ISO/IEC 27799, Gestión de la Seguridad de la Información en Sanidad

Esté de moda o no, la gestión de la seguridad de la información es uno de los puntos claves para cualquier organización hoy en día. El sector sanitario es más crítico, y desde muchos puntos de vista, más sensible. La norma ISO/IEC 27799 ha sido traducida al español por AENOR mediante la la norma UNE-EN ISO 27799:2010, "Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la norma ISO/IEC 27002". Esta norma es una contribución importante a la hora de implantar los sistemas de gestión de la información (SGSI) en los centros sanitarios, y organizaciones del sector de la salud, y con ello asegurar la protección de la información de los pacientes gestionada por las diferentes entidades sanitarias.

La UNE-EN ISO 27799 especifica los controles concretos que se han de implementar para gestionar la seguridad de la información sanitaria, aportando recomendaciones relativas a las buenas prácticas que hay que seguir al respecto para garantizar los niveles mínimos de seguridad. Para eso se basa en otra norma, la  ISO/IEC 27002: Tecnología de la Información, código de buenas prácticas para la Gestión de la Seguridad de la Información. Esta guía de buenas prácticas describe los objetivos de control y controles recomendables en cuanto a seguridad de la información de forma general.

Aunque esta norma ISO/IEC 27799 no es certificable, su aplicación si que facilita el cumplimiento de los requisitos para la certificación en la norma UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI) específicamente para el sector sanitario. La ISO 27001 es la norma fundamental de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la información, y es la norma con arreglo a la cual serán certificados los SGSI de las organizaciones que lo deseen, y siempre algo recomendable.



Como ya tenemos el lío montado con tantas normas, veamos un listado de las más importantes de la serie ISO/IEC 27000, que son realmente una serie de estándares ISO/IEC. La mayoría están ya publicados, pero hay algunos en revisión o borrador. De hecho no he comprobado el estado actual de todos, que se puede hacer en la página oficial de ISO:
  • ISO/IEC 27000: Sistemas de Gestión de Seguridad de la Información, Generalidades y vocabulario,  en la que se recogen los términos y conceptos relacionados con la seguridad de la información, una visión general de la familia de estándares de esta área, una introducción a los SGSI, y una descripción del ciclo de mejora continua.
  • UNE-ISO/IEC 27001: Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. Esta es la norma fundamental de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la información y es la norma con arreglo a la cual serán certificados los SGSI de las organizaciones que lo deseen.
  • ISO/IEC 27002: Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información. Esta guía de buenas prácticas describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
  • ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases
  • ISO(IEC 27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de los controles relacionados.
  • ISO/IEC 27005: Gestión del Riesgo en la Seguridad de la Información. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las necesidades de las organizaciones que pretende realizar su análisis de riesgos en este ámbito y cumplir con los requisitos de la Norma ISO 27001.
  • ISO/IEC 27006: Requisitos para las entidades que suministran servicios de auditoría y certificación de sistemas de gestión de seguridad de la información. Recoge los criterios mediante los cuales una organización se puede acreditar para realizar esos servicios.
  • ISO/IEC 27007: Guía para la realización de las auditorías de un SGSI.
  • ISO/IEC 27008: Consiste en una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
  • ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
  • ISO/IEC27011: Directrices para la seguridad de la información en organizaciones de telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para empresas de este sector, facilitando el cumplimiento de la Norma ISO/IEC 27001 y conseguir un nivel de seguridad aceptable.
  • ISO/IEC 27012: conjunto de requisitos y directrices de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración.
  • ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1.
  • ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
  • ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.
  • ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de SGSI relacionada con aspectos económicos en las organizaciones.
  • ISO/IEC 27031: Describe los conceptos y principios de la tecnología de información y comunicación (TIC)
  • ISO/IEC 27032: Guía relativa a la ciberseguridad.
  • ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos generales; 27033-2, directrices de diseño e implementación de seguridad en redes; 27033-3, escenarios de redes de referencia; 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP; 27033-7, redes inalámbricas.
  • ISO/IEC 27034: Varias guías de seguridad para aplicaciones informáticas.
  • ISO/IEC 27035: Guía de gestión de incidentes de seguridad de la información.
  • ISO/IEC 27036: Publicación prevista en 2012. Guía de seguridad de outsourcing (externalización de servicios).
  • ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación y preservación de evidencias digitales.
  • ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la redacción digital.
  • ISO/IEC 27039: Publicación prevista en 2013. Guía para la selección, despliegue y operativa de sistemas de detección de intrusos.
  • ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento.
  • EN ISO 27799: Gestión de la seguridad de la información sanitaria utilizando la Norma ISO/IEC27002. Vigente en nuestro país ya que ha sido ratificada por AENOR, siendo una guía sectorial que da cabida a los requisitos específicos de entorno sanitario.

Como es evidente, el listado no es inventado, y sale de diversas fuentes, entre ellas el INTECO e iso27000.es. El INTECO ha publicado también un monográfico sobre Gestión de la Seguridad, aparte de los cursos cuyo enlaces aparecen más arriba. Información actualizada se puede encontrar por supuesto en las webs oficiales de ISO y AENOR, y páginas como la del ISMS Forum Spain y ISO27000.es. Una pequeña presentación sobre las normas ISO 2700 se incluye a continuación:




En cuanto a normativa ya habíamos comentado algunas cosas anteriormente en otras entradas, y que siguen estando vigentes, sobre estándares en seguridad de la información y sobre el esquema nacional de seguridad. Como siempre esta entrada es sólo una referencia a la información disponible en Internet, y las páginas oficiales de los diversos estándares, que deben consultarse para conocer el estado actual.