AUDITORIA ISO 27000

Que es la Auditoria ISO 27000 Uno de los activos ms valiosos que hoy en da posee las diferentes empresas, es la informacin y parece ser que con la globalizacin, sta peligra ya que cada vez sufre grandes amenazas en cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo esto todo parece indicar que uno de los principales objetivos de toda organizacin es el aseguramiento de dicha informacin, as como tambin de los sistemas que la procesan.

Para exista una adecuada gestin de la seguridad de la informacin dentro de las organizaciones, es necesario implantar un sistema que aborde esta tarea de una forma metdica y lgica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. Para lograr estos objetivos, existen organizaciones o entes especializados en redactar estndares necesarios y especiales para el resguardo y seguridad de la informacin, estos estndares son llamado o reconocidos como ISO

Que son las normas ISO Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestin de calidad y seguridad que estaban apareciendo en distintos pases y organizaciones del mundo. Los organismos de normalizacin de cada pas producen normas que resultan del consenso entre representantes del estado y de la industria. De la misma manera las normas ISO surgen del consenso entre representantes de los distintos pases integrados a la I.S.O. Existen grandes familias de normas ISO: Las de la familia 9000, las de la familia 14000 y las de la familia 27000 adems de otras complementarias (ISO 8402; ISO 10011).

Quien elaboro las normas ISO Existe la organizacin ISO, que significa International Organization for Standardization (Organizacin Internacional para la Estandarizacin), constituye una organizacin no gubernamental organizada como una Federacin Mundial de Organismos Nacionales de Normalizacin, creada en 1947, con sede en Ginebra (Suiza). Rene las entidades mximas de normalizacin de cada pas, por ejemplo, BSI (British Standards Institute), DIN (Deutsches Institut fr Normung), INN (Instituto Nacional de Normalizacin-Chile) etc.

NORMAS ISO 27000 La Serie ISO 27000 de normas se ha reservado expresamente por la norma ISO en materia de seguridad de la informacin. Esto, por supuesto, se alinea con una serie de otros temas, incluyendo la norma ISO 9000 (gestin de la calidad) e ISO 14000 (gestin medioambiental). Al igual que con los temas arriba mencionados, la serie 27000 se rellenar con una serie de normas individuales y de los documentos. Entre las principales normas referentes a la seguridad de la informacin tenemos: ISO 27001. El objetivo de la propia norma es "proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin". En cuanto a su adopcin, esto debe ser una decisin estratgica. Adems, "El diseo y la implementacin de un SGSI organizacin est influida por sus necesidades y objetivos, requisitos de seguridad, el proceso empleado y el tamao y la estructura de la organizacin". La norma define su "enfoque basado en procesos" como "La aplicacin de un sistema de procesos dentro de una organizacin, junto con la identificacin y las interacciones de estos procesos y su gestin". Las secciones de contenido de la norma son: Responsabilidad de la Direccin Auditoras internas Mejora del SGSI Anexo A - los objetivos de control y los controles de Anexo B - Principios de la OCDE y de esta norma internacional Anexo C - Correspondencia entre ISO 9001, ISO 14001 y esta norma

ISO 27002. Es el cambio de nombre de la norma ISO 17799, y es un cdigo de prcticas para la seguridad de la informacin. Bsicamente describe cientos de posibles controles y mecanismos de control, que pueden ser aplicadas, en teora, con sujecin a la orientacin proporcionada en la norma ISO 27001.

OBJETIVO PRINCIPAL La norma "establece las directrices y principios generales para iniciar, implementar, mantener y mejorar la gestin de seguridad de la informacin dentro de una organizacin". Los controles reales que figuran en la norma estn destinados a atender las necesidades especficas identificadas a travs de una evaluacin de riesgo formal. La norma tiene tambin por objeto proporcionar una gua para el desarrollo de "normas de seguridad de la organizacin y prcticas de

gestin eficaz de seguridad y para ayudar a construir la confianza en las actividades entre la organizacin". La base de la norma fue originalmente un documento publicado por el gobierno del Reino Unido, que se convirti en un estndar "adecuado" en 1995, cuando fue re-publicado por la BSI como BS 7799. En 2000 se volvi a re-publicar, esta vez por la ISO, como ISO 17799. Una nueva versin de este apareci en 2005, junto con una nueva publicacin, la norma ISO 27001. Estos dos documentos estn destinados a ser utilizados en conjunto. Planes de futuro de la ISO para esta norma se centran en gran medida en torno al desarrollo y publicacin de versiones especficas de la industria (por ejemplo: sector de la salud, la fabricacin, y as sucesivamente). Las secciones de contenido son: Estructura Evaluacin del riesgo y tratamiento Poltica de Seguridad Organizacin de la Seguridad de la Informacin Gestin de Activos De Recursos Humanos de Seguridad Seguridad Fsica De Comunicaciones y Gestin de Operaciones Control de Acceso Sistemas de Informacin de Adquisicin, desarrollo, mantenimiento Gestin de la informacin a Incidentes de Seguridad Continuidad del Negocio Conformidad