La ISO 27000 es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:
- Preservar la confidencialidad de los datos de la empresa
- Conservar la integridad de estos datos
- Hacer que la información protegida se encuentre disponible
El estándar ISO 27000 es totalmente compatible con otras normas de sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001, …) y puede ser implantado de forma integrada con estas.
Familia de Normas ISO/IEC 27000
ISO/IEC 27000: define el vocabulario estándar empleado en la
familia 27000 (definición de términos y conceptos)
ISO/IEC 27001: especifica los requisitos a cumplir para
implantar un SGSI certificable conforme a las normas 27000
Define cómo es el SGSI, cómo se gestiona y cuales son las responsabilidades de los participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act)
Puntos clave: Gestión de riesgos + Mejora continua
ISO/IEC 27002: código de buenas prácticas para la gestión de la
Seguridad
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización
Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar)
Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
ISO/IEC 27000: define el vocabulario estándar empleado en la
familia 27000 (definición de términos y conceptos)
ISO/IEC 27001: especifica los requisitos a cumplir para
implantar un SGSI certificable conforme a las normas 27000
Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000
ISO/IEC 27011: guía de gestión de seguridad de la información
específica para telecomunicaciones (en desarrollo)
elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)
ISO/IEC 27031: guía de continuidad de negocio en lo relativo a
tecnologías de la información y comunicaciones (en desarrollo)
ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo)
guía de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos.
Ejemplo De Robo Sistemático
Piratas informáticos habrían robado miles de millones de dólares de un popular sistema de pagos digitales brasileño a través de software malicioso que logró que el dinero fuera enviado a cuentas controladas por los delincuentes, los cibercriminales han estado usando el software conocido como 'Eupuds' para robar dinero de clientes.Cuando un computador infectado con el software 'Eupuds' se usa para procesar un pago con Boleto, es muy difícil que el cliente pueda detectar que la cuenta ha sido modificada porque las pantallas de validación suelen mostrar los datos originales para hacer que el Boleto fraudulento parezca auténtico.
