Vous êtes sur la page 1sur 4

Norma ISO 27000

La informacin es un activo vital para el xito y la continuidad en el mercado


de cualquier organizacin. El aseguramiento de dicha informacin y de los
sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario
implantar un sistema que aborde esta tarea de una forma metdica,
documentada y basada en unos objetivos claros de seguridad y una evaluacin
de los riesgos a los que est sometida la informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de
desarrollo por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea.

Prembulo de La investigacin Norma ISO 27000


A semejanza de otras normas ISO, la 27000 es realmente una serie de
estndares. Los rangos de numeracin reservados por ISO van de 27000 a
27019 y de 27030 a 27044. ISO 27000: En fase de desarrollo; su fecha
prevista de publicacin es Noviembre de 2008. Contendr trminos y
definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier
estndar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto
que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste.

Principios bsicos de la Norma ISO 27000


1.

Aspectos administrativos: Este dominio se refiere a la asignacin de


responsabilidades relativas a la seguridad de la informacin, donde se encuentra el
proceso de autorizacin de recursos para el tratamiento de la informacin, los
acuerdos de confidencialidad, el manejo de los grupos de inters y la revisin
independiente de la seguridad de la informacin. Adems los aspectos que se tienen
que tener en cuenta con el manejo de terceros como la identificacin de los riesgos
derivados del acceso de terceros y la seguridad en contratos con terceros.
2. Los recursos humanos y la seguridad de la informacin: El recurso humano
es una de las principales fuentes de riesgo para la seguridad de la informacin por
lo tanto en este dominio se tratan los aspectos que se deben tener en cuenta
antes, durante y despus de la relacin laboral. Se incluyen en este apartado los
trminos y condiciones de contratacin, los programas de concienciacin,
formacin y capacitacin, los procesos disciplinarios y los puntos a tener en cuenta
en caso de cese de la relacin laboral o cambio de puesto de trabajo como pueden
ser la devolucin de activos y la suspensin de las credenciales de acceso.

3. Gestin de comunicaciones: Este es el dominio ms amplio, en el se tratan las


responsabilidades y procedimientos de operacin, la gestin de los servicios con
terceros, la proteccin contra cdigo malicioso, las copias de seguridad,
laseguridad de redes, el intercambio de informacin, entre otros aspectos.
4. Gestin de sistemas de informacin: Se desarrollan los requisitos de seguridad
de los sistemas de informacin, el tratamiento correcto de las aplicaciones,
los controles criptogrficos, la seguridad en los procesos de desarrollo y soporte y
la gestin de las vulnerabilidades.
5. Gestin de activos: contempla los lineamientos para la gestin de activos que
incluye el inventario y las declaraciones de uso de los mismos. Como parte de esta
gestin de activos se detallan las directrices para la clasificacin de la informacin.
6. Seguridad fsica: Este dominio trata dos aspectos: las reas seguras, donde se
incluyen la definicin de permetros de seguridad fsica y los controles fsicos de
entrada entre otros aspectos, y la seguridad de los equipos donde se relaciona,
entre otras, la seguridad del cableado, el mantenimiento y la seguridad de los
equipos fuera de la compaa.
7. Continuidad del negocio: Se mencionan los aspectos de seguridad que se
deberan tener en cuenta en la gestin de la continuidad del negocio; ya que al ser
una etapa donde la informacin puede estar altamente expuesta se debe
desarrollar e implantar de planes de continuidad que incluyan la seguridad de la
informacin.
8. Requisitos legales: En este apartado se incluyen los aspectos que se deben
observar para el cumplimiento de los requisitos legales y las polticas y normas de
seguridad y cumplimiento tcnico.

Tras la aplicacin de esta normatividad y siguiendo sus principios se generan


beneficios entre los cuales se encuentran:
Establecimiento de una metodologa de gestin de la seguridad clara y
estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.

Confianza de clientes y socios estratgicos por la garanta de calidad y


confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar las debilidades del
sistema y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001,
OHSAS 18001L).
Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
Conformidad con la legislacin vigente sobre informacin personal,
propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
Confianza y reglas claras para las personas de la organizacin.
Reduccin de costes y mejora de los procesos y servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos en vez de en la
compra sistemtica de productos y tecnologas.

BIBLIOGRAFIA:
(2014, 03). Freely Available Standards. ISO Copyright for the freely available standards.
Recuperado 05, 2015, de http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

(2013, 09). ISO/IEC 27001:2013. JTC 1 Information technology. Recuperado 05, 2015, de
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54534