NORMAS INTERNACIONALES PARA IMPLEMENTAR EN LA SEGURIDAD DE
LA INFORMACION
Los Estándares pueden ser conceptualizados como la definición clara de un modelo, criterio,
regla de medida o de los requisitos mínimos aceptables para la operación de procesos
específicos. Son utilizados como guías para evaluar su funcionamiento y lograr el
mejoramiento continuo de los servicios.
Requieren ser establecidos con el fin de contar con una referencia que permita identificar
oportunamente las variaciones presentadas en el desarrollo de los procesos y aplicar las
medidas correctivas necesarias.
Normas y/o Estándares Internacionales
Todo procedimiento informático debe estar apoyado en estándares y/o normas referentes a
tecnología de información para que brinden la seguridad que la organización necesita.
Estándar BS799.
La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para
la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los
profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y
procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los
requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma,
ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta
regularmente la información en las empresas.
La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una
empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico frente
a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos servicios
diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa certificada.
Norma ISO 17799
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la
seguridad de la información dirigida a los responsables de iniciar, implantar o mantener la
seguridad de una organización.
ISO 17799 define la información como un activo que posee valor para la organización y requiere
por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger
adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la
organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
La seguridad de la información se define como la preservación de:
Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos
autorizados a tener acceso.
Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su
procesamiento.
� Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la información y sus activos asociados.
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de
seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.
La norma ISO 17799 establece diez dominios de control que cubren por completo la gestión de la
seguridad de la información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10. Conformidad con la legislación.
De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar
mediante la implementación de controles) y 127 controles(prácticas, procedimientos o mecanismos
que reducen el nivel de riesgo).
Objetivo ISO 17799:
El objetivo es proporcionar una base comun para desarrollar normas de seguridad dentro de las
organizaciones, un metodo de gestion eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresa
ISO 20000-20001-20002
ISO también tiene un compendio especial para las tecnologías de la información (TI),
correspondiente a la norma internacional ISO 20000. Se precia de ser una de las primeras normas y
estándares internacionales diseñados para este sector. Grosso modo; compila los
procesos enfocados en la gestión efectiva de los servicios de TI para clientes internos y
externos.
Las normas ISO 20000 se encuentran desplegadas en dos documentos:
ISO 20000-1: Cubre los requisitos obligatorios para proveer servicios de TI. Persigue la
prestación de gestión eficaz y eficiente de servicios para empresas y sus clientes.
ISO 20000-2: Detalla el conjunto de prácticas para la gestión de servicios relacionados con
el primer documento.
�Veamos un gráfico con los pros y contras de las Normas ISO para tu empresa y más concretamente,
para tu Departamento de IT:
Objetivo IS0 20000
El objetivo de la norma es demostrar que una organizacion de TI tiene la capacidad suficiente de
satisfacer las necesidades y espectativas de sus clientes pueden ser usados:
Por negocios que ofrecen sus servicios
Por una organizacion que necesite demostrar sus capacidad de servicios que cumplan con
los requisitos de los usuarios
Familia de Normas ISO 27000
Las normas ISO son normas o estándares de seguridad establecidas por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se
encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a
cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el
comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.
En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad
(desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o
pequeña.
ISO 27001
A través de las directrices que aporta la norma ISO 27001, cualquier empresa puede obtener
una protección de sus datos e información más sólida, gracias a la ayuda que supone frente a la
evaluación y la ejecución de controles de seguridad de la información.
Esto indica que, los ataques a cualquier tipo de software, robos de propiedad intelectual o, incluso,
sabotajes son diferentes formas de atentar contra la seguridad de la información, por lo que
representan un serio riesgo para las organizaciones.
En este sentido, la norma ISO 27001 sobre sistemas de gestión de seguridad de la información es
una gran opción frente a la protección de sus datos, ya que las consecuencias derivadas de los
riesgos de seguridad pueden ser muy graves.
�Así, la norma ISO 27001, le ayuda a generar y mantener los controles suficientes y necesarios
para mantener protegida a su empresa.
Es más, si quiere conocer más sobre esta norma, le recomendamos la lectura del artículo 9 pasos
para implementar la norma ISO 27001, ¿se lo va a perder?
Objetivo27001:
ISO 27001 puede ser implementada en cualquier tipo de organizacion, con o sin fines de lucro,
privado o publicas, pequeña o grande. Esta redacatada por los mejores especialidas del mundo, en el
tema y proporcionada una metodologia para implementar la gestion de la seguridad de la
informacion es una organización.
Familia ISO 27000 para la seguridad de la información
Cualquier organización, quiere que su información permanezca segura y accesible, ya que se trata
de uno de sus activos de mayor valor, por lo que cualquier violación a sus datos, supone, en
términos de pérdidas, un coste muy alto.
Por consiguiente, los controles que se establezcan, tiene que ser lo suficientemente estrictos como
para que aseguren la protección y la monitorización regular, para tener la capacidad de mantenerse
actualizados y protegidos frente a riesgos cambiantes.
Especificación técnica ISO / IEC TS 27008
Así, la norma ISO 27008 sobre Tecnologia de la información, técnicas de seguridad, nos indica
las directrices para la evaluación de los controles de seguridad de la información.
De esta manera, nos proporciona la orientación necesaria para realizar la evaluación de todos y
cada uno de los controles implantados, de manera que se pueda garantizar que sean los más
adecuados para su propósito, además de efectivos y eficientes.
Importante es, además, que se encuentren alineados con los obejtivos identificados por la empresa.
Ahora bien, la especificación técnica (TS en inglés), ha sido actualizada no hace mucho, con objeto
de alinearla con las nuevas ediciones de otras normas internacionales, que son complementarias, y
también destinadas a la seguridad de la información.
� Implementar #ISO27001 le ayudará a controlar y reducir riesgos en su seguridad
informática
Así tenemos:
ISO / IEC 27000: sobre descripción general y vocabulario.
ISO / IEC 27001: sobre requisitos.
ISO / IEC 27002: sobre código de práctica para los controles de seguridad de la
información.
En definitiva, la ISO / IEC TS 27008 será la norma internacional que ayudará a las empresas
a evaluar y revisar sus controles a través de la implementación de la norma ISO 27001 de
sistemas de gestión de seguridad de la información.
La norma ISO 27001 frente a los ataques cibernéticos
En definitiva, en un mundo en el que cada vez tienen lugar mayor número de ciberataques y, que
estos, son cada vez más difíciles de detectar y prevenir, la evaluación y revisión de los controles de
seguridad existentes, tiene que llevarse a cabo de una forma periódica y considerarse como un
aspecto fundamental y propio de los procesos de negocio de cualquier empresa.
Además, con la ayuda de la norma ISO / IEC TS 27008, las empresas podrán confiar en que sus
controles serán mucho más efectivos, adecuados y apropiados para mitigar los riegos de seguridad
de la información a los que tiene que enfrentarse la empresa.
Por otro lado, la ISO / IEC TS 27008 beneficia a organizaciones de todos los tipos y
tamaños, como el resto de normas internacionales.
Es decir, independientemente de que sean públicas, privadas o sin fines de lucro, del tamaño, de la
actividad, etc., pueden implementarla y complementarla con el sistema de gestión de seguridad de
la información definido en ISO / IEC 27001.
Formas de procurar la seguridad de la información
A pesar de que la norma ISO 27001 aporta la forma en la que gestionar la seguridad la información
y establecer los controles necesarios, mantener unas buenas prácticas en cuanto a la seguridad de la
información es fundamental.
Entre ellas, no está de más conocer los diferentes tipos de seguridad con la que podemos
encontrarnos:
�Seguridad en la red
Conocida como network security, es la encargada de proteger en sí, la red de cualquier
organización, tanto nivel de hardware como de software.
Ciberseguridad
También llamada cybersecurity o internet security, tiene como objeto prevenir y proteger de los
ataques de origen cibernéticos, por lo que se centra especialmente en la información que se envía y
recibe en los navegadores
Seguridad en la nube
También denominada Cloud Security es una de las que está adquiriendo mayor importancia y
relevancia en la actualidad. Se trata de trabajar desde la nube con las diferentes herramientas y
servicios de los que dispone la empresa.
Software ISOTools
Si quiere la seguridad real de su información y la gestión adecuada de sus controles, el Software
ISOTools es la solución que estaba buscando.
DENTRO DE ESTE CONJUNTO ESTÁN:
Norma Descripción
ISO/IEC Vocabulario estándar para el SGSI para todas las normas de la familia.. Se encuentra en
27000 desarrollo actualmente.
Certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la
ISO/IEC implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión
27001 de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar
internacional en octubre de 2005.
Information technology - Security techniques - Code of practice for information security
management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de
ISO/IEC
buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de
27002
2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de
2007.
ISO/IEC Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001.
27003 Publicada el 1 de febrero del 2010, No está certificada actualmente.
Métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones
ISO/IEC
de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de
27004
diciembre del 2009, no se encuentra traducida al español actualmente.
Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información.
Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos
ISO/IEC
de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma
27005
ISO/IEC 27001. Es la más relacionada a la actual British Standar BS 7799 parte 3. Publicada en
junio de 2008.
� Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los
ISO/IEC sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos para la
27006 certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de
acreditación.
ISO/IEC
Guía para auditar al SGSI. Se encuentra en preparación.
27007
ISO/IEC
Guía para implementar ISO/IEC 27002 en la industria de la salud.
27799:2008
Objetivo ISO 27000:
Estas norma proporcionada una vision general de las normas que componen la serie 27000,
indicando para una de ellas su alcance de actuacion y el proposito de su publicación
Objetivo ISO 27002
Es una guia de nuevas practicas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información.
BIBLIOGRAFIA:
PREZY
https://prezi.com/0v4u1pdloitg/estandares-internacionales-de-seguridad-informatica/
Rafael Martinez – Mayo 2017
Rodrigo Aglr
http://rodrigo-aglr-eise.blogspot.com/
Abril 2015
Aula Mentor
http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_gestin_de_se
guridad_de_la_informacin.html
