Seminario Iso 27001

Organización Internacional
de Normalización
www.iso.org
PR/mo/item ID
Date ISO 27001 1
ISO/IEC 27001 – Sistema
de Gestión de la
Seguridad de la
Información
Por Dra. Angelika Plate
Bogota, Colombia, 9-11 de diciembre
PR/mo/item ID
Date ISO 27001 2
La Familia de las
Normas 27000
& ISO/IEC 27001
PR/mo/item ID
Date ISO 27001 3
ISO/IEC JTC1 SC 27
WG1
Normas del SGSI WG4
Presidente Prof. Ted Humphreys Servicios de SGSI
Vicepresidente Angelika Plate Presidente Meng-Chow Kang
ISO/IEC JTC1 SC27

Presidente Dr. Walter Fumy WG5
Vicepresidente Dr. Marijike de Soete Privacidad,
Secretaria Krystyna Passia (DIN) Gestión de ID
y Biométrica
Presidente -por definirse-
WG2 WG3
Técnicas de Evaluación de
Seguridad la Seguridad
Presidente Prof. Kenji Namura Presidente Mats Ohlin
PR/mo/item ID
Date ISO 27001 4
Date
Panorama
Panorama general &
general &
terminología
terminología del SGSI
del SGSI
PR/mo/item ID
[27000]
[27000]
de
de
de la
Controles
Controles de
de la
la seguridad
seguridad de
Sistema
la
la información (ex17799)
información (ex17799)
Sistema de
[27002]
[27002]
Guía
Guía de
de implementación del
implementación del
[27003]
la Información
SGSI
SGSI [27003]
de Gestión
Gestión de
Material de
orientación y
de la
apoyo a 27001
de
Información (SGSI)
Mediciones
Mediciones de
de la
la gestión
gestión de
la
la seguridad
seguridad de la
de la
información [27004]
(SGSI) [27001]
[27001]
la Seguridad
Seguridad
Gestión
Gestión del
del riesgo
riesgo de SGSI
de SGSI
[27005]
[27005]
SGSI
para
para el
Requisitos
Directrices
SGSI [27007]
Requisitos de
Directrices de
el SGSI
NUEVO
NUEVO
certificación
Acreditación y
de auditoría
SGSI [27006]
[27006]
ISO 27001
de acreditación
[27007] PROYECTO
acreditación
PROYECTO
auditoría del
del
5
Normas 27000
Norma Título Estado
27000 Panorama General y Vocabulario FDIS
Publicada –
27001 Requisitos para el SGSI
actualizada ahora
Código de Práctica para la Gestión de la Seguridad de la Publicada –

27002
Información actualizada ahora
27003 Guía de Implementación del SGSI FCD
27004 Mediciones de la GSI 2do. FCD
27005 Gestión del Riesgo del SGSI Publicada
Requisitos de Acreditación para organismos de

27006 Publicada
certificación
27007 Directrices de Auditoría del SGSI WD
PR/mo/item ID
Date ISO 27001 6
Modelo
Modelo
DCA SGSI
PHVAModel
Implementa
ción & Diseño
PLANIFICAR ACTUAR
operación del SGSI
del SGSI
HACER VERIFICAR
Mantenimiento
Seguimiento & mejora del
& revisión SGSI
del SGSI
Ciclo de Vida del SGSI

PR/mo/item ID
Date ISO 27001 7
Information Security Management
System (SGSI) Process Model
Actualización & Mejora del SGSI Diseño del SGSI (evaluación del
Planificar
(mejorar o implementar nuevos riesgo, tratamiento del riesgo,
controles, políticas, selección de los controles …)
procedimientos…)
Actuar
PHVA
PHVA Hacer
Implementación y Utilización
Seguimiento & Revisión del SGSI del SGSI (implementar y
(incidente, cambios, reevaluación Verificar ensayar los controles, políticas,
de los riesgos, hojas de evaluación, procedimientos, procesos…)
auditorías…)
Implementación de procesos de gestión del riesgo para

alcanzar un SGSI eficaz mediante un proceso de mejora
PR/mo/item ID
continua
Date ISO 27001 8
Requisitos del SGSI
Puntos sobresalientes y características
Enfoque de gestión del riesgo
evaluación del riesgo, tratamiento del riesgo,

toma de decisiones por parte de la Dirección
Modelo de mejora continua
Medidas de eficacia
Especificación de auditoría (Auditoría interna y

externa del SGSI)
Está ahora en revisión

PR/mo/item ID
Date ISO 27001 9
Norma ISO/IEC 27002 Código de Práctica
para la gestión de la Seguridad de la
Información
Un catálogo de Prácticas Eficaces
Sugiere un grupo de controles holísticos
No es una norma de certificación o de

auditoría
Política de seguridad
Organización de la seguridad de la información

Gestión de activos
Seguridad de los recursos humanos
Seguridad física & del entorno
Gestión de operaciones & comunicaciones
Control del acceso
Adquisición, desarrollo y mantenimiento de los

sistemas de información
Gestión de los incidentes de seguridad de la

información
Gestión de la continuidad del negocio
Cumplimiento
PR/mo/item ID
Date ISO 27001 10
Código de Práctica para la gestión
de la seguridad de la información
Desde la primavera de 2007 a la
norma ISO/IEC 17799 se le dio
nueva numeración como 27002
La norma está ahora en revisión
PR/mo/item ID
Date ISO 27001 11
¿Qué hay en la norma ISO/IEC 27003?
Una guía para avanzar en la implementación de los
requisitos definidos en la norma 27001
El alcance incluye orientación sobre implementación
en:
Asesoramiento detallado y ayuda en lo concerniente a los
procesos PHVA
Alcance y política del SGSI
Identificación de activos
Implementación de controles seleccionados
Seguimiento y revisión y mejora continua
PR/mo/item ID
Date ISO 27001 12
Orientación sobre las mediciones de la

gestión de la seguridad de la información para
apoyar los requisitos de medición y eficacia
definidos en la norma 27001
¿Qué, cómo y cuándo medir?
Desempeño, benchmarking, seguimiento y
revisión de la eficacia del SGSI para ayudar
en la toma de decisiones empresariales y
mejoras al SGSI
PR/mo/item ID
Date ISO 27001 13
Orientación en la gestión del riesgo del SGSI para

apoyar la evaluación, tratamiento y gestión del riesgo,
y la selección de los requisitos de los controles
definidos en la norma 27001
Orientación detallada para los implementadores del
SGSI, encargados de la gestión del riesgo, oficiales
de seguridad …
Publicada
PR/mo/item ID
Date ISO 27001 14
Requisitos de Acreditación del SGSI

Requisitos específicos del SGSI para
complementar los requisitos genéricos en la norma
ISO 17021-1
Sustituye a EA 7/03
Publicada en enero de 2007
PR/mo/item ID 15
Date ISO 27001 15
NORMA ISO/IEC 27007
Directrices de Auditoría del SGSI
Orientación específica del SGSI para complementar
la norma ISO 19011
Manejar la orientación a los auditores en temas
como:
Establecimiento de los rastros de auditoría del
SGSI
Auditoría de evidencia forense
Alcances del SGSI
Mediciones
PR/mo/item ID 16
ISO 27001 16
Date
Evolución
BS 7799-1:1995 BS 7799-2:1998
BS 7799-1:1999 BS 7799-2:1999
ISO/IEC 17799:2000 BS 7799-2:2002
ISO/IEC 17799:2005 ISO/IEC 27001:2005

15 junio/05 15 Oct/05
Código de práctica para la gestión de Requisitos del SGSI

la seguridad de la información
PR/mo/item ID
Date ISO 27001 17
Panorama
Panorama general &
general &
Date
terminología
terminología del SGSI
del SGSI
redes
[27000]
de
[27000]
PR/mo/item ID
redes de
incidente,
de la
Controles
Controles de
de la
la seguridad de
seguridad de
autenticación,
Técnicas
Sistema
de TI,
Recuperación
la
la información (ex17799)
información (ex17799)
Sistema de
de
Recuperación de
[27002]
[27002]
Guía
Guía de
de implementación del
implementación del
autenticación, técnicas
TI, servicios
incidente, aplicaciones
la Información
SGSI [27003]
SGSI [27003]
de Gestión
identificación,
aplicaciones de
Técnicas criptográficas,
Gestión de
servicios TTP,
de privacidad
de desastres,
de la
privacidad ……
de red,
identificación, ciber
Información (SGSI)
Mediciones
Mediciones de
de la
la gestión de
gestión de
TTP, IDS,
ciber ....
la
la seguridad
seguridad de la
de la
técnicas biométricas,
criptográficas, protocolos
desastres, seguridad
red, gestión
(SGSI) [27001]
[27001]
la Seguridad
IDS, manejo
Seguridad
protocolos de
seguridad de
de
gestión de
Gestión
Gestión del
del riesgo
riesgo del SGSI
del SGSI
manejo del
de la
del
la
de las
las
[27005]
[27005]
biométricas, tecnologías
tecnologías
Requisitos
Requisitos para
para las
las telecomunicaciones [27011]
telecomunicaciones [27011]
SGSI
Requisitos
Requisitos para
para los
los automotores [2701x]
automotores [2701x]
Acreditación
Requisitos
evaluación
evaluación &
&
SGSI [27006]
Requisitos de
[2701x]
[27006]
de
Requisitos
Requisitos para
para el
el transporte
transporte [2701x]
Acreditación para
para el
el
Producto
Requisitos
Requisitos para
para el
el cuidado
cuidado de
de la
la salud [270xx/27799]
salud [270xx/27799]
seguridad
seguridad
Requisitos
Requisitos para
para WLA (Asociación de
WLA (Asociación de Lotería
Lotería Mundial) [2701x]
Mundial) [2701x]
Producto sistema
sistema
Requisitos
Requisitos para
para los
los sistemas
sistemas financieros [2701x]
financieros [2701x]
aseguramiento
Directrices
aseguramiento de
[19011
Directrices de
de la
Acreditación
[19011 &
ISO 27001
la 18
Requisitos
18
de auditoría
Requisitos de
& 27007]
Acreditación [17021]
auditoría
de
27007]
[17021]
NORMA ISO/IEC 18044
Gestión de manejo de los incidentes de

seguridad de la información
Apoya los controles de manejo de los incidentes
en ISO/IEC 27002
Proporciona patrones y asesoramiento más
técnico sobre cómo implementar esquemas
para el manejo del incidente
Publicada en 2005
ISO/IEC 18044
PR/mo/item ID
Date ISO 27001 19
NORMA ISO/IEC 24762
Servicios de Recuperación de desastres
El borrador de trabajo es la Norma de

Singapur SS 507 para los proveedores de
servicios para la recuperación de
desastres.
En desarrollo en la nueva WG 4
Publicada
PR/mo/item ID
Date ISO 27001 20
SGSI 27001
PR/mo/item ID 21
Date ISO 27001 21
PDCA
SGSI
SGSI
PHVA
Model
Implementación
& operación del Diseño
PLANIFICAR ACTUAR
SGSI del SGSI
HACER VERIFICAR
Mantenimiento
Seguimiento
& mejora del
& revisión
SGSI
del SGSI
Ciclo de Vida del SGSI

PR/mo/item ID
Date ISO 27001 22
Alcance del SGSI
Alcance del SGSI (4.2.1 (a))

Diseño del
1. Definir el alcance y límites del SGSI
SGSI
2. Corresponde completamente a la
organización definir el alcance del
SGSI
3. Se deben identificar las interfaces y
dependencias
Alcance del SGSI –

Toda la Organización
Límite
Alcance del SGSI – Límite
Parte de la Organización
PR/mo/item ID
Date ISO 27001 23
Alcance del SGSI
Alcance del SGSI (4.2.1 (a))

Diseño del 1. Definir el alcance y límites del SGSI
SGSI
2. Corresponde completamente a la
organización definir el alcance del
SGSI
3. Se deben identificar las interfaces y
dependencias
Proveedor de
Servicios Externo
Alcance del SGSI
Cliente
Dpto. de Servicio
de TI
PR/mo/item ID
Date ISO 27001 24
Alcance del SGSI
Ejemplos del Alcance del SGSI

Diseño del 1. Departamento de ventas y compras
SGSI
2. Outsourcing – servicios de gestión de
datos
3. Servicios de reembolsos al cliente
• Reclamaciones al seguro
• Reclamaciones de cobertura
médica
• Reclamaciones de restitución de
mercancías dañadas
4. Banca en línea
5. Servicios organizacionales de TI
internos
PR/mo/item ID
Date ISO 27001 25
Política del SGSI
Política del SGSI (4.2.1 (b))

Diseño del
SGSI
1. Definir la política del SGSI que
define un marco para establecer
los objetivos y la dirección para la
seguridad de la información:
• Tiene en cuenta todos los
Declaración de Política de Seguridad
de la Información requisitos aplicables, legales,
Objetivos …………………………………….
………………………………………………… contractuales y empresariales
Definición de seguridad de la información
……......... • Se alinea con el contexto global de
...................................................................
Requisitos y reglas de la política gestión del riesgo de la
………………………………..
………………………………………………… organización
…………………………………………………
• Establece los criterios para la
evaluación del riesgo
• Ha sido aprobada por la dirección
Firmado y aprobado por ………….

Fecha ………………..
PR/mo/item ID
Date ISO 27001 26
Evaluación del Riesgo del SGSI
Evaluación del Riesgo (4.2.1 (c)-(e))

Diseño del
SGSI
1. Definir el enfoque
2. Identificar y evaluar los riesgos
• Activos y sus valores
• Amenazas y vulnerabilidades
• Riesgos e impactos
Ejemplo A:
Activo – registros del cliente – la
sensibilidad y el valor comercial son
altos en términos financieros
activo
Amenazas – acceso, fuga y modificación no
autorizados
aprovechan
Vulnerabilidades – Control del acceso
devaluaciones,
amenazas vulnerabilidades
daños a, etc.
carente o inapropiado, falta de control
de autenticación, falta de control sobre
el procesamiento de la información
Riesgo – alto
riesgos impactos Impacto - alto
PR/mo/item ID
Date ISO 27001 27
Tratamiento del riesgo del SGSI
Tratamiento del riesgo (4.2.1 (f))

Diseño del 1. Opciones
SGSI
• Reducir el riesgo – implementar
controles
• Aceptar el riesgo – el impacto con
el cual la compañía puede vivir
financieramente
• Transferir el riesgo – seguros o
mediante contratos
• Evitar el riesgo – no
comprometerse en un proyecto que
pueda originar el riesgo
2. Toma de decisiones de la dirección
• Criterios de aceptación del riesgo y
riesgos residuales
• Requisitos empresariales
• Costo y recursos
PR/mo/item ID
Date ISO 27001 28
Selección de los controles del SGSI
Selección de los controles (4.2.1 (g))
1. Los controles se seleccionan primordialmente
Diseño del del Anexo A con base en los resultados de la
SGSI evaluación del riesgo (los controles de otras
listas/normas pueden complementar lo que no
se encuentre en el Anexo A) y la decisión
tomada durante la fase de tratamiento del
riesgo
2. Para la selección se necesitarán los criterios
de la compañía para aceptar el riesgo
3. Al realizar la selección se debe tomar en
cuenta otros requisitos, como los legales
Continuación del Ejemplo A:
• Implementar mejores mecanismos de
autenticación y acceso en los sistemas de TI
que contienen los registros del cliente
• ¿Cuáles controles del Anexo A pueden ser
aplicables?
PR/mo/item ID
Date ISO 27001 29
Aprobación de la dirección
Aprobación de la dirección
Diseño del (4.2.1 (h)-(i))
SGSI
Aprobación de los riesgos residuales
Aprobación y autorización para
implementar los controles del SGSI
PR/mo/item ID
Date ISO 27001 30
Declaración de Aplicabilidad
Declaración de Aplicabilidad
(4.2.1 (j))
Diseño del
SGSI Lista de los controles seleccionados para
implementacion, más aquellos controles
actualmente implementados y los
controles no implementados (exclusiones)
con justificación/razones del por qué

los controles han o no han sido
implementados
Flujo de desarrollo del SGSI

Riesgos Decisión de Implementación
identificados y tratamiento del de controles
evaluados riesgo
PR/mo/item ID Revisión y verificación de auditoría del SGSI

Date ISO 27001 31
Tratamiento del Riesgo del SGSI
Tratamiento del Riesgo (4.2.2 (a)-(c))
1. Formular plan para el tratamiento
del riesgo
• El objetivo es manejar los riesgos a
través de la acciones identificadas
en la fase de PLANIFICACIÓN
• Identificar acciones, prioridades,
Implementación recursos, responsabilidades de la
& operación del SGSI Dirección
2. Implementar el plan de tratamiento
del riesgo
3. Implementar los controles
seleccionados
• Políticas
• Procedimientos
• Control de los recursos humanos
• Controles de los proveedores de
servicios, contratos, SLA
(Acuerdos de nivel de servicios)
• Controles técnicos
PR/mo/item ID
Date ISO 27001 32
Medición de la Eficacia
Eficacia (4.2.2 (d))

1. Definir un grupo de mediciones y
adoptar un conjunto de métodos
para la medición de la eficacia de
los controles implementados –
Implementación luego de la implementación y en
& operación del SGSI períodos regulares de ahí en
adelante
• Especificar cómo medir la eficacia
de los controles o de los grupos de
controles seleccionados
• Especificar cómo estas mediciones
se utilizarán para evaluar la
eficacia de los controles
• Asegurar resultados comparables y
reproducibles
PR/mo/item ID
Date ISO 27001 33
Acciones de la Dirección del SGSI
Acciones de la Dirección (4.2.2 (f)-

(h))
1. Gestionar los recursos y
operaciones para la operación
efectiva de los controles del SGSI
Implementación 2. Asegurar un grupo efectivo de
& operación del SGSI procedimientos y recursos que
estén disponibles para el manejo
de incidentes
PR/mo/item ID
Date ISO 27001 34
Seguimiento y Revisión del SGSI
Seguimiento & Revisiones (4.2.3)

1. Medir el desempeño, realizar
benchmarking, etc., para verificar
la eficacia de los controles
2. Ejecutar procedimientos de
Seguimiento seguimiento y revisión para
& revisión del SGSI determinar que todo funciona como
se espera, que incluyen:
• Intentos de acceso
• Uso de los procedimientos
• Detección de errores
• Detección de intentos de violación e
incidentes
• Eficacia
• Resultados de la evaluación del riesgo
PR/mo/item ID
Date ISO 27001 35

3. Rastrear los cambios
• Riesgos, amenazas
• Maneras de hacer negocios, nuevas
empresas del mercado, nuevos proyectos
• Cambios en la mano de obra, base de
Seguimiento clientes, sociedades de negocios
& revisión del SGSI • Tecnología
• Leyes y reglamentaciones
4. Emprender revisiones regulares

(revisiones de la dirección) y auditorías
(internas y externas) del SGSI, teniendo
en cuenta:
• Informes de gestión de incidentes
• Mediciones de la eficacia
• Sugerencias y retroalimentación
• Informes de auditoría
• Acciones de la Dirección y su conclusión
PR/mo/item ID
Date ISO 27001 36

5. Actualizar toda la documentación
pertinente
• Políticas
• Procedimientos
Seguimiento • Planes
& revisión del SGSI • Programación de ensayos
• Revisión y auditoría de manuales
PR/mo/item ID
Date ISO 27001 37
Mejoras del SGSI
Actualización & mejora (4.2.4 y 8.1-

Mejoras 8.3)
del SGSI
1. Implementar las mejoras
identificadas en la fase de
VERIFICACIÓN
2. Emprender acciones correctivas y
preventivas (consultar más en el
artículo 8 del SGSI Mejora)
3. Comunicar las acciones y mejoras a
todas las partes interesadas
4. Asegurarse de que las mejoras
funcionen como se espera
5. Capacitar de nuevo al personal
PR/mo/item ID
Date ISO 27001 38
Documentación del SGSI
Documentación
Diseño del
Mejora del Alcance y Declaración de Política
SGSI
SGSI
del SGSI
Informe de Evaluación del Riesgo
Ciclo de Vida Plan de Tratamiento del Riesgo
del SGSI Declaración de Aplicabilidad
Procedimientos del SGSI
Implementación Seguimiento & Manuales del SGSI
& Operación del SGSI Revisión del SGSI Manuales de Auditoría

PR/mo/item ID
Date ISO 27001 39
Documentación del SGSI
Controles (4.3.2)
Controlar y proteger los documentos,

utilizando procedimientos para:
Aprobación, revisión, actualización y re-
aprobación
Control de versiones y cambios
Diseño del
Mejora del
SGSI
SGSI Asegurar que los documentos sean
válidos y accesibles
Ciclo de Vida
del SGSI Asegurar la disponibilidad para todo el
que tenga derecho al acceso
Implementación Seguimiento &
& Operación del SGSI Revisión del SGSI Identificar el origen y la distribución
Impedir el uso no previsto
Aplicar la identificación y etiquetado
PR/mo/item ID
adecuados

Date ISO 27001 40
Registros del SGSI
Registros
Diseño del
Mejora del
SGSI Registro del manejo de incidentes
SGSI
Registros del personal
Registros de capacitaciones
Ciclo de Vida Registros de contratos, ventas y

del SGSI entregas a los clientes
Registros de ventas
Implementación Seguimiento & Registros financieros
& Operación del SGSI Revisión del SGSI Registros de ensayos
Registros de Benchmarking
PR/mo/item ID
Date ISO 27001 41
Registros del SGSI
Controles (4.3.3)
Se deben establecer registros para
suministrar evidencia de la conformidad con
la norma
Diseño del
Mejora del
SGSI
SGSI Para fines de certificación, el SGSI
debe haber estado en operación
por al menos 4-6 meses para tener
la evidencia suficiente
Implementación Seguimiento & Los registros deben protegerse de la misma
& Operación del SGSI Revisión del SGSI
manera que toda la documentación
Los requisitos para la documentación y los
registros son los mismos que para otros
sistemas de gestión

PR/mo/item ID
Date ISO 27001 42
Compromiso de la Dirección
La Dirección debe estipular su compromiso al:
Establecer la política, objetivos y planes del SGSI
Establecer roles y responsabilidades para la
Comunicar la importancia de la seguridad de la
información
Proporcionar los recursos suficientes para el
SGSI
Decidir los criterios para la aceptación del riesgo
Asegurar las auditorías internas del SGSI
Realizar revisiones por parte de la Dirección
PR/mo/item ID
Date ISO 27001 43
Provisión de Recursos
La organización debe determinar y suministrar los
recursos necesarios para:
Establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un SGSI
Garantizar que la seguridad de la información brinda
apoyo a los requisitos del negocio
Identificar y atender los requisitos legales y
reglamentarios y las obligaciones de seguridad
contractuales
Mantener la seguridad adecuada mediante la
aplicación correcta de todos los controles
implementados
Llevar a cabo revisiones y mejorar la eficacia del
PR/mo/item ID
Date
SGSI donde se requiera. ISO 27001 44
Formación, Toma de Conciencia & Competencia
La organización debe asegurar personal competente

mediante:
La determinación de las competencias necesarias
para el personal en el SGSI
El suministro de formación o la realización de otras
acciones (por ej. la contratación de personal
competente) para satisfacer estas necesidades
La evaluación de la eficacia de las acciones
emprendidas
El mantenimiento de registros de la educación,
formación, habilidades, experiencia y calificaciones
Asegurar la toma de conciencia del personal en el
SGSI
PR/mo/item ID
Date ISO 27001 45
Auditorías Internas del SGSI
La organización debe llevar a cabo auditorías internas

del SGSI a intervalos planificados para asegurar que el
SGSI:
Cumple los requisitos de la norma ISO/IEC 27001 y
de la legislación y reglamentaciones pertinentes;
Cumple los requisitos identificados de seguridad de
la información;
Los procesos y controles del SGSI son
implementados y mantenidos eficazmente y su
desempeño es acorde con lo esperado
PR/mo/item ID
Date ISO 27001 46
Auditorías Internas del SGSI
Se debe planificar el programa de auditorías

Se deben definir los criterios, el alcance, la frecuencia
y los métodos de la auditoría
Se debe asegurar la imparcialidad e independencia de
los auditores
Se deben definir las responsabilidades para la
planificación y realización de la auditoría y para el
reporte
La Dirección es responsable del seguimiento de las
acciones apropiadas para reaccionar a cualquier no-
conformidad que se identifique
PR/mo/item ID
Date ISO 27001 47
Revisión del SGSI por la Dirección
Revisión del SGSI por la Dirección (7.1-7.3)
Diseño del
SGSI Mejora del
SGSI
Implementación
& operación del SGSI Seguimiento &
revisión del SGSI
Revisión por la Dirección

1. Por lo menos una vez al año
2. Verificación para asegurar la conveniencia, suficiencia y eficacia continuas del
SGSI
3. Oportunidades de mejoras
4. Actualización de las políticas, procedimientos, planes, objetivos …
5. La revisión da como resultado documentos y acciones de reuniones que deben
registrarse
PR/mo/item ID
Date ISO 27001 48
Diseño del
SGSI Mejora del
SGSI
Implementación
& operación del SGSI Seguimiento
& revisión del SGSI
Entradas para la revisión

1. Resultados de revisiones, auditorías, mediciones de la eficacia, reportes de
incidentes, registros operacionales
2. Retroalimentación desde el personal, clientes, socios de negocios, proveedores
3. Perfiles de amenaza, vulnerabilidad y riesgo
4. Controles, tecnología, procedimientos para mejora del SGSI nuevos o adicionales
5. Acciones de seguimiento – que incluyen el estado de las acciones correctivas y
preventivas
PR/mo/item ID
Date ISO 27001 49
Diseño del
SGSI Mejora del
SGSI
Implementación
& operación del SGSI Seguimiento
& revisión del SGSI
Salidas de la Revisión
1. Definición de las mejoras del SGSI
2. Objetivos de eficacia y mejoras a los métodos y medidas
3. Actualizaciones de la evaluación del riesgo y los planes de tratamiento
4. Actualizaciones de políticas, procedimientos, planes
5. Reformulación de las necesidades de recursos, re-operación y definición de roles y
responsabilidades
PR/mo/item ID
Date ISO 27001 50
Mejoras del SGSI
La organización debe mejorar continuamente la

eficacia del SGSI
Acciones correctivas
Identificar las no-conformidades y sus causas
Determinar e implementar las acciones correctivas
Acciones Preventivas
Identificar las no-conformidades potenciales
Determinar e implementar las acciones preventivas
Todas las acciones deben registrarse y revisarse
PR/mo/item ID
Date ISO 27001 51
Conformidad
& Certificación
PR/mo/item ID 52
Date ISO 27001 52
Certificación
Partes interesadas
Organismos de acreditación, Organismos de
Certificación y Usuarios Finales
Documentos y normas de certificación
Proceso de Acreditación
Proceso de Certificación
Auditores
Todos los certificados registrados en la actualidad
pueden consultarse en
www.iso27001certificates.com
PR/mo/item ID
Date ISO 27001 53
Acreditación
Certificación Organismo de Acreditación (OA)
Asesores
Evaluación de los sistemas/procesos de alta

calidad del organismo de certificación para
Auditorías atestiguadas llevar a cabo y administrar las certificaciones
Organismo de Certificación (OC)

Auditores
Auditorías de certificación del SGSI

• Auditoría inicial
• Auditorías de seguimiento (cada 6-12 meses)
• Auditorías de re-certificación (cada 3 años)
Organización
SGSI
PR/mo/item ID
Date ISO 27001 54
Documentos y Normas de Certificación
Norma de Certificación
ISO/IEC 27001:2005 (antes BS 7799 Parte:2002)
Directrices para Acreditación
ISO/IEC 17021 (antes Guía ISO 62/EN 45012)
ISO/IEC 27006 (antes EA 7/03), ISO 19011
Documentos de apoyo
ISO/IEC 27002
PR/mo/item ID
Date ISO 27001 55
Acreditación
Certificación Organismo de Acreditación (OA)
Asesores
Documentos empleados:
(a) ISO/IEC 17021 Evaluación de los sistemas/procesos de alta
(b) ISO 19011 calidad del organismo de certificación para
(c) ISO/IEC 27006 Auditorías atestiguadas llevar a cabo y administrar las certificaciones

Auditores
Auditorías de certificación del SGSI

Documentos empleados: • Auditoría inicial
(d) ISO/IEC 27001:2005 • Auditorías de seguimiento (cada 6-12 meses)
(c) ISO/IEC 27006 • Auditorías de re-certificación (cada 3 años)
Organización
SGSI
PR/mo/item ID
Date ISO 27001 56
Proceso de Auditoría La realización de la auditoría inicial -
del SGSI de dos etapas – tiene como intención
el otorgamiento del certificado
Auditoría Inicial de Certificación

Acciones
correctivas para
manejar las no- desaprueba desaprueba
El cliente decide no
conformidades Aprueba/desaprueba
seguir
Aprueba – otorgamiento del certificado
Acciones correctivas
Auditorías de seguimiento para manejar las no-
conformidades
Típicamente
cada 6-9 meses
El cliente solicita la no El cliente decide no
durante los tres
años de período re-certificación seguir
de validación de
la certificación
Tres años después
Auditoría de Re-certificación del otorgamiento del
certificado
sí
PR/mo/item ID
Date ISO 27001 57
Proceso de Auditoría del SGSI
Típicamente el proceso inicial de auditoría involucra
dos etapas:
Etapa 1 de la Auditoría
Revisión de los documentos del SGSI …
Visita en el sitio
Reuniones con el equipo de la Dirección y entrevistas
con el personal
Observación y evaluación del SGSI en funcionamiento
Revisión y discusión de los hallazgos, documentos,
registros, informes …
Recopilación de la evidencia objetiva
PR/mo/item ID
Date ISO 27001 58
Auditorías del SGSI – Etapa 1
En esta etapa de la auditoría, el organismo de certificación debe obtener la
documentación sobre el diseño del SGSI abarcando la documentación
requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001.
El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la
planificación de la etapa 2 de la auditoría, al obtener una comprensión del
SGSI en el contexto de las políticas y objetivos del SGSI de la organización
del cliente, y, en particular, del estado de preparación para la auditoría por
parte de la organización del cliente.
La etapa 1 de la auditoría incluye la revisión de documentación, pero no
debe restringirse sólo a ella. El organismo de certificación debe acordar
con la organización del cliente cuándo y dónde debe realizarse la revisión
de la documentación. En todo caso, la revisión debe completarse antes del
inicio de la etapa 2 de la auditoría.
Los resultados de la etapa 1 de la auditoría deben documentarse en un
informe escrito. El organismo de certificación debe revisar el informe de la
etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar
el equipo de miembros para la etapa 2 de la auditoría con la competencia
necesaria.
El organismo de certificación debe hacer que la organización del cliente se
entere de los tipos de información y registros adicionales que pueden
requerirse para una revisión detallada durante la etapa 2 de la auditoría.
PR/mo/item ID
Date ISO 27001 59
• Los objetivos de esta auditoría son:
Confirmar que la organización del cliente se ajusta a
sus propias políticas, objetivos y procedimientos;
Confirmar que el SGSI cumple con todos los requisitos
de la norma ISO/IEC 27001 y que satisface los objetivos
de la organización.
• Esta auditoría siempre se lleva a cabo en las
instalaciones de la organización.
• El organismo de certificación elabora un
borrador de plan de auditoría para esta etapa 2
de la auditoría con base en los hallazgos de la
etapa 1.
PR/mo/item ID
Date ISO 27001 60
La auditoría debería enfocarse hacia los siguientes aspectos de

la organización
Evaluación de la seguridad de la información y riesgos relacionados y que
dicha evaluación produzca resultados comparables y reproducibles
Selección de objetivos de control y controles con base en la evaluación del
riesgo y los procesos de tratamiento del riesgo
Revisiones de la efectividad del SGSI y mediciones de la eficacia de los
controles de seguridad de la información, realizando el reporte y la revisión
contra los objetivos del SGSI
Correspondencia entre los controles seleccionados e implementados, la
Declaración de Aplicabilidad y los resultados de la evaluación del riesgo y el
proceso de tratamiento del riesgo, y la política y los objetivos del SGSI
Programas, procesos, procedimientos, registros, auditorías internas y
revisiones de la eficacia del SGSI para garantizar que sean trazables a las
decisiones de la Dirección y la política y objetivos del SGSI
PR/mo/item ID
Date ISO 27001 61
Proceso de Auditoría del SGSI
Política del SGSI, objetivos,

requisitos empresariales y objetos
Rastro de auditoría
Riesgos identificados resultados de evaluacónes

y evaluados del riesgo de la seguridad
de la información
Decisión sobre el tratamiento

del riesgo para reducir los
riesgos identificados Decisiones de
tratamiento del
Controles selecionados con
riesgo
base en la decisión sobre el
tratamiento del riesgo
Controles para Declaración de Aplicabilidad

implementación
PR/mo/item ID
Date ISO 27001 62
Acreditación
Certificación Organismo de acreditación (OA)
Evaluadores
Equipo de Dirección
del OC
Reporte de Equipo auditor Hallazgos de

los equipos auditoría
de auditoría verificados
y aprobados
No: acción
Si: certificado de
otorgado seguimiento
emprendida
Organización
SGSI
PR/mo/item ID
Date ISO 27001 63
Calificaciones del auditor de SGSI
ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org)
Educación
Experiencia industrial
Formación
Experiencia en auditoría
Auditores certificados IRCA (www.irca.org)
Auditor provisional
Auditor
Auditor líder
Se están desarrollando más aspectos de la certificación
personal para SGSI
PR/mo/item ID
Date ISO 27001 64
2000 - 2006 2006 Enero/Feb
2007
EA7/03 de EA FDIS de Publicación
ISO/IEC 27006 planeada de
ISO/IEC 27006
PR/mo/item ID
Date ISO 27001 65
ISO/IEC 27006
ISO/IEC 27006 es la norma de “Requisitos

para la acreditación de organismos que
ofrecen certificación deSGSI”
Iniciativa conjunta de ISO, IAF yCASCO
Con base en
ISO/IEC 17021
ISO/IEC 27001
PR/mo/item ID
Date ISO 27001 66
Uso of „Debe“ y„Debería“
ISO/IEC 27006 contiene requisitos

No existen requisitos para auditotías generales
adicionales a ISO/IEC 17021
“Debe” se emplea para indicar requisitos
obligatorios de ISO/IEC 17021, ISO/IEC 27001,
o los resultantes de combinar las dos
“Debería” tiene que ver con orientación,
aunque presenta un método reconocido para el
cumplimiento de los requisitos
PR/mo/item ID
Date ISO 27001 67
Estructura de ISO/IEC 27006
ISO/IEC 27006 sigue la estructura de

ISO/IEC 17021
Declaración de alto nivel del contenido
de los numerales de ISO/IEC 17021
Orientación SGSI – si existe orientación
adicional necesaria para el SGSI, ésta
se incluye aquí.
PR/mo/item ID
Date ISO 27001 68
Structure of ISO/IEC 27006 - Example
PR/mo/item ID
Date ISO 27001 69
¿Qué incluye ISO/IEC 27006?
Sección 5 “Requisitos generales”

Orientación especifica del SGSI en relación con
la imparcialidad
Listado del trabajo que pudiera estar en
conflicto
Inclusión de una lista de todas las actividades
que se pueden realizar out
Sección 6 “Estructura organizacional”
No hay orientación especifica de SGSI, ISO/IEC
17021 se aplica
PR/mo/item ID
Date ISO 27001 70
Sección 7 “Requisitos de los recursos”

7.1 Orientación específica de SGSI en relación con la
competencia de la Dirección
competencia del personal del OC
Capacitación, niveles de educación, experiencia
laboral pre-requeridos, etc.
subcontratación
PR/mo/item ID
Date ISO 27001 71
Sección 8 “Requisitos de información”
8.1 Orientación específica de SGSI para otorgar
mantener,… suspender certificados
8.2 Orientación específica de SGSI para
documentos de certificación
El certificado debe hacer referencia a la versión
de la Declaración de Aplicabilidad
Cierta orientación más específica de SGSI en
relación con
8.4 Uso de sellos
8. 5 Confidencialidad
PR/mo/item ID
Date ISO 27001 72
Sección 9 “Requisitos del proceso”
9.1.1 Orientación específica de SGSI sobre
requisitos generales de auditoría de SGSI para:
Criterios de auditoría de certificación
Políticas y procedimientos
Equipo auditor
9.1.2 Orientación específica de SGSI en relación

con el alcance
El OC debe garantizar que el alcance se defina según se requiera en
la norma ISO/IEC 27001
El OC debe garantizar que la evaluación del riesgo refleje el alcance
Énfasis especial en las interfaces y la necesidad de manejarlas.
PR/mo/item ID
Date ISO 27001 73

9.1.3 Orientación específica de SGSI sobre el tiempo
de la auditoría
Sin especificar un marco temporal en particular
Listado de factores que pueden influir en el tiempo
requerido para la auditoría
Complejidad del SGSI, dimensión del alcance,
tipo y diversidad de empresa, número de
sitios,…
Referencia al Anexo A.3
PR/mo/item ID
Date ISO 27001 74

9.1.4 Sitios múltiples
La orientación específica de SGSI contiene la
información habitual
Muestreo representativo, en parte aleatorio y en
parte basado en el riesgo
Se audita cada sitio con riesgos significativos antes
de la certificación
El programa de seguimiento debería cubrir
eventualmente todos los sitios
PR/mo/item ID
Date ISO 27001 75
El resto de la Sección 9 comprende el proceso típico
de auditoría
La competencia del equipo auditor se ha actualizado
con las normas ISO/IEC 17021 e ISO/IEC 27001
Énfasis especial en evaluación del riesgo, selección
del control, efectividad, documentación, auditorías y
revisiones
Requisitos específicos de SGSI:
Conformidad reguladora
Integración con otros sistemas de gestión
PR/mo/item ID
Date ISO 27001 76
Tres anexos nuevos – todos informales

Anexo A.1 Análisis de Complejidad
Valoración de la complejidad de un SGSI
Anexo A.2 Ejemplo de Áreas de Competencia del Auditor
Competencia requerida para las diferentes áreas de control y el SGSI
Anexo A.3 Tiempo de la auditoría
Descripción del proceso para determinar el tiempo de la auditoría
Ejemplo de cálculos con base en IAFGD 2, más días adicionales para
SGSI/controles
Anexo A.4 Orientación sobre la revisión de los controles del Anexo A
PR/mo/item ID
Date ISO 27001 77
ISO/IEC 27001
Evaluación del Riesgo
&
Gestión del Riesgo
PR/mo/item ID 78
Date ISO 27001 78
Enfoques de Gestión del Riesgo
ISO/IEC 27001 no especifica el enfoque de

evaluación/gestión del riesgo que se debe usar
Depende de la organización especificar qué usar
(de acuerdo con el numeral 4.2.1 c))
ISO/IEC 27001 presenta el marco e ISO/IEC
27005, cierta información de mayor utilidad
PR/mo/item ID
Date ISO 27001 79
ISO/IEC 27005
ISO/IEC 27005 – Gestión del riesgo de seguridad de

la información
Ofrece orientación para la gestión del riesgo de
seguridad de la información como se plantea en la
norma ISO/IEC 27001
Es aplicable para todas las organizaciones
(tamaño, tipo de empresa, etc.) que requieran
administrar los riesgos de seguridad de la
información
PR/mo/item ID
Date ISO 27001 80
ModelISO/IEC 27005
Proceso
de gestión ESTABLECER CONTEXTO
del riesgo en EVALUACIÓN DEL RIESGO
ISO/IEC 27005
ANÁLISIS DEL
SEGUIMIENTO Y REVISIÓN DEL RIESGO

RIESGO
IDENTIFICACIÓN DEL RIESGO
COMUNICACIÓN DEL RIESGO

VALORACIÓN DEL RIESGO
EVALUACIÓN DEL RIESGO
DECISIÓN SOBRE EL
RIESGO PUNTO 1
Evaluación satisfactoria Si
TRATAMIENTO DEL RIESGO
DECISIÓN SOBRE EL
RIESGO PUNTO 2
Aceptar riesgos
Si
ACEPTACIÓN DEL RIESGO
FIN DE LAS ITERACIONES PRIMERAS O SUBSIGUIENTES
PR/mo/item ID
Date ISO 27001 81
ISO/IEC 27005 - Contenido
La norma ISO/IEC 27005 no especifica un enfoque

“correcto” de evaluación/gestión del riesgo
Considera análisis cualitativos y cuantitativos
En la actualidad se concentra en la evaluación del riesgo
y su tratamiento
Aún se requieren adiciones sobre seguimiento y revisión
del riesgo
PR/mo/item ID
Date ISO 27001 82
ISO/IEC 27005 - Anexos
ISO/IEC 27005 contiene numerosos anexos útiles

Valoración del activo
Evaluación del impacto
Ejemplo de listas de amenazas
Ejemplo de listas de vulnerabilidades, relacionadas
con áreas específicas de seguridad de la información
Análisis de varios enfoques de evaluación del riesgo
Mucha información acerca de la selección de
controles (con base en la antigua ISO/IEC 13335-4)
PR/mo/item ID
Date ISO 27001 83
Dominios de riesgo
Aplicaciones Servicios
Información Entorno
físico
Procesos
empresariales
TCI
Personas
Conexiones en
red
PR/mo/item ID
Date ISO 27001 84
Activos en el SGSI
Se deberían identificar todos los activos dentro de

los límites del SGSI
A fin de comprender los activos y su función en el
SGSI, resulta útil identificarlos como parte de las
subdivisiones del SGSI
Esto debería incluir
Activos relacionados con el SGSI vía interfaces
Dependencias a fin de garantizar la protección
constante
PR/mo/item ID
Date ISO 27001 85
Activos del SGSI
SGSI Imagen corporativa

Personas
Información /sistemas de información Personas
activos Procesos Información
Productos/servicios
Aplicaciones
TCI Procesos
Entorno físico empresariales
Servicios Aplicaciones
TCI
directorio
de activos Entorno
físico
PR/mo/item ID
Date ISO 27001 86
Importancia de la medición del activo
¿Cuál es el activo más importante su organización?

Factores que influyen en la importancia:
¿Qué sucede si se daña el activo?
¿El activo es útil para la organización, qué tan
difícil resulta realizar negocios sin éste?
¿El activo se relaciona con aplicaciones, recursos
críticos, etc.?
PR/mo/item ID
Date ISO 27001 87
¿Cómo medir?
‘Valores’ diferentes de un activo

Dinero (por ej. costos de reposición)
Valor que expresa la calidad de crítico
Valores que expresan el impacto potencial y el daño a
la empresa por una perdida de
Confidencialidad
Integridad
Disponibilidad
Valores asociados con otras clasificaciones (por ej.
Violación de las leyes)
PR/mo/item ID
Date ISO 27001 88
Escala de valoración del activo
¿Cuántos niveles
3, 4 ó 5 .... ó ¿cuántos?
La diferencia entre los niveles debe ser fácil de
explicar
El significado de estos niveles diferentes debería
expresarse en palabras en cuanto a
Confidencialidad
Integridad
Disponibilidad
Otros criterios potenciales
PR/mo/item ID
Date ISO 27001 89
Identificación de requisitos
Identificación de requisitos para los activos

Obligaciones legales y contractuales que el activo
(o su ambiente) debe cumplir
Requisitos empresariales que se relacionan con el
activo
Información de entrada necesaria para la valoración
Ejemplo: información con el requisito de cumplir la
Ley de Protección de Datos, Data Protection Act
Alta valoración de la confidencialidad e integridad
PR/mo/item ID
Date ISO 27001 90
Requisitos legales/contractuales
Identificar toda la legislación y regulación aplicable para

el SGSI y sus activos
Véase también la norma ISO/IEC 27002, Sección 12.1
Identificar las obligaciones contractuales
Considerar todos los contratos existentes e identificar
las obligaciones allí contempladas.
Acuerdos en el nivel de servicios
Conformidad con las políticas y procedimientos de seguridad
Derechos para auditar en contratos de terceros
Requisitos IPR (Derechos de Propiedad Intelectual)
…
PR/mo/item ID
Date ISO 27001 91
Requisitos empresariales
Identificar todos los requisitos empresariales

aplicables para el SGSI y sus activos, resultantes de
Aplicaciones específicas tales como la Internet,
Comercio electrónico, etc.
Asuntos empresariales tales como joint ventures,
requisitos para el correcto procesamiento
empresarial, requisitos para entrega oportuna,
etc.
Requisitos de disponibilidad para la información y
los servicios, por ej. los resultantes de los
requisitos del cliente
PR/mo/item ID
Date ISO 27001 92
Requisitos de confidencialidad (C)
Valor del Clase Descripción
activo
1 - BAJO Disponible al La información no sensible y las instalaciones de procesamiento
público de la información y los recursos del sistema están disponibles
para el público.
2 - MEDIANO Para uso interno La información no sensible está restringida para uso interno
exclusivamente o exclusivamente, es decir, no está disponible para el público o la
uso restringido información restringida y las instalaciones de procesamiento de
solamente la información y los recursos del sistema están disponibles
dentro de la organización con restricciones variadas con base
en las necesidades de la empresa.
3 - ALTO Confidencial o La información sensible y las instalaciones de procesamiento de
Estrictamente la información y los recursos del sistema están disponibles sólo
confidencial sobre la base de la necesidad del conocimiento, o
La información sensible y las instalaciones de procesamiento de
la información y los recursos del sistema están disponibles sólo
sobre la base de la necesidad estricta del conocimiento
PR/mo/item ID
Date ISO 27001 93
Requisitos de integridad (I)

Valor del Clase Descripción
activo
1 - BAJO Baja integridad El daño o modificación no autorizada no es crítico para
las aplicaciones empresariales y el impacto en la
empresa es insignificante o menor.
2 - MEDIANO Integridad El daño o modificación no autorizada no es crítico pero
mediana si es notorio para las aplicaciones empresariales y el
impacto en la empresa es significativo.
3 - ALTO Integridad alta El daño o modificación no autorizada es crítica para
o muy alta las aplicaciones empresariales y el impacto en la
empresa es importante y podría conllevar a falla grave
o total de la aplicación empresarial
PR/mo/item ID
Date ISO 27001 94
Escala de valoración de activos
Requisitos de disponibilidad (A)

Valor del activo Clase Descripción
1 - BAJO Baja Se puede tolerar que el activo (información, sistema de
disponibilidad
procesamiento de la información, recursos del sistema/
servicios de red, personas, etc.) no esté disponible por
más de un día
2 - MEDIANO Disponibilidad Se puede tolerar que el activo (información, sistema de
mediana procesamiento de la información, recursos del sistema/
servicios de red, personas, etc.) no esté disponible por
máximo de medio día a un día.
3 - ALTO Alta No se puede tolerar que el activo (información, sistema
disponibilidad de procesamiento de la información, recursos del
sistema/ servicios de red, personas, etc.) no esté
disponible por más de unas cuantas horas, o incluso
menos.
PR/mo/item ID
Date ISO 27001 95
Activos - Resumen
La protección de los activos es el objetivo de la
seguridad de la información y la gestión del riesgo
Cada activo debería
Identificarse y valorarse para permitir la adecuada
protección
Se debe identificar un propietario/custodio
Y se debería producir una lista/inventario, que incluya
Clasificación, almacenamiento y fecha de
entrada/actualización
Propietario, ubicación, tipo de activo, donde se
emplea…
PR/mo/item ID
Date ISO 27001 96
Controles existentes
Se deben identificar todos los controles ya
implementados o planificados
Esto es necesario para
Identificar amenazas y vulnerabilidades en un
contexto realista
Verificar si estos controles son realmente
necesarios o, de lo contrario, retirarlos
Identificar durante el proceso de evaluación de
riesgos dónde funcionan correctamente o deben
mejorarse estos controles
Seleccionar controles nuevos que se ajusten a los
ya existentes
PR/mo/item ID
Date ISO 27001 97
Identificación de controles
Los controles existentes se pueden identificar fácilmente

empleando un análisis de brechas, que sirve para:
Colocar los controles existentes en relación con los de
ISO/IEC 27002
Se puede ajustar en detalle, como se requiera
Se puede realizar mediante
Tablas de verificación/P&R
Entrevistas
Recorrido
Análisis de mesa redonda
PR/mo/item ID
Date ISO 27001 98
Grados de conformidad
Grados …
NO
Si – implementada por completo
Parcial
como se describe en ISO/IEC 27002 Si
Parcial – desde casi completa hasta cuando existen
muchas brechas entre la implementación real y la norma
ISO/IEC 27002
NO – sin implementarse en absoluto
NO SE APLICA– no es adecuada para la organización, por
ej., técnicamente no es factible implementarla.
PR/mo/item ID
Date ISO 27001 99
Tabla de análisis de brechas
de alto nivel
Control Pregunta S/P/ Comentarios
N/NA
Política de Seguridad de la Información

5.1.1 ¿Se ha publicado el documento de la política?, Parcial Ha sido producido y aprobado por
¿ha sido aprobado por la Dirección y se encuentra la Dirección, pero aún no se ha
disponible para todos los usuarios responsables publicado – véase CISP/001/v1.0.
de la seguridad de la información?
5.1.2 ¿La política publicada se revisa de manera regular No Pero se hará después de que se
y es apropiada? haya publicado
Organización interna
6.1.1 ¿La Dirección está comprometida con la Si La Dirección apoya por completo
seguridad de la información y ofrece instrucción las iniciativas ISO/IEC 27001.
clara y apoyo para las iniciativas de seguridad?
6.1.2 ¿Las iniciativas y las medidas de seguridad están No se Esta es una pequeña empresa y
coordinadas por medio de un foro funcional aplica esto de puede manejar en un nivel
transversal? de trabajo diario.
6.1.3 ¿Están bien definidas las responsabilidades para Parcial Aún se requiere asignar
la protección de activos individuales y la responsabilidades adicionales en
realización de procesos específicos? línea con la política de seguridad.
PR/mo/item ID
Date ISO 27001 100
Tabla detallada
de análisis de brechas
Pregunta S/P/ N/NA Comentarios
Control 5.1.1 – Documento de política de seguridad de la

información
¿Se ha implementado la política de seguridad? Si Ha sido publicada y se emprenderán
acciones adicionales para la
comunicación en el mes. siguiente
¿La política está aprobada por la Dirección? Si Si, ha sido aprobada por la Dirección.
¿Se ha publicado y comunicado la política a todos los Parcial Ha sido publicada para todos los
empleados y partes externas pertinentes? empleados, pero aún no externamente
¿Todos entienden la política de seguridad, su propósito No No todavía, pero se brindará

e implicaciones? capacitación especial para lograrlo el
mes siguiente.
¿La política contiene todos los asuntos pertinentes Si Se ha desarrollado la política por
mencionados en Control 5.1.1? completo en línea con la norma 27002.
¿La política de seguridad está poyada por políticas más Parcial Existe una política de control de acceso
detalladas (por ej, software o la Internet)? y directrices de manejo de incidentes,
pero en la actualidad no hay política de
la Internet.
PR/mo/item ID
Date ISO 27001 101
Threats & vulnerabilidades
Las vulnerabilidades son debilidades, por ej.

debilidades de seguridad en el sistema
Las amenazas son cualquier cosa que pudiera
causar daño, perjurio o pérdida a los activos de una
organización por medio de la explotación de las
vulnerabilidades de estos activos
Se necesita la conjunción de vulnerabilidades y
amenazas para originar un riesgo
PR/mo/item ID
Date ISO 27001 102
Las amenazas pueden originarse de …
Ataques del exterior, por ej. Intento de intrusión en las

redes o predios de una organización
Hackers, spam
Ataques desde el interior usando el conocimiento y las
oportunidades brindadas por el empleado
Ejemplo: un banco en Alemania donde desparecieron 8
millones de €
Accidentalmente debido a fallas del sistema o factores
geográficos
Inundaciones, huracanes, terremotos
Sobrecarga del sistema
PR/mo/item ID
Date ISO 27001 103
Ejemplos de amenazas
Acceso no autorizado
Código malicioso
Hurto, por empleados o no empleados
Mal uso de los sistemas de procesamiento de la información
Fraude
Falla del sistema
Negación del servicio
Errores del usuario
Desastres
……
PR/mo/item ID
Date ISO 27001 104
Identificación de amenazas
¿Qué podría amenazar este activo?

Empleados o no empleados
Fallas del sistema o desastres
Identificación de las amenazas
¿Quién o qué causa la amenaza?
¿Quién podría beneficiarse de iniciar la amenaza?
¿Qué ha ocurrido en el pasado?
¿Qué probabilidad hay de que esto ocurra (de
nuevo)?
PR/mo/item ID
Date ISO 27001 105
Las vulnerabilidades están allí …
Debido a inadecuados controles de personal, de

dirección y administrativos
En relación con políticas, procedimientos y
directrices
En relación con la conformidad
En software de computador o equipo de
comunicaciones, en redes, sistemas/aplicaciones
En el ambiente físico
PR/mo/item ID
Date ISO 27001 106
Ejemplos de vulnerabilidad
Falta de concientización
Falta de responsabilidades claras
Clasificación errónea de la información
Incapacidad de proporcionar evidencia
Falta de control de cambio o versión
Falta de mantenimiento
Identificación y autenticación inapropiada
Falta de seguridad de los medios
Falta de protección física
……
PR/mo/item ID
Date ISO 27001 107
Identificación de vulnerabilidades
Identificación de vulnerabilidades del activo

¿Cuáles son los problemas de seguridad de este activo ?
¿Faltan controles para este activo?
¿Hay defectos en los mecanismos de protección actuales?
Identificación de vulnerabilidades en el ambiente?

¿Cuál es la apariencia del ambiente técnico?
¿Qué pasa con las conexiones, redes, etc.?
¿Qué tan seguro es el ambiente físico?
¿Está bien capacitado el personal? ¿es consciente de la
seguridad y cumple con los controles?
PR/mo/item ID
Date ISO 27001 108
Incidentes
Las amenazas y vulnerabilidades sólo causan

riesgos si se reúnen y causan incidentes
La evaluación en conjunto sirve para
Facilitar el proceso de evaluación del riesgo
Hacer la evaluación menos teórica y más realista
No se deben combinar todas las amenazas y
vulnerabilidades identificadas sin analizar
Se deben tener en cuenta los controles existentes
PR/mo/item ID
Date ISO 27001 109
Fuentes de información
Recursos internos de la empresa
Informes de incidentes de seguridad
Resultados de auditorías del sistema & revisiones de
seguridad
Observación de procesos empresariales & condiciones de
trabajo/operacionales,
Charla con los propietarios & usuarios de los activos/el
sistema
Internet
CERT
SANS
…
PR/mo/item ID
Date ISO 27001 110
Escala de valoración
Cuántos niveles
3, 4 .... ó cuantos?
La diferencia entre los niveles debe ser fácil de
explicar
El significado de estos niveles diferentes debería
expresarse en palabras, explicando las diferencias
en la probabilidad de ocurrencia de los incidentes
PR/mo/item ID
Date ISO 27001 111
Valoración
¿Qué probabilidad hay que ocurra una combinación de

amenaza/vulnerabilidad?
¿Qué tanto podría sentirse atraído un atacador posible?
¿Con qué frecuencia ha ocurrido esto en el pasado?
¿Qué tan fácil es explotar las vulnerabilidades?
¿Qué tan buenos son los controles implementados?
PR/mo/item ID
Date ISO 27001 112
Valoración A/V
Amenazas
1 – baja probabilidad
2 – probabilidad media
3 – es probable que ocurra
Vulnerabilidad
1 - Dificultad de explotación, buena protección
2 – Posibilidad de explotación
3 – Facilidad de explotación, poca protección
PR/mo/item ID
Date ISO 27001 113
Riesgo de exposición
Imagen corporativa
Personal
Información/sistemas de información
Procesos
Activos Productos/servicios
Applicaciones
TIC
Físicos
Amenazas
Bajas Altas
Vulnerabilidades
Riesgo de Exposición (RdE)

Bajas 1 2 3 1 Exposición baja
2 Exposición media
2 RE
3 4 3 Exposición significativa
4 Exposición alta
Altas 5 Exposición intolerable
3 4 5
PR/mo/item ID
Date ISO 27001 114
Matriz de riesgo
RIESGO DE EXPOSICIÓN
IMPACTO BAJO MEDIO ALTO
Bajo 1 3 5
Medio 2 4 6
Alto 3 5 7
Muy alto 4 6 8
1 (bajo) 2 3 4 5 6 7 8 (muy alto)
Incremento en la severidad del riesgo
PR/mo/item ID
Date ISO 27001 115
Matriz de riesgo
RIESGO DE EXPOSICIÓN
Bajo 1 3 5
Medio 2 4 6
Alto 3 5 7
Muy alto 4 6 8
PR/mo/item ID
Date ISO 27001 116
Nivel de riesgo
RE
1 2 3 Nivel de riesgo
1 Tolerable/insignifi.
2
Impacto
2
Nivel
3
} Menor
3 5
de 4 Significativo
5
riesgo 6
6
} Mayor
5 6 7 7 Intolerable
IMPACTO EN EL NEGOCIO
Bajo (insignificante, sin consecuencias, trivial, insignificante)
Bajo-Medio (notable, considerable pero no importante)
Medio (significante, importante)
Medio-Alto (daño serio, potencialmente desastroso)
Alto (daño devastador, daño total, cierre completo)
PR/mo/item ID
Date ISO 27001 117
Números relacionados con el riesgo
La escala de riesgo tiene que estar relacionada con su

negocio, ya que éste es el que enfrenta los riesgos. Los
números 1 a 8 del ejemplo (y usados en la matriz de riesgo)
pueden tener muchos sentidos e interpretaciones. Antes de
poder decidir cómo reducir y manejar el riesgo, su negocio
debe especificar qué significa cada número en el contexto de
su negocio, por ejemplo, 6 se podría interpretar como una
pérdida de £100,000 para un negocio, y de £700,000 para
otro. RIESGO DE EXPOSICIÓN
Bajo 1 3 5
Medio 2 4 6
Alto 3 5 7
muy Alto 4 6 8
PR/mo/item ID
Date ISO 27001 118
Tratamiento del riesgo
Diferentes tratamientos del riesgo

Activo
Retención del riesgo
- Se aceptan los riesgos con conocimiento y objetivamente
Riesgo de
Reducción del riesgo
aceptación del
exposición
- Reducción mediante aplicación de una selección apropiada de
Límite de
(RE) controles
riesgo
- Reducción del riesgo de exposición

- Minimizar el impacto
Impacto Transferencia del riesgo
en el - Transferencia mediante contrato
negocio - Transferencia mediante un seguro
Evitar el riesgo
Nivel de - No comprometiéndose en actividades que generan riesgo
riesgo - Abandonar la actividad
- Cambiar de ubicación
- Cambiar/modificar el proceso
PR/mo/item ID
Date ISO 27001 119
Límite de riesgo
Activo
riesgo
Riesgo de riesgo riesgo
riesgo
exposición riesgo
REGISTRO
REGISTRO DE DE
Nivel de riesgo
(RE)
RIESGOS
RIESGOS riesgo
{riesgos
{riesgos
identificados}
identificados} Límite de
Impacto
en el aceptación del
negocio riesgo
Nivel de
riesgo
PR/mo/item ID
Date ISO 27001 120
Activo
Riesgo de
Nivel de riesgo
identificados
exposición
Riesgos
(RE) riesgo
Controles
para riesgo
Impacto reducción Límite de aceptación
del riesgo riesgo
en el del riesgo
negocio
riesgo riesgo
Nivel de riesgo
riesgo
PR/mo/item ID
Date ISO 27001 121
Reducción del riesgo mediante controles
Los riesgos identificados se deberían reducir a un nivel

aceptable
Reducción de riesgos por medio de:
reducción de la vulnerabilidad. Por ejemplo, mejorar la
identificación y procedimientos de autenticación de los
usuarios
reducción de la amenaza. Por ejemplo, barreras contra
fuego bien configurada y manejada para protección
contra los ataques del exterior
Protección contra los efectos del riesgo. Por ejemplo,
usando encriptación para proteger contra cualquier
ataque que pudiera ocurrir
PR/mo/item ID
Date ISO 27001 122
Nivel de riesgo reducido

Nivel de riesgo calculado
3 44 5 6 7 88 9 (muy
Niveles de (Bajo) Alto)
riesgo
Implementación
de un conjunto de
controles
Por ejemplo, esta reducción puede haber sido posible por medio de la
combinación de mejoras en los procedimientos operativos, formación
para su uso, y mejores mecanismos técnicos de control de acceso
PR/mo/item ID
Date ISO 27001 123
Reducción del riesgo – ¿Cómo funciona?
La reducción del riesgo siempre es difícil de evaluar

Los controles ayudan a reducir el riesgo
¿En qué grado un control particular reduce la
probabilidad de que ocurra la combinación
amenaza/vulnerabilidad?
La ISO/IEC 27001 exige que se considere la reducción
del riesgo
La mejor forma de hacerlo es identificar en el tiempo si
los controles manejan adecuadamente los riesgos
PR/mo/item ID
Date ISO 27001 124
Selección de controles
Es necesario seleccionar los objetivos y controles
apropiados
Del Anexo A de la ISO/IEC 27001
De cualquier otra fuente, cuando sea necesario
La selección de los objetivos de control y de los controles
se debería justificar con base en:
Los resultados del proceso de valoración del riesgo
Las conclusiones del proceso de tratamiento del
riesgo
Es necesario que los controles existentes y los
seleccionados formen un sistema de controles y que
trabajen conjuntamente
PR/mo/item ID
Date ISO 27001 125
Declaración de aplicabilidad
La declaración de aplicabilidad debería contener:

Los objetivos de control y los controles
seleccionados, y las razones para su selección
Todos los controles implementados actualmente
(véanse los resultados del análisis de brecha)
Cualquier exclusión de los objetivos de control o
controles de la ISO/IEC 27001 Anexo A, y la razón
para su exclusión
PR/mo/item ID
Date ISO 27001 126
Declaración de aplicabilidad –
Ejemplo
Objetivo de control y control S/T/ Comentarios y razones
N/NS

A.5.1 Brindar a la dirección orientación y apoyo Sí Necesita implementarse para todo el SGSI
en lo relativo a seguridad de la (ver IVR página 4).
información …
A.5.1.1 Documento de la Política de Seguridad Sí Es necesario que la política esté completa de
de la Información manera que comprenda todos los elementos,
como se indica en la ISO/IEC 27002, 5.1.1.
A.5.1.2 Revisión de la información de la Política Sí La política será revisada de acuerdo con el

de Seguridad de la Información procediento de revisión de la PSI.
Organización interna
A.6.1 Manejar la seguridad de la información Sí Necesita implementarse para todo el SGSI
dentro de la organización (véase RAR página 6).
A.6.1.1 … … …
IVR = Informe de valoración del riesgo

PR/mo/item ID
Date ISO 27001 127
Control de riesgos
personas
100
80
físicos 60 sistemas de informació
Ene-02 40
Jun-02 20
Ene-03 0
TIC procesos
aplicaciones productos/servicios
PR/mo/item ID
Date ISO 27001 128
Herramientas de valoración del riesgo
Hay muchas herramientas disponibles para valoración y

gestión del riesgo
Para seleccionar una herramienta se debería considerar lo
siguiente
La herramienta necesita abarcar el proceso de valoración
del riesgo/gestión del riesgo, como se indica en la ISO/IEC
27001
La herramienta debería ser adecuada para la organización
La herramienta debería abarcar todas las áreas de control
de la ISO/IEC 27002
PR/mo/item ID
Date ISO 27001 129
RA2 arte del riesgo
RA2 arte del riesgo ha sido diseñado especialmente

para la ISO/IEC 27001 y la ISO/IEC 27002
Pasa por el todo el proceso de valoración del riesgo,
desde la identificación del alcance del SGSI a la
declaración de la aplicabilidad
Incluye todos los controles de
ISO/IEC 27002:2000 y
ISO/IEC 27002:2005
PR/mo/item ID
Date ISO 27001 130
ISO/IEC 27002
Código de Práctica
Para Gestión de
Seguridad de la
Información
PR/mo/item ID 131
Date ISO 27001 131
ISO/IEC 27002 – Desarrollo en el tiempo
Junio 15
1995-1998 1999 2000 de 2005
BS 7799 Parte 1 Publicación de Primera
BS 7799 Parte 1
Código de Práctica las actualización actualización de
publicada como
BS 7799 Parte 2 de las partes la ISO/IEC 17799
ISO/IEC 17799
especificación SGSI 1y2
PR/mo/item ID
Date ISO 27001 132
Anterior - Nueva
Edición 2000 Edición de 2005
Política de seguridad Política de seguridad
Organización de la seguridad Organización de Seguridad de la Inform.
Control y clasificación de activos Gestión de activos
Seguridad del personal Seguridad de los recursos humanos
Seguridad física y ambiental Seguridad física y ambiental
Gestión de comunicaciones y Gestión de comunicaciones y operaciones

operaciones
Control de acceso Control de acceso
Desarrollo y mantenimiento de Adquisición, desarrollo y mantenimiento

sistemas de sistemas de información
Gestión de incidentes de seguridad de la

información
Gestión de continuidad del negocio Gestión de continuidad del negocio
cumplimiento Cumplimiento
PR/mo/item ID
Date ISO 27001 133
Numeral 4
Valoración y tratamiento del riesgo
Introducción a la valoración y tratamiento de

riesgos de seguridad de la Información
Alineación con la ISO/IEC 27001 y la ISO/IEC
27005 (versión actualizada de la ISO/IEC 13335)
Inclusión de la valoración del riesgo en el alcance
Énfasis en la importancia de la valoración del
riesgo
PR/mo/item ID
Date ISO 27001 134
5.1 Política de seguridad de la
Información
5.1 1 Documento de la política de seguridad de la
información
La dirección debería aprobar un documento de la política de
seguridad de la información, y lo debería publicar y comunicar
a todos los empleados y partes externas interesadas.
5.1.2 Revisión de la política de seguridad de la
información
La Política de Seguridad de la Información se debería revisar
a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, suficiencia y eficacia
continuas.
PR/mo/item ID
Date ISO 27001 135
Lista de verificación de la política (1)
Marco para establecer objetivos, dirección y

principios de seguridad de la información
Establece el compromiso de la dirección
Considera los requisitos comerciales y legales y las
obligaciones de seguridad contractuales
Se alinea con el contexto de gestión estratégica de
riesgo de la organización
Establece criterios contra los cuales se evaluará el
riesgo
PR/mo/item ID
Date ISO 27001 136
Lista de chequeo de la política (2)
Establece una definición de seguridad de la
información
Explicación acerca de las políticas y principios
importantes de seguridad de la información
Formación y toma de conciencia
Consecuencias de violaciones a la seguridad
Referencias a otras políticas más detalladas
Definición de las responsabilidades de seguridad
de la información
Aprobada por la Dirección, publicada y
comunicada a todos los empleados
PR/mo/item ID
Date ISO 27001 137
6.1 Organización interna
6.1.1 Compromiso de la dirección con la seguridad de la

Información
La dirección debería apoyar activamente la seguridad dentro de
la organización por medio de un rumbo claro, el compromiso
demostrado, una asignación explícita y el conocimiento de las
responsabilidades de la seguridad de la información.
6.1.2 Coordinación de la seguridad de la Información
Las actividades de seguridad de la información deberían ser
coordinadas por representantes de la organización con roles y
funciones pertinentes.
6.1.3 Asignación de responsabilidades para la
Se deberían definir claramente todas las responsabilidades en
cuanto a seguridad de la información.
PR/mo/item ID
Date ISO 27001 138
6.1 Organización interna
6.1.4 Proceso de autorización para los servicios

de procesamiento de la información
6.1.5 Acuerdos sobre confidencialidad
6.1.6 Contacto con las autoridades
6.1.7 Contacto con grupos de interés especiales
6.1.8 Revisión independiente de la seguridad de
la información
PR/mo/item ID
Date ISO 27001 139
6.2 Partes externas
6.2.1 Identificación de los riesgos relacionados

con las partes externas
6.2.2 Abordar la seguridad cuando se trata con
clientes
6.2.3 Abordar la seguridad en acuerdos con
terceras partes
PR/mo/item ID
Date ISO 27001 140
7 Gestión de activos
Responsabilidad por los activos
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
Clasificación de la información
7.2.1 Directrices de clasificación
7.2.2 Etiquetado y manejo de la información
PR/mo/item ID
Date ISO 27001 141
Ejemplo de inventario de activos
Valor
Identif. Tipo de activo Propietario y ubicación C I A
activo
XS1 Sistema operativo A
XS2 Sistema operativo B
XS3 Aplicación S/W y utilidades
… … …
XH1 Servidor Administrador del sistema
XH2 Computadores
… … …
XIS1 Sistema de información A Jefe de recursos humanos
XIS2 Sistema de información B Jefe del grupo de finanzas
… … …
XC1 Equipo de comunicaciones. Gerente de comunicaciones
… … …
XP1 CCTV Jefe de gestión de propiedad y oficina
… … …
PR/mo/item ID
Date ISO 27001 142
8 Seguridad de los recursos humanos
antes, durante y al terminar el contrato laboral
8.1 Antes de la contratación laboral
8.1.1 Roles y responsabilidades
8.1.2 Selección
8.1.3 Términos y condiciones laborales
8.2 Durante la vigencia del contrato laboral

8.2.1 Responsabilidades de la dirección
8.2.2 Educación, formación y concientización sobre seguridad de
la información
8.2.3 Proceso disciplinario
8.3 Terminación o cambio del contrato laboral
8.3.1 Responsabilidades en la terminación
8.3.2 Devolución de activos
8.3.3 Retiro de los derechos de acceso
PR/mo/item ID
Date ISO 27001 143
9 Seguridad física
Áreas seguras
9.1.1 Perímetro de seguridad física
9.1.2 Controles de acceso físico
9.1.3 Seguridad de oficinas, recintos e instalaciones
9.1.4 Protección contra amenazas externas y
ambientales
9.1.5 Trabajo en áreas seguras
9.1.6 Áreas de carga, despacho y acceso público
PR/mo/item ID
Date ISO 27001 144
9 Seguridad física
Seguridad de los equipos

9.2.1 Ubicación y protección de los equipos
9.2.2 Servicios de soporte
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de los equipos
9.2.5 Seguridad de los equipos fuera de las instalaciones
9.2.6 Seguridad en la reutilización o eliminación de los
equipos
9.2.7 Retiro de activos
PR/mo/item ID
Date ISO 27001 145
10.2 Gestión de la prestación del servicio por
terceras partes
10.2.1 Prestación del servicio

10.2.2 Monitoreo y revisión de los servicios
por terceros
10.2.3 Gestión de los cambios en los servicios
por terceras partes
Basado en BS 15000/ISOIEC 20000
PR/mo/item ID
Date ISO 27001 146
10.3 Planificación y aceptación del sistema y
10.4 Códigos maliciosos
Planificación y aceptación del sistema

10.3.1 Gestión de la capacidad
10.3.2 Aceptación del sistema
Protección contra códigos maliciosos y móviles

10.4.1 Controles contra códigos maliciosos
10.4.2 Controles contra códigos móviles
PR/mo/item ID
Date ISO 27001 147
Respaldo, gestión de redes y manejo de la
información
10.5 Respaldo
10.5.1 Respaldo de la información
10.6 Gestión de redes
10.6.1 Controles de redes
10.6.2 Seguridad de los servicios de redes
10.7 Manejo de la información
10.7.1 Gestión de medios removibles
10.7.2 Eliminación de los medios
10.7.3 Procedimientos para el manejo de la información
10.7.4 Seguridad de la documentación del sistema
PR/mo/item ID
Date ISO 27001 148
10.8 Intercambio de la información
10.8.1 Políticas y procedimientos para el

intercambio de información
10.8.2 Acuerdos para el intercambio
10.8.3 Medios físicos en tránsito
10.8.4 Mensajería electrónica
10.8.5 Sistemas de información del negocio
PR/mo/item ID
Date ISO 27001 149
10.9 Servicios de comercio electrónico
10.9.1 Comercio electrónico

10.9.2 Transacciones en línea
10.9.3 Sistemas disponibles públicamente
PR/mo/item ID
Date ISO 27001 150
10.10 Monitoreo
10.10.1 Registro de auditorías

10.10.2 Monitoreo del uso del sistema
10.10.3 Protección de la información del registro
10.10.4 Registros del administrador y el operador
10.10.5 Registro de fallas
10.10.6 Sincronización de relojes
PR/mo/item ID
Date ISO 27001 151
11.1 Requisitos del negocio para control del
acceso
Política de control de acceso

11.1.1 Política de control de
acceso Derechos y privilegios
Cuentas de usuario
Se debería establecer, Registro de usuarios
documentar y revisar la política Responsabilidades de usuarios
de control de acceso con base en
los requisitos del negocio y de la
seguridad para el acceso
operativos
Información y
aplicaciones
Sistemas
servicios
Redes y
PR/mo/item ID
Date ISO 27001 152
11.2 Gestión del acceso de usuarios
11.2.1 Registro de usuarios

11.2.2 Gestión de privilegios
11.2.3 Gestión de contraseñas para usuarios
11.2.4 Revisión de los derechos de acceso de los
usuarios
PR/mo/item ID
Date ISO 27001 153
11.3 Responsabilidades de los usuarios
11.3.1 Uso de contraseñas

11.3.2 Equipo no atendido por usuarios
11.3.3 Política de escritorio y pantalla
despejados
PR/mo/item ID
Date ISO 27001 154
11.4 Control de acceso a las redes
11.4.1 Política sobre uso de servicios en red

11.4.2 Autenticación de usuarios para conexiones
externas
11.4.3 Identificación de los equipos en las redes
11.4.4 Protección de los puertos de configuración y
diagnóstico remoto
11.4.5 Separación en las redes
11.4.6 Control de conexión a las redes
11.4.7 Control del enrutamiento en la red
PR/mo/item ID
Date ISO 27001 155
11.5 Control de acceso al sistema operativo
11.5.1 Procedimientos de registro de inicio

seguro
11.5.2 Identificación y autenticación de usuarios
11.5.3 Sistema de gestión de contraseñas
11.5.4 Uso de las utilidades del sistema
11.5.5 tiempo de la inactividad de la sesión
11.5.6 Limitación del tiempo de conexión
PR/mo/item ID
Date ISO 27001 156
11.6 Control de acceso a las aplicaciones y a la
información
11.6.1 Restricción del acceso a la

información
11.6.2 Aislamiento de sistemas sensibles
PR/mo/item ID
Date ISO 27001 157
11.7 Computación móvil y trabajo remoto
11.7.1 Computación y comunicaciones móviles

11.7.2 Trabajo remoto
network
PR/mo/item ID
Date ISO 27001 158
12.1 Requisitos de seguridad de los sistemas de
información
12.1.1 Análisis y especificación de los

requisitos de seguridad
PR/mo/item ID
Date ISO 27001 159
12.2 Procesamiento correcto en las aplicaciones
12.2.1 Validación de los datos de entrada

12.2.2 Control de procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validación de datos de salida
PR/mo/item ID
Date ISO 27001 160
12.3 Controles criptográficos
12.3.1 Política sobre el uso de controles

criptográficos
Encriptación
Firmas digitales
Servicios de no repudio
12.3.2 Gestión de claves
PR/mo/item ID
Date ISO 27001 161
12.4 Seguridad de los archivos del sistema
12.4.1 Control del software operativo

12.4.2 Protección de los datos de prueba del
sistema
12.4.3 Control de acceso al código fuente de los
programas
PR/mo/item ID
Date ISO 27001 162
12.5 Seguridad en los procesos de desarrollo y
soporte
12.5.1 Procedimientos de control de cambios

12.5.2 Revisión técnica de las aplicaciones
después de los cambios en el sistema operativo
12.5.3 Restricciones en los cambios a los
paquetes de software
12.5.4 Fuga de información
12.5.5 Desarrollo de software contratado
externamente
PR/mo/item ID
Date ISO 27001 163
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Control de las vulnerabilidades técnicas

Identificar las vulnerabilidades
Definir cómo reaccionar a esas vulnerabilidades
Ensayar cuidadosamente antes de instalar parches
Hacer seguimiento y auditar lo que se ha hecho
PR/mo/item ID
Date ISO 27001 164
12.6 Gestión de la
vulnerabilidad técnica
Reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas
¿Está actualizado para enfrentar la siguiente invasión de ataques?
Explotaciones el día cero
Gestión de la vulnerabilidad
Días hasta la explotación
Slammer
Nachi
Blaster Sasser
2002 2003 2004
PR/mo/item ID
Date ISO 27001 165
Enlaces a la ISO/IEC 18044
Al alinear con las definiciones de la ISO/IEC 18044, se

establece la diferencia entre
Evento de seguridad de la Información – se

identifica la ocurrencia de cualquier situación
pertinente de seguridad de la información
Incidente de seguridad de la información –

sólo se aplica a aquellos eventos que tienen una
probabilidad significativa de causar un problema de
seguridad
PR/mo/item ID
Date ISO 27001 166
13.1 Reporte sobre los eventos y debilidades de
la seguridad de la información
13.1.1 Reporte sobre los eventos de

13.1.2 Reporte sobre las debilidades en la
seguridad
PR/mo/item ID
Date ISO 27001 167
13.2 Gestión de los incidentes y las mejoras
en la seguridad de la información
13.2.1 Responsabilidades y procedimientos

13.2.2 Aprendizaje debido a los incidentes de
13.2.3 Recolección de evidencias
PR/mo/item ID
Date ISO 27001 168
14 Gestión de la continuidad del negocio
14.1.1 Inclusión de la seguridad de la información en el

proceso de gestión de la continuidad del negocio
14.1.2 Continuidad del negocio y evaluación del
impacto
14.1.3 Desarrollo e implementación de planes de
continuidad que incluyan la seguridad de la información
14.1.4 Estructura para la planificación de la continuidad
del negocio
14.1.5 Pruebas, mantenimiento y reevaluación de los
planes de continuidad del negocio
PR/mo/item ID
Date ISO 27001 169
Continuidad del negocio y
Seguridad de la Información
Continuidad
General
Del negocio Proceso
Estructura para continuidad del negociode gestión
Procesos de gestión del riesgo de la
Desarrollo de planes, directrices y políticasseguridad
Implementación de estos planes de la
Pruebas y revisión de los planes Información
PR/mo/item ID
Date ISO 27001 170
15 Cumplimiento
15.1 Cumplimiento de los requisitos legales

15.1.1 Identificación de la legislación aplicable
15.1.2 Derechos de propiedad intelectual (DPI)
15.1.3 Protección de los registros de la organización
15.1.4 Protección de los datos y privacidad de la
información personal
15.1.5 Prevención del uso inadecuado de los servicios
de procesamiento de información
15.1.6 Reglamentación de los controles criptográficos
PR/mo/item ID
Date ISO 27001 171
15 Cumplimiento
15.2 Cumplimiento de las políticas y las normas de

seguridad y cumplimiento técnico
15.2.1 Cumplimiento de las políticas y normas de
seguridad
15.2.2 Verificación del cumplimiento técnico
15.3 Consideraciones de la auditoría de los
15.3.1 Controles de auditoría de los sistemas de
información
15.3.2 Protección de las herramientas de auditoría de los
PR/mo/item ID
Date ISO 27001 172
Más acerca
de la Familia
de Normas 27000
PR/mo/item ID 173
Date ISO 27001 173
ISO/IEC 27003 – Visión general
Decisión reciente: concentrarse sólo en el tema

de la “implementación” , sin discusión sobre la
fase de VERIFICAR y ACTUAR del SGSI
Acuerdos de diseño:
No se especifica el contenido mínimo ni se
definen requisitos para la implementación
No hay formas particulares de implementar un
SGSI
Ejemplos, estudios de casos
PR/mo/item ID
Date ISO 27001 174
Factores de éxito críticos
Compromiso de la dirección
Buen gobierno dentro de la organización
Consideraciones financieras
Consideraciones específicas de un
sector/industria
Consideración de la situación de riesgo global
Cooperación con otras organizaciones
Reconocimiento de la necesidad de cambios y
actualizaciones
PR/mo/item ID
Date ISO 27001 175
Aspectos relacionados
Integración con otros sistemas de gestión

Identificación de los elementos comunes, por
ejemplo, en la parte de “sistema de gestión”
Responsabilidad por los otros sistemas de gestión
Identificación clara de toda la documentación del
SGSI (exigida en la ISO/IEC 27006)
Cumplimiento de leyes y reglamentos
Importante para identificar todas las leyes y
reglamentos aplicables
Inclusión en los requisitos en la etapa “planificar”
PR/mo/item ID
Date ISO 27001 176
Estructura de los capítulos
Todos los capítulos que abordan la implementación del

flujo de trabajo tienen la misma estructura
Visión general
Objetivos
Precondiciones
Organización del trabajo
¿A quién involucrar?
¿Cómo se hace?
Resultados
PR/mo/item ID
Date ISO 27001 177
Fase Planificar
La fase Planificar tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso
brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección
mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada
con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
Hacer Redactar la Controles

Hacer Hacer Establecer la
análisis política de apropiados
análisis del valoración declaración
de brecha seguridad
negocio del riesgo de
7.3 de inform. aplicabilidad
Requisitos para
proteger los
activos de las
organizaciones Declaración de
aplicabilidad
Figura 7.1 Proceso para la fase de planificación

PR/mo/item ID
Date ISO 27001 178
Análisis del negocio
Recolectar información para establecer el SGSI

Definir el alcance y los límites del SGSI
Interfaces y dependencias
Definir la política del SGSI
Planificación de las estructuras organizacionales
Compromiso de la dirección
Identificación del enfoque global a la seguridad de la
información
PR/mo/item ID
Date ISO 27001 179
Estructura organizacional
Dirección
• Elaborar una carta de

designación
• Respaldar
Comité de seguridad de la
información
• Ajustar
• Respaldar
Equipo de planificación de
Miembros con roles exclusivos, seguridad de la información
Consultores permanentes
Asesorar
Depto. de Depto. de Recursos Depto. Administrativo

sistemas Humanos
Depto. Depto. gestión edificio e

Depto. auditoría
Contabilidad instalaciones
PR/mo/item ID
Date ISO 27001 180
Análisis de brecha
Identificación del nivel de actividades y controles de

seguridad existentes
Basado en
ISO/IEC 27001 para procesos del sistema de gestión
ISO/IEC 27002 para controles de Seguridad de la
Información
Determinación de los grados de implementación
Entrevistas, discusiones, cuestionarios, recorridos
Hablar a diferentes niveles de personal en la
organización
PR/mo/item ID
Date ISO 27001 181
Valoración del riesgo
Son pre-condiciones necesarias el establecimiento del

contexto del negocio y la realización de un análisis de
brecha
La ISO/IEC 27005 explica más acerca de cómo hacer
una valoración del riesgo
¿A quién involucrar?
Alta dirección
Gerencias
Dueños del proceso y
Usuarios “normales”
PR/mo/item ID
Date ISO 27001 182
Desarrollo de una Política de Seguridad de la

Información
Con base en los resultados previos
El contenido como se describe en la ISO/IEC 27002
El alcance de la Política de Seguridad de la Información
podría ser el mismo que para el SGSI, o más grande
Tamaño recomendado: 2-4 páginas
Se debería hacer referencia a documentación más
detallada
Ona forma: hipervínculos
PR/mo/item ID
Date ISO 27001 183
Declaración de aplicabilidad
La declaración de aplicabilidad incluye

Todos los controles seleccionados (con referencia al
Anexo A de la ISO/IEC 27001) y las razones para su
selección
Todos los controles existentes (se recomienda
también relacionarlos con los riesgos identificados)
Todos los controles del Anexo A de la ISO/IEC 27001
que no han sido seleccionados y una justificación
para no seleccionarlos
Se pueden incluir controles de otras fuentes (se
recomienda también relacionarlos con los riesgos
identificados)
PR/mo/item ID
Date ISO 27001 184
Fase HACER
La fase Hacer tiene varios pasos que se deberían seguir para la implementación de este
proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este
procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada
paso se describe de manera que una organización que no esté familiarizada con seguridad
de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
Política de
SGSI Normas y proced. Implementac. Implementac. de Gestión de
de seguridad de la Controles de programas de recursos para el
información 8.2 SGSI formación y SGSI
concientización 8.5
Declaración de 8.4 SGSI en
aplicabilidad operación
Controles
apropiados
PR/mo/item ID
Date ISO 27001 185
ISO/IEC 27004
Alcance
Brindar orientación sobre el desarrollo y uso de
medidas para evaluar la eficacia de sus procesos,
objetivos de control y controles de SGSI, como se
especifica en la ISO/IEC 27001
Introducción en la que se explican las partes principales
del programa de medición
Visión general de la gestión para facilitar su
comprensión, especialmente para las pymes
PR/mo/item ID
Date ISO 27001 186
Programa de medición
Autoridad para el programa de SGSI
Establecimiento del programa de GSI

Objetivos y modelo de medición (numeral 5) Planificar
Responsabilidades de gestión (numeral 6)
Recursos, formación, toma de conciencia y competencia
Medidas y desarrollo de mediciones (numeral 7)
[4.2.2.e]
Hacer
Implementación del programa de GSI

Actividades de medición
Implementar Programación de mediciones
Operación de medición (numeral 8)
modificaciones evaluación y selección del personal de medición
análisis y reporte de mediciones
(numeral 10.4) dirección de las actividades de medición
(numeral 9)
mantenimiento de registros
[4.2.3]
Basado en las
Actuar
decisiones y acciones Monitoreo y revisión del programa de GSI Verificar
de los resultados de (numeral 10)
la revisión por la Monitoreo y revisión
dirección Identificar necesidades de acciones correctivas y
preventivas
(7.3)
Identificar oportunidades de mejora
PR/mo/item ID
Date ISO 27001 187
Modelo de medición
Medidas básicas
Resultan de aplicar métodos de medición a atributos de
objetos de medición
Medidas derivadas
Se definen mediante la aplicación de la función de
medición a una o más medidas de bases
Indicadores
Se obtienen mediante la aplicación de un modelo analítico
a las medidas derivadas
Resultados de las mediciones
Se evalúan mediante la interpretación de indicadores
aplicables con base en criterios de definición definidos
PR/mo/item ID
Date ISO 27001 188
Medidas básicas
Objeto de la medición: bases de datos de empleados

Atributo: registros de los empleados
Método de medición: Búsqueda en la base de datos,
para extraer el número de empleados de la base de
datos de seguimiento a la concientización y
formación en seguridad
Medida básica: Número de empleados que recibieron
concientización y formación en seguridad
PR/mo/item ID
Date ISO 27001 189
Medida derivada
Medida básica: Número de empleados que recibieron

concientización y formación en seguridad, y que
firmaron acuerdos de usuario
Función de medición: Se divide el número de
empleados que recibieron formación y
concientización en seguridad y que firmaron
acuerdos de usuario, por el número de empleados
que firmaron acuerdos de usuario, y se multiplica por
el 100%
Medida derivada: Porcentaje de empleados que
recibieron concientización y formación en seguridad
y que firmaron acuerdos de usuario
PR/mo/item ID
Date ISO 27001 190
Indicadores
Medida derivada: Porcentaje de empleados que

recibieron concientización y formación en seguridad
y que firmaron acuerdos de usuario.
Modelo analítico: se definen los niveles porcentuales
a los cuales el indicador toma un color ROJO,
AMARILLO, VERDE
Ejemplo:
95% o más - VERDE
90% o más – AMARILLO
Menos de 90 % - ROJO
PR/mo/item ID
Date ISO 27001 191
Resultados de la medición
Indicadores: Verde, Amarillo o Rojo, dependiendo de

los resultados de la medida derivada
Criterios de decisión: Describe el límite para
emprender acciones – dependiendo de la medida
usada, esto puede variar
Resultado de la medición:
La situación no requiere cambios
La situación se debería considerar para revisión
La situación debería mejorar
PR/mo/item ID
Date ISO 27001 192
Desarrollo de medidas
Identificar una necesidad de información

Identificación del objeto de medición
Desarrollo de la medición
Método y función de la medición
Selección y validación de atributos
Modelo analítico
Indicadores y formatos de reporte
Criterios de decisión
Validación de la medición
Recolección, análisis y reporte de datos
Documentación
PR/mo/item ID
Date ISO 27001 193
Ejemplo: Calidad de las contraseñas (1)
Control 11.3.1 “Se espera que los usuarios

seleccionen contraseñas adecuadas”
Propósito: Evaluar la calidad de las contraseñas
seleccionadas por los usuarios
Objeto y atributo de la medición: Cuentas de los
empleados y contraseñas individuales
PR/mo/item ID
Date ISO 27001 194
Ejemplo:
Example
Calidad
: Quality
de of
lasPasswords
contraseñas
(1)(1)
Medidas básicas:
Número de contraseñas descifrables
Número total de registros de cuentas de empleados
Tiempo que toma “romper” la contraseña
Métodos de medición:
Correr herramientas de desciframiento de
contraseñas
Hacer la búsqueda en los registros de cuentas de los
empleados
Medir el tiempo que toma descifrar la contraseña
PR/mo/item ID
Date ISO 27001 195
Ejemplo: Calidad de contraseñas (4) – Indicadores
Descripción y muestra de indicadores (como en la

27004):
Línea de tendencias que describe la
descifrabilidad de las contraseñas para todos los
registros ensayados, con líneas superpuestas
producidas durante ensayos anteriores
Mi sugerencia:
1% o menos – VERDE
10% o menos – AMARILLO
Más del 10% - ROJO
PR/mo/item ID
Date ISO 27001 196
Ejemplo: Calidad de las contraseñas (4) –
Criterios de decisión y acciones
Acciones por tomar si se descifra alguna

contraseña; esta medición necesita hacerse de
nuevo en 30 días
VERDE: contactar a los individuos e incrementar la
concientización
AMARILLO: Instalar un juego de computador que
despierte la conciencia y enfatice la importancia, y
asegurar que lo jueguen
ROJO: Iniciar la formación de concientización para
todos los empleados
PR/mo/item ID
Date ISO 27001 197
Ejemplo
Hoja de medición (1)
Métrica: Totalidad y corrección del inventario de activos
Alcance de la métrica: Esta métrica brinda una medida de lo correcto, completo y

actualizado que está el registro de activos. La métrica se
aplica en toda la organización.
Propósito y El objetivo de esta métrica es asegurar la gestión correcta de un
inventario de activos.
objetivos:
Método de medición: La medición funciona acumulando un punto menos para cada
uno de los activos que se han encontrado y que no están en
el registro de activos, o activos que siguen estando en el
registro aunque ya hayan salido de la organización.
El valor ideal es 100, y para cada activo que no está o que está
incorrectamente en el inventario, se resta 1 del valor ideal.
La misma medición se aplica para la corrección de la entrada, y
se resta 1 punto del valor ideal, por cualquier entrada
incorrecta encontrada.
PR/mo/item ID
Date ISO 27001 198
Ejemplo
Frecuencia de la Esta medición se realiza una vez cada tres meses – una frecuencia menor
medición: sería muy dispendiosa, y está a tiempo para el informe trimestral que
se presenta a la organización principal.
Procedimientos para Completos y actualizados hasta la fecha:
las fuentes de El inventario de activos corrientes se examina, se examinan de nuevo
datos y todos los otros inventarios, es decir, los de hardware y de software.
recolección de
datos: Verificaciones puntuales; se selecciona una división en cada
verificación y se examina cuidadosamente si hay activos en esa
división que no están en el inventario.
Se verifican los protocolos desde el punto de entrega, para asegurar
que los activos que entran al sitio han sido incluidos en el registro de
activos.
Los protocolos de los activos que salen del sitio se cotejan contra el
registro de activos.
Los protocolos de disposición de activos se cotejan contra el registro de
activos.
PR/mo/item ID
Date ISO 27001 199
Ejemplo
Procedimientos para las Fuente de datos para determinar que las entradas son correctas:
fuentes de datos y
recolección de datos: Se verifica que los activos bajo revisión tengan un dueño
asignado a ellos, y que sea el dueño correcto de ese activo.
Se verifica que la ubicación y descripción del activo estén
incluidos correctamente en el inventario de activos.
Los valores de los activos en el inventario de activos
(expresando el daño a un negocio por una pérdida de
confidencialidad, integridad y/o disponibilidad) se discuten con
el dueño del activo para verificar que son correctos.
Se pregunta a los dueños de los activos acerca del
procedimiento para actualizar las entradas de sus activos en el
inventario de activos, y se verifican los registros de las últimas
actualizaciones.
PR/mo/item ID
Date ISO 27001 200
Ejemplo
Indicadores: Indicador de metas: los resultados de las mediciones indican los siguientes
grados de cumplimiento de la meta de lograr un registro de activos
completo, correcto y actualizado:
100 – 98: bueno – significa que el registro de activos es correcto, con 2
desviaciones máximo.
97 – 93: aceptable – significa que se deberían hacer algunas mejoras en el
futuro; la acción de seguimiento exacta depende de las causas de los
errores.
Menos de 93: no es aceptable – es necesario corregir el registro de activos
y se deberían tomar acciones preventivas para evitar que este mal
resultado ocurra nuevamente.
Indicador de impacto: Se deberían examinar los activos cuya entrada no se
encuentre en el inventario de activos o sea incorrecta; si al menos uno de
los valores de los activos (incorrectos) es “alto”, esto indica que se debería
examinar más a fondo. En todos los otros casos son suficientes las metas
de desempeño normales y no se necesitan otros indicadores de impacto.
PR/mo/item ID
Date ISO 27001 201
Guía ISO 27001
PR/mo/item ID
Date ISO 27001 202
Normas específicas
para sectores
PR/mo/item ID 203
Date ISO 27001 203
Telecomunicaciones
El grupo de normas UIT-T, Cuestión 7/17,

desarrolló la norma X.1051 “Information
security management guidelines for
telecommunications based on ISO/IEC 27002”
El objetivo es apoyar la implementación de la
ISO/IEC 27002 en el sector de las
telecomunicaciones
PR/mo/item ID
Date ISO 27001 204
Telecomunicaciones
La norma contiene:
Una visión general que presenta la
estructura dentro de la que opera
Versiones ampliadas de los controles de la
ISO/IEC 27002 para el tema de las
telecomunicaciones
Esta norma ha sido adoptada por el SC 27
como ISO/IEC 27011 (en proceso de
publicación)
PR/mo/item ID
Date ISO 27001 205
Salud
El comité TC 215 de normas sobre salud está

desarrollando una norma que está basada en la
ISO/IEC 27001 y la ISO/IEC 27002 (en etapa DIS)
“Health informatics -- Security management in
health using ISO/IEC 27002”
Contiene una mezcla de requisitos y directrices
de ambas normas del SGSI
PR/mo/item ID
Date ISO 27001 206
Desarrollos en el SC 27
SC 27/WG 1 (el que desarrolla la serie

27000) ha trabajado normas de SGSI para
sectores específicos, para
Gobierno de TI
Infraestructuras críticas
Sector financiero
….
PR/mo/item ID
Date ISO 27001 207
¿Por qué manejar los incidentes?
No importa qué tan bueno sea el SGSI – se presentan

errores…
No importa lo perfectos que sean los controles –
nuevas amenazas o tecnologías podrían llegar antes
de usted pueda reaccionar
No hay 100% de seguridad
Î ¡Siempre ocurrirán incidentes!
PR/mo/item ID
Date ISO 27001 208
¿Por qué manejar los incidentes?
Por tanto, una organización necesita contar con un

proceso implementado para:
Detección y reporte de incidentes
Valorar el incidente y reaccionar de acuerdo con
esto
Identificar qué salió mal y por qué ocurrió el
incidente
Limitar el daño
Implementar controles para mejorar o prevenir
PR/mo/item ID
Date ISO 27001 209
Ejemplo de incidente –
Negación de servicio
Ataque distribuido de negación de servicio

Gusano similar al Código Rojo
Alrededor de 40.000 servidores en Asia fueron
desconectados
Se utilizó la vulnerabilidad al “MS SQL server”
Se conocía la vulnerabilidad y había un parche
disponible
No se instalaron los parches
Las descargas e instalaciones anti-pánico causaron
incluso más problemas en la red
PR/mo/item ID
Date ISO 27001 210
Concientización
Información técnica acerca de incidentes
CERT
FIRST
Microsoft
Varias organizaciones de software de seguridad
Información orientada a los técnicos y a la dirección
NIST
SANS
Encuestas DTI sobre Violaciones a la Seguridad de la
Información
PR/mo/item ID
ISO 27001 211
Date
ISO/IEC 18044
Manejo de incidentes de seguridad de la

Información
Apoya los controles para manejo de incidentes,
de la ISO/IEC 17799
ISO/IEC 18048
Incluye plantillas y más asesoría técnica sobre
cómo implementar programas de manejo de
incidentes
Publicada desde el año 2005
PR/mo/item ID
Date ISO 27001 212
Proceso de gestión de incidentes
Existe un proceso para la Planificar y

Mejorar
gestión de incidentes de Preparar
el proceso
seguridad de la
información
Se ajusta bien al modelo
PHVA descrito en la revisar
Usar la gestión los
ISO/IEC 27001 de incidentes incidentes
PR/mo/item ID
Date ISO 27001 213
Planificar y preparar (1)
Obtener el compromiso de la alta dirección y

cualquier otra parte interesada importante
Desarrollar una política de gestión de incidentes
Desarrollar un programa de gestión de incidentes
para apoyar la política, que incluya:
Herramientas de detección y formatos de reporte
Procedimientos para evaluar incidentes y tomar
decisiones
Procedimientos para responder a incidentes
Detalles de una escala de severidad de los
incidentes
PR/mo/item ID
Date ISO 27001 214
Planificar y preparar (2)
Actualizar todos los otros documentos (políticas,

procedimientos) que deberían hacer referencia a la
política de gestión de incidentes
Establecer una estructura organizacional para apoyar la
gestión de incidentes, por ejemplo:
Equipo de Respuesta a Incidentes de Seguridad de la
Información (ERISI)
Todos los roles y responsabilidades necesarios
Puntos de contacto en caso de un incidente
Implementar para todos formación en concientización
Poner a prueba el programa de gestión de incidentes
PR/mo/item ID
Date ISO 27001 215
Usar la gestión de incidentes (1)
Detectar y reportar cualquier ocurrencia de eventos de seguridad

de la información
Recolectar toda la información pertinente acerca de eventos de
Evaluar si el evento es realmente un incidente
Responder a todos los incidentes lo más rápido posible y limitar el
daño, si es posible, por ejemplo,
Reiniciar sistemas
Iniciar reparaciones o actualizaciones
Instalar respaldos
Comenzar procedimientos de recuperación de desastres
PR/mo/item ID
Date ISO 27001 216
Utilizar la gestión de incidentes (2)
Si no es posible responder exitosamente a un incidente,

iniciar actividades de crisis (tales como un plan de
continuidad del negocio)
Comunicar el incidente y cualquier detalle necesario a
las personas y organizaciones pertinentes
Incluir a las autoridades externas, si es necesario
Recolectar toda la información importante para realizar
los análisis
Generar registros de todas las actividades
Cerrar el incidente
PR/mo/item ID
Date ISO 27001 217
Revisar los incidentes
Realizar análisis forenses si se necesita más

información
Identificar las lecciones aprendidas de los incidentes
Identificar acciones de mejora
Identificar cualquier mejora necesaria para el
programa de gestión de incidentes, por ejemplo,
para:
Procedimientos o procesos
Formas de respuesta a eventos o incidentes
Estructuras organizacionales
PR/mo/item ID
Date ISO 27001 218
Mejorar el proceso
Revisar la política y el programa de gestión de

incidentes con base en
Re-valoraciones de los riesgos
Revisiones por la dirección o auditorías internas
Cualquier otra revisión que muestre necesidad de
mejoras
Hacer todas las mejoras identificadas
Asegurar que las mejoras logran sus objetivos
Importante: ¡los procesos de gestión de incidentes son
iterativos!
PR/mo/item ID
Date ISO 27001 219
Implementación del ERISI (1)
El tamaño y la estructura dependen de la

organización
Equipo virtual o real
Con o sin participación directa de la alta dirección
Un conjunto típico de miembros son
Operaciones comerciales
TI/Telecomunicaciones
Seguridad de la Información
Recursos humanos
Auditoría
PR/mo/item ID
Date ISO 27001 220
Implementación del ERISI (2)
Asegurar que los puntos de contacto y los miembros
del equipo estén disponibles cuando sea necesario
El ERISI debería tener:
La autoridad para tomar decisiones sobre cómo
hacer frente a los incidentes
Línea de reporte directa con la dirección
El conjunto de habilidades y conocimientos
requeridos
Procedimientos implementados para asignar
tareas a los miembros más competentes del
equipo
PR/mo/item ID
Date ISO 27001 221
Beneficios de la gestión de seguridad de la
información
Mejoras a la Seguridad de la Información

Reducción de daño por incidentes
Reducción de recurrencia de los incidentes
Recolección de evidencia
Contribución a toma de decisiones posteriores, por
ejemplo, sobre prioridades o presupuestos
Mejoras a los resultados de la valoración del riesgo
Obtención de material realista para formacion en
concientización
PR/mo/item ID
Date ISO 27001 222
Aspectos claves de éxito (1)
El compromiso de la dirección con la gestión de

incidentes (como parte del compromiso general de la
organización con el SGSI)
Concientización de todos en la organización
Cómo reportar eventos
A quién contactar en caso de eventos
Por qué es importante reportar
Beneficios de reportar los eventos
PR/mo/item ID
Date ISO 27001 223
Cumplimiento de todos los requisitos legales,
reglamentarios y contractuales
Identificación de toda la legislación pertinente
Protección de datos y aspectos sobre privacidad
Monitoreo legalmente correcto
Cumplimiento de requisitos contractuales
Contacto con los organismos que velan por el
cumplimiento de la ley
Abordar adecuadamente los temas de
responsabilidad
Mantenimiento de registros organizacionales
Hacer acuerdos de confidencialidad ejecutables
PR/mo/item ID
Date ISO 27001 224
El anonimato, por ejemplo, en relación con la

información que se aporta para el proceso de gestión
de incidentes
Confidencialidad de cualquier información delicada
involucrada en el proceso de gestión de incidentes
Respuesta oportuna que mantiene informadas a las
personas
Operación creíble y fidedigna
PR/mo/item ID
Date ISO 27001 225
¡Gracias por su atención !
http://www.iso.org
PR/mo/item ID
Date ISO 27001 226

Seminario Iso 27001

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seminario Iso 27001

Uploaded by

Copyright:

Available Formats

Organización Internacional

Bogota, Colombia, 9-11 de diciembre

ISO/IEC JTC1 SC27

Código de Práctica para la Gestión de la Seguridad de la Publicada –

27004 Mediciones de la GSI 2do. FCD

27005 Gestión del Riesgo del SGSI Publicada

Requisitos de Acreditación para organismos de

Ciclo de Vida del SGSI

Implementación de procesos de gestión del riesgo para

Enfoque de gestión del riesgo

evaluación del riesgo, tratamiento del riesgo,

Modelo de mejora continua

Especificación de auditoría (Auditoría interna y

Está ahora en revisión

 Sugiere un grupo de controles holísticos

 No es una norma de certificación o de

Organización de la seguridad de la información

Seguridad de los recursos humanos

Seguridad física & del entorno

Gestión de operaciones & comunicaciones

Control del acceso

Adquisición, desarrollo y mantenimiento de los

Gestión de los incidentes de seguridad de la

Orientación sobre las mediciones de la

Orientación en la gestión del riesgo del SGSI para

Requisitos de Acreditación del SGSI

ISO/IEC 17799:2000 BS 7799-2:2002

ISO/IEC 17799:2005 ISO/IEC 27001:2005

Código de práctica para la gestión de Requisitos del SGSI

Gestión de manejo de los incidentes de

Servicios de Recuperación de desastres

El borrador de trabajo es la Norma de

Ciclo de Vida del SGSI

Alcance del SGSI (4.2.1 (a))

Alcance del SGSI –

Alcance del SGSI (4.2.1 (a))

Ejemplos del Alcance del SGSI

Política del SGSI (4.2.1 (b))

Firmado y aprobado por ………….

Evaluación del Riesgo (4.2.1 (c)-(e))

Tratamiento del riesgo (4.2.1 (f))

 con justificación/razones del por qué

Flujo de desarrollo del SGSI

PR/mo/item ID Revisión y verificación de auditoría del SGSI

Eficacia (4.2.2 (d))

Acciones de la Dirección (4.2.2 (f)-

Seguimiento & Revisiones (4.2.3)

Seguimiento & Revisiones (4.2.3)

4. Emprender revisiones regulares

Seguimiento & Revisiones (4.2.3)

Actualización & mejora (4.2.4 y 8.1-

Controlar y proteger los documentos,

La organización debe asegurar personal competente

La organización debe llevar a cabo auditorías internas

Se debe planificar el programa de auditorías

Revisión del SGSI por la Dirección (7.1-7.3)

Revisión por la Dirección

Revisión del SGSI por la Dirección (7.1-7.3)

Entradas para la revisión

Revisión del SGSI por la Dirección (7.1-7.3)

La organización debe mejorar continuamente la

Evaluación de los sistemas/procesos de alta

Organismo de Certificación (OC)

Auditorías de certificación del SGSI

Sugiere un grupo de controles holísticos

No es una norma de certificación o de

con justificación/razones del por qué