ISO 27001

Ing. Msc. Patricia Lpez A.

ISO 27001
La norma internacional ISO 27001 especifica

los requisitos para establecer, implantar,

poner en funcionamiento, controlar, revisar,
mantener y mejorar un Sistema de Gestin de
la Seguridad de la Informacin SGSI,
documentado dentro del contexto global de
los riesgos de una institucin. Especificando
los requisitos para la implantacin de los
controles de seguridad hechos a medida de
las necesidades institucionales, individuales o
partes de las mismas
11 dominios, 39 objetivos de control y 133

Plan de seguridad
Principios bsicos
Integridad

No alteracin de
las
Polticas internas
en su contenido.

Disponibilidad

Confidencialidad

Acceso a la
informacin
por la persona
autorizada.

Informacin
disponible
cuando sea
requerida.

INTEGRIDAD
La informacin solo puede ser
modificada por quien esta
autorizado y de manera
controlada.
CONFIDENCIALIDAD
La informacin solo debe ser
legible para los autorizados.

DISPONIBILIDA
D
Debe estar
disponible cuando
se necesita.

CRITICA

Indispensable para
garantizar la continuidad de
la organizacin.

Es un activo corporativo que

VALIOSA
tiene valor en si mismo.
Debe ser conocida por las
SENSITIV personas que necesitan los
A
datos.

Algunas definiciones
Importantes
Seguridad de la Informacin (SI).-

Preservacin de la confidencialidad, integridad y

disponibilidad
Activo.- Algo que tiene valor para la
organizacin (ISO/IEC 13335-1:2004).
Amenaza.- Evento que puede provocar un
incidente en la organizacin produciendo daos
o
prdidas materiales y/o inmateriales.
Vulnerabilidad.- Susceptibilidad de algo para
absorber negativamente incidencias externas.

Antecedentes ISO 17799

Objetivo ISO 17799: Proporcionar una base

comn para desarrollar normas de seguridad

dentro de las organizaciones y ser una
prctica eficaz de la gestin de la seguridad.
Se trata de una norma NO CERTIFICABLE,
pero que recoge la relacin de controles a
aplicar para establecer un Sistema de
Gestin de la Seguridad de la
Informacin (SGSI) segn la norma UNE
71502, CERTIFICABLE.
8

Evolucin de la Norma

Evolucin de las normas

ISO

Seguridad de la
informacin familia
27000
UNE-ISO/IEC 27001:2007 Sistemas de

Gestin de la Seguridad de la Informacin

(SGSI). Requisitos. Fecha de la de la versin
espaola 29 noviembre de 2007. Es la norma
principal de requisitos de un Sistema de
Gestin de Seguridad de la Informacin. Los
SGSIs debern ser certificados por auditores
externos a las organizaciones. En su Anexo A,
contempla una lista con los objetivos de
control y controles que desarrolla la ISO
27002 (anteriormente denominada
ISO17799).

ISO 27002: (anteriormente denominada

ISO17799).Gua de buenas prcticas que

describe los objetivos de control y controles
recomendables en cuanto a seguridad de la
informacin con 11 dominios, 39 objetivos de
control y 133 controles.
ISO 27003: En fase de desarrollo; probable
publicacin en 2009. Contendr una gua de
implementacin de SGSI e informacin acerca
del uso del modelo PDCA y de los requisitos
de sus diferentes fases. Tiene su origen en el
anexo B de la norma BS 7799-2 y en la serie
de documentos publicados por BSI a lo largo
de los aos con recomendaciones y guas de
implantacin.

ISO 27004: Publicada en diciembre de 2009.

Especifica las mtricas y las tcnicas de

medida aplicables para determinar la
eficiencia y eficacia de la implantacin de un
SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008.
Consiste en una gua para la gestin del
riesgo de la seguridad de la informacin y
sirve, por tanto, de apoyo a la ISO 27001 y a
la implantacin de un SGSI. Incluye partes de
la ISO 13335.
ISO 27006: Publicada en febrero de 2007.
Especifica los requisitos para acreditacin de
entidades de auditora y certificacin de

Estructura de la ISO
27001
Especifica los requisitos necesarios para

establecer, implantar, mantener y mejorar un

Sistema de Gestin de la Seguridad de la
Informacin (SGSI) segn el conocido Ciclo
de Deming: PDCA - acrnimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar,
Actuar). Es consistente con las mejores
prcticas descritas en ISO/IEC 17799 (actual
ISO/IEC 27002) y tiene su origen en la norma
BS 7799-2:2002, desarrollada por la entidad
de normalizacin britnica, la British
Standards Institution (BSI).

(Planificar /Hacer /Verificar

/Actuar)
Modelo utilizado para establecer, implementar, monitorear y

mejorar el SGSI.

PlanificaEstablecer
el SGSI
r

Actuar

Mantener y
Mejorar el SGSI

Partes
Interesadas

Requisitos y
expectativas

Partes
Interesadas
Implementar y
operar el SGSI

Hace
r

Monitorear
el SGSI

Verificar

Seguridad
Gestionada

(Planificar /Hacer /Verificar

/Actuar)
El SGSI adopta el siguiente modelo:
Definir la poltica de seguridad

Implantar el plan de gestin de riesgos

Establecer el alcance del SGSI

Implantar el SGSI

Realizar los anlisis de riesgos

Planifica
r

Seleccionar los controles

PHVA
Actuar

Adoptar acciones correctivas

Adoptar acciones preventivas

Hace
r

Implantar los controles.

Implantar indicadores.

Verificar
Revisiones del SGSI por
parte de la Direccin.
Realizar auditoras internas del
SGSI

Establecer el SGSI

(Plan)

Establecer la poltica de seguridad, objetivos,

metas, procesos y procedimientos relevantes para

manejar riesgos y mejorar la seguridad de la
informacin para generar resultados de acuerdo
con una poltica y objetivos marco de la
organizacin.
Definir el alcance del SGSI a la luz de la
organizacin.
Definir la Poltica de Seguridad.
Aplicar un enfoque sistmico para evaluar el
riesgo.
17

No se establece una metodologa a seguir.

Establecer el SGSI

(Plan)

Identificar y evaluar opciones para tratar el riesgo

Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar

(Mitigar).
A partir

de los controles definidos por la ISO/IEC

17799
Establecer enunciado de aplicabilidad

Implementar y operar
(Do)
Implementar y operar la poltica de seguridad,

controles, procesos y procedimientos.

Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar
Implementar los controles seleccionados.
Mitigar
Aceptar riesgo residual.
Firma de la alta direccin para riesgos que
superan el nivel definido.

Implementar
(Do)
Implementar

medidas
eficacia de los controles

y operar
para

evaluar

la

Gestionar operaciones y recursos.

Implementar

programas
concientizacin.

Implementar

de

Capacitacin

procedimientos y controles
deteccin y respuesta a incidentes.

de

Monitoreo
(Check)

Revisin

Evaluar y medir la performance de los procesos

contra la poltica de seguridad, los objetivos y

experiencia practica y reportar los resultados a la
direccin para su revisin.
Revisar el nivel de riesgo residual
aceptable, considerando:
Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej.
Regulaciones, leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la direccin del

Monitoreo y Revisin
(Check)
Se debe establecer y ejecutar procedimientos de

monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y
exitosos.
Brindar a la gerencia indicadores para
determinar la adecuacin de los controles y el
logro de los objetivos de seguridad.
Determinar las acciones realizadas para
resolver brechas a la seguridad.
Mantener registros de las acciones y eventos que
pueden impactar al SGSI.
Realizar revisiones regulares a la eficiencia del

Mantenimiento y mejora
del SGSI (Act)
Tomar

acciones correctivas y preventivas,

basadas en los resultados de la revisin de la
direccin, para lograr la mejora continua del SGSI.
Medir el desempeo del SGSI.
Identificar mejoras en el SGSI a fin de
implementarlas.
Tomar las apropiadas acciones a
implementar en el ciclo en cuestin
(preventivas y correctivas).
Comunicar los resultados y las acciones a
emprender, y consultar con todas las partes
involucradas.
Revisar
el
SGSI
donde
sea
necesario

(Planificar /Hacer /Verificar

/Actuar)

Documentacin del
SGSI
Contenido de los documentos
MANUAL DE
SEGURIDAD

Describe el sistema de gestin de la

seguridad

PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)

REGISTROS

Describe los procesos y las

actividades

Describe tareas y
requisitos
Son evidencias objetivas de la
ejecucin
de
procesos,
actividades o tareas

Requisitos de
Certificacin del SGSI
Lanorma

establece
requisitos
para
Establecer, Implementar y Documentar un
SGSI.
Definir el alcance del SGSI (fronteras)
Definir una poltica de seguridad
Identificar activos
Realizar el anlisis de riesgos de activos.
Identificar las reas dbiles de los activo
Tomar decisiones para manejar el riesgo
Seleccionar los controles apropiados
Implementar
y
manejar
los
controles
seleccionados

Objetivos de auditoria
Para obtener la certificacin.
Revisar conformidad con la norma (ISO/IEC 27001)
Revisar grado de puesta en prctica del sistema
Revisar la eficacia
y adecuacin en el

cumplimiento de:
Poltica de seguridad
Objetivos de seguridad
Identificar las fallas y debilidades en la seguridad
Proporcionar una oportunidad para mejorar el
SGSI
Cumplir requisitos contractuales.
Cumplir requisitos regulatorios.

Certificacin del SGSI

La certificacin no implica que la organizacin a

obtenido determinado niveles de seguridad de la

informacin para sus productos y/o servicios.
Las organizaciones certificadas pueden tener
mayor confianza es su capacidad para gestionar
la seguridad de la informacin, y por ende
ayudara a asegurar a sus socios, clientes, y
accionistas con quien hacen negocios.
El Anexo C de la norma muestra las
correspondencias del (SGSI) con el Sistema de
Gestin de la Calidad ISO 9001:2000 y con el
Sistema de Gestin Medio Ambiental segn ISO
14001:2004
con duracin de 3 aos.

ISO 27001
Definicin del Alcance
Evaluacin y Manejo de los riesgos

Pasos
previos

1. Poltica de Seguridad
2. Estructura Organizativa para la Seguridad

Como nos
organizamos

3. Clasificacin y Control de Activos (Administracion)

4. Seguridad
Ligada al
Personal (RRHH)

5. Seguridad
Fsica y del
Entorno

6. Gestin de
Comunicaciones 8. Adquisicin,
Desarrollo y
y Operaciones
(administracin) Mantenimiento
de Sistemas

Como lo
vamos a
hacer

7. Administracin y Control de Accesos

9. Administracin de incidentes de seguridad
10. Administracin de Continuidad de Operaciones
11. Cumplimiento

Contingencia
y Seguimiento

Establecimiento de un
SGSI

Establecimiento de un
SGSI

Establecimiento de un
SGSI

Establecimiento de un
SGSI

Implementacin de un
SGSI

Implementacin de un
SGSI

Monitoreo y revisin de
SGSI

Monitoreo y revisin de
SGSI

Monitoreo y revisin de
SGSI

Mantenimiento y mejora
SGSI

1 Documentacin de
SGSI
-Poltica y Objetivos del SGSI
-Alcance
-Procedimientos y controles
-Descripcin metodologa Risk Assessment
-Reportes del Risk Assessment
-Plan de Tratamiento de Riesgos (RTP)
-Los registros requeridos por ISO 27001
-El Estado de Aplicabilidad

2 Control de documentos
-Aprobacin de documentos antes de su

emisin
-Revisin y actualizacin y necesidad de
re-aprobacin
-Identificacin de cambios y versiones en
vigor
-Garantizar que las versiones aplicables se
encuentren en los puntos de uso
-Garantizar que los documentos
permanecen legibles y fcilmente
identificables

2 Control de documentos
Garantizar que estn a disposicin de las

personas que los necesitan

-Garantizar que son transferidos, almacenados y
destruidos segn lo establecido en el SGSI
-Garantizar que se identifican los documentos de
origen externo
-Garantizar que se controla la distribucin e
documentos
-Prevenir el uso no intencionado de documentos
obsoletos
-Identificar los obsoletos caso de que sean
retenidos por algn motivo

3 Control de registros
Muestran evidencias de la conformidad del

sistema con sus requisitos

Deben ser debidamente protegidos y
controlados
Es necesario un documentar los controles
necesarios para su:
identificacin (rpidamente identificables)
almacenamiento (fcilmente recuperables)
proteccin (permanezcan legibles)
perodo de retencin
disposicin de registros

4 Compromiso de
direccin
La Alta Direccin debe proveer evidencia de su

compromiso con el proyecto

Estableciendo la Poltica del SGSI
Asegurando que se establecen Objetivos para el SGSI
y que se planifica su consecucin
Estableciendo roles y responsabilidades
Comunicando la importancia de logar los Objetivos y
estableciendo la Poltica del SGSI

Revisin por la Direccin

del SGSI
A intervalos planificados y como mnimo 1 al

ao
Debe incluir oportunidades de mejora y
necesidad de cambios en el SGSI
Analizar posibles cambios en la Poltica y en
los Objetivos
Los resultados de la RxD deben estar
documentados manteniendo registro

Entradas
Resultados de auditoras y RxD previas
Feedback de partes interesadas
Estado de acciones correctivas/preventivas
Tcnicas, productos o procedimientos que

pueden ser usados para mejora del SGSI

Amenazas y vulnerabilidades no
determinadas de forma correcta en el Risk
Assessment
Resultados de medidas de efectividad
(mtricas)
Seguimiento de actuaciones derivadas de
RxD previas
Cambios que pudieran afectar al SGSI

Salidas
Mejora de la eficacia del SGSI
Actualizacin del Risk Assessment y del Risk

Treatment Plan
Modificacin de procedimientos y controles
necesarios, incluyendo cambios en:
- Requerimientos de negocio
-Requerimientos de seguridad
-Procesos de negocio
-Requisitos legales o regulatorios
-Obligaciones contractuales
-Niveles de riesgo y/o criterios de aceptacin de
riesgo
Necesidad de recursos
Mejora de los mtodos de medida de la eficacia de los

4 Compromiso de
direccin

Comunicando responsabilidades y la

necesidad de la bsqueda de la mejora

continua
Suministrando recursos
Decidiendo criterios de aceptacin de
riesgos y Niveles de Riesgo Aceptables
Asegurndose de que se realizan
Auditoras Internas
Realizando Revisiones por la Direccin del
SGSI

5 Provisin de recursos

6 Formacin, Toma de
Conciencia y
Competencia
1) Determinar competencias para el personal

alcanzado por el SGSI

2) Si no se tienen in-house ? Formacin o
reclutamiento
3) Si se hacen acciones de formacin ?
Evaluar su eficacia
4) Hay que mantener registros de educacin,
formacin, habilidades,experiencia y
cualificacin
La organizacin debe garantizar que el personal relevante
afectado por el SGSI sea consciente de la importancia de
sus actividades y de cmo pueden contribuir a la

7 Auditoria Interna SGSI

A intervalos previamente planificados en un

Programa de Auditoras.
En funcin de la importancia de los procesos y
reas a auditar.
En funcin de resultados de auditoras
previas.
Debe definirse: - Criterios de auditora y
Alcance
-Frecuencia y Metodologa (ISO 19011 Gua)

7 Auditoria Interna SGSI

La seleccin de auditores y el desarrollo de la

auditora deben garantizar la total

imparcialidad y objetividad del proceso de
auditora. Un auditor no debe auditar nunca
su propio trabajo.
Es preciso un procedimiento documentado
segn ISO 27001 que plasme las
responsabilidades y requisitos para la
planificacin y realizacin de auditoras y para
la forma en que se reportan los resultado y se
mantienen registros.

8 Mejora continua
Procedimiento AACC
-Identificar No Conformidades
-Determinar sus causas
-Evaluar necesidad de actuacin
-Determinar AACC necesarias
-Registrar resultados de las acciones
-Revisar las AACC tomadas

8 Mejora continua
Procedimiento AAPP
-Identificar No Conformidades

Potenciales
-Determinar sus causas
-Evaluar necesidad de
actuacin preventiva
-Determinar AAPP necesarias
-Registrar resultados de las
acciones
-Revisar las AAPP tomadas
Su prioridad ir en funcin del
Risk Assessment

OBJETIVOS Y CONTROLES

Graci
as

Para nosotros Seguridad es una cosa

seria

ISO