Normas APA e ICONTEC

...

Iso 27000 27001 27002

A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Los estándares ISO/IEC 27001 y 27002 fueron aprobados como estándar internacional en 2005 por la International Organization for Standarization (ISO) y por la International Electrotechnical Commission (IEC). Estas normas provienen de la norma ISO/17799:200o. Si bien las versiones ISO 27001 y 27002 son las más actualizadas, dado que son muy recientes todavía es muy utilizado el ISO/17799. Resulta muy adecuado utilizar alguna de ellas para el diseño de la estrategia para la seguridad informática de una cierta organización ya que ello indica que se sigue un proceso metodológico estandarizado, moderno y de amplia aceptación mundial para la construcción de la seguridad organizativa. Esto además facilitará el proceso de revisión de la seguridad ya que de todas formas la revisión debe hacerse también siguiendo un estándar metodológico. Algunas de las razones prácticas para utilizar este estándar son:

• Conceptualiza la información como activo con su correspondiente valor para la organización.

• Consiste en una guía metodológica para la auto creación de la infraestructura de seguridad por parte de la organización, basada en encuestas, diagnósticos, análisis, sugerencias, etcétera.

• Su enfoque está dirigido a la protección de la información con miras a la continuidad de la organización y retorno de las inversiones.

• Es una herramienta de alto valor para construir y evaluar una infraestructura para la seguridad de la información dentro de la organización.

• Pretende asegurar la permanencia, disponibilidad, accesibilidad, integridad, confidencialidad y aceptabilidad de la información.

• Integra controles que incluyan las mejores prácticas relativas a la seguridad de la información.

• Ofrece a la organización un punto de referencia estandarizado y reconocido mundialmente, con una metodología totalmente estructurada.

• Es una herramienta de alto valor para construir y evaluar una infraestructura para la seguridad de la información dentro de la organización.

• Facilita la creación de un entorno confiable y único dentro de la organización donde fluye la comunicación y las operaciones.

• Permite establecer procesos definidos para diseñar, implementar, evaluar, mantener y administrar la seguridad de la información.

• Permite establecer claramente un conjunto de políticas, estándares, procedimientos, buenas prácticas y guías relativos a la seguridad al interior de la organización.

• En las próximas versiones permitirá obtener niveles de certificación informando a la organización de su estado en ese momento en cuanto a seguridad, así como posibles mejoras a la misma y retroalimentaciones.

• Permite llegar hasta el detalle en los conceptos de seguridad de la información.

• Produce un conjunto de procedimientos, controles y medidas de evaluación aplicable y medible.

• Finalmente, y de suma importancia, organiza la seguridad en diez dominios o áreas principales específicas perfectamente diferenciadas. De estos diez dominios se derivan 36 objetivos de control, esto es, los resultados que se espera alcanzar mediante la implementación de los controles, y 127 acciones de control, esto es, prácticas, procedimientos o mecanismos que reducen el nivel de riesgo

...