Familia ISO 27000: Seguridad de la Información.

Sello AENOR de la certificación ISO 27001Origen

Proviene de la norma BS 7799 de British Standards Institution (organización británica equivalente a AENOR en España) creada en 1995 con el fin de facilitar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de la información.

La norma ISO 27001 fue aprobada y publicada como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Objetivos

Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.

Familia 27000

  • ISO/IEC 27000: 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. Sin traducción.
  • ISO/IEC 27001: 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Sin traducir. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
  • ISO/IEC 27002: Del año 2005. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
  • ISO/IEC 27003: 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005.
  • ISO/IEC 27004: 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. Sin traducir.
  • ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001. Sin traducir todavía.
  • ISO/IEC 27006: 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía en España, pero traducida en México (NMX-I-041/06-NYCE).
  • ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
  • ISO/IEC 27008: Publicación prevista en 2011. Consistirá en una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
  • ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
  • ISO/IEC 27011: 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Sin traducción.
  • ISO/IEC 27012: Publicación prevista en 2011. Consistirá en un conjunto de requisitos y directrices de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración.
  • ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1.
  • ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
  • ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.
  • ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de SGSI relacionada con aspectos económicos en las organizaciones.
  • ISO/IEC 27031: 01 de Marzo de 2011. Describe los conceptos y principios de la tecnología de información y comunicación (TIC)
  • ISO/IEC 27032: Publicación prevista en 2011. Guía relativa a la ciberseguridad.
  • ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos generales (10 de Diciembre de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista 2011); 27033-3, escenarios de redes de referencia (3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista 2012); 27033-6, convergencia IP (prevista 2012); 27033-7, redes inalámbricas (prevista 2012).
  • ISO/IEC 27034: Publicación prevista desde 2011-12. Varias guías de seguridad para aplicaciones informáticas.
  • ISO/IEC 27035: Publicación prevista en 2011. Guía de gestión de incidentes de seguridad de la información.
  • ISO/IEC 27036: Publicación prevista en 2012. Guía de seguridad de outsourcing (externalización de servicios).
  • ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación y preservación de evidencias digitales.
  • ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la redacción digital.
  • ISO/IEC 27039: Publicación prevista en 2013. Guía para la selección, despliegue y operativa de sistemas de detección de intrusos.
  • ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento.
  • ISO 27799: 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002.

Beneficios

  • Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de continuidad de la actividad comercial.
  • Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
  • Fiabilidad de cara al cliente demostrar que la información está segura.
  • Identificación, evaluación y gestión de riesgos.
  • Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
  • Se integra con otros sistemas de gestión
  • Reducción de costes y mejora de procesos
  • Aumento de la motivación y satisfacción del personal al contar con unas directrices claras.

Implantación

La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.

Para aquellos que estéis interesados os dejamos enlace a un Curso sobre ISO 27001 que ofrece la Asociación Española para la Calidad (AEC)