Embedded Files
De una forma panorámica los principales ámbitos de normalización son los relativos al sistema de gestión
de seguridad de la información, a las técnicas y mecanismos, sean o no criptográficos, y a la evaluación de la
seguridad de las tecnologías de la información y aspectos asociados, según se refleja en el gráfico siguiente (figura
I), que también recoge la presencia de ámbitos que, de forma creciente, demandan una atención especializada,
corno la gestión de identidad y privacidad y los servicios y controles de seguridad, aunque se apoyen, así mismo,
en los tres ámbitos principales citados.
Normas de gestion de seguridad de la informacion
Perspectva general
En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de las
normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes:
Proporcionar un marco homogéneo de normas y directrices.
Proporcionar requisitos, metodologías y técnicas de valoración.
Evitar el solapamiento de las normas y favorecer la armonización.
Alinearse con los principios generalmente aceptados relativos al gobiemo de las organizaciones.
Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE.
• Usar lenguaje y métodos comunes.
• Facilitar la flexibilidad en la selección e implantación de controles.
• Ser consistente con otras normas y directivas de ISO.
sistema de gestion de la seguridad de informacion.
Diversas normas promueven la aplicación de un sistema de procesos encaminado a gestionar la seguridad.
Tal enfoque enfatiza la importancia de aspectos tales como los siguientes:
• La comprensión de los requisitos de sequridad de la información y la necesidad de establecer objetivos y
una politica para la seguridad de la información.
• La implantación y explotación de controles para gestionar los riesgos relativos a la seguridad de la
información en el contexto general de los riesgos globales de la organización.
• EI seguimiento del rendimiento del sistema.
• La mejora continua basada en la medida de los objetivos.
Tales normas adoptan el ciclo conocido como 'Plan-Do-Check-Act" para especificar los requisitos del
denominado Sistema de Gestión de Seguridad de la Información. A la fecha se dispone de las siguientes normas:
• UNE 71502:2004 Especificaciones para los sistemas de gestión de la seguridad de la información.
• ISO/IEC 27001 :2005 Information Technoloqy - Security techniques - Information security manaqement
systems - Requirements.
Se encuentra en elaboración la norma UNE equivalente a ISOIIEC 27001 :2005 con vistas a retirar a corto
plazo la norma UNE 71502:2004.
La norma UNE 71502:2004 define un Sistema de Gestión de la Seguridad de la Información (SGSI) como
aquel "sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos
y los recursos necesarios para implantar la gestión de la seguridad de la información. EI sistema es la herramienta
de que dispone la dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad
(integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación). Proporciona
mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en
concordancia con las políticas de seguridad y planes estratégicos de la organización."
Mientras que la norma ISO/IEC27001:2005 lo define como:
"Parte del sistema global de gestión, que sobre la base de un enfoque basado en los riesgos, se ocupa de
establecer, implantar, operar, seguir, revisar, mantener y mejorar la seguridad de la información. EI sistema de
gestión induye estructuras organizativas, políticas, actividades de planificación, responsabilidades, prácticas,
procedimientos, procesos y recursos.'
La implentacion de un SGSI permite una organizacion lo siguiente:
Conocer los riesgos.
Prevenir, reducir, eliminar o controlar los riesgos mediante la adopción de los controles adecuados.
Asegurar el cumplimiento de la legislación en materias tales como la protección de los datos de carácter
personal, los servicios de la sociedad de la información o la propiedad intelectual, entre otras.
Page updated
Google Sites
Report abuse