Actividad 3. NORMA ISO/IEC 27001

NORMA ISO/IEC 27001.ISO-27001: Requisitos y beneficios para las organizaciones - Sustant

La norma ISO/IEC 27001, como tal, nació de la evolución de la norma británica BS 7799. La BS 7799, publicada por la British Standards Institution (BSI) en 1995, sentó las bases para la gestión de la seguridad de la información. Posteriormente, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) tomaron esta norma y la desarrollaron, culminando con la publicación de la ISO/IEC 27001 en el año 2005.

Según la ISO, la ISO no es una abreviatura, es una palabra derivada del griego isos, que significa "igual", raíz del prefijo iso, presente en numerosos términos, como isométrico (de igual medida o dimensiones) e isonomía (igualdad de leyes o de personas ante la ley). El nombre ISO se utiliza en todo el mundo para designar a la organización, evitando así la variedad de abreviaturas que resultaría de la traducción de "Organización Internacional de Normalización" a los diferentes idiomas nacionales de sus miembros. Independientemente del país, la forma abreviada del nombre de la organización siempre es ISO.

Es un estándar internacional que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es ayudar a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información. La norma se basa en el ciclo Planificar-Hacer-Verificar-Actuar (PDCA) y permite a las organizaciones gestionar los riesgos de seguridad de la información de manera sistemática.

La norma ISO 27001 se aplica a cualquier tipo de organización, incluyendo pequeñas y medianas empresas, grandes corporaciones, instituciones gubernamentales y sin fines de lucro. También se puede aplicar en cualquier sector, incluyendo tecnología de la información, finanzas, salud y servicios públicos.

En términos generales, la norma ISO 27001 permite que los datos suministrados sean confidenciales, íntegros, disponibles y legales para protegerlos de los riesgos que se puedan presentar. Contar con este sistema dentro de la organización genera confianza entre los clientes, proveedores y empleados, además, es un referente mundial.

Asímismo, la  implementación de esta norma permite evaluar y controlar los riesgos que se hayan identificado, creando un plan que ayude a prevenirlos y, en caso de presentarse, a mitigar su impacto.

La Organización ISO.

Los orígenes de la organización ISO se remontan al año 1946, cuando delegadosde 25 países se reunieron en Londres para debatir la creación de un nuevo organismo global de normalización. La reunión contó con la participación de representantes de laFederación Internacional de Asociaciones Nacionales de Normalización (ISA) y otras organizaciones. Su objetivo era crear una nueva organización internacional que facilitara la coordinación y unificación internacional de las normas industriales.

En consecuencia, un año después, en 1947, se fundó la Organización Internacional de Normalización, con sede en Ginebra. Esto representó un nuevo comienzo para la normalización internacional tras la Segunda Guerra Mundial.

La ISO, es una organización no gubernamental que agrupa a organismos de normalización de más de 160 países, y cada país miembro está representado por un organismo de normalización.

ISO, la Organización Internacional de Normalización, reúne a expertos mundiales para que se pongan de acuerdo sobre la mejor manera de hacer las cosas, para todo,desde fabricar productos hasta gestionar procesos. Como una de las organizaciones internacionales no gubernamentales más antiguas, ISO ha hecho posible el comercio y la cooperación entre personas y empresas de todo el mundo desde 1946. Las Normas Internacionales publicadas por ISO, sirven para hacer que la vida sea mejor, más fácil y segura.

Es por ello, que los miembros de ISO son organizaciones nacionales de normalización que colaboran en el desarrollo y la promoción de normas internacionalespara tecnología, pruebas científicas, condiciones laborales, cuestiones sociales y más.ISO y sus miembros distribuyen documentos que detallan estas normas.

La misión de ISO es promover normas internacionales, propias, industriales y comerciales que ayuden a las organizaciones a garantizar la calidad, seguridad y eficiencia operativa y de producción. Estas normas son fundamentales para posibilitar el comercio internacional.

LA FAMILIA DE LA NORMAS DE LAS ISO.

La familia de normas ISO,es unconjunto de estándares internacionales desarrollados por la Organización Internacional de Normalización (ISO) para ayudar a las organizaciones en diversos aspectos, como la gestión de calidad, la gestión ambiental, la seguridad y salud en el trabajo, entre otros.Estas normas no sonobligatorias, pero su adopción voluntaria proporciona beneficios como la mejora de la eficiencia, la reducción de riesgos y la obtención de ventajas competitivas.Estas familiasse agrupan según el área de aplicación, como calidad (ISO 9000), gestión ambiental (ISO 14000), seguridad y salud en el trabajo (ISO 45000), y seguridad de la información (ISO 27000), entre otras.Las Normas ISO más conocidas y sus familias:

  • ISO 9000: Esta familia se centra en los sistemas de gestión de calidad, estableciendo fundamentos, vocabulario y requisitos para asegurar la calidad de productos y servicios. La norma más conocida de esta familia es la ISO 9001, que especifica los requisitos para un sistema de gestión de calidad.
  • ISO 14000: Se enfoca en la gestión ambiental, ayudando a las organizaciones a minimizar su impacto ambiental y a cumplir con regulaciones ambientales. La ISO 14001 es la norma principal de esta familia, especificando los requisitos para un sistema de gestión ambiental.
  • ISO 45000: Esta familia aborda la seguridad y salud en el trabajo, buscando proteger la seguridad de los empleados, prevenir accidentes y promover un entorno laboral saludable.
  • ISO 45001: es la norma principal, estableciendo requisitos para un sistema de gestión de seguridad y salud en el trabajo.
  • ISO 27000: Se centra en la gestión de la seguridad de la información, ayudando a las organizaciones a proteger su información sensible. La ISO 27001 es la norma principal, especificando los requisitos para un sistema de gestión de seguridad de la información.
  • ISO 22000: Se dedica a la gestión de la inocuidad de los alimentos, asegurando que los productos alimenticios sean seguros para el consumo.

La importancia de la familia ISO, radica en su capacidad para proporcionar marcos de referencia para la gestión de la calidad, la seguridad, el medio ambiente y otros aspectos cruciales para las organizaciones de todo el mundo.

La familia ISO, ofrece un marco valioso para que las organizaciones mejoren su desempeño en diversas áreas, obtengan ventajas competitivas y contribuyan a un mundo más seguro y sostenible.

Estándares en Seguridad de la Información: Las Normas ISO 27000.

También, conocida como ISO/IEC 27000, es un conjunto de estándares internacionales que se centran en la gestión de la seguridad de la información en las organizaciones.Estos estándares proporcionan un marco integral para establecer, implementar, mantener y mejorar continuamente la seguridad de la información dentro de una empresa. La norma ISO 27000, hace referencia a los estándares de seguridad, puntualizando los siguientes aspectos:

  • Preservación de la confidencialidad, integridad y disponibilidad de la información.Además hay que considerar otras propiedades, como la autenticidad, la responsabilidad,el no repudio y la confiabilidad también pueden estar involucrados.
  • La seguridad de la información como tiene por objetivo la protección de la confidencialidad, integridad y disponibilidad de los datos de los sistemas de información de cualquier amenaza y de cualquiera que tenga intenciones maliciosas.
  • La confidencialidad, la integridad y la disponibilidad, a veces se conocen como la tríada de seguridad de la información que actualmente ha evolucionado incorporando nuevos conceptos tales como la autenticidad, la responsabilidad, el no repudio y la confiabilidad.
  • La seguridad de la información debe ser considerada, desde la base de un análisis y evaluación de riesgos teniendo en cuenta cualquier factor que pueda actuar como un riesgo o una amenaza para la confidencialidad, integridad y disponibilidad etc. de los datos.
  • La información confidencial debe conservarse; no puede modificarse, modificarse ni transferirse sin permiso. Por ejemplo, un mensaje podría ser modificado durante la transmisión por alguien que lo intercepte antes de que llegue al destinatario deseado. Las buenas herramientas de criptografía pueden ayudar a mitigar esta amenaza de seguridad.
  • Las firmas digitales pueden mejorar la seguridad de la información al mejorar los procesos de autenticidad y hacer que las personas prueben su identidad antes de poder acceder a los datos de un sistema de información

La Norma ISO 27001.

Explica los requisitos del sistema de gestión de seguridad de la información (SGSI) de una organización. Permite a las organizaciones demostrar que cumplen con los requisitos regulatorios relacionados con la seguridad de la información y demuestra su compromiso con la protección de datos sensibles y confidenciales.

La norma ISO 27001, proporciona un marco que las organizaciones pueden utilizar para proteger la información. Esto se suele lograr mediante el uso de diferentes tecnologías, prácticas de auditoría y pruebas. También ayuda a mejorar el conocimiento del personal sobre la norma ISO 27001, de modo que los incidentes internos tengan un bajo riesgo de infringir la norma ISO 27001 debido a personal desinformado o sin formación.

En la mayoría de los casos, una organización cuenta con diversos controles de seguridad que regulan el flujo de información entrante y saliente. Sin embargo, estos controles suelen estar desarticulados sin un SGSI que los rija. Esto se debe a que los controles de seguridad suelen implementarse como soluciones puntuales en áreas específicas de la empresa por conveniencia, pero no pueden supervisarse ni controlarse desde un área central. Un SGSI busca simplificar estos controles de seguridad para facilitar la gestión de la seguridad de los datos. Se trata de un enfoque sistemático que ayuda a gestionar los datos confidenciales de la empresa para protegerlos y puede aplicarse a prácticamente cualquier empresa que utilice tecnología, independientemente de su tamaño.

La norma ISO 27001 exige que el personal de gestión de datos, sea capaz de examinar sistemáticamente los riesgos de seguridad de la información de la organización. Esto implica considerar todos los puntos vulnerables del sistema, las amenazas que podrían representar estas debilidades y el impacto que podrían tener en la solución general de gestión de datos. También exige que diseñe e implemente un conjunto integral de controles de seguridad de la información que puedan abordar los riesgos considerados peligrosos o riesgosos.

Finalmente, exige que el personal directivo adopte un proceso de gestión que garantice que todos los controles de seguridad de la información satisfagan las necesidades de seguridad de la información de la organización.

La Norma ISO 27002.

Es una norma internacional que proporciona directrices de seguridad, para las mejores prácticas de gestión de la seguridad de la información. Esta norma fue publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). ISO 27002, es parte de la familia de normas ISO 27000, queson un conjunto de estándares para la seguridad de la información.

Principales aspectos y enfoques.

La ISO 27002 aborda una amplia gama de aspectos relacionados con la seguridad de la información, incluyendo:

  • Políticas de seguridad: Establece la importancia de desarrollar políticas claras y definidas que guíen las acciones y decisiones en materia de seguridad de la información.
  • Gestión de activos: Proporciona directrices para identificar, clasificar y proteger los activos de información de una organización, incluyendo datos, equipos, software y recursos humanos.
  • Control de accesos: Define prácticas para garantizar que el acceso a la información esté restringido a usuarios autorizados y que se implementen controles adecuados para proteger los sistemas y datos.
  • Seguridad física y del entorno: Aborda la importancia de proteger los recursos físicos que albergan la información, como los centros de datos, mediante medidas de seguridad como controles de acceso y vigilancia.
  • Operaciones seguras: Establece directrices para garantizar la seguridad durante las operaciones diarias, incluyendo la gestión de contraseñas, la gestión de incidentes y la monitorización de la seguridad.
  • Desarrollo seguro: Proporciona recomendaciones para integrar la seguridad en todas las etapas del ciclo de vida del desarrollo de software, desde el diseño hasta el mantenimiento.
  • Gestión de incidentes: Define procesos para detectar, gestionar y responder a incidentes de seguridad de manera efectiva, minimizando el impacto en la organización.

La Norma ISO 27002,es importante por varias razones:

  • Estándar reconocido internacionalmente: Al ser un estándar internacional, la ISO 27002 es reconocida y aceptada en todo el mundo, lo que facilita la adopción y el cumplimiento de las mejores prácticas en seguridad de la información
  • Enfoque integral: La norma aborda todos los aspectos relevantes de la seguridad de la información, proporcionando un marco completo para la gestión de la seguridad que ayuda a las organizaciones a identificar y mitigar riesgos de manera efectiva.
  • Mejora continua: La ISO 27002 promueve la mejora continua al establecer procesos para la evaluación y el ajuste constante de las medidas de seguridad, lo que permite a las organizaciones adaptarse a los cambios en el entorno de seguridad.
  • Cumplimiento regulatorio: Cumplir con los requisitos de la ISO 27002 puede ayudar a las organizaciones a cumplir con regulaciones y estándares de seguridad de la información específicos de su industria o jurisdicción.


Comentarios

Publicar un comentario

Entradas más populares de este blog

Principales parámetros básicos de la Seguridad de TIC

Imagen
  Los parámetros básicos de la seguridad de TIC (Tecnologías de la Información y Comunicación) se centran en la protección de la información y los sistemas ante amenazas, y se basan en los principios de confidencialidad, integridad, disponibilidad, autenticación, autorización y no repudio.  Estos principios garantizan que la información sea segura, accesible solo para usuarios autorizados, y que no haya posibilidad de falsificar o negar una acción realizada .   Los principios que se desarrollan a continuación son un conjunto de  protocolos y medidas  destinados a reducir los riesgos ante cualquier problema informático que suceda. También, a detectar y a prevenir posibles amenazas y, lógicamente, a la recuperación del sistema en el caso de que se produzca algún fallo o incidencia. La aplicación de estos principios será la mayor salvaguarda con la que contarás para proteger a tu compañía ante cualquier eventual ciberataque. Confidencialidad    ...
Leer más

¿Qué es un Sistema de Gestión de la Seguridad?

Imagen
       Sistema de Gestión de la Seguridad de TIC      En el mundo actual, donde la mayoría de los procesos están relacionados directamente con las nuevas tecnologías de la información y la comunicación, la seguridad se ha convertido en un asunto clave.         Debido al gran flujo de información que se genera día a día y que circula por la red de manera automática, cada vez son más las empresas que se preocupan por mantener sus datos a salvo e implementar todas las medidas necesarias para lograrlo. ¿Qué es un SGSI?        Los Sistemas de Gestión de Seguridad Informática son básicamente una  reunión de políticas que se aplican para la administración de la información .      Este término viene del inglés Information Security Management System (ISMS), y se utilizó por el sistema ISO/IEC 27001, que es la norma estandarizada internacional que fue aprobada en oc...
Leer más

Actividad 4. NORMA COBIT 5.0

Imagen
    COBIT 5, es un marco de referencia para la gobernanza y gestión de la tecnología de la información (TI) que proporciona un enfoque integral para ayudar a las organizaciones a alcanzar sus objetivos estratégicos. A continuación, se presenta un análisis detallado de sus características, beneficios, limitaciones y su aplicación en las organizaciones. Se caracteriza por: 1) Principales Enfoque en Gobernanza y Gestión : COBIT 5 integra la gobernanza y la gestión de TI, asegurando que las decisiones sobre TI estén alineadas con los objetivos del negocio 2) Modelo de Procesos : Define un conjunto de procesos que abarcan desde la planificación y organización hasta la entrega y soporte, así como la supervisión y evaluación. 3) Marco de Buenas Prácticas: Proporciona un conjunto de buenas prácticas y directrices que pueden ser adaptadas a...
Leer más