Fundamentos de la Seguridad de la Información y Normativas Clave: ISO 27000 y Protección de Datos

Enviado por Chuletator online y clasificado en Economía

Escrito el en español con un tamaño de 8,54 KB

Marco Legal y Normativas de Protección de Datos y Servicios Digitales

La gestión de la información y los servicios digitales se rige por diversas normativas y leyes, tanto a nivel de protección de datos como de regulación de servicios y telecomunicaciones:

  • LOPD y Real Decreto (RD): Su objetivo principal es proteger los datos de carácter personal, evitando tratamientos y cesiones no autorizadas. Establece obligaciones para toda persona física o jurídica que maneje este tipo de información.
  • LSSIyCE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico): Regula a los prestadores de servicios de la sociedad de la información, el comercio electrónico y la publicidad electrónica.
  • Ley de Telecomunicaciones: Regula las telecomunicaciones, las redes y los servicios asociados.
  • Ley de Firma Electrónica: Otorga eficacia jurídica a la firma electrónica, equiparándola a la firma manuscrita en ciertos contextos.
  • Real Decreto (Propiedad Intelectual): Protege la propiedad del autor por la creación de una obra, entre otros aspectos.
  • LAECSP (Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos): Garantiza el derecho de los ciudadanos a relacionarse con las administraciones públicas por medios electrónicos.

Regulaciones Sectoriales Específicas

  • Sector Agrario: Implica la gestión de fondos agrícolas y normativas específicas.
  • Sector Bancario: Posee regulaciones propias para transacciones, tarjetas y otros servicios financieros.

Estándares Internacionales de Seguridad de la Información: La Serie ISO/IEC 27000

La Comisión Electrotécnica Internacional (CEI), en colaboración con la ISO, ha desarrollado la serie de estándares ISO/IEC 27000, fundamentales para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Principales Estándares de la Serie ISO/IEC 27000

  • ISO/IEC 27000: Proporciona las definiciones y una introducción a la familia de estándares.
  • ISO/IEC 27001: Establece los requisitos para cualquier organización que desee establecer, implementar, operar, mantener y mejorar un SGSI. Es el estándar certificable.
  • ISO/IEC 27002: Ofrece un código de buenas prácticas con medidas de seguridad para la gestión de la seguridad de la información.
  • ISO/IEC 27003: Proporciona directrices para la implementación de un SGSI.
  • ISO/IEC 27004: Define métricas para la gestión de la seguridad de la información.
  • ISO/IEC 27005: Se centra en la gestión de riesgos en seguridad de la información, incluyendo referencias a metodologías como MAGERIT y PILAR.
  • ISO/IEC 27006: Establece los requisitos para la acreditación de organismos que auditan y certifican SGSI.
  • ISO/IEC 27007: Proporciona directrices para la auditoría de SGSI.
  • ISO/IEC 27011: Ofrece directrices para la gestión de la seguridad de la información en organizaciones de telecomunicaciones.
  • ISO/IEC 27031: Aborda la continuidad de negocio en relación con las Tecnologías de la Información y Comunicación (TIC).
  • ISO 27799: Es una aplicación de ISO/IEC 27002 específica para la industria de la salud.
  • ISO/IEC 27032: Se enfoca en la ciberseguridad.
  • ISO/IEC 27033: Trata la seguridad de redes de comunicaciones.
  • ISO/IEC 27034: Se ocupa de la seguridad en aplicaciones.

Conceptos Clave en la Gestión de la Seguridad de la Información

Ciclo PDCA y Requisitos del SGSI

  • Ciclo PDCA (Plan, Do, Check, Act): Un modelo de mejora continua que se aplica en la implementación y mantenimiento de un SGSI:
    • Planificar (Plan)
    • Hacer (Do)
    • Verificar (Check)
    • Actuar (Act)
  • Requisitos de la Política de Seguridad (ISO/IEC 27001): Una política de seguridad efectiva debe ser:
    • Breve y concisa.
    • Aprobada por la dirección.
    • Libremente disponible.
    • Abordar la resolución de conflictos.
    • Proteger la información.
    • Personalizada a la organización.
  • Estructura Organizativa de la Seguridad (ISO/IEC 27001): Incluye roles clave como:
    • Comité de dirección.
    • Responsable de seguridad.
    • Comité de gestión.
    • Propietarios de activos.
    • Usuarios.

Gestión de Activos y Riesgos

  • Valoración de un Activo de Información: Se basa en los principios de la seguridad de la información:
    • Disponibilidad
    • Confidencialidad
    • Integridad
    • Autenticidad
  • Gestión de Riesgos: Implica seleccionar e implementar salvaguardas adecuadas.
  • Tratamiento de Riesgos: Los riesgos pueden ser:
    • Eliminados
    • Transferidos
    • Asumidos
    • Mitigados
  • Tipos de Seguridad (ISO/IEC 27002): Aborda la seguridad desde diversas perspectivas:
    • Organizativa
    • Lógica
    • Física
    • Legal
  • Tipos de Controles: Pueden ser técnicos u organizativos.
  • SOA (Statement of Applicability): Declaración de Aplicabilidad, un documento clave en ISO/IEC 27001 que detalla los controles seleccionados y justificaciones.
  • Ciclo de Vida del Control: Implica seleccionar, implementar y revisar el control.

Continuidad de Negocio y Recuperación ante Desastres

  • PCI (Plan de Contingencia Informático): También conocido como DRP (Disaster Recovery Plan). Su objetivo es impedir que un servicio informático se interrumpa, disponiendo de respaldo y mecanismos de recuperación.
  • PCN (Plan de Continuidad de Negocio): Busca impedir que la actividad de negocio se interrumpa. Su meta es lograr un tiempo de inactividad mínimo y mantener el nivel de servicio e imagen de la organización. Se compone de un plan de respaldo, un plan de emergencia y un plan de recuperación.

Fases del Plan de Continuidad de Negocio (PCN)

  1. Definición de objetivos y alcance.
  2. BIA (Business Impact Analysis): Análisis de Impacto en el Negocio.
  3. Definición de estrategias de continuidad.
  4. Desarrollo de los planes específicos.
  5. Pruebas y mantenimiento del plan.

Auditoría de Sistemas de Gestión de la Seguridad de la Información (SGSI)

La norma ISO/IEC 27007 establece las directrices para el proceso de auditoría de un SGSI, que es un proceso independiente para obtener evidencias y verificar el cumplimiento de los criterios del referente (generalmente ISO/IEC 27001).

Fases de la Auditoría (según ISO/IEC 27007)

  1. Fase 0: Actividades previas (internas y externas).
  2. Fase 1: Revisión de la documentación y preparación de las actividades in situ.
  3. Fase 2: Realización de las actividades de auditoría in situ y presentación de la auditoría.
  4. Fase 3: Elaboración de informes de auditoría.

Criterios Clave para la Auditoría

Para una auditoría exitosa, se deben considerar:

  • Viabilidad de la auditoría.
  • La composición y competencia del Equipo Auditor.
  • El Contacto Inicial con la organización auditada.
  • Los Programas de Auditoría definidos.

Certificación del SGSI

La certificación de un SGSI bajo ISO/IEC 27001 tiene una validez de 3 años, sujeta a revisiones anuales para asegurar el mantenimiento y la mejora continua del sistema.

Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
SGSI PCI Auditoría SGSI PCN Gestión de Riesgos Seguridad de la Información LOPD ISO 27000 Normativas de TI LSSIyCE Continuidad de Negocio Protección de Datos Ciberseguridad