FAMILIA ISO 27000



Text Box: Iso 27000
Contenido
Familia ISO 27000. 3
Origen. 3
Objetivos. 3
Beneficios. 3
Implantación. 4
ISO/IEC 27000. 4
ISO/IEC 27001. 5
Sistemas de Gestión la Seguridad de la Información. 5
Estructura de la norma ISO 27001. 5
Referencias Normativas. 6
Describe la terminología aplicable a este estándar. 6
ISO/IEC 27002. 7
La norma tiene el siguiente contenido: 8
ISO/IEC 27004. 9
ISO/IEC 27005. 10
ISO/IEC 27006. 11
El estándar acoge: 12
Esta guía tiene los siguientes fines: 12
ISO/IEC 27008. 13
ISO/IEC 20009. 14
Alcance y propósito. 14
ISO/IEC 27011. 15
ISO/IEC 27012. 15
ISO/IEC 27013. 15
Alcance y propósito. 17
Estructura y contenido. 17
Las ventajas de dicha norma son: 18
ISO/IEC 27016. 19
ISO/IEC 27017. 19
ISO/IEC 27033. 20
ISO/IEC 27035. 21
Seguridad Informática. 23
Seguridad Física. 23
Protección del hardware. 23
Problemas a los que nos enfrentamos: 23
Seguridad lógica. 24






























Familia ISO 27000

Origen

Proviene de la norma BS 7799 de British Standards Institution (organización británica equivalente a AENOR en España) creada en 1995 con el fin de facilitar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de la información.

 

Objetivos

Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.

 

Beneficios

·         Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de continuidad de la actividad comercial.
·         Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
·         Fiabilidad de cara al cliente demostrar que la información está segura.
·         Identificación, evaluación y gestión de riesgos.
·         Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
·         Se integra con otros sistemas de gestión
·         Reducción de costes y mejora de procesos
·         Aumento de la motivación y satisfacción del personal al contar con unas directrices claras.


Implantación

La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.

ISO/IEC 27000

Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. Sin traducción.
Desarrolla los conceptos de los estándares de seguridad serie 27000 y en particular las normas ISO 27001 y 27002 enfocados a la implantación de un sistema de gestión de seguridad de la información (SGSI).

El sistema de control interno. Políticas de la seguridad de la información. Normas y procedimientos. Controles y objetivos de control. CobiT5 Como Marco de control. Su implantación. Casos prácticos.

Presenta los conceptos fundamentales que vertebran el sistema de control interno de la organización: El sistema de control interno, políticas, objetivos de control y su materialización en controles implantados, la organización y procedimientos necesarios para su efectividad.

ISO/IEC 27001

Sistemas de Gestión la Seguridad de la Información

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

Estructura de la norma ISO 27001

Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.

Entre las actividades propias a desarrollar al abordar una implantación a ISO27001 se encuentran:
·         Definición del alcance del SGSI
·         Definición de una Política de Seguridad
·         Definición de una metodología y criterios para el Análisis y Gestión del Riesgo
·         Identificación de riesgos
·         Evaluación de los posibles tratamientos del riesgo
·         Elaboración de un Declaración de Aplicabilidad de controles y requisitos
·         Desarrollo de un Plan de Tratamiento de Riesgos
·         Definición de métricas e indicadores de la eficiencia de los controles
·         Desarrollo de programas de formación y concienciación en seguridad de la información
·         Gestión de recursos y operaciones
·         Gestión de incidencias
·         Elaboración de procedimientos y documentación asociada

 

Referencias Normativas

Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.Términos y Definiciones:

Describe la terminología aplicable a este estándar.

Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.

Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.

Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos.

Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.

Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.

Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

ISO/IEC 27002

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.
Esta norma es muy relevante dentro del sector ya que, toma como base todos los riesgos a los que se enfrenta la organización en su día a día, tiene como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización. Sin embargo, no debemos olvidar el papel que ocupan otras normas.

En este caso la norma ISO 27002 de la que hablaremos en este post y que establece un catálogo de buenas prácticas que determina, desde la experiencia, una serie de objetivos de control y controles que se integran dentro de todos los requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.
La importancia de disponer de una actualizada, completa y veraz información es la clave para la correcta realización de todas las actividades de la organización, en todas sus áreas, campos y actividades. Sin embargo, es todavía mucho más importante mantener dicha información con seguridad para que no se pierda, se robe o se deteriore de cualquier forma. Al fin y al cabo, la información y los datos de los que se dispone en la organización y que recopila en su día son uno de los activos más valiosos que pueden marcar el futuro de la organización.
De esta manera, es fácil comprender la importancia de la norma ISO 27001 como Sistema de Gestión de Seguridad de la Información. Sin embargo, es igual de importante el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de buenas prácticas para implantar controles y que garantizarán la seguridad de la información gracias a sus recomendaciones.
ISO/IEC 27003

No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005.

Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.

La norma tiene el siguiente contenido:

·         Alcance.
·         Referencias Normativas.
·         Términos y Definiciones.
·         Estructura de esta Norma.
·         Obtención de la aprobación de la alta dirección para iniciar un SGSI.
·         Definición del alcance del SGSI, límites y políticas.
·         Evaluación de requerimientos de seguridad de la información.
·         Evaluación de Riesgos y Plan de tratamiento de riesgos.
·         Diseño del SGSI.

ISO/IEC 27004

No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.

La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los resultados de un Sistema de Gestión de la Seguridad de la Información (SGSI) en ISO 27001.

Este estándar especifica cómo estructurar el sistema de medición, cuáles son los parámetros a medir, cuándo y cómo medirlos. Además, ayuda a las empresas al establecimiento de objetivos relacionados con el rendimiento y los criterios de éxito.
Con el objetivo de medir o evaluar la eficiencia de la seguridad de la información, las etapas planteadas por ISO-27004 son:

1)          Elección de los objetivos y procesos de medición: Las organizaciones han de medir el alcance de los métodos. En la medición, sólo se consideran aquellos procesos que están documentados consistentemente. El rendimiento de los procedimientos o controles y las actuaciones del personal son algunos de los objetos de medición.

2)          Descripción de las líneas principales: Los valores principales que exponen el punto de referencia han de determinarse para cada objeto que está siendo medido.


3)          Selección de datos: Los datos han de ser precisos, oportunos y dimensionales. Se pueden llevar a cabo técnicas programadas de recogida de datos para conseguir una recopilación normalizada y mostrar informes.

4)          Desarrollo de un sistema de medición: La secuencia racional de operaciones según la norma ISO27004 se aplica en diferentes atributos del objeto escogido para la medición. Se emplean indicadores como surtidor de datos para una mejora en el rendimiento de programas relacionados con la seguridad de la información.


5)          Interpretación de los valores medidos: Se ha de identificar las grietas entre los valores iniciales y los de medición real a través de la tecnología y los procedimientos apropiados para la interpretación y el análisis de dichos valores.

6)      Notificación de los valores de medición: Los datos que resulten de la medición han de ser notificados a las partes interesadas. Se puede realizar mediante cuadros de mando operacional, informes, boletines de noticias ó en forma de gráficos.

ISO/IEC 27005

 No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001.

La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos relativos a la seguridad de información. La norma suministra las directrices para la gestión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO 27001.

Se trata de una norma  aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 de Gestión de la Información y Comunicaciones Tecnología de Seguridad.
El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras en aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una gestión de la información desde una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica.

ISO/IEC 27006

Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía en España, pero traducida en México (NMX-I-041/06-NYCE).
El estándar ISO 27006 Responde a una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Se encarga de especificar los requisitos y suministrar una guía para la auditoría y la certificación del sistema.

Cualquier organización certificada en ISO27001 debe cumplir también con los requisitos de la norma ISO27006.

El proceso de certificación consiste en auditar el SGSI para el cumplimiento de ISO 27001. Los auditores de certificación solo tienen interés pasajero en los controles reales de seguridad de información que están siendo administrados por el sistema de gestión. Se supone que cualquier empresa con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de información con diligencia.

La norma suministra una guía para las entidades acreditadas de certificación para auditar SGSI.
ISO-27007 refleja en gran parte a la norma ISO 19001 (estándar de auditoría para sistemas de gestión de la calidad y medioambiental). Se encarga de aportar orientación adicional al SGSI

El estándar acoge:

La gestión del programa de auditoría del SGSI: establecer qué, cuándo y cómo se debe auditar, asignar auditores apropiados, gestionar los riesgos de auditoría, mantenimiento de los registros de la misma, mejora continua del proceso
Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de auditoría, la planificación, la realización de actividades clave, trabajo de campo, análisis, presentación de informes y seguimiento.

Gestión de los auditores del SGSI: competencias, atributos, habilidades, evaluación…


Esta guía tiene los siguientes fines:

Confirmar que los controles de seguridad de la información mitigan de forma correcta los riesgos de la organización.
Verificar que los controles de seguridad en relación con la contabilidad general o de los sistemas y procesos de contratación son correctas para que los auditores corroboren los datos.

Ratificar que las obligaciones contractuales de los proveedores son satisfactorias en relación a la seguridad de la información.
Revisar por la dirección, sin olvidar las operaciones rutinarias que forman parte del SGSI de una organización, para asegurarnos que todo está en orden.
Auditar tras incidentes de seguridad de la información como parte del análisis y generar acciones correctivas.

ISO/IEC 27008

 La norma ISO 27008 está enfocada a la implantación y operación de los controles, se puede implantar en todas las empresas, sin distinciones de tamaño, localización, etc. La empresa debe realizar revisiones o controles vinculados a la seguridad de la información.
El estándar internacional ISO27008 se puede compatibilizar perfectamente con otras normas como puede ser ISO 27001 o ISO 27002, utilizando estas como plataforma estratégica que garantice la seguridad de la información. Basándonos en esta norma se puede tanto ejecutar como planificar el Sistema de Gestión de la Seguridad de la Información, además del proceso de gestión de riesgo.

La implantación de la norma ISO-27008 genera un valor añadido en la empresa e incrementa la calidad de todas las normas de la familia ISO 27000. Dicha norma enriquece las auditorias del SGSI, ya que optimiza las relaciones existentes entre los procesos y los controles de dicho

sistema. Asimismo, asegura un manejo eficaz de los recursos durante la auditoría.
La norma ISO 27008 se focaliza en la verificación de los controles de seguridad de la información, al contrario que la ISO 27007 que se centra solo en la auditoría de los elementos del SGSI. Una cosa que incluye la norma es la verificación de la conformidad técnica, que si la comparamos con otra norma que solo es de implantación de la seguridad de la información establecido por la empresa.

Los controles técnicos que se deben realizar no vienen definidos en la norma, ya que son conocidos comúnmente como controles de seguridad de TI. Los controles de seguridad TI son un subconjunto de controles de seguridad de la información, que sí que se encuentran definidos pero en las norma ISO 27001 e ISO 27002.

Los controles de seguridad TI benefician a las empresas en:
Conocer cuál puede ser el alcance de los problemas de la aplicación
Llevar a cabo los controles de seguridad de la información, los de la información técnica y las normas básicas de seguridad.
Establecer e inspeccionar los impactos, amenazas o vulnerabilidad a los que se pueden encontrar sometidos.
Realizar una programación de actividades para disminuir riegos.
Dar garantía de que las posibles deficiencias en la seguridad se han solucionado.


ISO/IEC 20009

Alcance y propósito

"Esta Norma Internacional define los requisitos para el uso de ISO / IEC 27001 en cualquier sector específico (campo, área de aplicación o sector de mercado). Explica cómo incluir requisitos adicionales a los de ISO / IEC 27001, cómo refinar cualquiera de los requisitos de ISO / IEC 27001 y cómo incluir controles o conjuntos de control además del Anexo A de ISO / IEC 27001. Esta Norma Internacional asegura que Requisitos adicionales o refinados no están en conflicto con los requisitos de ISO / IEC 27001. El público objetivo de esta Norma Internacional son entidades que producen estándares específicos de sector que se relacionan con ISO / IEC 27001. "

Las normas ISO 27010 proporciona, controles y orientaciones relativas específicamente a iniciar, implementar, mantener y mejorar la seguridad de la información en las comunicaciones inter-organizacionales e intersectoriales, es aplicable a todas las formas de intercambio y difusión de la información, tanto pública como privada, nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores.
En particular, puede ser aplicable a los intercambios de información y el intercambio relacionados con el suministro, mantenimiento y protección de una organización o la infraestructura crítica del estado nación.



ISO/IEC 27011

 Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Sin traducción.
Establece directrices y principios generales para iniciar, implementar, mantener y mejorar los controles de seguridad de la información en organizaciones de telecomunicaciones basadas en ISO / IEC 27002; [y] Proporciona una base de referencia de implementación de controles de seguridad de la información dentro de las organizaciones de telecomunicaciones para asegurar la confidencialidad, integridad y disponibilidad de instalaciones de telecomunicaciones, servicios e información manejados, procesados ??o almacenados por las instalaciones y servicios "

ISO/IEC 27012

Consistirá en un conjunto de requisitos y directrices de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración.


ISO/IEC 27013

Consistirá en una guía de implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1.
Esta norma proporciona orientación sobre la implementación de un sistema integrado de gestión de seguridad de la información y servicios de TI , basado en ISO / IEC 27001: 2005 (ISMS) e ISO / IEC 20000-1: 2011 (especificación de gestión de servicios de TI, derivada de ITIL).
Alcance y propósito.

La norma aconseja a los usuarios sobre los procesos y la documentación de apoyo necesaria para implementar un sistema de gestión dual integrado, por ejemplo ayudándoles a:

Implementar ISO / IEC 27001 cuando ya hayan adoptado ISO / IEC 20000-1, o viceversa ;
Implementar ISO / IEC 27001 y ISO / IEC 20000-1 juntos desde cero (almas valientes!); o Alinear y coordinar los sistemas de gestión preexistentes ISO / IEC 27001 e ISO / IEC 20000-1.
La norma propone un marco para organizar y priorizar las actividades, ofreciendo asesoramiento sobre:
Alinear la seguridad de la información y los objetivos de gestión y mejora de los servicios; Coordinar las actividades multidisciplinarias, llevando a un enfoque más integrado y alineado ( por ejemplo, ambos estándares de los donantes especifican las actividades de manejo de incidentes, con diferentes alcances para los incidentes, pero por lo demás bastante similares);
Un sistema colectivo de procesos y documentos de apoyo (políticas, procedimientos, etc.
Un vocabulario común y una visión compartida;
Beneficios empresariales combinados para los clientes y proveedores de servicios, además de beneficios adicionales derivados de la integración de ambos sistemas de gestión; y
Auditoría combinada de ambos sistemas de gestión al mismo tiempo, con la consecuente reducción de los costes de auditoría (esperamos!).
El alcance de esta norma abarca dos subcomités JTC1 ISO / IEC. SC 27 y SC 7 colaboraron para asegurar que las perspectivas de seguridad de la información y gestión de servicios de TI fueron debidamente consideradas.
Dos anexos comparan los estándares 27001 y 20000 lado a lado.
ISO/IEC 27014
 Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información.

La ISO / CEI JTC1 / SC 27, en colaboración con el Sector de Normalización de las Telecomunicaciones de la UIT (UIT-T), ha desarrollado una norma específicamente destinada a ayudar a las organizaciones a regir sus acuerdos de seguridad de la información.

Alcance y propósito

La norma proporciona "orientación sobre conceptos y principios para la gobernanza de la seguridad de la información, mediante la cual las organizaciones pueden evaluar, dirigir, supervisar y comunicar las actividades relacionadas con la seguridad de la información dentro de la organización" y es "aplicable a todo tipo y tamaño de organizaciones".

Una adecuada gobernanza de la seguridad de la información garantiza la alineación de la seguridad de la información con las estrategias y objetivos empresariales, la entrega de valor y la rendición de cuentas . Apoya el logro de visibilidad, agilidad, eficiencia, efectividad y cumplimiento.


Estructura y contenido

Después de los preámbulos, alcances, referencias y definiciones habituales, las entrañas de este estándar admirablemente sucinto consta de sólo dos cláusulas principales ("Conceptos" y "Principios y procesos") más dos apéndices.
La norma especifica seis principios de alto nivel de gobernanza de la seguridad de la información orientados a la acción (tales como "Establecer la seguridad de la información en toda la organización", "Adoptar un enfoque basado en el riesgo" y cuatro más, cada uno explicado en un par de párrafos) Cinco procesos de gobernanza ("evaluar", "directo", "monitorizar", "comunicar" y "asegurar") utilizados por el órgano de gobierno.

Con el fin de fomentar una mayor transparencia, la administración podría desear confirmar el estado general de la seguridad de la información en la organización a los clientes y las partes interesadas mediante declaraciones o afirmaciones de la administración. Dos apéndices presentan instrucciones de ejemplo o plantilla, una versión de alto nivel formalizada y otra con un poco más de carne en los huesos. La primera es similar a las declaraciones contables o de auditoría típicamente incluidas en los informes anuales con fines de cumplimiento legal / regulatorio: la afirmación real es bastante insulsa, pero la idea es que hacer que la alta dirección endose formalmente el contenido obliga a prestar más atención a la verdadera intención - en otras palabras, hay más de lo que se podría suponer a partir de la redacción literal de la declaración en sí.

ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.

La norma ISO 27015 amplia y prolonga algunos consejos de de la norma ISO/IEC 27002 destinada a las empresas de servicios financieros, como por ejemplo la recomendación en la sección 6.2.2 de que las actividades de la sensibilización de seguridad deben proteger tanto a los clientes como a los empleados.

La orientación adicional de la norma ISO-27015 no puede ser revolucionaria, sin embargo, es un indicador muy útil para ampliar lo más básico indicado por la norma ISO/IEC 27002 en algunas áreas.

Las ventajas de dicha norma son:

Otorgar asesoramiento y orientación sobre el empleo de los controles y requisitos de dicha de las normas ISO/IEC 27001 e ISO/IEC 27002 en empresas de servicios financieros. Las organizaciones de dichos servicios obtendrán beneficios de la adquisición de esta norma, debido a que se les va a permitir aplicar con mayor facilidad gracias a estos controles y requisitos.

La orientación y el asesoramiento incluidos en esta norma para las organizaciones de servicios financieros es muy genérico, es decir, se puede emplear en cualquier parte del mundo, sin que importe el tamaño de la empresa pero con el requisito de que formen parte de los servicios financieros.

ISO/IEC 27016

Consistirá en una guía de SGSI relacionada con aspectos económicos en las organizaciones.
Son normas de valoración de los aspectos financieros de la seguridad de los datos y de la información sea controlados para su mejor manejo, que ayudan con el control de los mismos y ser capaz de cumplir con cada uno de ellos, esta norma cuanto se debe proporciona en la seguridad de datos.

ISO/IEC 27017

Es una guía de seguridad para Cloud Computing incluida con controles y procesos adicionales determinados de estos entornos de nube. ISO/IEC 27018: Son directrices de buenas prácticas en controles de procesos de protección de información para servicios de computación en cloud computing.

ISO/IEC TR 27019
 Normas con referencia de los procedimientos de sistemas de control específicos interrelacionados con el sector de la industria energética.

ISO/IEC TR 27023
 Son diferentes directrices correspondientes al apoyo de la transición de las diversas versiones publicadas

ISO/IEC 27031
 01 de Marzo de 2011. Describe los conceptos y principios de la tecnología de información y comunicación (TIC)

ISO/IEC 27032
Publicación prevista en 2011. Guía relativa a la ciberseguridad.
Son guías de apoyo para las diversas adecuaciones de las diferentes tecnologías de información y comunicación (TIC) de una empresa, para la correcta prosperidad del negocio.

Esta familia de normas ISO establece una completa descripción general de Seguridad Cibernética, además de una explicación de interrelación entre el ciber seguridad y otros tipos de garantía que ayudan a la seguridad de la información.

ISO/IEC 27033

Seguridad en redes. Tiene 7 partes:
27033-1, conceptos generales (10 de Diciembre de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista 2011); 27033-3, escenarios de redes de referencia (3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista 2012); 27033-6, convergencia IP (prevista 2012); 27033-7, redes inalámbricas (prevista 2012).

Este tipo de normas establece diseño e implementación de la seguridad en redes informáticas, asegurando el intercambio de datos entre redes, mediante los gateways de seguridad.

ISO/IEC 27034
Publicación prevista desde 2011-12. Varias guías de seguridad para aplicaciones informáticas.

Define las estructuras de datos y los diferentes protocolos y procedimientos de seguridad en relación a las aplicaciones que se utiliza para la seguridad de los mismos sin tener que tener un riesgo dentro de cada uno de ellos y poder así cumplir con cada uno de ellos.

ISO/IEC 27035

Publicación prevista en 2011. Guía de gestión de incidentes de seguridad de la información.
Proporciona directrices sobre la gestión de accidentes de seguridad en informática y riesgos.

ISO/IEC 27036
Publicación prevista en 2012. Guía de seguridad de outsourcing (externalización de servicios).
Esta norma tiene relación con la seguridad con proveedores, seguridad en las diferentes cadenas de suministro, y la seguridad en entornos de servicios Cloud.

ISO/IEC 27037
Publicación prevista en 2012. Guía de identificación, recopilación y preservación de evidencias digitales.
Son diferentes normas que proporcionan directrices para las actividades relacionadas con la identificación, consolidación y preservación de las diversas evidencias digitales potenciales localizadas dentro de los teléfonos móviles, tarjetas de memoria, etc.

ISO/IEC 27038
 Publicación prevista en 2013. Guía de especificación para la redacción digital.

Se definen como directrices de especificación para seguridad en las diferentes redacciones digitales.

ISO/IEC 27039
Publicación prevista en 2013. Guía para la selección, despliegue y operativa de sistemas de detección de intrusos.

Esta familia de normas permite el despliegue operativo de los diferentes sistemas de detección de posibles intrusos en la información corporativa, de ser posible en estándares que cumplan puedan ser llevados a cabo durante su proceso de respaldo de información que sea manejada.

ISO/IEC 27040
 Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento.

Se definen diferentes directrices para la seguridad en los diversos medios de almacenaje de la información.

ISO 27799
 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002.

Seguridad Informática

Consiste en asegurar que los recursos del sistema de información sean utilizados de la manera que se decidió y que el acceso a la información allí contenida sólo sea posible a las personas que se encuentren acreditadas.

La seguridad puede entenderse como aquellas reglas destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño.

Seguridad Física

Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.

Protección del hardware

El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización.

Problemas a los que nos enfrentamos

·         Acceso físico
·         Desastres naturales
·         Alteraciones del entorno
·         Protección de datos

Seguridad lógica

Nuestro sistema no sólo puede verse afectado de manera física, sino también contra la información almacenada.
El activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Algunas técnicas de seguridad lógica:

Control de acceso, autentificación, encriptación, firewalls, antivirus (en caso de usar 

Comentarios

  1. James Williams4 de diciembre de 2020, 8:42 a.m.

    very nice blogs!!! i have to learning for lot of information for this sites...Sharing for wonderful information.Thanks for sharing this valuable information to our vision. You have posted a trust worthy blog keep sharing.

    ISO 27001 Curso de Auditor Principal

    ResponderBorrar
  2. Zenny D7 de enero de 2021, 3:01 a.m.

    Wonderful blog & good post.Its really helpful for me, awaiting for more new post. Keep Blogging!
    Thanks for all your information.Website is very nice and informative content.
    iso 27001 curso de auditor principal

    ResponderBorrar
  3. Rekha Kumari25 de enero de 2021, 2:14 a.m.

    Nice post. I learn something totally new and challenging on sites . It's always helpful to read content.
    ISO 27001 Curso De Auditor Principal

    ResponderBorrar
  4. Rekha Kumari25 de enero de 2021, 2:19 a.m.

    Este comentario ha sido eliminado por el autor.

    ResponderBorrar
  5. Misty Kumari28 de enero de 2021, 7:20 p.m.

    I recently came across your blog and have been reading along. I thought I would leave my first comment.
    ISO 27001 Curso DE Auditor Principal

    ResponderBorrar
  6. Neha Kumari4 de febrero de 2021, 4:35 a.m.

    I would definitely thank the admin of this blog for sharing this information with us. Waiting for more updates from this blog admin.
    ISO 27001 Curso DE Auditor Principal

    ResponderBorrar
  7. YASARARAFAT12 de febrero de 2021, 12:45 a.m.

    I love this article, your message is so true. ISO Training Dubai

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

Mapear un Sftp a unidad a una unidad de disco

Imagen
SFTP Net Drive 2017 El software libre a veces puede ser inseguro y peligroso por muchas razones, desde la inexperiencia del desarrollador, la falta de habilidad en la seguridad, hasta la intención maliciosa. Al igual que todos nuestros productos, SFTP Net Drive se construye con la seguridad como una prioridad. Queremos asegurarnos de que está utilizando el software más seguro posible y hacerlo libre elimina el precio como un factor en su decisión. Fuente: http://www.sftpnetdrive.com/#key_features Descarga Gratuita: http://www.sftpnetdrive.com/download-thanks Mapear un Sftp a unidad a una unidad de disco( win-sshfs ) win-sshfs está disponible para Windows XP, Vista y 7, tanto para 32 como para 64 bit. Está basado en el framework .NET 4.0 y depende de la librería Dokan 0.6.0. El único problema con esta herramienta es que el proyecto está un tanto abandonado (ya que no se han liberado nuevas versiones desde mayo de 2012), pero es utilizado por mucha gente, pues ...
Leer más

Ventajas y desventajas de la criptografía de clave simétrica

Imagen
Documento sin título Definición de Criptografía.  La palabra criptografía proviene del griego “criptos” que significa “oculto” y “grafe” de escritura que alude textualmente a la “escritura oculta”. La criptografía es la ciencia que resguarda documentos y datos que actúa a través del uso de las cifras o códigos para escribir algo secreto en documentos y datos que se aplica a la información que circulan en las redes locales o en internet. Los romanos utilizaban códigos para guardar sus ideas y proyectos de guerra de aquellos que no lo conocían y lo hicieron con el propósito de que los entes que conocían el significado del código interpretan el mensaje oculto. Ventajas de la criptografía de clave simétrica La criptografía de clave simétrica tiene varios beneficios. Este tipo de cifrado es muy fácil de usar. Además...
Leer más

Limpiar y Reducir el Log de Transacciones SQL Server

Limpiar y Reducir el Log de Transacciones SQL Server Script de Ejemplo que permite limpiar y reducir el log de transacciones de una base de datos, no es posible limpiar el log sin realizar primero un backup del log, realizaremos nuestro ejemplo con una base de datos a la que llamaremos PrimaveraNew –Para Limpiar el Log de Transacciones es necesario realizar un Backup del Log Backup log PrimaveraNeW to disk  =‘C:\test\BackupLog.bak’ –Una vez hecho el backup consultamos el nombre lógico de los archivos del log sp_helpdb PrimaveraNeW  Antes de truncar el log cambiamos el modelo de recuperación a SIMPLE. ALTER DATABASE PrimaveraNeW SET RECOVERY SIMPLE; GO –Reducimos el log de transacciones a  1 MB. DBCC SHRINKFILE(PrimaveraNeW_Log, 1); GO — Cambiamos nuevamente el modelo de recuperación a Completo. ALTER DATABASE PrimaveraNeW SET RECOVERY...
Leer más