ISO/IEC 27001 y 27002 para la Gestión de Seguridad de la Información Juan Gabriel Gonzales Yauris Escuela Profesional de Ingeniería de Sistemas Universidad Nacional José María Arguedas Andahuaylas, Apurímac
[email protected] jgonzalesyauris@gmail .com
Abstract — With With
the increasing significance of information technology, there is an urgent need for adequate measures of information security. Systematic information security management is one of most important initiatives for IT management. At least since reports about privacy and security breaches, fraudulent accounting practices, and attacks attacks on IT [1]. systems appeared in public, organizations have recognized their responsibilities to safeguard physical and information assets. The standards ISO/IEC 27001 and 27002 are international standards that are receiving growing recognition and adoption. Keywords — Security; ISO/IEC 27002; 27 K
Standards;
ISO/IEC
27001;
Resumen — Con Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma. Palabras clave — Seguridad; Normas; ISO/IEC 27001; ISO/IEC 27002; ISO 27 K
I. INTRODUCCIÓN La información es el activo más importante de cada organización [1]. Evidentemente se tendrán otros activos, pero todos ellos serán adquiridos de algún modo, sin embargo si tenemos algún problema de seguridad con la información de la empresa no será posible volver a adquirir. Este él es el motivo por lo que debe dedicar todos los esfuerzos necesarios para garantizas la seguridad de la información corporativa. Habitualmente la gestión de seguridad de la información en una empresa esta descoordinada, no sigue un criterio común definido, de cada departamento o área, especialmente en de TI, tiene sus propias políticas y procedimientos, establecidos sin
una visión global de las necesidades de la organización, incluso alegados de los objetivos del negocio. La implantación de un sistema de gestión de seguridad de la información (SGSI), es la manera más eficaz de conseguir esta coordinación y gestión necesaria para orientar los esfuerzos y recursos, dedicados a la seguridad de la información, hacia una dirección que refuerce la consecución de los objetivos de la organización. Para la protección de la información información y sistemas de información información las normas y estándares ISO/IEC 27001, ISO/IEC 27002 protegen la confidencialidad, confidencialidad, integridad y disponibilidad disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información información y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan. La norma ISO/IEC 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001 [3]. La norma ISO/IEC 27002 (anteriormente denominada ISO 17799) consiste en una guía de buenas prácticas que permiten a las organiz o rganizaciones aciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones [4].
II. ESTÁNDARES INTERNACIONALES Las Normas Internacionales ISO aportan una contribución positiva al mundo en que vivimos. vivimos. Facilitan el comercio, la difusión del conocimiento, diseminan los avances innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación de la conformidad. Las normas ISO proporcionan soluciones y beneficios para casi todos los sectores de actividad, actividad, incluida incluida la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, dispositivos médicos, tecnologías de la información y comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la conformidad y servicios. ISO es la Organización Internacional de Normalización.
Los 161 miembros que la componen son los organismos nacionales de normalización de países industrializados, en desarrollo desarrollo y en transición, transición, de todos to dos los tamaños y de todas las regiones del mundo. El portafolio de ISO, con más de 18 100 normas, provee de herramientas prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo sostenible de las variables económicas, ambientales y sociales.
normas dentro de la serie 27k que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. Historia de las normas ISO/IEC 27001 e ISO/IEC 27002
Las normas ISO/IEC 27001 e ISO/IEC 27002 se desarrollaron en cooperación con la "Comisión Internacional Electrotécnica" (IEC), es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO.
III. DESARROLLO Y DIFUSIÓN DE LOS ESTÁNDARES ISO/IEC 27001 E ISO/IEC 27002 A. Desarrollo de los Estándares Estándares
A semejanza de otras normas ISO, ISO/IEC 27000 [11]. Es un conjunto de estándares desarrollados (o en fase de desarrollo) por ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional), que proporcionan un marco de gestión de la seguridad de la información información utilizable por cualquier cualquier tipo de organización, pública o privada, grande o pequeña e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión. Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (Instituto Británico de Normalización,) Normalización,) por sus siglas siglas en inglés. inglés. Es el responsable responsable de la publicación de importantes normas. La norma BS 7799 de BSI apareció por primera vez en 1995 ver Figura 1, con objeto de proporcionar a cualquier empresa (británica o no) un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, prácticas, para la que no se establecía establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada publicada por primera vez en 1998, la que estableció estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente po steriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo, ISO ha continuado, y continúa aún, desarrollando otras
Figura 1. Desarrollo de las normas ISO 27001 e ISO
27002 [12]. B. La difusión actual y Certificación de la Norma Norma ISO/IEC 27001
El número de certificaciones ha aumentado considerablemente en los últimos años como demostración de la relevancia que tiene la protección de la información para el desarrollo de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial de los diferentes países y en todo el mundo. La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. Al final del año 2013 en todo el mundo hubo 22293 ver Figura 2 certificaciones según la norma ISO 27001 [5]. Un crecimiento del 14% (2673), se había emitido en 105 países y economías, dos más que en el año anterior. Los tres países principales para el número total de certificados emitidos fueron Japón, la India y el Reino Unido, mientras que los tres primeros para el crecimiento en el número de certificados en el 2013 fueron Italia, la India y el Reino Unido[5]. Existe información regular aportada por ISO en el documento encuestas realizadas por ISO [6] donde se informa de manera detallada el resultado en el número de certificaciones acreditadas con referencia a las regiones, países, sectores industriales de mayor implantación, entre otros, para la ISO/IEC 27001 como para otros sistemas de gestión ver Figura 3.
Certificaciones Certificaci ones de la Norma ISO/IEC 27001
documento. En el caso de ISO 27001, certifican, mediante mediante la auditoría, que un sistema de gestión de seguridad de la información SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones.
IV. ISO/IEC 27001 Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5] Evolución de las las Certificaciones Certificaciones ISO / IEC 27001
Figura 3. Distribución mundial de la norma ISO/IEC 27001 certificados en 2013 [6]. C. Entidades Certificadoras. Certificadoras.
A. Concepto .
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos ver figura 4 y luego tratarlos sistemáticamente.
Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen cumplen unos requisitos requisitos específic específicos. os. Existen numerosas entidades de certificación en cada país, ya que se trata tr ata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. La acreditación de entidades de certificación para ISO/IEC 27001 o para BS 7799-2 -antes de derogarse solía hacerse en base al documento EA 7/03 "Directrices para la acreditación acreditación de organismos organismos operando programas programas de Certificación/Registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior
Figura 4. Estructura Estructura ISO/IEC 27001 [3].
Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO/IEC 27001 ha detallado detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI). ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad. De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la
Normalización, Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
Sección 0 – Introducción : Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión. Sección 1 – Alcance: Explica que esta norma es aplicable a cualquier tipo de organización. Sección 2 – Referencias normativas: Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones. Sección 3 – Términos y definiciones : De nuevo, hacen referencia a la norma ISO/IEC 27000. Sección 4 – Contexto de la organización : Esta sección es parte de la fase de Planificación del ciclo PDCA (Planificación, Implementación, Revisión y Mantenimiento; por sus siglas en inglés), define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI. Sección 5 – Liderazgo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información. Sección 6 – Planificación: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información. Sección 7 – Apoyo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros. Sección 8 – Funcionamiento : Esta sección es parte de la fase de Planifi P lanificación cación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información. Sección 9 – Evaluación del desempeño: Esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección. Sección 10 – Mejora: Esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua. Anexo A: Este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
B. Beneficios
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información: Cumplir con los requerimientos legales: cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos. Obtener una ventaja comercial: si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información. Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá. Una mejor organización: en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales principales procesos (incluso (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados. C. Revisiones 2005 y 2013 en la Norma ISO/IEC ISO/IEC 27001
La norma ISO 27001 fue publicada por primera vez en 2005 y luego fue revisada en 2013; por lo tanto, la versión válida actual es la ISO/IEC 27001:2013 [9]. Los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas preventivas y la necesidad de documentar determinados procedimientos. Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en su conjunto, su filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA) [11]. Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc. Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer la transición a la nueva revisión 2013 hasta septiembre de 2015 si quieren mantener la validez de su certificación. D. Ciclo Deming en la norma ISO/IEC 27001
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se
utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad [11]. El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando a la definición de estándares y mejores prácticas como ISO27001 o ITIL. ISO-27001 se creó teniendo en cuenta un proceso de seguridad de la información basada en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información. Ciclo Deming o Mejora Continua
contactar con la certificadora para contratar la auditoría de certificación. La auditoría de certificación consiste en que la empresa será auditada por un equipo auditor externo, que vendrá a nuestra empresa y revisará si efectivamente cumplimos los requerimientos de la norma. Si es así, emitirá su recomendación para certificarnos y obtendremos el sello de la certificadora como que cumplimos con la ISO/IEC 27001 ver Figura 5. En la FASE 1 el equipo auditor revisará toda la documentación que conforma el SGSI de la organización y realizará observaciones sobre potenciales no conformidades. En la FASE 2 el equipo auditor revisa ya toda la organización, para comprobar si existen las evidencias de que mantenemos un SGSI según la norma. La certificación de un SGSI es un proceso mediante el cual una entidad de certificación certificación externa, independiente independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Certificación en la Norma ISO/IEC 27001
Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11]. E. Procesos de Certificación Certificación
Para certificar su empresa según esta norma internacional deberá conocer el proceso completo. Todos los procesos deben cumplir los requerimientos de la norma. Además, puede ser necesario añadir nuevos procesos requeridos requeridos por por este estándar estándar internacional internacional [10]. Existen dos tipos de certificados ISO/IEC 27001: para las organizaciones y para las personas. Las organizaciones pueden obtener la certificación certificación para demostrar demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener obtener el certificado. certificado. Para obtener la certificación como organización, Defina y documente correctamente los procesos, defina indicadores y comience su medición, registre la actividad de su empresa y forme a sus empleados para que conozcan y ejecuten los procesos tal como se ha definido. Por otro lado, trabajar con una empresa de consultoría experta en ISO/IEC 27001 le ayudará: A comprender mejor la norma y lo que pide. A implementar los procesos con la experiencia del equipo consultor, de manera que sea más fácil implantarlos y aporte más valor a su empresa. Reducir el tiempo de implantación al estar mucho más enfocados. A incrementar sus posibilidades a la hora de certificarse. Una vez haya implantado el estándar y esté funcionando un tiempo, es decir, existan todas las evidencias necesarias para que el auditor pueda comprobar que efectivamente el SGSI de la empresa está conforme a la norma ISO/IEC 27001 y hay registros e indicadores que evidencian la implantación, el control, el gobierno y sobretodo la mejora continua, usted puede
Figura 6. Proceso de implantación y certificación en la norma ISO/IEC 27001 [10].
La implantación de un SGSI apropiado puede tomar algunos meses a varios años, dependiendo en gran medida de la madurez de la gestión de la seguridad de TI dentro de una organización. Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT o ITIL están más cerca de adaptarse y lograr la certificación. Existen algunas alternativas nacionales como La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) para las empresas peruanas que requieran certificarse en la Norma Técnica Peruana (NTP-ISO/IEC 27001:2008 Tecnología de la Información: Sistemas de Gestión de Seguridad de la Información. Requisitos), Podrán realizar dicha certificación de forma opcional y con recursos propios de cada entidad [7]. [ 7]. Cuyos controles deberán ser implementados de acuerdo a las recomendaciones de la Norma Técnica Peruana NTPISO/IEC 17799:2007 EDI Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. 2da edición, dispuesto por la RM 246-2007-PCM.
V. ISO/IEC 27002 Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.
La ISO/IEC 27002:2013 proporciona directrices para las normas de seguridad de información de la organización y las buenas prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo seguridad de la información de la organización (s) [8]. Está diseñado para ser utilizado por las organizaciones que pretenden pr etenden:: Seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO / IEC 27001; Implementar controles de seguridad de la información generalmente aceptadas; Desarrollar sus propias directrices de gestión de seguridad de información.
La norma ISO/IEC 27002:2005 comprende la norma ISO/IEC 17799:2005. Establece los lineamientos y principios principios generales para iniciar, iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos trazados proporcionan una guía general sobre los objetivos comúnmente aceptados de gestión de la seguridad de la información. ISO/IEC 27002:2005 contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información: política de seguridad; seguridad; organización de la seguridad de la información; gestión de activos; recursos humanos de seguridad; seguridad física y ambiental; comunicaciones y gestión de operaciones; control de acceso; los sistemas de información de adquisición, desarrollo y mantenimiento; información de gestión de incidentes de seguridad; gestión de la continuidad del negocio; cumplimiento. Los objetivos de control en ISO/IEC 27002:2005 están destinadas a ejecutarse para satisfacer los requisitos identificados por una evaluación de riesgos. ISO/IEC 27002:2005 pretende ser una base común y guía práctica para el desarrollo desarrollo de estándares estándares de seguridad de la organización y las prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales [9].
VI. CONCLUSIONES La información y los sistemas de están expuestos a riesgos de seguridad cada vez más. A través del aumento del apoyo a los procesos de negocio que ofrece la tecnología de información, así como el aumento del nivel de la creación de redes dentro de las empresas y con las partes externas. externas. Un SGSI efectivo efectivo ayuda a reducir los riesgos y prevenir las violaciones de seguridad. Las normas ISO/IEC 27001 y 27002 constituyen un marco para diseñar y operar un SGSI, basados en experiencias duraderas de desarrollo. Con estas normas se les ofrece a las empresas la oportunidad de alinear sus
procedimientos procedimientos y métodos de TI para garantiz g arantizar ar un nivel adecuado de seguridad de la información con una norma internacional. La certificación de un SGSI según ISO/IEC 27001 también proyecta una imagen positiva a través de la verificación de un sistema de gestión de seguridad de la información. Esta norma también es llamada como un punto de referencia referencia y una base para la evaluación en materia de seguridad de la información aquí un certificado según la norma ISO/IEC 27001 demuestra una disposición disposición con respecto a los servicios de seguridad de la información. Las organizaciones pueden demostrar que los servicios de TI son seguros. Las normas ISO 27001 y 27002 han sido ampliamente difundidos en Europa, América del norte y Asia. La importancia de la certificación de seguridad de la información cumple con las decisiones que una empresa brinda sus servicios servicios en TI. TI. EFERENCIAS R EFERENCIAS [1] A. Alexander C. Pelnekar, “Diseño de un sistema de gestión de seguridad de información,” Alfaomega, 2007, pp. 9-25. [2] E. Humphreys, “Infor mation mation Security Management System Standards, Normas en Sistemas de Gestión de Seguridad de la Información” Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 711. [3] ISO 27001, “Tecnología de la Información, Técnicas de Seguridad, Sistemas de gestion de seguridad de la Información , Requisitos, ” Organización Internacional de Normalización, ISO, Ginebra, 2009. [4] ISO 27002, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Organización Internacional de Normalización, ISO, Ginebra, 2009. [5] ISO, “The ISO Survey of Management System Standard Certifications 2013, Executive summary,” Available: http://www.iso.org/iso/iso_surv http://www.iso .org/iso/iso_survey_executiveey_executivesummary.pdf?v2013 . [Último acceso: 21 Noviembre 2014]. [6] ISO, «ISO Survey, estudio realizado por ISO» ISO, 2013. Available: http://www.iso.org/iso/home/ http://www.iso .org/iso/home/standards/certification/i standards/certification/isososurvey.htm?certificate=ISO/IEC%20 survey.htm? certificate=ISO/IEC%2027001&cou 27001&countrycode=#standa ntrycode=#standa rdpick . [Último acceso: 15 noviembre 2014]. [7] ONGEI, “ Norma tecnica peruana NTP-ISO/IEC 27001:2008” . Available http://www.ongei.gob.pe/docs/isoiec27001.pdf . [Último acceso: 12 noviembre 2014] [8] ISO,”ISO/IEC 27002:2013” 27002:2013” Available: http://www.iso.org/iso/home/ http://www.iso .org/iso/home/store/catalogue_ics/catalo store/catalogue_ics/catalogue_detail gue_detail _ics.htm?csnumber=5453 _ics.htm?csn umber=545333 [Último acceso: 23 Noviembre 2014]. [9] ISO,”ISO/IEC 27002:2015” 27002:2015” Available: http://www.iso.org/iso/catalogue http://www.iso .org/iso/catalogue_detail?csnumber _detail?csnumber=50297 =50297 [Último acceso: 25 Noviembre 2014]. [10] C. Pelnekar, “Planificación y ejecución de la ISO 27001,Planning for and Implementing ISO 27001,” ISACA Journal, Vol. 4, No. 4,
2011, pp. 1-8. [11] ISO 27000, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Información general y Vocabulario Organización Internacional de Normalización, Normalización, ISO, Ginebra, 2009. [12] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download www.iso2700 0.es/download/HistoriaISO2700 /HistoriaISO27001.pps 1.pps [Último acceso: 23 Noviembre 2014]. [13] ISO, "Técnicas de seguridad de TI,". Available: www.iso.org [Último acceso: 24 Noviembre 2014]. [14] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/H www.iso27000 .es/download/HistoriaISO27001 istoriaISO27001.pps .pps [Último acceso: 23 Noviembre 2014].
