- Objetivos
- Justificación
- Conocimientos
preliminares - Estándar
Internacional ISO/IEC 27002 (antiguamente ISO/IEC
17799) - Conclusión
- Recomendaciones
- Bibliografía
- Glosario
- Resumen general del
Estándar Internacional ISO/IEC 27002
Introducción
Actualmente la tendencia de la gran mayoría de las
empresas
dedicadas o relacionadas con las tecnologías de información, es enfocar sus procesos a
transacciones y operaciones en
red. La seguridad
informática siempre ha sido importante, desde los
inicios de las computadoras,
pero ahora se ha agudizado más la importancia de contar
con buenos mecanismos de seguridad debido
a que los riesgos y
amenazas no solamente consisten en que personas que se encuentren
en el área geográfica donde están las
computadoras, roben información, sino que ahora
también existen riesgos de robo o accesos no autorizados a
información mediante las diferentes redes que interconectan a
las computadoras o a cualquier equipo tecnológico
utilizado para transmitir información digital.
Actualmente se cuenta con Estándares Internacionales
muy bien aceptados, que proporcionan mecanismos de seguridad que
han sido estudiados detenidamente y que se han puesto a prueba,
concluyendo en que los resultados que ofrecen son los ideales y
que deberían ser implementados por todas las organizaciones
relacionadas a las tecnologías de la
información.
En este documento se habla específicamente
del Estándar Internacional ISO/IEC 27002,
el cual trata específicamente sobre aspectos de seguridad
en las tecnologías de información.
Objetivos
Objetivo general
"Conocer qué es y para qué sirve el
Estándar Internacional ISO/IEC 27002."
Objetivos específicos
Estudiar qué son las normas ISO.
Conocer qué es el comité IEC.
Comprender qué es y para qué fue creado el
ISO/IEC JTC1.Analizar y comprender cada uno de los capítulos que
componen el documento del Estándar Internacional
ISO/IEC JTC1.
Justificación
Aunque muchas empresas le restan valor o
importancia al aspecto de seguridad, no se puede dudar que las
pérdidas por la falta de seguridad pueden ser
tremendamente caras, tanto en materia
económica como en cuanto a prestigio, nivel de ventas,
problemas
legales, daños a empleados de la
organización o a terceros (por ejemplo si se divulgara
información confidencial luego de un ataque a un sistema),
etc.
En vista de la importancia que tiene la seguridad en las
tecnologías de información, se afirma que estudiar
no solamente buenas prácticas y consejos sabios de
personas que llevan una gran trayectoria en el área de la
informática, sino que más
aún, Normas
Internacionales certificables, es un beneficio de grandes
magnitudes para cualquier organización. Por ello se justifica que el
estudio de la Norma Internacional ISO/IEC 27002 es totalmente
necesario para cualquier organización que tenga que ver de
alguna forma con aspectos relacionados a tecnologías de
información.
Conocimientos
preliminares
Antes de comenzar con el estudio de las normas ISO
17799 e ISO 27002, se definirán dos conceptos relevantes,
y la diferencia entre ambos:
Norma: principio que se impone o se adopta para
dirigir la conducta o la correcta realización de una
acción o el correcto desarrollo de una actividad.Buena práctica: son aquellas acciones que se
caracterizan por haber logrado cumplir eficazmente las metas
planteadas, y que luego de la evaluación de
resultados, se ha concluido que proporcionan beneficios
óptimos en la mayoría de casos, de modo que se
son prácticas replicables y útiles para
implementar.Diferencia entre una norma y una buena
práctica: una norma es certificable por las
entidades correspondientes, mientras que una buena
práctica no es certificable, sino que sólo se
tiene como una buena alternativa por haber sido demostrado
que ha funcionado en la gran mayoría de casos.
Se debe saber que las normas ISO son precisamente "normas", no
simplemente buenas prácticas. Por lo tanto todas las
normas ISO son certificables, y es por esa razón que se ve
por ejemplo en algunos productos
comerciales que se venden en los supermercados, una etiqueta de
certificación ISO, que garantiza la calidad de un
producto en
algún aspecto específico, dependiendo del
número de la norma ISO a la que se haga referencia.
Página siguiente |