ISO 27000.es

El portal de ISO 27001 en Español


Otros Estándares

Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos.


Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo.


En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes.


Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo. Puede consultar nuestra sección de Herramientas para encontrar enlaces a muchos de ellos.



BS 7799-3

doc_otros_estandar_all_archivos/image009.gif

BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799, dedicada a la gestión de riesgos de seguridad de la información.


ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la empresa.


BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.


El estándar ISO/IEC 27005 coincide en buena parte de los elementos especificados en BS 7799-3 pero toma referencias adicionales de otros estándares reconocidos como el estándar australiano "AS/NZS 4360:2004, Risk Management" o la guía "ISO/IEC Guide 73:2002, Risk management", entre otros y, por tanto, ha permitido mantener en vigencia el estándar BS 7799-3 como un posible documento de utilidad para la evaluación de riesgos.



Centros de Computación / Data Center

Las instalaciones de alta prioridad como los Data Centre (Centros de Procesamientos de Datos o de Computo según las diversas traducciones), ha evolucionado de forma paralela al crecimiento sustancial del mercado del comercio electrónico en todo el mundo.


En la actualidad, tan sólo 15 minutos de tiempo de interrupción en un Data Centre se pueden traducir en pérdidas catastróficas para la producción y para la imagen pública de las organizaciones. La fiabilidad es un factor clave en todas aquellas instalaciones de alta prioridad que funcionan 24 horas al día, los 7 días de la semana.


La definición de Data Centre aportada por el Telecommunications Industry Association (TIA) es la de "Un edificio o parte de un edificio cuya principal función consiste en albergar una sala informática y sus áreas de soporte.


En base a la definición del Código de Conducta de la Unión Europea para Data Centres el término "centro de datos" incluye "todos los edificios, instalaciones y salas que contienen servidores de empresa, equipos de comunicaciones entre servidores, equipos de refrigeración y equipos de alimentación y que prestan algún tipo de servicio de datos".


Esto significa que el tamaño en metros cuadrados no determina la consideración como Data Centre y la necesidad de personal cualificado para instalar y mantener tanto los elementos de computación TI y de comunicaciones como los electromecánicos para la distribución y suministro de potencia eléctrica y de ventilación necesarios.


En este sentido y al margen de formaciones en aspectos puntuales y con renocimiento local/regional, se ha creado por parte de DCProfessional un marco que comprende una carrera de formación para un desarrollo profesional específico dentro de la industria y que se ha convertido en una referencia profesional a nivel internacional.

doc_otros_estandar_all_archivos/logo_DCPRO.png

A continuación se indican algunos de los estándares de referencia en este sector que deberían estar en el conocimiento y/o referencia de cualquier profesional que participe en actividades dentro las diferentes áreas que componen un Datacenter:

ASHRAE


La asociación ASHRAE (American Society of Heating, Refrigeration and Air-conditioning Engineers) es responsable de la creación de unas directrices térmicas para entornos de procesamientos de datos (The Thermal Guidelines for Data Processing Environments), que se han convertido en la especificación generalmente aceptada en todo el mundo en materia de operaciones de Centros de datos.

doc_otros_estandar_all_archivos/TC99Masthead_new.gif

La guía "TC9.9 Guidelines for Mission Critical Facilities" ha sido desarrollada por algunos de los representantes más relevantes en la fabricación de equipos TIC y determina información relevante a los equipos como:


- Rangos de temperatura (recomendados y permitidos ante una exposición prolongada)


- Valores recomendados frente a valores permitidos


- Velocidad de cambio en la temperatura


- El factor “X” de la fiabilidad de los equipos


En la versión publicada en 2011 se ha preparado una hoja de ruta para favorecer el aumento significativo en las horas operativas durante las que se podrán utilizar sistemas de racionalización con los que aumentar la posibilidad de que los centros de datos puedan prescindir de los sistemas de enfriamiento y chillers eliminando incluso por completo los sistemas de refrigeración mecánica sin exponer la disponibilida de las operaciones, con el fin de lograr mejores índices de eficiencia energética (PUE).


La ASHRAE es una de las pocas asociaciones del sector cuyas recomendaciones han sido aceptadas a escala internacional.

BISCI 002


ANSI/BICSI 002 recopila las mejores prácticas tanto en implantación como en diseño de Data Centre. El inicio del desarrollo del documento parte en 2004 desde la propia necesidad de la industria de disponer de un documento comprensible y racional que cubriera los factores fundamentales para la implantación como el diseño de los Data Centre.

doc_otros_estandar_all_archivos/logo_bicsi.jpg

El comité de BISCI (Building Industry Consulting Services International fundado en 1974) responsable del desarrollo está compuesto por 150 expertos internacionales en las diversas materias que desarrolla en los contenidos. Entre las disciplinas involucradas e interesadas en los contenidos del documento se encuentran arquitectos, ingenieros eléctricos, mecánicos y de estrucuturas de DC, expertos en seguridad, protección y extinción de incendios, cableado de telecomunicaciones y de TI, asesores en riesgo corporativo, consultores, project managers, agentes de comisionado y fabricantes.


Existe una descarga directa de un ejemplar de muestra BISCI 002 para poder tener una mejor idea del alcance de los contenidos y su utilidad.


BICSI dispone de formación especializada para profesionales y que permite la obtención de certificaciones para la acreditación de los conocimientos de los profesionales a nivel individual.

Código de Conducta de la Unión Europea


El código fue creado como respuesta al creciente consumo de energía por parte de los Data Centre y la necesidad de reducir el impacto asociado sobre el medio ambiente, la economía y el suministro energético, a través de la mejora del conocimiento de la demanda de energía, la sensibilización y el detalle y la recomendación de las mejores prácticas y objetivos en materia de eficiencia energética.

doc_otros_estandar_all_archivos/logo_coc_color.jpg

Se trata de una iniciativa voluntaria que reúne a partes interesadas: operadores y propietarios, usuarios finales, fabricantes, distribuidores, consultores y empresas de servicios básicos.


Fue creado originalmente por un Grupo de Interés Especial de la British Computer Society (BCS) y posteriormente transferido a la UE, aunque es un documento con contenido aplicable a escala mundial.

TIA 942


Telecommunications Industry Association (TIA) fundada en 1988 ha desarrollado el estándar ANSI/TIA 942 que detalla en sus contenidos las mejores prácticas específicas para infraestructuras de Data Centre.

doc_otros_estandar_all_archivos/logo_TIA.gif

Publicada en abril de 2005, el estándar procura inicialmente recopilar las especificaciones para comunicaciones y cableado estructurado, avanza sobre los subsistemas de infraestructura generando los lineamientos que se deben seguir para clasificar estos subsistemas en función de los distintos grados de disponibilidad de las instalaciones que se pretende alcanzar y que se definen como "Tier" con numeraciones ascendentes en función de los grados cada vez mayores (1->2->3->4) de redundancia tanto en el diseño mecánico como en el diseño eléctrico que dan soporte a la carga TI.


La ausencia de una entidad o mecanismo de regulación en la emisión de certificaciones ha dado lugar a cierto descrédito por falta de rigor, acrecentada por la emisión de certificados en niveles "plus" y/o no descritos formalmente en la norma.


La intención es que sea utilizado por los diseñadores que necesitan un conocimiento del diseño de las instalaciones, el sistema de cableado y el diseño de redes.


Este estándar junto con otros muchos relevantes a áreas más específicas está disponible en la asociación TIA.

Uptime Institute


Desde el año 1993 por Kenneth G. Brill, el Uptime Institute LLC es un consorcio de empresas que se dedican a la consultoría y servicios de TI para la industria de los centros de datos empresariales y los profesionales de los centros de datos. Es conocido por su sistema de certificación de Tier de los Data Centre.


El Uptime Institute fue adquirido por el Grupo 451 (el nombre del libro Fahrenheit 451 de Ray Bradbury) en 2009. Desde entonces, el Uptime Institute ha sido una división independiente del grupo 451, que tiene su sede en Nueva York y oficinas en ciudades como San Francisco, Washington DC, Londres, Boston, Seattle, Denver, São Paulo, Dubai y Singapur. The 451 Group también es propietaria de 451 Research, una firma sindicada a la investigación y datos en la industria de las tecnologías.

doc_otros_estandar_all_archivos/451_GroupLockUp.png

El concepto de Tier en Data Centre se ha desarrollado desde una publicación white paper de finales de 1990 con las clasificaciones de nivel para definir el rendimiento del diseño de las infraestructuras de modo estandarizado y de inversión en los Data Centre a nivel mundial. La metodología del documento permite determinar la disponibilidad de una instalación de manera que se pueda medir el retorno de la inversión (ROI) y su rendimiento. Hay dos formas de Certificaciones en el Tier:


-Certificación de Nivel en base a los documentos que representan el Diseño


-Certificación de Nivel de Servicio en base a las instalaciones construidas


La certificación de Tier se refiere sólo a la topología física de la infraestructura de los centros de datos "que afecta directamente a la operación de la sala de ordenadores". Aunque el Uptime Institute ha optado por no publicar completamente los criterios de evaluación, las certificaciones se otorgan en cuatro niveles conocidos:


-Nivel IV: Infraestructura tolerante a fallos


-Nivel III:Infraestructura con manteniniento en paralelo


-Nivel II: Instalaciones con redundancia en ciertos componentes/sistemas críticos


-Nivel I: Infraestructura Básica (no redundante)



Ciberseguridad

Las noticias de ciberataques a ciudadanos, organizaciones, empresas y, hasta, instalaciones críticas de países como plantas de energía química, centrales nucleares o fábricas de diferentes índoles se han vuelto habituales en los diferentes medios de comunicación no sólo escritos, sino radio, televisión y, naturalmente, los medios electrónicos de Internet.


La aparición de las TIC en el ámbito de las infraestructuras críticas ha derivado en la aparición de unas nuevas formas de amenaza que podrían llegar a afectar gravemente a la población, de modo que si no se gestionan adecuadamente podrían incluso llegar a aumentar el nivel de riesgo frente a ataques deliberados basados en este tipo de tecnologías.


La ciberseguridad se relaciona frecuentemente con el concepto de ciberguerra considerando el ciberespacio como el quinto dominio de la guerra junto a la tierra, mar, aire y espacio. El nuevo modelo de computación se describe en términos de nube como piedra angular de las nuevas infraestructuras tecnológicas de esta década así como las tecnologías más disruptivas de la actualidad de impacto en las ciberamenazas y, en consecuencia, en las ciberdefensas (realidad aumentada, geolocalización, Web en tiempo real, Internet de las cosas,…).


El Centro Criptológico Nacional en España ha desarrollado y puesto a libre disposición una serie de documentos y recursos relacionados con la seguridad de los sistemas para aumentar el grado de concienciación y protección de las organizaciones.


En esta misma línea, la publicación por parte de OTAN de CCDCOE - National Cyber Security Framework Manual por parte del Cooperative Cyber Defence Centre of Excelence procura tomar en consideración todas las facetas que deben tenerse en cuenta en la elaboración de una estrategia nacional de seguridad cibernética, así como herramientas genuinas y asesoramiento altamente competente en este proceso para fomentar un mayor nivel de seguridad informática a nivel nacional y de cooperación internacional.


Organismos como ICANN (organismo internacional regulador de los sistemas de nombre de dominio - DNS) ha aprobado recientemente el protocolo de seguridad DNSSEC para asegurar una protección más completa de los sistemas ante los posibles agujeros en su seguridad.


Existen cada vez más legislación y publicaciones relativas a este área pero como normas de seguridad cibernética hemos querido recoger en este apartado aquellas que permiten a las organizaciones introducir o considerar por parte de proveedores aquellas técnicas en seguridad que permiten reducir al mínimo el número de ataques informáticos de seguridad que puedan lograr el éxito y que además pueden integrarse/combinarse con la serie ISO 27000 en calidad, todas ellas, de normas reconocidas y de aplicación a nivel internacional y orientadas a todo tipo de organizaciones:

ISF - Buenas Prácticas:


En la década de 1990, el Information Swecurity Forum (ISF) publicó una lista completa de las mejores prácticas para la seguridad de la información, publicados en la Norma de Buenas Prácticas (SoGP). ISF continúa actualizando el SoGP cada dos años (última versión se publicó en 2011).


Originalmente, el estándar de buenas prácticas era un documento privado disponible solamente para los miembros de la ISF pero se ha puesto a disposición del público en general sin costo alguno.


Entre otros programas, ISF ofrece a sus organizaciones miembros un programa de evaluación comparativa global basado en la SoGP. Para más información existen entrevistas realizadas por iso27000.es a su presidente internacional Howard Schmidt (ex- Cyber Czar de la Casa Blanca y máximo asesor en ciberseguridad en las administraciones de Bush y Obama), así como a representates del capítulo español y empresas asociadas en formato podcast y disponibles dentro de la sección artículos y podcast.

ISA99 - ISA Security Compliance Institute


ISA99 es el comité "Industrial Automation and Control System Security Committee" de la asociación International Society for Automation (ISA). El comité está desarrollando una serie de varios capítulos de normas e informes técnicos sobre en éste área, varios de los cuales han sido publicados como documentos ANSI (American National Standards Institute).


Como producto del trabajo de la comisión ISA99 también se presentan a la Comisión Electrotécnica Internacional (IEC) bajo denominación de estándares y especificaciones de la serie de normas IEC 62443.


ISA Security Compliance Institute (ISCI) ha desarrollado especificaciones de cumplimiento de prueba para ISA99 entre otras normas para la seguridad de sistemas de control. También han creado un programa de certificación acreditada por ANSI llamado ISASecure™ para la certificación de equipos utilizandos en la automatización industrial, como controladores lógicos programables (PLC), sistemas de control distribuido (DCS) y los sistemas instrumentados de seguridad (SIS). Estos tipos de dispositivos proporcionan control automático de procesos industriales, como las que se encuentran en el petróleo y gas, química, servicios eléctricos, elaboración de alimentos y bebidas, tratamiento de agua/aguas residuales e industrias de transformación varias.

ISO 15408


Los Criterios Comunes(CC) tienen su origen en 1990 y surgen como resultado de la armonización de los criterios sobre seguridad de productos software ya utilizados por diferentes países con el fin de que el resultado del proceso de evaluación pudiese ser aceptado en múltiples países. Los CC permiten comparar los resultados entre evaluaciones de productos independientes. Para ello, se proporcionan un conjunto común de requisitos funcionales para los productos de TI (Tecnologías de la Información). Estos productos pueden ser hardware, software o firmware.


Con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos:


- Los requisitos del producto están definidos correctamente.


- Los requisitos están implementados correctamente.


- El proceso de desarrollo y documentación del producto cumple con ciertos requisitos previamente establecidos.


El proceso de evaluación, realizado según lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas reúnen los requisitos declarados. Así, los clientes pueden especificar la funcionalidad de seguridad de un producto en términos de perfiles de protección estándares y de forma independiente seleccionar el nivel de confianza en la evaluación de un conjunto definido desde el EAL1 al EAL7.


Para más información existe una entrevista con explicaciones relevantes realizada por iso27000.es en 2009 y en formato pps con audio podcast al sudirector general adjunto del Centro Criptológico Nacional, entidad responsable de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en los sistemas de la Administración españolas.


Existen otros estándares relacionados con la garantía del producto como ISO/IEC 19790 - Security requirements for cryptographic modules con publicación similar a éste estándar ISO en EEUU bajo NIST FIPS 140-2.


Adicionalmente, el estándar ISO/IEC TR/19791, Security assessment of operational systems como documento de ayuda y extensión del alcance de las publicaciones ISO 15408.

ISO/IEC 21827, SSE capability maturity model (SSE-CMM®)


Estándar internacional basado en un Modelo de Madurez de Capacidades (CMM) para la Ingeniería de Seguridad de Sistemas (SSE) y desarrollado por la Asociación Internacional de Ingeniería de Seguridad de la Información (ISSEA). ISO/IEC 21827 especifica el SSE-CMM mediante la descripción de las características esenciales para alcanzar el éxito en el desarrollo del proceso de ingeniería en seguridad de una organización, incluyendo aquellas gubernamentales como comerciales o académicas. ISO/IEC 21827 no prescribe una secuencia o proceso particular, pero sí captura las prácticas que se observan en la industria. El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre:


- Ciclo de vida del proyecto: incluyendo actividades de desarrollo, operación, mantenimiento y desmantelamiento


- Ámbitos de la organización: incluyendo actividades de gestión, organizacionales y de ingeniería.


- Interacciones concurrentes con otras disciplinas: como software y hardware de sistemas, recursos humanos, pruebas de ingeniería, gestión de sistemas, operación y mantenimiento.


- Interacciones con otras organizaciones: incluyendo adquisición, gestión de sistemas, certificación, acreditación y evaluación.


Existe un interesante artículo de José Antonio Calvo-Manzano y Ana de las Heras con las sinergias de SGSI y de ISO/IEC 21827 publicado y disponible en abierto para consulta por la revista SIC.

NERC


El North American Electric Reliability Corporation (NERC) ha creado diversas normas. La más ampliamente reconocida es NERC 1300 que es una modificación/actualización de NERC 1200. La última versión de NERC 1300 se denomina CIP-002-1 dentro de CIP-009-2 (CIP = Protección de Infraestructura Crítica ). Estas normas se utilizan para proteger sistemas eléctricos pricipales aunque NERC ha creado estándares en otras áreas.


Las normas para los sistemas eléctricos principales también son útiles para la administración de la seguridad de las redes, además de proporcionar las mejoras prácticas para los procesos industriales.

NIST


Dentro de las publicaciones de la serie NIST destacar en este ámbito:


Publicación 800-12: ofrece un amplio panorama de la seguridad informática y de las áreas de control. También hace hincapié en la importancia de los controles de seguridad y la forma de aplicarlos. Inicialmente, este documento estaba dirigido al gobierno federal a pesar de que la mayoría de las prácticas en este documento pueden aplicarse al sector privado. Concretamente fue escrito para aquellas personas en el gobierno federal responsable de manejar los sistemas sensibles.


Publicación especial 800-14: describe los principios de seguridad en uso más comunes. Proporciona una descripción de alto nivel de lo que debe ser incorporado dentro de una política de seguridad informática y de lo que se puede hacer para mejorar la seguridad existente, así como la manera de desarrollar nuevas prácticas de seguridad. Ocho principios y catorce prácticas están descritas en este documento.


Publicación especial 800-27: proporciona asesoramiento sobre la forma de gestionar la seguridad. En este documento se hace hincapié en la importancia de las auto-evaluaciones, así como de la evaluación de riesgos.


Publicación especial 800-37: actualizada en 2010 ofrece un enfoque nuevo riesgo: "Guía para la Aplicación del Marco de Gestión del Riesgo para los Sistemas de Información Federal".


Publicación especial 800-53: "Guía para la evaluación de los controles de seguridad en los sistemas de información federales", actualizado en agosto de 2009, se refiere específicamente a los 194 controles de seguridad que se aplican a un sistema para hacerlo "más seguro".

RFC 2196


RFC 2196 es el memorando publicado por el Internet Engineering Task Force para el desarrollo de políticas y procedimientos de seguridad de los sistemas informáticos conectados a Internet.


El RFC 2196 proporciona una visión amplia y general de seguridad de la información, incluida la seguridad de la red, respuesta a incidentes o las políticas de seguridad. El documento es muy práctico y se centra en las operaciones del día a día.



CobiT

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.


Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares).


Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO 27001.

CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio.

No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified Information Security Manager” (CISM), "Certified in the Governance of Enterprise IT" (CGEIT) y "Certified in Risk and Information Systems Control" (CRISC).

doc_otros_estandar_all_archivos/image006.jpg


COSO-Enterprise Risk Management / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.


COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).


El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94).


Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

doc_otros_estandar_all_archivos/image010.jpg

Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo.


Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.


Información adicional en el informe ejecutivo y marco general de la norma.


COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI.


COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información, conviene mencionarlo en esta sección.


La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.


Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa.


Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO.


Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT.



ISO - Publicaciones del SC27

doc_otros_estandar_all_archivos/image001.jpg

ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.


ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee).


Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una página web donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo.

doc_otros_estandar_all_archivos/image002.jpg

Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5.


El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.


ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información - SGSI.


Las actividades de este grupo de trabajo incluyen:


• Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000.


• Identificación de requisitos para futuros estándares y directrices relativas a los SGSI.


• Colaboración con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estándares relativos a la implementación de objetivos de control y controles definidos en ISO/IEC 27001.


• Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.


ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía.


Las actividades de este grupo de trabajo incluyen:


• Identificación de las necesidades y los requisitos de técnicas y mecanismos de seguridad en sistemas y aplicaciones de TI.


• Desarrollo de terminología, modelos generales y estándares de dichas técnicas y mecanismos para su uso en servicios de seguridad.


• Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no, que cubran aspectos como confidencialidad, autenticación, no repudio, gestión de claves, integridad, etc.


ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad.


Las actividades de este grupo de trabajo incluyen:


• Desarrollo de estándares de evaluación y certificación de la seguridad de sistemas, componentes y productos de tecnologías de la información.


• Tratamiento de los tres aspectos a considerar en este ámbito: criterios de evaluación, metodología de aplicación de dichos criterios y procedimientos administrativos para la evaluación, la certificación y los esquemas de acreditación.


• Coordinación con los comités ISO responsables de estándares de comprobación y gestión de calidad para no duplicar esfuerzos.


ISO JTC1 / SC27 / WG4: servicios y controles de seguridad.


Las actividades de este grupo de trabajo incluyen:


• El desarrollo y mantenimiento de estándares y directrices relativas a servicios y aplicaciones que apoyen la implantación de objetivos de control y controles definidos en ISO/IEC 27001.


• Identificación de requisitos y desarrollo de futuros estándares en áreas como continuidad de negocio, ciberseguridad, externalización (outsourcing), etc.


• Colaboración con otros grupos de trabajo del SC27, en particular con el WG1.


• Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.


ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad.


Las actividades de este grupo de trabajo incluyen:


• Desarrollo y mantenimiento de estándares y directrices relativos a los aspectos de seguridad de la gestión de identidad, biometría y protección de datos personales.


• Identificación de requisitos y desarrollo de futuros estándares en áreas como control de acceso basado en roles (RBAC), provisioning, identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologías para la mejora de la privacidad (PETs), técnicas de autenticación biométrica, protección de datos biométricos, etc.


• Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de gestión, WG2 en técnicas de seguridad y WG3 en evaluación.


• Contacto y colaboración con otros comités y organizaciones tales como ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc.


Puede obtenerse una lista actualizada de los estándares en vigor publicados por el subcomité 27.


Puede obtenerse una lista actualizada de los estándares en desarrollo del subcomité 27 en el siguiente enlace.



Gestión de Servicios

ISO/IEC 20000

Es el primer estándar internacional certificable para la gestión de servicios TI o que necesitan de una gestión para su provisión donde existe un número elevado de infraestructuras y/o configuraciones a gestionar de un modo controlado para beneficio de la prestación de los servicios. Proviene del estándar británico BS 15000 que ha quedado derogado tras las publicación del estándar ISO/IEC 20000 a nivel internacional.


ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente.


Este documento ha sido revisado y publicado en una nueva edición en 2011 y comprende 9 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de control” y “Procesos de liberación”.


ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO 20000-1.


ISO/IEC TR 20000-3: proporciona orientación sobre la definición del alcance, la aplicabilidad y la demostración de la conformidad de los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO/IEC 20000-1, o por los proveedores que están planeando mejoras de suss servicios y la intención de utilizar la norma ISO/IEC 20000 como un objetivo de negocio.


También puede ayudar a los proveedores de servicios que están considerando utilizar la norma ISO/IEC 20000-1 para la aplicación de un sistema de gestión de servicios (SMS) y que necesitan asesoramiento específico sobre si la norma ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de definir el alcance de sus SMS.


ISO/IEC 20000-4: proporciona un proceso de evaluación acorde a los principios de ISO/IEC 15504. ISO/IEC 20000-4 describe en un nivel de abstracción los procesos incluidos para la provisión de gestión de los servicios según ISO/IEC 20000-1 y en términos de objetivos y resultados para cada uno de los procesos.


ISO/IEC TR 20000-5: proporciona un ejemplo del proceso de implantación que cumple con los requisitos de la norma ISO/IEC 20000-1.


Existe una traducción de las partes 1, 2 y 3 publicadas en español disponibles para su adquisición desde la página de AENOR.


Actualmente existen más partes complementarias de la norma en desarrollo existiendo en la norma ISO/IEC 27013 una guía para la aplicación cuando coinciden en el mismo alcance ambos sistemas de gestión.

doc_otros_estandar_all_archivos/image003.jpg

ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL.


Por tanto, aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la introducción de un paso intermedio.


Por último destacar que las certificaciones en este esquema pueden ir avaladas por entidades nacionales de acreditación como UKAS pero, adicionalmente y para este esquema en particular, se pueden encontrar de forma generalizada certificaciones acreditadas por el organimo itSMF y gestionadas en su nombre por "APM Group Ltd" que mantiene la web de referencia con información completa sobre las entidades certificadas bajo esta acreditación por país, así como alcances certificados, noticias, transición de la norma publicada en 2005 por la última edición de 2011, entre otra información relevante.

ITIL

“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.

doc_otros_estandar_all_archivos/image004.jpg

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión.


ITIL v2 (versión 2) sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”.


Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:


• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible.


• Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente.


• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización.


• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones.


• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.


• Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio.


• Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio.


• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otros.


Actualmente existe una nueva versión ITIL V3 que fue publicada en mayo de 2007 que incluye cinco libros principales, concretamente: Diseño de Servicios de TI, Introducción de los Servicios de TI, Operación de los Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte de las prácticas actuales de la versión 2 en torno al Ciclo de Vida de los Servicios.



ISO 22301

Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.

doc_otros_estandar_all_archivos/image009.jpg

BSI (British Standards Institution) publicó en 2006 BS25999-1, que es un código de buenas prácticas dedicado a la gestión de la continuidad de negocio basado en las buenas prácticas del Business Continuity Institute (BCI) británico.


Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organización puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prácticas de BCM (Business Continuity Management). Está pensada para su uso por cualquier organización grande, mediana o pequeña, tanto del sector público como privado.


En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio.


Existe una traducción de las partes 1 y 2 publicadas en español y denominadas "UNE 71599-1:2010 Gestión de la continuidad del negocio. Código de práctica" y "UNE 71599-2:2010 Gestión de la continuidad del negocio. Especificaciones" y disponibles para su adquisición conjunta desde la página de AENOR.


Ambas partes de los estándares británicos con denominación 25999 han quedado derogados y han dado paso desde el 31 de Mayo de 2012 al estándar internacional denominado ISO 22301:2012 "Societal security. Business continuity management systems. Requirements" que proporciona los requisitos para un Sistemas de Gestión de Continuidad de Negocio basado en las mejores prácticas de gestión de continuidad de negocio y con ámbito de reconocimiento a nivel internacional.


Adicionalmente, el 12 de Diciembre de 2012 se publicó el estándar ISO 22313 como documento de ayuda genérico y aplicable a todos los tipos y tamaños de organizaciones, incluyendo las organizaciones grandes, medianas y pequeñas empresas que operan en los sectores industrial, comercial, público y sin fines de lucro que desean:


- Establecer, implementar, mantener y mejorar un BCMS


- Asegurar la conformidad con la política de la organización de continuidad del negocio


- Hacer una auto-determinación y auto-declaración de conformidad con esta Norma Internacional


Otros organismos internacionales de relevancia dentro la continuidad y que emiten certificaciones profesionales a nivel individual es el DRI Spain con sede en EEUU pero con alcance internacional. DRI International es la organización más veterana y amplia de su tipo en todo el mundo. Durante más de 20 años la organización ha certificado a profesionales de BCM de más de 95 países y ha llevado a cabo formación en más de 45 naciones. DRI International actualmente certifica a personas profesionales en varios idiomas que incluyen el inglés, español, francés, japonés, mandarín, ruso, portugués e italiano, entre otros y dispone de publicaciones gratuitas y en español.



ISO 31000

ISO 31000 está destinada a ser una familia de normas relativas a la gestión de riesgos. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices genéricas sobre la gestión de riesgos.


ISO 31000 tiene por objeto proporcionar un paradigma universalmente reconocido por los profesionales y las empresas que emplean procesos de gestión de riesgos para sustituir a la miríada de las actuales normas, métodos y paradigmas que difieren entre industrias, temas y regiones.


En la actualidad, la familia ISO 31000 incluye:


- ISO 31000:2009: Principios y Directrices para la implantación [1]


- ISO/IEC 31010:2009: Gestión del riesgo - Técnicas de evaluación de riesgos


- Guía ISO 73:2009: Gestión del riesgo - Vocabulario

doc_otros_estandar_all_archivos/image008.jpg

ISO 31000:2009 proporciona una lista por orden de preferencia en la forma de abordar el riesgo:


1) Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo


2) Tomar o aumentando el riesgo con el fin de perseguir una oportunidad


3) Extracción de la fuente de riesgo


4) El cambio de la probabilidad


5) Modificación de las consecuencias


6) Compartiendo el riesgo con la otra parte o partes (incluidos los contratos y financiación de riesgos)


7) Mantener el riesgo por decisión informada


El estándar ISO 31000:2009 no es susceptible de ser certificable y ha supuesto el estándar que ha sustituido otros estándares relevantes y de referencia en la gestión de los riesgos como AS/NZS 4360:2004 y redenominada actualmente como AS/NZS ISO 31000:2009 ya que la norma ISO 31000:2009 contempla adicionalmente un sistema de gestión completo con el diseño, implementación, mantenimiento y mejora de los procesos de gestión del riesgo.


Está disponible una guía útil de descarga directa sobre ISO 31000:2009 desarrollada por IRM (The Institute of Risk Management), AIRMIC y Alarm como documento útil para la comprensión adecuada e implantación de este estándar.



NIST: Serie 800

doc_otros_estandar_all_archivos/image005.jpg

El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.


La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida.


Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga.


Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.



PAS 99

BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestión y puede ser utilizado por las organizaciones como un marco de integración de sistemas.

doc_otros_estandar_all_archivos/pas99.JPG

Hoy en día, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestión: calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral según OHSAS 18001, seguridad de la información según ISO 27001... Todos estos sistemas tienen metodologías, procesos, objetivos, documentación, etc., en común, lo que abre el camino a la integración de los mismos en un solo sistema de gestión, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantación y mantenimiento.


PAS 99 da directrices sobre cómo abordar un proceso de integración de sistemas de gestión, teniendo en cuenta los seis requisitos comunes establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check-Act). BSI pone a disposición otras publicaciones relacionadas con la integración de sistemas.


Puede descargar esta imagen en alta resolución.



UNE 71502:2004

Norma española certificable, desarrollada en base a BS7799-2:2002, que establece las especificaciones para los sistemas de gestión de seguridad de la información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo A.


Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización.


Fue publicada en Febrero de 2004 ante la perspectiva de la publicación de la norma internacional para el 2008-2009. Sin embargo, la publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de la norma española. Con la traducción al español de ISO 27001 y su publicación como UNE-ISO/IEC 27001, UNE 71502 quedó anulada en favor de la norma internacional a fecha 31 de Diciembre de 2008.


doc_otros_estandar_all_archivos/image007.jpg Normas y numeración de referencia:


UNE71501-1 IN – Parte 1: Conceptos y modelos para la seguridad TI


UNE71501-2 IN – Parte 2: Gestión y planificación de la seguridad TI


UNE71501-3 IN – Parte 3: Técnicas para la gestión de la seguridad TI


UNE-ISO/IEC 17799:2002 Código de buenas prácticas para la gestión de la seguridad de la información.


Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por UNE 71502:2004 requieren de un esfuerzo mínimo para su reconocimiento internacional bajo la norma ISO 27001.

doc_otros_estandar_all_archivos/image008.gif

Puede descargar esta tabla comparativa en formato .pdf.