Universidad de

Guayaquil
Facultad de
Ingeniería
Industrial
Carrera Licenciatura en Sistemas de la Información
Auditoria de Sistemas
TEMA:
ISO 27000
Integrantes:
 Ricardo Astudillo.
 Oscar Castillo.
 Anthony Heredero.
 Catherine Pezo.
 Andrea Velásquez.
Nivel 3
Grupo 1

Que es la ISO 27000
Es una familia de estándares internacionales para Sistemas de Gestión de la
Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la
seguridad de la información

operar. pública o privada. revisar. BSI (British Standards Institution. Este estándar internacional ha sido preparado para proporcionar un modelo para establecer. Desde 1901.BS 7750. implementar. monitorear. mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). que evite distintas interpretaciones de conceptos técnicos y de gestión. Gobierno de la ISO 27000 A semejanza de otras normas ISO. implementar. con objeto de proporcionar a cualquier empresa -británica o no. para la que no se establecía un esquema de certificación. mantener y mejorar el SGSI de una organización. operar. Origen de OHSAS 18001. Este estándar promueve la adopción de un enfoque del proceso para establecer. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas. la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como: . ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo. Publicada en 1996.BS 5750. publicada por primera vez en 1998. grande o pequeña. monitorear. Es la segunda parte (BS 7799-2).BS 8800. Origen de ISO 14001 . Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. y como primera entidad de normalización a nivel mundial.un conjunto de buenas prácticas para la gestión de la seguridad de su información. La norma BS 7799 de BSI apareció por primera vez en 1995. revisar. que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission). Publicada en 1992.Esta norma contiene términos y definiciones que se emplean en toda la serie 27000. Publicada en 1979. Origen de ISO 9001 . la que estableció los requisitos de un .

REVISAR Definición de normas de auditoria de la ISO27000 ISO 27001 Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Al tiempo se revisó y actualizó ISO 17799. como ISO 17799 en el año 2000. posteriormente a la publicación de ISO 27001:2005. y continúa aún. se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005. como estándar ISO 27001. con más de 1700 empresas certificadas en BS 7799-2. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007. ISO ha continuado. En 2002. que es la norma principal y única certificable dentro de la serie. En Marzo de 2006. esta norma se publicó por ISO. desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001. Asimismo. sin cambios sustanciales. con algunos cambios.. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO.sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. NO SE EXPLICA EN SI QUE ES GOBIERNO DE LA ISO 27000 Y COMO AFECTA AL GOBIERNO DE TI. Tiene su . centrada en la gestión del riesgo de los sistemas de información. manteniendo el contenido así como el año de publicación formal de la revisión. BSI publicó la BS 7799-3:2006.

ISO 27002 ISO 27003 Consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. agrupados en 11 dominios. ISO 27002 Es el nuevo nombre de ISO17799:2005.origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. No es certificable. . manteniendo 2005como año de edición. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. ISO 27006 Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. ISO 27004 Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. ISO 27005 Establece las directrices para la gestión del riesgo en la seguridad de la información. Contiene 39 objetivos de control y 133 controles.

mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). implementar.1051 e ISO / IEC 27011. . implementar. revisar. con el texto idéntico siendo publicado tanto como la UIT-T X.privado. por ejemplo. El estándar: Sugiere una estructura o marco (en realidad un conjunto de métodos y procesos) para cualquier organización . revisar. ISO 27011 Esta guía de implementación de SGSI para la industria de Telecomunicaciones fue desarrollado conjuntamente por la UIT-T e ISO / IEC JTC 1 / SC 27. operar. los procesos empleados y el tamaño y estructura de la organización. Esta Recomendación especifica los requisitos para establecer. Especifica los requisitos para la aplicación de controles de seguridad a medida de las necesidades de telecomunicaciones individuales o partes de los mismos ".Es la norma de acreditación que guía a los organismos de certificación en los procesos formales que deben seguir al auditar Sistemas de Información de sus clientes Gestión de la Seguridad (SGSI) en contra de la norma ISO / IEC 27001 para certificar o registrarlos compatible. monitorear. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos. ISO 27031 ISO / IEC 27031 proporciona orientación sobre los conceptos y principios que sustentan el papel de la tecnología de la información y las comunicaciones para asegurar la continuidad del negocio. operar. monitorear. gubernamental y no gubernamental. Se espera que la implementación de un SGSI se extienda en concordancia con las necesidades de la organización. mantener y mejorar un sistema documentado de gestión de seguridad de la información (SGSI) en el contexto de los riesgos de negocio globales de la telecomunicación. ISO 27007 Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer. una situación simple requiere una solución SGSI simple. Como resultado Se espera que estos y sus sistemas de apoyo cambien con el transcurso del tiempo. requerimientos de seguridad.

el funcionamiento y el uso de redes de sistemas de información. y seguridad de la red. diseño y detalles de implementación. Se aplica a la seguridad de los dispositivos conectados en red y la gestión de su seguridad. ISO 27033 El propósito de la norma ISO / IEC 27033 es proporcionar una guía detallada sobre los aspectos de seguridad de la gestión. y sus interconexiones. integridad y disponibilidad de la información en el ciberespacio". la seguridad y. ayudando a asegurar la continuidad del negocio.Identifica y especifica todos los aspectos pertinentes. la norma ISO / IEC 27032 direcciones "ciber seguridad" o "seguridad ciberespacio". es decir. ISO 27032 Oficialmente. incluidos los criterios de rendimiento. en particular. para mejorar la preparación de las TIC como parte del SGSI de la organización. gerentes de negocios y de TI. ISO 27034 ISO / IEC 27034 ofrece una guía sobre seguridad de la información a las que especifican. que no existe en ningún físico forma”. el diseño y la programación o la adquisición. implementación y uso de sistemas de aplicación. desarrolladores y . definida como la "preservación de la confidencialidad. "[Citado de la FCD de 27033-1]. aplicaciones de redes / servicios y los usuarios de la red. Aquellos individuos dentro de una organización que son responsables de seguridad de la información en general. dispuestos a sobrevivir a un desastre de una manera coherente y reconocido. Permite una organización para medir su continuidad TIC. ISOI / IEC 27033 proporciona orientación detallada sobre la aplicación de los controles de seguridad de red que se introducen en la norma ISO / IEC 27002 . deben ser capaces de adaptar el material en este estándar para satisfacer sus necesidades específicas. por tanto. además de seguridad de la información que se transfiere a través de enlaces de comunicaciones. A su vez "el ciberespacio" (completo con artículo definido) se define como "el entorno complejo que resulta de la interacción de las personas. software y servicios en Internet a través de redes y dispositivos conectados a la misma tecnología.

El Sistema de gestión de la seguridad de la información o ISMS familia de estándares consiste en estándares inter relacionados ya publicados o en desarrollo y contiene un numero significante de componentes El propósito de la iso 27000 es describir la dirección de los sistemas de seguridad de la información. Especifica los requerimientos para establecer. implementar. Especifica los requerimientos para la implementación de los controles de seguridad de la información Personalizada para las necesidades de la organización. Esos sistemas están sujetos a la familia de estándares ISMS Estándares de requerimientos específicos ISO/IEC 27001 sistema de gestión de seguridad de la información Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Estándar que describe las guias generales ISO/IEC 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. que se aborden adecuadamente muchos riesgos de seguridad de las TIC.auditores. es realmente una serie de estándares. Definición de estándares de auditoria de la ISO 27000 La ISO 27000 En fase de desarrollo. operar y monitorear los sistemas de gestión de seguridad de la información. ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001. Es decir. . ISO/IEC 27006 Especifica Técnicas de seguridad Y los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. El objetivo es garantizar que las aplicaciones informáticas proporcionan el nivel deseado o necesario de seguridad en apoyo del Sistema de Gestión de Seguridad de la Información de la organización. y en última instancia. (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001. los usuarios finales de las TIC. pero no es una norma de acreditación por sí misma.

objetivos de control y controles usados para implementar y controlar la seguridad de informacion especificadas en la ISO 27001. en cumplimiento con los estándares de seguridad de informacion establecidos por la organización. en el cual las organizaciones pueden evaluar dirigir y monitorear la gestión de seguridad de información. Provee una guía para conducir una auditoria interna o externa según las necesidades de la organización. ISO/IEC 27016 . ISO/IEC 27003 Guía de implementación de la gestión de sistemas de seguridad de la información para establecer implementar operar monitorear los requerimientos de sus diferentes fases. similitudes y diferencias de la (ISO 27001-2005 gestion de seguridad de la información) y de (ISO 20000-1 Gestión de servicios TI) ISO/IEC 27014 Guía sobre los principios y procedimientos para el gobierno de la seguridad de información. ISO/IEC 27005 Establece las guias para la gestión del riesgo en la seguridad de la información. ISO/IEC 27007 Consiste en una Guía de auditoria de un SGSI conocida como guía en la competencia de los auditores de sistemas de gestión de seguridad de la información. ISO/IEC 27004 Provee una guía y consejos en el desarrollo y uso de las medidas en orden de determinar la eficacia de un SGSI . ISO/IEC 27008 Reporte técnico que provee una guía para revisar la implementación y operaciones de control. incluyendo la comprobación de la conformidad técnica de los controles del sistema de información. ISO/IEC 27013 Provee a las organizaciones con un mejor entendimiento de las características.Provee una guía en la implementación en los controles de seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

ISO/IEC TR 27015 Es una guía del SISTEMA DE GESTION DE SEGURIDAD DE IINFORMACION orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. valorara los riesgos potenciales de los activos de información y determina el nivel óptimo de recursos a ser aplicados en aquellos activos de información. NORMAS QUE DESCRIBEN GUIAS ESPECÍFICAS DEL SECTOR ISO/IEC 27010 Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. Certificaciones ISO La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC: . tanto públicas como privadas.Reporte técnico que proveerá una metodología permitiendo a las organizaciones un mejor entendimiento económico y una valoración de los aspectos financieros de la seguridad de la información. a nivel nacional e internacional. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensibles. dentro de la misma industria o sector de mercado o entre sectores. En particular. ISO/IEC 27011 Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. puede ser aplicable a los intercambios de información y participación en relación con el suministro.

Incluye partes de la ISO 13335. contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799). . de apoyo a la ISO 27001 y a la implantación de un SGSI. 39 objetivos de control y 133 controles. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. probable publicación en 2009. Consistirá en una guía de auditoría de un SGSI. ISO 27031: En fase de desarrollo. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Requisitos”. ISO 27006: Publicada en febrero de 2007. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. por tanto. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información ISO 27007: En fase de desarrollo. elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones). Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Fecha de la de la versión española 29 noviembre de 2007. su fecha prevista de publicación es Mayo de 2010. ISO/IEC 27003: En fase de desarrollo. ISO 27005: Publicada en junio de 2008. ISO/IEC 27002: (anteriormente denominada ISO 17799). su fecha prevista de publicación es finales de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve. En su Anexo A. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios. su fecha prevista de publicación es Mayo de 2010.ISO 27000: Publicada en mayo de 2009. ISO 27004: Publicada en diciembre de 2009. ISO 27011: En fase de desarrollo.

su fecha prevista de publicación es Febrero de 2009. Provendrá de la revisión. Consistirá en una guía relativa a la ciberseguridad. al contrario que las anteriores. acceso remoto. escenarios de redes de referencia. su fecha prevista de publicación es entre 2010 y 2011. . ISO 27799: Publicada el 12 de Junio de 2008. Consistirá en una guía de seguridad en aplicaciones. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: • Aprobar documentos apropiados antes de su emisión. vídeos y imágenes médicas). aseguramiento de las comunicaciones entre redes mediante gateways. ISO 27032: En fase de desarrollo. no la desarrolla el subcomité JTC1/SC27. ISO 27034: En fase de desarrollo. sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano. Documentos y mejoras prácticas Para los documentos generados se debe establecer. sino el comité técnico TC 215. por fax. ISO 27033: En fase de desarrollo. Esta norma. grabaciones sonoras. ya que la información siempre debe estar adecuadamente protegida. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad. integridad y disponibilidad de información personal de salud. aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. dibujos. por redes informáticas o por correo). ampliación y remuneración de ISO 18028. arquitectura de seguridad de redes. Es una norma consistente en 7 partes: gestión de seguridad de redes. toma la información (palabras y números. su fecha prevista de publicación es Febrero de 2009. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas. documentar.

Piense lo que hace. La documentación se debe elaborar de la manera más sencilla posible. • Aplicar la identificación apropiada a documentos que son retenidos con algún propósito. Escriba lo que piense. • Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo. con el fin de poder modificar el riesgo.• Revisar y actualizar documentos cuando sea necesario y renovar su validez. ¿Qué se debe documentar? Evaluación y tratamiento de riesgos Una vez analizado y cuantificado los riesgos. sujetos a constante modificación. • Garantizar que la distribución de documentos está controlada. así como el impacto que tiene en su plan de negocio el emprendedor debe analizar cuál es el nivel de oportunidad en caso de asumir el riesgo. de los recursos empleados. Y ¿en cuánto tiempo se hace? Depende del compromiso. almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. • Garantizar que los documentos procedentes del exterior están identificados. • Garantizar que los cambios y el estado actual de revisión de los documentos están identificados. • Garantizar que los documentos se mantienen legibles y fácilmente identificables. • Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos. El proceso de tratamiento de riesgos consiste en seleccionar y aplicar las medidas más adecuadas. • Prevenir la utilización de documentos obsoletos. y disponibles para todos los que los requieran. Haga lo que escribió. del conocimiento. para evitar de este modo . y de factores externos que pueden influir. Los manuales deben ser organismos vivos.

Políticas de Seguridad La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Estos como mínimo deben tener. 2. Es decir. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad. Gestión de Activos Se define el grado de responsabilidad que hay hacia los activos y las personas encargadas. • Controles internos efectivos. • Un funcionamiento efectivo y eficiente de la organización. planificación. . Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas.los daños intrínsecos al factor de riesgo. para ser riguroso. pues aquí se puede apreciar claramente la complejidad que se presenta el diseño. • Conformidad con las leyes y reglamentos vigentes.  Acuerdos sobre el uso aceptable de los activos. o bien aprovechar las ventajas que pueda reportarnos. 3.como se mencionó “un Control es mucho (pero mucho). mas que eso…” Todo aquel que haya sido responsable alguna vez de esta tarea. Aspectos Organizativos Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Des concepto” sobre lo que uno piensa que es un control. preparación. para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir.  Responsable de los activos. la alta dirección. en realidad debería dividirse en dos documentos:  Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora. al hablar de responsabilidad de los activos o recursos se hace hincapié al:  Inventario de activos. sabrá de lo que se está hablando.  Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. La Política de Seguridad. 1. implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone)………. baja a un nivel más de detalle.

los controles físicos. protección contra amenazas externas y del entorno. contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. 4.  Una vez hecho esto se deberá clasificar la información de la siguiente: Directrices de clasificación. Reducir el riesgo de robo. segregación de tares y separación de los recursos para el desarrollo y producción.  Selección y política personal  Términos y condiciones de la relación laboral  Se tendrá en cuenta la seguridad en el desempeño de las funciones del empleo y la finalización o cambio del puesto del puesto de trabajo. En la supervisión de los servicios contratados a terceros. Seguridad física y ambiental Evitar el acceso físico no autorizado. Considerando el perímetro de seguridad. 5. . Gestión de comunicaciones y operaciones Se tiene en cuenta los procedimientos y responsabilidades de operación. robo o puesta en peligro de los activos y interrupción de las actividades de la organización. Seguridad del Talento Humano (antes y durante contratación) Sea segura que los empleados. 6. control de cambios operacionales. marcado y tratamiento de la información. seguridad de oficinas o despachos y recursos. Los servicios de procesamiento de información sensible deberían ubicarse en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada adecuados. daño. monitorización de los servicios contratados y gestión de los cambios en los servicios contratados. fraude y mal uso de las instalaciones y medios. daños o intromisiones en las instalaciones y a la información de la organización. daños e interferencias. es aquí donde se realiza la documentación de procedimientos operativos. el trabajo en áreas segura y áreas aisladas de carga y descarga. La seguridad de equipos busca evitar la pérdida. se debe especificar la prestación del servicio. Estas áreas deberían estar protegidas físicamente contra accesos no autorizados. Asi como:  Inclusión de la seguridad en las responsabilidades laborales.

desarrollo y mantenimiento de S. Gestión de incidentes de seguridad Notificación de eventos y puntos débiles de la seguridad de la información.  Verificar el desvío de cualquier acceso. 7. gestión de acceso de usuario. quien dice ser”. Análisis de casos prácticos de las normas ISO 2700 . teniendo presente para esto las medidas y controles para los software maliciosos y códigos móviles. control de acceso a la red. acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro. ordenadores portátiles y teletrabajo. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado.La planificación y aceptación del sistema es otro punto a tratar en el se revisa la planificación de capacidades y aceptación del sistema Las protecciones contra software maliciosos y código móvil. Requisitos de negocio para el control de acceso. fuera de lo correcto. control de acceso a las aplicaciones y a la información. Gestión interna de soporte y recuperación que busca Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. gestión de la vulnerabilidad técnica. es decir que tiene dos tareas derivadas:  Encauzar (o enjaular) al usuario debidamente. esta última tiene por misión identificar que verdaderamente “sea. tratamiento correcto de las aplicaciones.I. 8. 9. controles criptográficos. Adquisición. Requisitos de seguridad de los sistemas de información. seguridad en los procesos de desarrollo y soporte. control de acceso al sistema operativo. Control de accesos No se debe confundir la actividad de control de accesos con autenticación. responsabilidades de usuario. gestión de incidentes de seguridad de la información y mejoras. La gestión de redes por otra parte asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo. seguridad de los archivos de sistema.

La Gerencia de ServiceCo decidió implantar un ISO27k (que implica tanto ISO/IEC 27001 como 27002). sin embargo. el ambiente laboral empezó a cambiar de forma negativa. Según las palabras del Gerente de ServiceCo. La seguridad en la información interna de ServiceCo reduciría el riesgo y. código de buenas prácticas para la Gestión de la Seguridad de la Información. Shell international y Unilever. Hace un par de años. los empleados se acostumbraron a trabajar de un modo adecuado y en relación a los procedimientos de calidad documentados y a las guías establecidas.”. por tanto nos proporcionaría los medios para implantar los controles de seguridad según las mejores prácticas.El valor de negocio de la norma iso 27000 Este caso de estudio toma en consideración a una empresa que presta servicios TIC y que ha implantado ISO/IEC 27002:2005. la Gerencia reconoció la necesidad de aplicar cambios y acometer un análisis serio de las debilidades y fortalezas de la organización. entre otras). El DG explicó su satisfacción de poder hablar sobre esta materia dada la ilusión por los resultados de negocio generados en la compañía aportados por la seguridad de la información. en consecuencia. el coste relacionado con infracciones serias. especificaciones de un Sistema de Gestión de la Seguridad de la Información. ISO27k es un conocido marco de seguridad desarrollado originalmente por algunas de las compañías líderes a nivel internacional (BT. Situación de negocio de serviceco ServiceCo proporciona servicios TIC. Una vez ganada la certificación en ISO 9001 hace ya 10 años aproximadamente. Introducción Este caso se deriva de la presentación que el Director General de la empresa ficticia “ServiceCo”. realizó a una audiencia compuesta por especialistas en seguridad de la información y de auditorías TI. HSBC. El caso desvela algunas relaciones sorprendentes entre la gestión de la seguridad de la información y la gestión general de negocio y muchos beneficios de negocio. “la implantación de ISO27k tenía sentido en el negocio. Con una rotación de la plantilla en aumento. y que fue certificada en ISO/IEC 27001:2005. Beneficios de negocio de iso27k . hardware y software a sus clientes. una compañía de servicios TIC. Las decisiones de la Gerencia fueron acometidas de manera instintiva y con poca base de análisis en datos reales mayoritariamente. obteniendo como resultado ventajas significativas para el negocio.

estamos viendo más invitaciones a presentación de ofertas desde empresas que incorporan ISO/IEC 27001 como uno de los prerrequisitos de la lista a cumplir.El DG manifestó “ISO27k no es únicamente seguridad de la información o TIC.”. además de los nuestros propios. ServiceCo depende de sus sistemas de información. ISO27k ha garantizado que nosotros tengamos ahora establecidos controles que mantienen la disponibilidad de los sistemas y que reducen el riesgo de que las vulnerabilidades puedan ser aprovechadas. ServiceCo tenía muchas protecciones técnicas desplegadas por toda la organización pero la valoración del riesgo descubrió que algunas de nuestras protecciones ofrecían poco o ningún beneficio y proporcionarían un mejor retorno de la inversión si fueran reconfiguradas para proteger aquellos activos que requerían un nivel más alto de protección. Indicó asimismo los siguientes beneficios directos e indirectos de ISO27k en ServiceCo. Y. Seguridad de la información rentable y consistente: “Hemos implantado medidas de seguridad rentables y adaptadas a las necesidades de nuestro negocio. Todas las divisiones y departamentos en ServiceCo habían desarrollado previamente sus propias guías de seguridad. actualmente ayuda a la organización a ahorrar y a ganar dinero. ISO27k nos ayudó a desarrollar un enfoque consistente de la seguridad mediante . por cierto. Adicionalmente. Nuestro certificado en ISO/IEC 27001 demuestra que somos de confianza en relación a garantizar los datos de nuestros clientes.”. Beneficios directos Aumento de la fiabilidad y seguridad de los sistemas: “Como ocurre en cualquier otro negocio. Nuestros clientes no sólo comprenden que nuestra inversión en ISO27k les aporta beneficios sino que además están preparados para gastar una pequeña diferencia a favor de una infraestructura TI segura. nuestros empleados están desperdiciando menos tiempo en Internet navegando por sitios no relevantes para su trabajo. Desde la obtención de la certificación ISO/IEC 27001. hemos visto un incremento importante en nuestra línea base de beneficios y algunos nuevos clientes nos indican que prefieren mantener relaciones con compañías que disponen de una certificación en seguridad reconocida. Aumento de beneficios: “Las ventas y los márgenes han aumentado y las percepciones de los clientes sobre nuestro negocio han mejorado. Las visitas de seguimiento tras la certificación y las auditorías de recertificación en ISO/IEC 27001 aseguran que la organización se mantiene actualizada en relación a las más recientes vulnerabilidades y mejoras prácticas.

La evaluación de riesgos identificó los activos de información que son críticos para el éxito del negocio. Mejora en las relaciones humanas: “Políticas. El nivel de profesionalidad ha mejorado en todas la compañía.la creación de políticas uniformes que incorporasen las mejores prácticas de la industria. ServiceCo identificó sus vulnerabilidades. Cumplimiento con la legislación: “Implantar ISO27k nos forzó a cumplir con la legislación de UK en áreas como la protección de datos y derechos de autor del software. . necesitamos comprobar con mayor detenimiento a quién vamos a emplear. Fuimos capaces de eliminar el 50% de nuestros sistemas y datos cuando fuimos conscientes que no aportaban valor y actualmente hemos reducido loscontroles aplicados en algunos sistemas de riesgo bajo. la atmosfera ha mejorado y se ha reducido el cambio negativo iniciado por la plantilla. Mejora en la gestión del riesgo y planes de contingencia: “Mediante el proceso de certificación en ISO/IEC 27001.”. El esfuerzo de la Gerencia ha sido por tanto reducida. Ahora sí sabemos quien trabaja con nosotros!”.”. amenazas e impactos potenciales al negocio. Dado que gran parte de la seguridad se basa en los controles internos. Esto nos ha habilitado para producir un plan de continuidad de negocio que ha priorizado estos activos y reduce nuestro potencial exposición a pérdidas financieras o publicidad negativa.”. Racionalización de los sistemas: “El análisis adecuado de nuestra información y los requisitos de la seguridad de la información indican que gastamos nuestro dinero de un modo prudente. ISO27k ha diferenciado ServiceCo de nuestros competidores y ha proporcionado a la compañía de una marca única para la venta y que ha llevado a la compañía a un mejor entorno de trabajo para toda nuestra plantilla.”. procedimientos y guías claras facilitan las cosas a nuestro empleados. Los empleados reconocen ahora que su ganancia del potencial depende de cómo los clientes perciben la marca de la compañía y que cualquier publicidad negativa podría afectarles. BENEFICIOS INDIRECTOS Mejora en el Control de la Gerencia: “Los Gerentes disponen de un mayor control sobre la organización y una mejor calidad de la información con la que gestionarla. Mediante ISO27k introdujimos procesos de contratación más completos con el objeto de reducir el riesgo de contratar personal no adecuado al puesto o que potencialmente podría poner nuestro negocio en riesgo.

integridad y disponibilidad de su información.”. de forma seria.500 EUR) al año. En cualquier industria debes de permanecer en una posición destacada en relación a tus competidores y que gestiona y considera la confidencialidad. clientes y vendedores buscaban evidencias de seguridad. Estamos ahora en conversaciones con nuestros asesores sobre la posibilidad de combinar las auditorías de ISO/IEC 27001 y de ISO 9001 para ahorrar tiempo y dinero. Las revisiones regulares de cumplimiento para mantener nuestra certificación sólo nos suponen sobre 3. por tanto. así como de la nuestra propia.”. el ISO27k es muy rentable. COSTES ISO27000 El mayor elemento de coste fue el miedo al cambio cultural (tuvimos que permitir que un par de nuestros empleados “se marcharan” por no cumplir con nuestras políticas y procedimientos).Mayor confianza de clientes y de socios comerciales: “Con el aumento de la sensibilidad a las brechas de seguridad. La certificación en ISO/IEC 27001 nos ha proporcionado esta garantía. los socios comerciales.000 libras esterlinas (aprox. 3. .