Genérico 6min de Leitura - 02 de julio de 2015

ISO 27000, primeros pasos con la norma

ISO 27000

This post is also available in: Português English Español

[rev_slider es-hor-post-seguranca]

 

El tema de seguridad de la información es ampliamente discutido y evidenciado en el medio corporativo, ya que la información se considera uno de los bienes más valiosos para las organizaciones, independientemente de su segmento o porte. La importancia de la información amplió la necesidad del desarrollo de estructura estandarizada para implantación y operación de los conceptos de seguridad de la información. En el marco de esta demanda, organizaciones mundiales (ISO/IEC) iniciaron el desarrollo de normas, originando la familia ISO 27000, que estandariza actividades relacionadas con la implantación y operación de Sistemas de Gestión de Seguridad de la Información (SGSI).

A continuación, traemos recogido general sobre la norma ISO 27000, iniciando por su historia y disertando sobre las características generales de la norma, contextualizando SGSI (Sistema de Gestión de Seguridad de la Información), así como su importancia y beneficios para las organizaciones.

Un poco de historia

En 1995 se publicó el Estándar Británico BS 7799, que dio origen a la serie ISO 27000. Después de algunos años, en 1999, el BS 7799 pasa por revisión generando los estándares BS 7799-1: Buenas prácticas para la Gestión de Seguridad Información, BS 7799-2: Sistema de Gestión de la Seguridad de la Información y BS 7799-3: Directrices para la gestión del riesgo.

En el año 2000 el estándar BS 7799-1 pasa a ser identificado como ISO 17799. Durante el período 2001 a 2004 la norma ISO 17799 pasó por una amplia revisión, resultando en una nueva versión ISO/IEC 17799: 2005, publicada en junio de 2005. En ese mismo año el BS 7799-2 es adoptado por la ISO, recibiendo la numeración 27000, dando inicio a la serie dirigida a la estandarización de normas para el segmento de seguridad de la información, lanzado como norma ISO/IEC 27001. En julio de 2007 el estándar 17799:2005 recibe nueva numeración (ISO/IEC 27002:2005), integrando la serie ISO 27000. Las evoluciones de la familia 27000 no pararon por ahí, tal como veremos a raíz de este artículo.

Las organizaciones ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) mantienen equipos de expertos dedicados al desarrollo de normas internacionales, posibilitando que las organizaciones implementen estructuras adecuadas para la gestión de sus activos de información, tales como información financiera, de propiedad intelectual, datos de empleados, clientes o terceros, o sea, toda información que traiga valor para las corporaciones.

Las normas ISO 27000 posibilitan que organizaciones de todos los tipos y tamaños implementen y operen un Sistema de Gestión de Seguridad de la Información (SGSI). Las normas internacionales, para este fin, se ordenan respetando el orden de numeración, tal como se elabora a continuación:

ISO/IEC 27000: Sistema de Gestión de la Seguridad de la Información – Generalidades y vocabulario

ISO/IEC 27001: Sistema de Gestión de la Seguridad de la Información – Requisitos

ISO/IEC 27002: Buenas prácticas para controles de la seguridad de la información

ISO/IEC 27003: Guía de implementación del sistema de gestión de la seguridad de la información

ISO/IEC 27004: Gestión de la seguridad de la información – Medición

ISO/IEC 27005: Gestión de riesgos de seguridad de la información

ISO/IEC 27006: Requisitos para empresas de auditoría y certificación de Sistemas de Gestión de la Seguridad de la Información

ISO/IEC 27007: Directrices para auditoría en Sistemas de Gestión de la Seguridad de la Información

ISO/IEC TR 27008: Directrices para auditores sobre control de la seguridad de la información

ISO/IEC 27010: Gestión de la seguridad de la información para la comunicación intersectorial e interorganizacional

ISO/IEC 27011: Directrices para gestión de la seguridad de la información en organizaciones de telecomunicaciones basadas en la ISO/IEC 27002

ISO/IEC 27013: ISO / IEC 27013: Directrices para implementación integrada de la ISO/IEC 27001 e la ISO/IEC 20000-1

ISO/IEC 27014: Gobernanza de la seguridad de la información

ISO/IEC TR 27015: Directrices para gestión de la seguridad de la información en servicios financieros

ISO/IEC TR 27016: Directrices para gestión de la seguridad de la información – Empresas de economía

Alcance Familia 27000

Las normas internacionales, pertenecientes a la familia 27000, sirven de base para la creación y operación de Sistemas de Gestión de Seguridad de la Información (SGSI). El modelo es el resultado del consenso entre especialistas, considerado el estado del arte en lo que se refiere a la estandarización para el segmento de seguridad de la información.

El objetivo de la norma en cuestión es presentar un recogimiento general sobre el sistema de gestión de seguridad de la información y ambientalizar a los lectores sobre términos técnicos utilizados durante el proceso de estandarización.

Términos y definiciones

En el documento oficial de la norma ISO 27000 es posible consultar una infinidad de términos y definiciones utilizados en el proceso de estandarización. Por el hecho de ser un tema más extenso, no trataremos de este asunto en nuestro artículo, pero dejaremos el enlace para apoyar a aquellos que tengan interés en la profundización sobre este tema (ISO/IEC 27000 – Haga clic aquí).

Sistema de Gestión de la Seguridad de la Información (SGSI)

Un Sistema de Gestión de la Seguridad de la Información concentra las políticas, procedimientos, directrices y recursos, para la gestión conjunta, en pro de la protección de los activos de información de las organizaciones. Además, el SGSI consolida un enfoque sistemático para el establecimiento, implantación, operación, monitoreo, revisión y mejora de la seguridad de la información, alineados a los objetivos estratégicos del negocio. El SGSI se basa en conceptos de evaluación y aceptación de riesgos, posibilitando la gestión eficaz de los mismos, en el día a día de la empresa.

Principales fundamentos para obtener éxito en la implementación de un SGSI:

  1. Generar conciencia sobre la necesidad de seguridad de la información;
  2. Establecer responsables de la seguridad de la información;
  3. Incorporar el compromiso de gestión e intermediar los intereses de los colaboradores;
  4. Reforzar los valores sociales;
  5. Evaluar cuidadosamente los riesgos, para establecer controles apropiados y obtener niveles aceptables para la organización;
  6. Tratar la seguridad de la información como elemento esencial en las redes y sistemas;
  7. Actuar de forma activa en la prevención y detección de incidentes de seguridad de la información;
  8. Garantizar un enfoque global para gestión de la seguridad de la información y establecer métodos de evaluación continua, promoviendo modificaciones de acuerdo a las necesidades del negocio.

Importancia del SGSI

En un mundo interconectado, los procesos y recursos asociados a la información se consideran activos críticos para los negocios. Las organizaciones, y sus sistemas, enfrentan una serie de amenazas de seguridad, de los más variados tipos, incluyendo espionaje, sabotaje, terrorismo, desastres naturales difíciles de adelantar, además de los ataques enfocados en sistemas de información y redes de comunicación, que están cada vez más especializados y difíciles de identificar y prevenir. Por las razones expuestas, la implantación de un SGSI ofrece un fuerte apoyo para la gestión del riesgo en las organizaciones.

La adopción de un SGSI, por una empresa, independientemente del porte, debe involucrar a colaboradores internos, asociados y proveedores, dando total consistencia al proceso. Es importante resaltar que los sistemas de información utilizados por la empresa deben tener alineación con las normas técnicas apropiadas, trayendo conformidad para el negocio.

Otro detalle muy importante es que las posibilidades técnicas relacionadas con la seguridad de la información son ilimitadas, aunque en algunos casos los conceptos técnicos necesitan ser apoyados en procedimientos tratados por el contexto del SGSI.

Factores críticos de éxito

Hay muchos factores que influyen en el éxito de la implementación de un SGSI, pero una de las principales orientaciones está asociada al total compromiso del mismo con los objetivos estratégicos del negocio, con el fin de atenderlos de forma plena.

El SGSI debe estar presente en la cultura organizacional de la empresa, teniendo apoyo de todos los niveles de la gestión, principalmente de la alta dirección. También es necesario que haya comprensión de los requisitos para protección de la información y gestión de riesgos, a través de la concientización global de los colaboradores, con la implantación de programas para la educación de los mismos, establecimiento de normas, reglas, dejando claro el papel de cada uno en el proceso de consolidación del SGSI. Además de las actividades enumeradas, es de extrema importancia crear metodología para la gestión de incidentes de seguridad de la información y continuidad de negocios. Por último, es de gran importancia establecer un sistema para medir el desempeño del SGSI, incluyendo feedback y mejoras al proceso.

Beneficios SGSI – Familia 27000

El principal objetivo asociado a la implementación de un SGSI en la organización es reducir la probabilidad y/o el impacto causado por incidentes de seguridad de la información, pero otros beneficios pueden ser resaltados, tal como sigue:

  • Método organizado para apoyar el proceso de especificación, implantación, operación y mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI);
  • Asistencia para la gestión de la seguridad de la información dentro del contexto de riesgo, gestión y gobernanza;
  • Alineación a conceptos y buenas prácticas adoptadas globalmente, de una forma no prescriptiva, posibilitando adaptación de acuerdo con necesidades específicas de cada negocio;
  • Credibilidad para la organización junto a colaboradores y mercado;
  • Gestión más eficaz de las inversiones destinadas a la seguridad de la información;

La información expuesta en este artículo tiene carácter introductorio, sirviendo como referencia para estudios en profundidad sobre el estándar ISO 2700, y demás normas pertenecientes a la familia.

Manténgase atento a los próximos artículos, y mejore sus conocimientos sobre las normas de la familia 27000.

This post is also available in: Português English Español