Marco Legal

MARCO LEGAL

La segurida de la informacion surge en colombia como una necesidad de proteger los datos almacenados en bases de datos las cuales se hacian muy suceotibles al uso indevido de personas no relacionadas con las empresas en las que se manejaban estos datos

Por esta razon se empezaron a implementar certificaciones internacionales las cuales, califican con altos niveles de calidad diferentes puntos de la empresa, en este caso se toma la ISO 17799 que es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad

de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado.

La norma ISO17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento.El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

La norma ISO 17799 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones-

2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.)

3. Clasificación y control de activos: Inventario y nivel de protección de los activos.

4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos

5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos

6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información

7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc)

8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.

9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información

10.Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres.

11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.

De estos once dominios se derivan los

• Objetivos de control: resultados que se esperan alcanzar mediante la implementación de controles

• Los controles: que son las prácticas, procedimientos y/o mecanismos que reducen el nivel de riesgo.

Esta norma se adopto por ISO desde el año 2000, pero en el año 2005 esta norma obtine una actualizacion donde se transformo en la ISO 17799:2005 y se publico por ISO un nuevo estandar que cumple con mas requisitos que la ISO 17799:2005 y ademas es certificable la cual se llama ISO 27001

La norma ISO 27001 sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA (Plan, Do, Check, Act) traducido al español como (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas

...