El 20 de mayo se celebra cada a\u00f1o el D\u00eda Mundial de la Metrolog\u00eda, nuestro pa\u00eds ha desarrollado desde 1982 en que fue creado en el pa\u00eds un organismo estatal para establecer las l\u00edneas directivas de esta actividad en el pa\u00eds. Entre estas directrices est\u00e1 la aplicaci\u00f3n de las normas a partir de los referentes internacionales (normas ISO).<\/p>\n
En Cuba en la actualidad estas funciones las desempe\u00f1a la Oficina Nacional de Normalizaci\u00f3n que <\/strong>es la encargada de establecer las normas, metodolog\u00edas, el asesoramiento y el control de los procesos para lograr la certificaci\u00f3n de las diversas actividades a partir de referentes internacionales que en nuestro pa\u00eds se basan en patrones que se aplican.<\/strong><\/p>\n <\/p>\n Una norma es un documento t\u00e9cnico de aplicaci\u00f3n voluntaria, fruto del consenso, que est\u00e1 sustentado en los resultados de la experiencia y el desarrollo tecnoecon\u00f3mico y que est\u00e1 aprobada por un organismo de normalizaci\u00f3n reconocido.<\/p>\n Las normas garantizan la existencia de niveles de calidad y seguridad que permitan a las entidades un adecuado desempe\u00f1o en el contexto de las relaciones t\u00e9cnico econ\u00f3micas a partir de que establecen est\u00e1ndares a cumplir para satisfacer las exigencias de calidad a nivel nacional e internacional.<\/p>\n La ISO (International Organization for Standarization) es la entidad encargada de del establecimiento de est\u00e1ndares a nivel mundial que aseguran que los productos y\/o servicios alcanzan la calidad deseada<\/strong>.<\/strong> Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hacen posible la reducci\u00f3n de errores y sobre todo favorecen el incremento de la productividad.<\/p>\n En el \u00e1mbito de las tecnolog\u00edas de la Informaci\u00f3n y las Comunicaciones (TIC) tambi\u00e9n existen normas ISO que constituyen patrones para el establecimiento del uso seguro de estas tecnolog\u00edas.<\/p>\n La serie 27000 que sustenta las normas relacionadas con las TIC y en esta se ubica la norma 27001 es la que est\u00e1 encargada de la seguridad de la informaci\u00f3n<\/p>\n Para una mejor comprensi\u00f3n de c\u00f3mo se aplican las normas ISO en el \u00e1rea de la seguridad inform\u00e1tica se considera necesario entrar en detalles, no sin antes dejar claro que estas normativas no son est\u00e1ticas y son modificadas en funci\u00f3n de lograr la mayor eficiencia de la actividad que atienden.<\/p>\n La aplicaci\u00f3n de las normas a los procesos inform\u00e1ticos y su seguridad parte del uso de una matriz F. O. D. A. (Fortalezas – Oportunidades \/ Debilidades \u2013 Amenazas), pues esta es la base para la realizaci\u00f3n de cualquier an\u00e1lisis de riesgos que permita la determinaci\u00f3n de las amenazas que deben ser atendidas a trav\u00e9s de las pol\u00edticas, las medidas y los procedimientos en el Plan de Seguridad Inform\u00e1tica (PSI).<\/p>\n Este mecanismo sustenta el establecimiento de los cuatro procesos en que se basa un sistema de gesti\u00f3n de seguridad Inform\u00e1tica: planificar (establecer el sistema de gesti\u00f3n), hacer (implementar y operar el sistema de gesti\u00f3n), verificar (revisar y dar seguimiento al sistema de gesti\u00f3n) y actuar (mantener y mejorar el sistema de gesti\u00f3n).<\/p>\n Para realizar estas acciones los sistemas de gesti\u00f3n inform\u00e1tica se basan en las normas 27001 y 27002 donde se exponen las aspectos para establecer en canon en cada uno de los procesos y subprocesos relacionados con la seguridad inform\u00e1tica.<\/p>\n Si bien las normas ISO de una serie, como es el caso de la 27000 act\u00faan sobre la seguridad inform\u00e1tica, no puede verse el problema como una isla, sino que entre las normas existen interrelaciones que hacen m\u00e1s eficiente su accionar en funci\u00f3n de un resultado.<\/p>\n En la norma ISO 27001 se expone: el an\u00e1lisis y evaluaci\u00f3n de riesgos: identificaci\u00f3n de amenazas, consecuencias y criticidad, la implementaci\u00f3n de controles, la definici\u00f3n de un plan de tratamiento de riesgos o esquema de mejora, el alcance de la gesti\u00f3n, el contexto en que se mueve el sistema de la organizaci\u00f3n, las partes interesadas en los procesos y subprocesos del sistema de gesti\u00f3n, as\u00ed como la fijaci\u00f3n y medici\u00f3n de objetivos, el proceso de documentaci\u00f3n de las acciones que se desarrollan en las diversas etapas de gesti\u00f3n, la realizaci\u00f3n de auditor\u00edas internas y la revisi\u00f3n por la direcci\u00f3n de la entidad y un conjunto de recomendaciones para la automatizaci\u00f3n del Sistema de Gesti\u00f3n de la \u00a0Seguridad Inform\u00e1tica (SGSI) seg\u00fan esta norma.<\/p>\n Si se analizan en detalle estos aspectos se pone de manifiesto que es a trav\u00e9s de ellos que se sustenta el establecimiento de los cuatro procesos antes mencionados para planificar, hacer, verificar y actuar en un SGSI.<\/p>\n En el caso de la norma ISO 27002, que fuera actualizada en 2013, cuenta con 14 dominios, 35 objetivos de control y 114 controles.<\/p>\n Para que se conozca en toda su extensi\u00f3n esta norma ponemos a su disposici\u00f3n un material que posee fines did\u00e1cticos y expone cada uno de los aspectos antes mencionados en formato PDF.<\/p>\n","protected":false},"excerpt":{"rendered":" El 20 de mayo se celebra cada a\u00f1o el D\u00eda Mundial de la Metrolog\u00eda, nuestro pa\u00eds ha desarrollado desde 1982 en que fue creado en el pa\u00eds un organismo estatal para establecer las l\u00edneas directivas de esta actividad en el … Sigue leyendo