You are on page 1of 27

[Título del documento

]

ISO 27001
ISO/IEC 27001 es un estándar para la seguridad de la información
(Information technology - Security techniques - Information security
management systems - Requirements) aprobado y publicado como
estándar internacional en octubre de 2005 por International
Organization for Standardization y por la comisión International
Electrotechnical Commission.

Origen y evolución
La ISO 27001 como la conocemos hoy en día, ha sido resultado de la
evolución de otros estándares relacionados con la seguridad de la
información.
Se trata de los siguientes:




1901 – Normas “BS”: La British Standards Institution publica
normas con el prefijo “BS” con carácter internacional. Estas
son el origen de normas actuale como ISO 9001, ISO 14001 u
OHSAS 18001.
1995- BS 7799-1:1995: Mejores prácticas para ayudar a las
empresas británicas a administrar la Seguridad de la
Información. Eran recomendaciones que no permitían la
certificación ni establecía la forma de conseguirla.
1998 – BS 7799-2:1999: Revisión de la anterior norma.
Establecía los requisitos para implantar un Sistema de
Gestión de Seguridad de la Información certificable.
1999 – BS 7799-1:1999: Se revisa.
2000 – ISO/IEC 17799:2000: La Organización Internacional
para la Estandarización (ISO) tomó la norma británica BS
7799-1 que dio lugar a la llamada ISO 17799, sin
experimentar grandes cambios.
2002 – BS 7799-2:2002: Se publicó una nueva versión que
permitió la acreditación de empresas por una entidad
certificadora en Reino Unido y en otros países.
2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el
estándar ISO 27001 como norma internacional certificable y
se revisa la ISO 17799 dando lugar a la ISO 27001:2005.
2007 – ISO 17799: Se renombra y pasa a ser la ISO
27002:2005
2007 – ISO/IEC 27001:2007: Se publica la nueva versión.
2009 – Se publica un documento adicional de modificaciones
llamado ISO 27001:2007/1M:2009.

.

Tomarlo como un proyecto: Como ya se ha dicho. generalmente. es probable que nunca termine el trabajo. Pero. a continuación los pasos: 1. Redactar una Política de SGSI: La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma. como grupo hemos tomado en cuenta estos 16 pasos dados por Dejan Kosutic un estudioso del de las ISO. 3. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. Si no define claramente qué es lo que se hará. Obtener el apoyo de la dirección: Esto puede parecer un tanto obvio y. .. a muchas personas y puede demandar varios meses (o más de un año). quién lo hará y en qué período de tiempo (por ej. no es tomado con la seriedad que merece. los riesgos del proyecto. reduciendo significativamente de esta forma. aplicar la gestión del proyecto). 2. la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades. Definir el alcance: Si se trata de una gran organización. de acuerdo con mi experiencia. 4. es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero.IMPLEMENTACIÓN DE LA ISO 27001 La implementación de la norma ISO 27001 en una empresa se puede hacer de diferentes formas.

También es necesario conseguir la aprobación de los riesgos residuales. su objetivo es definir las reglas para identificar los activos. ya sea en un documento separado o como parte de la Declaración de aplicabilidad. En organizaciones más grandes puede demandar varios meses. Si esas reglas no están definidas claramente. usted tiene que implementar lo que definió en el paso anterior. usted podría encontrarse en una situación en la que obtendría resultados inservibles. sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero. como también definir el nivel aceptable de riesgo. La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI. por lo tanto.5. 6. 7. probablemente. Lo importante es obtener una visión integral de los peligros sobre la información de su organización. las vulnerabilidades. definir los motivos de esa decisión. Redactar la Declaración de aplicabilidad: Luego de finalizar su proceso de tratamiento de riesgos. El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables. definir cuáles son aplicables y cuáles no. las consecuencias y las probabilidades. debe coordinar esta tarea con mucho cuidado. El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles. Definir la metodología de Evaluación de riesgos: La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001. no los necesite a todos). Realizar la evaluación y el tratamiento de riesgos: Aquí. En este paso. Redactar el Plan de tratamiento del riesgo: . los objetivos que se lograrán con los controles y describir cómo se implementarán. 8. las amenazas. se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos.

El tema aquí es. en realidad. este procedimiento debe definir cómo funcionará el flujo vital (el flujo de documentos) de la organización. Determinar cómo medir la eficacia de los controles: Otra tarea que.  El procedimiento para el control de la documentación (procedimiento de gestión de documentación) debe definir quién es el responsable de aprobar y verificar los documentos. Este documento es. Implementación obligatorios: de controles y procedimientos Es más fácil decirlo que hacerlo. asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad. 9.  El procedimiento para auditorías internas tiene que definir las responsabilidades sobre la planificación y realización de auditorías. si usted no puede medir lo que ha hecho.Justo cuando pensaba que había resuelto todos los documentos relacionados con el riesgo. un plan de implementación enfocado sobre sus controles. aquí aparece otro. con qué presupuesto. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA. cómo identificar los cambios y el estado de revisión. 10. Aquí es cuando debe implementar los cuatro procedimientos obligatorios y los controles. . Esto significa que las reglas principales para realizar la auditoría deben estar establecidas. sin el cual. ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto. cuándo. cómo se informan los resultados y cómo se llevan los registros. generalmente. quién lo hará. etc. usted no podría coordinar los pasos siguientes del proyecto. etc. cómo distribuir los documentos. En otras palabras. es subestimada.

Hacer funcionar el SGSI: Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organización. es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo. implica la aplicación de nuevas tecnologías pero. El procedimiento para medidas correctivas debe definir cómo se identifican los incumplimientos y sus causas. estos dos procedimientos generalmente se unifican en uno solo.  El procedimiento para las medidas preventivas es casi el mismo que el procedimiento para las medidas correctivas. habitualmente. la implementación de nuevas conductas en su organización. Debido a sus semejanzas. generalmente. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001. la tarea más riesgosa de su proyecto ya que. El objetivo de este procedimiento es definir cómo cada medida correctiva debería eliminar la causa del incumplimiento para que no ocurra nuevamente. qué registros se llevan y cómo se realiza la revisión de las medidas. generalmente. Implementar programas de capacitación y concienciación: Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos. se resisten al cambio. la única diferencia es que el primero tiene como objetivo eliminar la causa del incumplimiento para que directamente no se produzca. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas. 12. cómo se definen e implementan las acciones necesarias. 11. La palabra más importante . sobre todo. Esta es. primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan actuar según lo esperado.

Por lo tanto. sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido. es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas. 15. la dirección debe tomar algunas decisiones importantes. Revisión por parte de la dirección: La dirección no tiene que configurar el cortafuegos. etc. En base a estos aspectos. pero sí debe saber qué está sucediendo en el SGSI. Supervisión del SGSI: ¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente? Aquí es donde se cruzan los objetivos de los controles con la metodología de medición. si el SGSI obtiene los resultados deseados. A los auditores les encantan los registros. sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. evitado. es decir. la norma ISO 27001 . Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización. 13. a veces sí lo saben pero no quieren que nadie lo descubra). 14. ante todo. Medidas correctivas y preventivas: El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o. Lo importante aquí no es activar medidas disciplinarias. Con ellos. Si no se cumplen. usted puede supervisar qué está sucediendo.aquí es: “registros”. por eso debe realizar auditorías internas para descubrir este tipo de cosas. 16. si todo el mundo ejecutó sus tareas. Auditoría interna: Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado. los registros deberían ayudarle. con algo de suerte. sino aplicar medidas correctivas y/o preventivas. Pero.

requiere que las medidas correctivas y preventivas se apliquen sistemáticamente. es decir. . que se identifique la raíz de una no conformidad y se solucione y se controle.

Proceso de certificación ISO 27001 Se divide en dos etapas: Etapa 1 Etapa 2 de auditoría y de auditoría. los auditores verificarán si la empresa mantiene su SGSI. Por lo tanto.  2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la documentación del SGSI.  Etapa 2 de la auditoría (también llamada auditoría Principal) el auditor comprueba si todas sus actividades cumplen con las normas ISO 27001 y su documentación. es necesario prestar atención tanto a escribir documentación apropiada para sus necesidades. se debe adecuadamente y luego se debe aprobar la auditoría que realiza la entidad de certificación. y durante su vigencia de 3 años. . Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma. Para obtener la certificación como organización.  Visitas de supervisión: después de que se emitió el certificado. y para comprometerse realmente a seguridad de la información puesta en práctica en su empresa.  Etapa 1 de la auditoría (también llamado revisión de documentación) el auditor de certificación comprueba si la documentación cumple con la norma ISO 27001. las personas pueden hacer el curso y aprobar el examen para obtener el certificado.CERTIFACIÓN DE LA ISO 27001 Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las personas. La auditoría de certificación se realiza siguiendo estos pasos:  1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la documentación.

la empresa tiene que corregir todos los problemas detectados por los auditores internos. Revisión por la dirección es en realidad una manera formal para la gestión de tener en cuenta todos los hechos relevantes sobre seguridad de la información y tomar decisiones apropiadas. Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo implementar la norma y está orientado a profesionales y consultores en seguridad de la información.para tratar de prevenir los problemas antes de que ocurran (algo que el auditor de certificación apreciará mucho). Los más populares son: • • • cursos para obtener Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar auditorías de certificación y está orientado a auditores y consultores. y documentar cómo se resuelven estos problemas . Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos básicos de la norma y cómo llevar a cabo una auditoría interna. gerentes o alguien más. Se recomienda tomar las medidas preventivas también . está orientado a principiantes en este tema y a auditores internos. .este proceso se llama acciones correctivas. El propósito de la auditoría interna es que alguien controles independientes si su Sistema de Gestión de Seguridad de la Información (SGSI) funciona correctamente. Por último. Las personas pueden asistir a diversos certificados. Revisión de gestión. como parte de un proceso normal de toma de decisiones. El punto de la norma ISO 27001 es llegar a este tipo de decisiones. es necesario realizar estos pasos obligatorios en su proyecto ISO 27001:    Auditoría interna.Después de terminar toda su documentación y su aplicación. Las acciones correctivas y preventivas.

pero también debe cumplir con las leyes y obligaciones que le son de aplicación. La norma ISO 27001 es especialmente útil para resolver estas cuestiones: le obligará a definir de forma muy precisa tanto las responsabilidades como las obligaciones y. quién es responsable de determinados activos de la información.  En el ámbito funcional. ayudará a reforzar su organización interna. etc. quién debe autorizar el acceso a los sistemas de información. ya que se desarrolla una adecuada gestión de los riesgos. éste sea el beneficio más subestimado. La organización debe aprovechar los beneficios que están a su alcance. es posible que tenga problemas para determinar quién decide qué cosas. Probablemente. Si una organización debe cumplir con diversas normas sobre protección de datos. sea en el campo que sea. la norma ISO 27001 puede aportar la metodología que permita hacerlo de la manera más eficiente. de esta forma. pero si su empresa ha tenido un crecimiento continuo durante los últimos años.BENEFICIOS ISO/IEC 27001 Los beneficios que aporta la implantación de la ISO 27001 se centran en los siguientes campos:  En el ámbito de la organización. para así . los problemas que se producen y los medios de protección que se aplican.  En el cumplimiento legal de las exigencias. pero también les obliga a seguir unas determinadas obligaciones que son de obligado cumplimiento y que abarcan varios campos de actuación. privacidad y control de TI (especialmente si se trata de una organización financiera. de salud o gubernamental). manifestándose la conformidad de la empresa en el cumplimiento de los requisitos legales que le sean de aplicación para la región en la que la organización tenga su domicilio y para la actividad que realice. No se debe olvidar que las empresas se encuentran integradas en un entorno que les ofrece las ventajas que van asociadas con la situación y el mercado. La empresa conoce de forma exhaustiva su organización y los sistemas de información que aplican.

en el caso de que sean usados los datos personales o la información de forma fraudulenta por un uso indebido de la empresa.  En el aspecto humano.  En el aspecto financiero. se produce una sensibilización del personal en relación a la importancia de la correcta manipulación de la información.terminar garantizando la mejor disponibilidad de los materiales y datos. las organizaciones consiguen una reducción de los costes vinculados a los incidentes y se consigue disminuir las primas de los seguros. se debe cuidar tanto un aspecto como el otro. La norma ISO 27001 puede ser un verdadero punto a favor. y por lo tanto. también puede conllevar multas y el pago de perjuicios bastante considerables. y asegurando su continuidad sin alteraciones perniciosas no controladas. a veces es muy difícil encontrar algo que lo diferencie ante la percepción de sus clientes. especialmente si usted administra información sensible de sus clientes. en un mercado cada vez más competitivo. Estamos en una sociedad en la que la falta de confianza de nuestros clientes afecta a nuestras ventas de la misma manera que la calidad y funcionalidad de nuestros productos. a la aplicación adecuada de las medidas de seguridad que deben aplicarse y a las responsabilidades personales y de la empresa con relación a la información de que disponen y a los dueños de dicha información. No sólo debemos pensar que solo son importantes los seguros relacionados con los accidentes en el trabajo.  En el aspecto comercial. Se genera credibilidad y confianza entre nuestros clientes. . sino que la información que poseemos también puede sufrir accidentes que pueden provocar muchos gastos de recuperación y.

Desde el 1 de Julio de 2007. la ISO 27002 se utiliza como un documento de referencia y como tal. En el año 2000 la International Organization for Standardization y la Comisión Electrotécnica Internacional publicaron el estándar ISO/IEC 17799:2000. . Generalidades.ISO 27002 El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.Code of Practice for Information Security Management. Uruguay (UNIT-ISO/IEC 27002) o Perú (como ISO 17799). Argentina (IRAM-ISOIEC 27002). En este sentido. Funciona de la siguiente manera: 1. la última edición de 2013 este estándar. los controles especificados en la ISO 27002 sirven para la evaluación de la misma. ISO/IEC 27002 es el nuevo nombre de ISO 17799:2005. pero estos se refieren a los requisitos para la creación del SGSI y. La ISO 27002 es una guía de buenas prácticas que describe cuáles deben de ser los objetivos de control que se deben aplicar sobre la seguridad de la información. Las empresas que desean resguardar sus activos de información implementan la norma ISO 27001. por otra parte. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009.Security Techniques . Tras un periodo de revisión y actualización de los contenidos del estándar. con el título de Information Technology . por ejemplo. se publicó en el año 2005 el documento modificado ISO/IEC 17799:2005. 2. Chile (NCh-ISO27002). se utiliza la ISO 27002 en la que están recopilados los controles que deben ser aplicados para evaluar el desempeño del estándar. Colombia (NTC-ISO-IEC 27002). manteniendo 2005 como año de edición. la cual consiste en la creación de un Sistema de Gestión de la Seguridad de la Información. Otros países donde también está publicada en español son. NO es certificable.Venezuela (Fondonorma ISO/IEC 27002). Para evaluar el desempeño del estándar anterior. Cabe destacar que la ISO 27001 también contiene un conjunto de controles. Actualmente.

En total la norma contiene 39 objetivos de control y 133 controles los cuales están agrupados en 11 dominios. .Contenido de la Norma.

para no permitir que se extraiga información de esa manera de forma ilícita o por personas no autorizadas. Por ejemplo.DOMINIOS DE LA ISO 27002 (2005) 1. La gerencia debe invertir en seguridad. Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. En cuanto a la organización interna. las políticas de seguridad podrían cambiar o ser mejoradas de acuerdo a las necesidades actuales. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información. las políticas de seguridad deberían considerar bloquear puertos USB o algo por el estilo. y no verlo como un aspecto que no tiene relevancia. Aspectos organizativos de la seguridad de la información La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros. Antiguamente esa tecnología no existía. si aparece un nuevo virus o nuevas tecnologías que representen riesgos. Política de seguridad Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información. sino que por el contrario. Un caso práctico sería el aparecimiento de las memorias USB. tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé. se tiene como objetivo manejar la seguridad de la información dentro de la organización. Las políticas de seguridad de la información no pueden quedar estáticas para siempre. ." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes. entonces no se esperaba que existieran robos de información a través de puertos USB. 2. Ahora las memorias USB son de uso global y por lo tanto. en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.

y el departamento de leyes de la empresa también tendrá que ser muy metódico en estos procesos. incluyendo bienes muebles e inmuebles. Por esa razón se deben asignar claramente responsabilidades para que cuando se den los problemas. ya que los activos son todos los bienes y recursos que posee una empresa. a quien/quienes les pertenecen. Gestión de activos Se deben asignar responsabilidades por cada uno de los activos de la organización. Entonces cuando la seguridad es atacada. casi siempre las personas dentro de la organización tratan de buscar un culpable y quedar libres de todo cargo. dinero. Deben también existir acuerdos de confidencialidad. contratistas y terceros entiendan sus responsabilidades. Es típica una tendencia humana el echarle la culpa a otros.Es fundamental también asignar responsabilidades. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos. procesados. El objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados. el uso que se les debe dar. fraude y mal uso de los medios. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios . grupos externos. Seguridad ligada a los recursos humanos El objetivo de esto es asegurar que los empleados. comunicados a. La asignación de responsabilidades no solamente tiene que ser verbal. Es necesario definir claramente los roles y responsabilidades de cada empleado. incluso bajo un contrato legal. Todo esto no debe ser simplemente mediante acuerdos verbales. sino que escrita y en muchas ocasiones. La organización en materia de seguridad de la información debe también considerarse respecto a terceros. o manejados por. etc. Por lo tanto este es un asunto delicado y de gran importancia. y sean idóneos para los roles para los cuales son considerados. cada quien responda por sus actos y por lo que estaba bajo su cargo. 4. 3. sino que se debe plasmar en el contrato de trabajo. reduciendo el riesgo de robo. y la clasificación de todos los activos. así como poseer un inventario actualizado de todos los activos que se tienen.

es necesario que los procedimientos de operación estén bien documentados. sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia. Además de eso. seguridad del cableado. como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes). Otro aspecto fundamental es la gestión de cambios. En cuanto a la seguridad ambiental. atentados terroristas. rejas de entrada controladas por tarjetas o recepcionistas. 5. y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información. etc. se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes. Respecto a las áreas seguras. etc. Gestión de comunicaciones y operaciones El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información. 6. . También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo. además de la necesidad de hacerlo bajo la autorización pertinente y luego de un estudio y análisis de los beneficios que traerá dicho cambio. Seguridad física y ambiental La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. etc. Un cambio relevante no se debe hacer jamás sin documentarlo. terremotos. mantenimiento de equipos. huracanes. La ubicación de los equipos también debe ser adecuada y de tal manera que evite riesgos. tales como puertas con llave.relacionados a la seguridad y responsabilidad de los recursos humanos en este ámbito. se debe controlar la temperatura adecuada para los equipos. para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad. inundaciones. es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental. Se debe también contar con controles físicos de entrada. En primer lugar. pues no basta con tener las ideas en la mente de los administradores.

Las fallas deben ser inmediatamente corregidas. Para ello debe haber una bitácora de accesos. gestión de privilegios. sino que la seguridad que ofrecen. 7. utilizando técnicas seguras. 8. No solamente se debe considerar la calidad y el precio. es necesario asegurar la protección de la información que se transmite y la protección de la infraestructura de soporte. autenticación mediante usuarios y contraseñas. y la integridad de los mensajes. Debe haber un continuo monitoreo para detectar actividades de procesamiento de información no autorizadas. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias. con las respectivas horas y tiempos de acceso. pero también registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias. Todo esto se controla mediante registro de usuarios. Debe existir una validación adecuada de los datos de entrada y de salida. controlando el procesamiento interno en las aplicaciones. o al desarrollarlos. por ejemplo antivirus actualizados y respaldos de información. En cuanto a las redes. etc. etc. La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización. prevención y recuperación para proteger contra códigos maliciosos.Se debe tener cuidado que nadie pueda tener acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Control de acceso En primer lugar. Adquisición. Se deben también tener controles de detección. desarrollo y mantenimiento de los sistemas de información Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas. . se debe contar con una política de control de acceso. modificar o utilizar los activos sin autorización o detección. Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. Las auditorías son también necesarias.

y otros procesos gerenciales dentro de la organización. Cumplimiento Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley. o para evitar en general cualquier tipo de daño a la propiedad de código fuente con que se cuente. Por lo tanto. La identificación de la legislación aplicable debe estar bien definida.Se debe restringir el acceso al código fuente para evitar robos. 9. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. Gestión de la continuidad del negocio Las consecuencias de los desastres. reguladora o contractual. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio. asegurando una comunicación tal que permita que se realice una acción correctiva oportuna. mantenimiento y reevaluación. Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos. alteraciones. Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible 10. documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general. Estos planes no deben ser estáticos. Se deben definir explícitamente. o la aplicación de ingeniería inversa por parte de personas no autorizadas. y cualquier requerimiento de seguridad. fallas en la seguridad. . se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información. 11. Gestión de incidentes en la seguridad de la información La comunicación es fundamental en todo proceso. regulación estatutaria. reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado. sino que deben ser actualizados y ser sometidos a pruebas.

protección de datos y privacidad de la información personal. .El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización. y a regulaciones de los controles criptográficos. prevención del uso indebido de los recursos de tratamiento de la información.

.

NOVEDADES DE LA ISO 27002:2013 CON RESPECTO A LA ISO 27002:2005 199BS-7799-2 8 200BS-7799-1 2 200• ISO/IEC • 27001:2005 5 201• ISO/IEC • 27001:2013 3 .

.

.

.

com/es/que-es-iso-27001/ http://www.com/trabajos67/estandarinternacional/estandar-internacional2.es/herramientas.iso27000.monografias.html#seccion5 http://www.iso27001standard.com/blog/2011/09/13/becomingiso-27001-certified-how-to-prepare-for-certification-audit/ http://nimbosystems.shtml .iso27001standard.Linkografía: http://www.com/wp/?p=52 http://www.