Metodo De Operacones
Páginas: 19 (4625 palabras)
Publicado: 24 de octubre de 2011
Introducción
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para unsistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar,revisar, mantener y mejorar un SGSI.
SU HISTORIA Y ORÍGENES
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por lacomisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actualISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
“Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
- SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System).
- Valoración de riegos(Risk Assesment)
- Controles”
De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay másaspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente).
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectosque se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados.
Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientosidentificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar.
La preparación y planificación de SGSI, se trató en el artículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar ydocumentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy...
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para unsistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar,revisar, mantener y mejorar un SGSI.
SU HISTORIA Y ORÍGENES
ISO/IEC 27001
El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por lacomisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actualISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
“Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas:
- SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System).
- Valoración de riegos(Risk Assesment)
- Controles”
De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay másaspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente).
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectosque se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados.
Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientosidentificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar.
La preparación y planificación de SGSI, se trató en el artículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar ydocumentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy...
Leer documento completo
Regístrate para leer el documento completo.