lunes, 30 de septiembre de 2013

LAS ISO 17779 Y 27001

                                                             ISO 17779
La ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado.

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.




La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información:
1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones-
2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.)
3. Clasificación y control de activos: Inventario y nivel de protección de los activos.
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos.
5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos.
6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información.
7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc)
8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.
9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información.
10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres.
11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.

ES MUY IMPORTANTE TENER CLARO:

Ø  La norma ISO 17799 no es una norma tecnológica.
Ø  La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial.
Ø  La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios

ISO 27001
       Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS (Information security manegement system)  en una organización.
       Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente.
       Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.

MODELO PLAN-DO-CHEK-ACT (PDCA)
ü  Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando  resultados acordes a las políticas y objetivos de toda la organización.
ü  Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
ü  Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
ü  Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.

Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de las organizaciones.
Sin embargo, hay 5 clausulas, tales como:
  1. ISMS
  2. Responsabilidad de la administracion
  3. Auditoria Interna ISMS
  4. Administracion de las revisiones ISMS
  5. Mejoras del ISMS
Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios” para satisfacer los criterios de aceptación de riegos, debe ser justificada y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado.

ISMS
La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA.

CONTROL DE DOCUMENTOS
Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para:
       Aprobar documentos y prioridades o clasificación de empleo.
       Revisiones, actualizaciones y reaprobaciones de documentos.
       Asegurar que los cambios y las revisiones de documentos sean identificados.
       Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.

RESPONSABILIDAD DE LA ADMINISTRACION
La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:
       Establecimiento de la política del ISMS
       Asegurar el establecimiento de los objetivos y planes del ISMS.
       Establecer roles y responsabilidades para la seguridad de la información.
       Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.

AUDITORIA INTERNA DE ISMS
       La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora.
       Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él.
       La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento.

ADMINISTRACION DE LAS REVISIONES DE ISMS
       Las revisiones mencionadas en la auditoría interna de ISMS deberán llevarse a cabo al menos una vez al año para asegurar su vigencia, adecuación y efectividad.
       Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos.
       Los resultados de estas revisiones, como se mencionó en la auditoría interna ISMS, serán claramente documentados y los mismos darán origen a esta actividad.

MEJORAS ISMS
La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración.

Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)