Documentos y novedades sobre Seguridad de la Información.

Este blog, según el subtitulo de la cabecera pretende abarcar la áreas de la Sociedad de la Información, Telecomunicaciones e Internet, Nuevas Tecnologías y Seguridad de la Información. Pero parece ser, al número de entradas me remito, que son los dos primeros temas los que más están presentes en estas páginas. Y eso que mi actividad profesional, en los últimos meses esta mas volcada a Internet y a la Seguridad de la Información.

En esta ocasión voy a relacionar algunas novedades relativas a la Seguridad y que ido enterándome, en ocasiones, por la lectura de mis blogs favoritos, o revisando correos atrasados.

Sigue leyendo →

INTECO presenta el Estudio sobre la Seguridad de la Información y e-Confianza en el ámbito de las Entidades Locales.

INTECO ha presentado el Estudio sobre la Seguridad de la Información y e-Confianza en el ámbito de las Entidades Locales, para la elaboración de este estudio, ha contado con la colaboración de la Federación Española de Municipios y Provincias, FEMP, y la Subdirección General de Coordinación de Recursos Tecnológicos del Ministerio de Administraciones Públicas, MAP.

El informe pone de manifiesto que:

Sigue leyendo →

La ISO 17799:2005 ya es la ISO 27002:2005.

El pasado 1 de Julio la Organización Internacional para la Estandarización, ISO, aprobó como estaba previsto el cambio de dominación de la ISO/IEC 17799:2005 por ISO 27002:2005. Esta norma publicada en su primera versión en el año 2000 y corregida y ampliada en el 2005 es el referente en cuanto a las recomendaciones de las mejores prácticas en la gestión de la seguridad de la información. Con este paso la norma se incorpora a la familia ISO 27000 (ver: La familia de Normas ISO/IEC 27000).

La norma que es una guía de buenas practicas, recoge los objetivos de control y los controles recomendables y no es certificable. La certificación se realiza con la norma ISO/IEC 27001, que recoge un resumen de estos controles en su Anexo A, como base para desarrollar los Sistemas de Gestión de la Seguridad de la Información, SGSI, de las organizaciones.

Sigue leyendo →

ISO-27001 e ISO-27004. Una relación estrecha.

Recomiendo leer un trabajo de Alejandro Corletti, que refleja la relación estrecha que hay entre el estándar ISO 27001 y la futura ISO 27004, Métricas para la gestión de Seguridad de la Información, todavía en fase borrador.

En la Introducción de la norma ISO 27004 se indica: “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.

Sigue leyendo →

La familia de Normas ISO/IEC 27000.

La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO 9000. En los últimos meses ha habido cambios relacionados con la numeración de dichas normas.

Hace unos días se publicó la Norma ISO/IEC 27006 “Information technology – Security techniques — Requirements for bodies providing audit and certification of information security management systems”. Este estándar especifica los requisitos para acreditar organismos que certifiquen Sistemas de Gestión de Seguridad de la Información aportando un esquema internacional para su acreditación.

Sigue leyendo →

Podcast sobre certificación de Seguridad.

En la página www.iso27000.es, vienen publicando una serie de podcast dedicados a la difusión de la certificación en Seguridad y la normativa. La última entrevista se la hacen a mi buena amiga y compañera, Laura Prats Abadía, Auditora jefe de Sistemas de Gestión de Seguridad de la Información (SGSI) y responsable de producto de certificación de Applus+.

Sigue leyendo →

ISO 27001 – Los controles (II).

Hace unas semanas hice referencia de un trabajo de Alejandro Corletti Estrada, ISO 27001 – Los controles (I), ahora pública para todos la segunda parte de este trabajo. Este documento es la continuación del análisis de la norma ISO-27001.

En la primera parte, desarrollo los primeros cinco grupos de controles, dejando los seis restantes para este último texto, completa la totalidad de los once controles que propone este estándar. Este análisis desarrolla los conceptos generales de este nuevo estándar de seguridad de la información. Se describe su origen y posicionamiento, y hace un resumen de las consideraciones clave del mismo.

El documento se puede obtener en la web de Datoweb en el siguiente enlace.

Mejora continua de un SGSI según ISO 27001.

José Manuel Fernández nos aporta en su blog otro de sus interesantes artículos sobre la ISO 27001. En esta ocasión trata sobre la mejora continúa que animo a todos a leer.

“La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, como no, los Sistemas de Gestión de Seguridad de la Información (SGSI).”

La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.

En el artículo examina cada uno de los requisitos solicitados por la norma aportando conocimientos previos respecto del particular y las consideraciones más importantes a tener en cuenta.

Al final comenta: “La mejora continua es una de las piedras angulares sobre las que tenemos que desarrollar nuestro SGSI. La incorporación de esta sistemática a la tradicional Seguridad de la Información, debe verse como una más que buena herramienta sobre la que apoyarnos para hacer nuestros sistemas cada vez más seguros. La seguridad al 100 % sabemos todos que es prácticamente imposible, y más aun conforme avanza la tecnología, la seguridad y las técnicas para burlar dicha seguridad, pero intentar mejorar aprendiendo, entre otros, de nuestros propios errores o de la evolución de los mercados tecnológicos, debe ser visto como una prioridad”.