AUDITORIA DE SISTEMAS
INTRODUCCIÓN:
ISO en breve ISO es la
Organización Internacional de Normalización. Los 159* miembros que la componente
son los organismos nacionales de normalización de países industrializados, en
desarrollo y en transición, de todos los tamaños y de todas las regiones del
mundo. El portafolio de ISO, con más de 18 100* normas, provee de herramientas
prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo
sostenible de las variables económicas, ambientales y sociales. Las Normas
Internacionales ISO aportan una contribución positiva al mundo en que vivimos.
Facilitan el comercio, la difusión del conocimiento, diseminan los avances
innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación
de la conformidad.
Las normas ISO
proporcionan soluciones y beneficios para casi todos los sectores de actividad,
incluida la agricultura, construcción, ingeniería mecánica, fabricación,
distribución, transporte, dispositivos médicos, tecnologías de la información y
comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la
conformidad y servicios. ISO hace uso óptimo de los recursos que le son
asignados por partes interesadas elaborando solo aquellas normas para las
cuales existe una clara necesidad en el mercado. Esta labor es llevada a cabo
por el aporte de expertos provenientes de los sectores industriales, técnicos y
empresariales que han solicitado las normas, y que posteriormente las ponen en
uso. A estos expertos se les pueden unir otros con conocimientos relevantes,
tales como los representantes de las agencias gubernamentales, laboratorios de
ensayos, asociaciones de consumidores y la academia, y por las organizaciones
internacionales gubernamentales y no gubernamentales. Las Normas Internacionales
ISO representan un consenso global sobre el estado del arte en la tecnología o
las buenas prácticas en estudio.
Mencionaremos algunas ISO relacionadas a una Auditoria de Sistemas
ISO
27001 Sistema de Gestión de Seguridad de la Información
A semejanza de otras
normas ISO, la 27000 es realmente una serie de estándares. Los rangos de
numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000: En fase de
desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá
términos y definiciones que se emplean en toda la serie 27000. La aplicación de
cualquier estándar necesita de un vocabulario claramente definido, que evite
distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está
previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán
un coste.
ISO 27001: Publicada el
15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican
por auditores externos los SGSI de las organizaciones. Sustituye a la BS
7799-2, habiéndose establecido unas condiciones de transición para aquellas
empresas certificadas en esta última. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005
(nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de
no ser obligatoria la implementación de todos los controles enumerados en dicho
anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está
publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en
AENOR.
ISO 27002: Desde el 1
de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como
año de edición. Es una guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la información. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios. Como se ha mencionado en su apartado correspondiente, la norma
ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En
España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde
2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como
ISO 17799; descarga gratuita).
ISO 27003: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una
guía de implementación de SGSI e información acerca del uso del modelo PDCA y
de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de
la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de
los años con recomendaciones y guías de implantación.
ISO 27004: En fase de
desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará
las métricas y las técnicas de medida aplicables para determinar la eficacia de
un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente
para la medición de los componentes de la fase “Do” (Implementar y Utilizar)
del ciclo PDCA.
ISO 27005: Publicada el
4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la
seguridad de la información. Apoya los conceptos generales especificados en la
norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria
de la seguridad de la información basada en un enfoque de gestión de riesgos.
El conocimiento de los conceptos, modelos, procesos y términos descritos en la
norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo
entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de
organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro) que tienen la intención de gestionar los
riesgos que puedan comprometer la organización de la seguridad de la
información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998
y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida.
ISO 27006: Publicada el
13 de Febrero de 2007. Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de
la información. Es una versión revisada de EA-7/03 (Requisitos para la
acreditación de entidades que operan certificación/registro de SGSIs) que añade
a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de
sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y
los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de
ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero
no es una norma de acreditación por sí misma. En España, esta norma aún no está
traducida. El original en inglés puede adquirirse en ISO.org.
ISO 27007: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una
guía de auditoría de un SGSI.
ISO 27011: En fase de
desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en
una guía de gestión de seguridad de la información específica para
telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de
Telecomunicaciones).
ISO 27031: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una
guía de continuidad de negocio en cuanto a tecnologías de la información y
comunicaciones.
ISO 27032: En fase de
desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en
una guía relativa a la ciberseguridad.
ISO 27033: En fase de
desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma
consistente en 7 partes: gestión de seguridad de redes, arquitectura de
seguridad de redes, escenarios de redes de referencia, aseguramiento de las
comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de
comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en
redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.
ISO 27034: En fase de
desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en
una guía de seguridad en aplicaciones.
ISO 27799: Publicada el
12 de Junio de 2008. Es un estándar de gestión de seguridad de la información
en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al
contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el
comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la
interpretación y aplicación en la salud informática de la norma ISO / IEC 27002
y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto
detallado de controles y directrices de buenas prácticas para la gestión de la
salud y la seguridad de la información por organizaciones sanitarias y otros
custodios de la información sanitaria en base a garantizar un mínimo nivel
necesario de seguridad apropiado para la organización y circunstancias que van
a mantener la confidencialidad, integridad y disponibilidad de información
personal de salud. ISO 27799:2008 se aplica a la información en salud en todos
sus aspectos y en cualquiera de sus formas, toma la información (palabras y
números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual
fuere el medio utilizado para almacenar (de impresión o de escritura en papel o
electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para
transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la
información siempre debe estar adecuadamente protegida. El original en inglés o
francés puede adquirirse en ISO.org.
No hay comentarios.:
Publicar un comentario