UNIVERSIDAD PERUANA LOS ANDES

FACULTAD DE INGENIERIA

CARRERA PROFESIONAL DE INGENIERIA DE SISTEMAS Y COMPUTACIN

DESARROLLO DE SISTEMAS II:

ISO/27001 - ISO / 27005

AUTOR: PATRICIO PUELLES VICTOR

PROFESOR: GERARDO SALAZAR

LIMA-PER-2015

ISO 27001 / IEC

DEFINICIN:

Es una norma internacional emitida por la organizacin internacin de normalizacin

ISO
Describe cmo gestionar la seguridad de la informacin de una empresa
 ISO 27001 puede ser implementada en cualquier tipo de organizacin con o sin fines
de lucro, privada o pblica, pequea o grande
Est redactada por los mejores especialistas del mundo en el tema y proporciona una
metodologa para implementar la gestin de la seguridad de la informacin en una
organizacin
Esta norma permite que una empresa sea certificada lo que significa que una entidad
de certificacin independiente confirma que la seguridad de la informacin ah sido
implementada en la organizacin en cumplimiento con la norma ISO 27001

FUNCIONAMIENTO

Protege la confidencialidad, integridad y disponibilidad de la informacin de la empresa

Las medidas de seguridad que se van a implementar se presentan, por lo general bajo
la forma de polticas, procedimientos e implementacin tcnica como software y
equipos

IMPORTANCIA

Cumplir con los requerimientos legales

Obtener una ventaja comercial
Menores costos
Una mejor organizacin

ISO / IEC 27001 SE DIVIDE EN 11 SECCIONES MAS EL ANEXO A

Seccin de 0-3 no son obligatorias para la implementacin

Seccin de 4-10 son obligatorias para la implementacin

Seccin 0 introduccin
Seccin 1 alcance
Seccin 2 referencias normativas
Seccin 3 trminos y definiciones
Seccin 4 contexto de la organizacin
Seccin 5 liderazgo
Seccin 6 planificacin
Seccin 7 apoyo
Seccin 8 funcionamiento
Seccin 9 evaluacin del desempeo
Seccin 10 mejora
Anexo A este anexo proporciona un catlogo de 114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones a.5 a a.18).

PARA IMPLEMENTAR LA NORMA ISO 27001 SE TIENE QUE SEGUIR ESTOS 16 PASOS:

1) Obtener El Apoyo De La Direccin

2) Utilizar Una Metodologa Para Gestin De Proyectos
3) Definir El Alcance Del Sgsi
4) Redactar Una Poltica De Alto Nivel Sobre Seguridad De La Informacin
5) Definir La Metodologa De Evaluacin De Riesgos
6) Realizar La Evaluacin Y El Tratamiento De Riesgos
7) Redactar La Declaracin De Aplicabilidad
 8) Redactar El Plan De Tratamiento De Riesgos
9) Definir La Forma De Medir La Efectividad De Sus Controles Y De Su SGSI
10) Implementar Todos Los Controles Y Procedimientos Necesarios
11) Implementar Programas De Capacitacin Y Concienciacin
12) Realizar Todas Las Operaciones Diarias Establecidas En La Documentacin De Su SGSI
13) Monitorear Y Medir Su Sgsi
14) Realizar La Auditora Interna
15) Realizar La Revisin Por Parte De La Direccin
16) Implementar Medidas Correctivas

ISO 27005 / IEC

DEFINICIN:
Es el estndar internacional que se ocupa de la gestin de riesgos de seguridad de
informacin.
La norma suministra las directrices para la gestin de riesgos de seguridad de la informacin
en una empresa, apoyando particularmente los requisitos del sistema de gestin de seguridad
de la informacin definidos en ISO 27001.
Es aplicable a todo tipo de organizaciones que tengan la intencin de gestionar los riesgos que
puedan complicar la seguridad de la informacin de su organizacin.
No recomienda una metodologa concreta, depender de una serie de factores, como el
alcance real del Sistema de Gestin de Seguridad de la Informacin (SGSI), o el sector
comercial de la propia industria.

ESTABLECIMIENTO DEL CONTEXTO:

El punto inicial es establecer el contexto sobre el cual se va llevar a cabo la gestin del riesgo de la
seguridad de la informacin; para lo cual se deber de agenciarse de toda la documentacin
necesaria de la organizacin esta documentacin puede incluir registros vitales (procedimientos,
polticas, reglamentos, etc.).

Establecer el contexto implica, definir los criterios bsicos que son necesarios y definir cul es el
propsito de la Gestin del Riesgo de la Seguridad de la Informacin. El propsito puede ser para:

Apoyar o dar soporte a un SGSI;

Aplicar la ley y evidenciar diligencia debida;
 Preparar un plan para la continuidad del negocio;
Preparar un plan de respuesta a incidentes
Describir los requisitos de seguridad de la informacin para un producto, un servicio o un
mecanismo.

Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del riesgo que aborde
los criterios bsicos tales como: criterios de evaluacin del riesgo, criterios de impacto, criterios de
aceptacin del riesgo.

Adems, la organizacin debera evaluar si los recursos necesarios estn o no disponibles para:

Realizar una evaluacin del riesgo y establecer un plan de tratamiento para el riesgo;
Definir e implementar las polticas y los procedimientos, que incluyan la implementacin delos
controles seleccionados;
Monitorear los controles ;
Monitorear los procesos de gestin del riesgo en la seguridad de la informacin.

El establecimiento del contexto debe definir un alcance y un lmite de la gestin del riesgo en la
seguridad de la informacin, con el fin de garantizar que todos los activos relevantes se toman en
consideracin en la valoracin del riesgo. El alcance y lmite debe basarse en la misin, sus valores,
su estructura y su estrategia, sus lugares y el medio ambiente cultural; tambin debe considerarse
las limitaciones presupuestarias, culturales, polticas y tcnicas.

Se recomienda establecer y mantener la organizacin, roles y las responsabilidades en el proceso de

gestin del riesgo y la seguridad de la informacin como por ejemplo:

Desarrollar el proceso de gestin del riesgo en la seguridad de la informacin que sea

adecuado para la organizacin.
Identificar y analizar las partes interesadas.
Definir las funciones y las responsabilidades de todas las partes, tanto internas como
externas, de la organizacin.
Establecer las relaciones necesarias entre la organizacin y las partes interesadas, as como
las interfaces con las funciones de la gestin del riesgo de alto nivel de la organizacin (por
ejemplo, gestin del riesgo operativo), y las interfaces con otros proyectos o actividades
relevantes.
Definir las rutas para escalar decisiones.
Especificar los registros que se deben conserva

EVALUACION DEL RIESGO EN SEGURIDAD DE LA INFORMACION

Consta de un Anlisis de Riesgos y Evaluacin del Riesgo.

El Anlisis del Riesgo

Es un proceso que consiste en:

Identificar los Riesgos,

Estimacin del Riesgo
La Evaluacin del Riesgo
TRATAMIENTO DEL RIESGO

La organizacin adopta en base a la evaluacin realizada del riesgo el tratamiento aplicado al activo
de informacin, este puede clasificar como una de las siguientes opciones:

Reducir el riesgo: Aplicar controles para disminuir la probabilidad de ocurrencia o el impacto

sobre el activo
Aceptar el riesgo: En el caso de que el control sea ms costoso que el activo a proteger.
Evitar el riesgo: Cuando se decide cancelar procesos o actividades que generan un riesgo alto.
Transferir el riesgo: Cuando se administra a travs de terceros

ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN

En el caso se opte como un tratamiento del riesgo el Aceptar, esta decisin debe ser documentada y
registrada por Alta Direccin.

COMUNICACIN DE LOS RIESGOS

La informacin acerca del riesgo se debera intercambiar y/o compartir entre la persona que toma la
decisin y las otras partes involucradas.

MONITOREO Y REVISIN DEL RIESGO EN LA SEGURIDAD DE LAINFORMACIN

Los riesgos y sus factores deben ser peridicamente revisado y la informacin que resulte delas
revisiones debe servir como insumo para las siguientes iteraciones del Sistema.