ISO 27001 y 27002 - Mapa Conceptual

Tecnología de la información
Técnicas de Seguridad
Sistemas de gestión de la seguridad de la información
Código de práctica para la gestión de la seguridad de la información

Las ISO 27001 y 27002 tienen por objetivo definir principios para implementar sistemas de gestión de seguridad de la información en las organizaciones. 

A continuación se presenta un mapa conceptual con los requerimientos básicos para la implementación eficiente de este sistema, logrando seguridad y confianza en la efectividad de los sistemas de protección a los activos de información.

Esta información fue tomada de las ISO 27001 y 27002, recuperado de http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf y http://tienda.icontec.org/brief/NTC-ISO-IEC27002.pdf.

ISO 17799 - Mapa Conceptual

Tecnología de la información

Técnicas de Seguridad

Código de Prácticas para la gestión de la seguridad de la información

En 1997 fue emitida la norma denominada ISO 17799 que pretendía expedir las mejores prácticas para la gestión de los sistemas de información. Esta se basó en la norma BS7799 emitida en 1995.

El siguiente mapa conceptual presenta un resumen de la citada norma a través del recorrido de su historia y estructura.

Esta información fue tomada de la ISO 17799 recuperada de https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf el 10 de octubre de 2015.

MAGERIT - Implementación en España

En España, la metodología Magerit pertenece al Ministerio de Hacienda y Administraciones Públicas. Su uso es de carácter público, por lo que no requiere autorización del Gobierno. Esta se implementa para analizar los riesgos a los que están sometidos los activos, para luego determinar los controles a utilizar y minimizar su impacto.

La conclusión del gobierno de España tras su aplicación en algunas entidades es que el esquema sobre el que se construye el Sistema de Gestión de Protección (SGP), es el PDCA. 

PDCA requiere 4 actividades:

• Planificar: Esto implica establecer cual será el alcance de la gestión, con que políticas de seguridad se cuenta, analizar los riesgos y seleccionar los controles que se aplicarán para minimizar su impacto.
• Hacer: Relacionado con la aplicación del sistema de gestión y de los controles.
• Verificar: Identificar si hay nuevos riesgos y si los procesos que se han implementado son eficientes y adecuados a la compañía.
• Mejorar: Se requiere implementar acciones correctivas (el riesgo se materializó) y preventivas (antes de la materialización del riesgo) para asegurar la eficiencia continua del proceso. 

De esto se concluye, que la implementación de un sistema de gestión de riesgos requiere que la dirección se comprometa con unos procesos constantes que permitan que los resultados sean positivos durante todo el ciclo del programa.

MAGERIT - Resumen Argumentativo

MAGERIT - Metodología de análisis y gestión de riesgos de los sistemas de información

Debido a la rápida evolución tecnológica, se han desarrollado sistemas que permiten analizar los riesgos y detectar las amenazas a las que se enfrentan los activos de la entidad. Con esto, se logra crear controles para minimizar su impacto a través de salvaguardas.

Con este propósito fue creado Magerit, una metodología de análisis y gestión de riesgos de los sistemas de información. La versión 1.0, fue creada en 1997 con el objetivo de gestionar la seguridad informática de la organización. Desde entonces, se han presentado dos actualizaciones: La versión 2.0 introdujo nuevas alternativas para medir los activos. Finalmente en el año 2012 se publicó la última edición en el que se desarrollaron nuevas aplicaciones con el fin de estar a la vanguardia de los nuevos desarrollos tecnológicos.

Para su correcta implementación en las organizaciones, esta metodología se basa en cinco principios, tales como: Mandato y compromiso de la dirección a través de la planeación estratégica, diseño del marco de trabajo con un previo conocimiento de la organización, implementación de la gestión de riesgos usando procedimientos adecuados, seguimiento y revisión del marco para asegurar la eficiencia de los procesos, y mejora continua del marco.

Por otro lado, para analizar y gestionar el riesgo se requiere conocer los conceptos básico como riesgos, amenazas, vulnerabilidades y salvaguardas. Riesgo se refiere a la posibilidad de que se presenten eventos positivos o negativos con impacto en los objetivos. Amenazas son situaciones que podrían ocurrir, generando daño en la organización. Vulnerabilidad es la posibilidad de la ocurrencia de una amenaza sobre un activo. Finalmente, salvaguarda es una herramienta que permite disminuir el riesgo.

La aplicación de Magerit inicia con un inventario de los activos que se relacionan con los sistemas de información. A continuación, se valora los activos anteriormente identificados teniendo en cuenta su integridad, disponibilidad de datos, confidencialidad, autenticidad y trazabilidad del servicio. Su éxito depende de la eficiencia de todos los procesos realizados durante su implementación.

Este resumen argumentativo está basado en MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.- Edita: © Ministerio de Hacienda y Administraciones Públicas, octubre 2012.