ISO/IEC 27000:
presentación de la familia
presenta los últimos desarrollos en la familia de normas ISO/IEC 27000
La familia de normas ISO/IEC 27000 sobre sistemas de gestión de la seguridad en la información (SGSI) continúa creciendo y ha sido adoptada en forma muy exitosa por las organizaciones en todo el mundo. La norma insignia de la familia es, por supuesto, la norma de requisitos ISO/IEC 27001, la que ha sido aceptada en todo el mundo como la norma de certificación así como para fines contractuales y regulatorios. Su importancia en el mundo de los negocios ha quedado confirmada con los datos de la ultima encuesta de la ISO (“ISO Survey”), el que muestra que la certificación bajo esta norma ha aumentado en más del 20% en el 2008.
Complementando le norma ISO/IEC 27001, existen otros miembros de la familia, los que proporcionan lineamientos y apoyo para el desarrollo, implementación y mejora de los SGSI que cumplen con la ISO/IEC 27001. La familia incluye la norma fundadora ISO/IEC 27002, publicada en 1995; esta norma contiene el bien conocido Código de Práctica para la gestión de la seguridad de la información. Ambas normas, 27001 y 27002 están siendo actualmente revisadas en cumplimento del período de 5 años que fijan las reglas de la ISO para la revisión y mejora de las normas que publica. ,
Otra norma de lineamientos es la ISO/IEC 27005, que proporciona guías sobre la gestión de riesgos. El proceso de gestión de riesgos en la seguridad de la información es un componente clave en el modelo PDCA (Plan-Do-Check-Act) de la norma ISO/IEC 27001.
Nuevas guías
Recientemente se han sumado a la familial las normas ISO/IEC 27003 y 27004. La ISO/IEC 27004 trata del tema, muy importante, de la medición de la eficacia de los SGSI implementados, lo que permite a la gerencia monitorear el desempeño relacionado con la seguridad de su SGSI. La ISO/IEC 27004 trata de “qué”, “cuándo” y “cómo” realizar mediciones en la fase “check” del ciclo PDCA – o sea durante la fase de monitoreo y análisis del proceso de mejora continua. La ISO/IEC 27003 proporciona lineamientos en apoyo de la ISO/IEC 27001 respecto al proceso de planificación e implementación de los procesos del SGSI.
Normas de auditoría
La familia también tiene normas que dan lineamientos para la acreditación y para los auditores, en relación con auditorías a SGSI. La norma de acreditación ISO/IEC 27006 es una versión de la ISO 17021-1. La norma ISO/IEC 27006 proporciona lineamientos sobre cómo los organismos de certificación deben interpretar la ISO 17021-1 en el contexto de auditorías a SGSI, en cumplimiento con la norma ISO/IEC 27001.
Actualmente están siendo desarrolladas dos normas de lineamientos para auditorías, las ISO/IEC 27007 e ISO/IEC 27008. El trabajo en estas normas está siendo llevado a cabo en colaboración con miembros de los grupos involucrados en la revisión de las normas ISO 19011 e ISO 17021-2. La norma ISO/IEC 27007 trata de las auditorías según la norma ISO/IEC 27001, cubriendo temas tales como el alcance y la complejidad, la gestión de riesgos, la selección de controles y la competencia de los auditores de SGSI. La norma ISO/IEC 27008, por otro lado, trata de aspectos técnicos de los controles de seguridad definidos en el Anexo A de la ISO/IEC 27001. Según lo planeado, estas dos normas serán publicadas en el año 2011.
Normas para sectores específicos
Se está desarrollando un nuevo rango de normas que analizan los requisitos específicos de sectores y distantas aplicaciones que están adoptando la ISO/IEC 27001. Estas normas, por supuesto, no reemplazarán a la ISO/IEC 27001, pero proporcionarán definiciones de requisitos adicionales específicos para ciertos sectores. El programa, actualmente, incluye:
ISO/IEC 27010 – para comunicaciones entre sectores
Esta norma considera varios requisitos de seguridad referidos a aquellos sectores y organizaciones involucrados en la infraestructura a nivel nacional. Incluye la seguridad de temas tales como el control de supervisión y la adquisición de datos.
ISO/IEC 27011 – para organizaciones de telecomunicaciones
Basada en la ISO/IEC 27002, esta norma fue emitida en el año 2008 y ha sido publicada en forma conjunta con el Sector de Normalización de Telecomunicaciones bajo el código X.1051.
ISO/IEC 27013 – integración de la ISO/IEC 20000-1 y la ISO/IEC 27001
Esta norma proporciona lineamientos para aquellas organizaciones que deseen integrar los sistemas de gestión de los servicios de TI y los de seguridad de la información, para beneficiarse de los elementos comunes en ambas normas. Por ejemplo, esta norma combina los sistemas de documentación, los de manejo de incidentes y los procesos de prestación de los servicios de seguridad, de monitoreo y de revisión.
ISO/IEC 27014 – marco de gobernanza de la seguridad de la información
Esta norma da apoyo al aspecto de la seguridad de la información referido al marco de gobernanza corporativa. La norma ISO/IEC 27001 es un marco ideal para la seguridad de la información ya que incluye los tres elementos clave de la gobernanza: gestión de riesgos, sistemas de control y la función de auditoría.
ISO/IEC 27015 – para el sector financiero y de seguros
Esta norma trata de los requisitos específicos de aquellas organizaciones de los sectores financiero y de seguros que están adoptando la norma ISO /IEC 27001.
Figura 1: Estado actual de la familia de normas ISO/IEC 27001
Sobre el autor
El profesor Edward Humphreys es el coordinador del grupo de trabajo responsable por el desarrollo y mantenimiento de las normas
ISO/IEC 27000.
 |  Envíenos ahora su opinión en el Foro Online |
