IS O & IS O 38500

Transcripción

1 itsh INSTITUTO TECNOLOGICO SUPERIOR DE HUAUCHINANGO UNIDAD III IS O & IS O I N G E N I E R Í A I N F O R M Á T I C A P R E S E N T A : E Q U I P O 3

2 SERIE Para cualquier ámbito de desarrollo en empresas, organizaciones en el mercado es muy importante su información ya que es aquel activo que fundamenta su éxito y continuidad en el mismo mercado, el aseguramiento de la información y de los sistemas que la procesas pasa a un primer nivel de importancia para el organismo en que se tratan. ISO/IEC llega como herramienta efectiva para la gestión de la seguridad de la información, ISO/IEC realiza estas tareas de forma metódica, documentada y toma como base objetivos claros de seguridad y una evaluación de los riesgos a los que está sujeta la información de la organización. Dentro de la norma se ubican diversos estándares desarrollados de igual manera por ISO lo cual fortalece aún más las áreas comprendidas para su gestión tanto para empresas públicas o privadas, grandes y pequeñas. Dicha norma fue creada desde el siglo pasado con otros nombres y no fue sino hasta 2005 cuando se publica bajo el nombre ISO De ella se desprenden otras extensiones de la norma (Serie 27000), en ella los rangos de numeración reservados por ISO van de a y de a La serie está conformada por las siguientes: ISO 27001: Publicada el 15 de Octubre de 2005, ésta es la norma principal de la serie y contiene requisitos del sistema de gestión de seguridad de la información. ISO 27002: Publicada el 1 de julio de 2007, describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO 27003: Mayo 2009, consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Noviembre 2008, especifica las métricas y las técnicas de media aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005: Junio 2008, Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC y está diseñada

3 para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. ISO 27006: Febrero 2007, especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad para la información. ISO 27007: Mayo 2010, consiste en una guía de auditoría de un SGSI. ISO 27011: 2008, consiste en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU. ISO 27031: Mayo 2010, es una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. ISO 27032: Febrero 2009, consiste en una guía relativa a la ciberseguridad. ISO 27033: 2011, consiste en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. ISO 27034: Febrero 2009, guía de seguridad de aplicaciones. ISO 27799: Junio 2008, es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO

4 ISO Esta norma fue publicada en junio de 2008, basándola en AS8015:2005, va orientada al Gobierno de TI, ésta proporciona un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de información. Se encuentra alineada con los principios de gobierno corporativo del Informe Cadbury y en los Principios de Gobierno Corporativo de la OCDE. Esta norma tiene como campo de aplicación el gobierno de los procesos de gestión de las TI s en cualquier tipo de organización que utilice hoy las tecnologías de información, facilitando así las bases para la evaluación objetiva del gobierno de TI. Esta tiene como principios fundamentales los siguientes: Responsabilidad Estrategia Adquisición Desempeño Cumplimiento Comportamiento Humano El marco de trabajo para ISO son: Políticas estratégicas: Su posición frente a los principios. Rol de la junta: consulta y aprobación. Políticas operacionales. Especifican como se conducen los proyectos y las operaciones. Rol de la junta: Conciencia Políticas de uso. Reglas para saber cómo las personas utilizan los sistemas de negocio y sus recursos. Rol de Junta: Parte de la comunidad de usuarios.

5 REGLAS FUNDAMENTALES Regla 0 Regla 1 Regla 2 Regla 3 Regla 4 Regla 5 GESTION DEL CAMBIO Comprometa al sponsor y las personas adecuadas Comunicar, comunicar, comunicar Medir, ajustar, medir Empezar por los fundamentos Pequeños pasos con objetivos claros Siga comunicando, siga midiendo, siga mejorando

6 CONCLUSIONES La creación de normas en cualquier área siempre será de vital importancia pues ayuda a seguir una línea la cual proporciona las herramientas necesarias para que la gestión de recursos sea la más óptima y eficiente y así lograr los objetivos que quien hace uso de éstas se ha fijado. Hablando esencialmente en cuanto a gobierno de TI, éstas normas llegan como herramienta para que la gestión de seguridad y otros aspectos sean realizados de la manera más correcta. ISO En conclusión la ISO está enfocada a la estandarización de los procesos y decisiones empresariales que tienen que ver con las comunicaciones y servicios de información esta norma en todos los casos busca mejorar los procesos de toma de decisión de inversión en ti y buscar una mejor alineación entre los objetivos de negocio y los de ti. Ofrece una clara guía para los ejecutivos y directivos, ya que les guía en el desempeño de sus responsabilidades. ISO En conclusión la ISO permite a las organizaciones presentar y certificar un nivel de calidad ante sus usuarios y el público en general. Aunque en un principio fue de interés para las grandes empresas, las norma ISO está siendo considerada también por medianas empresas en el mundo. Además, las normas sirven para tener una guía de buenas prácticas que pueden ser de utilidad, incluso si la organización no desea o puede certificar la misma