La Organización Internacional para la Normalización o ISO nacida tras la Segunda Guerra Mundial (23 de Febrero de 1.947), es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
La ISO es una red de los institutos de normas nacionales de 163 países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra (Suiza) que coordina el sistema. La Organización Internacional de Normalización (ISO), con sede en Ginebra, está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento ambiental.
Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer sus normas a ningún país.
La Organización ISO está compuesta por tres tipos de miembros:
Está compuesta por representantes de los organismos de normalización (ON) nacionales, que produce normas internacionales industriales y comerciales. Dichas normas se conocen como normas ISO y su finalidad es la coordinación de las normas nacionales, en consonancia con el Acta Final de la Organización Mundial del Comercio, con el propósito de facilitar el comercio, el intercambio de información y contribuir con normas comunes al desarrollo y a la transferencia de tecnologías.
._ Miembros simples, uno por país, recayendo la representación en el organismo nacional más representativo.
._ Miembros correspondientes, de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen.
._ Miembros suscritos, países con reducidas economías a los que se les exige el pago de tasas menores que a los correspondientes.
._ La serie 27000: A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
._ ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. En España, esta norma aún no está traducida. El original en inglés y su traducción al francés pueden descargarse gratuitamente de standards.iso.org/ittf/Publicly Available Standards.
Beneficios de la conformidad del estándar
● Protección de la información.
● Diferenciación.
● Confidencialidad con los socios, proveedores y clientes.
● Adopción de un estándar global.
● Cumplimiento con mandatos y reglas.
● Reforzamiento de procedimientos.
● Alta gerencia es propietaria de la información.
● Revisión independiente de Information Security Management System (o SGSI)
● Mejorar la conciencia de seguridad.
● Combinar recursos con otros Sistemas de Administración.
● Mecanismo para medir los sucesos del control de seguridad.
Fase a Trabajar: #1: Establecer el SGSI.
1._ Metodología de Evaluación de Riesgos: La institución al no cumplir con este aspecto debe estar consiente que archivos de suma importancia pueden desaparecer es por esto que la metodología de evaluación sería el primer aspecto a cumplir para luego encaminarse en las demás fases. Según los señalamientos de ISO 27000:
._ Definir el enfoque de evaluación de riesgos: Definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla. El riesgo nunca es totalmente eliminable, por lo que es necesario definir una estrategia de aceptación de riesgo.
2._ Identificar amenazas y vulnerabilidades: Una vez realizada la evaluación se identifican las amenazas que puedan correr los archivos almacenados correspondientes a la institución es por ello que el Manual de la ISO 27000 propone expone lo siguiente:
._ Análisis y evaluación de los riesgos: Evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.
Fase a Trabajar: #2: Implementar y Operar el SGSI.
1._ Implantar plan de tratamiento de riesgos: En este aspecto la institución debe diseñar un plan que reduzca el riego de extravió o reproducción de la información. La ISO 27000 explica:
._ Definir plan de tratamiento de riesgos: Que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.
2._ Implementar los controles: Es la aplicación del plan diseñado y medir su eficacia.
Fase a Trabajar: #3: Realizar seguimiento y revisar el SGSI.
1._ Revisar el SGSI por parte de la Dirección: El Directivo encargado de la Institución tiene el deber de verificar si el SGSI es apropiado para el respaldo de la información archivadas. Dentro del Manuel de ISO 27000 sería esta aplicación:
._ Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.
2._ Actualizar planes de seguridad y registrar acciones que se encuentren relacionadas con la eficacia y mejora del SGSI: Este ítems puede llegar a ser el más importante pues para prevenir la perdida o reproducción de los archivos una vez que se aplica el plan se debe actualizar y así mejorar y fortalecer la eficacia del mismo. ISO 27000 explica:
._ Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: Sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.
Fase a Trabajar: #4: Mantener y mejorar el SGSI.
En esta fase todos los ítems se cumplen porque es la concientización que pueda tener el directivo de la institución con respecto a su valiosa información; sin embargo existe un ítems que no esta dentro del cumplimiento:
._ Implementar las mejoras identificadas en el SGSI: Anteriormente en las otras fases se diseñaban el plan, se calificaba la eficacia y así mismo se robustecía, así que es el segmento más importante ya que es la utilización del sistema como tal. ISO 27000 expone:
._ Implementación y operación del SGSI: La organización debe hacer lo siguiente:
a) Formular un plan de tratamiento del riesgo que identifique la acción de gestión, recursos, responsabilidades y prioridades apropiadas para dirigir los riesgos de seguridad de la información.
b) Implementar el plan de tratamiento del riesgo a fin de alcanzar los objetivos de control identificados, que incluye la consideración del financiamiento y la asignación de los roles y las responsabilidades.
c) Implementar los controles seleccionados para cumplir los objetivos de control.
d) Definir como medir la eficacia de los controles o grupos de controles seleccionados y especificar cómo serán utilizadas estas medidas para evaluar la eficacia del control para producir los resultados comparables y reproducibles.
e) Implementar los programas de formación y de toma de conciencia.
f) Gestionar la operación del SGSI.
g) Gestionar los recursos para el SGSI.
No hay comentarios:
Publicar un comentario