1

ISO 27000 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN

Rafael Antonio Guzmán 037 01 11131

Jessica Lorena Oliva Molina 037 07 1619
Iliana Elizabeth Díaz 037 06 10501
Jorge Álvarez 037 01 10302
Roberto Amílcar Cordón Molina 037 95 1503
Mayo 2018.

Universidad Mariano Gálvez de Guatemala

Maestría en Contabilidad y Auditoría Internacional con Enfoque en Riesgos
Gobierno Corporativo
 2

Prefacio

Debido a que la información de las organizaciones se encuentra expuesta

diariamente a cualquier tipo de riesgo tanto interno como externo, es necesario que las
entidades implementen sistemas para proteger la misma.

Para iniciar, vamos a empezar por diferenciar entre lo que es seguridad

informática y seguridad de la información. La primera consiste en proteger la integridad y
privacidad de toda información que se encuentre almacenada en un sistema informático
como lo es un Software, Hardware, Redes de Computadoras; mientras que la segunda
consiste en proteger la confidencialidad, integridad y disponibilidad de la información
sensible de una organización para que ésta pueda alcanzar niveles óptimos respecto a
competitividad, rentabilidad, cumplimiento del marco legal en el cual opera e imagen
empresarial; entiéndase que este tipo de información se puede encontrar en correos
electrónicos, páginas web, imágenes, bases de datos, faxes, contratos, presentaciones,
documentos, etc.

Al considerar que los activos de información pueden proceder de diferentes

fuentes dentro de la empresa y que pueden almacenarse ya sea en papel o medios
digitales, deberá considerase también el ciclo de vida de la información. Por lo que a
través de la implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) la organización podrá gestionar y minimizar los riesgos relativos a la seguridad de
la información, mediante la documentación sistemática, estructurada, repetible, eficiente
y adaptada de acuerdo a los cambios que se generen en los riesgos, entorno y tecnología.

El uso de un Sistema de Gestión de Seguridad de la Información, permitirá: 1)

Analizar y ordenar la estructura actual que posee una organización referente a los
sistemas de información que tienen implementados; 2) Facilitar la implantación de
procedimientos de trabajo para mantener la seguridad de la información; 3) Ofrecer la
disposición de controles que permitan medir la eficacia de las medidas tomadas.

Para que la implantación de un SGSI tenga éxito, es fundamental que la Dirección

participe a través de decisiones y acciones relativas a la asignación de recursos,
formación y concientización del personal de la organización y sobre todo, que se
comprometa con la implementación del SGSI.
 3

Tabla de Contenidos

Sistema de Gestión de la Seguridad de la Información ...................................................... 5

(ISO 27000) ........................................................................................................................ 5
1.1 Estándares que integran el marco de Gestión de Seguridad de la Información ........ 5
1.1.1 Estándares que describen una visión general y terminología ................................ 5
1.1.2 Normas que especifican los requisitos ................................................................... 5
1.1.3 Normas que describen directrices .......................................................................... 6
1.1.4 Estándares que describen guías específicas de cada sector ................................... 6
ISO 27799 Informática de salud - Gestión de la seguridad de la información en salud
utilizando ISO / IEC 27002............................................................................................. 7
1.2 Alcance de la Familia 27000..................................................................................... 7
1.2.1 ISO / IEC 27001 Sistemas de gestión de la seguridad de la información –
Requisitos........................................................................................................................ 7
Función de ISO 27001: ................................................................................................. 10
Pasos que se deben seguir para implantar la norma ISO 27001: .................................. 11
Documentos que se deben elaborar en la implantación de la norma ISO 27001:......... 12
Certificación de la norma ISO 27001 ........................................................................... 13
2. Definición de Sistema de Gestión de la Seguridad de la Información (SGSI) y para
qué sirve ........................................................................................................................ 14
2.1 Importancia -SGSI- ................................................................................................. 16
2.2 Principales fundamentos para obtener éxito en la implementación de un SGSI: ... 17
3. ¿Qué incluye un SGSI? ............................................................................................. 18
3.1 Manual de Seguridad ............................................................................................. 18
3.2 Procedimientos ........................................................................................................ 19
3.3 Instrucciones Check-List y Formularios ................................................................. 19
3.4 Registros ................................................................................................................. 19
Alcance del SGSI .......................................................................................................... 19
Política y Objetivos de Seguridad ................................................................................. 20
Procedimientos y Mecanismos de Control que Soportan al SGSI ................................ 20
Enfoque de Evaluación de Riesgos ............................................................................... 20
Informe de Evaluación de Riesgos ............................................................................... 20
Plan de Tratamiento de Riesgos .................................................................................... 20
3.5 Control de la Documentación ................................................................................. 20
4. Implementación de un Sistema de Gestión de la Seguridad de la Información........ 21
4.1 Plan ......................................................................................................................... 22
4.2 Do............................................................................................................................ 22
4.3Check ....................................................................................................................... 23
4.4 Act ........................................................................................................................... 24
5. Liderazgo .................................................................................................................. 24
5.1 Liderazgo y Compromiso ....................................................................................... 24
5.2 Política .................................................................................................................... 25
5.3 Roles Responsabilidades y Autoridades en la Organización ............................ 26
 4

6. ¿Se integra un SGSI con otros Sistemas de Gestión? ............................................... 26

6.1 ISO 27001 y su correspondencia con otras normas para su integración ................. 27
7. Beneficios de la Implantación de un SGSI ............................................................... 28
8. Caso Práctico (Wikileaks)......................................................................................... 29
9. Caso Práctico (Ashley Madison) .............................................................................. 29
Figuras y Tablas ................................................................................................................ 30
Referencias ........................................................................................................................ 35
 5

Sistema de Gestión de la Seguridad de la Información

(ISO 27000)

Es un conjunto de estándares internacionales para Sistemas de Gestión de la

Seguridad de la Información (SGSI), desarrollados por la Organización Internacional

para la Normalización (ISO International Organization for Standardization) y la

Comisión Electrotécnica Internacional (IEC International Electrotechnical Commission),

que proporcionan un marco de gestión de seguridad de la información, utilizable por

cualquier tipo de organización, pública o privada, grande o pequeña.

La norma ISO 27000 es una norma internacional y abierta, cuyo objetivo es

establecer los requisitos mínimos con los que debe cumplir un Sistema de Gestión de la

Seguridad de la Información (SGSI) en una organización; Con el fin de garantizar la

selección de controles de seguridad adecuados y proporcionales, protegiendo así la

información.

1.1 Estándares que integran el marco de Gestión de Seguridad de la Información

1.1.1 Estándares que describen una visión general y terminología

ISO / IEC 27000 Sistemas de gestión de la seguridad de la información -

Descripción y vocabulario

1.1.2 Normas que especifican los requisitos

ISO / IEC 27001 Sistemas de gestión de la seguridad de la información –

Requisitos

ISO / IEC 27006 Requisitos para organismos que proporcionan auditoría

y certificación de sistemas de gestión de la seguridad de la información

 6

1.1.3 Normas que describen directrices

ISO / IEC 27002 Código de prácticas para controles de seguridad de la

información.

ISO / IEC 27003 Guía de implementación del sistema de gestión de la

seguridad de la información.

ISO / IEC 27004 Gestión de seguridad de la información – Medición.

ISO / IEC 27005 Gestión del riesgo de seguridad de la información.

ISO / IEC 27007 Directrices para la auditoría de sistemas de gestión de la

seguridad de la información.

ISO / IEC TR 27008 Directrices para auditores sobre controles de

seguridad de la información.

ISO / IEC 27013 Orientación sobre la implementación integrada de ISO /

IEC 27001 e ISO / IEC 20000-1.

ISO / IEC 27014 Gobernabilidad de la seguridad de la información.

ISO / IEC TR 27016 Gestión de la seguridad de la información -

Economía organizacional.

1.1.4 Estándares que describen guías específicas de cada sector

ISO / IEC 27010 Gestión de seguridad de la información para

comunicaciones intersectoriales e inter-organizacionales.

ISO / IEC 27011 Directrices de gestión de seguridad de la información

para organizaciones de telecomunicaciones basadas en ISO / IEC 27002.

 7

ISO / IEC TR 27015 Pautas de gestión de la seguridad de la información

para servicios financieros.

ISO 27799 Informática de salud - Gestión de la seguridad de la

información en salud utilizando ISO / IEC 27002.

1.2 Alcance de la Familia 27000

Las normas internacionales, pertenecientes a la familia 27000, sirven de base para

la creación y operación de Sistemas de Gestión de Seguridad de la Información (SGSI).

El modelo es el resultado del consenso entre especialistas, considerado el estado del arte

en lo que se refiere a la estandarización para el segmento de seguridad de la información.

(Pandini, s.f.)

Los pilares principales de la familia 27000 son las normas 27001 y 27002. La

principal diferencia entre estas dos normas, es que la norma ISO 27001 se basa en una

gestión de la seguridad de forma continuada apoyada en la identificación de los riesgos

de forma continuada en el tiempo. En cambio, la norma ISO 27002, es una mera guía de

buenas prácticas que describe una serie de objetivos de control y gestión que deberían ser

perseguidos por las organizaciones.

1.2.1 ISO / IEC 27001 Sistemas de gestión de la seguridad de la información

– Requisitos

Esta norma específica los requisitos para establecer, implementar, operar,

monitorear, revisar, mantener y mejorar los sistemas de gestión de la seguridad de

la información formalizados (SGSI).

 8

La norma ISO / IEC 27001, se divide en 11 secciones más el anexo A; las

secciones 0 a 3 son introductorias (y no son obligatorias para la implementación),

mientras que las secciones 4 a 10 son obligatorias, lo que implica que una

organización debe implementar todos sus requerimientos si quiere cumplir con la

norma. Los controles del Anexo A deben implementarse sólo si se determina que

corresponden en la Declaración de aplicabilidad.

Sección 0 – Introducción, explica el objetivo de ISO 27001 y su

compatibilidad con otras normas de gestión.

Sección 1 – Alcance, explica que esta norma es aplicable a cualquier tipo

de organización.

Sección 2 – Referencias normativas, hace referencia a la norma ISO / IEC

27000 como estándar en el que se proporcionan términos y definiciones.

Sección 3 – Términos y definiciones, hace referencia a la norma ISO/IEC

27000.

Sección 4 – Contexto de la organización, esta sección es parte de la fase

de Planificación del ciclo PDCA y define los requerimientos para comprender

cuestiones externas e internas, también define las partes interesadas, sus requisitos

y el alcance del SGSI.

Sección 5 – Liderazgo, esta sección es parte de la fase de Planificación del

ciclo PDCA y define las responsabilidades de la Dirección, el establecimiento de

 9

roles y responsabilidades y el contenido de la política de alto nivel sobre

seguridad de la información.

Sección 6 – Planificación, esta sección es parte de la fase de Planificación

del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el

tratamiento de riesgos, la declaración de aplicabilidad, el plan de tratamiento de

riesgos y la determinación de los objetivos de seguridad de la información.

Sección 7 – Apoyo, esta sección es parte de la fase de planificación del

ciclo PDCA y define los requerimientos sobre disponibilidad de recursos,

competencias, concienciación, comunicación y control de documentos y registros.

Sección 8 – Funcionamiento, esta sección es parte de la fase de

planificación del ciclo PDCA y define la implementación de la evaluación y el

tratamiento de riesgos, como también los controles y demás procesos necesarios

para cumplir los objetivos de seguridad de la información.

Sección 9 – Evaluación del desempeño, esta sección forma parte de la fase

de Revisión del ciclo PDCA y define los requerimientos para monitoreo,

medición, análisis, evaluación, auditoría interna y revisión por parte de la

Dirección.

Sección 10 – Mejora, esta sección forma parte de la fase de Mejora del

ciclo PDCA y define los requerimientos para el tratamiento de no conformidades,

correcciones, medidas correctivas y mejora continua.

Anexo A, proporciona un catálogo de 114 controles (medidas de

seguridad) distribuidos en 14 secciones.

 10

Función de ISO 27001:

El eje central de ISO 27001 es proteger la confidencialidad, integridad y

disponibilidad de la información en una empresa. Esto lo hace investigando cuáles

son los potenciales problemas que podrían afectar la información (es decir, la

evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar

que estos problemas se produzcan (gestión de riesgos).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la

gestión de riesgos: investigar dónde están los riesgos y luego gestionarlos de

forma sistemática.

En la gestión de riegos, los controles o medidas de seguridad que se van a

implementar se presentan, por lo general, bajo la forma de políticas,

procedimientos e implementación técnicas (hardware y software). Sin embargo,

en la mayoría de los casos, las empresas ya tienen todo el hardware y software

pero utilizan de una forma no segura; por lo tanto, la mayor parte de la

implementación de ISO 27001 está relacionada con determinar las reglas

organizacionales (por ejemplo, redacción de documentos) necesarias para

prevenir violaciones de la seguridad.

Como este tipo de implementación demanda la gestión de múltiples

políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo

 11

amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la

información (SGSI).

Por lo anterior, la gestión de la seguridad de la información no se delimita

solamente a la seguridad de la tecnología de la información, sino que también

tiene que ver con la gestión de procesos, de los recursos humanos, con la

protección jurídica, la protección física, etc.

Pasos que se deben seguir para implantar la norma ISO 27001:

1. Obtener el apoyo de la Dirección

2. Utilizar una metodología para gestión de proyectos

3. Definir el alcance del SGSI

4. Redactar una política de alto nivel sobre seguridad de la información

5. Definir la metodología de evaluación de riesgos

6. Realizar la evaluación y el tratamiento de riesgos

7. Redactar la Declaración de aplicabilidad

8. Redactar el Plan de tratamiento de riesgos

9. Definir la forma de medir la efectividad de sus controles y de su SGSI

10. Implementar todos los controles y procedimientos necesarios

11. Implementar programas de capacitación y concienciación

12. Realizar todas las operaciones diarias establecidas en la documentación de su

SGSI

13. Monitorear y medir su SGSI

 12

14. Realizar la auditoría interna

15. Realizar la revisión por parte de la Dirección

16. Implementar medidas correctivas

Documentos que se deben elaborar en la implantación de la norma ISO 27001:

1. Alcance del SGSI

2. Objetivos y política de seguridad de la información

3. Metodología de evaluación y tratamiento de riesgos

4. Declaración de aplicabilidad

5. Plan de tratamiento de riesgos

6. Informe de evaluación de riesgos

7. Definición de roles y responsabilidades de seguridad

8. Inventario de activos

9. Uso aceptable de los activos

10. Política de control de accesos

11. Procedimientos operativos para gestión de TI

12. Principios de ingeniería para sistema seguro

13. Política de seguridad para proveedores

14. Procedimiento para gestión de incidentes

15. Procedimientos para continuidad del negocio

16. Requisitos legales, normativos y contractuales

17. Registros de capacitación, habilidades, experiencia y calificaciones (obligatorio)

18. Monitoreo y resultados de medición (obligatorio)

 13

19. Programa de auditoría interna (obligatorio)

20. Resultados de auditorías internas (obligatorio)

21. Resultados de la revisión por parte de la Dirección (obligatorio)

22. Resultados de medidas correctivas (obligatorio)

23. Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

(obligatorio)

Certificación de la norma ISO 27001

Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b)

para las personas. Las organizaciones pueden obtener la certificación para demostrar que

cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el

curso y aprobar el examen para obtener el certificado.

Certificación como organización

Se debe implementar la norma y luego se debe aprobar la auditoría que realiza la

entidad de certificación, la cual se lleva a cabo según los pagos siguientes:

1. Revisión de documentación: los auditores revisarán toda la

documentación.

2. Auditoría principal: los auditores realizarán la auditoría in situ para

comprobar si todas las actividades de una empresa cumplen con la norma

ISO 27001 y con la documentación del SGSI.

3. Visitas de supervisión: después de que se emitió el certificado, y durante

su vigencia de 3 años, los auditores verificarán si la empresa mantiene su

SGSI.
 14

Certificación para las personas

1. Las personas pueden asistir a diversos cursos para obtener su certificación.

(Segovia, s.f.)

2. Definición de Sistema de Gestión de la Seguridad de la Información (SGSI) y para

qué sirve

Un Sistema de gestión de la seguridad de la información (SGSI) consiste en

políticas, procedimientos, directrices y recursos y actividades asociados, gestionados

colectivamente por una organización. A su vez, es el concepto central sobre el que se

construye ISO 27001. La gestión de la seguridad de la información debe realizarse

mediante un proceso sistemático, documentado y conocido por toda la organización.

El término seguridad de la información generalmente se basa en la información

(datos que posee una entidad, escrita, en imágenes, oral, impresa en papel, almacenada

electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en

conversaciones, etc.) que se considera como un activo que tiene un valor que requiere una

protección adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e

integridad. El propósito de un sistema de gestión de la seguridad de la información es,

por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos,

asumidos, gestionados y minimizados por la organización de una forma documentada,

sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan

en los riesgos, el entorno y las tecnologías.

Mediante el uso de la familia de estándares SGSI, las organizaciones pueden

desarrollar e implementar un marco para administrar la seguridad de sus activos de

 15

información, incluida la información financiera, la propiedad intelectual y los detalles de

los empleados, o la información que les confíen clientes o terceros. Estos estándares

también se pueden utilizar para prepararse para una evaluación independiente de su SGSI

aplicado a la protección de la información.

La seguridad de la información, según ISO 27001, consiste en la preservación de

su confidencialidad, integridad y disponibilidad de acceso y utilización de la información,

así como de los sistemas implicados en su tratamiento, dentro de una organización. Así

pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la

seguridad de la información:

Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso.

Disponibilidad: acceso y utilización de la información y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos autorizados

cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se

debe hacer uso de un proceso sistemático, documentado y conocido por toda la

organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye

un SGSI. (ISO 27000.ES, n.d.)

 16

2.1 Importancia -SGSI-

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es

importante para las empresas del sector público y privado. En cualquier industria,

un ISMS es un habilitador que respalda el comercio electrónico y es esencial para

las actividades de gestión de riesgos. La interconexión de redes públicas y

privadas y el intercambio de activos de información aumentan la dificultad de

controlar el acceso y el manejo de la información. Además, la distribución de

dispositivos de almacenamiento móvil que contienen activos de información

puede debilitar la efectividad de los controles tradicionales. Cuando las

organizaciones adoptan la familia de normas SGSI, la capacidad de aplicar

principios de seguridades de la información consistentes y mutuamente

reconocibles se puede demostrar a los socios comerciales y otras partes

interesadas.

La adopción exitosa de un SGSI es importante para proteger los activos de

información, lo que permite a una organización:

a) Lograr una mayor seguridad de que sus activos de información están

adecuadamente protegidos contra las amenazas de forma continua;

b) Mantener un marco estructurado e integral para identificar y evaluar los

riesgos de seguridad de la información, seleccionar y aplicar controles aplicables,

y medir y mejorar su efectividad;

c) Mejorar continuamente su entorno de control; y

d) Lograr efectivamente el cumplimiento legal y regulatorio.

 17

2.2 Principales fundamentos para obtener éxito en la implementación de un

SGSI:

1. Generar conciencia sobre la necesidad de seguridad de la información;

2. Establecer responsables de la seguridad de la información;

3. Incorporar el compromiso de gestión e intermediar los intereses de los

colaboradores;

4. Reforzar los valores sociales;

5. Evaluar cuidadosamente los riesgos, para establecer controles apropiados

y obtener niveles aceptables para la organización;

6. Tratar la seguridad de la información como elemento esencial en las redes

y sistemas;

7. Actuar de forma activa en la prevención y detección de incidentes de

seguridad de la información;

8. Garantizar un enfoque global para gestión de la seguridad de la

información y establecer métodos de evaluación continua, promoviendo

modificaciones de acuerdo a las necesidades del negocio.

 18

3. ¿Qué incluye un SGSI?

De acuerdo a ISO 9001 Sistemas de Gestión de Calidad (SGC), le jerarquía sobre

cómo se compone la documentación del sistema es la siguiente (traslada a ISO 27001):

3.1 Manual de Seguridad

Por definición general, un manual representa un documento que contiene

una serie de instrucciones que permiten comprender el funcionamiento de algo en

específico.

Por lo tanto, tomando en cuenta la definición base; el Manual de

Seguridad contendrá toda información que permita dirigir el sistema de

información, exponiendo y definiendo toda interacción que se realice con él.

Adicionalmente contendrá el alcance, objetivos, responsabilidades, políticas,

directrices principales entre otros; correspondientes al Sistema de Gestión de

Seguridad de Información.
 19

3.2 Procedimientos

Lo constituyen todos aquellos documentos a nivel operativo, que permiten

que la planificación, operación y control de los procesos de seguridad de la

información, sea realizada eficazmente.

3.3 Instrucciones Check-List y Formularios

Estos documentos, describirán la forma en que deben realizarse las tareas

y actividades y actividades específicas relacionadas con la seguridad de la

información.

3.4 Registros

Estos son denominados también como los “Output” del sistema de

información, debido a que evidencian el resultado del cumplimiento de los

requisitos del Sistema de Gestión de Seguridad de la Información.

Adicionalmente, ISO 27001 exhorta que dentro de los documentos del

Sistema de Gestión de Seguridad de la Información sean incluidos los siguientes

documentos:

Alcance del SGSI

Deben identificarse las dependencias o áreas sujetas, límites y relaciones

que existen entre el alcance y las partes que no fueron consideradas dentro del

mismo.
 20

Política y Objetivos de Seguridad

Se establece el grado de compromiso que la Dirección tiene con respecto

al SGSI y cómo está enfocada la empresa con relación a la gestión de la seguridad

de la información.

Procedimientos y Mecanismos de Control que Soportan al SGSI

Procedimientos que regulan el funcionamiento del Sistema de Gestión de

Seguridad de la Información

Enfoque de Evaluación de Riesgos

Se detallará la metodología que será utilizada para evaluar amenazas,

vulnerabilidades, probabilidad de ocurrencia e impacto con relación a los activos

de la información, fijación de niveles de riesgo y riesgos aceptados.

Informe de Evaluación de Riesgos

Consiste en realizar una declaración escrita sobre el resultado de la

aplicación de la evaluación de riesgos.

Plan de Tratamiento de Riesgos

Se desarrollará un programa que describa las acciones que tomará la

Dirección, recursos, responsables y prioridades que permitirán gestionar los

riesgos.

3.5 Control de la Documentación

Deben establecerse procedimientos que permitan:

 Aprobarlos

 Revisarlos y Actualizarlos
 21

 Garantizar que todo cambio y estado actual de revisión están siendo

identificados

 Garantizar que las versiones relevantes de los documentos vigentes se

encuentren disponibles para los empleados.

 Garantizar que los documentos se mantengan legibles y puedan ser

identificados fácilmente

 Garantizar que los documentos puedan estar disponibles para las personas

que lo necesiten y que sean transmitidos, almacenados y posteriormente

destruidos según los procedimientos establecidos a cada clasificación.

 Garantizar que los documentos externos estén identificados

 Garantizar una distribución controlada de los documentos

 Prevenir el uso de documentos obsoletos

 Aplicar una identificación aedecuada para todos aquellos documentos que

sean retenidos con algún propósito.

4. Implementación de un Sistema de Gestión de la Seguridad de la Información

Esta norma está catalogada como un estándar que brinda los lineamientos para

implementar y mejorar el sistema de gestión de la seguridad de la información de acuerdo

con el cumplimiento de los siguientes procesos:

 22

4.1 Plan

El plan o planificación consiste en establecer el alcance al sistema de

información a utilizar en una entidad, las políticas y procedimientos de seguridad

definiendo claramente el objetivo principal de la implementación, han de

considerarse aspectos de índole legal en caso de contratos con terceros, alineación

con la estrategia global de entidad, tomando en cuenta la exposición a los distintos

riesgos y la aprobación por parte de la Dirección.

4.2 Do

Es la implementación de un sistema de gestión de la seguridad de la

información en el que se definen:

PLAN DE RIESGOS

CONTROLES

GESTIÓN
 23

4.3Check

Consiste en el monitoreo y periódica revisión por parte de la organización

con el fin de identificar brechas e incidentes en la información permite determinar

a tiempo fallas operacionales y debilidades en los sistemas de información,

garantizar la seguridad de la información.

Revision de
Controles

Cumplimiento y
Registro de
eficacia de
Acción
controles

Actualizar
planes de
Verificar Nivel de
satisfacción de
Seguridad
/Check requerimientos

Mejoras por la Evaluación de

Dirreción Riesgos

Auditorias
Internas
 24

4.4 Act

La organización deberá mantener y mejorar constantemente la seguridad

de la Información cumpliendo con algunos de los procesos que se indican a

continuación:

 Implementar las mejoras

 Implementar las acciones correctivas y preventivas pertinentes.

 Comunicar acciones y mejoras a todas las partes involucradas.

 Asegurarse que las mejoras logren los objetivos previstos.

5. Liderazgo

5.1 Liderazgo y Compromiso

Uno de los principales componentes para poder implementar un Sistema

de Gestión de Seguridad de la Información según la norma ISO 27001 es la

implicación de la Alta Dirección de la organización.

La Alta Dirección debe mostrar liderazgo y compromiso con respecto al

Sistema de Gestión de Seguridad de la Información:

 Asegurando que se establezcan la política de la seguridad de la

información y los objetivos de la seguridad de la información, y que estos

sean compatibles con la Dirección estratégica de la empresa;

 Asegurando la integración de los requisitos del Sistema de Gestión de

Seguridad de la Información en los procesos de la empresa;

 25

 Asegura que los recursos necesarios para el Sistema de Gestión de

Seguridad de la Información se encuentren disponibles;

 Combinar la importancia de una gestión de la seguridad de la información

eficaz y de la conformidad con los requisitos del Sistema de Gestión de

Seguridad de la Información;

 Se debe asegurar de que el Sistema de Gestión de la Seguridad de la

Información logre los resultados previstos;

 Dirigiendo y apoyando a las personas, para contribuir a la eficiencia del

Sistema de Gestión de Seguridad de la Información;

 Promover la mejora continua;

 Apoyar otros roles pertinentes de la Dirección, es necesario demostrar el

liderazgo aplicado a sus áreas de responsabilidad.

5.2 Política

La Alta Dirección debe establecer una política de la seguridad de la

información que:

 Sea adecuada al propósito de la organización;

 Incluya objetivos de seguridad de la información o proporcione el marco

de referencia para el establecimiento de los objetivos de la seguridad de la

información;

 Incluye el compromiso de cumplir con los requisitos aplicables que se

relacionan con la seguridad de la información;

 26

 Incluya el compromiso de mejora continua del Sistema de Gestión de

Seguridad de la Información;

 La política de seguridad de la información debe:

 Estar disponible como información documentada;

 Comunicarse dentro de la empresa;

 Estar disponible para las partes interesada.

5.3 Roles Responsabilidades y Autoridades en la Organización

La Alta Dirección debe asegurarse de que las responsabilidades y

autoridades para los roles pertinentes a la seguridad de la información sean

asignados y comunicados.

La Alta Dirección debe asignar la responsabilidad y autoridad para:

 Asegurarse de que el Sistema de Gestión de Seguridad de la Información

sea conforme a los requisitos de la norma ISO 27001;

 Informar sobre el desempeño del Sistema de Gestión de Seguridad de la

Información.

6. ¿Se integra un SGSI con otros Sistemas de Gestión?

Un SGS (Sistemas de Gestión de Seguridad de la Información), es una herramienta

de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso

la seguridad de la información.

La gestión de las actividades de las organizaciones se realiza, cada vez con más

frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la

calidad según ISO 9001, el impacto medio ambiental según ISO 14001 o la prevención de
 27

riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de

gestión de seguridad de la información.

Las empresas tienen la posibilidad de implantar un número variable de estos

sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la

organización.

El objetivo último debería se llegar a un único sistema de gestión que contemple

todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora

continua común a todos estos estándares. Las facilidades para la integración de normas

ISO son evidentes mediante la consulta de sus nexos.

6.1 ISO 27001 y su correspondencia con otras normas para su integración

Los sistemas de gestión son instrumentos que facultan a las organizaciones

el control y la organización de forma ordenada de todos los procesos requeridos

para el desarrollo eficaz de las actividades llevadas a cabo por una organización, en

relación con la seguridad de la información, el impacto ambiental y la calidad.

Si algunas organizaciones ya han procedido a la implantación de alguno de

estos sistemas de gestión (ISO 14001, ISO 90001), le resulta más sencillo realizar

la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI),

ya que todas estas normas guardan ciertas similitudes, como un ejemplo, el empleo

de ciclo PDCA (modelo para realizar auditorías internas) para la implementación

de la ISO en los sistemas de gestión. Todo ello, permitirá la integración de los

distintos sistemas de gestión.

 28

7. Beneficios de la Implantación de un SGSI

 Reduce el riesgo de que se produzcan pérdidas de información en las

organizaciones. Se incluyen robos y corrupción en la manipulación de la

información.

 Permite realizar una revisión continua de los riesgos a los que están expuestos

los clientes y también se realizan controles de forma periódica.

 Establece una metodología a través de la cual se puede gestionar la seguridad

de la información de forma clara y concisa.

 Establece medidas de seguridad para que los propios clientes puedan acceder a

la información.

 Obliga a que las auditorías externas se realicen periódicamente y esto

permite identificar las incidencias que pudiera haber en el SGSI, promoviendo

de este modo una mejora continua en la organización.

 Tener un SGSI concede a la organización una garantía frente a clientes y socios

estratégicos ya que muestra el compromiso de la entidad como un organismo

preocupado por la confidencialidad y seguridad de la información que es

depositada en ella.

 Permite que las organizaciones continúen operando con normalidad en caso de

que se produzcan problemas importantes.

 Permite realizar una integración conjunta con otros Sistemas de Gestión

Normalizados tales como ISO 9001, ISO 14001, OHSAS 18001entre otras.
 29

 Permite que la organización cumpla con la legislación vigente en materia de

información personal y propiedad intelectual.

 Permite reducir costes y promueve un mejor funcionamiento de los procesos.

 Constituye un elemento favorable para la empresa frente a la competencia, ya

que le permite aumentar su imagen a nivel internacional.

 Debido a que el personal se desempeña en una organización comprometida con

la seguridad de la información, contar con un SGSI contribuye al incremento

de la motivación del personal. (ISOTools Excellence, n.d.)

8. Caso Práctico (Wikileaks)

Revela el contenido de la información a la que jamás se haya tenido acceso

en toda la historia. Se trata de una colección de más de 250.000 mensajes del

Departamento de Estado de Estados Unidos, obtenidos por la página digital

Wikileaks, en los que se descubren episodios inéditos ocurridos en los puntos más

conflictivos del mundo, así como otros muchos sucesos y datos de gran relevancia

que desnuda por completo la política exterior Norteamericana la luz sus

mecanismos y sus fuentes, dejan en evidencia sus debilidades y obsesiones, y en

conjunto facilitan la comprensión por parte de los ciudadanos de las circunstancias

en las que se desarrolla el lado oscuro de las relaciones internacionales.

9. Caso Práctico (Ashley Madison)

Un equipo de hackers amenazó a los administradores de Ashley Madison

con revelar los datos de todos sus usuarios si el portal no era cerrado. Las razones

fueron dos: la primera, con un tinte moral, establecía que “los infieles no merecen
 30

discreción”. La segunda justificación acusaba a la empresa canadiense Avid Life

Media (dueña de Ashley Madison) de ofrecer la posibilidad a los clientes de

eliminar sus datos a cambio de $20. Sin embargo, aseguran los piratas, toda la

información permanecía almacenada en los servidores de la compañía.

El 18 de agosto, ImpactTeam hizo cumplir su palabra y publicó nombres

completos, Direcciónes, números de tarjetas de crédito, correos electrónicos

características físicas, fotografías, preferencias sexuales y hasta

conversaciones de los 39 millones de usuarios del sitio. Todos los datos fueron

expuestos en lo que se conoce como “Internet profundo”, es decir, una parte de la

Web que no puede ser accesada a través de Google o de otros buscadores

tradicionales.

Figuras y Tablas

Figura 1 y 2. Enfoque Procesos ISO

31
32
 33

Tabla 1. ISO 27000 y su relación con otras Normas ISO

 34

Conclusiones

El involucramiento de la Dirección en cuanto a la implantación de un Sistema de

Gestión de la Seguridad de la Información, es indispensable ya que esto evitará excusas

para que puedan ser desarrolladas buenas prácticas en la organización ya que crea

conciencia en el personal sobre la importancia de la seguridad de la información.

Debido a que cualquier organización puede implementar un SGSI; sin importar

su dimensión o sector al cual pertenece, esto le resulta atrayente a la mayoría de sectores

ya que esto incrementa el valor de la entidad en el mercado logrando una ventaja

competitiva al reducir y controlar los riesgos existentes.

Cuando un SGSI no se encuentra implementado en una organización, ésta recae

en baja productividad, daños a su imagen (reputación), disminución de ingresos,

rendimiento financiero bajo y gastos inesperados. Lo anterior porque los riesgos no son

evaluados; y al no ser evaluados y controlados, la organización decrementa su valor

comercial.
 35

Referencias

ISO 27000.ES. (s.f.). Obtenido de ISO 27000: http://www.iso27000.es/

ISOTools Excellence. (s.f.). Obtenido de ISOTools: https://www.isotools.cl/12-

beneficios-de-implantar-un-sgsi-de-acuerdo-a-iso-27001/

Pandini, W. (s.f.). ostec.blog. Obtenido de https://ostec.blog/es/generico/primeros-pasos-

iso-27000

Segovia, A. J. (s.f.). ¿Qué es norma ISO 27000? Obtenido de Advisera:

https://advisera.com/27001academy/es/que-es-iso-27001/