5 - NTP Iso Iec 27001-2013

UNIVERSIDAD NACIONAL DE INGENIERA
Instituto Nacional de Investigacin

y Capacitacin de Telecomunicaciones
NTP-ISO/IEC 27001
2013
Ing. Jeler Vsquez

San Borja, Febrero 2015

1. Alcance
En esta seccin se establece la obligatoriedad de
cumplir con los requisitos especficos en los captulos 4
a 10 del documento, para poder obtener la conformidad
de cumplimiento y certificarse.

2. Referencias normativas
El estndar ISO-27002 ya no es una referencia
normativa para ISO-27001:2013, aunque contina
considerndose necesario en el desarrollo de la
declaracin de aplicabilidad (SOA, por sus siglas en
ingls).
El estndar ISO-27000:2013 se convierte en una
referencia normativa obligatoria y nica, ya que contine
todos los nuevos trminos y definiciones.

3. Trminos y definiciones
Los trminos y definiciones se encuentran en la seccin
3 de ISO-27003:2013 Fundamentos y vocabulario.

4. Contexto de la organizacin
4
CONTEXTO DE LA ORGANIZACIN
4.1
Comprensin de la
organizacin y su
contexto
4.2
Comprensin de las
necesidades y
expectativas de las
partes
4.3
Determinacin del
alcance del sistema de
gestin de seguridad de
la informacin

4. Contexto de la organizacin
Esta clusula hace hincapi en identificar los problemas
externos e internos que rodean a la organizacin.
Instituye los requerimientos para definir el contexto del
SGSI sin importar el tipo de organizacin y su alcance.
Introduce una nueva figura las partes interesadas
como un elemento primordial para la definicin del
alcance del SGSI.
Establece la prioridad de identificar y definir formalmente
las necesidades de las partes interesadas con relacin a
la seguridad del SGSI, pues esto determinara las
polticas de seguridad de la informacin y los objetivos
a seguir para el proceso de gestin de riesgos.

5. Liderazgo
5
LIDERAZGO
5.1
Liderazgo y compromiso
5.2
Poltica
5.3
Roles, autoridad y
responsabilidades
organizacionales

5. Liderazgo
Ajusta la relacin y responsabilidades de la Alta Direccin
respecto al SGSI, destacando de manera puntual cmo
debe demostrar su compromiso, por ejemplo:
Garantizando que los objetivos del SGSI y La poltica
de seguridad de la informacin, estn alineados con los
objetivos del negocio.
Garantizando la disponibilidad de los recursos para la
implementacin del SGSI (econmicos, tecnolgicos,
etc.).
Garantizando que los roles y responsabilidades claves
para la seguridad de la informacin se asignen y se
comuniquen adecuadamente.

6. Planificacin
6
PLANIFICACIN
6.1
Acciones para atender
los riesgos y las
oportunidades
6.2
Objetivos de seguridad de la
informacin y planes para
alcanzarlos
6.1.1
Generalidades
6.1.2
Evaluacin de riesgos de
seguridad de la informacin
6.1.3
Informacin de tratamiento de
riesgos de seguridad

6. Planificacin
Esta seccin esta enfocada en la definicin de los objetivos
de seguridad como un todo, los cuales deben ser claros y
se debe contar con planes especficos para alcanzarlos.
El proceso para la evaluacin de riesgos se enfoca en el
objetivo de identificar los riesgos asociados con la perdida de
la confidencialidad, integridad y disponibilidad.
El nivel de riesgo se determina con base en la probabilidad
de ocurrencia del riesgo y las consecuencias generales
(impacto), si el riesgo se materializa.
Los activos, vulnerabilidades y amenazas se requieren para
identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad.

7. Soporte
7
SOPORTE
7.1
Recursos
7.2
Competencias
7.3
Concientizacin
7.4
Comunicacin
7.5
Informacin a
documentar
7.5.1
Generalidades
7.5.2
Creacin y
actualizacin
7.5.3
Control de la
informacin
documentada

7. Soporte
Marca los requerimientos de soporte para el
establecimiento, implementacin y mejora del SGSI, que
incluye:
Recursos
Personal competente
Conciencia y comunicacin de las partes interesadas
Informacin documentada: abarca el proceso de documentar,
controlar, mantener y conservar la documentacin
correspondiente al SGSI.
El proceso de revisin se enfoca en el contenido d elos
documentos y no en la existencia de un determinado conjunto
de estos.

8. Operacin
8
OPERACIN
8.1
Planificacin y control
operacional
8.2
Evaluacin del riesgo de
seguridad de informacin
8.3
Informacin de tratamiento
de riesgos de seguridad

8. Operacin
Establece los requerimientos para medir el funcionamiento
del SGSI, las expectativas de la Alta Direccin y su
realimentacin sobre estas, as como el cumplimiento con
el del estndar.
Adems, plantea que la organizacin debe planear y
controlar las operaciones y requerimientos de seguridad,
erigiendo como el pilar de este proceso la ejecucin de
evaluaciones de riesgos de seguridad de la informacin de
manera peridica por medio de un programa previamente
elegido.

9. Evaluacin del desempeo
9
EVALUACIN DEL DESEMPEO
9.1
Monitoreo, medicin,
anlisis y evaluacin
9.2
Auditora interna
9.3
Revisin gerencial

9. Evaluacin del desempeo

La base para identificar y medir la efectividad y desempeo
del SGSI son las auditoras internas y las revisiones del
SGSI.
Se debe considerar para estas revisiones el estado de los
planes de accin para atender no conformidades
anteriores y se establece la necesidad de definir quin y
cundo se deben realizar estas evaluaciones as como
quin debe analizar la informacin recolectada.

10. Mejoramiento
10
MEJORAMIENTO
10.1
No conformidad y acciones correctivas
10.2
Mejoramiento continu

10. Mejoramiento
El principal elemento del proceso de mejora son las no
conformidades identificadas, las cuales tienen que
contabilizarse y compararse con las acciones correctivas
para asegurar que no se repitan y que las acciones
correctivas sean efectivas.

Ciclo PDCA en
ISO/IEC
27001:2013

Fases del ciclo Deming

Contexto de la
organizacin
PLAN
Liderazgo
Planeacin
Soporte
Entendimiento de la organizacin y su
contexto
Expectativas de las partes interesadas
Alcance del SGSI
Liderazgo y compromiso de la Alta Direccin
Polticas
Organizacin de los roles, responsabilidades
y autoridades
Cmo abordar riesgos y oportunidades
Recursos
Competencias
Conciencia
Comunicacin
Informacin
documentada
10

Fases del ciclo Deming

DO
Operacin
Evaluacin de riesgos de la seguridad de

la informacin
Manejo de riesgos de la seguridad de la
informacin
CHECK
Evaluacin del
desempeo
Monitoreo y auditorias internas

Revisin de la Alta Direccin
ACT
Mejora
Ejecutar acciones correctivas

Proceso pre-implementacin
11

Estructura de Gobierno del SGSI

Poltica de Seguridad
Debe tener el marco general y los objetivos de
seguridad de la informacin de la organizacin
Debe explicar los requisitos de negocio, legales y
contractuales en cuanto a seguridad
Debe de estar alineada con la gestin de riesgo general,
establecer criterios de evaluacin de riesgo y ser
aprobada por la Direccin.
La poltica de seguridad es un documento muy general,
una especie de "declaracin e intenciones" de la
Direccin, por lo que no pasar de dos o tres pginas.
12

Tipos de Polticas

Estructura de una Poltica
Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
13

Qu documentos y registros son

necesarios?

Documentos
Clusula
Alcance del SGSI
4.3
Polticas y objetivos de seguridad de la informacin
5.2, 6.2
Metodologa de evaluacin y tratamiento de riesgos
6.1.2
Declaracin de aplicabilidad
6.1.3 d)
Plan de tratamiento del riesgo
6.1.3 e), 6.2
Informe de evaluacin de riesgos
8.2
Definicin de funciones y responsabilidades de seguridad
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
Uso aceptable de los activos
A.8.1.3
Poltica de control de acceso
A.9.1
Procedimientos operativos para gestin de TI
A.12.1.1
Principios de ingeniera para sistema seguro
A.14.2.5
Poltica de seguridad para proveedores
A.15.1.1
Procedimientos para gestin de incidentes
A.16.1.5
Procedimientos de la continuidad del negocio
A.17.1.2
Requisitos legales, normativos y contractuales
A.18.1.1
14

Registros
Clusula
Registros de capacitacin, habilidades, experiencia y calificaciones
7.2
Resultados de supervisin y medicin
9.1
Programa de auditora interna
9.2
Resultados de las auditoras internas
9.2
Resultados de la revisin por parte de la direccin
9.3
Resultados de acciones correctivas
10.1
Registros sobre actividades de los usuarios, excepciones y eventos

de seguridad
A.12.4.1, A.12.4.3

Proceso de Evaluacin del Riesgo
15

Proceso del
Ejercicio de
Evaluacin del
Riesgo

Metodologas para la Evaluacin del

Riesgo
Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
16

Inventario de Activos
Todos aquellos activos de informacin que tienen algn
valor para la organizacin y que quedan dentro del
alcance del SGSI
Se debe inventariar el nombre activo, tipo, responsable y
ubicacin como campos mnimos.
Se debe realizar la dependencia de activos.

Tasacin de los Activos

ACTIVOS DE
INFORMACIN
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
TOTAL
VALORI
ZACIN
3.00
Medio
3.00
Medio
3.33
Alto
Tabla de impacto
ESCALA
VALORIZACIN
Muy Bajo (MB)
Bajo (B)
Medio (M)
Alto (A)
Muy Alto (MA)
OTRA POSIBLE DEFINICIN

Afecta a unos activos
Paraliza la empresa
17

Anlisis y Evaluacin del Riesgo

Dispersin del Riesgo

18

Opciones del Tratamiento del Riesgo

Decisin
Reduccin
Aceptacin
Descripcin
Mitigar el riesgo por controles
Aceptar el riesgo y vivir con las
consecuencia
Transferir
Opcin cuando para la empresa es

difcil reducir o controlar el riesgo a un
nivel aceptable
Opcin orientada a cambiar las
actividades o la manera de
desempear una actividad comercial
Evitar


ACTIVO
AMENAZA
IMPACTO DE LA
AMENAZA
PROBABILIDAD
DE OCURRENCIA
MEDICIN DEL
RIESGO
PRIORIZACIN
20
15
25
Software
Sistema
Operativo
Sistema
Ventas
Base de Datos
de
Errores de Cdigo
Errores de
Administracin
Infeccin de
malware
Falta de seguridad
Fallos por las

actualizaciones
Errores de usuario
Perdida de
informacin
Lentitud de
procesos
4
4
4
5
5
19


ACTIVO
AMENAZA
IMPACTO DE LA
AMENAZA
PROBABILIDAD
DE OCURRENCIA
MEDICIN DEL
RIESGO
PRIORIZACIN
25
15
Hardware
Servidor APPS
Servidor Firewall
Estaciones
trabajo
Fallos tcnicos
Perdida de datos
Fallos de hardware
Falta de seguridad
Fallos tcnicos
Fallos de hardware
Falta de seguridad
Errores de
configuracin
de Fallos de hardware
Errores de usuario
Falta de seguridad
2
3
3
5
3
3
2
2
3

Declaracin de Aplicabilidad
Aplicabilidad
Objetivos de control
Controles
S No
Justificacin
Es necesario establecer las polticas de seguridad
del Sistema de Ventas (servidores, base de datos,
personal, etc.), ya que aqu se tiene el total de
informacin del rea de Ventas de la empresa.
A.5.1.1
S No
A.5.1.2
S No
A.6.1
Organizacin interna
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
S
S
S
S
S
S
S
S
A.6.2
Partes externas
A.6.2.1
A.6.2.2
A.6.2.3
S No
S No
S No
Es necesario establecer requerimiento de seguridad

porque el sistema ERP tiene asistencia tcnica por
terceros.
A.7.1
Responsabilidad por ,los
activos
A.7.1.1
A.7.1.2
A.7.1.3
S No
S No
S No
Es necesario tener polticas y controles para

mantener la proteccin apropiada de los activos
organizacionales.
A.5.1
Poltica de seguridad de la
informacin
No
No
No
No
No
No
No
No
Es necesario revisar peridicamente las polticas de

seguridad del Sistema de Ventas, para asegurar
que se mantengan adecuadas.
Es necesario tener polticas y controles para el

manejo de la seguridad de la informacin dentro de
la organizacin.
20

Declaracin de Aplicabilidad
Aplicabilidad
Objetivos de control
Controles
S No
Justificacin
Es necesario establecer las polticas de seguridad
del Sistema de Ventas (servidores, base de datos,
personal, etc.), ya que aqu se tiene el total de
informacin del rea de Ventas de la empresa.
A.5.1.1
S No
A.5.1.2
S No
A.6.1
Organizacin interna
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
S
S
S
S
S
S
S
S
A.6.2
Partes externas
A.6.2.1
A.6.2.2
A.6.2.3
S No
S No
S No
Es necesario establecer requerimiento de seguridad

porque el sistema ERP tiene asistencia tcnica por
terceros.
A.7.1
Responsabilidad por ,los
activos
A.7.1.1
A.7.1.2
A.7.1.3
S No
S No
S No
Es necesario tener polticas y controles para

mantener la proteccin apropiada de los activos
organizacionales.
A.5.1
Poltica de seguridad de la
informacin
No
No
No
No
No
No
No
No
Es necesario revisar peridicamente las polticas de

seguridad del Sistema de Ventas, para asegurar
que se mantengan adecuadas.
Es necesario tener polticas y controles para el

manejo de la seguridad de la informacin dentro de
la organizacin.

Proceso de Auditora Interna
21

Cmo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa,
usted tiene que seguir estos 16 pasos:
1) Obtener el apoyo de la direccin
2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su
SGSI

Cmo implementar ISO 27001?

11) Implementar programas de capacitacin y concienciacin
12) Realizar todas las operaciones diarias establecidas en la
documentacin de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas
22

5 - NTP Iso Iec 27001-2013

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

5 - NTP Iso Iec 27001-2013

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

Ing. Jeler Vsquez

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

9. Evaluacin del desempeo

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

9. Evaluacin del desempeo

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

Fases del ciclo Deming

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

Fases del ciclo Deming

Evaluacin de riesgos de la seguridad de

Monitoreo y auditorias internas

Ejecutar acciones correctivas

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

Estructura de Gobierno del SGSI

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

UNIVERSIDAD NACIONAL DE INGENIERA

Instituto Nacional de Investigacin

Estructura de una Poltica

UNIVERSIDAD NACIONAL DE INGENIERA