FAMILIA DE ESTANDARES ISO 27000

Diego Fernando Hallo Ynez

Resumen.
Un Sistema Administrativo de Seguridad de la Informacin (Information Security Management System ISMS) es una forma sistemtica de administrar la informacin sensible de una compaa, para que permanezca segura. Abarca a las personas, los procesos y las Tecnologas de la Informacin. La seguridad de la informacin no termina al implementar el ms reciente "firewall", o al sub-contratar a una compaa de seguridad las 24 horas. La forma total de la Seguridad de la Informacin, y la integracin de diferentes iniciativas de seguridad, necesitan ser administradas para que cada elemento sea completamente efectivo. Aqu es donde entra el Sistema Administrativo de Seguridad de la Informacin, que le permite a la empresa poder coordinar sus esfuerzos de seguridad con mayor efectividad. ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

Introduccin.
Tanto las personas como las empresas gestionamos informacin de modo inteligente y variado. La llegada de la computacin, Internet y de los dispositivos mviles posibilita el mercadeo de nuevos productos y servicios. Teniendo en cuenta la importancia de activo que tiene la informacin en una empresa se hace necesario tener como primer objetivo la seguridad y organizacin de esta informacin; y para esto se hace necesario la implantacin de sistemas que aborden esta tarea de forma metodica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que esta sometida la informacin de la organizacin. Una forma eficaz de controlar la forma en que se maneja la informacin dentro de una organizacin, es sujetarse a estandares preestablecidos, que ademas de ser probados, brindan un nivel de seguridad no solo a los miembros de la organizacin, sino tambin a los clientes. En este caso, la familia de estandares que nos ayudan con la administracion de la seguridad de la informacion es la ISO 27000, que a evolucionado de otras normas mas primitivas hasta convertirse en uno de los estandares mas difundifos actualmente.

HISTORIA Y EVOLUCIN. {1}

La estandarizacin Internacional comenz en el campo electrotcnico: la Comisin Electrotcnica Internacional (IEC) fue establecida en 1906. Iniciando el trabajo en otros campos fue realizado por la Federacin Internacional de la Organizacin Estandarizadora Nacional (ISA), que fue instalada en 1926. El nfasis dentro de ISA fue puesto pesadamente en la ingeniera industrial. Las actividades de ISA acabaron en 1942. En 1946, delegados de 25 pases se reunieron en Londres y decidieron crear una nueva organizacin internacional, de la cual el objeto sera "facilitar la coordinacin y la unificacin internacional de estndares industriales". La nueva organizacin, ISO, comenz oficialmente operaciones el 23 de febrero de 1947. Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la 1

organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como la ISO 9001, ISO 14001 y 18001 La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa, britnica o no, un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin. En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.

FAMILIA ISO 27000

A diferencia de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. A continuacin se detalla cada uno de los miembros de esta familia de estandares: ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que

componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. A pesar de no ser obligatoria la implementacin de todos los controles, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012. ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin en 2012. ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo a ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO/IEC 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. ISO/IEC 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. ISO/IEC 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de 2

EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. ISO/IEC 27007: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO/IEC 27008: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en 2013. Es una norma en 2 partes, que consistir en una gua para la gestin de la seguridad de la informacin en comunicaciones inter-sectoriales. ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. ISO/IEC 27012: En fase de desarrollo, con publicacin prevista en 2013. Consistir en un conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestin de seguridad de la informacin en organizaciones que proporcionen servicios de e-Administracin. ISO/IEC 27013: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC 27015: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC 27031: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO/IEC 27032: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua relativa a la ciberseguridad. IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2, directrices de diseo e implementacin de seguridad en redes; 27033-3,

escenarios de redes de referencia; 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP; 27033-7, redes inalmbricas. ISO/IEC 27035: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de gestin de incidentes de seguridad de la informacin. ISO/IEC 27036: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de seguridad de outsourcing (externalizacin de servicios). ISO/IEC 27037: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de identificacin, recopilacin y preservacin de evidencias digitales. ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes.

Lograremos aumentar la motivacin satisfaccin de nuestro personal. COBIT, ISO17799 e ISO 27000 {2}

PRINCIPALES BENEFICIOS DE LA ISO 27000.{3} Aunque pueden parecer muy obvios se hace necesario identificarlos para la toma de decisiones: Establece una metodologa de gestin de la seguridad ms clara y estructurada. Reduce el riesgo de prdida, robo o corrupcin de nuestra informacin. Permite a los clientes tener acceso a la informacin pero a travs de medidas de seguridad. Identifica los riesgos existentes y establece controles de los mismos que son revisados continuamente. Genera confianza en los clientes y socios estratgicos garantizando calidad y confidencialidad comercial. Programa auditoras internas y externas que ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Se integra con otros sistemas de gestin (ISO9001, ISO14001, OHSAS). Presenta un Plan de Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Garantiza la Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Mejora la imagen de la empresa a nivel internacional y se convierte en un elemento diferenciador de cara a nuestra competencia. Proporciona confianza y presenta reglas claras a las personas de la organizacin. Con la puesta en marcha los costes se reducirn considerablemente y se mejora los procesos internos y los servicios ofrecidos a nuestros clientes. 3

Los estndares ISO17799 y ISO 27000 son un conjunto de estndares desarrollados, o en fase de desarrollo, que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea, mientras que COBIT es el marco aceptado internacionalmente como una buena prctica para el control de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez, Por lo que notamos una estrecha relacin entre ISO y COBIT, pues COBIT se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por COBIT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. En conclusin ISO17799 y ISO 27000 y COBIT van de la mano pues ambos velan por la buena gestin de la informacin de de las organizaciones.

CONCLUSIONES. Una vez conocidos las principales caracterisitcas de la familia ISO 27000, se pueden plantear las siguientes conclusiones: Es claro que al aplicar en una organizacin un estndar como ISO 27000 el trabajo con estos estndares debe ser continuo, pues ISO ao tras ao publica nuevas modificaciones a estos estndares, para as asegurar una correcta gestin de la informacin de las organizaciones, por lo tanto se debe estar muy pendiente de todas estas nuevas publicaciones para no poner en riesgo la informacin de la organizacin. Algo que no se debe olvidar es que los estndares ISO 27000 son aplicables a cualquier tipo de organizacin, independientemente de la magnitud que sea, si es grande este estndar tiene todo el nivel de de detalle que se necesita y se es pequea, ISO 27000 nos permite Sacar adelante un verdadero SGSI. La certificacin debe ser el objetivo ideal, ya que asegura un mejor enfoque, un objetivo ms claro y palpable y por lo tanto, mejores opciones de xito para la organizacin. Es importante recordad que la familia de normas ISO 27000 van de la mano de otros marcos de trabajo, como COBIT e ITIL, ya que ambos buscan que el manejo de la seguridad de la informacin pase

de ser improvisedo a seguir polticas y procesos claros y bien definidos.

Referencias. {1}AuditoriasAUC; http://auditoriauc20102mivi.wikispaces.com/file/view/IS O201091700623026-.pdf; ISO serio 27000 y 17799; 2010 {2}Universidad del Valle Mexico; http://www.tlalpan.uvmnet.edu/oiid/download/ISO%2027 000_04_PO_ISC_PIT_E.pdf; Manual de Normas y Politicas de seguridad informtica; 2009 {3}Bureau Veritas Espaa; http://www.bureauveritas.es/wps/wcm/connect/bv_es/loca l/home/news/noticias+2011++cer+newsletter+iso+27001?presentationtemplate=bv_ma ster_v2/news_full_story_presentation_v2, ISO 27000; 2011