REVISTA- DE SEGURIDAD Y CIBERSEGURIDAD

PROYECTO DE SEGURIDAD Y CIBERSEGURIDAD

“SI VAS A GASTAR MAS EN EL CAFÉ QUE EN LA SEGURIDAD QUEEN LA SEGURIDAD DE TI, SERAS HACKEADO. LO QUE ES MAS, MERECES SER HACKEADO” RICHARD CLARKE

“LA CIBERSEGURIDAD PARTICIPA EN LA MEJORA DE LOS PROCESOS Y LA CALIDADFINAL DE TODOS LOS SERVICIOS”

NORDSTERN- VICTOR

¿QUÉ ES LA NORMA ISO/IEC 27005?

LA ISO/IEC 27005 PROPORCIONA DIRECTRICES PARA EL ESTABLECIMIENTO DE UN ENFOQUE SISTEMÁTICO DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EL CUAL ES NECESARIO PARA IDENTIFICAR LAS NECESIDADES ORGANIZACIONALES CON RESPECTO A LOS REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN PARA CREAR UN SISTEMA EFICAZ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. ADEMÁS, ESTA NORMA INTERNACIONAL ES COMPATIBLE CON LOS CONCEPTOS DE LA ISO/IEC 27001 Y ESTÁ DISEÑADA PARA AYUDAR A UNA IMPLEMENTACIÓN EFICAZ DE LA SEGURIDAD DE LA INFORMACIÓN BASADOS EN UN ENFOQUE DE GESTIÓN DEL RIESGO.

ESTRUCTURA ISO27005

EL ESTÁNDAR ISO/IEC 27005 TIENE LAS SIGUIENTES SECCIONES:

PREFACIO.

INTRODUCCIÓN.

REFERENCIAS NORMATIVAS.

TÉRMINOS Y DEFINICIONES.

ESTRUCTURA.

FONDO.

DESCRIPCIÓN DEL PROCESO DE ISRM.

ESTABLECIMIENTO CONTEXTO.

INFORMACIÓN SOBRE LA EVALUACIÓN DE RIESGOS DE SEGURIDAD (ISRA)

TRATAMIENTO DE RIESGOS SEGURIDAD DE LA INFORMACIÓN.

ADMISIÓN DE RIESGOS SEGURIDAD DE LA INFORMACIÓN.

COMUNICACIÓN DE RIESGOS DE SEGURIDAD DE INFORMACIÓN.

INFORMACIÓN DE SEGURIDAD SEGUIMIENTO DE RIESGOS Y REVISIÓN.

ISO 27005 APLICA

LSE PUEDE APLICAR EN TODAS LAS EMPRESAS, INDEPENDIENTEMENTE DEL TIPO DE ORGANIZACIÓN QUE SEA O DE SU TAMAÑO. ESTA NORMA

FACILITA LA GESTIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN. PROPORCIONA UNA ORIENTACIÓN DETALLADA PARA LOS ENCARGADOS DE IMPLEMENTAR EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI), PROFESIONALES DEL RISK MANAGEMENT Y PERFILES DE SEGURIDAD.

ANÁLISIS DE RIESGOS SEGÚN ISO 27005

PROVIENE DE QUE ES UNA HERRAMIENTA QUE NOS PERMITE IDENTIFICAR LAS AMENAZAS A LAS QUE SE ENCUENTRAN EXPUESTOS TODOS LOS ACTIVOS, SE ESTIMA LA FRECUENCIA EN LA QUE SE MATERIALIZAN TODAS LAS AMENAZAS Y VALORA EL IMPACTO QUE SUPONE QUE SE MATERIALICE EN NUESTRA ORGANIZACIÓN.

EL REFERENTE DEL ANÁLISIS DE RIESGOS ISO 27005, ES MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN) EXISTEN PROFESIONALES QUE HAN DECIDIDO ELABORAR SUS PROPIAS METODOLOGÍAS POR CONSIDERAR QUE SE ADAPTAN MEJOR A SUS EMPRESAS. EL ESTÁNDAR INTERNACIONAL ISO 27005 ES LA NORMA UTILIZADA PARA EL ANÁLISIS DE RIESGOS.

ISO 27005 SIRVE

PARA NO TENER DUDAS SOBRE LOS DIFERENTES ELEMENTOS QUE DEBE INCLUIR TODA LA METODOLOGÍA DE ANÁLISIS DE RIESGOS, POR LO QUE SI LO VEMOS DESDE ESTE PUNTO DE VISTA SE PUEDE CONSTITUIR COMO UNA METODOLOGÍA EN SÍ MISMA.

EL ESTÁNDAR INCLUYE 6 ANEXOS DIFERENTES QUE VAN DESDE LA A HASTA LA F, SON DE CARÁCTER INFORMATIVO Y NO NORMATIVO, PRESENTA ORIENTACIÓN PARA REALIZAR LA IDENTIFICACIÓN DE ACTIVOS E IMPACTOS, CIERTOS EJEMPLOS DE VULNERABILIDAD Y LAS AMENAZAS QUE SE PUEDEN ASOCIAR, HASTA DIFERENTES APROXIMACIONES PARA REALIZAR EL ANÁLISIS SE DISTINGUE ENTRE ANÁLISIS DE RIESGOS DE ALTO NIVEL Y ANÁLISIS DETALLADO.

S E G U R I D A D D E L A

I N F O R M A C I Ó N INTRODUCCIÓN

LA NORMA ISO 27002 ES UNA GUÍA COMPLEMENTARIA A LA NORMA ISO 27001, QUE ESTABLECE LOS REQUISITOS PARA UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) EL OBJETIVO PRINCIPAL DE ISO 27002 ES PROPORCIONAR PAUTAS Y RECOMENDACIONES PARA ESTABLECER, IMPLEMENTAR, MANTENER Y MEJORAR LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ORGANIZACIÓN. LA NORMA ABORDA UNA AMPLIA GAMA DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN, ORGANIZADOS EN 14 DOMINIOS CLAVE.

LOS 14 DOMINIOS CLAVE

SON: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, GESTIÓN DE ACTIVOS, CONTROL DE ACCESO, CRIPTOGRAFÍA, SEGURIDAD FÍSICA Y DEL ENTORNO, SEGURIDAD DE LAS OPERACIONES, SEGURIDAD EN EL DESARROLLO Y MANTENIMIENTO DE SISTEMAS, GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN, GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO, CUMPLIMIENTO, ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO, RELACIONES CON PROVEEDORES Y GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. CADA DOMINIO INCLUYE UNA SERIE DE CONTROLES Y PRÁCTICAS RECOMENDADAS QUE UNA ORGANIZACIÓN PUEDE IMPLEMENTAR PARA PROTEGER SU INFORMACIÓN Y GARANTIZAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LOS ACTIVOS DE INFORMACIÓN.

IMPLEMENTACIÓN

ES IMPORTANTE DESTACAR QUE ISO 27002 NO ES UNA NORMA CERTIFICABLE POR SÍ MISMA. SIN EMBARGO, MUCHAS ORGANIZACIONES UTILIZAN ESTA NORMA COMO GUÍA PARA IMPLEMENTAR LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN REQUERIDOS POR ISO 27001 Y PARA MEJORAR SU POSTURA DE SEGURIDAD EN GENERAL. LA IMPLEMENTACIÓN DE ISO 27002 IMPLICA LA IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN, LA EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN, LA SELECCIÓN DE LOS CONTROLES DE SEGURIDAD ADECUADOS Y LA IMPLEMENTACIÓN DE LOS CONTROLES SELECCIONADOS.

BENEFICIOS

LA NORMA ISO 27002 ES AMPLIAMENTE RECONOCIDA Y UTILIZADA EN TODO EL MUNDO COMO UNA REFERENCIA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. PROPORCIONA UN MARCO SÓLIDO Y COMPLETO QUE AYUDA A LAS ORGANIZACIONES A IDENTIFICAR Y ABORDAR LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN DE MANERA EFECTIVA. LA IMPLEMENTACIÓN DE ISO 27002 PUEDE AYUDAR A LAS ORGANIZACIONES A MEJORAR SU POSTURA DE SEGURIDAD, REDUCIR LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN, CUMPLIR CON LOS REQUISITOS LEGALES Y REGLAMENTARIOS, MEJORAR LA CONFIANZA DE LOS CLIENTES Y MEJORAR LA EFICIENCIA Y EFICACIA DE LOS PROCESOS DE NEGOCIO RELACIONADOS CON LA SEGURIDAD DE LA INFORMACIÓN.

INTRODUCCIÓN A LA NORMA ISO27001

LA NORMA ISO 27001 ES UN ESTÁNDAR INTERNACIONAL QUE ESTABLECE LOS REQUISITOS PARA LA IMPLEMENTACIÓN, MANTENIMIENTO Y MEJORA CONTINUA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ESTE SISTEMA SE UTILIZA PARA PROTEGER LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN. LA NORMA PROPORCIONA UN MARCO PARA LA SEGURIDAD DE LA INFORMACIÓN QUE AYUDA A LAS ORGANIZACIONES A IDENTIFICAR Y GESTIONAR SUS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN DE MANERA EFECTIVA.

APLICABILIDAD DE LA NORMA ISO27001

LA NORMA ISO 27001 SE APLICA A CUALQUIER TIPO DE ORGANIZACIÓN, INCLUYENDO PEQUEÑAS Y MEDIANAS EMPRESAS, GRANDES CORPORACIONES, INSTITUCIONES GUBERNAMENTALES Y SIN FINES DE LUCRO. TAMBIÉN SE PUEDE APLICAR EN CUALQUIER SECTOR, INCLUYENDO TECNOLOGÍA DE LA INFORMACIÓN, FINANZAS, SALUD Y SERVICIOS PÚBLICOS.

PROCESO DE IMPLEMENTACIÓN DE LANORMAISO27001

EL PROCESO DE IMPLEMENTACIÓN DE LA NORMA ISO 27001 SE DIVIDE EN CUATRO FASES:

1. FASE DE PLANIFICACIÓN

2. FASE DE IMPLEMENTACIÓN

3. FASE DE EVALUACIÓN

4. FASE DE MEJORA CONTINUA

ESTRUCTURADELANORMA ISO27001

OBJETO Y CAMPO DE LA APLICACIÓN. REFERENCIAS NORMATIVAS TÉRMINOS Y DEFINICIONES CONTEXTO DE LA ORGANIZACIÓN LIDERAZGO PLANIFICACIÓN SOPORTE OPERACIÓN EVALUACIÓN DE DESEMPEÑO MEJORA

¿QUÉPERMITELANORMAISO 27001?

LA NORMA ISO 27001 PERMITE QUE LOS DATOS SUMINISTRADOS SEAN CONFIDENCIALES, ÍNTEGROS, DISPONIBLES Y LEGALES PARA PROTEGERLOS DE LOS RIESGOS QUE SE PUEDAN PRESENTAR. CONTAR CON ESTE SISTEMA DENTRO DE LA ORGANIZACIÓN GENERA CONFIANZA ENTRE LOS CLIENTES, PROVEEDORES Y EMPLEADOS, ADEMÁS, ES UN REFERENTE MUNDIAL.

ASÍ MISMO, LA IMPLEMENTACIÓN DE ESTA NORMA PERMITE EVALUAR Y CONTROLAR LOS RIESGOS QUE SE HAYAN IDENTIFICADO, CREANDO UN PLAN QUE AYUDE A PREVENIRLOS Y, EN CASO DE PRESENTARSE, A MITIGAR SU IMPACTO.

AYUDA A LAS EMPRESAS A GESTIONAR LOS RIESGOS DE PRIVACIDAD RELACIONADOS CON LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL (IIP) Y AYUDA AL CUMPLIMIENTO DE LA NORMATIVA GDPR.

LA NORMA ISO 27701 PROPORCIONA UN MARCO PARA LA GESTIÓN DE LA PRIVACIDAD DE LOS DATOS. LOS SISTEMAS DE GESTIÓN DE LA INFORMACIÓN SOBRE LA PRIVACIDAD SE DENOMINAN A VECES SISTEMAS DE GESTIÓN DE LA INFORMACIÓN PERSONAL.

QUÉ ES LA ISO/IEC 27701

AYUDA A LAS ORGANIZACIONES A ESTABLECER SISTEMAS QUE RESPALDEN EL CUMPLIMIENTO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) DE LA UNIÓN EUROPEA Y OTROS REQUISITOS DE PRIVACIDAD DE DATOS, PERO COMO NORMA GLOBAL NO ES ESPECÍFICA DEL RGPD.

PERMITE A UNA ORGANIZACIÓN GESTIONAR Y COMPROBAR PERIÓDICAMENTE EL ESTADO DE CUMPLIMIENTO. ESTO PERMITE UNA MEJORA CONTINUA DEL SISTEMA

PARA GARANTIZAR LA PROTECCIÓN DE LA CONFIDENCIALIDAD Y ABORDAR LAS VULNERABILIDADES.

LA NORMA ISO 27701 ESTÁ DISEÑADA COMO UNA EXTENSIÓN DE LA NORMA ISO 27001 Y PUEDE SER IMPLEMENTADA SIMULTÁNEAMENTE O EN UNA ETAPA POSTERIOR A LA ISO 27001.

BENEFICIOS DE ISO/IEC 27701:

GENERA CONFIANZA EN LA GESTIÓN DE LA INFORMACIÓN PERSONAL. PROPORCIONA TRANSPARENCIA ENTRE LAS PARTES INTERESADAS.

FACILITA ACUERDOS COMERCIALES EFECTIVOS

ACLARA ROLES Y RESPONSABILIDADES

APOYA EL CUMPLIMIENTO DE LAS NORMAS DE PRIVACIDAD REDUCE LA COMPLEJIDAD AL INTEGRARSE CON EL ESTÁNDAR DE SEGURIDAD DE INFORMACIÓN LÍDER ISO / IEC 27001

¿EN QUÉ CONSISTE LA ISO/IEC 27701?

LA NORMA ISO/IEC 27701 ESTABLECE TODOS LOS REQUISITOS Y ESPECIFICA LA ORIENTACIÓN QUE SE DEBE SEGUIR PARA IMPLEMENTAR, MANTENER Y MEJORAR DE FORMA CONTINUA UN SISTEMA DE GESTIÓN DE LA PRIVACIDAD DE LA INFORMACIÓN (SGPI) SE ENCUENTRA BASADO EN LOS REQUISITOS QUE ESTABLECE LA NORMA ISO 27001 Y LAS BUENAS PRÁCTICAS PARA LOS CONTROLES DE SEGURIDAD QUE OFRECE LA NORMA ISO 27002.

LA NORMA ISO/IEC 27701 OFRECE UN MARCO DEL SISTEMA DE GESTIÓN CON EL QUE SE PROTEGE LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL (IIP) ENGLOBA LA MANERA EN LA QUE LAS EMPRESAS TIENE QUE REALIZAR LA GESTIÓN DE LA INFORMACIÓN PERSONAL Y AMPARA LA MUESTRA DEL CUMPLIMIENTO DE LAS NORMAS DE PRIVACIDAD QUE SE PUEDAN APLICAR.

SI EN SU EMPRESA TIENE IMPLEMENTADA LA NORMA ISO 27001, LA ISO/IEC 27701 INCREMENTA LOS ESFUERZOS QUE SE REALIZAN PARA CUBRIR LA GESTIÓN DE LA PRIVACIDAD. ESTO SE INTRODUCE EN EL PROCESO DE LA IIP CON EL QUE PODER DEMOSTRAR EL CUMPLIMIENTO DE LAS NORMAS DE PROTECCIÓN DE DATOS, COMO PUEDE SER EL GDPR.

PARA LAS EMPRESAS QUE NO CUENTEN CON LA NORMA ISO 27001, ES FACTIBLE QUE SE PUEDAN IMPLANTAR LAS DOS NORMAS, ISO 27001 E ISO/IEC 27701, EN UN ÚNICO PROYECTO.

¿QUIÉNES TENDRÍAN QUE IMPLANTAR LA NORMAISO/IEC27701?

LA NORMA ISO/IEC 27701 OFRECE ORIENTACIÓN A CUALQUIER EMPRESA QUE SE ENCARGUE DE PROCESAR INFORMACIÓN DE IDENTIFICACIÓN PERSONAL DENTRO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. POR ESTE MOTIVO TODAS LAS EMPRESAS, AUNQUE TENGAN DIFERENTE TAMAÑO, SEAN DE ÁMBITO PÚBLICO O PRIVADO, GUBERNAMENTALES O PRIVADAS, ETC. SE PUEDEN BENEFICIAR DE LO QUE OFRECE LA NORMA ISO/IEC 27701.

AL OFRECER UN ENFOQUE QUE SE ENCUENTRA BASADO EN RIESGOS, REFUERZA A LAS EMPRESAS QUE QUIEREN ABORDAR LOS RIESGOS ESPECÍFICOS DE PRIVACIDAD A LOS QUE SE ENFRENTA, ADEMÁS DE LOS RIESGOS A LOS QUE SE TIENEN QUE HACER FRENTE EN CUANTO A LOS DATOS PERSONALES Y A LA PRIVACIDAD DE LOS CLIENTES.

¿QUÉ ES LA ISO 27110?

ES UNA NORMATIVA ELABORADA POR EL ORGANISMO INTERNACIONAL DE NORMALIZACIÓN (ISO) CON LA FINALIDAD DE PROTEGER DE LOS CIBERATAQUES. HA SIDO DESARROLLADA POR UN EQUIPO DE EXPERTOS EN MATERIA DIGITAL E INFORMÁTICA PARA LOGRAR LA MÁXIMA EFECTIVIDAD EN CIBERSEGURIDAD.

ESTA NORMATIVA ISO ES APLICABLE A CUALQUIER TIPO DE ORGANIZACIÓN, INDEPENDIENTEMENTE DEL SECTOR O TAMAÑO.

¿PARA QUÉ SIRVE LA ISO 27110?

LA ISO 27110 SIRVE PARA DEFINIR LOS MARCOS EN MATERIA DE CIBERSEGURIDAD Y PODER MINIMIZAR LOS RIESGOS EN CASO DE QUE OCURRA UN ATAQUE DIGITAL. ESTA NORMATIVA SE COMPLEMENTA CON LA ISO 27001, BUSCANDO SER LO MÁS BREVE POSIBLE, TANTO EN CUANTO A EXTENSIÓN COMO EN CONCEPTOS UTILIZADOS.

CON LA NORMATIVA ISO 27110 SE BUSCA FACILITAR EL CUMPLIMIENTO DE LOS DIFERENTES REQUISITOS DE TODAS LAS PARTES IMPLICADAS EN CIBERSEGURIDAD. ADEMÁS, SE CONSEGUIRÁ AHORRAR EN TIEMPO, COSTES Y RECURSOS PARA LOGRAR IMPLEMENTAR UN SISTEMA EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN QUE SEA TOTALMENTE EFECTIVO.

LOS PRINCIPIOS BÁSICOS DE LA NORMATIVA

LA NORMATIVA ISO 27110 SIGUE LOS SIGUIENTES PRINCIPIOS:

FLEXIBILIDAD: LOS DIFERENTES MARCOS DE CIBERSEGURIDAD PUEDEN SER COMPATIBLES ENTRE ELLOS.

COMPATIBILIDAD: SE PUEDEN COMPLEMENTAR DIFERENTES MARCOS PARA PODER ESTABLECER UN SISTEMA DE PROTECCIÓN DIGITAL TOTALMENTE EFECTIVO.

OPERABILIDAD MÚLTIPLE: PERMITE QUE HAYA DIFERENTES USOS EN UN MARCO DE CIBERSEGURIDAD, SIENDO TODOS VÁLIDOS.

OBJETIVOS

CONOCE EL ENTORNO DE APLICACIÓN DE ISO/IEC TS 27110 EN LA

ORGANIZACIÓN

CONOCE LOS ASPECTOS RELACIONADOS CON LAS

RECOMENDACIONES DE ISO/IEC TS 27110

CONOCE EL APORTE DE VALOR DE ISO/IEC TS 27110 SOBRE LOS PROCESOS E INVERSIONES DE LA ORGANIZACIÓN

PROPONE Y SUSTENTA LA APLICACIÓN DE LA ISO/IEC TS 27110 EN BENEFICIO DE LA ORGANIZACIÓN

EL ESTÁNDAR O NORMATIVA ISO/IEC 27032:2012 "TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - DIRECTRICES PARA LA CIBERSEGURIDAD” ABARCA EL ÁMBITO DE LA CIBERSEGURIDAD, Y HA SIDO PUBLICADO EN 2012 POR ISO (ORGANIZACIÓN INTERNACIONAL DE NORMALIZACIÓN) EN PARTICULAR, OFRECE UNAS LÍNEAS GENERALES DE ORIENTACIÓN PARA FORTALECER EL ESTADO DE LA CIBERSEGURIDAD EN UNA EMPRESA, CENTRÁNDOSE EN DIFERENTES ASPECTOS TÉCNICOS Y OTROS RELACIONADOS:

SEGURIDAD EN LAS REDES.

SEGURIDAD EN INTERNET.

SEGURIDAD DE LA INFORMACIÓN. PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS PARA LA INFORMACIÓN.

OBJETIVO DE LA NORMA

EN CONCRETO, LA NORMATIVA PRETENDE:

GARANTIZAR LA SEGURIDAD EN LOS INTERCAMBIOS DE INFORMACIÓN EN LA RED.

CREAR UN MARCO PARA MEJORAR LA SEGURIDAD EN INTERNET, E INTENTAR GARANTIZAR UN ENTORNO SEGURO A TRAVÉS DE CIERTAS DIRECTRICES DE SEGURIDAD.

FACILITAR LA COLABORACIÓN SEGURA Y FIABLE PARA PROTEGER LA PRIVACIDAD DE LAS PERSONAS EN TODO EL MUNDO. DE ESTA MANERA, PUEDE AYUDAR A PREPARARSE, DETECTAR, MONITORIZAR Y RESPONDER A LOS ATAQUES MALIGNOS.

ESTRUCTURA DEL ESTÁNDAR

1. OBJETO Y CAMPO DE APLICACIÓN.

2. APLICABILIDAD.

3. REFERENCIAS NORMATIVAS.

4. TÉRMINOS Y DEFINICIONES.

5. ABREVIATURAS.

6. GENERALIDADES.

7. PARTES INTERESADAS DENTRO DEL CIBERESPACIO: CONSUMIDORES Y PROVEEDORES.

8. ACTIVOS EN EL CIBERESPACIO: INFORMACIÓN, HARDWARE, SERVICIOS, PERSONAS...

9. AMENAZAS CONTRA LA SEGURIDAD EN EL CIBERESPACIO.

10. ROLES DE LAS PARTES INTERESADAS EN EL CIBERESPACIO: CONSUMIDORES, INDIVIDUOS, ORGANIZACIONES, PROVEEDORES...

11. DIRECTRICES PARA LAS PARTES INTERESADAS.

12. CONTROLES DE CIBERSEGURIDAD: HACKING, MALWARE, SPYWARE...

13. MARCO DE INTERCAMBIO Y COORDINACIÓN DE LA INFORMACIÓN: POLÍTICAS, MÉTODOS Y PROCESOS, CONTROLES DE GESTIÓN Y TÉCNICOS...

¿QUÉ INCLUYE?

TECNOLOGÍAS EN LAS QUE SE PUEDE IMPLEMENTAR. HERRAMIENTAS DE SEGURIDAD. BUENAS PRÁCTICAS. POLÍTICAS. SEGURIDAD DE LOS ACTIVOS DIGITALES. ENTRENAMIENTO. GESTIÓN DE RIESGOS. CONCEPTOS DE SEGURIDAD. GUÍAS Y ESTÁNDARES.

ESTÁ PENSADA PARA APOYAR LA ACREDITACIÓN DE ORGANISMOS DE CERTIFICACIÓN QUE OFRECEN LA CERTIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. SEENCARGA DE ESPECIFICAR LOS REQUISITOS Y SUMINISTRAR UNA GUÍA PARA LA AUDITORÍA Y LACERTIFICACIÓN DEL SISTEMA. CUALQUIER ORGANIZACIÓN CERTIFICADA EN ISO27001 DEBE CUMPLIRTAMBIÉN CON LOS REQUISITOS DE LA NORMA ISO27006.EL PROCESO DE CERTIFICACIÓN CONSISTE ENAUDITAR EL SGSI PARA EL CUMPLIMIENTO DE ISO 27001.

ESTÁNDARES PARA LA DEMOSTRACIÓN DE LA COMPETENCIA DELOSAUDITORESDESGSI

AUDITORÍA DEL ORGANISMO DE CERTIFICACIÓN ISMS ESTÁ OBLIGADO AVERIFICAR QUE CADA AUDITOR EN EL EQUIPO DE AUDITORÍA TENGA

CONOCIMIENTO DE:

MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN DE SGSI. SEGURIDAD DE INFORMACIÓN. SISTEMAS DE GESTIÓN. PRINCIPIOS DE AUDITORÍA.

CONOCIMIENTOS TÉCNICOS DE LOS SISTEMAS A AUDITAR.

LOS REQUISITOS GENERALES A LOS QUE HACE REFERENCIA SON:

ORIENTACIÓN ESPECÍFICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN RELACIÓN CON LA IMPARCIALIDAD.

LISTADO DEL TRABAJO QUE PUDIERA ESTAR EN CONFLICTO.

INCLUSIÓN DE UNA LISTA DE TODAS LAS ACTIVIDADES QUE SE PUEDEN REALIZAR FUERA.

ES UN ESTÁNDAR DE LA SERIE 27000, DEDICADA A LA SEGURIDAD INFORMÁTICA. EL ESTÁNDAR GUÍA A LAS ORGANIZACIONES REGLAMENTARIAS DE CERTIFICACIÓN Y A LOS AUDITORES TANTO INTERNOS COMO EXTERNOS EN SU TRABAJO PARA CERTIFICAR LA IMPLEMENTACIÓN DEL ESTÁNDAR ISO/IEC 27001 POR PARTE DE LAS EMPRESAS 1 ESTE ESTÁNDAR ES COMPLEMENTARIO AL ESTÁNDAR ISO 19011 DEDICADO A LA AUDITORÍA SISTEMAS DE GESTIÓN.

ESTRUCTURA

EL ESTÁNDAR CUBRE TODAS LAS PARTES ESPECÍFICAS DE UN SGSI (SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN):

CONTROLAR EL PROGRAMA DE AUDITORÍA DEL SGSI (DETERMINAR LOS PUNTOS DE LA AUDITORÍA, CÓMO Y CUÁNDO HACER LA AUDITORÍA, ENCONTRAR LOS RIESGOS DE LA AUDITORÍA, DECIDIR QUIÉN DEBE HACERLA, ETC), ESTO SE DEBE A QUE ESTE ESTÁNDAR SE ALINEA CON LOS REQUISITOS DE LA CLÁUSULA 9.2 DE ISO/IEC 27001:2013.

EJECUTAR UN SISTEMA DE GESTIÓN DE LA AUDITORÍA (REALIZACIÓN DE UNA PLANIFICACIÓN Y POSTERIOR IMPLEMENTACIÓN CON LOS RESPECTIVOS INFORMES Y RESULTADOS)

GESTIONAR LOS AUDITORES (COMPETENCIAS, HABILIDADES, ATRIBUTOS, EVALUACIÓN)

¿PARA QUÉ SIRVE LA NORMA ISO27007?

LA NORMA ISO 27007 ES ÚTIL PARA:

1.EVALUAR LA EFICACIA DE UN SGSI.

2. IDENTIFICAR LAS ÁREAS DE MEJORA DEL SGSI.

3. DEMOSTRAR LA CONFORMIDAD CON LA NORMA ISO 27001.

4. MEJORAR LA CONFIANZA EN LOS EN LOS SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN.

¿DÓNDE SE APLICA?

LA NORMA ISO 27007 SE PUEDE APLICAR A CUALQUIER TIPO DE ORGANIZACIÓN, YA SEA DEL SECTOR PÚBLICO O PRIVADO, PEQUEÑAS O GRANDES, Y EN CUALQUIER SECTOR O INDUSTRIA. PUEDE SER APLICADA POR AUDITORES INTERNOS Y EXTERNOS QUE ESTÉN ENCARGADOS DE REALIZAR AUDITORÍAS DE UN SGSI BASADO EN LA NORMA ISO 27001. ES DE GRAN UTILIDAD PARA LOS CONSULTORES QUE ASESORAN A LAS ORGANIZACIONES SOBRE CÓMO IMPLEMENTAR Y MANTENER UN SGSI Y PARA LOS RESPONSABLES DE LA SEGURIDAD DE LA INFORMACIÓN EN LAS ORGANIZACIONES QUE BUSCAN MEJORAR SU SISTEMA DE SEGURIDAD DE LA INFORMACIÓN Y DEMOSTRAR SU CONFORMIDAD CON LA NORMA ISO 27001.

DESCRIBE LA ESPECIFICACIÓN Y DISEÑO DE UN SGSI DESDE EL ORIGEN HASTA LA REALIZACIÓN DEL MISMO Y EL PROCESO DE OBTENCIÓN DEL VISTO BUENO PARA LA IMPLEMENTACIÓN DE ESTE. TAMBIÉN DEFINE UN PROYECTO PARA IMPLEMENTAR EL SGSI Y PROPORCIONA UNA GUÍA A PARTIR DE LA CUAL PLANEAR DICHO PROYECTO SGSI, LO QUE DA LUGAR AL PLAN DE IMPLEMENTACIÓN DEL MISMO. LA NORMA ISO/IEC 27003 FUE PUBLICADA EL 1 DE FEBRERO DE 2010, AUNQUE FUE ACTUALIZADA EL 12 DE ABRIL DE 2017.

EL PROCESO DE PLANIFICACIÓN PARA LA IMPLEMENTACIÓN FINAL DEL SGSI CONSTA DE CINCO FASES:

OBTENER LA APROBACIÓN GERENCIAL PARA INICIAR UN PROYECTO SGSI.

DEFINIR EL ALCANCE DEL SGSI Y LA POLÍTICA DEL SGSI. REALIZAR UN ANÁLISIS DE LA ORGANIZACIÓN.

VALORAR LOS REQUISITOS DE SEGURIDAD PARA LA INFORMACIÓN. RIESGO Y PLANIFICAR EL TRATAMIENTO DEL RIESGO.

DISEÑAR EL SGSI.

OBJETIVO

ES PROPORCIONAR ORIENTACIÓN PRÁCTICA EN EL DESARROLLO DEL PLAN DEIMPLEMENTACIÓN PARA UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN.PARA EL PRESENTE DESARROLLO DEL TEMA SE TOMÓ COMO REFERENCIA EL PROYECTO DE NORMA PERUANAPNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD–DIRECTRICESPARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, QUE ES UNEQUIVALENTE DE LA ISO/IEC 27003

MEDIANTE LA DESCRIPCIÓN DE UNA SERIE DE PROCESOS, SIRVE PARA PODER IDENTIFICAR LAS POSIBLES MEJORAS DE LAS TECNOLOGÍAS DE LA COMUNICACIÓN E INFORMACIÓN EN LAS EMPRESAS.

ESTE ESTÁNDAR CONTEMPLA DESDE LOS FALLOS EN SISTEMAS TIC, HASTA PROBLEMAS DE SEGURIDAD INFORMÁTICA COMO VIRUS O MALWARES.

ESTRUTURA

LA ISO 27031 UTILIZA LA METODOLOGÍA DEL CICLO PDCA:

PLANIFICAR: ESTABLECER UNA POLÍTICA DE CONTINUIDAD DEL NEGOCIO ADECUADA A CADA TIPO DE ORGANIZACIÓN. ESTA DEBE INCLUIR LOS OBJETIVOS, MÉTRICAS Y PROCESOS QUE SE TENDRÁN QUE LLEVAR A CABO

HACER: IMPLEMENTAR LA POLÍTICA YA DEFINIDA EN EL DEPARTAMENTO DE TIC DE LA EMPRESA ES ACONSEJABLE HACERLO MEDIANTE FORMACIONES A LOS DIFERENTES EQUIPOS DE PERSONAL Y GERENTES.

VERIFICAR: ES NECESARIO MONITOREAR Y EVALUAR DE FORMA CONSTANTE LA IMPLEMENTACIÓN DE LA POLÍTICA DE CONTINUIDAD DE NEGOCIO. SE PUEDE HACER MEDIANTE AUDITORÍAS PERIÓDICAS, PRUEBAS Y ANÁLISIS DE RESULTADOS.

ACTUAR: UNA VEZ VERIFICADO EL ESTADO DEL PLAN, SE PODRÁ MANTENER O REVISAR, CON EL FIN DE LOGRAR UNA MEJORA CONTINUADA EN EL TIEMPO Y PODER PREVENIR CUALQUIER TIPO DE DESASTRE.

SE APLICA

A CUALQUIER EMPRESA, YA SEA PRIVADA, GUBERNAMENTAL O NO GUBERNAMENTAL, ADEMÁS NO AFECTA EL TAMAÑO DE LA ORGANIZACIÓN.

INCLUYE Y SE EXTIENDE A LAS PRÁCTICAS DE MANEJO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y LA GESTIÓN DE LA PLANIFICACIÓN Y PREPARACIÓN PARA LAS TIC Y LOS SERVICIOS.

BENEFICIOS

LA NTP -ISO/IEC 27031 DESCRIBE LOS CONCEPTOS Y PRINCIPIOS FUNDAMENTALES DE PREPARACIÓN DE LAS TIC PARA LA PREVENCIÓN DE INCIDENTES QUE PERMITA LA PROTECCIÓN CONTRA AMENAZAS, FALLAS DEL ENTORNO Y HARDWARE, ERRORES OPERACIONALES, ATAQUES MALICIOSOS, Y DESASTRES NATURALES; DETECCIÓN DE INCIDENTES EN FORMA TEMPRANA PARA MINIMIZAR EL IMPACTO EN LOS SERVICIOS, Y PRESERVAR SU CALIDAD.