ISO 27000 Informe
Short Description
iso 27000...
Description
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
MATERIA: Administración de Sistemas II DOCENTE: Ing. Cosme Ortega. ESTUDIANTE: José Padilla. FECHA: 18 de abril del 2017. TEMA: ISO 27000.
Tabla de Contenidos: INTRODUCCIÓN: ............................................................................................................................ ............................................................................................................................ 1 DESARROLLO: ............................................................. ................................................................................................................................ ................................................................... 2 CONCLUSIONES: ................................................................................................................. ............................................................................................................................ ........... 6 REFERENCIAS: ................................................................................................................................ ................................................................................................................................ 6
Tabla de Figuras: .............................................................................. 3 Figura 1. Evolución de la Norma ISO 27000 ............................................................................... ..................................................................................... 5 Figura 2. Beneficios Norma ISO 27000. ......................................................................................
INTRODUCCIÓN: Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). La adopción de un SGSI debería ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización están influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto internas como externas. ((ICONTEC), 2006) La información y los procesos que la utilizan hacen parte de los activos más importantes de una organización. Definir, lograr, mantener y mejorar la seguridad de la información es esencial para mantener una ventaja competitiva que permita alcanzar el éxito y lograr continuidad en un mercado globalizado. Para una organización competitiva es necesario implantar un sistema para la gestión de la seguridad de la información, que permita tener unos objetivos claros de seguridad y una evaluación de los riesgos posibles a los que esté expuesta su información, asegurando así la continuidad del negocio, minimizando el riesgo comercial y maximizando el retorno de las inversiones y las oportunidades comerciales. (SENA - Servicio Nacional de Aprendizaje)
1
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
DESARROLLO: Norma ISO 27000 Es una familia de estándares de internacionales para sistemas de gestión de la seguridad de la información (SGSI) que proporcionan un marco de gestión de la seguridad de la información. Tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña.
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de (Information Security Management System). En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. El SGSI incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. Este estándar ISO 27000 adopta también el modelo
“Plan -Do-Check-Act” (PDCA).
¿Qué significa Plan-Do-Check-Act? Plan (Establecer el SGSI): Implica, establecer a política SGSI, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización. Do: (Implementar y operar el SGSI): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos. Check : (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
2
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
Act: (Mantener y mejorar el SGSI): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del SGSI o cualquier otra información relevante para permitir la continua mejora del SGSI. (Gladisichau, 2013)
Breve Historia de la Norma ISO 27000
1901-. Nacimiento del BSi. 1910-. Creación del primer estándar. 1926-. Inicio del proceso de certificación de productos. 1946.- Creación de la ISO por parte de miembros del Bsi 1979-. Primer estándar para sistemas de gerencia (BS 5750) 1992-. Primer estándar sobre el medio ambiente. 1999-. Elaboración del estándar sobre seguridad de la información (BS 7799).
Desarrollo del Estándar BS 7799: 1993: (Reuniones de un grupo multi-sectorial.) (Primer borrador de “Código de Prácticas”). 1995: Publicación Oficial BS 7799:1 Código de buenas prácticas. 1998: Publicación Oficial BS 7799:2 Especificaciones SGSI. 1999: Publicación Oficial BS 7799:1999 Parte 1 y 2 2002: Publicación de nueva versión BS 7799:2
Desarrollo del Estándar ISO/IEC 27002: 2000: ISO/IEC 17799:2000 Código de buenas prácticas 2002: UNE ISO/IEC 17799 Código de buenas prácticas 2004: UNE 71502 Especificaciones SGSI 2005: ISO 17799: 2005. Código de buenas prácticas 2005: ISO/IEC 27001 Especificaciones SGSI 2007: ISO/IEC 17799 ISO/IEC 27002 2013: ISO/IEC 27001:2013. Borrador final en 07/2013. Norma a fines de 2013. Esta versión tendrá 114 controles en 14 dominios (en Ia actual versión son 133 controles en 11 dominios).
F igura 1. Evolución de la Norma ISO 27000 3
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
Características de la norma ISO 27000
Confidencialidad: la propiedad que esta información esté disponible no sea divulgada a personas, entidades o procesos no autorizados. Seguridad de información: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad. Sistema de gestión de la seguridad de la información: esa parte del sistema gerencial general, basado en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la información
Ventajas:
Establecimiento de una metodología de gestión de la seguridad clara y estructurada. Reducción del riesgo de pérdida, robo o corrupción de información. Los clientes tienen acceso a la información a través medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organización. Reducción de costes y mejora de los procesos y servicio. Aumento de la motivación y satisfacción del personal. Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
4
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
F igura 2. Beneficios Norma ISO 27000. Riesgos:
Exceso de tiempos de implantación. Temor ante el cambio: resistencia de las personas. Discrepancias en los comités de dirección. Delegación de todas las responsabilidades en departamentos técnicos. No asumir que la seguridad de la información es inherente a los procesos de negocio. Planes de formación y concienciación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance. Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Falta de comunicación de los progresos al personal de la organización.
Algunas empresas con estándares de calidad ISO 27000: Colombia: S.A.: ISO/IEC 27001:2005 Etek International Holding Corp. :ISO/IEC 27001:2005 Financial Systems Company Ltda: ISO/IEC 27001:2005 Ricoh Colombia, S.A.: ISO/IEC 27001:2005 Ecuador: CNT: certificatión ISO 27001
5
UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
CONCLUSIONES:
La norma ISO 27000 es una norma que ha ido evolucionando con el tiempo y ahora está conformada por una serie de estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional. La función principal de la serie de normas que conforman la ISO 27000 es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. Es muy fundamental que las empresas o instituciones obtengan esta certificación ya que esta norma específica los requisitos para la implantación del SGSI, además que adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
REFERENCIAS: (ICONTEC), I. C. (2006). NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001. BOGOTA: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). Obtenido de NORMA TÉCNICA NTC-ISO/IEC. Gladisichau. (08 de enero de 2013). SlideShare. Obtenido de SlideShare: https://es.slideshare.net/Gladisichau/resumen-norma-iso-27001 Pritesh Gupta.com. (2012). ISO 27000.es. Obtenido de ISO 27000.es: http://www.iso27000.es/sgsi.html SENA - Servicio Nacional de Aprendizaje. (s.f.). Estándares para la seguridad. Obtenido de Estándares para la seguridad: https://senaintro.blackboard.com/bbcswebdav/institution/semillas/217219_1_VIRTU AL/OAAPs/OAAP1/aa1/oa_estandarseguridad/oc.pdf Suarez, H. (24 de mayo de 2013). SlideShare. Obtenido de SlideShare: https://es.slideshare.net/haroll1/norma-iso-27000
6
View more...
Comments