Normas de La Seguridad de La Información
Normas de La Seguridad de La Información
Normas de La Seguridad de La Información
FACULTAD DE TECNOLOGÍA
Cochabamba, Bolivia
INDICE
INTRODUCCIÓN............................................................................................................................. 3
FAMILIA DE NORMAS ISO 27000 ............................................................................................... 4
ISO 27001 ....................................................................................................................................... 6
ISO 27002 ....................................................................................................................................... 7
Actividades de control del riesgo ............................................................................................. 7
ISO 27005 ....................................................................................................................................... 7
ISO 27006 ....................................................................................................................................... 8
ISO 27000 ....................................................................................................................................... 8
ISO 27003 ....................................................................................................................................... 8
ISO 27004 ....................................................................................................................................... 8
ISO 27799:2008.............................................................................................................................. 8
COBIT ................................................................................................................................................ 8
ISACA .............................................................................................................................................. 11
Funciones ..................................................................................................................................... 11
Certified Information Systems Auditor (CISA) ........................................................................ 11
Certified in the Governance of Enterprise IT (CGEIT)............................................................. 11
Certified Information Security Manager (CISM) ...................................................................... 12
Certified in Risk and Information Systems Control (CRISC) ................................................... 12
LEY N°164 ....................................................................................................................................... 13
BIBLIOGRAFÍA ............................................................................................................................. 14
INTRODUCCIÓN
El gran desarrollo de las tecnologías de las Telecomunicaciones y de la Informática en las
últimas décadas ha permitido el crecimiento exponencial del servicio de Internet. Al presente
todos pueden acceder a este servicio. La información ha sido globalizada. El servicio de
Internet permite a las Empresas y a cualquier Institución realizar publicidad de sus productos
y servicios, simplificar las transacciones, ganar tiempo, ahorrar recursos y compartir y
acceder a la información. El E-commerce y el E-business permiten conducir los negocios por
Internet. Para una Organización tradicional esto significa ampliar la distribución de su
catálogo de ofertas prácticamente sin fronteras, lo cual abre su mercado de una manera nunca
imaginada con un costo muy bajo.
El E-business permite mejorar el servicio al cliente, reducir los costos, y dar apoyo a la
expansión de la Empresa sin necesidad de personal adicional.
Norma Descripción
ISO/IEC 27000 Vocabulario estándar para el SGSI para todas las
normas de la familia. Se encuentra en desarrollo
actualmente.
ISO/IEC 27001 Certificación que deben obtener las organizaciones.
Norma que especifica los requisitos para la
implantación del SGSI. Es la norma más importante
de la familia. Adopta un enfoque de gestión de
riesgos y promueve la mejora continua de los
procesos. Fue publicada como estándar
internacional en octubre de 2005.
ISO/IEC 27002 Information technology - Security techniques - Code
of practice for information security management.
Previamente BS 7799 Parte 1 y la norma ISO/IEC
17799. Es un código de buenas prácticas para la
gestión de seguridad de la información. Fue
publicada en julio de 2005 como ISO 17799:2005 y
recibió su nombre oficial ISO/IEC 27002:2005 el 1
de julio de 2007.
ISO/IEC 27003 Directrices para la implementación de un SGSI. Es
el soporte de la norma ISO/IEC 27001. Publicada el
1 de febrero del 2010, No está certificada
actualmente.
ISO/IEC 27004 Métricas para la gestión de seguridad de la
información. Es la que proporciona
recomendaciones de quién, cuándo y cómo realizar
mediciones de seguridad de la información.
Publicada el 7 de diciembre del 2009, no se
encuentra traducida al español actualmente.
ISO/IEC 27005 Normativa dedicada exclusivamente a la gestión de
riesgos en seguridad de la información. Proporciona
recomendaciones y lineamientos de métodos y
técnicas de evaluación de riesgos de Seguridad en la
Información, en soporte del proceso de gestión de
riesgos de la norma ISO/IEC 27001. Es la más
relacionada a la actual British Standar BS 7799 parte
3. Publicada en junio de 2008.
ISO/IEC 27006 Requisitos para la acreditación de las organizaciones
que proporcionan la certificación de los sistemas de
gestión de la seguridad de la información. Esta
norma específica requisitos para la certificación de
SGSI y es usada en conjunto con la norma 17021-1,
la norma genérica de acreditación.
ISO/IEC 27007 Guía para auditar al SGSI. Se encuentra en
preparación.
ISO/IEC 27799:2008 Guía para implementar ISO/IEC 27002 en la
industria de la salud.
ISO 27001
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad
de la información. Es la norma con arreglo a la cual se certifican por auditores externos. Su
Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla
la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de
sus SGSI. Esta norma está publicada en España como UNE-ISO/IEC 27001:2007. Otros
países donde también está publicada en español son, por ejemplo, Colombia, Venezuela y
Argentina.
ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
Revisión de las políticas para la seguridad de la información: las políticas para la seguridad
de la información se deben planificar y revisar con regularidad o si ocurren cambios
significativos para garantizar su idoneidad, adecuación y efectividad.
ISO 27005
Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya
los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque
de gestión de riesgos.
ISO 27006
Especifica los requisitos para la acreditación de entidades de auditoría y certificación de
sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas
de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir,
ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
En España, esta norma aún no está traducida. El original en inglés puede adquirirse en
ISO.org.
ISO 27000
Tecnología de la Información. Técnicas de Seguridad. Sistema de Gestión de la Seguridad
de la Información (SGSI). Generalidades y vocabulario.
ISO 27003
Sistema de Gestión de la Seguridad de la Información (SGSI). Guía de implantación.
ISO 27004
Tecnología de la información. Técnicas de Seguridad. Guía de auditoría de un SGSI.
Iniciadas las votaciones al DIS (cinco meses)
ISO 27799:2008
Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la
Norma ISO/IEC 27002 (ISO 27799:2008)
COBIT
COBIT es una metodología reconocida mundialmente para el control de proyectos de
tecnología, los flujos de información y riesgos. El objetivo principal de COBIT es la
investigación, el desarrollo y la promoción de un marco de control de gobierno TI actualizado
y aceptado a nivel mundial, para que las empresas adopten sus beneficios y sea utilizado por
la alta gerencia del negocio, profesionales de TI y expertos en seguridad informática. (IT
Governance Institute, 2007) En la siguiente tabla se muestra las características que menciona
COBIT.
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria los
procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la información
confiable, y los que proveen calidad, confiabilidad y control de TI. COBIT 5 se basa en el
gobierno de TI y el gobierno Corporativo.
3. Está orientado al negocio (en sentido genérico, ya que engloba administraciones públicas,
ONGs, etc.)
Características Objetivos
Orientado a negocios. Proporciona la información que la
organización requiere para alcanzar los
objetivos.
Orientado a procesos. Ofrece un modelo de procesos y un lenguaje
común para todas las personas que integran
la organización.
Basado en controles. Proveen de un conjunto de requerimientos
de alto nivel, que son considerados por la
alta gerencia para un efectivo control.
Impulsado por mediciones. Comprender el estado de los sistemas de TI
que tienen en la actualidad.
ISACA
ISACA o Information Systems Audit and Control Association es una asociación
independiente, global y sin fines de lucro, comprometidos con el desarrollo, la adopción y
uso de conocimiento y prácticas líderes en la industria de TI (Tecnologías de la Información).
Estos conocimientos y prácticas tienen uso y aceptación a nivel mundial.
Funciones
ISACA proporciona orientación práctica, evaluaciones comparativas y herramientas para
empresas que utilizan sistemas de información. A través de sus publicaciones y servicios
integrales, ISACA define roles para los profesionales de gobierno, seguridad, auditoría y
aseguramiento de sistemas de información en todo el mundo.
ISACA permite que los candidatos sustituyan la educación por alguna experiencia laboral.
Por ejemplo, un título de dos o cuatro años cuenta para uno o dos años, respectivamente, de
experiencia laboral.
Certified in the Governance of Enterprise IT (CGEIT): Aunque no son muchas las personas
que han obtenido la certificación Certified in the Governance of Enterprise IT (CGEIT)
ocupan puestos de alto nivel en sus organizaciones. El CGEIT está diseñado para
profesionales que están profundamente arraigados en la gobernanza y la garantía empresarial.
Saben cómo alinear el negocio con TI, seguir las mejores prácticas y estándares para las
operaciones y el gobierno de TI, administrar las inversiones en TI y fomentar entornos que
mejoren continuamente los procesos y las políticas.
Para lograr la certificación CGEIT, los candidatos deben aprobar un examen de 150
preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de gestión
empresarial a nivel profesional o desempeñarse en una función de asesoría o apoyo de
gobierno) y completar la solicitud.
El requisito de experiencia laboral para el CGEIT es más específico que para otras
certificaciones de ISACA. Un año de experiencia debe estar relacionado con los marcos de
gobierno de TI de la empresa, y los otros años deben estar relacionados con la gestión
estratégica, la realización de beneficios, la optimización de riesgos o la optimización de
recursos.
Para lograr la certificación ISACA CISM, los candidatos deben aprobar un examen de 200
preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de seguridad
de la información a nivel profesional; tres años deben ser gerente de seguridad en al menos
tres de las áreas de práctica laboral) y completar la solicitud. La experiencia informada debe
ser actual (dentro de los cinco años posteriores a la aprobación del examen o dentro de los
10 años anteriores a la fecha de solicitud).
Certified in Risk and Information Systems Control (CRISC): Más de 18.000 personas han
obtenido la credencial de Certificado en Control de Sistemas de Información y Riesgos
(CRISC). Esta certificación identifica a los profesionales de TI responsables de implementar
programas de gestión de riesgos de la información en toda la empresa.
Para lograr la certificación CRISC, los candidatos deben aprobar un examen de 150
preguntas, proporcionar prueba de experiencia laboral (un mínimo de tres años de gestión y
control de riesgos acumulados a nivel profesional, y realizar las tareas de al menos dos
dominios CRISC) y completar la aplicación. A diferencia de otras certificaciones de ISACA,
no se puede sustituir la educación u otras certificaciones por el requisito de experiencia
laboral. ISACA otorga hasta 10 años para adquirir experiencia después de solicitar la
certificación o cinco años a partir de la fecha en que se aprobó el examen.
LEY N°164
La ley general de telecomunicaciones, tecnologías de la información y comunicación está
decretada con objetivos específicos sobre la asequibilidad y promover el derecho de
utilización de dichas actividades.
Objetivos:
BIBLIOGRAFÍA
1. https://www.fundibeq.org/informacion/infoiso/iso-seguridad-de-la-informacion
2. https://www.normas-iso.com/iso-27001/
3. https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
4. https://gmsseguridad.com/normativa-seguridad-de-la-informacion/
5. http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso
_sobre_gestin_de_seguridad_de_la_informacin.html
6. https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
7. https://www.redalyc.org/pdf/5122/512251568001.pdf
8. https://informatica.blogs.uoc.edu/cobit-5-un-marco-de-negocio-para-el-gobierno-y-la-
gestion-de-las-ti-de-la-empresa-i/
9. https://geniusitt.com/blog/que-es-cobit-5/
10. https://bsginstitute.com/SubArea/ISACA
11. https://ayudaleyprotecciondatos.es/2021/06/08/isaca/