NORMAS ISO

ISO 27000

Integrantes:Eduardo Sánchez

Jabes Fuentes Carlos Garate

Fernando Cruces

La Información es un activo fundamental para toda organización , por tanto la seguridad de la misma y su calidad es de vital importancia.

El manejo adecuado de esta información y la calidad del software deben seguir una serie de parámetros que se deben llevar en forma metódica y documentada

INTRODUCCION

Se denomina ISO a la Organización Internacional para la Estandarización (The International Organization for Standarization), la cual es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 162 países, uno por cada país.

Esta organización es de naturaleza no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades relacionadas con ella en todo el mundo.

QUE ES ISO Y UN POCO DE HISTORIA

Para una organización es necesario demostrar que realizan una gestión efectiva de la seguridad y calidad de los recursos que poseen.

Deben demostrar que identifican los riesgos y toman las medidas necesarias para dar la solución.

POR QUE TENER UNA ISO

ISO 27001Sistema de Gestión de Seguridad de la Información (SGSI)

Para implementar un SGSI, debemos comenzar por la fase PDCA, con la cual se analiza toda la estructura.

COMO IMPLEMENTAR UN SGSI

Planificar: Esta es la fase más importante donde se define el alcance, objetivo, se realizan diagnósticos (Evaluaciones de riesgo, Análisis de Impacto del negocio u otros, según sea el caso), reuniones de trabajos, entrevistas, encuestas, entre otros.

Hacer: En esta fase se ejecutan todas las actividades que fueron planificadas en la fase anterior, es decir, se implementan las medidas necesarias para cumplir con el objetivo planteado.

Verificar: Para esta etapa se realizan las verificaciones y/o auditorías de los elementos implantados, a fin de determinar su pertinencia, cumplimiento y efectividad.

Mejorar: Ya en la última fase, se realizan las modificaciones necesarias, basándose en lo obtenido en la fase anterior, para mejorar el proceso establecido. Una vez realizada esta tarea, se vuelve al punto inicial del ciclo.

COMO IMPLEMENTAR UN SGSI

ISO/IEC 27000, es un conjunto de estándares desarrollados para proporcionar un marco de gestion de la seguridad de la información y que se puede implementar en cualquier empresa, ya sea pequeña, mediana o grande.

LA SERIE 27000

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.

Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Este estándar promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.

ISO 27001

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

ISO 27002

Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

ISO 27003

Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

ISO 27004

“El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados.

Establece las directrices para la gestión del riesgo en la seguridad de la información.

Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.

LA SERIE 27005

Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

LA SERIE 27006

Es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional

de Telecomunicaciones).

LA SERIE 27011

Esta norma está orientada a los organismos que proporcionan procesos de apoyo e información en las telecomunicaciones, instalaciones de telecomunicaciones, redes , líneas y para los que éstos suponen importantes activos empresariales.

La gestión de la seguridad de la información es sumamente necesario con el fin de que los organismos de telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y continuar con éxito sus actividades.

Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002)

Especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.

LA SERIE 27799

*La certificación de un estándar internacional.

*Focaliza el gasto en seguridad de la información donde produce mayor ventaja.

*Enfoque coherente y estructurado.

*Ventajas de Marketing.

*Ventajas de negocios.

*Reduce la probabilidad y el impacto de los incidentes.

*Reduce los riesgos en la seguridad de la información.

BENEFICIOS

CERTIFICADOS ISO

POR VUESTRA ATENCION GRACIAS