Norma 2700x

NORMA ISO 27000

La ISO 2700 es una certificación de las normas para la tecnología informática y los sistemas de gestión informáticos. Al conseguir tal certificación, las empresas pueden vender sus servicios de mejor manera, así como también pueden garantizar la fiabilidad de sus operaciones internas.


La ISO 27000: 2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, 
lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de 

requisitos.

Identificación

La Organización Internacional de Estandarización (ISO por sus siglas en inglés) es responsable de establecer más de 18.000 normas para múltiples industrias, y múltiples campos dentro de cada industria.

Las normas ISO 2700x

Las normas ISO 2700x representan a la familia de estándares para la industria de la seguridad informática. Las empresas buscan obtener una certificación en la 2700 para demostrarle al mundo que sus sistemas de TI cumplen con los estándares de la industria. La "x" en el 2700x se refiere a las normas individuales dentro de la familia 2700, como 27000, 27001, 27002, 27003, 27004, 27005 y 27006. Cada sector tiene un estándar de aplicación específica bajo el paraguas de la industria de la seguridad informática.

El proceso de certificación

Para prepararse para la certificación, las empresas establecen un Sistema de Gestión de Seguridad Informática o SGSI. El SGSI es un conjunto de políticas diseñadas e implementadas ​​por las empresas para gestionar el riesgo de su sistema informático. Una vez establecido esto, las empresas certifican su SGSI de acuerdo con un riguroso proceso de certificación.

A continuación veremos una breve explicación de las norma ISO  27000

Las series de normas ISO en el ámbito de calidad constituyen lo que se denomina familia de normas, ésta son:

ISO 27000: Contiene términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido.

ISO 27001 Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrollada ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable.

ISO 27003: Consiste en una guía de implementación deSGSI e información acerca del uso del modelo PDCA (Plan, Do, Check, Act) y de los requerimientos de sus diferentes fases.

ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

ISO 27005: Consiste en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.

ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoria y certificación de Sistemas de Gestión de Seguridad de la Información.

ISO 27007: Consiste en una guía de auditoria de un SGSI.

ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones.

ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: Consiste en una guía relativa a la ciber seguridad.

ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante Gateway, acceso remoto, aseguramiento de comunicaciones en redes mediante VPN y diseño e implementación de seguridad en redes.

ISO 27034: Consiste en una guía de seguridad en aplicaciones.

ISO 27799: Es un estándar para la seguridad de la información en el sector salud.