21/10/05

Primer post del SGSI - ISO 27001

En el III aniversario del blog "Apuntes de seguridad de la información" nace hoy un hermano pequeño orientado de manera integral a la gestión de la seguridad de la información.

Ello se produce porque por fín las diferentes normas nacionales CERTIFICABLES en materia de seguridad de la información han sido consencuadas entorno a la serie ISO 27000 y dando como primera norma de este grupo la ISO "27001" denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".

La norma ISO/IEC 27001:2005 cubre todo tipo de organizaciones (empresas, instituciones gubernamentales, organizaciones sin animo de lucro).

ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos.

Especifica los requisitos para implantar controles de seguridad acordes con las necesidades individuales de la organización o las partes sobre las que se determine el alcance.

ISO/IEC 27001:2005 está diseñado para garantizar una seleccion adecuada de controles de seguridad y proporcionales a los activos a proteger. También permitirá dar confianza sobre terceras partes que quieran garantizar la correcta gestión de la información en procesos externalizados.

ISO/IEC 27001:2005 puede ser apropiado como base para diferentes tipos de uso entre los que destacan:
- usado dentro de organizaciones para formular sus objetivos y requisitos de seguridad.
- usado dentro de organizaciones como forma de garantizar la gestión del riesgo y la rentabilidad de la inversión en seguridad.
- usado dentro de organizaciones para garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información
- usado dentro de organizaciones como marco de procesos en la implantación y gestión de los controles que garantizen el cumplimiento de los objetivos de seguridad que la organización establezca
- como definición del nuevo conjunto de procesos relacionados con la gestión de la seguridad de la información
- como identificación y aclaración de los procesos de gestión de la seguridad
- usado por la dirección de organizaciones para determinar y medir el estado de la seguridad en las actividades de gestión de la información.
- usado por auditores internos y externos de las organizaciones para determinar el grado de cumplimiento con las políticas, directivas y normas adoptadas por la organización
-usado dentro de organizaciones para proporcionar información relevante sobre sus políticas, directivas y normas de seguridad e intercambiarlas con sus clientes como una forma de demostrar y garantizar la correcta gestión de la información que en ellos se deposita
-implementación para permitir la creación de nuevas actividades de negocio relacionadas con la seguridad de la información
-usada dentro de organizaciones para proporcionar confianza a sus clientes respecto de la seguridad de la información que pueden proporcionar en la realización de sus servicios

8 comentarios:

Augusto dijo...

Javier, te contacto porque estoy desarrollando un trabajo de tesis en base a la implementación de la norma ISO 17799 en la empresa en donde trabajo. Quisiera saber si me puedes orientar donde conseguir información en libros al respecto, más alla de la norma que ya la tengo.

Gracias y muy interesante el articulo.

Saludos
Augusto Gonzalez
Buenos Aires, Argentina

Mariano dijo...

Tres preguntas:
1- De donde me puedo bajar la norma ingles o español?
2- Quienes pueden certificar con esta norma?
3- Por ejemplo en España, qué empresa lo hace?

G R A C I A S

Anónimo dijo...

Javier, soy de Chile y he leído con atencion lo referente a la seguridad de la información a las normas que aplican para la implementacion de alguna metodologia en el objetivo final que no es otro que mitigar los riesgos.
Creo sin duda que cualquier implementación de este tipo, pasa necesariamente, como tema central, de un correcto inventario de activos, para lo cual se debe definir cuales son criticos para las organizaciones y de un acabado analisis de los riesgos, usando alguna herramientas o forma de mostar ya sea, cuantitativamente o cualitativamente el impacto que puede producir el no análisis de un riesgo.

papelucho dijo...

Hola Javier…
Soy una alumna que se encuentra haciendo su tesis en relación a la familia ISO 27000 y su implementación en los pases latino americanos..
Me gustaría que me puedas apoyar o guiar en este tema…
Soy Chilena y me llama mucho la atención de que aún en Chile se esté trabajando con una norma antigua como lo es la 19777, y no su última versión, me gustaría saber tu opinión al respecto y cuáles podrían ser los factores que están influyendo?...
Gracias… Xau…

Javier Cao Avellaneda dijo...

Buenas,
Para consultas y resolver dudas de manera más dinámica e interactiva cree el grupo Google "Seguridad de la Información" al que te invito a unirte. Podrás encontrar un foro de 120 personas ya donde entre todos podamos debatir el tema que planteas. Se accede a través de la pestaña del blog SGSI-ISO27001 o en la dirección http://groups.google.es/group/Seguridad-de-la-informacion/

Anónimo dijo...

Hola Javier, soy de Ecuador estoy buscando un tema de tesis para Maestria y me interesa el Area de Seguridad Informática o Seguridad de la Información, podrias recomendarme algún tema que pueda ser aplicado a PyMEs o talvés algún estudiio más general?

Gracias por tu ayuda.

Saludos,

Alexa

Javier Cao Avellaneda dijo...

Hola, Alexa.

Escribeme al correo electrónico y te daré una contestación más extensa.

Carlos dijo...

bueno saludos javier bueno la cual le escribo espara ver si me puedes ayudar o asesorar sobre la tesis que estoy haciendo mi correo es collarves@gmail.com necesito que me escribas al correo para hablar atraves de el de una forma mas segura espero recibir un email para que hablemos pronto