¿Qué es ISO?
ISO es el acrónimo de International Organization for Standardization. Aunque si se observan las iniciales para el acrónimo, el nombre debería ser IOS, los fundadores decidieron que fuera ISO, derivado del griego "isos", que significa "igual". Por lo tanto, en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia de acuerdo a la traducción de "International Organization for Standardization" que corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales más grande en el mundo. ISO es una red de instituciones de estándares nacionales de 157 países, donde hay un miembro por país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema.
ISO es una organización no gubernamental que forma un puente entre los sectores públicos y privados.
Respecto al origen de la organización ISO, oficialmente comenzó sus operaciones el 23 de febrero de 1947 en Geneva, Suiza. Nació con el objetivo de "facilitar la coordinación internacional y la unificación de los estándares industriales."
Leer más: http://www.monografias.com/trabajos67/estandar-internacional/estandar-internacional2.shtml#ixzz3cDIYZwi7
Objetivos
Objetivo general
"Conocer qué es y para qué sirve el Estándar Internacional ISO/IEC 27002."
Objetivos específicos
Estudiar qué son las normas ISO.
Conocer qué es el comité IEC.
Comprender qué es y para qué fue creado el ISO/IEC JTC1.
Analizar y comprender cada uno de los capítulos que componen el documento del Estándar Internacional ISO/IEC JTC1.
Justificación
Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las pérdidas por la falta de seguridad pueden ser tremendamente caras, tanto en materia económica como en cuanto a prestigio, nivel de ventas, problemas legales, daños a empleados de la organización o a terceros (por ejemplo si se divulgara información confidencial luego de un ataque a un sistema), etc.
En vista de la importancia que tiene la seguridad en las tecnologías de información, se afirma que estudiar no solamente buenas prácticas y consejos sabios de personas que llevan una gran trayectoria en el área de la informática, sino que más aún, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier organización. Por ello se justifica que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para cualquier organización que tenga que ver de alguna forma con aspectos relacionados a tecnologías de información.
Conocimientos preliminares
Antes de comenzar con el estudio de las normas ISO 17799 e ISO 27002, se definirán dos conceptos relevantes, y la diferencia entre ambos:
Norma: principio que se impone o se adopta para dirigir la conducta o la correcta realización de una acción o el correcto desarrollo de una actividad.
Buena práctica: son aquellas acciones que se caracterizan por haber logrado cumplir eficazmente las metas planteadas, y que luego de la evaluación de resultados, se ha concluido que proporcionan beneficios óptimos en la mayoría de casos, de modo que se son prácticas replicables y útiles para implementar.
Diferencia entre una norma y una buena práctica: una norma es certificable por las entidades correspondientes, mientras que una buena práctica no es certificable, sino que sólo se tiene como una buena alternativa por haber sido demostrado que ha funcionado en la gran mayoría de casos.
Se debe saber que las normas ISO son precisamente "normas", no simplemente buenas prácticas. Por lo tanto todas las normas ISO son certificables, y es por esa razón que se ve por ejemplo en algunos productos comerciales que se venden en los supermercados, una etiqueta de certificación ISO, que garantiza la calidad de un producto en algún aspecto específico, dependiendo del número de la norma ISO a la que se haga referencia.
¿Qué es IEC?
IEC es el acrónimo de International Electrotechnical Commission. Esta es una organización sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar estándares internacionales para todas las tecnologías eléctricas o relacionadas a la electrónica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a las industrias electrotécnicas mundiales. Aunque como se acaba de decir, IEC nació en el Reino Unido, en el año de 1948 movieron su sede a Geneva, Suiza, ciudad en la que también se encuentra la sede de ISO.
ISO/IEC JTC1
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información. Dicho subcomité ha venido desarrollando una familia de Estándares Internacionales para el SistemaGestión y Seguridad de la Información. La familia incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de numeración utilizando las series del número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre ISO/IEC 27002.
Seguridad de la información
Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.
La información puede existir en muchas formas, por ejemplo puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea cual sea la forma en la que se tenga la información, debe estar en todo caso protegida.
La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo.
Es importante y necesario para las empresas realizar una evaluación de riesgos para identificar amenazas para los activos, así como también para conocer y analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o alteración de la información, y el impacto potencial que esto llegaría a tener. Una vez se hayan identificado los riesgos, se procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel aceptable.
Vulnerabilidad
Es una debilidad o agujero en la seguridad de la información, que se puede dar por causas como las siguientes, entre muchas otras:
Falta de mantenimiento
Personal sin los conocimientos adecuados o necesarios
Desactualización de los sistemas críticos
Amenaza
Es una declaración intencionada de hacer un daño, como por ejemplo mediante un virus, un acceso no autorizado o robo. Pero no se debe pensar que únicamente personas pueden ser los causantes de estos daños, pues existen otros factores como los eventos naturales, que son capaces de desencadenar daños materiales o pérdidas inmateriales en los activos, y son también consideradas como amenazas.
Ataque
Es una acción intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper la seguridad de un sistema o de un componente del sistema.
Riesgo
Es una potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como una función del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso.
Atacante
Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organización) o externos (que no pertenecen a la organización). Respecto a los atacantes internos, son difíciles de detener porque la organización está en muchas maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y cuáles son sus debilidades. Quizás el error más común de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las amenazas internas.
No hay comentarios:
Publicar un comentario