NORMA ISOIEC 27001 Nombre Claudia Grandi Bustillos Introduccin

NORMA ISO/IEC 27001 Nombre: Claudia Grandi Bustillos

Introducción La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad que a su vez haga una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. A continuación se resumen las características del estándar ISO/IEC 27001 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

ISO/IEC 270001 El estándar para la seguridad de la información ISO/IEC 27001 fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC). Esta norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido PDCA (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799 -2: 2002, desarrollada por la entidad de normalización británica, la British Standarsds Institution (BSI).

Implantación v La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses. v Aquellas organizaciones que hayan aplicado las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. v El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI.

v Este equipo debe estar liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información.

La Serie 2700 La seguridad de la información tiene asignada la serie 2700 dentro de los estándares ISO/IEC: v ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. v UNE-ISO/IEC 27001: Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. v ISO 27002: Anteriormente denominada ISO 17799. v ISO 270023: En fase de desarrollo; probable publicación en 2009. v ISO 27004: En fase de desarrollo; probable publicación en 2009. v ISO 27005: Publicada en Junio de 2008. v ISO 27006: Publicada en Febrero de 2007.

Beneficios de la Norma ISO/IEC 27001 v Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. v Reducción de Riesgos, perdidas, corrupción o robo de la información. v Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. v Los riesgos y sus respectivos controles son revisados constantemente. v Garantiza el cumplimiento de las leyes y reglamentos establecidos en materia de gestión de la información. v Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. v Proporciona confianza y reglas clara al personal de la empresa.

Comparación con la norma ISO 17799 v La ISO 17799 no es certificable, ni fue diseñada para esto. La norma que si es certificable es ISO 27001 como también lo fue su antecesora BS 7799 -2. v ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible aplicación en el SGSI que implanta cada organización. v ISO 17799 es como un complemento para la ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información. v ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 17799 lo hace para certificar ISMS (Information Security Management System).

Preguntas ¿ Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada 17799)? De acuerdo a los beneficios que aporta esta norma ¿ Es considerable el retorno de la inversión que se realiza para tener una certificación ISO 27001 en la empresa?