Análisis de vulnerabilidades y guía para la implementación de la ISO/IEC 27001. Caso de estudio: Nilotex
Loading...
Date
2020
Journal Title
Journal ISSN
Volume Title
Publisher
PUCE - Quito
Abstract
Serie ISO/IEC 27000 Para entender de qué habla la normativa ISO/IEC 27000, primero debemos tener claro los conceptos y de que tratan las ISO e IEC. ISO ISO por sus siglas en inglés (International Organization for Standardization) o en español la Organización Internacional para la Estandarización, es una organización no gubernamental independiente compuesta por un total de 164 países en el mundo, de los cuales 121 cuentan con asociaciones nacionales de normalización, responsable de la creación, regularización y control de estándares internacionales para la industria en todos los procesos, productos y servicios que estas prestan a la población. (ISO, s.f.) Antes de la creación de la organización ISO, existía otra organización llamada ISA (International Federation of the National Standardizing Associations), fue creada en 1926 y fundada en New York en 1928, sus actividades principalmente estaban enfocadas hacia Europa, ya que se basaba en el sistema métrico. (qbo, 2018) Esta organización estaba encargada de aquellas áreas que no formaban parte del área electromagnética, que estaba encargada la ICE (Internacional Electrotechnical Commission). Con el inicio de la Segunda Guerra Mundial la ISA seso sus funciones al ser la comunicación a nivel internación nula, hasta que se reestableció. Londres, 1944 nace la UNSCC (United Nations Standards Coordinating Committee) o conocido como Comité de Coordinación de Estándares de las Naciones Unidas, que funcionaba en las mismas oficinas de la ICE, para el año de 1945 en la ciudad de New York se realizó una reunión con los delegados de diversos países que formaban parte de la UNSCC, en la cual tomaron temas relacionados a la estandarización a nivel internacional y tuvieron acercamientos con la ISA. (ISOTools, 2015) Para el año de 1946 en Paris la ISA y la UNSCCS se reunieron con delegados de 25 países en el Instituto de Ingenieros Civiles en Londres, en el cual acordaron la creación de una nueva organización internacional, que sea la encargada de facilitar la estandarización en los países (ISOTools, 2013). Al término de esta reunión la ISA se disolvió por dos razones, la primera fue acierta irregularidades y la segunda por la inactivada que esta organización tuvo durante la Segunda Guerra Mundial. Mientras que los delegados de la UNSCC fueron informados que cesaran sus actividades para el beneficio de la nueva organización (ISOTools, 2015). La ISO comienza oficialmente sus funciones un 23 de febrero de 1947, en Ginebra, Suiza donde tienen sus oficinas centrales. Desde su inauguración se han publicado más de 22950 estándares internacionales. (Blog Calidad ISO, 2014) IEC ICE por sus siglas en inglés (International Electrotechnical Commission), es una organización sin fines de lucro, casi gubernamental de normalización de estándares internacionales para las áreas de la electrónica, eléctrica y tecnologías relacionadas. (IEC, 2020) Compuesta hasta la fecha por 88 miembros que representan a los países participantes de las decisiones que se toman para la implementación de las normas, de los cuales 62 son miembros plenos y 26 son miembros asociados. (IEC, 2020) La ICE nace en el año de 1906 EN London, UK del resultado del Congreso Eléctrico Internacional llevado a cabo en la ciudad de St. Luis (Misuri), USA en el año de 1904, donde vieron la necesidad de formar una comisión mundial para controlar y crear normas para el sector eléctrico, electrónico y las tecnologías relacionadas con los mismo. (GUILENIA S.A, s.f.) La IEC forma parte de las tres organizaciones mundiales encargadas de desarrollar estándares internacionales, las otras dos son la ISO (International Organization for Standardization) y la ITU (Unidad Internacional de Telecomunicaciones) (admin, 2012) La IEC enfoca la mayor atención a la existencia de un lenguaje técnico universal, teniendo en cuenta definiciones, símbolos eléctricos y electrónicos o unidades de medición, rengos normalizados, requisitos y métodos de prueba, entre otros aspectos en dichas áreas. (GUILENIA S.A, s.f.) Serie 27000 Una vez que conocemos que es y que hace la ISO (International Organization for Standardization) y la IEC (International Electrotechnical Commission), podemos adéntranos en la ISO/IEC 27000. La ISO/IEC 27000 es un conjunto de estándares desarrollados o en fase de desarrollo para la gestión de la seguridad de la información para cualquier tipo de empresa. (ISO, s.f.) Desde 1901 la BSI (British Standards Institution) fue la primera organización de normalización a nivel mundial, fue la encargada de la publicación de importantes normas como BS 5750, publicada en 1979, que dio origen a la ISO 9001. La norma BS 7799 surgió en 1995 por primera vez con el objetivo de brindar a las empresas británicas o no buenas prácticas para la gestión de la seguridad de la información. (ISO 27000.es, s.f.) Esta norma fue dividida en dos partes, la primera parte (BS 7799-1) es una guía de buenas prácticas y la segunda parte (BS 7799-2) publicado en 1998 establece los requisitos de un sistema de seguridad de la información (SGSI). (Disterer, ISO/IEC 27000, 27001 and 27002 for Information Security Management, 2013) En el año de 1999 la norma BS 7799 fue revisada. La primera parte de esta norma fue aceptada sin ningún cambio por la ISO, se la adopto como la ISO 17799 en el año 2000. Mientras que la parte dos fue revisada en el año 2002 para adecuarse a las normas ISO. En el año 2005 la ISO publico el estándar ISO 27001, al mismo tiempo se revisó y actualizo la ISO 17799, que fue renombrada como la ISO 27002:2005. (ISO 27000.es, s.f.) ISO/IEC 27000 La norma ISO/IEC 27000 contiene un vocabulario usado para todas las demás normas, además proporciona una visión general de la serie 27000, indicando el alcance de actuación y el propósito por el cual fueron publicadas. Da una introducción a los SGSI (Sistema de Gestión de Seguridad de la Información). (ISO27000.ES, 2005) Fue publicada por primera vez en mayo del 2009, en la actualidad cuenta con cinco versiones, la última en febrero del 2018. (ISO27K information segurity, 2020) (ISO, s.f.)
Description
Keywords
Seguridad informática, Información, Normas internacionales de seguridad de la información, Herramientas (Programas para computador), Industria textil