Documente Academic
Documente Profesional
Documente Cultură
Seguridad de la Informacin
Juan Gabriel Gonzales Yauris
Escuela Profesional de Ingeniera de Sistemas
Universidad Nacional Jos Mara Arguedas
Andahuaylas, Apurmac
jgonzalesyauris@gmail.com
AbstractWith
the
increasing
significance
of
information technology, there is an urgent need for
adequate measures of information security. Systematic
information security management is one of most important
initiatives for IT management. At least since reports about
privacy and security breaches, fraudulent accounting
practices, and attacks on IT [1]. systems appeared in
public, organizations have recognized their responsibilities
to safeguard physical and information assets. The standards
ISO/IEC 27001 and 27002 are international standards that
are receiving growing recognition and adoption.
KeywordsSecurity;
ISO/IEC 27002; 27 K
Standards;
ISO/IEC
27001;
I. INTRODUCCIN
La informacin es el activo ms importante de cada
organizacin [1]. Evidentemente se tendrn otros activos,
pero todos ellos sern adquiridos de algn modo, sin
embargo si tenemos algn problema de seguridad con la
informacin de la empresa no ser posible volver a
adquirir. Este l es el motivo por lo que debe dedicar
todos los esfuerzos necesarios para garantizas la seguridad
de la informacin corporativa. Habitualmente la gestin
de seguridad de la informacin en una empresa esta
descoordinada, no sigue un criterio comn definido, de
cada departamento o rea, especialmente en de TI, tiene
sus propias polticas y procedimientos, establecidos sin
27002 [12].
C. Entidades Certificadoras.
Las entidades de certificacin son organismos de
evaluacin de la conformidad, encargados de evaluar y
realizar una declaracin objetiva de que los servicios y
productos cumplen unos requisitos especficos.
Existen numerosas entidades de certificacin en cada
pas, ya que se trata de una actividad empresarial privada
con un gran auge en el ltimo par de dcadas, debido a la
creciente estandarizacin y homologacin de productos y
sistemas en todo el mundo. La organizacin que desee
certificarse puede contactar a diversas entidades
certificadoras y solicitar presupuesto por los servicios
ofrecidos, comparando y decidindose por la ms
conveniente, como hace con cualquier otro producto o
servicio.
Para que las entidades de certificacin puedan emitir
certificados reconocidos, han de estar acreditadas. Esto
quiere decir que un tercero, llamado organismo de
acreditacin,
comprueba,
mediante
evaluaciones
independientes e imparciales, la competencia de las
entidades de certificacin para la actividad objeto de
acreditacin. En cada pas suele haber una sola entidad de
acreditacin (en algunos, hay ms de una), a la que la
Administracin encarga esa tarea.
La acreditacin de entidades de certificacin para
ISO/IEC 27001 o para BS 7799-2 -antes de derogarse
sola hacerse en base al documento EA 7/03 "Directrices
para la acreditacin de organismos operando programas
de Certificacin/Registro de sistemas de gestin de
seguridad en la informacin". La aparicin de la norma
ISO/IEC 27006 ha supuesto la derogacin del anterior
A. Concepto .
Publicada el 15 de Octubre de 2005, revisada el 25 de
Septiembre de 2013. Es la norma principal de la serie y
contiene los requisitos del sistema de gestin de seguridad
de la informacin. Tiene su origen en la BS 7799-2:2002
(que ya qued anulada) y es la norma con arreglo a la cual
se certifican por auditores externos los SGSI de las
organizaciones. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005, para que sean
seleccionados por las organizaciones en el desarrollo de
sus SGSI.
El eje central de ISO 27001 es proteger la
confidencialidad, integridad y disponibilidad de la
informacin en una empresa. Esto lo hace investigando
cules son los potenciales problemas que podran afectar
la informacin (es decir, la evaluacin de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos
problemas se produzcan (es decir, mitigacin o
tratamiento del riesgo). Por lo tanto, la filosofa principal
de la norma ISO 27001 se basa en la gestin de riesgos:
investigar dnde estn los riesgos ver figura 4 y luego
tratarlos sistemticamente.
B. Beneficios
Hay 4 ventajas comerciales esenciales que una
empresa puede obtener con la implementacin de esta
norma para la seguridad de la informacin:
Cumplir con los requerimientos legales: cada vez hay
ms y ms leyes, normativas y requerimientos
contractuales relacionados con la seguridad de la
informacin. La buena noticia es que la mayora de ellos
se pueden resolver implementando ISO 27001 ya que esta
norma le proporciona una metodologa perfecta para
cumplir con todos ellos.
Obtener una ventaja comercial: si su empresa obtiene
la certificacin y sus competidores no, es posible que
usted obtenga una ventaja sobre ellos ante los ojos de los
clientes a los que les interesa mantener en forma segura su
informacin.
Menores costos: la filosofa principal de ISO 27001 es
evitar que se produzcan incidentes de seguridad, y cada
incidente, ya sea grande o pequeo, cuesta dinero; por lo
tanto, evitndolos su empresa va a ahorrar mucho dinero.
Y lo mejor de todo es que la inversin en ISO 27001 es
mucho menor que el ahorro que obtendr.
Una mejor organizacin: en general, las empresas de
rpido crecimiento no tienen tiempo para hacer una pausa
y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qu
hay que hacer, cundo y quin debe hacerlo. La
implementacin de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no estn
relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados.
C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001
La norma ISO 27001 fue publicada por primera vez en
2005 y luego fue revisada en 2013; por lo tanto, la
versin vlida actual es la ISO/IEC 27001:2013 [9]. Los
cambios ms importantes de la revisin 2013 estn
relacionados con la estructura de la parte principal de la
norma, las partes interesadas, los objetivos, el monitoreo
y la medicin; asimismo, el Anexo A ha disminuido la
cantidad de controles (de 133 a 114) y ha incrementado la
cantidad de secciones (de 11 a 14). En la revisin 2013 se
eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados
procedimientos.
Sin embargo, todos estos cambios en realidad no
modificaron mucho la norma en su conjunto, su filosofa
principal sigue centrndose en la evaluacin y
tratamiento de riesgos y se mantienen las mismas fases
del ciclo de Planificacin, Implementacin, Revisin y
Mantenimiento (PDCA) [11]. Esta nueva revisin de la
norma es ms fcil de leer y comprender y es mucho ms
sencilla de integrar con otras normas de gestin como
ISO 9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC
27001:2005 deben hacer la transicin a la nueva revisin
2013 hasta septiembre de 2015 si quieren mantener la
validez de su certificacin.
D. Ciclo Deming en la norma ISO/IEC 27001
Para establecer y gestionar un Sistema de Gestin de
la Seguridad de la Informacin en base a ISO 27001, se
E. Procesos de Certificacin
Para certificar su empresa segn esta norma
internacional deber conocer el proceso completo. Todos
los procesos deben cumplir los requerimientos de la
norma. Adems, puede ser necesario aadir nuevos
procesos requeridos por este estndar internacional [10].
Existen dos tipos de certificados ISO/IEC 27001: para
las organizaciones y para las personas. Las organizaciones
pueden obtener la certificacin para demostrar que
cumplen con todos los puntos obligatorios de la norma;
las personas pueden hacer el curso y aprobar el examen
para obtener el certificado.
Para obtener la certificacin como organizacin,
Defina y documente correctamente los procesos, defina
indicadores y comience su medicin, registre la actividad
de su empresa y forme a sus empleados para que
conozcan y ejecuten los procesos tal como se ha definido.
Por otro lado, trabajar con una empresa de consultora
experta en ISO/IEC 27001 le ayudar:
poltica de seguridad;
organizacin de la seguridad de la informacin;
gestin de activos;
recursos humanos de seguridad;
seguridad fsica y ambiental;
comunicaciones y gestin de operaciones;
control de acceso;
los sistemas de informacin de adquisicin,
desarrollo y mantenimiento;
informacin de gestin de incidentes de
seguridad;
gestin de la continuidad del negocio;
cumplimiento.
Los objetivos de control en ISO/IEC 27002:2005 estn
destinadas a ejecutarse para satisfacer los requisitos
identificados por una evaluacin de riesgos. ISO/IEC
27002:2005 pretende ser una base comn y gua prctica
para el desarrollo de estndares de seguridad de la
organizacin y las prcticas eficaces de gestin de la
seguridad, y para ayudar a construir la confianza en las
actividades interinstitucionales [9].
VI. CONCLUSIONES
La informacin y los sistemas de estn expuestos a
riesgos de seguridad cada vez ms. A travs del aumento
del apoyo a los procesos de negocio que ofrece la
tecnologa de informacin, as como el aumento del nivel
de la creacin de redes dentro de las empresas y con las
partes externas. Un SGSI efectivo ayuda a reducir los
riesgos y prevenir las violaciones de seguridad.
Las normas ISO/IEC 27001 y 27002 constituyen un
marco para disear y operar un SGSI, basados en
experiencias duraderas de desarrollo. Con estas normas se
les ofrece a las empresas la oportunidad de alinear sus
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]