Estándares Internacionales

Objetivos

o Comprender que los estándares internacionales son producto de diferentes organizaciones, algunas para uso interno, otras para grupos de personas, grupos de compañías, o una subsección de una industria. Un problema surge cuando diferentes empresas se reúnen, cada uno con una amplia base de información haciendo que entre ellos es sea incompatible. Establecer estándares internacionales es una manera de prevenir o superar este problema.

o Conocer algunos de los estándares internacionales más utilizados en la actualidad.

o Enumerar y definir la finalidad de cada uno de los estándares investigados.

o Comprender la importancia del uso de estándares en las organizaciones actuales.

Introducción

Este trabajo de investigación tiene la finalidad de enumerar y definir algunos de los estándares más utilizados a nivel mundial.

Comenzaremos definiendo la palabra normalización o estandarización es la redacción y aprobación de normas que se establecen para garantizar el acoplamiento de elementos construidos independientemente, así como garantizar el repuesto en caso de ser necesario, garantizar la calidad de los elementos fabricados, la seguridad de funcionamiento y trabajar con responsabilidad social.

Podríamos decir que la estandarización o normalización la podríamos definir de forma genérica, como la actividad encaminada a poner orden en actividades repetitivas que se desarrollan en el ámbito de la industria, la tecnología, la ciencia y la economía con el fin de desarrollar mecanismo de seguridad en esos ambientes para un correcto manejo y orden de las organizaciones.

Índice de la investigación

o PCI-DSS

o ISO 27001

o ITIL

o COBIT

o SOX

o ISO 27005

o AS/NZS 4360:2004

o PMI

o BS 25999

o ISO 17999

o BCP

o DRP

o BIA

o PMI , Y SU PMBOK

o Normas NIST aplicadas a tecnologías de Información

PCI-DSS

PCI Data Security Standard (PCI DSS), es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.

Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.

Formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS.

PCI DSS cataloga las organizaciones en:

- Comercios o merchants (súper/hipermercados, autopistas, e-commerce, agencias de viajes, etc.).

- Proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.).

- Entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).

Consultoría de implantación de PCI DSS

El primer paso para cumplir con los requerimientos de PCI DSS es realizar un análisis de la organización, identificar los puntos en la cadena de valor donde se transmite, procesa o almacena información de tarjetas de crédito y definir el entorno que debe ser protegido para cumplir con PCI DSS.

Una vez identificado este entorno se deben evaluar los riesgos y definir el programa de cumplimiento que establece y mantiene las medidas de seguridad necesarias para poder cumplir con los 12 requerimientos definidos en el estándar.

Internet Security Auditor, con su servicio de consultoría de implantación tiene como objetivo proporcionar a las organizaciones todo el soporte necesario y guiarles en la definición y mantenimiento del programa de cumplimiento con PCI DSS.

Auditoria de cumplimiento de PCI DSS

Internet Security Auditor está acreditada por el PCI DSS, a través de su certificado QSA, para realizar las auditorías anuales on-site a todas aquellas empresas que por su volumen de transacciones anual (varía en función de la marca de tarjetas de crédito) lo requieran, habiéndose convertido en la primera empresa española en obtener esta certificación por parte del PCI DSS.

En el proceso de auditoría se verifica, mediante muestreo, que los requerimientos establecidos en PCI DSS se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las no conformidades.

Validación

La manera en que las empresas validan su cumplimiento con PCI DSS varía en función de varios parámetros:

- Tipo de negocio (comercio o proveedor de servicios)

- Volumen de negocio (total de transacciones anuales)

- Canal (comercio-e por un lado y resto de canales por otro)

- Riesgo del negocio (si han sufrido incidentes por hackers, etc.)

Implantación

La implantación es en donde se hace realidad el programa de cumplimiento PCI DSS. El tiempo de implantación dependerá mucho del trabajo que se haya identificado como necesario para cumplir con PCI DSS, los recursos que se dediquen, el tamaño del entorno de cumplimiento, etc. Es en esta parte donde la empresa debe dedicar los recursos tanto económicos como personales necesarios para que los tiempos marcados en el programa de cumplimiento se alcancen y la empresa pueda conseguir el cumplimiento PCI DSS, reportando la documentación necesaria con el estado de cumplimiento a la entidad financiera (o directamente a la marca en algunos casos) que solicitó dicho cumplimiento, y ésta a su vez reportándolo a las marcas que sean oportunas.

ISO 27001

La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

La ISO 27001 es para la seguridad de la información lo mismo que la ISO 9001 es para la calidad: es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la información y su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.

A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc

Cuatro fases del sistema de gestión de seguridad de la información

La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.

Las fases son las siguientes:

• La Fase de planificación: esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad.

• La Fase de implementación: esta fase implica la realización de todo lo planificado en la fase anterior.

• La Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos.

• La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI.

¿Cuáles son

...