GOBIERNO DE LAS TECNOLOGAS DE LA INFORMACIN

1.2.2. ISO Y SUS ESTNDARES DE LA SERIE 27000

La ISO es una red de los institutos de normas nacionales de
161 pases, sobre la base de un miembro por pas, con una
Secretara Central en Ginebra (Suiza) que coordina el sistema.
Est compuesta por delegaciones gubernamentales y no
gubernamentales subdivididos en una serie de subcomits
encargados de desarrollar las guas que contribuirn al
mejoramiento. Wikipedia
Fundacin: 23 de febrero de 1947

ISO Y SUS ESTNDARES DE LA SERIE 27000 (Cont.)

Qu es una Norma ?
Una norma es una especificacin tcnica
Elaborada con participacin de todos los sectores involucrados
Aprobada por consenso
Su objetivo es el beneficio a la comunidad
Est a disposicin de todos los interesados
Es elaborada y publicada por un organismo de normalizacin reconocido

ISO Y SUS ESTNDARES DE LA SERIE 27000 (Cont.)

ANTECEDENTES

Department of Trade & Industry

Ministerio de Comercio y de la
industria del Reino Unido.
www.dti.gov.uk

Es el administrador del comercio, negocios, empleados,

consumidores, ciencia, energa en el Reino Unido y est
trabajando para crear las condiciones de xito en los
negocios del Reino Unido en el desafo de la globalizacin.

ISO Y SUS ESTNDARES DE LA SERIE

27000 (Cont.)
QU ES ISO 27000?
Es una familia de estndares internacionales para Sistemas de Gestin de la
Seguridad de la Informacin (SGSI).
Requisitos para la especificacin de sistemas de gestin de la seguridad
de la informacin

Proceso del anlisis y gestin del riesgo

Mtricas y medidas de proteccin

Guas de implantacin

Vocabulario claramente definido para evitar distintas interpretaciones de

conceptos tcnicos y de gestin y mejora continua.

ISO Y SUS ESTNDARES DE LA SERIE 27000 (Cont.)

Organizacin Internacional para la Estandarizacin
Organizacin internacional no gubernamental, compuesta
por representantes de los organismos de normalizacin
(ONs) nacionales, que produce normas internacionales
industriales y comerciales (normas ISO ). Su finalidad es la
coordinacin de las normas nacionales, en consonancia
con el Acta Final de la Organizacin Mundial del Comercio,
con el propsito de facilitar el comercio, el intercambio de
informacin y contribuir con unos estndares comunes
para el desarrollo y transferencia de tecnologas.

ISO Y SUS ESTNDARES DE LA SERIE 27000 (Cont.)

LA FAMILIA NORMA ISO 27000 (1)

ISO 27000
En fase de desarrollo. Contendr trminos y definiciones que se emplean en
toda la serie 27000. La aplicacin de cualquier estndar necesita de un
vocabulario claramente definido, que evite distintas interpretaciones de
conceptos tcnicos y de gestin.

ISO 27001
Es la norma principal de requerimientos del sistema de gestin de seguridad de
la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a
la cual sern certificados por auditores externos los SGSI de las organizaciones.
Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habindose
establecido unas condiciones de transicin para aquellas empresas certificadas
en esta ltima.

ISO 27002 (ISO 17799)

Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable.
Ser la sustituta de la ISO17799:2005.

ISO Y SUS ESTNDARES DE LA SERIE 27000 (Cont.)

LA FAMILIA ISO 27000

(2)

ISO 27003
Contendr una gua de implementacin de SGSI e informacin acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el
anexo B de la norma BS7799-2.

ISO 27004
Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficiencia y efectividad de la implantacin de un SGSI y de los controles
relacionados. Estas mtricas se usan fundamentalmente para la medicin de los
componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.

ISO 27005
Consistir en una gua para la gestin del riesgo de la seguridad de la informacin y
servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSI. Se basar
en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

ISO 27006
Especifica el proceso de acreditacin de entidades de certificacin y el registro de
SGSIs.

1.2.3. EVOLUCIN DE LA ISO 27001

BRITISH STANDARD
INSTITUTION (BSI)

www.bsi-global.com
Fundada en 1901 como el comit de estndares de la ingeniera. Los
estndares britnicos del BSI son el cuerpo nacional de los estndares del
reino unido, con una reputacin global reconocida para la independencia, la
integridad y la innovacin en la produccin de los estndares que promueven
la mejor prctica. Desarrolla y vende estndares y soluciones de la
estandarizacin para resolver las necesidades del negocio y de la sociedad.
Certifica sistemas y productos de gerencia
Proporciona servicios de la comprobacin del producto
Desarrolla estndares privados, nacionales e internacionales
Proporciona el entrenamiento en estndares
Proporciona soluciones de software

EVOLUCIN DE LA NORMA ISO/IEC 27001 (Cont.)

1995-1998
BS779 -1:
Cdigo de
Buenas
Prcticas
BS779-2:
Espec. SGSI

1999

Revisin
BS779 -1:
BS779-2

2000
BS779-1 se
Adopta como
ISO 17799

2002

Revisin
BS779-2

Jun 2005

Revisin de la
ISO 17799
ISO/IEC 17799

Oct 2005

2013

BS7799-2 se
adopta como
ISO/IEC 27001

Versin revisada
y mejorada
ISO/IEC 27002
ISO/IEC 27001

1.2.4. IMPORTANCIA DE LA SEGURIDAD DE

LA INFORMACIN
La comunicaciones

digitales
cobran especial importancia en
la actual sociedad de la

informacin y el
conocimiento, tanto a
nivel profesional como
personal, las relaciones
humanas tienden a ser
cada vez "ms virtuales o
2.0" y en ese sentido es
bsico que conozcamos y
sepamos "movernos" con
cierta seguridad en este
entorno digital.

IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIN (Cont.)

CUAL NORMA O ESTANDAR ESCOGER
PARA GESTION DE RIESGO DE LA INFORMACION?
Depende de cual sea el objetivo
Orientada a Procesos
ISO 9001:2000
ISO/IEC 27001
CMM
ITIL
ISM3
Orientada a Controles
ISO 13335-4
BSI-ITPM
Orientada a Productos
Common Criteria
Orientada al Anlisis de Riesgos
OCTAVE
Magerit

Sesin 3
1.3.1. INFORMACIN EMPRESARIAL/INSTITUCIONAL

INFORMACIN EMPRESARIAL/INSTITUCIONAL (Cont.)

INFORMACIN EMPRESARIAL/INSTITUCIONAL (Cont.)

1.3.2. SEGURIDAD DE LA INFORMACIN/SEGURIDAD INFORMTICA

1.3.3. RIESGOS DE LA INFORMACIN

Amenazas Externas

A travs de la conexin a Internet

Virus

Escaneo de puertos

Phishing

Sabotaje de datos o de red

Spam

Robo de ordenador

Troyanos

Software pirata

Keyloggers

Rootkits

Denegacin de servicios

Smishing

Intrusin en la red

Spyware

Fraude financiero

Fraude de telecomunicaciones

Robo de informacin protegida

por copyright

Robo de banda de red wifi

Hackeo de sitio web

1.3.3. RIESGOS DE LA INFORMACIN (Cont.)

Costes derivados de estas amenazas

Interrupcin del negocio (1-2 das)

2 das de trabajo para responder

al incidente
Gastos indirectos

Prdida financiera directa

Prdida de reputacin
Coste medio del peor incidente de
seguridad

Fuente: Ministerio de Industria Britnico

8.700 17.400

850 1750

1.500 3.000

750 1.500

150 600

11.500 25.000

1.3.3. RIESGOS DE LA INFORMACIN (Cont.)

Amenazas Internas

Falta de formacin

Propios usuarios de la red: trabajadores

En 30 das de bsqueda, hay casi

un 100% de posibilidades de
visitar un sitio peligroso

97% internautas no sabe

detectar programas espa

Fuente: McAfee

Con premeditacin

81% ataques con el fin de

obtener beneficios econmicos

83% en el interior de la
organizacin y durante el horario
de trabajo

22% antiguos empleados

14% empleados en el momento

del ataque

7% relacin cliente o proveedor

Fuente: Hispasec / Trusted Strategies

1.3.4. BENEFICIOS DE IMPLANTAR UN SGSI