Iso 27004
Páginas: 16 (3979 palabras)
Publicado: 26 de julio de 2011
ISO-27001 e ISO-27004
ISO-27001 e ISO-27004
Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com
Viena 2007
PRÓLOGO
Uno de los aspectos más importantes que se debe destacar del estándar ISO 27001, es la importancia que hace sobre el carácter “medible de los controles”. En concreto, si un control no se puede medir, entonces no nos aporta absolutamente nada al SGSI (Sistema deGestión de la Seguridad de la Información). Ahora bien, ¿Cómo debemos medir esos controles?, es aquí donde entra en juego el estándar ISO 27004, y como se verá en este texto, aporta un gran valor agregado en el momento de comenzar a implementar esta norma, pues desde el inicio, se comienzan a pensar todas las fases de la misma bajo el concepto de “Medición”. NOTA: Para poder comprender con claridadel sentido, los conceptos y definiciones que aquí se desarrollarán, es recomendable leer previamente los artículos que se han publicado con anterioridad respecto a esta familia de estándares, los cuales son: - “Análisis de ISO 27001:2005” - “ISO-27001: Los controles (Parte I)” - “ISO-27001: Los controles (Parte II)”
PRESENTACIÓN
Al igual que el ISO 27001, esta norma (que aún se encuentra enestado de borrador) tiene como responsable al JTC 1 (Join Technical Committee Nº1) JTC 1 y dentro de él, al subcomité SC 27, IT “Security Techniques” Luego del plenario en Malasia del 07 de noviembre del 2005, se inició la circulación de este documento para estudio y comentarios por parte del SC27, los cuales deberán finalizar en abril del 2007. Su nombre completo es: “Draft Text for ISO/IEC 3rd WD27004, Information Technology - Security tehcniques – Information Security Management Measurements”. ISO/IEC: ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de Electrotécnia). WD: es la abreviatura de “Working Draft” (Borrador de trabajo). Information Security Management Measurements: Mediciones para la Gestión de la Seguridad de la Información. NOTA: Podría habersetraducido Management de otras formas, pero se optó por esta en asociación con ISMS y SGSI: Information Security Management System / Sistema de Gestión de la Seguridad de la Información. A los efectos de este texto, esta norma será definida como:
Alejandro Corletti Estrada Página 1 de 10
ISO-27001 e ISO-27004
“Borrador de trabajo ISO/IEC-27004: Mediciones para la Gestión de la Seguridad de laInformación.” Como se hizo referencia en otros artículos, este futuro estándar no es algo aislado, sino que forma parte de la serie o familia ISO-2700x de los cuales se pueden considerar hoy: • • • • • • • ISO/IEC 27000 Fundamentals and vocabulary ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005 ISO/IEC 27002 Code of practice for informationsecurity management - Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005 ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo) ISO/IEC 27004 Information security management measurement (bajo desarrollo) ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo) ISO/IEC 27006 Requerimientos para organismos deacreditación (bajo desarrollo)
DESARROLLO
I. Introducción:
Como se mencionó en el prólogo, esta futura norma tiene como misión desarrollar todos los aspectos que deben ser considerados para poder “medir” el cumplimiento de la norma ISO 27001. Como ya se sabe, la misma hace especial hincapié en el concepto de SGSI y en la aplicación de controles, los cuales son los que en definitiva le dan vida a esteciclo permanente de gestión. El principio básico es que si no se puede medir, entonces no sirve de nada. Como se irá viendo a lo largo de este texto, la idea de medición es muy amplia y en definitiva, va desde la medición más simple hasta la combinación de varios niveles o instancias de ellas para poder ofrecer datos que lleven a un verdadero “cuadro de mando de la seguridad”, que sería el...
ISO-27001 e ISO-27004
Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com
Viena 2007
PRÓLOGO
Uno de los aspectos más importantes que se debe destacar del estándar ISO 27001, es la importancia que hace sobre el carácter “medible de los controles”. En concreto, si un control no se puede medir, entonces no nos aporta absolutamente nada al SGSI (Sistema deGestión de la Seguridad de la Información). Ahora bien, ¿Cómo debemos medir esos controles?, es aquí donde entra en juego el estándar ISO 27004, y como se verá en este texto, aporta un gran valor agregado en el momento de comenzar a implementar esta norma, pues desde el inicio, se comienzan a pensar todas las fases de la misma bajo el concepto de “Medición”. NOTA: Para poder comprender con claridadel sentido, los conceptos y definiciones que aquí se desarrollarán, es recomendable leer previamente los artículos que se han publicado con anterioridad respecto a esta familia de estándares, los cuales son: - “Análisis de ISO 27001:2005” - “ISO-27001: Los controles (Parte I)” - “ISO-27001: Los controles (Parte II)”
PRESENTACIÓN
Al igual que el ISO 27001, esta norma (que aún se encuentra enestado de borrador) tiene como responsable al JTC 1 (Join Technical Committee Nº1) JTC 1 y dentro de él, al subcomité SC 27, IT “Security Techniques” Luego del plenario en Malasia del 07 de noviembre del 2005, se inició la circulación de este documento para estudio y comentarios por parte del SC27, los cuales deberán finalizar en abril del 2007. Su nombre completo es: “Draft Text for ISO/IEC 3rd WD27004, Information Technology - Security tehcniques – Information Security Management Measurements”. ISO/IEC: ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de Electrotécnia). WD: es la abreviatura de “Working Draft” (Borrador de trabajo). Information Security Management Measurements: Mediciones para la Gestión de la Seguridad de la Información. NOTA: Podría habersetraducido Management de otras formas, pero se optó por esta en asociación con ISMS y SGSI: Information Security Management System / Sistema de Gestión de la Seguridad de la Información. A los efectos de este texto, esta norma será definida como:
Alejandro Corletti Estrada Página 1 de 10
ISO-27001 e ISO-27004
“Borrador de trabajo ISO/IEC-27004: Mediciones para la Gestión de la Seguridad de laInformación.” Como se hizo referencia en otros artículos, este futuro estándar no es algo aislado, sino que forma parte de la serie o familia ISO-2700x de los cuales se pueden considerar hoy: • • • • • • • ISO/IEC 27000 Fundamentals and vocabulary ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005 ISO/IEC 27002 Code of practice for informationsecurity management - Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005 ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo) ISO/IEC 27004 Information security management measurement (bajo desarrollo) ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo) ISO/IEC 27006 Requerimientos para organismos deacreditación (bajo desarrollo)
DESARROLLO
I. Introducción:
Como se mencionó en el prólogo, esta futura norma tiene como misión desarrollar todos los aspectos que deben ser considerados para poder “medir” el cumplimiento de la norma ISO 27001. Como ya se sabe, la misma hace especial hincapié en el concepto de SGSI y en la aplicación de controles, los cuales son los que en definitiva le dan vida a esteciclo permanente de gestión. El principio básico es que si no se puede medir, entonces no sirve de nada. Como se irá viendo a lo largo de este texto, la idea de medición es muy amplia y en definitiva, va desde la medición más simple hasta la combinación de varios niveles o instancias de ellas para poder ofrecer datos que lleven a un verdadero “cuadro de mando de la seguridad”, que sería el...
Leer documento completo
Regístrate para leer el documento completo.