Historia Iso Evolucion

Introducció n

Con este trabajo de compilació n voy a tratar de explicar de una forma muy integral y completa las normas establecidas en los está ndares ISO serie 27000 e ISO 17799, explicando có mo son sus marcos de trabajo, sus puntos a evaluar y como estos van ligados estos a unos buenos procesos dentro de la organizació n en términos de tecnología, informació n y sistemas, ofreciendo y garantizando un buen marco de referencia para ordenar y asegurar que nuestra empresa está trabajando bajo unas buenas prá cticas que otras empresas ya han utilizado y les han funcionado de una excelente forma, adicional a la explicació n y argumentació n que cada una de estas normas, incluye realizaremos al final un paralelo entre las buenas prá cticas determinadas en los está ndares ISO serie 27000 e ISO 17799 y los establecidos por COBIT en su ú ltima edició n no con el fin de indicar cuá l de las opciones es la mejor sino con el fin de establecer que en temas de buenas prá cticas a nivel informá tico y tecnoló gico hay muchas opciones y que muchas de esas opciones se está n convirtiendo en un requerimiento a la hora de tratar de salir a otros mercados y que por este motivo debemos estar preparados para establecer estos buenos lineamientos en nuestra empresa para garantizar que el manejo de la informació n está siendo eficaz y eficiente.

Marco Teó rico

Realizar una argumentació n lo má s completa posible de todas las normas establecidas

dentro de la serie ISO 27000 pasando por obviamente una explicació n de esta serie 27000 hasta la norma 27799, donde argumentaremos que trata de controlar cada una de ellas con el fin de describir por que estos modelos y estos está ndares establecen un marco de buenas prá cticas a seguir y a trabajar en nuestra organizació n para garantizar que la informació n si sea manejada de la forma correcta y así atacar los baches que se detecten en el proceso de mejora, adicional integraremos a esta explicació n a la norma 17799 que también ha sido conocida como una má s de la seria 27000, mas puntualmente como la norma 27002 ya que estaría involucrada con todo lo relacionado con la seguridad de la informació n. Al tener conocimiento de có mo estos está ndares ayudan a dar solució n a los baches en la administració n, gestió n y control de la informació n brindando puntos de control que debemos establecer en nuestra empresa para poder certificar el proceso que queramos certificar, vamos a realizar un paralelo con las buenas prá cticas de control para temas de tecnología, informació n y otros puntos relacionados con TI, dadas por COBIT con el fin de demostrar los diferentes caminos y cuá les de ellos se pueden ajustar segú n nuestros objetivos en el momento de tomar en cuenta un proceso de mejora o de certificació n en buenas prá cticas para el tema integral de TI en nuestra organizació n .

Introducció n a ISO serie 27000 e ISO 17799 ISO 27000: Garantizar la Seguridad de la Informació n ISO 27000 es un conjunto de está ndares desarrollados o en fase de desarrollo por ISO International Organization for Standardization) e IEC (International ElectrotechnicalCommission), que proporcionan un marco de gestió n de la seguridad de la informació n utilizable por cualquier tipo de organizació n, pú blica o privada, grande o pequeñ a. Es un está ndar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestió n de Seguridad de la informació n (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que otras normas de sistemas de gestió n (ISO 9001para calidad, ISO 14001 para medio ambiente, etc.). Es un está ndar certificable, es decir, cualquier organizació n que tenga implantado un SGSI segú n este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y tras superar con éxito la misma, recibir la certificació n en ISO 27001

Historia ISO 27000

Desde 1901, y como primera entidad de normalizació n a nivel mundial, BSI (British Standards Institution, la organizació n britá nica equivalente a AENOR en Españ a) es responsable de la publicació n de importantes normas como:

 1979 publicació n BS 5750 - ahora ISO 9001  1992 publicació n BS 7750 - ahora ISO 14001  1996 publicació n BS 8800-ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britá nica o no- un conjunto de buenas prá cticas para la gestió n de la seguridad de su informació n.

La primera parte de la norma (BS 7799-1) es una guía de buenas prá cticas, para la que no se establece un esquema de certificació n. Es la segunda parte

(BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informació n (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el añ o 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestió n.W27000.ES © En 2005, con má s de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como está ndar ISO 27001, al tiempo que se revisó y actualizó ISO17799.

Esta ú ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido, así como el añ o de publicació n formal de larevisió n.

Familias ISO 27000

A semejanza de otras familias de normas ISO, la 27000 está formada por:  ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicació n de cualquier está ndar necesita de un vocabulario claramente definido.  ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestió n de Seguridad de la Informació n. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

 ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prá cticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Informació n. No es certificable.  ISO 27003: Consistirá en una guía de implementació n de SGSI e informació n acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.  ISO 27004: Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.  ISO 27005: Consistirá en una guía de técnicas para la gestió n del riesgo de la Seguridad de la Informació n y servirá , por tanto, de apoyo a la ISO 27001 y a la implantació n de un SGSI.  ISO 27006: Especifica los requisitos para la acreditació n de entidades de auditoría y certificació n de Sistemas de Gestió n de Seguridad de la Informació n.  ISO 27007: Consistirá en una guía de auditoría de un SGSI. ISO 27011: Consistirá en una guía de gestió n de seguridad de la informació n específica para telecomunicaciones. ISO 27031: Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la informació n y comunicaciones.  ISO 27032: Consistirá en una guía relativa a la ciberseguridad.  ISO 27033: Es una norma consistente en 7 partes: gestió n de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso

remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseñ o e implementació n de seguridad en redes.  ISO 27034: Consistirá en una guía de seguridad en aplicaciones.  ISO 27799: Es un está ndar de gestió n de seguridad de la informació n en el sector.

Procesos de la ISO 27000 e ISO 17799.

ISO/IEC 17799 Denominada también como ISO 27002; es un está ndar para la seguridad de la informació n publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisió n Electrotécnica Internacional en el añ o 2000, ISO/IEC 17799 proporciona recomendaciones de las mejores prá cticas en la gestió n de la seguridad de la informació n a todos los

interesados y responsables en iniciar, implantar o mantener sistemas de gestió n de la seguridad de la informació n. La seguridad de la informació n se define en el está ndar como “la preservació n de la confidencialidad (asegurando que só lo quienes estén autorizados pueden acceder a la informació n), integridad (asegurando que la informació n y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informació n y a sus activos asociados cuando lo requieran)”

Historia de ISO 17799

En 1995 el British Standard Institute publica la norma BS 7799, un có digo de buenas prá cticas para la gestió n de la seguridad de la informació n. En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestió n de la seguridad de la informació n; se revisa en 2002. Tras una revisió n de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

 Conjunto completo de controles que conforman las buenas prá cticas de seguridad de la informació n.  Aplicable por toda organizació n, con independencia de su tamañ o.  Flexible e independiente de cualquier solució n de seguridad concreta: recomendaciones neutrales con respecto a la tecnología.

En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

Normas anteriores a la ISO 17799

Multitud de estándares aplicables a diferentes niveles: 1. TCSEC (Trusted Computer Security, militar, US, 1985). 2. ITSEC (Information Technology Security, europeo, 1991). 3. Common Criteria (internacional, 1986-1988). 4. *7799 (británico + internacional, 2000) CARACTERISTICAS DE ISO 17799

Caracteristicas de ISO 17799

Las principales secciones de esta norma son: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información.

3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento.

De estos quince dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo). La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para

establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. ISO 17799 define la información como un activo que posee valor para la Organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

HISTORIADE ISO 27000 E ISO 17799