Seguridad de la informacion y las normas ISO
Francisco Jesus Rodriguez Uriarte
Es importante que en las empresas tengan y sigan ciertas normas en cuanto a la seguridad de la información de los datos que se tienen en las empresas. Para ello existen varias normas en las cuales se menciona el correcto manejo de la información, las cuales se llaman normas ISO.
Las normas ISO son un conjunto de medidas que se utilizan en las empresas para llevar un correcto manejo de información.
La norma ISO 27000 es un conjunto de estándares que fueron creados para la organización internacional de la información. Esta norma esta orientada al establecimiento de buenas practicas en relación con el mantenimiento y gestión del sistema de la información.
La norma ISO 22301 es un estándar internacional el cual establece el los requisitos para los sistemas de continuidad en los negocios. Esta norma define cuales son los requisitos que deben de cumplir los sistemas de gestión de seguridad de los negocios, para asegurar que una organización pueda seguir operando durante o después de situaciones de crisis.
La norma ISO 31000 es la norma internacional para la gestión de riesgo, esta norma ayuda al análisis de evaluación de riesgos. Al implementar los principios de la norma ISO 31000 en la organización, se puede ser capaz de mejorar la eficiencia operativa, gobernanza y confianza de las partes interesadas.
¿Qué es ISO 27000?
Las normas que forman la serie ISO/IEC-27000 son un
conjunto de estándares creados y gestionados por la Organización
Internacional para la Estandarización (ISO) y la Comisión
Electrónica Internacional (IEC). Ambas organizaciones
internacionales están participadas por multitud de países, lo que garantiza su
amplia difusión, implantación y reconocimiento en todo el mundo.
Las series 27000 están orientadas al
establecimiento de buenas prácticas en relación con la implantación,
mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI)
o por su denominación en inglés Information Security Management System (ISMS).
Estas guías tienen como objetivo establecer las mejores prácticas en relación
con diferentes aspectos vinculados a la gestión de la seguridad de la
información, con una fuerte orientación a la mejora continua y la mitigación de
riesgos.
La norma,
cuya última revisión data de 2013, permite a las organizaciones la evaluación
del riesgo y la aplicación de los controles necesarios para mitigarlos o
eliminarlos. Los requisitos de la norma están contenidos en una estructura
divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación
en el mundo corporativo, como ISO 9001 o la ISO 14001. Por ello, es
relativamente sencillo para una organización realizar una integración en su
sistema de gestión que recoja los requisitos comunes y específicos de cada una
de las normas, por ejemplo, ISO 9001 + ISO 27001.
ISO 27000: facilita
las bases y lenguaje común para el resto de las normas de la serie.
ISO/IEC 27000
Publicada el 1 de Mayo de 2009, revisada con una segunda edición de
01 de Diciembre de 2012, una tercera edición de 14 de Enero de 2014 y una
cuarta en Febrero de 2016. Esta norma proporciona una visión general de las
normas que componen la serie 27000, indicando para cada una de ellas su alcance
de actuación y el propósito de su publicación. Recoge todas las definiciones
para la serie de normas 27000 y aporta las bases de por qué es importante la
implantación de un SGSI, una introducción a los Sistemas de Gestión de
Seguridad de la Información, una breve descripción de los pasos para el
establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última
edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el
único marco de referencia para la mejora continua). Existen versiones
traducidas al español aunque hay que prestar atención a la versión
descargada.
ISO/IEC 27001
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de
2013 (segunda edición) y actualizada el 25 de Octubre de 2022 (versión 3).
Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002
(que ya quedó anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO
27002:2005, para que sean seleccionados por las organizaciones en el desarrollo
de sus SGSI; a pesar de no ser obligatoria la implementación de todos los
controles enumerados en dicho anexo, la organización deberá argumentar
sólidamente la no aplicabilidad de los controles no implementados.
Desde el 12 de Noviembre de 2014, esta norma está publicada en España como
UNE-ISO/IEC 27001:2014 y puede adquirirse online en UNE. En 2015, se publicó un
documento adicional de modificaciones (UNE-ISO/IEC 27001:2014/Cor 1:2015) y en
Diciembre de 2015 una segunda modificación (ISO/IEC 27001:2013/Cor.2:2015) esta
última matizando especificaciones en la declaración de capacidad.
ISO/IEC 27002
Publicada inicialmente el 1 de Julio de 2007, renombra la norma ya
publicada ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de
buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
ISO/IEC 27003
Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de
2017. No certificable. Es una guía que se centra en los aspectos críticos
necesarios para el diseño e implementación con éxito de un SGSI de acuerdo
ISO/IEC 27001. Describe el proceso de especificación y diseño desde la
concepción hasta la puesta en marcha de planes de implementación, así como el
proceso de obtención de aprobación por la dirección para implementar un SGSI.
Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación.
ISO/IEC 27004
Publicada el 15 de Diciembre de 2009 y revisada en Diciembre de
2016. No certificable. Es una guía para el desarrollo y utilización de métricas
y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los
controles o grupos de controles implementados según ISO/IEC 27001.
ISO/IEC 27005
Publicada la cuarta edición en Octubre de 2022 con actualizaciones
respecto a requisitos y estructura de la norma ISO/IEC 27001:2022. Se alinea la
terminología con ISO 31000:2018 y se han introducido conceptos en escenarios de
riesgos con un enfoque a eventos que contrata con el enfoque clásico basado en
activos para la identificación de los riesgos.
La tercera edición es de Julio del 2018, segunda edición es de 1 de Junio de
2011 y la primera edición del 15 de Junio de 2008. No certificable. Proporciona
directrices para la gestión del riesgo en la seguridad de la información. Apoya
los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada
para ayudar a la aplicación satisfactoria de la seguridad de la información
basada en un enfoque de gestión de riesgos. Su primera publicación revisó y
retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.
ISO/IEC 27006
Publicada en segunda edición el 1 de Diciembre de 2011 (primera
edición del 1 de Marzo de 2007) y revisada el 30 de Septiembre de 2015 con
una adenda el 27 de marzo del 2020. Especifica los requisitos para la
acreditación de entidades de auditoría y certificación de sistemas de gestión
de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos
para la acreditación de entidades que operan certificación/registro de SGSIs)
que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y
certificación de sistemas de gestión) los requisitos específicos relacionados
con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de
ISO 27001, pero no es una norma de acreditación por sí misma.
ISO/IEC 27007
Publicada el 14 de Noviembre de 2011, revisada el 09 de Octubre de
2017 y con una última versión de 21 de Enero de 2020. No certificable. Es una
guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC TS 27008
Publicada el 15 de Octubre de 2011 como ISO/IEC TR 27008 (Technical
Report) es sustituido con una primera edición como "TS" (Technical
Specification) desde el 14 de Enero de 2019. No certificable. Es una guía de
auditoría de los controles seleccionados en el marco de implantación de un
SGSI.
ISO/IEC 27009
Publicada inicialmente el 15 de Junio de 2016, revisada el 21 de
Abril de 2020. No certificable. define los requisitos para el uso de la norma
ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o
sector industrial). El documento explica cómo refinar e incluir requisitos
adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles o
conjuntos de control adicionales a los del Anexo A.
ISO/IEC 27010
Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de
2015. Consiste en una guía para la gestión de la seguridad de la información
cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es
aplicable a todas las formas de intercambio y difusión de información sensible,
tanto públicas como privadas, a nivel nacional e internacional, dentro de la
misma industria o sector de mercado o entre sectores. En particular, puede ser
aplicable a los intercambios de información y participación en relación con el
suministro, mantenimiento y protección de una organización o de la
infraestructura crítica de los estados y naciones. Actualmente en proceso de
revisión para su actualización.
ISO/IEC 27011
Publicada el 15 de Diciembre de 2008 y revisada en Diciembre de
2016. Es una guía de interpretación de la implementación y gestión de la
seguridad de la información en organizaciones del sector de telecomunicaciones
basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051.
ISO/IEC 27013
Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre
de 2015 y en Noviembre del 2021 en su tercera edición. Es una guía de
implementación integrada de ISO/IEC 27001:2013 (gestión de seguridad de la
información) y de ISO/IEC 20000-1:2018 (gestión de servicios TI).
ISO/IEC 27014
Publicada el 23 de Abril de 2013 y actualizada en segunda edición en
Diciembre 2020 consiste en una guía de gobierno corporativo de la seguridad de
la información, la ciberseguridad y privacidad.
ISO/IEC TR 27015
Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada
a organizaciones del sector financiero y de seguros y como complemento a
ISO/IEC 27002:2005. Desde 24 de Julio, de 2017 se anuncia que no será
actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque
sigue disponible para su adquisición por parte de los interesados.
ISO/IEC TR 27016
Publicada el 20 de Febrero de 2014. Es una guía de valoración de los
aspectos financieros de la seguridad de la información.
ISO/IEC 27017
Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para
Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales
específicos de estos entornos de nube. Es posible la certificación en esta
norma en conjunto con la implantación de un SGSI en base a los requisitos
indicados en ISO/IEC 27001.
ISO/IEC 27018
Publicada el 29 de Julio de 2014 y revisada el 15 de Enero de 2019,
es un código de buenas prácticas en controles de protección de datos para
aquellos proveedores de servicios de computación en cloud computing. Es
posible la certificación en esta norma en conjunto con la implantación de un
SGSI en base a los requisitos indicados en ISO/IEC 27001.
ISO/IEC TR 27019
Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC
27002:2005 para el proceso de sistemas de control específicos relacionados con
el sector de la industria de la energía. Actualizada como ISO/IEC 27019:2017 en
Octubre de 2017 para su alineación con ISO/IEC 27002:2013, además de la aplicación
a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria
de la energía para controlar y monitorear la producción o generación,
transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo
y calor y para el control de los procesos de soporte asociados, también incluye
un requisito para adaptar los procesos de evaluación y tratamiento de riesgos
descritos en ISO/IEC 27001:2013 a la orientación específica del sector de
servicios de energía.
ISO/IEC 27021
Publicada el 31 de Octubre de 2017 especifica los requisitos de
competencia para aquellos profesionales que lideran o participan en el
establecimiento, implementación, mantenimiento y mejora continua de uno o más
procesos del sistema de gestión de seguridad de la información (SGSI) que
cumplan con ISO/IEC 27001.
ISO/IEC 27022
Publicada el 11 de Marzo de 2021, define un modelo de referencia de
procesos para el dominio de la gestión de seguridad de la información con
el objetivo de guiar a los usuarios de ISO/IEC 27001 a incorporar el
enfoque de proceso tal y como se describe en ISO/IEC 27000:2018 (4.3 - SGSI) y
de modo alineado con otras normas de la familia ISO/IEC 27000 desde la
perspectiva de la operación de los procesos SGSI. Este documento complementa
la perspectiva orientada a los requisitos de ISO/IEC 27003 con un punto de
vista operativo y orientado a procesos.
ISO/IEC TR 27023
Publicada el 02 de Julio de 2015. No certificable. Es una guía de
correspondencias entre las versiones del 2013 de las normas ISO/IEC 27001 y
ISO/IEC 27002 como apoyo a la transición de las versiones publicadas en 2005.
ISO/IEC TR 27024
En fase de desarrollo el capítulo central contiene actualmente solo
18 cláusulas, cada una de las cuales enumera una selección de leyes y
reglamentos relevantes de un país o región diferente (como la UE).
ISO/IEC 27028
En fase de desarrollo servirá de guía en el desarrollo y aplicación
de los "atributos" en los controles indicados en la norma ISO/IEC
27002:2022 y relacionados con el Anexo A de ISO/IEC 27001:2022.
ISO/IEC 27029
En fase de desarrollo cubrirá la relación de la norma ISO/IEC 27002
con otros estándares ISO e IEC.
ISO/IEC 27031
Publicada el 01 de Marzo de 2011. No certificable. Es una guía de
apoyo para la adecuación de las tecnologías de información y comunicación (TIC)
de una organización para la continuidad del negocio. El documento toma como
referencia el estándar BS 25777.
ISO/IEC 27032
Publicada el 16 de Julio de 2012. Proporciona orientación para la
mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de
esa actividad y de sus dependencias en otros dominios de seguridad,
concretamente: Información de seguridad, seguridad de las redes, seguridad en
Internet e información de protección de infraestructuras críticas (CIIP). Cubre
las prácticas de seguridad a nivel básico para los interesados en el
ciberespacio. Esta norma establece una descripción general de Seguridad
Cibernética, una explicación de la relación entre la ciberseguridad y otros
tipos de garantías, una definición de las partes interesadas y una descripción
de su papel en la seguridad cibernética, una orientación para abordar problemas
comunes de Seguridad Cibernética y un marco que permite a las partes
interesadas a que colaboren en la solución de problemas en la ciberseguridad.
ISO/IEC 27033
Parcialmente desarrollada. Norma dedicada a la seguridad en redes,
consistente en 6 partes: 27033-1, conceptos generales (Publicada el 15 de
Diciembre de 2009 y revisada el 10 de Octubre de 2015); 27033-2, directrices de
diseño e implementación de seguridad en redes (Publicada el 27 de Julio de
2012); 27033-3, escenarios de referencia de redes (Publicada el 3 de Diciembre
de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante
gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5,
aseguramiento de comunicaciones mediante VPNs (Publicada el 29 de Julio de
2013); 27033-6, securización de redes IP wireless (Publicada en Junio de 2016).
ISO/IEC 27034
Parcialmente desarrollada. Norma dedicada la seguridad en
aplicaciones informáticas, consistente en 7 partes: 27034-1, conceptos
generales (Publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de
la organización (Publicada el 15 de Agosto de 2015); 27034-3, proceso de
gestión de seguridad en aplicaciones (publicada en Mayo 2018); 27034-4,
validación de la seguridad en aplicaciones (en fase de desarrollo); 27034-5,
estructura de datos y protocolos y controles de seguridad de aplicaciones
(Publicada el 09 de Octubre de 2017); 27034-6, guía de seguridad para
aplicaciones de uso específico (Publicada en Octubre de 2016); 27034-7, marco
predictivo de en la seguridad (publicada en Mayo 2018).
ISO/IEC 27035
Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la
gestión de incidentes de seguridad en la información. Consta de 3 partes: 27035-1,
Principios en la gestión de incidentes (Publicada en Noviembre de 2016); 27035-2,
guías para la elaboración de un plan de respuesta a incidentes (Publicada en
Noviembre de 2016); 27035-3, guía de operaciones en la respuesta a incidentes
(Publicada en Septiembre de 2020).
ISO/IEC 27036
Guía en cuatro partes de seguridad en las relaciones con
proveedores: 27036-1, visión general y conceptos (Publicada inicialmente
el 24 de Marzo de 2014 y revisada el 09 de Septiembre del 2021);
requisitos comunes (Publicada el 27 de Febrero de 2014); 27036-3,
seguridad en la cadena de suministro TIC (Publicada el 08 de Noviembre de
2013); 27036-4, guía de seguridad para entornos de servicios Cloud
(Publicada en Octubre de 2016).
ISO/IEC 27037
Publicada el 15 de Octubre de 2012. Es una guía que propociona
directrices para las actividades relacionadas con la identificación,
recopilación, consolidación y preservación de evidencias digitales potenciales
localizadas en teléfonos móviles, tarjetas de memoria, dispositivos
electrónicos personales, sistemas de navegación móvil, cámaras digitales y de
video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas
con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
ISO/IEC 27038
Publicada el 13 de Marzo de 2014. Es una guía de especificación para
seguridad en la redacción digital.
ISO/IEC 27039
Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliegue
y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).
ISO/IEC 27040
Publicada el 05 de Enero de 2015, es una guía para la seguridad en
medios de almacenamiento.
ISO/IEC 27041
Publicada el 19 de Junio de 2015, es una guía para la garantizar la
la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042
Publicada el 19 de Junio de 2015. Es una guía con directrices para
el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043
Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos
de investigación para la recopilación de evidencias digitales.
ISO/IEC
27045 - ISO/IEC 27046
En fase de desarrollo, el proyecto se inició en 2018 y cubrirá
procesos de seguridad y privacidad en sistemas de big data.
ISO/IEC 27050
Norma desarrollada en cuatro partes sobre la información almacenada
en dispositivos electrónicos en relación a su identificación, preservación,
recolección, procesamiento, revisión, análisis y producción: 27050-1,
conceptos generales brinda orientación sobre las formas en que una organización
puede planificar, prepararse e implementar el eDiscovery (es decir, las
herramientas y sistemas forenses que respaldan la recopilación, el
almacenamiento, la recopilación, la búsqueda, el análisis y la producción de
ESI (Electronically Stored Information), además de los procesos relacionados
(publicada el 12 de Abril del 2021).
ISO/IEC 27070
Publicada en diciembre del 2021 establece requisitos de seguridad
para establecer raíces de confianza para la provisión de entornos informáticos
confiables, donde las máquinas virtuales se crean dinámicamente para
proporcionar servicios en la nube. La computación confiable es un tipo de
tecnología de seguridad basada en módulos confiables de hardware, cuyo objetivo
es garantizar que una computadora se comporte como se espera. El surgimiento de
la computación en la nube proporciona un nuevo escenario de aplicación para la
tecnología informática confiable. La confianza se puede establecer en las
máquinas virtuales mediante un RoT en la máquina física y un RoT virtualizado
en la máquina virtual y el mecanismo para unirlos y garantizar que estén en la
misma máquina.
ISO/IEC 27071
En fase de desarrollo, recomendará controles de seguridad para
establecer conexiones confiables entre dispositivos y servicios en la nube.
ISO/IEC 27090
En fase de desarrollo, proporcionará orientación para que las
organizaciones aborden las amenazas y fallas de seguridad en los sistemas de
inteligencia artificial (IA). La guía de este documento tiene como objetivo
proporcionar información a las organizaciones para ayudarlas a comprender mejor
las consecuencias de las amenazas de seguridad para los sistemas de IA, a lo
largo de su ciclo de vida, y descripciones de cómo detectar y mitigar dichas
amenazas.
ISO/IEC 27099
Publicada el 08 de Julio del 2022, identifica los requisitos de
gestión de seguridad de la información para los proveedores de servicios de
confianza de PKI (Public key infrastructure) para el ciclo de vida de los
certificados de clave pública que se utilizan para firmas digitales,
autenticación o establecimiento de claves para el cifrado de datos.
No aborda los métodos de autenticación, los requisitos de no repudio ni los
protocolos de gestión de claves basados en el uso de certificados de clave
pública. A los efectos de este documento, el término "certificado" se
refiere a los certificados de clave pública. Este documento no es aplicable a
los certificados de atributos.
ISO/IEC 27100
Publicada el 22 de Diciembre de 2020. Este documento proporciona una
descripción de la ciberseguridad y los conceptos relevantes, incluida la forma
en que se relaciona y se diferencia de la seguridad de la información.
Adicionalmente, establece el contexto de la ciberseguridad cubriendo parte de
los términos y definiciones aplicables a la ciberseguridad sin excluir
definiciones procedentes de otros estándares o nuevos términos de uso
relacionados.
ISO/IEC 27102
Publicada el 13 de Agosto de 2019. Este documento proporciona pautas
en el momento de considerar la contratar un ciberseguro como una opción de
tratamiento de riesgos para gestionar el impacto de un ciberincidente dentro
del marco de gestión de riesgos de seguridad de la información de la
organización.
ISO/IEC TR 27103
Publicada el 22 de Febrero de 2018. Norma desarrollada Primera
edición para proporcionar orientación sobre cómo aprovechar las normas
existentes en un marco de ciberseguridad.
ISO/IEC TS 27109
En fase de desarrollo con el objetivo de cubrir aspectos de
formación y educación en ciberseguridad.
ISO/IEC TS 27110
Publicada el 16 de Febrero de 2021. La audiencia de este documento
son los creadores de marcos de ciberseguridad con el objetivo de este documento
es garantizar que se utilice un conjunto mínimo de conceptos para definir los
marcos de ciberseguridad ayudando a aliviar la carga de los creadores de marcos
de ciberseguridad y de los usuarios de estos marcos. Los principios de este
documento son la flexibilidad (para permitir la existencia de múltiples tipos
de marcos de ciberseguridad), la compatibilidad (para permitir la alineación de
múltiples marcos de ciberseguridad) y la interoperabilidad (para permitir que
los usos múltiples de un marco de ciberseguridad sean válidos).
ISO/IEC 27400
Publicada inicialmente el 07 de Junio del 2022, este documento
proporciona pautas sobre riesgos, principios y controles para la seguridad y
privacidad de las soluciones de Internet de las cosas (IoT).
ISO/IEC 27402
En fase de desarrollo, especificará la seguridad de la información
de referencia y los controles de privacidad para el Internet de la Cosas (IoT).
ISO/IEC 27403
En fase de desarrollo, se ocupará de la seguridad y privacidad de la
información para la domótica IoT (hogares inteligentes).
ISO/IEC 27404
En fase de desarrollo, cubrirá el etiquetado de ciberseguridad para
dispositivos IoT de consumo.
ISO/IEC TR 27550
Publicada por primera vez en Septiembre de 2019, cubre aspectos de
privacidad en ingeniería de sistemas TIC (Tecnologías de la Información y
Comunicaciones).
ISO/IEC 27551
En fase de desarrollo, especificará los requisitos para la autenticación
de entidad no enlazable basada en atributos.
ISO/IEC 27553
En fase de desarrollo, especificará los requisitos para la
autenticación biométrica en dispositivos móviles.
ISO/IEC 27554
En fase de desarrollo, asesorará sobre el uso de ISO 31000 para
evaluar el riesgo relacionado con la gestión de identidad.
ISO/IEC 27555
Publicada inicialmente el 08 de Octubre del 2021 este documento
proporciona un marco para desarrollar y establecer políticas y procedimientos
para la eliminación de PII que pueden ser implementados por una organización en
sus procesos funcionales y aplicaciones TIC. Este marco permite la eliminación
coherente de PII en toda una organización.
ISO/IEC 27556
En fase de desarrollo, generará un marco centrado en el usuario para
manejar la PII en función de las preferencias de privacidad.
ISO/IEC 27557
En fase de publicación, aconsejará sobre el uso de ISO 31000 para
gestionar los riesgos de privacidad.
ISO/IEC 27559
En fase de publicación, establece un marco para la
despersonalización (anonimización) de datos personales.
ISO/IEC 27560
En fase de desarrollo, especificará una estructura de
información para los registros de consentimiento de privacidad.
ISO/IEC 27561
En fase de desarrollo, establecerá un enfoque de ingeniería en
privacidad para determinar y satisfacer los requisitos relacionados con la
privacidad.
ISO/IEC 27562
En fase de desarrollo, ofrecerá pautas de privacidad para
'fintech'.
ISO/IEC TR 27563
En fase de desarrollo, ampliará las implicaciones de seguridad
y privacidad de numerosos casos de uso de inteligencia artificial.
ISO/IEC 27565
En fase de desarrollo, ofrecerá pautas sobre privacidad a través de
pruebas de conocimiento cero.
ISO/IEC TS 27570
Publicada por primera vez el 28 de Enero de 2021 este documento
ofrece orientación sobre la privacidad de los ciudadanos como punto de atención
principal en el desarrollo de ecosistemas para las denominadas ciudades
inteligentes (smart cities). Este documento es aplicable a todo tipo y tamaño
de organizaciones, incluidas empresas públicas y privadas, entidades
gubernamentales y organizaciones sin fines de lucro que brindan servicios en
entornos de ciudades inteligentes.
ISO/IEC 27701
Publicada por primera vez en Agosto de 2019 este documento
especifica los requisitos y proporciona orientación para establecer,
implementar, mantener y mejorar continuamente un Sistema de gestión de
información de privacidad (PIMS) a modo de extensión de ISO/IEC 27001 e ISO/IEC
27002 para la gestión de privacidad dentro del contexto de la organización. Especifica
los requisitos relacionados con PIMS y proporciona orientación para los
controladores y procesadores de PII que tienen la responsabilidad y la
responsabilidad del procesamiento de PII.
ISO 27799
Publicada el 12 de Junio de 2008 dispone de una segunda revisión
actualizada desde Julio 2016. Es una norma que proporciona directrices para
apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002,
en cuanto a la seguridad de la información sobre los datos de salud de los
pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el
subcomité JTC1/SC27, sino el comité técnico TC 215.
La norma ISO 27000 son un conjunto de normas las cuales sirven para
llevar una gestión, control de la información en las empresas, al igual que
tener una buena gestión de mantenimiento en los sistemas en los cuales están
guardada la información. Tiene una serie de lineamientos en donde se guarda la
información ya sea en internet, de forma física, etc.
La norma ISO 22301 es un estándar
internacional que establece los requisitos para los sistemas de gestión de la
continuidad del negocio. Fue publicada por la Organización
Internacional de Normalización (ISO) en mayo de 2012 y es la
sucesora de la norma BS 25999-2, que fue desarrollada por el British Standards
Institution (BSI) en 2007. En la actualidad la versión vigente de la norma es la ISO 22301:2019.
La norma ISO 22301 define los
requisitos que deben cumplir los sistemas de gestión de la continuidad del
negocio (SGCN) para asegurar que una organización pueda continuar operando
durante y después de situaciones de crisis, como desastres naturales,
ciberataques, pandemias, conflictos armados o cualquier otra situación que
pueda interrumpir sus actividades.
La ISO 22301 se aplica a cualquier tipo de
organización, independientemente de su tamaño o sector. Los sistemas de gestión
de la continuidad del negocio pueden ser implementados por empresas públicas o
privadas, organizaciones sin fines de lucro, instituciones gubernamentales,
entre otros.
Estructura
de la norma ISO 22301
La norma ISO 22301 se compone de
10 secciones, que establecen los requisitos para los Sistemas de Gestión de la
Continuidad del Negocio (SGCN) de las organizaciones. A continuación, se
detallan las secciones de la norma ISO 22301:
- Objeto Aquí se define el
alcance del SGCN de la organización, especificando los procesos,
actividades y áreas que se incluyen en el sistema.
- Referencias normativas: En
este apartado se incluye una norma adicional y documentos relacionados que
son aplicables al SGCN.
- Términos y definiciones: Se
desglosan los términos y definiciones utilizados en la norma ISO 22301, lo
que garantiza que todas las partes involucradas en el SGCN utilicen el
mismo lenguaje y comprendan los mismos conceptos.
- Contexto de la organización: En
esta sección se establece los requisitos para que la organización
comprenda el contexto en el que opera el SGCN, incluyendo los requisitos
legales, regulatorios y contractuales, las partes interesadas y el alcance
del SGCN.
- Liderazgo: Aquí se listan los
requisitos para que la alta dirección de la organización asuma la
responsabilidad de la implementación y mantenimiento del SGCN, y se
comprometa a proporcionar los recursos necesarios considerando la política
de continuidad y los roles y responsabilidades asociados
- Planificación: Esta sección establece
los requisitos para la planificación del SGCN, incluyendo la
identificación de los riesgos y oportunidades del SGCN y la definición de
objetivos.
- Soporte: En este apartado de la
norma se exponen los requisitos para el soporte del SGCN, incluyendo la
provisión de recursos, la comunicación, la documentación, el conocimiento
y la competencia.
- Operación: Aquí se desarrollan los
requerimientos para la implementación y operación del SGCN, incluyendo la
realización del Business Impact Analysis (BIA), análisis de riesgos,
medidas de mitigación, gestión de crisis y planes y pruebas.
- Evaluación del desempeño: Este
apartado indica los requisitos para la evaluación del desempeño del SGCN,
incluyendo la medición, el análisis y la evaluación de la eficacia del sistema
y, por último, la realización de auditoría interna y revisión del sistema
por dirección.
- Mejora: Por último, aquí se
listan los pasos a seguir para la mejora continua del SGCN, incluyendo la
toma de acciones para abordar las no conformidades, la evaluación de la
eficacia de las medidas tomadas y la actualización del SGCN.
Como solucionarías los problemas en la empresa, en temas de respaldo de información ante cualquier situación que se pueda presentar.
Al
implementar los principios y directivas de BS ISO 31000 en su organización, será
capaz de mejorar la eficiencia operativa, gobernanza y confianza de las partes
interesadas, a la vez que minimiza las pérdidas. Esta norma internacional
también le ayuda a impulsar el desempeño de salud y seguridad, establecer un
fuerte fundamento para la toma de decisiones y alentar la gestión proactiva en
todas las áreas.
¿Cuáles
son los beneficios?
- Mejorar proactivamente la
eficiencia y gobernanza
- Desarrollar la confianza de
las partes interesadas en el uso de sus técnicas de riesgo
- Aplicar los controles de
sistemas al análisis de riesgo para reducir las pérdidas
- Mejorar el desempeño y la
fiabilidad del sistema de gestión
- Responder al cambio
efectivamente y proteger su negocio conforme crece
Tiene
que ver en como se maneja la información y en la gestión de riesgos.
¿Cual es la relación de la criminología con la seguridad cibernética?
https://www.iso27000.es/iso27000.html
https://www.bsigroup.com/es-MX/Gestion-de-riesgo-ISO-31000-/
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-22301-y-para-que-sirve/
Comentarios
Publicar un comentario