NORMA INTERNACIONAL

ISO-27000

NORMA ISO 27000

Conceptos asociados a ISO 27000

Normas ISO 27000: Familia de

estndares de ISO e IEC que
proporciona un marco para la
gestin de la seguridad de la
Informacin

Conjunto de normas que especifican los

requisitos para establecer, implantar,
poner en funcionamiento, controlar,
revisar, mantener y mejorar un SGSI.

QU ES LA INFORMACIN?

Motor

La
Academia
Latinoamericana
de
Seguridad Informtica (2.004) destaca al
respecto que la informacin es el objeto
de mayor valor para las empresas.

Platos

Cabeza
lectora

La informacin es un activo que, como

otros activos importantes del negocio,
tiene valor para una organizacin y, por lo
tanto necesita ser protegido ISO / IEC
27001:2005

SEGURIDAD DE LA INFORMACIN
Maiwald (2005)

Explica que la seguridad de la informacin

son las medidas adoptadas para evitar el uso no
autorizado, el mal uso, la modificacin o
denegacin del uso de conocimientos, hechos,
Datos o capacidades.

Marco Regulatorio
Ley Orgnica de Proteccin de Datos (LOPD)
Regula a nivel legal una parte importante de los Sistemas de
Informacin de la empresa, los datos de carcter personal.

Reglamento de Desarrollo RD1720/2007

Especifica controles tcnicos, fsicos y organizativos para garantizar la
Proteccin de citados datos.

SEGURIDAD DE LA INFORMACIN
Los datos de carcter personal son un subconjunto del activo ms
importante que Maneja una empresa:
Planes estratgicos,
salario del personal,
operaciones financieras
Empleados, pacientes,
clientes

Ofertas comerciales, ERP,

contabilidad, planes ejecutivos

Site pblico de la empresa,

Publicidad

SEGURIDAD DE LA INFORMACIN
Los objetivos principales de la serie 27000 son la proteccin de la
informacin en sus diversas dimensiones, garantizando la:

Confidencialidad

Integridad

Disponibilidad

Click to add Title

La Organizacin Internacional
de Estandarizacin (ISO), a travs de las normas
recogidas en ISO/IEC 27000, establece un modelo para la implementacin efectiva:

ISO 27002 (ISO) 17799

Gua de Buenas Prcticas

ISO27001: Requerimientos
del SGSI

ISO 27000: Trminos

y Definiciones

SEGURIDAD DE LA INFORMACIN
En las normas ISO 27001, el concepto del sistema de gestin es comn
estableciendo sinergia y un marco de actuacin estructural y
documental. Este sistema de gestin est compuesto por:

Manual de
Calidad y
Seguridad

Procesos/
Procedimientos
Operativos
Generales

Registros de
Calidad y
Seguridad
Instrucciones
de Trabajo
Especficas

SEGURIDAD DE LA INFORMACIN
En las normas ISO 27001, el concepto del sistema de gestin es
comn estableciendo sinergia y un marco de actuacin estructural y
documental. Este sistema de gestin est compuesto por:

MANUAL DE SEGURIDAD

PROCEDIMIENTOS

INSTRUCCIONES CHECKLIST FORMULARIOS

REGISTROS

SISTEMA DE GESTIN DE LA
SEGURIDAD DE LA INFORMACIN
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el
concepto central sobre el que se construye ISO 27001

DATOS

INFORMACIN

PARA QU SIRVE UN SGSI?

Aprovechan

AMENAZAS

VULNERABILIDAD

Protegen de

Exponen
Aumentan

Aumentan

Disminuyen

ACTIVOS

RIESGOS

CONTROLES

Aumentan

Marcan
Impactan si se
materializan

Imponen

REQUERIMIENTOS
DE
SEGURIDAD

Tienen

VALOR
DE LOS
ACTIVOS

EVOLUCIN DE LA NORMATIVA
ISO 27000
BSI (British Standards Institution): Organizacin britnica responsable de la
publicacin de importantes normas como:
1979 Publicacin BS 5750 ahora ISO 9001

1992 Publicacin BS
7750 - ahora ISO
14001

1996 Publicacin BS
8800 - ahora OHSAS
18001

Publica a norma BS 7799 en 1995:

conjunto de buenas prcticas para
la gestin de la seguridad de su
informacin

(BS 7799-1): es una gua de

buenas prcticas, para la que
no se establece un esquema de
certificacin
(BS 7799-2): publicada por
primera vez en 1998, la
que establece los
requisitos de un sistema
de seguridad de la
informacin (SGSI) para
ser certificable por una
entidad independiente
Las dos partes de la
norma BS 7799 se
revisaron en 1999 y la
primera parte se adopt
por ISO, como ISO
17799 en el ao 2000
En 2002, se revis BS 7799-2
para adecuarse a la filosofa de
normas ISO de sistemas de
gestin

EVOLUCIN DE LA NORMATIVA ISO

27000
En 2005, con ms de 1700 empresas certificadas en BS7799-2, el
esquema se public por ISO como estndar ISO 27001.

1995
BS 7799 Parte 1
Cdigo de
Buenas
Octubre 2005
Prcticas
ISO/IEC 27001
1998
Parte 2
BS 7799 Parte 2
se adopta
Especificacin
como ISO
del SGSI

Junio 2005
ISO/IEC
17799: 2000
Revisin de
ISO 17999

HISTORIA
DE ISO
27001

1999
BS 7799-1 1999
BS 7799-2 1999
Revolucin de
las partes
1y2

2000
2002
ISO/IEC 17799:2000
BS 7799-2: 2002 Parte 1 se adopta
Revisin de la
como ISO
parte 2

EVOLUCIN DE LA NORMATIVA
ISO 27000
2012
ISO/IEC 27010: 2012
ISO/IEC 27013: 2012
ISO/IEC TR 27015: 2012

2011
ISO/IEC 27035: 2011
ISO/IEC 27031: 2011
ISO/IEC 27005: 2011
ISO/IEC 27006: 2011
ISO/IEC 27007: 2011
ISO/IEC TR 27008: 2011
ISO/IEC 27034: 2011
2010
ISO/IEC 27003: 2010

2009
ISO/IEC 27031: 2009
ISO/IEC 27004: 2009
ISO/IEC 27033: 2009
2008
ISO/IEC 27005: 2008
ISO/IEC 27011: 2008
ISO/IEC 27799: 2008

2007
ISO/IEC 27002: 2005
ISO/IEC 27006: 2007

EVOLUCIN DE LA NORMATIVA
ISO 27000
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000

ISO/IEC
27001
Puntos clave: Gestin
de riesgos + Mejora
continua

Define cmo es el SGSI,

cmo se gestiona y cules
son las responsabilidades
de los participantes

Sigue un modelo PDCA

(Plan-Do-Check-Act)

EVOLUCIN DE LA NORMATIVA
ISO 27000
ISO/IEC 27011: gua de
gestin de seguridad de la
informacin especfica para
telecomunicaciones

ISO/IEC 27002: cdigo de

buenas prcticas para la
gestin de la seguridad

ISO/IEC 27031: gua de

continuidad de negocio en lo
relativo a tecnologas de la
informacin y
comunicaciones
ISO/IEC 27032: gua
relativa a la
ciberseguridad

ISO/IEC 27003: gua

de implementacin
de SGSI e
informacin

EVOLUCIN

ISO/IEC 27005: gestin de

riesgos de seguridad de
la informacin

ISO/IEC 27032: gua de

seguridad en aplicaciones

ISO/IEC 27799: gua para

implantar ISO/IEC 27002
especfica para entornos
mdicos

ISO/IEC 27004: especifica

las mtricas y las
tcnicas de medida
aplicable para la eficacia
el SGSI

ISO/IEC 27007: gua de

actuacin para auditar los
SGSI conforme a las
normas 27000

ISO/IEC 27006: requisitos a

cumplir por las
organizaciones encargadas
de emitir certificaciones
ISO/IEC 27001

EVOLUCIN DE LA NORMATIVA
ISO 27000
Diagrama de relacin de la reorganizacin de las clusulas principales
de la versin 2005 a la publicada en 2013

NUEVA ISO 27001: 2013

NUEVA
ISO 27001: 2013

Enfoque del anlisis del

riesgo de l afase de
planificacin y operacin

NUEVA ISO 27001: 2013

Mantenimiento,
evaluacin y
planes de mejora

Estudio de
situacin actual
en aspectos
de seguridad

SGSI
Comprobar la
efectividad de
las medidas
implantadas

Implantacin de
medidas de
seguridad

ISO 27001
Norma que especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un
SGSI documentado dentro del contexto global de los riesgos de
negocio de la organizacin. Especifica los requisitos para la
implantacin de los controles de seguridad hechos a medida de
las necesidades de organizaciones individuales o partes de las
mismas

Objetivo:
Mejora
continua

Se adopta el
modelo Plan-DoCheck-Act (PDCA
ciclo de Deming)
para todos los
procesos de la
organizacin

ISO 27001
PLANIFICAR
(Creacin del SGSI

HACER
(Implementacin y operacin del SGSI

Definir las polticas, objetivos,

procesos y procedimientos del SGSI
relevantes para gestionar el riesgo
y mejorar la seguridad de la
informacin con el fin de obtener
resultados acordes con las
polticas y objetivos
generales de la organizacin

Implementar y operar la poltica,

controles, procesos y
procedimientos del SGSI

ISO 27001
Evaluar y, en su caso, medir el
rendimiento del proceso contra la
poltica, los objetivos y la
experiencia prctica del SGSI, e
informar de los resultados a la
direccin para su revisin

VERIFICAR
(Supervisin y revisin del SGSI

Adoptar medidas correctivas y

preventivas, en funcin a los
resultados de la auditora interna
del SGSI y de la revisin por parte
de la direccin, o de otras
informaciones relevantes, para
lograr la mejora continua del SGSI

ACTUAR
Mantenimiento y mejora del SGSI

VENTAJAS

Garantizar la confidencialidad,
integridad y disponibilidad
de informacin sensible

Disminuir el riesgo con la

consiguiente reduccin de
gastos

Garantizar la continuidad del

negocio

Cumplir la legislacin vigente

referente a la seguridad de
la linformacin

Aumentar la competitividad
y mejorar la imagen
corporativa

Aumentar las oportunidades

de negocio

Reducir la incertidumbre
por el conocimiento de
los riesgos e impactos

Incremetar la confianza de
los stakeholders

Mejorar continuamente la
gestin de la seguridad
de la informacin

Aumentar la rentabilidad
derivada del control de
los riesgos

VENTAJAS

Reducir los costos asociados

a los incidentes

Posibilidad de integracin
con otros sistemas de
gestin como ISO 9001,
ISO14001, OHSAS 18001
entre otros

Mejorar la implicacin y
participacin del
personal en la gestin
de la seguridad

Aumentar la competitividad
por mejora de la imagen
corporativa

Mejorar los procesos y

servicios prestados

DEFINICIN DE POLTICAS,
ORGANIZACIN Y ALCANCES

DISEO DEL SGSI

La implantacin de un SGSI debe comenzar con el correcto diseo

Para ello debemos definir

cuatro aspectos fundamentales

Primero:
El alcance del sistema
Segundo:
Las Polticas de seguridad
aseguir
Tercero:
La organizacin de la seguridad
Cuarto:
Programas de concienciacin y
formacin del personal

DISEO DEL SGSI

La implantacin de un SGSI debe comenzar con el correcto diseo

Primero: definir el alcance del

sistema. Qu partes o procesos de la
organizacin que van a ser incluidos

La empresa debe determinar cules

son los procesos crticos para su
organizacin decidiendo qu es lo
que se quiere proteger y por donde
debe empezar

Dentro del alcance debe quedar

definidas las actividades de la
organizacin, las ubicaciones fsicas
que se van a ver involucradas

DISEO DEL SGSI

La implantacin de un SGSI debe comenzar con el correcto diseo
Qu tecnologa de la empresa se
incluirn y qu reas quedarn
excluidas en la implamntacin del
SGSI

Es importante que durante esta fase se

estimen los recursos econmicos y de
personal que se van a dedicar a
implantar y mantener el sistema

De nada sirve que la organizacin

realice un esfuerzo importante durante
la implantacin si despus no es
capaz de mantenerlo

POLTICAS DE SEGURIDAD
Tras la definicin del alcance, el siguiente paso es establecer la Poltica de Seguridad

Debe ser referencia para la resolucin de

conflictos relativas a la seguridad de la
informacin de la organizacin

Debe ser de dominio pblico dentro de la

organizacin y debe estar disponible
para su consulta

Debe ser aprobada por la direccin de la

organizacin y publicitada por la misma

Redaccin accesible para todo el

personal. Corta, precisa y fcil de
comprender

Para que la poltica de seguridad sea un

documento de utilidad, con lo establecido en la
norma ISO/IEC 27001 debe cumplir con ciertos
requisitos.

Recoger las directrices que debe seguir el

SGSI de acuerdo a las necesidades y la
legislacin vigente

Se debe establecer las pautas de

actuacin en el caso de incidentes y
definir responsabilidades

Las polticas deben delimitar qu se

protege, de quin y por qu
Determinar qu est permitido y qu no;
lmite de comportamiento aceptable, y
cul es la respuesta si existe abuso

Identificar los riesgos a los que est

sometida la organizacin

POLTICAS DE SEGURIDAD
En funcin a las responsabilidades se decidir quin est autorizado a acceder a qu
tipo de informacin

5 Referencia a documentos para

sustentar las polticas.

1 - Definicin de la SI, objetivos

globales, alcance de la seguridad,
importancia y los mecanismos de
control.
Se debe indicar qu se protege,
incluyendo tanto al personal como
a la informacin, la reputacin y la
continuidad

Las polticas de SI debe ser un

documento actualizado por lo que
debe ser revisado y modificado
anualmente

2- Declaracin por parte de la

organizacin donde se apoyan los
objetivos y principios de la SI

Debe ser personalizada para cada

organizacin

3 Breve explicacin de las polticas

Se deben sealar las normas y reglas

que va adoptar la organizacin y las
medidas de seguridad necesarias
Las poltica de seguridad debe incluir
al menos los siguientes apartados

4- Definir responsabilidades generales

y especficas donde se incluirn los
roles que se deban cumplir

ORGANIZACIN DE LA SEGURIDAD
La organizacin de la seguridad es otro aspecto de immportnacia durante el diseo
del SGSI
1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas
responsabilidades
Responsable de seguridad. Comit de Direccin. Comit de Gestin

3
4

2. Al plantear la nueva organizacin y responsabilidades se debe identificar

posibles riesgos y se debe tomar medidas al respecto

3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los
despachos, en estos casos es posible firmar acuerdos de confidencialidad

4. La ltima fase del diseo del SGSI es la concienciacin y formacin del personal
con el fin de crear una cultura de seguridad

ALCANCES

Para determinar el alcance y lmites del SGSI se debe especificar las

caractersticas de la organizacin, su ubicacin, activos, tecnologa e
incluir detalles de cualquier exclusin dentro del alcance que pudieran
considerarse.
El alcance, es un aspecto fundamental, ya que delimita las partes de la
organizacin que se ven afectadas, y por tanto, las partes que se deben
auditar.

ALCANCES
Clusula 4.3 En esta clusula aparecen 5 especificaciones :

La organizacin debe determinar los

lmites y aplicabilidad del sistema de
gestin de seguridad de la informacin

La organizacin debe considerar, en el alcance,

los elementos internos y externos para su
propsito que puedan afectar a la consecucin
de los objetivos del SGSI.

5
El alcance, con todas las caractersticas debe
estar documentado.

Se debe considerar, las partes interesadas

para el SGSI y los aspectos legales y
regulatorios incluir

44
Se debe considerar, las interfaces y dependencias
entre las actividades de la organizacin y las que
realizan otras organizaciones (proveedores).

COMPATIBILIDAD
"ISO 27001 est diseada para ser compatible con otras normas de gestin como: