IEC 27001

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año:
Author:  Jaime Bustos Espejo
4 downloads 855 Views 162KB Size
Report
DOWNLOAD PDF

Recommend Stories

IEC 27001:2013
IEC 27001:2013
IEC
La norma ISO 14764 Parte de un trabajo de Asignatura realizado por Samira Lamayzi, dirigido por Francisco Ruiz Asignatura: Planificación y Gestión de
IEC
IEC 17025)
IEC 17020?
INDICE IEC:
IEC 17021
IEC 25010
IEC 17025

Story Transcript

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Tipo de artículo: Artículo original Temática: Seguridad informática Recibido: 14/06/2012 | Aceptado: 21/09/2012 | Publicado: 15/10/2012

Fundamentos para implementar y certificar un Sistema de Gestión de la Seguridad Informática bajo la Norma ISO/IEC 27001 Fundamentals to implement and certify an Information Security Management System on ISO/IEC 27001 Standard Yamila Estrada Parra1*, Wilson Alba Cal2, Aneyty Martín García3 1

Centro CISED. Facultad 1. Universidad de las Ciencias Informáticas, Carretera a San Antonio de los Baños, km 2 ½,

Torrens, Boyeros, La Habana, Cuba. CP.: 19370 2

Centro ISEC. Facultad 2. Universidad de las Ciencias Informáticas, Carretera a San Antonio de los Baños, km 2 ½,

Torrens, Boyeros, La Habana, Cuba. CP.: 19370 3

Facultad 1. Universidad de las Ciencias Informáticas, Carretera a San Antonio de los Baños, km 2 ½, Torrens,

Boyeros, La Habana, Cuba. CP.: 19370 *Autor para la correspondencia: [email protected]

Resumen Para contrarrestar los riesgos de seguridad de la información se crean los Sistemas de Gestión de Seguridad de la Información, que son un conjunto de políticas de administración de la información. La norma que permite certificar los SGSI es la ISO/IEC 27001, un estándar internacional que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un SGSI. El presente artículo tiene objetivo identificar y describir los principios básicos para crear un SGSI bajo las normas internacionales actuales. El estudio realizado de los diferentes estándares internacionales y cubanos asociados a la seguridad informática, su evolución, principales conceptos y notables ventajas, permitió determinar y detallar las bases fundamentales para la creación de SGSI certificables bajo la norma ISO/IEC 27001 y definir los pasos a seguir para la obtención de dicha certificación. Palabras clave: Gestión de la seguridad informática, estándar internacional, ISO / IEC 27001, seguridad informática, sistema de gestión de seguridad de la información. Abstract To neutralize the risks of information security are created Information Security Management Systems (ISMS), which are a set of policies for information management. The standard that allows certification of MSIS is ISO / IEC 27001, an international standard that provides a model for establishing, implementing, using, monitoring, reviewing, maintaining and improving an ISMS. The objective of this paper is to identify and describe the fundamentals to create an ISMS on current international standards. The study of different international and Cuban standards associated with information security, its evolution, main concepts and notable advantages, helped to identify and detail the fundamentals for building certifiable ISMS on ISO / IEC 27001 and define the steps continue to obtain such certification.

1

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Keywords: Information security, information security management, information security management system, international standard, ISO / IEC 27001.

Introducción Las Tecnologías de la Información y las Comunicaciones (TIC) han protagonizado una transformación en la sociedad en todos sus ámbitos en los últimos años. Son innumerables los avances en los servicios de atención al cliente que emplean y promueven el uso de Sistemas Informáticos, lo que posibilita un aumento en la calidad y eficiencia de dichos servicios. El trabajo con grandes volúmenes de información para brindar a los usuarios diferentes soluciones, trae aparejado el uso de herramientas y escenarios que protejan la misma; es por ello que se hace necesario aplicar el término Seguridad Informática que se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. Un gran número de expertos considera que el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características (Becerra, 2009): 1. Integridad: los activos o la información solo pueden ser modificados por las personas autorizadas y de forma autorizada. 2. Confidencialidad: la información o los activos informáticos son accedidos solo por las personas autorizadas para hacerlo. 3. Disponibilidad: los activos informáticos son accedidos por las personas autorizadas en el momento requerido. 4. Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción. Términos relacionados con la seguridad informática (Becerra, 2009) Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Control: es una acción, dispositivo o procedimiento que elimina o reduce una vulnerabilidad. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: Es la probabilidad de que suceda la amenaza o evento no deseado. Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita la materialización de una amenaza. Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Aunque a simple vista se puede entender que un riesgo y una vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.

2

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Se puede describir la relación entre vulnerabilidad, amenaza y control de la siguiente manera: una amenaza puede ser bloqueada aplicando un control a una vulnerabilidad.

Materiales y métodos Los métodos científicos se refieren a la serie de etapas que hay que recorrer para obtener un conocimiento válido desde el punto de vista científico, utilizando para esto instrumentos que resulten fiables. A continuación se exponen los métodos que fueron utilizados en la presente investigación: Métodos empíricos Sintético: se utilizó para estudiar las diferentes normas certificadoras y llegar a la conclusión que la única que permite certificar los SGSI es la ISO / IEC 27001. Métodos teóricos Analítico-sintético: se utilizó con el objetivo de llegar a conocer, mediante el análisis de las diferentes teorías y la documentación recopilada, los elementos más importantes de los SGSI, así como de la norma que permite certificar los mismos. Histórico-lógico: se utilizó para constatar teóricamente cómo ha evolucionado la creación de estándares para la certificación.

Resultados y discusión Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de políticas de administración de la información. La norma que permite certificar los SGSI es la ISO/IEC 27001, un estándar internacional desarrollado por ISO (del inglés, International Organization for Standardization) e IEC (del inglés, International Electrotechnical Commission), que adopta el modelo de mejora continua PDCA que se describe en el epígrafe 3.4 y proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización. La certificación del SGSI bajo la norma ISO/IEC 27001 contribuye a fomentar las actividades y procesos de protección de la información dentro de las organizaciones, mejorando su imagen y generando confianza ante terceros. Como resultado se espera determinar los fundamentos básicos que permitan el desarrollo de un SGSI basado en la Norma ISO/IEC 27001. Principios Básicos de la Seguridad Informática Existen mecanismos y estrategias a seguir para mantener una adecuada seguridad informática, y es a lo que se les llama Principios Básicos de Seguridad Informática: Mínimo privilegio: se deben otorgar los permisos estrictamente necesarios para efectuar las acciones que se requieran, ni más ni menos de lo solicitado. Eslabón más débil: la seguridad de un sistema es tan fuerte como su parte más débil. Un atacante primero analiza cual es el punto más débil del sistema y concentra sus esfuerzos en ese lugar. Proporcionalidad: las medidas de seguridad deben estar en correspondencia con lo que se protege y con el nivel de riesgo existente. No sería lógico proteger con múltiples recursos un activo informático que no posee valor o que la probabilidad de ocurrencia de un ataque sobre el mismo es muy baja. Dinamismo: la seguridad informática no es un producto, es un proceso. No se termina con la implementación de los medios tecnológicos, se requiere permanentemente monitoreo y mantenimiento.

3

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Participación universal: la gestión de la seguridad informática necesita de la participación de todo el personal de una institución. La seguridad que puede ser alcanzada mediante medios técnicos es limitada y debiera ser apoyada por una gestión y procedimientos adecuados, que involucren a todos los individuos.

Gestión de riesgos Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información. La seguridad exige de un plan de gestión del riesgo continuado, políticas adecuadas a cada empresa y una seguridad establecida en base a múltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso. En su forma general contiene cuatro fases: (Erb, 2009) Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo. Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables. Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas. Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento. Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propósito de: (Erb, 2009) Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo. Orientar el funcionamiento organizativo y funcional. Garantizar comportamiento homogéneo. Garantizar corrección de conductas o prácticas que nos hacen vulnerables. Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

Propósito de un SGSI El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. Un SGSI ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida la información y los asume, minimiza, transfiere o controla mediante una política definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Norma certificadora de los SGSI

4

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Actualmente existen un conjunto de normas que permiten la certificación de sistemas, pero hasta el momento la única que permite certificar los SGSI es la ISO/IEC 27001, pues es la norma que define el modelo completo de gestión de seguridad de la información según ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionadas no certificables, como ISO 27002. PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-Check-Act (Planificar-Hacer-VerificarActuar). En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de los controles según los nuevos niveles obtenidos y requeridos. Es un proceso cíclico que permite la mejor adaptación de la seguridad al cambio continuo que se produce en la empresa y su entorno.

ISO/IEC 27001 Publicada el 15 de Octubre de 2005. Es la norma principal de la serie ISO 27000 y contiene los requisitos del SGSI. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma a la cual se certifican por auditores externos los SGSI de las organizaciones (López, et al., 2005). El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan agrupados y numerados de la siguiente forma: (Estrada, 2006) A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) Ventajas de la Norma ISO/IEC 27001 Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

5

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

ISO 27001 exige que el SGSI contemple los siguientes puntos: Implicación de la Dirección. Alcance del SGSI y política de seguridad. Inventario de todos los activos de información. Metodología de evaluación del riesgo. Identificación de amenazas, vulnerabilidades e impactos. Análisis y evaluación de riesgos. Selección de controles para el tratamiento de riesgos. Aprobación por parte de la dirección del riesgo residual. Declaración de aplicabilidad. Plan de tratamiento de riesgos. Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo. Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. Formación y concienciación en lo relativo a seguridad de la información a todo el personal. Monitorización constante y registro de todas las incidencias. Realización de auditorías internas. Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI. La documentación del SGSI deberá incluir: Política y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripción de la metodología de evaluación del riesgo. Informe resultante de la evaluación del riesgo. Plan de tratamiento de riesgos. Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles. Registros. Declaración de aplicabilidad. Procedimiento de gestión de toda la documentación del SGSI.

Proceso de certificación (Gestión-Calidad Consulting, 2009) El proceso de certificación puede resumirse en las siguientes fases: Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría. Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

6

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Fase 1 de la auditoría: revisión del alcance, política de seguridad, dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave. No necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses. Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría. Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001. Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita. Nota: El SGSI deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación.

Proceso de certificación en Cuba La Oficina Nacional de Normalización es la entidad designada oficialmente como el Órgano Nacional de Certificación (NC) de Cuba según establece el Decreto-Ley 182 de Normalización y Calidad aprobado por el Consejo de Estado en febrero de 1998. NC a través del Sistema Nacional de Certificación ejecuta los trabajos de certificación de conformidad, realizando actualmente la certificación de productos, sistemas de la calidad y sistemas de gestión ambiental y, próximamente, la certificación de sistemas de gestión de salud y seguridad ocupacional. En el caso de los SGSI, Cuba debe dirigirse a otros países, pues aún no realiza la certificación de los mismos. Se pueden contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. Algunas entidades certificadoras se pueden encontrar en el siguiente sitio: http://www.iso27001certificates.com/, entre ellas se encuentran: ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN (AENOR)

7

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

BRITISH STANDARS INSTITUTION ESPAÑA, S.A. BVQI SERVICIOS DE CERTIFICACIÓN, S.A. EUROPEAN QUALITY ASSURANCE

Beneficios clave de la implementación de la norma ISO 27001 (Kosutic, 2010) Cumplimiento: Puede resultar extraño mencionar este beneficio en primer lugar, pero, generalmente, es el que demuestra el “rendimiento de la inversión” más rápidamente. Si una organización debe cumplir con diversas normas sobre protección de datos, privacidad y control de TI (especialmente si se trata de una organización financiera, de salud o gubernamental), la norma ISO 27001 puede aportar la metodología que permita hacerlo de la manera más eficiente. Ventaja de comercialización En un mercado cada vez más competitivo, a veces es muy difícil encontrar algo que lo diferencie ante la percepción de sus clientes. La norma ISO 27001 puede ser un verdadero punto a favor, especialmente si usted administra información sensible de sus clientes. Disminución de gastos Generalmente, se considera a la seguridad de la información como un costo sin una ganancia financiera evidente. Sin embargo, hay una ganancia financiera si usted disminuye los gastos ocasionados por incidentes. Probablemente sí se produzcan en su empresa interrupciones de servicio o esporádicos filtrados de datos, o tengan empleados descontentos. O ex empleados descontentos. La verdad es que aún no existe una metodología ni tecnología que pueda calcular cuánto dinero se puede ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a la dirección sobre estos casos. Ordenamiento de su negocio Probablemente, éste sea el beneficio más subestimado; pero si su empresa ha tenido un crecimiento continuo durante los últimos años, es posible que tenga problemas para determinar quién decide qué cosas, quién es responsable de determinados activos de la información, quién debe autorizar el acceso a los sistemas de información, etc. La norma ISO 27001 es especialmente útil para resolver estas cuestiones: le obligará a definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta forma, ayudará a reforzar su organización interna. Otros beneficios: La certificación demuestra a clientes, competidores, proveedores, personal e inversores, que una organización emplea buenas prácticas revisadas y aprobadas a nivel internacional. Un certificado de seguridad de tercera parte, ayuda a que una organización demuestre que gestiona eficientemente la seguridad de su negocio. Provee la implicación, participación y motivación del personal en mantener la política de seguridad de la organización. Establece procedimientos que mejoran continuamente su actividad y evidencia un enfoque innovador con visión al futuro. La certificación puede mejorar el desempeño total, suprimir la incertidumbre y ampliar sus oportunidades en el mercado.

Riesgos de la implantación de un sistema de gestión de seguridad de la información (Gestión-Calidad Consulting, 2009)

8

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas implicadas o circundantes al proyecto. Discrepancias en los comités de dirección. Faltas de acuerdo entre el equipo de gerencia y los demás miembros que pueden entorpecer el desarrollo del SGSI. Delegación de todas las responsabilidades en departamentos técnicos, con la consiguiente (y grave) falta de implicación del departamento Gerente. No asumir que la seguridad de la información es inherente a los procesos de negocio. Intuir el SGSI como un ente ajeno o paralelo al resto de procesos de la organización Planes de formación y concienciación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance dificultando todo el proceso del SGSI. Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Debe asumirse que la Seguridad de la Información atañe (aunque en diferente grado) a toda la Organización. Falta de comunicación de los progresos al personal de la organización. Resulta de vital importancia hacer partícipe a la organización de la evolución de nuestro Sistema para aumentar la implicación y facilitar la formación sobre el mismo.

Conclusiones Para garantizar que la seguridad de la información sea gestionada correctamente dentro de una entidad, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización. Este proceso constituye un SGSI cuyo diseño e implementación está influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos empleados y el tamaño y estructura de la organización. ISO/IEC 27001 es la única norma internacional certificable que define los requisitos para un SGSI. Las ventajas descritas de esta norma inducen a su aplicación basada en los principios fundamentales anteriormente detallados. La NC cubana sólo realiza una evaluación de los SGSI bajo esta norma. Para para su certificación es necesaria la intervención de alguna entidad certificadora autorizada internacionalmente.

Referencias BECERRA, ANTONIO JESÚS SORIANO. Seguridad Informática. Seguridad Informática. [en línea] 2009. [Consultado el: 8 de mayo de 2012]. Disponible en: [http://seguridad-informatica-antonio.blogspot.com/]. ERB, MARKUS. Gestión de Riesgo en la Seguridad Informática. Gestión de Riesgo en la Seguridad Informática. [en línea] 2009. [Consultado el: 10 de septiembre de 2012]. Disponible en:

[http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/]. ESTRADA, ALEJANDRO CORLETTI. Análisis DE ISO-27001:2005. [Documento] Madrid: s.n., 2006. ESTRADA, ALEJANDRO CORLETTI. ISO-27001: Los Controles (Parte II). [Documento] Madrid: s.n., 2006. -

GESTIÓN CALIDAD CONSULTING. Gestión-Calidad. Certificación según ISO 27001. [en línea] 2009. [Consultado el: 7 de mayo de 2012]. Disponible en: [http://www.gestion-calidad.com/certificacion-iso27001.html].

9

Serie Científica de la Universidad de las Ciencias Informáticas http://publicaciones.uci.cu/index.php/SC | [email protected] No. 10, Vol. 5, Año: 2012 ISSN: | RNPS:

KOSUTIC, DEJAN. ISO 27001/BS 25999. Cuatro beneficios clave de la implementación de la norma ISO 27001.

[en

línea]

2010.

[Consultado

el:

27

de

abril

de

2012].

Disponible

en:

[http://blog.iso27001standard.com/es/2010/07/21/cuatro-beneficios-clave-de-la-implementacion-de-la-normaiso-27001/]. LÓPEZ NEIRA, AGUSTÍN y RUIZ SPOHR, JAVIER. ISO2700.es. El portal de ISO 27001 en Español. Sistema de Gestión de Seguridad de la Información. [en línea] 2005. [Consultado el: 9 de mayo de 2012]. Disponible en: [http://www.iso27000.es/iso27000.html].

10

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.