ISO 27000 y el conjunto de estándares de Seguridad de la Información

¿Qué es ISO 27000?

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. Una familia la 27000 que contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.
Un Sistema de Gestión de la Seguridad de la Información es un conjunto de políticas y procedimientos que sirven para estandarizar la gestión de la Seguridad de la Información. A continuación les dejamos algunos detalles de cada uno de los estándares que están incluidos en la familia de ISO 27000.

• ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas. Es similar a una guía/diccionario que describe los términos de todas las normas de la familia.
• ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de las que se incluyen en la lista y consta de una parte principal basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de los controles propuestos por el estándar.
• ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles.
• ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001, indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de un SGSI con éxito.
• ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.
• ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.
• ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones certificadoras.
• ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuando, cómo asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades claves, etc.
• ISO 27008 aporta información acerca de la implementación de los controles de seguridad y sobre cómo se puede verificar el cumplimiento técnico. Aunque no está dirigido a entidades certificadoras, su uso es útil tanto para las organizaciones como para las certificadoras. Ofrece un
  a orientación sobre cómo abordar los controles definidos en la norma ISO 27002.
• ISO 27010 trata sobre intercambio de información entre organizaciones, los riesgos que conlleva, los controles que se pueden implementar, las incidencias que pueden ocurrir. Está muy orientada a la protección de la información que se intercambia relacionada con las Infraestructuras Críticas. Propone reglas habituales para que no ocurran problemas de seguridad en los intercambios de información sensible.
• ISO 27011 está orientada a las organizaciones del sector de las telecomunicaciones. Debido a la importancia de la información en este fragmento de empresas, propone un listado de controles y la forma de implementarlos con un enfoque especial para este tipo de organizaciones.
• ISO 27013 estándar que guía la integración entre las normas 27001 y 20000. Ayuda a las organizaciones a implementar ambos estándares a la vez o a beneficiarse de la implementación de uno de ellos basándose en otro existente. Esta norma contiene un anexo que compara ambos estándares.
• ISO 27014 es una guía estándar para la gobernanza de la seguridad de la información. Facilita la dirección, control y evaluación de la seguridad de la información en las actividades de la organización.
• ISO 27015 proporciona una guía para iniciar, implementar, monitorizar y mejorar un Sistema de Gestión de Seguridad de la Información en el sector financiero. Cada vez está cobrando mayor importancia debido al crecimiento masivo de las operaciones bancarias en línea y las organizaciones bancarias están apoyándose en ella para implementar su sistema de gestión.
• ISO 27016 proporciona una guía para la valoración de los aspectos económicos de la seguridad de la información. Sirve para entender las consecuencias económicas que puede tener mantener la información protegida en una organización.
• ISO 27018 es una guía para la protección de datos e información personales para los prestadores de servicios en la nube. La privacidad y la seguridad en los entornos cloud está rodeada de grandes interrogantes, bajo este contexto, esta norma proporciona un conjunto de buenas prácticas que pretende aportar confianza en el sector.
• ISO 27019 es un conjunto de buenas prácticas basadas en la norma 27002 para que la industria de la energía pueda implementar un Sistema de Gestión de la Seguridad de la Información.

Asimismo, los pilares principales de la familia 27K son las normas 27001 y 27002. La principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la seguridad de forma continuada apoyada en la identificación de los riesgos de forma continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que describe una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones.
Obtener la certificación en ISO 27001 permite a las organizaciones certificar un nivel de Seguridad ante los usuarios y las organizaciones, cada vez es más la importancia que está teniendo entre las organizaciones y empresas de todos los sectores están implantándola.

¿Cómo abordar ISO 27001 a través de un software?

Desde Audisec disponemos de GlobalSUITE – Information Security. Un software íntegramente desarrollado por nuestro equipo que permite la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información basados en la norma ISO 27001. Una herramienta que ayuda a las empresas y equipos de trabajo en la gestión integral de la norma y cumple con el ciclo completo de la misma, desde el inicio y planificación del proyecto hasta el mantenimiento y su mejora continua.