Monografias.com > Computación > General
Descargar Imprimir Comentar Ver trabajos relacionados

ISO-27001 e ISO-27004

Partes: 1, 2

  1. Presentación
  2. Introducción:
  3. El
    modelo y método para las mediciones de
    seguridad
  4. Definición y selección de las
    mediciones en un SGSI
  5. Operación de las mediciones del SGSI
    (Fase DO: Hacer)
  6. Mejoras de las mediciones del SGSI (Fases Check
    y Act: monitorizar/auditar y actuar)

Monografias.com

PRÓLOGO

Uno de los aspectos más importantes que se debe
destacar del estándar ISO 27001, es la importancia que
hace sobre el carácter "medible de los controles". En
concreto, si un control no se puede medir, entonces no nos aporta
absolutamente nada al SGSI (Sistema de Gestión de la
Seguridad de la Información). Ahora bien,
¿Cómo debemos

medir esos controles?, es aquí donde entra en
juego el estándar ISO 27004, y como se verá
en este texto, aporta un gran valor agregado en el momento de
comenzar a implementar esta norma, pues desde el inicio, se
comienzan a pensar todas las fases de la misma bajo el concepto
de "Medición".

NOTA: Para poder comprender con claridad el sentido, los
conceptos y definiciones que aquí se desarrollarán,
es recomendable leer previamente los artículos que se han
publicado con anterioridad respecto a esta familia de
estándares, los cuales son:

"Análisis de ISO
27001:2005"

"ISO-27001: Los controles (Parte
I)"

"ISO-27001: Los controles (Parte
II)"

PRESENTACIÓN

Al igual que el ISO 27001, esta norma (que aún se
encuentra en estado de borrador) tiene como responsable al JTC
1 (Join Technical Committee Nº1) JTC 1 y dentro de
él, al subcomité SC 27, IT "Security
Techniques"

Luego del plenario en Malasia del 07 de noviembre del
2005, se inició la circulación de este documento
para estudio y comentarios por parte del SC27, los cuales
deberán finalizar en abril del 2007.

Su nombre completo es: "Draft Text for ISO/IEC 3rd WD
27004, Information Technology – Security tehcniques –
Information Security Management Measurements".

– ISO/IEC: ISO (Organización
Internacional de Estándares) e IEC (Comisión
Internacional de Electrotécnia).

WD: es la abreviatura de "Working
Draft" (Borrador de trabajo).

– Information Security Management
Measurements: Mediciones para la Gestión de la Seguridad
de la Información.

NOTA: Podría haberse traducido Management de
otras formas, pero se optó por esta en asociación
con ISMS y SGSI: Information Security Management
System / Sistema de Gestión de la Seguridad de la
Información.

A los efectos de este texto, esta norma será
definida como:

"Borrador de trabajo ISO/IEC-27004:
Mediciones para la Gestión de la Seguridad de la
Información."

Como se hizo referencia en otros
artículos, este futuro estándar no es algo aislado,
sino que forma parte de la serie o familia ISO-2700x de
los cuales se pueden considerar hoy:

ISO/IEC 27000 Fundamentals
and vocabulary

ISO/IEC 27001 ISMS
Requirements (revised BS 7799 Part 2:2005) – Publicado el
15 de octubre del 2005

ISO/IEC 27002 Code of
practice for information security management – Actualmente
ISO/IEC 17799:2005, publicado el 15 de junio del 2005

ISO/IEC 27003 ISMS
implementation guidance (bajo desarrollo)

ISO/IEC 27004 Information
security management measurement (bajo desarrollo)

ISO/IEC 27005 Information
security risk management (basado e incorporado a ISO/IEC 13335
MICTS Part 2) (bajo desarrollo)

ISO/IEC 27006 Requerimientos
para organismos de acreditación (bajo
desarrollo)

DESARROLLO

I.
Introducción:

Como se mencionó en el prólogo, esta
futura norma tiene como misión desarrollar todos los
aspectos que deben ser considerados para poder "medir" el
cumplimiento de la norma ISO 27001. Como ya se sabe, la misma
hace especial hincapié en el concepto de SGSI y en la
aplicación de controles, los cuales son los que en
definitiva le dan vida a este ciclo permanente de gestión.
El principio básico es que si no se puede medir, entonces
no sirve de nada. Como se irá viendo a lo largo de este
texto, la idea de medición es muy amplia y en definitiva,
va desde la medición más simple hasta la
combinación de varios niveles o instancias de ellas para
poder ofrecer datos que lleven a un verdadero "cuadro de mando de
la seguridad", que sería el objetivo último de todo
el SGSI, y a través del cual, los diferentes niveles
jerárquicos de la organización, podrán
acceder a la información de seguridad, que a su nivel le
hace falta conocer y en base a esta adoptar las decisiones
correspondientes.

La norma ISO 27004, comienza con una
Introducción, de la que se debe destacar:

"El empleo de este estándar permitirá a
las organizaciones dar respuesta a los interrogantes de
cuán efectivo y eficiente es el SGSI y qué niveles
de implementación y madurez han sido alcanzados. Estas
mediciones permitirán comparar los logros obtenidos en
seguridad de la información sobre períodos de
tiempo en áreas de negocio similares de la
organización y como parte de continuas
mejoras".

Partes: 1, 2

Página siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter