Referencias Normativas ISO 27000

Introducción

Tal como hace referencia el título de este capítulo de la norma, en él se citan las referencias normativas en las que está basada la norma ISO 27001.

Actualmente se cita como referencia normativa la norma ISO / IEC 27000: 2018 tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Descripción general y vocabulario

ISO / IEC 27000: 2018 nos aporta una perspectiva general de los sistemas de gestión de seguridad de la información (SGSI). Para ello, nos proporciona los términos y definiciones que se utilizan comúnmente en la familia de normas sobre seguridad de la información.

En este documento se proporcionan:

ISO 27000 explicada punto por punto

ISO 27000 Términos y definiciones

La norma define los siguientes términos y definiciones como lenguaje común para todos los estándares ISO sobre la seguridad de la información

El control de acceso es una forma de limitar el acceso a un sistema o a recursos físicos o virtuales. En sistemas de la información, el control de acceso es un proceso mediante el cual los usuarios obtienen acceso y ciertos privilegios a los sistemas, recursos o información.

En los sistemas de control de acceso, los usuarios deben presentar las credenciales antes de que se les pueda otorgar el acceso. En los sistemas físicos, estas credenciales pueden tener muchas formas, pero las credenciales que no se pueden transferir brindan la mayor seguridad.

En el siguiente articulo pueden leer mas acerca de los requisitos para el control de accesos.

Los ataques cibernéticos son los mas comunes hoy en día. Un ciber ataque es un ataque contra un sistema informático, una red o una aplicación o dispositivo habilitado para Internet. Los piratas informáticos utilizan una variedad de herramientas para lanzar ataques, incluidos malware, ransomware , kits de explotación y otros métodos.

En la actualidad

Las víctimas de ataques cibernéticos pueden ser aleatorias o dirigidas, dependiendo de las intenciones de los delincuentes cibernéticos. Durante 2017, hemos sufrido una ola sin precedentes de ataques ransomware. Las noticias sobre el brote de ransomware comenzaron en Europa, y el Servicio Nacional de Salud de Gran Bretaña fue uno de los primeros objetivos del ataque cibernético antes de despegar a nivel mundial. Los hospitales se cerraron en todo el Reino Unido cuando los archivos se cifraron. Al final, miles de organizaciones se vieron afectadas en más de 150 países.

Si bien un ataque de ransomware es solo una forma de ataque cibernético, otros ataques ocurren cuando los piratas informáticos crean un código malicioso conocido como malware y lo distribuyen a través de campañas de correo electrónico no deseado o campañas de phishing.

Una auditoría incluye una verificación que garantice que la seguridad de la información cumple con todas las expectativas y requisitos de la norma ISO 27001 dentro de una organización. Durante este proceso, se revisa la documentación del SGSI se entrevista a los empleados sobre los roles de seguridad y otros detalles relevantes.

Cada organización debe realizar auditorías de seguridad de forma periódica para garantizar que los datos y los activos estén protegidos.

En primer lugar se define el alcance de la auditoría detallando los activos de la empresa relacionados con la seguridad de la información, incluidos equipos informáticos, teléfonos, redes, correo electrónico, datos y cualquier elemento relacionado con el acceso, como tarjetas, tokens y contraseñas.

En segundo lugar, se deben revisar las amenazas de activos, tanto las que ya se han detectado como las posibles o futuras. Para ello deberemos debe mantenerse al tanto de las nuevas tendencias en el campo de la seguridad de la información, así como de las medidas de seguridad adoptadas por otras compañías.

En tercer lugar, el equipo de auditoría debe estimar impacto que podría causar la posible materialización de las amenazas para la seguridad de la informaciones este momento es cuando hay que evaluar el plan y los controles establecidos para mantener las operaciones comerciales después de que haya ocurrido una amenaza

Finalmente deberemos evaluar la eficacia de las medidas de control establecidas y de la evaluación del riesgo potencial de las amenazas a los distintos activos de información para establecer informes de resultados de auditorías que nos permitan evaluar las necesidades de mejora tanto en los controles establecidos como en las necesidades de hacer cambios en la evaluación de los riesgos de los activos

Leer más sobre:

El alcance de una auditoria generalmente incluye una descripción de las áreas físicas, unidades organizacionales, actividades y procesos, así como el periodo de tiempo cubierto

En el contexto de los sistemas informáticos, la autenticación es un proceso que garantiza y confirma la identidad de un usuario. La autenticación es uno de los aspectos básicos en la seguridad de la informacion, junto con los tres pilares, a saber: la integridad, disponibilidad, y confidencialidad.

La autenticación comienza cuando un usuario intenta acceder a la información. Primero, el usuario debe probar sus derechos de acceso y su identidad. Al iniciar sesión en una computadora, los usuarios comúnmente ingresan nombres de usuario y contraseñas con fines de autenticación. Esta combinación de inicio de sesión, que debe asignarse a cada usuario, autentica el acceso. Sin embargo, este tipo de autenticación puede ser evitado por los hackers.

Una mejor forma de autenticación, la biométrica, depende de la presencia del usuario y la composición biológica (es decir, la retina o las huellas dactilares). Esta tecnología hace que sea más difícil para los piratas informáticos ingresar en los sistemas informáticos.

El método de autenticación de la infraestructura de clave pública (PKI) utiliza certificados digitales para probar la identidad de un usuario. También hay otras herramientas de autenticación, como tarjetas de claves y tokens USB. Una de las mayores amenazas de autenticación ocurre con el correo electrónico, donde la autenticidad suele ser difícil de verificar.

¿Qué es la autenticidad?

¿Qué entendemos por autenticidad en Seguridad de la Información? La autenticidad es la seguridad de que un mensaje, una transacción u otro intercambio de información proviene de la fuente de la que afirma ser. Autenticidad implica prueba de identidad.

Podemos verificar la autenticidad a través de la autenticación . El proceso de autenticación usualmente involucra más de una "prueba" de identidad (aunque una puede ser suficiente).

Asegurando la autenticidad

Para la interacción del usuario con los sistemas, programas y entre sí, la autenticación es fundamental. La entrada de ID de usuario y contraseña es el método de autenticación más frecuente. También parece presentar la mayoría de los problemas. Las contraseñas pueden ser robadas u olvidadas. Descifrar contraseñas puede ser simple para los hackers si las contraseñas no son lo suficientemente largas o no lo suficientemente complejas. Recordar docenas de contraseñas para docenas de aplicaciones puede ser frustrante para usuarios domésticos y usuarios empresariales

La disponibilidad, en el contexto de los sistemas de información se refiere a la capacidad de un usuario para acceder a información o recursos en una ubicación específica y en el formato correcto.

La disponibilidad es uno de los tres pilares de la Seguridad de la Información junto con la integridad y confidencialidad.

Cuando un sistema no funciona regularmente, la disponibilidad de la información se ve afectada y afecta significativamente a los usuarios. Además, cuando los datos no son seguros y no están fácilmente disponibles, la seguridad de la información se ve afectada. Otro factor que afecta la disponibilidad es el tiempo. Si un sistema informático no puede entregar información de manera eficiente, la disponibilidad se ve comprometida.

Los sistemas de almacenamiento de datos son los que en definitiva nos garantizan la disponibilidad de la información. El almacenamiento de datos por lo general puede ser local o en una instalación externa o en la nube. También pueden establecerse planes para garantizar la disponibilidad de la información en instalaciones externas cuando fallan los elementos de almacenamiento internos.

El caso es que la información debe estar disponible para en todo momento pero solo para aquellos con autorización para acceder a ella.

Como parte de una evaluación, a menudo es importante desarrollar o utilizar indicadores existentes o medidas de implementación y / o resultados.

El uso de un indicador o medida existente puede tener la ventaja de producir datos sólidos que pueden compararse con otros estudios, siempre que sea apropiado.

Se ha realizado un trabajo considerable para desarrollar medidas e indicadores que puedan utilizarse para los resultados de los proyectos de desarrollo.

Los términos "medida", "métrica" e indicador "a menudo se usan indistintamente y sus definiciones varían según los diferentes documentos y organizaciones. Por lo tanto, siempre es útil verificar qué significan estos términos en contextos específicos.

Los términos que comúnmente se asocian con las mediciones incluyen:

Hoy más que nunca, en el mundo interconectado y moderno se revela como algo absolutamente necesario, establecer requisitos en las competencias para los profesionales de seguridad de la información. Las peculiaridades del enfoque europeo para el desarrollo de las competencias profesionales de la seguridad de la información se discuten utilizando el ejemplo del Marco Europeo de Competencia Electrónica e-CF 3.0. Sobre esta base, se proponen dos incluso dos marcos específicos, si bien breves de contenido, como son las nuevas normas internacionales ISO / IEC 27021 e ISO / IEC 19896.

Por otro lado, la cultura corporativa de una organización influye en el comportamiento de los empleados y, en última instancia, contribuye a la efectividad de una organización. La información es un activo vital para la mayoría de las organizaciones. Por lo tanto, idealmente, una cultura corporativa debe incorporar controles de seguridad de la información en las rutinas diarias y el comportamiento implícito de los empleados.

Sin duda el nivel de madurez de la “competencia “en seguridad de la información es un posible método para evaluar en qué medida la seguridad de la información está incorporada en la cultura corporativa actual de una organización.

La confidencialidad, cuando nos referimos a sistemas de información, permite a los usuarios autorizados acceder a datos confidenciales y protegidos. Existen mecanismos específicos garantizan la confidencialidad y salvaguardan los datos de intrusos no deseados o que van a causar daño.

La confidencialidad es uno de los pilares de Seguridad de la información junto con la, disponibilidad e integridad.

La información o los datos confidenciales deben divulgarse únicamente a usuarios autorizados.Siempre que hablamos de confidencialidad en el ámbito de la seguridad de la información nos hemos de plantear un sistema de clasificación de la información.

Por ejemplo, en el ámbito de la seguridad de la información en una organización militar, está claro que se debe obtener un cierto nivel de autorización dependiendo de los requisitos de datos a los que se puede o desea acceder. Según el caso, los datos pueden estar clasificados como confidencial (secreta), o en un nivel superior como “Top Secret” “. Aquellos con autorizaciones para acceder a datos confidenciales sin más no deben poder en ningún caso acceder a información “Top Secret”.

Las mejores prácticas utilizadas para garantizar la confidencialidad son las siguientes:

La conformidad es el “cumplimiento de un requisito”. Cumplir significa cumplir o cumplir con los requisitos. Hay muchos tipos de requisitos. Existen requisitos de calidad, requisitos del cliente, requisitos del producto, requisitos de gestión, requisitos legales, requisitos de la seguridad de la información etc. Los requisitos pueden especificarse explícitamente (como los requisitos de la norma ISO 27001) o estar implícitos. Un requisito específico es uno que se ha establecido (en un documento, por ejemplo la política de seguridad o de uso del correo electrónico). Cuando su organización cumple con un requisito, puede decir que cumple con ese requisito.

La no conformidad es el "incumplimiento de un requisito". La no conformidad se refiere a la falta de cumplimiento de los requisitos. Una no conformidad es una desviación de una especificación, un estándar o una expectativa.

Un requisito es una necesidad, expectativa u obligación. Puede ser declarado o implícito por una organización, sus clientes u otras partes interesadas. Hay muchos tipos de requisitos. Algunos de estos incluyen requisitos de la Seguridad de la Informacion, Proteccion de datos personales, requisitos del cliente, requisitos de gestión, requisitos del producto y requisitos legales. Cuando su organización no cumple con uno de estos requisitos, se produce una no conformidad. ISO 27001 enumera los requisitos del sistema de gestión de la Seguridad de la informacion. Cuando su organización se desvía de estos requisitos, se produce una no conformidad. Las no conformidades se clasifican como críticas, mayores o menores.

No conformidad menor: cualquier no conformidad que no afecte de manera adversa la seguridad de la información, el rendimiento, la durabilidad, la capacidad de intercambio, la fiabilidad, la facilidad de mantenimiento, el uso u operación efectiva, el peso o la apariencia (cuando sea un factor), la salud o la seguridad de un producto. Múltiples no conformidades menores cuando se consideran colectivamente pueden elevar la categoría a una no conformidad mayor o crítica.

No conformidad Mayor: cualquier no conformidad que no sea crítica, que puede dar lugar a fallas o reducir sustancialmente la seguridad de la información, la capacidad de uso del producto para el propósito previsto y que no pueda ser completamente eliminada por medidas correctivas o reducido a una no conformidad menor por un un control establecido.

No conformidad crítica: cualquier no conformidad sobre la seguridad de la información que pueda causar daño a las personas, su imagen o su reputación, tanto las que usan, mantienen o dependen del producto, o aquellas que impiden el desempeño de procesos críticos para la organización.

Como vemos las consecuencias son algo relacionado con los eventos y los objetivos de la seguridad de la información

EVENTOS  

Un evento en la seguridad de la información es un cambio en las operaciones diarias de una red o servicio de tecnología de la información que indica que una política de seguridad puede haber sido violada o que un control de seguridad puede haber fallado.

Cuando un evento afecta a los resultados de un proceso o tiene consecuencias no deseadas como la interrupción de servicios, pérdida de datos o afecta a la confidencialidad, disponibilidad o integridad de la información entonces decimos que es un evento con consecuencias.

En un contexto informático, los eventos incluyen cualquier ocurrencia identificable que tenga importancia para el hardware o software del sistema.

Los eventos de seguridad son aquellos que pueden tener importancia para la seguridad de los sistemas o datos. La primera indicación de un evento puede provenir de una alerta definida por software o de que los usuarios finales notifiquen al departamento de mantenimiento o al centro de soporte que, por ejemplo, los servicios de red se han desacelerado.

Como regla general, un evento es una ocurrencia o situación relativamente menor que se puede resolver con bastante facilidad y los eventos que requieren que un administrador de TI tome medidas y clasifique los eventos cuando sea necesario como como incidentes.

Un ticket del departamento de soporte de un solo usuario que informa que cree haber contraído un virus es un evento de seguridad, ya que podría indicar un problema de seguridad. Sin embargo, si se encuentra evidencia del virus en el ordenador del usuario, puede considerarse un incidente de seguridad.

Según los informes de los organismos nacionales de ciberseguridad se producen decenas de miles de eventos de seguridad por día en las grandes organizaciones. Los productos de seguridad, como el software antivirus, pueden reducir la cantidad de eventos de seguridad y muchos procesos de respuesta de incidencia pueden automatizarse para que la carga de trabajo sea más manejable.

SISTEMAS DE ADMINISTRACION DE EVENTOS (¿QUE SON?)

Los eventos que no requieren la acción de un administrador pueden ser manejados automáticamente por la información de seguridad y por sistemas denominados de administración de eventos (SIEM).

Los sistemas de administración de información y eventos nacieron en el entorno de la industria de métodos de pago por tarjeta para luego extenderse como solución para grandes y medianas empresas

Se trata de ver todos los datos relacionados con la seguridad desde un único punto de vista para facilitar que las organizaciones de todos los tamaños detecten patrones fuera de lo común aplicando

OBJETIVOS DE SEGURIDAD

Los sistemas de información son vulnerables a la modificación, intrusión o mal funcionamiento.

Los sistemas de gestión para la seguridad de la información tienen como objetivo proteger a los sistemas de estas amenazas. Para ello se establecen criterios basados en una evaluación previa de los riesgos que estas amenazas suponen para poner los controles necesarios de forma que las pérdidas o perjuicios esperados por estas amenazas se encuentren en algún momento en niveles aceptables

Para definir los objetivos de seguridad podríamos tener en cuenta el siguiente principio fundamental:

El objetivo de seguridad utiliza tres términos.

La prioridad relativa y la importancia de la disponibilidad, la confidencialidad y la integridad varían de acuerdo con los datos y su clasificación dentro del sistema de información y el contexto empresarial en el que se utiliza.

Si la mejora se define como acciones que se traducen en una mejora de los resultados, entonces la mejora continua es simplemente identificar y realizar cambios enfocados a conseguir la mejora del rendimiento y resultados de una organización. La mejora continua es un concepto que es fundamental para las teorías y programas de gestión de la calidad y de la seguridad de la información. La mejora continua es clave para la gestión de la seguridad de la Información

La seguridad de la información es un problema complejo en muchos sentidos: redes complejas, requisitos complejos y tecnología compleja. Pero sería mucho más manejable si fuera estático. Sin embargo, está lejos de ser estático. Se agregan nuevos sistemas a la red. Los requisitos del negocio cambian con frecuencia. Y el panorama de amenazas es extremadamente dinámico. Gestionar la seguridad en este entorno es un reto importante.

Una clave para una administración de seguridad efectiva es comprender el estado actual de los riesgos y las tareas de la seguridad de la información

La complejidad introduce intrínsecamente errores, huecos y los oculta al mismo tiempo.

Con los cambios casi constantes que ocurren en la red y el panorama dinámico de amenazas, se requiere una evaluación continua de la seguridad.

La forma más efectiva de automatizar este análisis es establecer controles, definiciones de configuración o comportamiento correctos o incorrectos y evaluar continuamente la seguridad de la red con respecto a esos controles. Lo que hace con este análisis es lo que separa a las organizaciones de seguridad verdaderamente efectivas del resto.

Mejorar la seguridad requiere algo más que arreglar lo que está roto. Requiere medir la efectividad de las operaciones de seguridad; Tecnología, personas y procesos. La evaluación continua de los controles de seguridad definidos y la medición de los resultados a lo largo del tiempo crea un marco para medir las operaciones de seguridad.

Establecer la expectativa de que la mejora es el objetivo, dará como resultado una mejor seguridad.

Los controles de seguridad son medidas de seguridad técnicas o administrativas para evitar, contrarrestar o minimizar la pérdida o falta de disponibilidad debido a las amenazas que actúan por una vulnerabilidad asociada a la amenaza. En esto consiste un riesgo de seguridad.

Los controles están referenciados casi siempre a un aspecto de la seguridad, pero rara vez se definen.

Los controles también se pueden definir por su propia naturaleza, como controles de compensación técnicos, administrativos, de personal, preventivos, de detección y correctivos, así como controles generales.

Esto de los controles de seguridad podría parecer algo extremadamente técnico sin embargo la experiencia nos dice que el “ambiente de control” establece el tono de una organización, influyendo en la conciencia de control de su gente. Es la base de todos los otros componentes del control interno como son la disciplina y la estructura.

Los valores éticos en una organización se desarrollan también con la competencia de su personal y el estilo con el que se organizan y hacen cumplir los controles establecidos, también para la seguridad de la información

En primer lugar, encontramos los controles asociados a las acciones que las personas toman, llamamos a estos controles administrativos.

Los controles administrativos son el proceso de desarrollar y garantizar el cumplimiento de las políticas y los procedimientos. Tienden a ser cosas que los empleados pueden hacer, o deben hacer siempre, o no pueden hacer. Otra clase de controles en seguridad que se llevan a cabo o son administrados por sistemas informáticos, estos son controles técnicos.

Los controles de la fase de actividad pueden ser técnicos o administrativos y se clasifican de la siguiente manera:

CONTOLES ALTERNATIVOS

Finalmente existen una serie de controles que podemos llamar alternativos o de compensación

Los controles alternativos están diseñados para acercarse lo más posible al el efecto que de los controles originales, cuando los controles diseñados originalmente no pueden usarse debido a las limitaciones del entorno.

Estos generalmente se requieren cuando nuestros controles de la fase de actividad no están disponibles o cuando fallan.

DEFINICION DE COTROLES DE COMPENSACION

Los controles de compensación pueden considerarse cuando una entidad no puede cumplir con un requisito explícitamente como se indica, debido a restricciones técnicas o documentadas legítimas del negocio, pero ha mitigado suficientemente el riesgo asociado con el requisito mediante la implementación de otros controles.

Veamos una tabla ejemplo:

Este concepto hace posible cumplir con la filosofía de la norma ISO 27001 donde la base de la misma se encuentra el ciclo PDCA (LINK A PDCA EN PUBNRTO LA REVISION DE LA DIRECCION COMO PARTE DE LA EJORA CONTINUA) donde se hace imprescindible conocer y averiguar hasta qué punto se alcanzan los objetivos

En concreto:

Los requisitos de la norma ISO 27001 nos llevan a establecer al menos dos tipos de objetivos medibles

Esto no quita que podamos definir objetivos a otros niveles como departamentos, personales etc.

¿Cómo establecer objetivos fáciles de medir para los controles de seguridad?

La primera regla para establecer objetivos es: los objetivos deben ser específicos, medibles, alcanzables, relevantes y basados en el tiempo.

Establecer y medir Objetivos el camino hacia la mejora de la seguridad

La única vía para poder gestionar la seguridad de la información pasa por establecer los objetivos y medirlos aunque suponga un aspecto bastante nuevo e inexplorado de la seguridad de la información.

Está claro que hay que vencer ciertos obstáculos ya que a menudo se considera como una sobrecarga pero esto es debido seguramente a la falta de conocimiento en primer lugar, ya que las razones prácticas cuando se conocen pueden despejar este primer y mayor inconveniente.

Una no conformidad es cualquier incumplimiento de un requisito. VEASE 3.11

Un requisito puede ser el de un cliente, de un organismo legal o regulador, de la normas ISO 27001 o de un procedimiento interno de la propia organización o de la seguridad de la información.

A la hora de reaccionar ante una no conformidad podemos tomar acciones para

Las medidas o indicadores derivados son aquellos que se establecen en base a otro indicador existente. Los indicadores derivados normalmente se refieren a:

En un sistema de gestión no debemos pasar por alto el control y la organización de nuestra documentación de forma que cumplamos con los requisitos para almacenar, administrar y revisar la documentación.

En primer lugar deberemos garantizar que los contenidos de la documentación sean adecuados y describan de la forma más práctica y correcta posible los procesos ya que la documentación debe ser la herramienta para demostrar que se han implementado correctamente los procesos.

A veces una estructura demasiado compleja con distintos niveles de información y accesos diferenciados puede no ser necesaria y complicar las cosas innecesariamente

Nuestra experiencia nos enseña que la mayoría de las veces basta con una buena asesoría de implementación en Sistemas de Gestión para organizar la información de acuerdo a lo que la organización necesita y que diseñas un sistema propio de gestión documental puede resultar costoso y un gasto de tiempo y recursos que no siempre es necesario.

En el siguiente enlace le dejamos una información sobre la documentacion de un SGSI:

Un sistema de Gestión para la seguridad de la información es un conjunto de elementos interrelacionados entre sí mediante las múltiples actividades de la organización. Cada actividad definida por un proceso tendrá una o varias entradas así como salidas, necesarias por lo demás para su control. Todas las salidas de los procesos estarán enfocadas a la consecución de los objetivos de la seguridad de la información de la organización. La eficacia por tanto es la medida en que los procesos contribuyen a la consecución de los objetivos de la Seguridad de la Información. En el caso la eficacia de los procesos se medirá en el orden en que contribuyen a la consecución de los objetivos de seguridad de la información

La efectividad se refiere al grado en que se logra un efecto planificado para la seguridad de la información. Las actividades planeadas para la seguridad de la información serán efectivas si estas actividades se realizan de acuerdo a lo planificado en los objetivos para la seguridad de la información.

De manera similar, los resultados planificados son efectivos si estos resultados se logran realmente.

La efectividad consiste en hacer lo planificado, completar las actividades y alcanzar los objetivos.

Un evento de seguridad es cualquier ocurrencia observable que sea relevante para la seguridad de la información. Esto puede incluir intentos de ataques o fallos que descubren vulnerabilidades de seguridad existentes

Hemos de diferenciar los eventos en la seguridad de la información de los incidentes de seguridad. Un incidente es un evento de seguridad que provoca daños o riesgos para los activos y operaciones de seguridad de la información.

Un evento de seguridad es algo que sucede que podría tener implicaciones de seguridad de la información. Un correo electrónico no deseado es un evento de seguridad porque puede contener enlaces a malware. Las organizaciones pueden recibir miles o incluso millones de eventos de seguridad identificables cada día. Estos normalmente se manejan mediante herramientas automatizadas o simplemente se registran.

Un incidente de seguridad es un evento de seguridad que provoca daños como la pérdida de datos. Los incidentes también pueden incluir eventos que no implican daños, pero son riesgos viables. Por ejemplo, un empleado que hace clic en un enlace en un correo electrónico no deseado que lo hizo a través de los filtros puede ser visto como un incidente.

Los eventos de seguridad pasan en su mayoría inadvertidos para los usuarios. En el momento que los usuarios detectan actividad sospechosa, normalmente se recomienda que se reporte como un incidente.

Para definir correctamente el contexto externo podríamos comenzar por un análisis del entorno centrándonos en aquellos factores que podrían afectar a la organización o que están relacionados con las actividades y objetivos de la organización.

El proceso de definición del contexto externo no es un proceso que se realiza una sola vez y ya hemos terminado, sino que necesitamos controlar en todo momento los cambios en los entornos externos, y tener en cuenta los puntos de vista de las partes interesadas.

También podemos investigar el entorno externo de forma sistemática. Un enfoque simple para realizar esta tareas seria comenzar con una lista de puntos en torno a los siguientes factores, que luego pueden desarrollarse:

El gobierno de la seguridad de la información es la estrategia de una empresa para reducir el riesgo de acceso no autorizado a los sistemas y datos de tecnología de la información.

Las actividades de gobierno de la seguridad implican el desarrollo, la planificación, la evaluación y la mejora de la gestión de riesgos para la seguridad de la información y las políticas de seguridad de una organización

El gobierno de la seguridad de la empresa incluye determinar cómo las distintas unidades de negocio de la organización, los ejecutivos y el personal deben trabajar juntos para proteger los activos digitales de una organización, garantizar la prevención de pérdida de datos y proteger la reputación pública de la organización.

Las actividades de gobierno de la seguridad de la empresa deben ser coherentes con los requisitos de cumplimiento, la cultura y las políticas de gestión de la organización.

El desarrollo y el mantenimiento de la gobernanza de la seguridad de la información pueden requerís la realización de pruebas de análisis de amenazas, vulnerabilidades y riesgos que son específicas para la industria de la empresa.

El gobierno de la seguridad de la información también se refiere a la estrategia de la empresa para reducir la posibilidad de que los activos físicos que son propiedad de la empresa puedan ser robados o dañados. En este contexto, el gobierno de la seguridad incluye barreras físicas, cerraduras, sistemas de cercado y respuesta a incendios, así como sistemas de iluminación, detección de intrusos, alarmas y cámaras.

En el caso de la seguridad de la información el órgano rector será el responsable del desempeño o el resultado del sistema de gestión de la seguridad de la información. EN definitiva, el órgano rector tendrá la responsabilidad de rendir cuentas del rendimiento del sistema de gestión de la seguridad de la información

Este factor es algo que aún no es asumido por muchas empresas donde vemos que ante los fallos de seguridad producidos en grandes empresas en los últimos años revelan que menos de la mitad de los directivos de estas empresas están al tanto verdaderamente de las políticas de seguridad de la información dentro de sus propias organizaciones.

El problema al que nos enfrentamos es bastante más frecuente de lo que imaginamos. Basta pensar que en la actualidad simplemente cuesta aun encontrar una reunión del consejo de administración de una gran empresa, dedicado a los riesgos de tecnología de la información y las estrategias para abordar los riesgos.

Es por ello que la norma insiste en dedicar todo un capítulo de LIDERAZGO a dejar claro que la responsabilidad de impulsar y mantener el sistema de gestión para la seguridad de la información reside en los órganos rectores de cada organización

Los indicadores para la evaluación de la seguridad de la información a menudo sirven como evidencia forense de posibles intrusiones en un sistema o red host.

Un sistema de información debe permitir a los especialistas de la seguridad de la información y a los administradores del sistema detectar intentos de intrusión u otras actividades maliciosas.

Los indicadores permiten analizar y mejorar las técnicas y comportamientos ante un malware o amenaza en particular. Estos indicadores también proporcionan datos para entender mejor las amenazas, generando información valiosa para compartir dentro de la comunidad para mejorar aún más la respuesta a incidentes y las estrategias de respuesta de una organización.

Normalmente los indicadores se pueden sacar en los dispositivos que se encuentran en los registros de eventos y las entradas de un sistema, así como en sus aplicaciones y servicios. Para ello los administradores de sistemas también emplean herramientas que monitorean los dispositivos y redes para ayudar a mitigar, si no prevenir, violaciones o ataques.

Aquí hay algunos indicadores que se utilizar habitualmente en sistemas de seguridad de la información:

Este es un concepto relacionado con el desarrollo de procesos de medición que determinen qué información de medición se requiere, cómo se deben aplicar las medidas y los resultados del análisis, y cómo determinar si los resultados del análisis son válidos más que nada en escenarios aplicables a las disciplinas de ingeniería y gestión de sistemas y software.

Para establecer los objetivos de seguridad de la información que tengan en cuenta los riesgos y las amenazas deberemos establecer unos criterios de necesidad de información. Se trata en definitiva de contar con un modelo que defina las actividades que se requieren para especificar adecuadamente el proceso de medición para obtener dicha información.

Idealmente los procesos de medición deben ser flexibles, adaptables y adaptables a las necesidades de los diferentes usuarios.

Las instalaciones de procesamiento de información en una empresa, deben ser consideradas como un activo de información que es necesario alcanzar las metas y objetivos de la organización

Para comprender esto en el escenario de una certificación de una norma de seguridad de la información debemos tener en cuenta que deberemos afrontar una auditoría de las instalaciones de procesamiento de información demostrando que está controlada y puede garantizar un procesamiento oportuno, preciso y eficiente de los sistemas de información y aplicaciones en condiciones normales y generalmente disruptivas.

De acuerdo con la norma ISO 27001, una auditoría de instalaciones de procesamiento de información es la evaluación de cualquier sistema, servicio, infraestructura o ubicación física que contenga y procese información. Una instalación puede ser una actividad o un lugar que puede ser tangible o intangible; así como, un hardware o un software.

La seguridad de la información como vemos tiene por objetivo la protección de la confidencialidad, integridad y disponibilidad de los datos de los sistemas de información de cualquier amenaza y de cualquiera que tenga intenciones maliciosas.

La confidencialidad, la integridad y la disponibilidad a veces se conocen como la tríada de seguridad de la información que actualmente ha evolucionado incorporando nuevos conceptos tales como la autenticidad, la responsabilidad, el no repudio y la confiabilidad.

La seguridad de la información debe ser considerada desde la base de un análisis y evaluación de riesgos teniendo en cuenta cualquier factor que pueda actuar como un riesgo o una amenaza para la confidencialidad, integridad y disponibilidad etc. de los datos

La información confidencial debe conservarse; no puede modificarse, modificarse ni transferirse sin permiso. Por ejemplo, un mensaje podría ser modificado durante la transmisión por alguien que lo intercepte antes de que llegue al destinatario deseado. Las buenas herramientas de criptografía pueden ayudar a mitigar esta amenaza de seguridad.

Las firmas digitales pueden mejorar la seguridad de la información al mejorar los procesos de autenticidad y hacer que las personas prueben su identidad antes de poder acceder a los datos de un sistema de información

El termino continuidad de la seguridad de la información se utiliza dentro de la norma ISO 27001 para describir el proceso que garantice la confidencialidad, integridad y disponibilidad de la información cuando un incidente ocurre o una amenaza se materializa.

Con cierta frecuencia se interpreta este punto como una necesidad de contar con planes de continuidad del negocio asumiendo como requisito la implementación de un plan de continuidad del negocio integral para cumplir con el punto de la norma que nos habla de la continuidad de la seguridad de la información.

Un plan de continuidad del negocio sin duda puede ser una gran ayuda para garantizar que las funciones de seguridad de la información se mantengan aunque no es un requisito de la norma ISO 27001 un plan de seguridad integran enfocado a la continuidad de los servicios en general

Entonces, ¿Qué significa realmente la continuidad de la seguridad de la información? La continuidad de la seguridad de la información significa en principio garantizar que tengamos la capacidad de mantener las medidas de protección de la información cuando ocurra un incidente.

En este sentido hemos de tener en cuenta que la continuidad de la seguridad de la información debería ir un paso más adelante que la continuidad del negocio aunque la continuidad del negocio no es objeto de la norma 27001

En un caso hipotético de imposibilidad de acceso instalaciones debido a un incidente cualquiera deberíamos tener en cuenta en primer lugar poder garantizar que la empresa pueda continuar operando, que los clientes puedan recibir servicios, que los pagos se procesen y que los servicios sigan funcionando, es decir, la continuidad comercial tradicional. Pero desde una perspectiva de seguridad de la información, también debe poder asegurarse de que los datos estén protegidos mientras se implementan métodos de trabajo alternativos, por ejemplo, los usuarios que acceda por teletrabajo y procesan datos confidenciales.

Podríamos considerar como un evento en la seguridad de la información a cualquier cambio observado en el comportamiento normal de un sistema de información, entorno, proceso, flujo de trabajo o persona y que pueda afectar a la seguridad de la información. Por ejemplo: si se encuentran modificaciones en las listas de control de acceso para un router o modificaciones en las reglas de configuración de un firewall.

Debemos distinguir además de la diferencia entre un evento de seguridad de la información y las alertas. Una alerta es una notificación de que se ha producido un evento en particular (o una serie de eventos), que y que se envía a los responsables para la seguridad de la información en cada caso con el propósito de generar una acción.

Un incidente de seguridad de la información puede definirse también como cualquier evento que tenga el potencial de afectar la preservación de la confidencialidad, integridad, disponibilidad o valor de la información

Aquí les dejamos una lista con varios ejemplos típicos de incidentes en la seguridad de la información:

El conjunto de procesos para tratar los incidentes de la seguridad de la información debe

Hemos de tener en cuenta que un incidente de seguridad puede ser cualquier cosa, desde una amenaza activa hasta un intento de intrusión que ha generado un riesgo o ha conseguido comprometer la seguridad generando una violación de datos. También debemos considerar las violaciones a las políticas y el acceso no autorizado a datos como salud, finanzas, números de seguridad social y registros de identificación personal etc.

EL PROCESO DE GESTIÓN DE INCIDENTES DE INFORMACION

La gestión de incidentes de la seguridad de la información debe en primer lugar responder a las amenazas que día a día crecen tanto en volumen como en sofisticación. Pero no debemos quedarnos solamente en adoptar medidas sino que se trata más bien de adoptar prácticas que además de identificar, responder y mitigar lo más rápidamente posible cualquier tipo de incidentes, al mismo tiempo nos hagan más resistentes y nos protejan contra futuros incidentes.

El proceso de gestión de incidentes de seguridad de la información generalmente comienza con una alerta que nos provee de la información necesaria sobre el incidente para involucrar al equipo de respuesta a incidentes A partir de ahí, el personal de respuesta a incidentes investigará y analizará el incidente para determinar su alcance, evaluar los daños y desarrollar un plan de mitigación.

A modo de ejemplo podemos tomar como modelo una estrategia sistemática para la gestión de incidentes de seguridad basado en la norma ISO / IEC 27035 que nos describe un proceso de cinco pasos para la gestión de incidentes de seguridad, que incluye:

RESPUESTA A INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

Está claro que las medidas de respuesta a incidentes pueden variar según la organización y sus objetivos comerciales y operacionales, aunque podríamos definir una serie de pasos generales que a menudo se toman para administrar las amenazas.

El proceso de respuesta a incidentes suele comenzar con una investigación completa de un sistema anómalo o irregularidad en el sistema, los datos o el comportamiento del usuario.

Normalmente la persona que se ocupa de implementar el SGSI dentro de la empresa es responsable de coordinar todas las actividades relacionadas con la gestión de la seguridad de la información en la Organización. En organizaciones pequeñas y medianas, este papel puede asignarse a una sola persona; en sistemas más grandes, es aconsejable asignar este cometido a un grupo de personas

Las responsabilidades de una persona que este involucrada en la implementacion de un sistema de gestion de la seguridad de la Información podemos resumirlas en:

Tanto en Estados Unidos como en Europa existen regulaciones tanto para compartir como para proteger la información sensible y/o relativa a la seguridad tanto de las propias organizaciones y usuarios como de las amenazas y ataques sufridos contra la seguridad de la información

Es por ello que esta terminología se utiliza para identificar no solo las fuentes de información sino aquellas organizaciones e individuos con los que vamos a compartir información

INFORMACION DE SEGURIDAD

Nos interesa tocar el tema de como se debe compartir la información sobre la seguridad de la información

Normalmente las agencias gubernamentales incluidas las regulaciones europeas (RGPD) regulan también mediante procedimientos como deberemos compartir información acerca de la seguridad de la información

Normalmente se requerirá que se elimine la información personal antes de compartir indicadores de amenazas cibernéticas, y en ciertos casos se requerirá que el los organismos de Seguridad a Nivel Nacional realice una revisión de la privacidad de la información recibida.

También esta regulado los fines para los que se puede utilizar la información sobre la seguridad de la información, algo que afecta no solo a entidades externas con las que podemos compartir información sino a nuestra propia organización y sus departamentos de seguridad de la información

Normalmente la información sobre seguridad solo puede ser utilizada para

Cuando hablamos de sistemas de Información nos referimos un conjunto de equipos involucrados de alguna forma en el manejo de información. Nos referimos a equipos en sentido amplio incluyendo el Hardware y el Software así como las conexiones y la propia información contenida en los sistemas informáticos (aplicaciones) así como a los usuarios y a aquellos soportes e instalaciones que permiten que estos equipos almacenen o procesen la información.

Por otro lado, un sistema de información comúnmente se refiere a un sistema informático básico, pero también puede describir un sistema de conmutación telefónica o de control ambiental.

El factor para considerar a un sistema como sistema de información e si involucra recursos para información compartida o procesada, así como las personas que administran el sistema. Las personas se consideran parte del sistema porque sin ellas, los sistemas no funcionarían correctamente.

Hay muchos tipos de sistemas de información, dependiendo de la necesidad para la cual están diseñados. Un sistema de soporte de operaciones, como un sistema de procesamiento de transacciones, convierte los datos comerciales (transacciones financieras) en información valiosa. De manera similar, un sistema de información de gestión utiliza la información de la base de datos para generar informes, lo que ayuda a los usuarios y las empresas a tomar decisiones basadas en los datos extraídos.

En un sistema de apoyo a las decisiones, los datos se obtienen de varias fuentes y luego son revisados por los gerentes, quienes toman las determinaciones en función de los datos compilados. Un sistema de información para ejecutivos es útil para examinar las tendencias comerciales, ya que permite a los usuarios acceder rápidamente a información estratégica personalizada en forma de resumen.

Según el nivel de la información los sistemas de información se pueden clasificar en:

En cuanto al tipo de datos o conocimiento almacenado podemos clasificarlos en

La integridad de la información se refiere a la exactitud y consistencia generales de los datos o expresado de otra forma, como la ausencia de alteración cuando se realice cualquier tipo de operación con los datos, lo que significa que los datos permanecen intactos y sin cambios

Como regla general para poder mantener y comprobar la integridad de los datos, los valores de los datos se estandarizan de acuerdo con un modelo o tipo de datos. De esta forma podremos comprobar que todas las características de los datos se mantienen de forma correcta y están completos

La integridad de los datos es una función relacionada con la seguridad de forma que un servicio de integridad tiene la función de mantener la información exactamente como fue ingresada en operaciones tales como la captura de datos, el almacenamiento, la recuperación, la actualización o la transferencia.

La integridad de los datos puede una medida del rendimiento de cualquier operación realizada con la información si tomamos en cuenta la tasa de error detectada en cada operación.

La corrupción o alteración de los datos pueden ocurrir de forma accidental (por ejemplo, a través de errores de programación) o maliciosamente (por ejemplo, a través de infracciones o hacks). Para evitar o minimizar la posibilidad corrupción de los datos existen una serie de herramientas o controles tales como:

INTEGRIDAD EN BASES DE DATOS

En bases de datos, la integridad de los datos generalmente es un requisito a considerar durante la fase de diseño de la base de datos mediante el uso el uso de métodos o rutinas de verificación de errores y procedimientos de validación.

El concepto de integridad de los datos garantiza que todos los datos de una base de datos puedan rastrearse y conectarse a otros datos. Esto asegura que todo es recuperable y se puede buscar.

Tener un sistema de integridad de datos único, bien definido y bien controlado aumenta la estabilidad, el rendimiento, la reutilización y facilita el mantenimiento. Si una de estas características no se puede implementar en la estructura de la base de datos, puede también implementarse a través del software.

Este concepto se refiere a cualquiera de las personas u organizaciones que pueden verse afectadas por una situación, o que esperan un beneficio económico o de otro tipo de una situación: Así nos encontramos con los empleados, proveedores, clientes y otros posibles interesados

El contexto interno puede incluir:

El nivel de riesgo es un elemento necesario en la evaluación de riesgos para la seguridad de la información. El nivel de riesgo es el resultado del cálculo del riesgo como una forma de ponderar el riesgo para la seguridad de la información ante una determinada amenaza

El nivel de riesgo es el elemento que nos permite razonar las medidas necesarias para mitigar o reducir el riesgo y es un elemento fundamental para la toma de decisiones.

Dentro del proceso de análisis de riesgos se acepta como fórmula para el cálculo del nivel de riesgo

Nivel de riesgo = probabilidad (de un evento de interrupción) x pérdida (relacionada con la ocurrencia del evento)

En este escenario el nivel de riesgo es una medida de la pérdida esperada relacionada con algo (es decir, un proceso, una actividad de producción, una inversión...) sujeta a La ocurrencia del evento de interrupción considerado.

Se trata pues de una forma de cuantificar o medir el riesgo.

Otra forma de considerar esta fórmula es

Riesgo = Probabilidad de Fallo x Nivel de Daño Relacionado con el fallo

La probabilidad en el análisis de riesgos

La probabilidad de que algo suceda o una amenaza contra la seguridad de la información se concrete nos ayuda a pronosticar o conocer de manera anticipada las consecuencias reales de una amenaza. Sin embargo, muchas veces la falta de datos objetivos para ciertos tipos de amenazas de seguridad de la información hace que sea difícil incorporar un enfoque de pronóstico basado en la probabilidad.

Por otro lado, la probabilidad es un elemento fundamental en un proceso de análisis de riesgo. Veamos cómo deberíamos incluir la probabilidad en las actividades del proceso de análisis de riesgos

¿Qué es la probabilidad?

Definimos probabilidad como el grado de probabilidad de que ocurra un evento.

Primero consideramos el concepto clásico de probabilidad. La clave para este concepto de probabilidad es que todas las posibilidades deben ser igualmente probables.

Frecuencia

Otro concepto importante dentro de la probabilidad es la frecuencia como un parámetro que mide la probabilidad de que ocurra un evento o un resultado dado, dentro de un intervalo de tiempo en el que ocurrirán eventos similares.

El estudio de la frecuencia es una herramienta útil para calcular la probabilidad, aunque no puede conocer el valor exacto de una probabilidad, puede estimarlo observando la frecuencia con la que ocurrieron eventos similares en el pasado

Probabilidad subjetiva

Finalmente otra herramienta a incorpora en la determinación de la probabilidad es la probabilidad subjetiva. Ante la dificultad de tener datos objetivos sobre la probabilidad podemos también considerar información indirecta, o colateral, conjeturas, intuición u otros factores subjetivos para considerar o determinar la probabilidad

Se trata de evaluar las probabilidades de manera diferente, según una evaluación personal de una situación. Una desventaja de este enfoque es que a menudo es difícil para las personas estimar la probabilidad, y la misma persona puede terminar estimando diferentes probabilidades para el mismo evento utilizando diferentes técnicas de estimación.

Probabilidad y seguridad de la información

La problemática de la obtención de datos objetivos en el cálculo de la probabilidad de que ocurran eventos o ataques contra la seguridad de la información cuando no tenemos datos propios debe afrontarse estudiando los eventos similares en nuestro sector o en sectores que aunque no sean exactamente el nuestro y así podremos extrapolar en nuestro caso concreto la probabilidad de ocurrencia.

Por ejemplo podríamos intentar evaluar cuantos ataques informáticos en el sector bancario serian aplicables a organizaciones en el sector de fabricación?

Aunque esto nos deja con una probabilidad subjetiva de amenazas resultantes podríamos realizar estimaciones con ayuda de los siguientes factores:

En general, debe tener cuidado al incorporar la probabilidad en su análisis de riesgo y tener en cuenta una combinación de datos de frecuencia y estimación subjetiva.

MONITOREO MEDICIÓN ANÁLISIS Y EVALUACIÓN

El monitoreo, la medición, el análisis y la evaluación son críticos para la evaluación del desempeño del sistema de gestión de la seguridad de la información SGSI.

El objetivo primario de estos términos es establecer un marco para medir el desempeño tanto cualitativo como cuantitativo de un SGSI de forma que podamos obtener la información de en qué grado estamos cumpliendo los objetivos del SGSI

Finalmente la medida del desempeño a través de un análisis y evaluación nos conduce a un sistema objetivo de obtención de medidas de mejora que conduzcan a un sistema que se supera a si mismo con el tiempo: La mejora continúa de la seguridad de la información

En toda planificación de un SGSI se debería determinar cómo monitorear, medir, analizar y luego evaluar los procesos de la seguridad de la información y sus resultados.

Se determinará que medir, con que método, cuales son los parámetros y con qué método o formula realizaremos el análisis y evaluación de lo que hemos medido.

METODOS DE MEDICION

Los métodos deben definir qué actividades son necesarias para garantizar resultados válidos de monitoreo y mediciones.

Los métodos deben definir las etapas y los intervalos en el proceso cuando deben realizarse las actividades de monitoreo y mediciones.

Los métodos deben definirse como se deben analizar y evaluar los resultados del monitoreo y la medición.

Los resultados tienen que ver con la evaluación del desempeño y los objetivos del SGSI.

ACLARANDO DIFERENCIAS ENTRE LOS DISTINTOS TERMINOS Y DEFINICIONES

Antes de nada, veamos más en detalle la diferencia entre monitorear, medir, analizar y evaluar un proceso:

Monitoreo: una inspección continua u observación del desempeño del proceso para el propósito especial, objetivo o alcance definido

Medición: la actividad de entregar datos y un método para definir objetivamente una medida cuantitativa o cualitativa y capturar una situación sin ninguna referencia a la importancia.

Análisis: un conjunto de técnicas para examinar tendencias y tendencias de una salida (proceso o producto)

Evaluación: la acción de comparar un proceso o las mediciones de una salida de un proceso

OBJETIVO DEL MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

El objetivo del monitoreo, la medición, el análisis y la evaluación son los responsables de la toma de decisiones un entendimiento a través de un informe de situación sobre el desempeño de los procesos. Los datos que se incluyen en los controles sugeridos por la norma, como las evaluaciones de proveedores o el control de productos no conformes. Esas actividades deben indicar la eficacia del SGSI y la medida en la que el SGSI cumple con sus objetivos de Seguridad de la Información. Este tipo de informes proporciona los datos de las diferentes unidades organizativas e información sobre problemas de calidad.

El no repudio es un concepto que garantiza que alguien no puede negar algo. En el contexto de la seguridad de la información, normalmente el no rechazo se refiere a la capacidad de garantizar que una parte de un contrato o una comunicación no pueda negar la autenticidad de su firma en un documento o el envío de un mensaje enviado por un origen determinado.

Resumiendo, el no repudio es una forma de demostrar que una información fue enviada por un origen hacia un destino.

La garantía de no repudio se utiliza normalmente en contratos digitales, firmas y mensajes de correo electrónico.

Y es que, ¿cómo podemos garantizar que una imagen, audio, video, documento, programa o carpeta no se ha manipulado o cambiado?

Esta garantía se puede obtener mediante el uso de la función “hash”, que nos da una prueba de la identificación y auténtico del origen de los datos. Esto se complementa con la utilización de firmas digitales, así como de claves públicas.

Las claves públicas utilizadas de forma única para garantizar el no repudio, pueden suponer un problema si el destinatario del mensaje ha expuesto, a sabiendas o sin saberlo, su clave encriptada o secreta.

En cuanto a la seguridad de la información el no repudio no es el único criterio para garantizar la integridad de los datos ya que en los ataques de “phishing” o suplantación de identidad pueden comprometer igualmente la integridad de los datos ya que incluso las firmas digitales

Además, es importante tener en cuenta que una firma digital aunque sea auténtica puede ser mal utilizada por alguien que tenga o haya obtenido fraudulentamente la clave privada. Este problema ha sido contrarrestado con las tarjetas inteligentes.

La aplicación de sistemas de no repudio protege al destinatario y al remitente cuando un destinatario niega recibir un correo electrónico. El no rechazo por tanto, se convierte en un pilar esencial de la seguridad de la información cuando se necesita.

En el contexto de los sistemas de gestión de seguridad de la información, la organización establece objetivos de seguridad de la información, en consonancia con la política de seguridad de la información, para lograr los resultados previstos.

El concepto de organización puede ser una persona física, una empresa o corporación, un organismo público o sociedad privada, una organización benéfica o institución, o también una parte o combinación de los mismos.

Hemos de tener en cuenta que una organización externa está fuera del alcance del sistema de gestión, aunque la función o proceso subcontratado está dentro del alcance.

El concepto de externalización queda sumamente claro en su definición. Sin embargo, en este punto se abre la puerta a tomar como procesos externalizados a todos aquellos que se queden fuera del alcance del SGSI. Sobre este punto en concreto puede ver más información en el siguiente link:

El concepto de desempeño en un sistema de gestión es un requisito que nos impone establecer un sistema para evaluar o medir la salud o efectividad en la consecución de los objetivos previstos. De la misma manera que un médico establece criterios para evaluar la salud de un paciente en base a unos indicadores derivados de análisis bioquímicos y medidas sobre parámetros como la presión arterial, un SGSI debe establecer un sistema de medición para poder evaluar la salud o la eficacia de dicho sistema a la hora de cumplir con los objetivos de la seguridad de la información.

Con este escenario, se deben definir indicadores significativos para medir el rendimiento en base a una métrica que evalúe los factores que son clave para el éxito de una organización.

DIFERENCIA ENTRE OBJETIVOS E INDICADORES

Un objetivo es algo que quiere lograr, mientras que un indicador es algo que se usa para verificar si sus esfuerzos lo están llevando hacia el objetivo definido. Por ejemplo, si el objetivo de Seguridad es alcanzar un nivel de interrupción menor del 1%, el indicador de nivel de interrupciones lo ayudará a alcanzar y mantener este parámetro en su lugar.

Es importante establecer objetivos que nos ayuden realmente a evaluar cómo se cumplen los objetivos. Es por ello que la elección de los indicadores tiene una importancia clave a la hora de tener un sistema útil para medir el desempeño y sea de verdadera ayuda en la toma de decisiones para mejorar

CRITERIOS PARA SELECCIONAR INDICADORES PARA LA SEGURIDAD DE LA INFORMACION

Veamos algunos criterios

Indicadores Relevantes para el negocio:

Para que un indicador sea relevante para el negocio debe ser relevante para los objetivos del negocio. Así que deberemos buscar entre aquellos parámetros que son importantes en la consecución de los objetivos comerciales, cumplimiento legal, objetivos de la seguridad de la información etc.

Integrados con los procesos del negocio

La integración con los procesos significa en primer lugar que las actividades para recopilar los datos de los indicadores sobre la seguridad de la información supone la menor cantidad de trabajo posible, en comparación con las actividades usuales requeridas propias del proceso del negocio.

Significativos:

El indicador debe ser capaz de identificar los factores relevantes (por ejemplo, pasos del proceso, áreas organizativas, recursos, etc.) que necesitan atención. Por ejemplo, un indicador relacionado con el número de intentos de inicio de sesión fallidos define explícitamente la eficacia del proceso de inicio de sesión.

El enfoque y la definición de procesos es un elemento fundamental en la visión de las normas ISO y en el establecimiento de un SGSI.

El enfoque de procesos significa que una organización administra y controla los procesos que conforman su organización, tanto las interacciones entre los procesos y las entradas y las salidas que unen estos procesos.

ISO 27001 promueve el enfoque de procesos para gestionar una organización y requiere que el SGSI considere a la organización como una serie de procesos interrelacionados. Están interconectados porque la salida de un proceso es a menudo la entrada a otro proceso.

ISO 27001 introduce el término enfoque de proceso en la Introducción, y se aborda nuevamente en la sección Liderazgo

¿Qué son los procesos, las entradas y salidas?

Llamamos procesos a un grupo de tareas o actividades organizadas junto con personas, equipos e instalaciones que en una secuencia especifica producen un servicio o producto. En el contexto de la información los procesos pueden referirse a las actividades que tratan con información para acceder, tratar, modificar, transmitir o distribuir información.

Un proceso de información utiliza recursos para transformar una información de entrada en una información de salida.

Un enfoque de procesos consiste en considerar como interaccionan los distintos procesos y sus entradas y salidas que unen estos procesos. La salida de un proceso se convierte en la entrada de otro. Cuando describimos todas las actividades de una organización en base a procesos la cosa puede complicarse por lo que es recomendable utilizar un diagrama o diagrama de flujo para permitirle visualizar mejor la relación entrada-salida

La norma ISO 27001 está diseñada para gestionar y mejorar los procesos de la seguridad de la información para ello deberíamos.

La efectividad de un sistema o una organización vendrá determinada por la efectividad de cada proceso y la interactividad de estos procesos dentro del sistema. Al establecer objetivos de sobre la seguridad de la información y auditar la eficacia con la que los procesos cumplen esos objetivos, una organización puede determinar si los procesos agregan valor o deben mejorarse.

En definitiva, el enfoque de procesos permite a la organización cumplir con los requisitos de la seguridad de la información y la mejora continua de la misma

La confiabilidad es un atributo de cualquier sistema de información (software, hardware o una red, por ejemplo) que nos garantiza que el sistema en cuestión tiene un desempeño de acuerdo con sus especificaciones.

La confiabilidad suele ir asociada a otros atributos de un sistema de información como son la disponibilidad y la capacidad.

En el proceso de toma de decisiones de compra de equipos o sistemas informáticos siempre tendremos en cuenta estos atributos por lo que la confiabilidad, la disponibilidad y la capacidad de servicio son aspectos importantes para el diseño en cualquier sistema.

En teoría, un producto confiable está totalmente libre de errores técnicos; en la práctica, sin embargo, los proveedores normalmente nos dan los valores confiabilidad de un producto como un porcentaje.

En sistemas o aplicaciones software es común tener en cuenta la evolución del producto por las numerosas versiones durante un período significativo de tiempo. Generalmente se consideran cada vez más confiables, ya que se supone que los errores se han eliminado en versiones anteriores. Es por ello que la versión estable y confiable de una aplicación debe siempre tenerse en cuenta antes de realizar una migración o instalación de software

Si una empresa cumple con los requisitos de una norma ISO, se dice que cumple con la norma ISO. La certificación con ISO 27001 confirma que el negocio sigue las pautas establecidas por ISO 27001 y se puede utilizar para mejorarla seguridad de la información de su empresa.

Los requisitos para la seguridad de la información establecida en la norma ISO 27001 se pueden utilizar para la mejora de la imagen o confiabilidad de la organización, para fines de certificación o para asuntos internos de una organización.

¿Qué es el riesgo residual?

Dentro de la norma ISO 27001, el riesgo residual es el riesgo que queda después del aplicar los controles de riesgo.

Después de identificar los riesgos procedemos a tratar aquellos riesgos no aceptables minimizando su impacto pero los riesgos no desaparecen después de tratarlos por lo que algunos riesgos se mantendrán en un cierto nivel, y esto es lo que son los riesgos residuales

El nivel de riesgo residual nos indicara si el tratamiento de riesgos ha sido suficiente o no.

¿Cómo evaluamos es el riesgo residual?

Los riesgos residuales evalúan de la misma manera que realiza la evaluación de riesgos inicial. Sin embargo, después de evaluar los riesgos residuales los métodos de mitigación ya no se aplican de la misma forma ya que los riesgos residuales tendrán unos impactos y una probabilidad de ocurrencia normalmente menor

Tratamiento de riesgos residuales: Nivel aceptable de riesgo

Los riesgos residuales nos permiten evaluar si los tratamientos de riesgos utilizados son realmente eficientes y suficientes para mitigar el riesgo; La pregunta es: ¿cómo saber qué es suficiente? Aquí es donde entra en juego el concepto de nivel aceptable de riesgos.

En este punto cada organización debe decidir cuál es su nivel de riesgo aceptable en lo que suele denominarse perfil de riesgo. La norma ISO 27001 permite que cada empresa decida si tendrá un perfil de riesgo conservador o por el contrario prefiere operar con un riesgo moderado o incluso alto

En un entorno de riesgo alto está claro que es mucho más probable que ocurra algo por lo que la decisión de trabajar en estos perfiles de riesgo suele ser más típico en empresas en fases de inicio de operaciones mientras que las organizaciones maduras prefieren niveles de riesgo más moderados o conservadores.

Gestión de riesgos residuales.

Una vez que se determinan los riesgos residuales ternemos Básicamente tres opciones:

Este término de “revisión“nos remite a las acciones realizadas para determinar la eficacia en definitiva de un sistema de gestión de la seguridad de la información SGSI

La eficacia de un sistema de gestión de la seguridad de la información puede determinarse por la relación entre los resultados obtenidos por el sistema de gestión SGSI y los recursos utilizados. Consideraremos un sistema eficaz de gestión de la seguridad de la información como un sistema que trae consigo un efecto positivo y contrastable en la seguridad de la información.

Eficiencia del sistema de gestión de la Seguridad de la Información se refiere a la medida en que se realizan las actividades planificadas dentro del SGSI y se logran los resultados planificados.

Adecuación del sistema de gestión de la Seguridad de la Información:

Es la capacidad de este sistema para cumplir con los requisitos aplicables, especificados por la organización o los estándares. Por ejemplo, los requisitos pueden ser sobre la ISO 27001, La adecuación significa cumplir con todos requisitos, ni más, ni menos.

Idoneidad del sistema de Seguridad de la Información:

Es la capacidad o idoneidad de este sistema para cumplir con un propósito definido. Las organizaciones pueden identificar varios tipos de propósitos u objetivos del sistema de Gestión de la Seguridad de la Información como por ejemplo, garantizar un nivel máximo de incidencias en la seguridad de la información.

En un modelo de evaluación del rendimiento o la idoneidad de un SGSI se pueden definir una seria de factores críticos de evaluación de la cual depende el éxito del sistema. Estos factores pueden componerse a su vez de indicadores organizados en distintos niveles (Sistema ponderado)

Con un sistema ponderado, la evaluación del rendimiento refleja por un lado los resultados de una investigación empírica realizada entre profesionales de seguridad de la información acompañados por una valoración ponderada de los indicadores organizados por niveles

Objetos de revisión

Normalmente el rendimiento de la seguridad de la información depende principalmente de las medidas dirigidas a gestionar los riesgos de la información, los empleados y las fuentes de información, mientras que los factores formales y ambientales tienen un impacto menor.

Los expertos creen que la seguridad de la información debe evolucionar sistemáticamente, donde se recomienda que los pasos iniciales incluyan la revisión de objetos tales como controles de seguridad técnicos, lógicos y físicos, mientras que las actividades avanzadas deben relacionar actividades de administración predominantemente estratégicas.

En un modelo ponderado donde se asignan niveles a los objetos de revisión, las organizaciones pueden determinar más eficazmente el nivel real de rendimiento de la seguridad de la información.

Un objetivo de revisión es la declaración concreta para describir lo que se desea lograr como organización en relación con la seguridad de la información para un objetivo concreto.

Por ejemplo una organización define como objetivo

"La entrega de un servicio en la nube seguro y confiable para los usuarios y otras partes interesadas con confianza y seguridad garantizando la que la plataforma es adecuada para el propósito de uso de información confidencial".

Este objetivo debe además definir una serie de objetivos revisables siempre sin exagerar y manteniendo una exigencia de alto nivel como requiere este objetivo definido

Por ejemplo:

En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información se pueden expresar como efecto de la incertidumbre sobre los objetivos de seguridad de la información.

El riesgo de seguridad de la información está asociado con la posibilidad de que las amenazas aprovechen las vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daños a una organización.

Actualmente el posible impacto del riesgo tiene mucho que ver con la comunicación del riesgo ya que las expectativas de las partes interesadas, el público en general, los clientes y las entidades regulatorias pueden significar un factor tremendamente importante en la gestión de una crisis en la seguridad de la información

Cuando ocurre una crisis en la seguridad de la información puede ser como un auténtico maremoto que ponga patas arriba cualquier forma de trabajo causando una pérdida de control de la situación donde la imagen de la empresa y su credibilidad con los clientes puede sufrir un colapso si no se maneja la situación desde un plan de comunicaciones que permita actuar bajo unas premisas previamente establecidas para minimizar el impacto de la crisis.

Además ciertos riesgos para la seguridad de la información aunque no supongan una crisis deben, cuando se materializan, deben ser convenientemente comunicados a las autoridades o a los afectados según corresponda tanto para cumplir con los requisitos legales como para anticiparse a consecuencias no deseadas y garantizar los derechos de los afectados así como para manifestar la preocupación y seriedad de su organización

Lo que está claro es que una buena comunicación es clave en cualquier evento sobre la seguridad de la información, tanto internamente como, en términos de relacionarse con aquellos con un interés en su organización, y tener planes de comunicación listos para enfrentar dificultades.

Una segunda razón es que la buena comunicación es una parte esencial de la buena formulación de políticas en su sentido más amplio, incluida la implementación y la planificación operativa.

Dentro de los posibles estándares para la seguridad de la información, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han desarrollado una serie de normas conocidas como la serie 27000 que se ha convertido en una referencia reconocida mundialmente para las mejores prácticas en materia de seguridad de la información

La norma de referencia y la base de todas las normas ISO 27000 es la norma ISO / IEC 27001 también conocida como ISO 27001. Esta norma establece los requisitos para que el sistema de gestión de seguridad de la información (SGSI) de una organización pueda ser auditado y certificado.

La certificación ISO 27001 permite a las organizaciones demostrar que cumplen con los requisitos legislativos y reglamentarios relacionados con la seguridad de la información.

Además ISO 27001 acredita que una organización ha implementado un sistema para asegurar y proteger datos confidenciales, personales y confidenciales.

ISO 27001 nos proporciona el entorno adecuado y reconocido internacionalmente para proteger su información a través de un método efectivo, prácticas de auditoría y pruebas, procesos organizativos y programas de concientización del personal.

Una amenaza, en el contexto de la seguridad de la información, se refiere a cualquier cosa que pueda causar un daño grave a un sistema de información. Una amenaza es algo que puede o no puede ocurrir, pero tiene el potencial de causar daños graves. Las amenazas pueden provocar ataques a sistemas informáticos, redes, instalaciones etc.

Una amenaza potencial siempre está asociada a una vulnerabilidad propia del sistema de información. Una amenaza por tanto pone en riesgo nuestro sistema de información debido a una vulnerabilidad del sistema. Como las amenazas no pueden evitarse nuestra única opción será intentar corregir o disminuir lo más posible nuestras vulnerabilidades para que los atacantes no puedan infiltrarse en el sistema y causar daños.

Las amenazas pueden incluir desde virus, troyanos, puertas traseras hasta ataques directos de piratas informáticos. A menudo, el término amenaza combinada es más preciso, ya que la mayoría de las amenazas involucran múltiples causas. Por ejemplo, un pirata informático podría usar un ataque de “phishing - robo de datos para suplantacion de identidad ”, para obtener información sobre una red y posteriormente entrar de forma fraudulenta en dicha red.

Un sistema o entidad confiable es aquella en que se confía en una medida específica para hacer cumplir una política de seguridad específica. En otras palabras

Esto equivale a decir que un sistema de confianza es aquel cuyo fallo rompería una política de seguridad (si existe una política en la que el sistema de confianza es confiable).

Vulnerabilidad en el contexto de la seguridad de sistemas de la información puede ser un fallo en un sistema que puede dejarlo accesible a los atacantes. Una vulnerabilidad también puede referirse a cualquier tipo de debilidad en el propio sistema de información, o a un conjunto de procedimientos o a cualquier cosa que deje la seguridad de la información expuesta a una amenaza.

Los usuarios o el personal encargado de una red pueden proteger los sistemas de las vulnerabilidades manteniendo actualizados los parches de seguridad del software. El personal mismo puede ser una vulnerabilidad al no mantenerse informado sobre las amenazas y las políticas para prevenirlas, o no si no las pone en práctica.

ISO 27000 ¿Qué es un SGSI?

Un sistema de Gestión para la seguridad de la información consta de una serie de políticas, procedimientos e instrucciones o directrices específicas para cada actividad o sistema de información que persiguen como objetivo la protección de los activos de información en una organización

SGSI PROCESO SISTEMATICO

SGSI ENFOQUE BASADO EN EL RIESGO

La planificación de la Seguridad de la información se debe realizar con un enfoque basado en el riesgo de modo que se fundamenta en una evaluación de riesgos y en los niveles de aceptación de riesgos definidos por la organización para posteriormente tratar y gestionar los riesgos de manera efectiva.

La evaluación de riesgos se debe realizar mediante un análisis de los requisitos para la protección de los activos de información de una organización para poder seleccionar y aplicar Los controles apropiados para garantizar la protección de estos activos de información,

SGSI PRINCIPIOS FUNDAMENTALES

Implantar con éxito un SGSI deberíamos tener en cuenta apoyarnos en los siguientes principios fundamentales:

ISO 27000 Enfoque de Procesos

Dentro de una organización se establecen y gestionan una serie de tareas relacionadas entre sí y que necesitan estar coordinadas entre sí de forma eficiente para conseguir el propósito de la organización.

Una tarea normalmente se compone de varias actividades ejecutadas en un orden determinado y necesita de una serie de recursos (personal, equipos e instalaciones) además de una serie de entradas para obtener un resultado final o salidas. Esto es lo que normalmente denominanos un proceso en una organización

La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones de estos procesos, y su gestión, se puede denominar como un "enfoque de proceso".

ISO 27000 ¿Por qué es importante un SGSI?

Hoy en día, los activos de información son vitales dentro de una organización para la consecución de sus objetivos por lo que se deben abordar los riesgos para la seguridad de la información que afecten a estos activos.

Para conseguir la seguridad de la información se requiere la gestionar los riesgos para la seguridad de la información, lo que incluye:

Se de esperar que la implementación de un SGSI debería ser una decisión estratégica para una organización ya que es necesario integrar los criterios para la seguridad de la información en todas las necesidades de la organización y sus procesos.

Aunque la seguridad de la información es importante para cualquier empresa u organización, resultando de vital importancia en empresas que basan su actividad en comercio electrónico, banca, intercambio de datos o que manejan información confidencial de miles de clientes. También resulta de vital importancia en empresas que necesitan demostrar a sus clientes su capacidad de aplicar principios de seguridad de la información con reconocimiento internacional y acreditado por una entidad independiente en el caso de optar la certificación de su SGSI

ISO 27000 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI.

Parea implementar un SGSI deberemos llevar a cabo una serie de pasos que al menos deben incluir

Este proceso debe sistematizarse y mantenerse a lo largo del tiempo con el objetivo de mejorar de forma continua la seguridad de la información en una organización

ISO 27000 Factores críticos de éxito del SGSI

La norma ISO 27000 enumera una serie de factores críticos a la hora de afrontar una implementación con garantía de éxito de un SGSI.

1 Tener en cuenta objetivos y políticas para la seguridad de la información estén en consonancia con los objetivos de la organización

Actualmente ya no es suficiente que un responsable de la seguridad de la información sea un técnico experto en seguridad, ahora este rol debe incorporar una visión y experiencia empresarial necesarias para tener conversaciones de mayor nivel con sus juntas directivas y equipos ejecutivos. En nuestra opinión, el responsable de la seguridad de la información debe tener un lugar en por órganos de dirección y ser considerado como un cargo confiable por los ejecutivos principales del negocio.

2 Integrar la Seguridad de la información en la cultura de la organización

La cultura de la organización debe integrar no solo los procesos de la seguridad de la información sino también la filosofía de un sistema de gestión que tiene en cuenta la seguridad de la información tanto en el diseño de procesos, en la operación del sistema y su mantenimiento así como en la evaluación de sus procesos y decisiones de mejora

3 Obtener el apoyo y compromiso de todos los niveles de gestión, especialmente de la alta dirección

4 Realizar una evaluación de riesgos que garantice una adecuada comprensión de los requisitos de protección de activos de información

La identificación de activos pasa por determinar qué datos, sistemas u otros activos se considerarían las "joyas de la corona" de su organización. Por ejemplo, ¿qué activos tendrían el impacto más significativo en su organización si se comprometiera su confidencialidad, integridad o disponibilidad?

En particular no es difícil identificar la importancia de la confidencialidad en datos que contengan información como los números de seguridad social, datos salud o que involucren propiedad intelectual de la información.

En cuento a la integridad, por ejemplo, si una empresa debe cumplir con requisitos legales SOX y FCPA de control interno para cumplir con exigencias USA, un problema menor de integridad en los datos de informes financieros podría tener un costo enorme. O bien, si una empresa es un servicio de descarga de contenido multimedia on line y la disponibilidad de los archivos se ve comprometida, podrían perder suscriptores.

5 La capacitación y concienciación sobre la seguridad de la información debe involucrar a todos los empleados

El éxito de un SGSI depende en gran medida o podríamos decir que pasa por implicar de forma efectiva a todos los empleados y directivos en la realización de las tareas y responsabilidades sobre la seguridad de forma activa y comprometida.

Para ello se deben adoptar las medidas necesarias para este objetivo

5 Un proceso efectivo de gestión de incidentes de seguridad de la información

Por mucho que queramos evitarlos los incidentes en la seguridad de la información se producirán con mayor o menor frecuencia y es por ello que deberemos estar preparados para ello.

Nadie está libre hoy en día de sufrir incidentes contra la seguridad de la información. Es por ello que la gestión adecuada de los incidentes marcara la diferencia entre un sistema de gestión bien implantado y responderá a las necesidades del negocio

Los incidentes deben tratarse desde

6 Un enfoque efectivo de gestión de la continuidad del negocio

La continuidad del negocio es un factor a abordar, ya que los incidentes en la seguridad de la información pueden causar la indisponibilidad de los servicios o productos prestados por la organización.

Es por este motivo que la continuidad del negocio debe ser un punto importante a tener en cuenta en una organización e integrar los requisitos de continuidad del negocio en la seguridad de la información

Normalmente en las organizaciones puede que las actividades de la seguridad de la información estén separadas de la continuidad del negocio o la recuperación de desastres. Esto sucede normalmente porque que la seguridad de la información suele tener su propio conjunto de actividades centradas en la tecnología: proteger los perímetros de la red, evitar el robo de información y neutralizar los virus y otros programas maliciosos y la continuidad del negocio por el contrario, se centra más en la organización en su conjunto y en las personas, los procesos, las instalaciones y las tecnologías que la respaldan etc.

Sin embargo, para cumplir con los requisitos de un sistema de gestión para la seguridad de la información, las actividades para la seguridad de la información deben integrarse dentro de un sistema de gestión de la continuidad del negocio mejor entre sí. Cualquier brecha de seguridad que afecte a los sistemas de información es una amenaza para la continuidad del negocio y la recuperación de desastres . Una brecha de seguridad que compromete los datos y la información vital de la compañía también es un evento de continuidad empresarial. Una de las mayores preocupaciones después de los eventos de seguridad es el daño a la reputación de la organización. Esto también es una preocupación de continuidad del negocio. Los vínculos entre las disciplinas son esenciales y deben considerarse dentro

7 Evaluar el desempeño y utilizar la informacion para la mejora

La efectividad del sistema de gestión pasa por tener claro el establecimiento de un sistema de medición para evaluar el desempeño en la gestión de seguridad de la información y con ello obtener las ideas y sugerencias de retroalimentación para mejorar.

ISO 27000 BENEFICIOS DE LA FAMILIA DE NORMAS 27000

EL primer beneficio de implantar un SGSI es la reducción de los riesgos de seguridad de la información o lo que es lo mismo la disminución de la probabilidad de ser afectado por los incidentes en la de seguridad de la información

Otros beneficios de acogerse a las normas de la Serie ISO 27001 son

ISO 27000 LA FAMILIA DE NORMAS

ISO / IEC 27001

ISO 27001 es el buque insignia de las normas ISO 27001 y establece los requisitos para implementar y certificar un sistema de la seguridad de la información

ISO / IEC 27006

Esta norma establece los requisitos para seguir un proceso de auditoría y certificación de acuerdo a la norma ISO 27001 y afecta a los organismos y entidades de certificación

ISO / IEC 27009

Esta norma establece los requisitos para incluir controles para la seguridad de la información distintos de los incluidos en el anexo A (ISO 27002) de la norma ISO 27001 y se aplica si es necesario en sectores específicos que lo requieran,

ISO / IEC 27002

Guía sobre Controles de Seguridad de la Información

Esta guía nos ofrece una serie de controles que se utilizan como como guía de implementación para lograr los objetivos de la seguridad de la información

ISO / IEC 27003

Documento de ayuda para la implementación de ISO 27001

Se trata de una guía para la implementación de un SGSI de acuerdo con ISO / IEC 27001.

ISO / IEC 27004

Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación

Documento de ayuda para implementar un SGSI en cuanto a

ISO / IEC 27005

Gestión de riesgos de seguridad de la información.

Documento de ayuda para implementar la gestión de riesgos de seguridad de la información cumpliendo con los conceptos generales especificados en ISO / IEC 27001.

ISO / IEC 27007

Auditoría de sistemas de gestión de seguridad de la información

Documento de ayuda para la realización de auditorías de SGSI donde además se nos proporcionan consejos para la selección de auditores y el establecimiento de programas de auditorias

ISO / IEC TR 27008

Directrices para auditores sobre controles de seguridad de la información

Documento de ayuda para la selección e implementación de los controles de seguridad además de:

ISO / IEC 27013

Orientación sobre la implementación integrada de ISO / IEC 27001 e ISO / IEC 20000

Documento de ayuda para la implementación integrada de ISO / IEC 27001 e ISO / IEC 20000-1 para las organizaciones que tienen la intención de:

ISO / IEC TR 27016

Economía organizacional

Documento de ayuda sobre métodos para la valoración de activos de información identificados así como sus riesgos potenciales, valoración de controles de protección de información para determinar el nivel óptimo de recursos a aplicar.

ISO / IEC 27021

Requisitos de competencia para profesionales de sistemas de gestión de la seguridad de la información

Especifican de requisitos de competencia para los profesionales responsables del SGSI o involucrados en el establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos del sistema de gestión de seguridad de la información según la norma ISO / IEC 27001

¿A quién le interesa la norma ISO 27021?

ISO / IEC 27010

Gestión de la seguridad de la información para comunicaciones intersectoriales e interorganizacionales

Documento de ayuda para implementar la gestión de la seguridad de la información en las comunidades que comparten información.

En este documento se proporcionan controles e instrucciones para su implementación específicamente relacionados la seguridad de la información en las comunicaciones entre organizaciones y entre sectores.

ISO / IEC 27011

Controles de seguridad de la información basados en ISO / IEC 27002 para organizaciones de telecomunicaciones

Documento de ayuda con pautas que respaldan la implementación de los controles de seguridad de la información en las organizaciones de telecomunicaciones.

Ayuda para las empresas de telecomunicaciones para cumplir con los requisitos básicos de administración de seguridad de la información de confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad relevante.

ISO / IEC 27017

Pautas para implementar controles de seguridad de la información basados en ISO / IEC 27002 para servicios en la nube

ISO 27017 contiene:

ISO / IEC 27018

Pautas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII

ISO / IEC 27018 establece objetivos de control, controles y pautas comúnmente aceptados para implementar medidas para proteger la información de identificación personal (PII) de acuerdo con los principios de privacidad de ISO / IEC 29100 para el entorno de computación en la nube pública.

ISO / IEC 27019

Controles de seguridad de la información para la industria de servicios públicos de energía

Pautas basadas en ISO / IEC 27002 aplicada a los sistemas de control de procesos utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor, y Para el control de los procesos de soporte asociados.

ISO 27019 incluye:

ISO 27019 no es aplicable al sector de la energía nuclear. Este sector está cubierto por la norma IEC 62645