La semana pasada tuve la oportunidad de participar, como representante de ESET en México, del segundo Congreso de Seguridad de la Información,
organizado por el Instituto Politécnico Nacional (IPN), impartiendo el
taller ‘Implementación del estándar ISO/IEC 27001:2013’.
En este taller planteamos varios objetivos a alcanzar, como conocer los conceptos básicos de seguridad de la información utilizados en la serie de estándares 27000, identificar los requisitos definidos en la nueva versión de ISO 27001, así como reconocer las principales diferencias entre las ediciones 2005 y 2013 de este estándar.
Como resultado, en esta publicación quiero compartirles algunas consideraciones abordadas en el taller, mismas que pueden ser tomadas en cuenta cuando se tiene como objetivo gestionar la seguridad de la información utilizando como base los estándares ISO.
Este estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de la nueva versión de ISO/IEC 27001 (cláusula 2). También, en este último todos los términos y definiciones han sido eliminados, únicamente haciendo referencia a este documento.
También incluye el Anexo A que se conforma de 14 dominios, 35 objetivos de control (una descripción de lo que se desea alcanzar con la aplicación de controles) y 114 controles de seguridad, que pueden ser seleccionados e implementados como parte del proceso de tratamiento de riesgos.
El Anexo B (principios de la OCDE) y Anexo C (correspondencia con los estándares ISO 9001 e ISO 14001) han sido removidos en la nueva edición. Este último debido a que se adopta la estructura del Anexo SL, que ofrece lineamientos para establecer un sistema de gestión genérico, correspondiente con los estándares que han sido revisados y actualizados, así como aquellos que se publicarán en el futuro.
A diferencia de la versión 2005 de ISO 27001, en la edición 2013 ya no es una referencia normativa, por lo que su uso es opcional. Aunque todavía es ampliamente recomendable, ahora otras fuentes de información pueden consultadas para la aplicación de los controles de seguridad.
Aunado al proceso de gestión de riesgos plasmado en este estándar, es necesario aplicar una metodología de evaluación de riesgos de seguridad, que permita en primer lugar definir los criterios de aceptación de los riesgos, determinar el impacto y la probabilidad de cada uno de estos, para elegir opciones de tratamiento conscientes, enfocadas en reducir los riesgos a un nivel aceptable, con base en los criterios previamente establecidos.
Con la revisión de estos documentos, podemos tener una mayor visión al momento de abordar los requisitos de ISO 27001, ya que como su nombre lo indica, se trata de guías que facilitan y complementan la implementación.
En este mismo sentido, también se puede consultar ISO/IEC 27003, el estándar orientado a proporcionar más información sobre la operación de cada uno de los elementos necesarios para estar en cumplimiento con la norma 27001.
Hasta este punto revisamos aspectos importantes de los documentos de la familia 27000. En posteriores publicaciones revisaremos otros elementos a tomar en cuenta cuando se trabaja con los estándares ISO durante la gestión de la seguridad de la información. Hasta entonces y ¡éxito en la implementación de su SGSI!
Créditos imagen: ©digitalpimp./Flickr
Autor Miguel Ángel Mendoza, ESET
Fuente: http://www.welivesecurity.com/la-es/2014/09/10/estandares-seguridad-iso-27000-nuevo/
En este taller planteamos varios objetivos a alcanzar, como conocer los conceptos básicos de seguridad de la información utilizados en la serie de estándares 27000, identificar los requisitos definidos en la nueva versión de ISO 27001, así como reconocer las principales diferencias entre las ediciones 2005 y 2013 de este estándar.
Como resultado, en esta publicación quiero compartirles algunas consideraciones abordadas en el taller, mismas que pueden ser tomadas en cuenta cuando se tiene como objetivo gestionar la seguridad de la información utilizando como base los estándares ISO.
Consideraciones para la familia de estándares 27000
Con anterioridad revisamos la serie de normas ISO 27000, mostrando la principal característica de cada documento. Sin embargo, en los últimos dos años estos estándares han tenido importantes modificaciones en su contenido, que a continuación revisaremos.- ISO/IEC 27000
Este estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de la nueva versión de ISO/IEC 27001 (cláusula 2). También, en este último todos los términos y definiciones han sido eliminados, únicamente haciendo referencia a este documento.
- ISO/IEC 27001
También incluye el Anexo A que se conforma de 14 dominios, 35 objetivos de control (una descripción de lo que se desea alcanzar con la aplicación de controles) y 114 controles de seguridad, que pueden ser seleccionados e implementados como parte del proceso de tratamiento de riesgos.
El Anexo B (principios de la OCDE) y Anexo C (correspondencia con los estándares ISO 9001 e ISO 14001) han sido removidos en la nueva edición. Este último debido a que se adopta la estructura del Anexo SL, que ofrece lineamientos para establecer un sistema de gestión genérico, correspondiente con los estándares que han sido revisados y actualizados, así como aquellos que se publicarán en el futuro.
- ISO/IEC 27002
A diferencia de la versión 2005 de ISO 27001, en la edición 2013 ya no es una referencia normativa, por lo que su uso es opcional. Aunque todavía es ampliamente recomendable, ahora otras fuentes de información pueden consultadas para la aplicación de los controles de seguridad.
- ISO/IEC 27004
- ISO/IEC 27005
Aunado al proceso de gestión de riesgos plasmado en este estándar, es necesario aplicar una metodología de evaluación de riesgos de seguridad, que permita en primer lugar definir los criterios de aceptación de los riesgos, determinar el impacto y la probabilidad de cada uno de estos, para elegir opciones de tratamiento conscientes, enfocadas en reducir los riesgos a un nivel aceptable, con base en los criterios previamente establecidos.
- ISO/IEC 27007
Con la revisión de estos documentos, podemos tener una mayor visión al momento de abordar los requisitos de ISO 27001, ya que como su nombre lo indica, se trata de guías que facilitan y complementan la implementación.
En este mismo sentido, también se puede consultar ISO/IEC 27003, el estándar orientado a proporcionar más información sobre la operación de cada uno de los elementos necesarios para estar en cumplimiento con la norma 27001.
Hasta este punto revisamos aspectos importantes de los documentos de la familia 27000. En posteriores publicaciones revisaremos otros elementos a tomar en cuenta cuando se trabaja con los estándares ISO durante la gestión de la seguridad de la información. Hasta entonces y ¡éxito en la implementación de su SGSI!
Créditos imagen: ©digitalpimp./Flickr
Autor Miguel Ángel Mendoza, ESET
Fuente: http://www.welivesecurity.com/la-es/2014/09/10/estandares-seguridad-iso-27000-nuevo/
No hay comentarios:
Publicar un comentario