iso 27001 jara paniagua

Universidad César Vallejo Auditoria

Jara Paniagua Kelwin Maycol 1

SEMESTRE 2009 – ICICLO VIII

Docente:Ing. CIP Carlos Chávez Monzón, MG

Alumno:

JARA PANIAGUA, Kelwin

“Año de la Unión Nacional Frente a laCrisis Externa”

Viernes, 20 de nobiembre del 2009.

AUDITORIA DESISTEMAS

2009

UNIVERSIDAD CESARVALLEJO DE CHIMBOTE



El estándar para la seguridad de la información ISO/IEC 27001(Information technology - Security techniques - Information

security management systems - Requirements) fue aprobado ypublicado como estándar internacional en Octubre de 2005por International Organization for Standardization y por la

comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar,mantener y mejorar un Sistema de Gestión de la Seguridad dela Información (SGSI) según el conocido “Ciclo de Deming”:PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,Verificar, Actuar). Es consistente con las mejores prácticasdescritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene suorigen en la norma BS 7799-2:2002, desarrollada por laentidad de normalización británica, la British Standards Institution (BSI).

La información tiene una importancia fundamental para el funcionamiento y quizá incluso seadecisiva para la supervivencia de la organización. El hecho de disponer de la certificación segúnISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información.

ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistemade gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar laselección de controles de seguridad adecuados y proporcionales.

Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partesinteresadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer,implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.



ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, decualquier sector o parte del mundo. La norma es particularmente interesante si la protección de lainformación es crítica, como en finanzas, sanidad sector público y tecnología de la información(TI).

ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información porencargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse paragarantizar a los clientes que su información está protegida.



Evolución

España En el año 2004 se publicó la UNE 71502 titulada Especificacionespara los Sistemas de Gestión de la Seguridad de la Información (SGSI) yque fue elaborada por el comité técnico AEN/CTN 71. Es una adaptaciónnacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español deloriginal inglés) dejó de estar vigente la UNE 71502 y las empresasnacionales certificadas en esta última están pasando progresivamentesus certificaciones a UNE-ISO/IEC 27001.

Implantación

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener unaduración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información yel alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido alSistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, esrecomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas deinformación y sus procesos de trabajo a las exigencias de las normativas legales de protección dedatos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante elReal Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección deDatos) o que hayan realizado un acercamiento progresivo a la seguridad de la informaciónmediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición másventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreasde la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado porconsultores externos especializados en seguridad informática, derecho de las nuevas tecnologías,protección de datos (que hayan realizado un máster o curso de especialización en la materia) ysistemas de gestión de seguridad de la información (que hayan realizado un curso de implantadorde SGSI).



Certificación

La certificación de un SGSI es un proceso mediante el cual una entidadde certificación externa, independiente y acreditada audita el sistema,determinando su conformidad con ISO/IEC 27001, su grado deimplantación real y su eficacia y, en caso positivo, emite elcorrespondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizacionesinteresadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en suprimera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de laInformación (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistemade Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegara certificar una organización en varias normas y en base a un sistema de gestión común.

La Serie 27000

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que seemplean en toda la serie 27000.

UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI).Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007. Es la normaprincipal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIsdeberán ser certificados por auditores externos a las organizaciones. En su Anexo A,contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002(anteriormente denominada ISO17799).

ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describelos objetivos de control y controles recomendables en cuanto a seguridad de lainformación con 11 dominios, 39 objetivos de control y 133 controles.

ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía deimplementación de SGSI e información acerca del uso del modelo PDCA y de los requisitosde sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie



de documentos publicados por BSI a lo largo de los años con recomendaciones y guías deimplantación.

ISO 27004: En fase de desarrollo; probable publicación en 2009. Especificará las métricas ylas técnicas de medida aplicables para determinar la eficiencia y eficacia de laimplantación de un SGSI y de los controles relacionados.

ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la gestión del riesgo dela seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a laimplantación de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación deentidades de auditoría y certificación de sistemas de gestión de seguridad de lainformación.

El estándar ISO 27001:2005 cubre de forma efectiva 11 secciones:

Política de SeguridadOrganización de la Seguridad de la InformaciónGestión de ActivosSeguridad ligada a Recursos HumanosSeguridad Física y del EntornoGestión de Comunicaciones y OperacionesControl de AccesosAdquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónGestión de Incidentes de Seguridad de la InformaciónGestión de la Continuidad de NegocioConformidad

El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto deidentificar posibles diferencias con los requisitos que marca el estándar. Una vez las diferenciashan sido eliminadas se continua con la auditoría inicial. Asumiendo que en el transcurso de laauditoría no se localizan no conformidades mayores o cuando los posibles problemas identificadostengan definidos unas medidas correctivas

Beneficios de ISO 27001:2005

La reputación de ISO y la certificación de la norma internacional ISO 27001:2005 aumenta lacredibilidad de cualquier organización. La norma claramente demuestra la validez de suinformación y un compromiso real de mantener la seguridad de la información. El establecimientoy certificación de un SGSI puede así mismo transformar la cultura corporativa tanto interna comoexterna, abriendo nuevas oportunidades de negocio con clientes conscientes de la importancia de



la seguridad, además de mejorar el nivel ético y profesional de los empleados y la noción de laconfidencialidad en el puesto de trabajo. Aún más, permite reforzar la seguridad de la informacióny reducir el posible riesgo de fraude, pérdida de información y revelación.

Las organizaciones certificadas en la norma británica BS 7799 pasarán a estarlo en ISO 27001.Según el comunicado para la transición realizado por UKAS en Junio del año 2006, las compañíascertificadas en la norma británica BS 7799-2:2002 dispondrán hasta Julio del año 2007 para hacerefectiva la transición.

Por qué SGS?

Obtener la certificación de su Sistema de Gestión de Seguridad de la Información con SGS ayudaráa su organización a desarrollar y mejorar el rendimiento del sistema.

Su certificado ISO 27001:2005 obtenido por SGS le permite demostrar niveles altos en la seguridadde la información en el momento de competir por contratos en cualquier ámbito internacional oen actividades de expansión local con objeto de dar cabida a nuevas actividades de negocio.

Las evaluaciones realizadas por SGS a intervalos regulares le ayudan en el uso, monitorización ymejora continua de su sistema y procesos de gestión de la seguridad de la información. Estasevaluaciones mejoran la fiabilidad de su operativa interna para cumplir con los requisitos delcliente, además de una mejora global. También obtendrá el beneficio de una mejora significativaen la motivación, nivel de cumplimiento y entendimiento de la plantilla y su responsabilidad en laseguridad de la información

Hasta la fechas, cientos de pequeñas, medianas y grandes compañías internacionales hacen uso delos servicios de certificación de SGS para realizar las auditorías de sus SGSI según los requisitos delestándar ISO 27001:2005, ratificando a SGS como una de las primeras entidades de certificaciónpreferidas a nivel mundial para este estándar.

Nuestro equipo de auditores cualificados y con experiencia en múltiples sectores de la industria yservicios desarrolla las auditorías de certificación en ISO 27001:2005 al nivel profesional más altocon el objeto de ayudarle a alcanzar sus objetivos en seguridad de la información así como denegocio.

iso 27001 jara paniagua

Documents