La normativa ISO 27000 es la serie o familia, dentro de los estándares ISO/IEC dedicada a la gestión de la seguridad de la información. Su uso, de carácter orientativo, no obligatorio, será aplicado por las distintas instituciones nacionales responsable del desarrollo y difusión de las estándares internacionales para el desarrollo de la normalización y la certificación en todos los sectores industriales y de servicios.
En este post, haremos una introducción sobre la serie normativa y los sistemas de gestión de la seguridad de la norma 27000.
ISO 27000, familia normativa
La serie ISO 27000 (2018), normativa dedicada a la seguridad en la información, es citada como referencia por la organización de estándares internacional en los los siguientes campos
- Tecnología de la información
- Técnicas de seguridad
- Sistemas de gestión de seguridad de la información (SGSI)
- Descripción general y vocabulario de SGSI.
Como ya hemos explicado, la serie normativa 2700 es una familia de normas y su clasificación se divide en cuatro puntos.
- Vocabulario común: ISO 27000.
- Requisitos: ISO 27001 (SGSI), 27006 y 27009.
- Guías de aplicación: iSO 27003, ISO 27014...
- Requisitos específicos: 27010, 27019...
ISO 27001 y los SGSI
La Organización internacional de estándares y la comisión electrónica internacional aprobaron en Octubre del 2005 la ISO/IEC 20071, normativa referente de la serie. Esta norma especifica los los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI), que permiten homogeneizar la seguridad de los sistemas informáticos (SSII), necesarios, si debemos compartir información entre empresas o clientes.
¿Que es un SGSI?
Un SGSI es un sistemas de gestión que deberá incluir una política de seguridad de la información a aplicar en todos los procesos de la empresa que puedan suponer un riesgo para la seguridad de la información. Para su aplicación, se aconsejan los siguientes pasos
- Implementación: Establecer objetivos de seguridad y adaptar procedimientos a los procesos para su consecución.
- Ejecución: Operar con la información según los procedimientos de seguridad.
- Seguimiento: Monitorear en función de indicadores preestablecidos.
- Revisión: Evaluar resultados en función a los objetivos
- Mejora: Establecer nuevos objetivos para el SGSI
Directrices de gestión del SGSI
La implementación de un SGSI en una empresa se debe establecer en base a los objetivos mediante dos directrices principales.
- Adaptación a los procesos.
Cada empresa realiza una serie de acciones o actividades donde se intercambia, vende o muestra información.
- Cliente-empresa
- Empresa-anunciantes
- Actividades internas
Por lo general, todas estas acciones guardan un orden de actividad y el resultado es un proceso. Los procesos, por tanto, deberán ser tratados mediante automatismos de gestión de seguridad a los que llamaremos procedimientos de SGSI.
- Adaptación a los riesgos.
No toda la información es igual de valiosa, ni guarda el mismo riesgo de exposición. En función a estos dos parámetros se deben adaptar las características de los procedimientos de seguridad con la implementación de un mayor o menor nivel seguridad mediante claves de acceso, códigos o permisos.
En resumen, la norma ISO 27000 es de gran importancia en estos días, donde la información es más valiosa que nunca. Contar con una certificación de un buen SGSI, así como contar con expertos en ciberseguridad se ha convertido en una necesidad que toda empresa necesita cubrir. Por ello, en Structuralia hemos puesto en marcha a principios de este año un nuevo Máster en Ciberseguridad para todos aquellos interesados en especializarse en este área.
