1. Familia de la iso 27000
1.1. ISO 27000 nos muestra un conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
1.2. ISO 27001 nos proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) y esto lo basa en un ciclo de vida PDCA
1.3. ISO 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
1.4. ISO 27003 contiene una guía de ayuda para la implementación de un SGSI según norma ISO/IEC 27001 e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.
1.5. ISO 27004 especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados, estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
1.6. ISO 27005 está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
1.7. ISO 27006 especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
1.8. ISO 27007 consiste en una guía de auditoría para un SGSI.
1.9. ISO 27008 ofrecerá orientaciones para ISM (Gestión de la información de seguridad) de auditoría con respecto a los controles de seguridad.
2. CONCEPTOS
2.1. ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países
2.2. SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización
2.3. Ciclo del PDCA el ciclo PDCA es una estrategia de mejora continua de la calidad en cuatro pasos, también se denomina espiral de mejora continua Las siglas PDCA son un acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). PHVA
3. BENEFICIOS ISO 27001
3.1. Protección de la información Diferenciación Confidencialidad con los socios, proveedores y clientes Adopción de un estándar global Cumplimiento con mandatos y reglas Reforzamiento de procedimientos Alta gerencia es propietaria de la información Revisión independiente de Information Security Management System (o SGSI) Mejorar la conciencia de seguridad Combinar recursos con otros Sistemas de Administración Mecanismo para medir los sucesos del control de seguridad
4. ISO 27001
4.1. Una estructura de reconocimiento internacional dedicada a la seguridad de la información
4.2. Un proceso de gestión para evaluar, implementar y mantener un Information Security Management System (ISMS)
4.3. Un comprensivo conjunto de controles implícitos de las mejores prácticas de seguridad
4.4. Aplicado a todos los sectores de industria
4.5. Énfasis en la prevención
5. CERTIFICACION
5.1. La norma ISO 27001 es certificable, esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y en caso de superar la misma con éxito, obtendra una certificación del sistema según ISO 27001.
6. CICLO PDCA O PHVA
6.1. PLANIFICAR
6.1.1. Identificar el proceso a mejorar Recopilar datos para profundizar en el conocimiento del proceso Análisis e interpretación de los datos Establecer los objetivos de mejora Detallar las especificaciones a imponer a los resultados esperados Definir los procesos necesarios para conseguir estos objetivos, verificando las especificaciones
6.2. HACER
6.2.1. Ejecutar los procesos definidos en el paso anterior Documentar las acciones realizadas
6.3. VERIFICAR
6.3.1. Pasado un periodo de tiempo volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada. Documentar las conclusiones
6.4. ACTUAR
6.4.1. Si es necesario, modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales Si se han detectado en el paso anterior, aplicar nuevas mejoras