Sistema de Gestin de Seguridad de la

Informacin - SGSI

Actualizacin de la Norma
ISO 27001:2013
Marzo 2015
 Uso Interno

Agenda

1 Introduccin al SGSI

2 Norma ISO 27001:2005

3 Norma ISO 27001:2013

1. Introduccin
 Qu nos regula?

Publicado el 2012-05-02
RM N129-2012-PCM
Uso obligatorio de la NTP-ISO/IEC 27001:2008
(Sistema de Gestin de Seguridad de
Informacin), cuyos controles debern ser
implementados segn NTP-ISO/IEC 17799:2007
(Cdigo de buenas prcticas para la gestin de
la seguridad de la informacin), en todas las
entidades integrantes del Sistema Nacional de
Informtica.

Implementacin Progresiva.

Designacin de un Coordinador que har las

veces de Oficial de Seguridad de Informacin,
mediante resolucin del Titular de la Entidad.
 Qu es un SGSI?

Es parte del sistema de gestin institucional,

basado en un enfoque de riesgos del negocio,
para proteger los activos (informacin, sistemas de
informacin y medios de procesamiento) del
acceso, uso, divulgacin, interrupcin o destruccin
no autorizada.
Seguridad de la Informacin

Es toda medida
correctiva o
preventiva que
permita
resguardar y
proteger la
informacin de
una organizacin.
2. Antigua ISO 27001:2005
 ISO 27001:2005

Controles para 6 Aspectos Organizacionales

la Gestin de 1 Aspectos Fsicos
la Seguridad
de la 3 Aspectos Tcnicos
Informacin Poltica de Seguridad 1 Aspecto de Control

Organizacin de la 11 clusulas
Seguridad de Informacin 39 Objetivos
133 controles

Gestin de activos Control de Accesos

Gestin de Incidentes de
Cumplimiento
Seguridad

Seguridad de los Recursos Seguridad Fsica y

Humanos Ambiental

Adquisicin, Desarrollo y Gestin de Operaciones y Gestin de Continuidad de

Mant. de Sistemas Comunicaciones Negocios
2. Nueva ISO 27001:2013
 Nueva ISO 27001:2013

Nueva estructura:
La nueva estructura esta alineado con las directivas ISO
anexo SL (anteriormente denominado ISO Guide 83).

Anexo B y C ya no existen.
 Nueva ISO 27001:2013

Figura 1. Estructura del estndar ISO/IEC 27001:2013

 4. Establecimiento del Contexto

Esta clusula hace referencia en identificar los problemas externos e internos

que rodean a la organizacin.

Instituye los requerimientos para definir el contexto del SGSI sin importar el
tipo de organizacin y su alcance.

Introduce una nueva figura (las partes interesadas) como un elemento

primordial para la definicin del alcance del SGSI.

Establece la prioridad de identificar y definir formalmente las necesidades

de las partes interesadas con relacin a la seguridad de la informacin y
sus expectativas con relacin al SGSI, pues esto determinar las polticas de
seguridad de la informacin y los objetivos a seguir para el proceso de
gestin de riesgos.
 5. Liderazgo

Ajusta la relacin y responsabilidades de la Alta Direccin

respecto al SGSI, destacando de manera puntual cmo
debe demostrar su compromiso, por ejemplo:

Garantizando que los objetivos del SGSI y La poltica de

seguridad de la informacin, anteriormente definida
como Poltica del SGSI, estn alineados con los
objetivos del negocio.

Garantizando la disponibilidad de los recursos para la

implementacin del SGSI (econmicos, tecnolgicos,
etctera).

Garantizando que los roles y responsabilidades claves

para la seguridad de la informacin se asignen y se
comuniquen adecuadamente.
 6. Planeacin

Esta es una nueva seccin enfocada en la definicin de los objetivos de

seguridad como un todo, los cuales deben ser claros y se debe contar con
planes especficos para alcanzarlos.

Se presentan grandes cambios en el proceso de evaluacin de riesgos:

La metodologa se enfoca en el objetivo de identificar los riesgos

asociados con la prdida de la confidencialidad, integridad y
disponibilidad de la informacin.

El nivel de riesgo se determina con base en la probabilidad de

ocurrencia del riesgo y las consecuencias generadas (impacto), si el
riesgo se materializa.

Se ha eliminado el trmino Propietario del activo y se adopta el

trmino Propietario del riesgo. Risk Owner

Los requerimientos del SOA no sufrieron transformaciones

significativas.
 7. Soporte

Marca los requerimientos de soporte para el establecimiento,

implementacin y mejora del SGSI, que incluye:

Recursos

Personal competente

Conciencia y comunicacin de las partes interesadas

Se incluye una nueva definicin informacin documentada que

sustituye a los trminos documentos y registros; abarca el
proceso de documentar, controlar, mantener y conservar la
documentacin correspondiente al SGSI.

El proceso de revisin se enfoca en el contenido de los documentos y

no en la existencia de un determinado conjunto de estos.
 8. Operacin

Establece los requerimientos para medir el funcionamiento del SGSI,

las expectativas de la Alta Direccin y su realimentacin sobre estas, as
como el cumplimiento con el del estndar.

Adems, plantea que la organizacin debe planear y controlar las

operaciones y requerimientos de seguridad, erigiendo como el pilar de
este proceso la ejecucin de evaluaciones de riesgos de seguridad de la
informacin de manera peridica por medio de un programa previamente
elegido.
 9. Evaluacin de Desempeo

La base para identificar y medir la efectividad y desempeo del SGSI

continan siendo las auditoras internas y las revisiones del SGSI.
 10. Mejora

El principal elemento del proceso de mejora son las no-conformidades

identificadas, las cuales tienen que contabilizarse y compararse con las
acciones correctivas para asegurar que no se repitan y que las acciones
correctivas sean efectivas.

Aqu se observa uno de los cambios ms importantes porque las

medidas preventivas se fusionarn con la evaluacin y tratamiento
del riesgo, algo ms natural e intuitivo que permite enfrentar los riesgos y
las oportunidades con base en cundo estos se identifican y cmo se
tratan.
2.1 Anexo A
De la Norma
 Objetivos de Control

A continuacin se describen los principales cambios en el

Anexo A.

Nmero de secciones:
El nmero de secciones se ha incrementado de 11 a 14
dominios

Nmero de Controles:
El nmero de controles ha disminuido de 133 a 114. Se debe a
la eliminacin y fusin de antiguos controles
Objetivos de Control
Objetivos de Control
 Nuevos Controles

14.2.1 Poltica de desarrollo seguro Reglas para el desarrollo de software

y sistemas de informacin
14.2.5 Los procedimientos del sistema de desarrollo Principios para la
ingeniera de sistemas
14.2.6 entorno de desarrollo seguro establecer y proteger el entorno de
desarrollo
14.2.8 Sistema de pruebas de seguridad las pruebas de funcionalidad de
seguridad
16.1.4 Evaluacin y decisin de los eventos de seguridad de informacin
esto es parte de la gestin de incidentes
17.2.1 Disponibilidad de instalaciones de procesamiento de informacin
lograr redundancia
CONSULTAS
 Gracias
por su atencin

El Sistema Integrado de Gestin busca el uso

eficaz y eficiente de los recursos del INDECOPI a
fin de contribuir al logro de los objetivos
institucionales