Ley iso
Páginas: 6 (1483 palabras)
Publicado: 26 de marzo de 2012
En lo que respecta a normas de seguridad, la organización más prestigiosa siempre ha sido la Organización Internacional para la Estandarización (ISO, por sus siglas en inglés de International Organization for Standardization). En materia de Seguridad de la Información ocurre lo mismo. Aunque existen muchas otras normas, que serán abarcadas en futuros post, las normas ISO abocadas a la materiaestán entre las más populares.
La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la información. Las más importantes de esta familia son las normas ISO 27001 e ISO 27002.
La última de estas, antes conocida como ISO 17799 (modificó su nombre en el año 2007), y basada en la norma británica BS 7799, es un código de buenas prácticas para la realización de unSistema de Gestión de Seguridad de la Información (SGSI). La misma está dividida en once dominios (por ejemplo, Seguridad física y del entorno o Control de accesos), y en cada uno de ellos se destacan cuáles son las mejores prácticas o los controles recomendados para dar seguridad en la organización. Esta norma no es certificable.
Para ello, está la norma ISO 27001, que es la que las organizacionesdeben certificar. La misma contiene los requisitos que debe cumplir una organización, para estar acorde a las buenas prácticas listadas en las otras normas de la familia (especialmente la 27002). Publicada en octubre 2005, hoy es la certificación en seguridad más popular y es aplicada por empresas de todo tipo en todo el mundo.
Además de estas dos series, podemos agregar las siguientes queconforman la familia:
* ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario estandard para todas las normas de la familia.
* IS 27003: es un soporte a la norma 27001, que incluye directivas para la implementación de un Sistema de Gestión de Seguridad de la Información. Fue publicada en febrero de 2010.
* ISO 27004: incluye métricas para la gestión de la seguridad dela información. Publicada en diciembre de 2009.
* ISO 27005: normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Fue publicada en junio de 2008.
También están las normas ISO 27006 (requisitos específicos para la certificación de un SGSI); la ISO 27007 (guía para auditar un SGSI), todavía en desarrollo y la norma ISO 27799 que es una guía paraimplementar la ISO 27002 en la industria de la salud.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad ante sus usuarios y el público en general. Aunque en un principio fueron de interés para las grandes empresas, las normas ISO 27000 están siendo consideradas también por medianas empresas en el Latinoamérica y el mundo. Además, las normas sirven para tener una guíade buenas prácticas que pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma.
Por ejemplo, en materia de seguridad antivirus, la norma explica en su capítulo sobre la Gestion de Comunicaciones y Operaciones, en la sección sobre códigos maliciosos (Controls against malicious code) que “es necesario tomar precauciones para prevenir y detectar la introducción desoftware malicioso“, y se detallan los siguientes puntos respecto a los controles a implementar:
1. La empresa debe contar con la “instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria“.
2. La empresa debe verificar “la presencia de virus en archivos de medioselectrónicos de origen incierto o no autorizado, o en archivos recibidos a través de redes no confiables, antes de su uso” y “la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico y archivos descargados por Internet antes de su uso“.
También extiende a modo de resumen que “se deben implementar controles de detección y prevención para la protección contra software...
La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la información. Las más importantes de esta familia son las normas ISO 27001 e ISO 27002.
La última de estas, antes conocida como ISO 17799 (modificó su nombre en el año 2007), y basada en la norma británica BS 7799, es un código de buenas prácticas para la realización de unSistema de Gestión de Seguridad de la Información (SGSI). La misma está dividida en once dominios (por ejemplo, Seguridad física y del entorno o Control de accesos), y en cada uno de ellos se destacan cuáles son las mejores prácticas o los controles recomendados para dar seguridad en la organización. Esta norma no es certificable.
Para ello, está la norma ISO 27001, que es la que las organizacionesdeben certificar. La misma contiene los requisitos que debe cumplir una organización, para estar acorde a las buenas prácticas listadas en las otras normas de la familia (especialmente la 27002). Publicada en octubre 2005, hoy es la certificación en seguridad más popular y es aplicada por empresas de todo tipo en todo el mundo.
Además de estas dos series, podemos agregar las siguientes queconforman la familia:
* ISO 27000: aún en desarrollo, será una especia de diccionario con vocabulario estandard para todas las normas de la familia.
* IS 27003: es un soporte a la norma 27001, que incluye directivas para la implementación de un Sistema de Gestión de Seguridad de la Información. Fue publicada en febrero de 2010.
* ISO 27004: incluye métricas para la gestión de la seguridad dela información. Publicada en diciembre de 2009.
* ISO 27005: normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la información. Fue publicada en junio de 2008.
También están las normas ISO 27006 (requisitos específicos para la certificación de un SGSI); la ISO 27007 (guía para auditar un SGSI), todavía en desarrollo y la norma ISO 27799 que es una guía paraimplementar la ISO 27002 en la industria de la salud.
Las normativas permiten a las organizaciones presentar y certificar un nivel de calidad ante sus usuarios y el público en general. Aunque en un principio fueron de interés para las grandes empresas, las normas ISO 27000 están siendo consideradas también por medianas empresas en el Latinoamérica y el mundo. Además, las normas sirven para tener una guíade buenas prácticas que pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma.
Por ejemplo, en materia de seguridad antivirus, la norma explica en su capítulo sobre la Gestion de Comunicaciones y Operaciones, en la sección sobre códigos maliciosos (Controls against malicious code) que “es necesario tomar precauciones para prevenir y detectar la introducción desoftware malicioso“, y se detallan los siguientes puntos respecto a los controles a implementar:
1. La empresa debe contar con la “instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria“.
2. La empresa debe verificar “la presencia de virus en archivos de medioselectrónicos de origen incierto o no autorizado, o en archivos recibidos a través de redes no confiables, antes de su uso” y “la presencia de software malicioso en archivos adjuntos a mensajes de correo electrónico y archivos descargados por Internet antes de su uso“.
También extiende a modo de resumen que “se deben implementar controles de detección y prevención para la protección contra software...
Leer documento completo
Regístrate para leer el documento completo.