lunes, 18 de julio de 2016

5.3. Estándares Sobre los Procedimientos de Entrada de Datos, Procesamiento de Información y Emisión de Resultados

De una forma panorámica los principales ámbitos de normalización son los relativos al sistema de gestión de seguridad de la información, a las técnicas y mecanismos, sean o no criptográficos, y a la evaluación de la seguridad de las tecnologías de la información y aspectos asociados, según se refleja en el gráfico siguiente (figura 1), que también recoge la presencia de ámbitos que, de forma creciente, demandan una atención especializada, como la gestión de identidad y privacidad y los servicios y controles de seguridad, aunque se apoyen, así mismo, en los tres ámbitos principales citados.




Panorámica general de ámbitos de normalización en ISO/IEC SC27



Normas de gestión de seguridad de la información

Perspectiva general:

En 2004 se crea la serie 27000, con el objetivo de contribuir a la mejor identificación y ordenación de las normas de gestión de seguridad de la información, y satisfacer cuestiones tales como las siguientes:

  • Proporcionar un marco homogéneo de normas y directrices.
  • Proporcionar requisitos, metodologías y técnicas de valoración.
  • Evitar el solapamiento de las normas y favorecer la armonización.
  • Alinearse con los principios generalmente aceptados relativos al gobierno de las organizaciones.
  • Ser consistente con las Directrices de Seguridad y de Privacidad de la OCDE.
  • Usar lenguaje y métodos comunes.
  • Facilitar la flexibilidad en la selección e implantación de controles.
  • Ser consistente con otras normas y directivas de ISO.



El estado de situación de la serie 27000 es el siguiente:



Informes y normas UNE

En el ámbito de la normalización nacional, la creación de un cuerpo de normas e informes UNE viene tratando principalmente, hasta la fecha, la gestión de la seguridad de la información:



Sistema de gestión de seguridad de la información

Diversas normas promueven la aplicación de un sistema de procesos encaminado a gestionar la seguridad. Tal enfoque enfatiza la importancia de aspectos tales como los siguientes:


  • La comprensión de los requisitos de seguridad de la información y la necesidad de establecer objetivos y una política para la seguridad de la información.
  • La implantación y explotación de controles para gestionar los riesgos relativos a la seguridad de la información en el contexto general de los riesgos globales de la organización.
  • El seguimiento del rendimiento del sistema.
  • La mejora continua basada en la medida de los objetivos.


Tales normas adoptan el ciclo conocido como “Plan-Do-Check-Act” para especificar los requisitos del denominado Sistema de Gestión de Seguridad de la Información. A la fecha se dispone de las siguientes normas:


  • UNE 71502:2004 Especificaciones para los sistemas de gestión de la seguridad de la información.
  • ISO/IEC 27001:2005 Information Technology – Security techniques – Information security management systems – Requirements.


Se encuentra en elaboración la norma UNE equivalente a ISO/IEC 27001:2005 con vistas a retirar a corto plazo la norma UNE 71502:2004.

La norma UNE 71502:2004 define un Sistema de Gestión de la Seguridad de la Información (SGSI) como aquel “sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. El sistema es la herramienta de que dispone la dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad (integridad, confidencialidad y disponibilidad, asignación de responsabilidad, autenticación). Proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la organización.”

Mientras que la norma ISO/IEC 27001:2005 lo define como:

“Parte del sistema global de gestión, que sobre la base de un enfoque basado en los riesgos, se ocupa de establecer, implantar, operar, seguir, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye estructuras organizativas, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.”

La implantación de un SGSI permite a una organización lo siguiente:

  • Conocer los riesgos.
  • Prevenir, reducir, eliminar o controlar los riesgos mediante la adopción de los controles adecuados.
  • Asegurar el cumplimiento de la legislación en materias tales como la protección de los datos de carácter personal, los servicios de la sociedad de la información o la propiedad intelectual, entre otras.






FUENTE DE REFERENCIA
  • prezi.com/kk6sr2fuckg9/5estandarizacion-en-la-funcion-informatica/
  • https://prezi.com/ogk5jz_ss5-d/51-estandares-a-considerar-en-la-adquisicion-de-recursos-in/
  • www.google.com.mx/urlsa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&uact=8&sqi=2&ved=0ahUKEwjv5I_ox_7NAhVL2IMKHWk0DBAQFggvMAM&url=https%3A%2F%2Fafitec.files.wordpress.com%2F2011%2F11%2Fafiunidad5.docx&usg=AFQjCNElz3cG5YMMMrpXkNH2aMOWGajH9Q&bvm=bv.127521224,d.amc
  • tacomoquiere.blogspot.mx/2012/06/unidad-5.html
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)