¿Cómo utilizar la serie SP 800 de la norma ISO 27001?

SP 800

La norma ISO 27001 es un estándar internacional para la gestión de la seguridad de la información, proporciona diferentes objetivos de control y cubren una amplia gama de problemas de seguridad de control. Pero, la norma ISO 27001 debe tener en cuenta que una empresa puede ir más allá de los controles de la norma para establecer los niveles de seguridad adecuados, mediante el desarrollo de las propias soluciones o utilizando otras fuentes de conocimiento.

Durante este artículo queremos mostrarle una alternativa a la norma ISO 27002 como orientación para apoyar los controles de aplicación de la norma ISO 27001: la serie NIST SP 800.

La serie NIST SP 800

La serie NIST SP 800 es un conjunto de documentos de libre descarga que se facilita desde el gobierno federal de los estados unidos, que describe las políticas de seguridad informática, procedimientos y directrices, que son publicadas por el Instituto Nacional de Estándares y Tecnología, que contiene 130 documentos.

NIST SP 800 documentos de la serie para la gestión de seguridad de la información y evaluación de riesgos

Al igual de la serie de normas ISO 27000, la serie SP 800 proporciona información que cubre la gestión y las prácticas operativas de seguridad de la información, pero en un mayor número de documentos. Para facilitar una guía específica para realizar la integración de la gestión de riesgos de seguridad de la información con las operaciones de la empresa, la serie SP NIST 800 tiene el documento SP 800-39- Gestión de Riesgos de Seguridad.

Para realizar la evaluación de los riesgos, la serie SP 800 tiene un conjunto de documentos que han sido creados utilizando la metodología de riesgo en seis pasos:

• Categorizar: se debe dar prioridad a los sistemas de información que se basan en la evaluación del impacto. El detalle se encuentra en el documento SP 800-60.
• Seleccionar: se deben definir los controles que se deben aplicar, en base a la evaluación del impacto y las bases de SP 800-53, siendo un documento de referencia para este paso.
• Poner en práctica: implementar los controles y la elaboración de los documentos. El detalle se encuentra en el documento SP 800-160.
• Evaluar: la confirmación de que los controles se implantan de forma correcta, operar según lo previsto, y producir los resultados deseados. El detalle lo podemos encontrar en el documento SP 800-53.
• Autorizar: la aceptación del escenario de riesgo, y la autorización para la operación de los sistemas de información y utilización. El detalle se encuentra en el documento SP 800-37.
• Monitorear: se acompaña de forma continua de los sistemas de información y el entorno operativo para establecer la eficiencia y el cumplimiento de los controles. El detalle se encuentra en el documento SP 800-137.

Si tu organización ya cuenta con una metodología de evaluación de riesgos, se puede mantener y utilizar sólo la seguridad del documento de control.

NIST SP 800 documentos de la norma ISO 27001

La serie SP 800 tiene muchos estándares que cubren hasta 256 salvaguardas. Aquí es donde SP 800-53 es muy útil, ya que organiza todas las salvaguardas en 18 categorías.

Algunos documentos útiles de la serie SP 800 que hacen referencia SP 8001-53, son:

• SP 800-61: directrices para detectar, analizar, priorizar y gestionar los incidentes de responder a ellas de forma eficiente y eficaz.
• SP 800-50: pautas para el diseño, desarrollo, implantación y evaluación de un programa de sensibilización y formación.
• SP 800-116: es el riesgo basado en la selección de los mecanismos de autenticación apropiados para gestionar el acceso físico.
• SP 800-46: prácticas para mitigar los riesgos asociados con las tecnologías utilizadas para el teletrabajo.
• SP 800-122: orientaciones para la protección de la confidencialidad de la información de identificación de personal con el apoyo de los sistemas de información.
• SP 800-161: una guía para identificar, evaluar, seleccionar e implantar la gestión de riesgos y controles para gestionar los riesgos e la cadena de suministro.
• SP 800-92: orientación sobre el desarrollo, implantación y mantenimiento de las prácticas de gestión de riesgos eficientes para apoyo.
• SP 800-88: recomendaciones para la implantación de un programa de saneamiento de los medios, teniendo en cuenta las técnicas y controles para la desinfección y eliminación de la información confidencial.
• SP 800-83: orientación sobre la prevención de ataques de este tipo y responder a los incidentes de malware.
• SP 800-64: descripción de las funciones de seguridad y responsabilidades clave necesarios en el desarrollo de los sistemas de información, y la información sobre la relación entre la seguridad de la información y el ciclo de vida del software de desarrollo.
• SP 800-45: proporciona prácticas de seguridad para el diseño, implantación y sistemas de correo electrónico de funcionamiento en las redes públicas y privadas de apoyo.
• SP 800-44: presenta las prácticas de seguridad para el diseño, implantación y operación de los servidores web de acceso público e infraestructura de la red relacionada.
• SP 800-41: proporciona una guía durante el desarrollo de las políticas y la selección de firewall, configuración, prueba, implantación y administración de servidores de seguridad.
• SP 800-34: proporciona información sobre el sistema de información de la planificación e contingencia y otros tipos de planes de seguridad y emergencia de contingencia.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.