objeto seleccionado para la medición. Se usan indicadores como fuentes de datos para mejorar el rendimiento de los programas de seguridad de la información.
Interpretación de los valores medidos.
Mediante procesos y la tecnología para el análisis y la interpretación de los valores se deben identificar las brechas entre el valor inicial y el valor de medición real.
Comunicación de los valores de medición.
Los resultados de medición del SGSI se comunicarán a las partes interesadas. Se puede hacer en forma de gráficos, cuadros de mando operacionales, informes o boletines de noticias.
ISO/IEC 27005
Gestión de riesgos de la Seguridad de la Información. ISO 27005
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
Los usuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto riesgo.
La norma incorpora algunos elementos iterativos, por ejemplo si los resultados de la evaluación no son satisfactorios.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000.
Las secciones de contenido son: Prefacio. Introducción. Referencias normativas. Términos y definiciones. Estructura. Fondo.
Descripción del proceso de ISRM. Establecimiento Contexto.
Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información.
Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.
Se trata de un estándar que cuenta con una parte principal concentrada en 24 páginas, también cuenta con anexos en los que se incluye ejemplos y más información de interés para los usuarios.
En estos anexos podemos encontrar tabulados amenazas, vulnerabilidades e impactos, lo que puede resultar útil para abordar los riesgos relacionados con los activos de la información en evaluación.
ISO/IEC 27006
Guía para la certificación del SGSI. ISO 27006
ISO 27006 tiene como título oficial “Tecnología de la información -. Técnicas de seguridad Requisitos para los organismos que realizan la auditoría y certificación de sistemas de información de gestión de la seguridad”, se compone de 10 capítulos y 4 anexos.
El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.
ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Se encarga de especificar los requisitos y suministrar una guía para la auditoría y la certificación del sistema.
Cualquier organización certificada en ISO27001 debe cumplir también con los requisitos de la norma ISO27006.
El proceso de certificación consiste en auditar el SGSI para el cumplimiento de ISO 27001. Los auditores de certificación solo tienen interés pasajero en los controles reales de seguridad de información que están siendo administrados por el sistema de gestión. Se supone que cualquier empresa
con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de información con diligencia.
Esta norma se publicó en 2007 y se revisó en 2011.
La próxima versión es probable que sea diferente debido a los cambios relevantes en las normas en las que se basa.
Los requisitos generales a los que hace referencia son:
Orientación específica del SGSI en relación con la imparcialidad. Listado del trabajo que pudiera estar en conflicto.
Inclusión de una lista de todas las actividades que se pueden realizar fuera.
ISO/IEC 27007 Guía para auditar. ISO 27007
ISO 27007 forma parte de la familia de normas del Sistema de Gestión de Seguridad de la Información – SGSI –.
La norma suministra una guía para las entidades acreditadas de certificación para auditar SGSI.
ISO-27007 refleja en gran parte a la norma ISO 19001 (estándar de auditoría para sistemas de gestión de la calidad y medioambiental). Se encarga de aportar orientación adicional al SGSI.
Por otro lado también se basa en ISO 17021, Evaluación de la conformidad. El estándar acoge:
La gestión del programa de auditoría del SGSI: establecer qué, cuándo y cómo se debe auditar, asignar auditores apropiados, gestionar los
riesgos de auditoría, mantenimiento de los registros de la misma, mejora continua del proceso.
Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de auditoría, la planificación, la realización de actividades clave, trabajo de campo, análisis, presentación de informes y seguimiento.
Gestión de los auditores del SGSI: competencias, atributos, habilidades, evaluación…
Esta guía tiene los siguientes fines:
Confirmar que los controles de seguridad de la información mitigan de forma correcta los riesgos de la organización.
Verificar que los controles de seguridad en relación con la contabilidad general o de los sistemas y procesos de contratación son correctas para que los auditores corroboren los datos.
Ratificar que las obligaciones contractuales de los proveedores son satisfactorias en relación a la seguridad de la información.
Revisar por la dirección, sin olvidar las operaciones rutinarias que forman parte del SGSI de una organización, para asegurarnos que todo está en orden.
Auditar tras incidentes de seguridad de la información como parte del análisis y generar acciones correctivas.
