Modelos y estándares de Seguridad

InformáticaHenry Mauricio Romero Quiroga

Que es un SGIS

Es la Abreviatura de Sistema de Gestión de la Seguridad de la InformaciónEsta se puede resumir en 3 bases:

Confidencialidad:

Integridad

Disponibilidad

Un SGSI se divide en las siguientes 4 fases: Planear

Implementar

Evaluar

Mantener

Un SGSI incluye:

Manual de seguridad

Procedimientos

Instrucciones, checklists y formularios

Registros

Implementacion de Un SGSI

Para establecer y gestionar un SGSI en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI.Check (verificar): monitorizar y revisar el SGSI.Act (actuar): mantener y mejorar el SGSI.

Que es un Modelo y un Estandar

Los estándares y las normas son descripciones técnicas detalladas, elaboradas con el fin de garantizar la interoperabilidad entre elementos construidos independientemente, así como la capacidad de replicar un mismo elemento de manera sistemática.

Una norma o estándar es una especificación que reglamenta procesos y productos para garantizar la interoperabilidad. Una norma de calidad es una regla o directriz para las actividades, diseñada con el fin de conseguir un grado óptimo de orden en el contexto de la calidad.

Familia de Normas ISO/IEC

ISO/IEC 27000 ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos)

ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000

ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad

Familia de Normas ISO/IEC

ISO/IEC 27003:guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación)

ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación)

ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad)

Familia de Normas ISO/IEC

ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001

ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000

ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo)

Familia de Normas ISO/IEC

ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo)

ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo)

ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo)

ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos