IS O & IS O 38500

Loading.... (view fulltext now)

Loading....

Loading....

Loading....

Loading....

Texto completo

(1)

INSTITUTO TECNOLOGICO SUPERIOR

DE HUAUCHINANGO

“UNIDAD III

IS O 2 7 0 0 0 & IS O 3 8 5 0 0

I N G E N I E R Í A I N F O R M Á T I C A

P R E S E N T A :

E Q U I P O 3

itsh

(2)

SERIE 27000

Para cualquier ámbito de desarrollo en empresas, organizaciones en el mercado es muy importante su información ya que es aquel activo que fundamenta su éxito y continuidad en el mismo mercado, el aseguramiento de la información y de los sistemas que la procesas pasa a un primer nivel de importancia para el organismo en que se tratan.

ISO/IEC 27000 llega como herramienta efectiva para la gestión de la seguridad de la información, ISO/IEC 27000 realiza estas tareas de forma metódica, documentada y toma como base objetivos claros de seguridad y una evaluación de los riesgos a los que está sujeta la información de la organización.

Dentro de la norma se ubican diversos estándares desarrollados de igual manera por ISO lo cual fortalece aún más las áreas comprendidas para su gestión tanto para empresas públicas o privadas, grandes y pequeñas.

Dicha norma fue creada desde el siglo pasado con otros nombres y no fue sino hasta 2005 cuando se publica bajo el nombre ISO 27000.

De ella se desprenden otras extensiones de la norma 27001 (Serie 27000), en ella los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

La serie está conformada por las siguientes:

ISO 27001: Publicada el 15 de Octubre de 2005, ésta es la norma principal de la serie y contiene

requisitos del sistema de gestión de seguridad de la información.

ISO 27002: Publicada el 1 de julio de 2007, describe los objetivos de control y controles

recomendables en cuanto a seguridad de la información.

ISO 27003: Mayo 2009, consiste en una guía de implementación de SGSI e información acerca del

uso del modelo PDCA y de los requerimientos de sus diferentes fases.

ISO 27004: Noviembre 2008, especifica las métricas y las técnicas de media aplicables para

determinar la eficacia de un SGSI y de los controles relacionados.

ISO 27005: Junio 2008, Establece las directrices para la gestión del riesgo en la seguridad de la

(3)

para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

ISO 27006: Febrero 2007, especifica los requisitos para la acreditación de entidades de auditoría y

certificación de sistemas de gestión de seguridad para la información.

ISO 27007: Mayo 2010, consiste en una guía de auditoría de un SGSI.

ISO 27011: 2008, consiste en una guía de gestión de seguridad de la información específica para

telecomunicaciones, elaborada conjuntamente con la ITU.

ISO 27031: Mayo 2010, es una guía de continuidad de negocio en cuanto a tecnologías de la

información y comunicaciones.

ISO 27032: Febrero 2009, consiste en una guía relativa a la ciberseguridad.

ISO 27033: 2011, consiste en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de

redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.

ISO 27034: Febrero 2009, guía de seguridad de aplicaciones.

ISO 27799: Junio 2008, es un estándar de gestión de seguridad de la información en el sector

(4)

ISO 38500

Esta norma fue publicada en junio de 2008, basándola en AS8015:2005, va orientada al Gobierno de TI, ésta proporciona un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de información.

Se encuentra alineada con los principios de gobierno corporativo del “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la OCDE”.

Esta norma tiene como campo de aplicación el gobierno de los procesos de gestión de las TI´s en cualquier tipo de organización que utilice hoy las tecnologías de información, facilitando así las bases para la evaluación objetiva del gobierno de TI.

Esta tiene como principios fundamentales los siguientes:  Responsabilidad  Estrategia  Adquisición  Desempeño  Cumplimiento  Comportamiento Humano El marco de trabajo para ISO 38500 son:

Políticas estratégicas: Su posición frente a los principios. Rol de la junta: consulta y aprobación.

Políticas operacionales.

 Especifican como se conducen los proyectos y las operaciones.  Rol de la junta: Conciencia

Políticas de uso.

 Reglas para saber cómo las personas utilizan los sistemas de negocio y sus recursos.  Rol de Junta: Parte de la comunidad de usuarios.

(5)

REGLAS FUNDAMENTALES

GESTION DEL CAMBIO

Regla 0

Comprometa al sponsor y las personas

adecuadas

Regla 1

Comunicar, comunicar, comunicar

Regla 2

Medir, ajustar, medir

Regla 3

Empezar por los fundamentos

Regla 4

Pequeños pasos con objetivos claros

Regla 5

Siga comunicando, siga midiendo, siga

(6)

CONCLUSIONES

La creación de normas en cualquier área siempre será de vital importancia pues ayuda a seguir una línea la cual proporciona las herramientas necesarias para que la gestión de

recursos sea la más óptima y eficiente y así lograr los objetivos que quien hace uso de éstas se ha fijado.

Hablando esencialmente en cuanto a gobierno de TI, éstas normas llegan como herramienta para que la gestión de seguridad y otros aspectos sean realizados de la manera más correcta.

ISO 38500

En conclusión la ISO 38500 está enfocada a la estandarización de los procesos y decisiones empresariales que tienen que ver con las comunicaciones y servicios de información

esta norma en todos los casos busca mejorar los procesos de toma de decisión de inversión en ti y buscar una mejor alineación entre los objetivos de negocio y los de ti. Ofrece una clara guía para los ejecutivos y directivos, ya que les guía en el desempeño de sus responsabilidades.

ISO 27000

En conclusión la ISO 27000 permite a las organizaciones presentar y certificar un nivel de calidad ante sus usuarios y el público en general. Aunque en un principio fue de interés para las grandes empresas, las norma ISO 27000 está siendo considerada también por medianas empresas en el mundo. Además, las normas sirven para tener una guía de buenas prácticas que pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma

Figure

Actualización...

Referencias

Actualización...

Related subjects :