Implementacion de Un Sgsi PDF

2012
IMPLEMENTACIÓN DE
UN SGSI
Definir la Ruta para un Proyecto de SGSI de forma simple y con sentido común.
Resumen de Buenas Practicas del Gobierno de TI y los aspectos a contemplar en su Implementación.

1
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN – SGSI
Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se
construye ISO 27001.La gestión de la seguridad de la información debe realizarse mediante un proceso
sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI,
que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de
calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la
información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan
en los riesgos, el entorno y las tecnologías.
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.
ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En
el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder
de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o
transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad,

integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una
organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de
la seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o
procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma
por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un
proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
empresarial. Este proceso es el que constituye un SGSI.
¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de
una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a
ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las
organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de
amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos
críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus
informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y
ITCP
Aspectos para la implementación de
de una SGSI.
2
conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados
voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptación
dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de
negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio,
son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de
importante ayuda para la gestión de las organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión
efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando
en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la
seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles
de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y

procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel
de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI,
la organización conoce los riesgos a los que está sometida su información y los asume, minimiza,
transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa
y mejora constantemente.
Premisas a cumplir en la implementación de SGSI:

En este documento se recomiendan seguir los estándares de la informática que se mencionan a
continuación:
1.- INFORMACIÓN Y SISTEMA INFORMÁTICO
2.- ASPECTOS CLAVE EN LA SSI
3.- DEFINICIÓN DE SEGURIDAD INFORMÁTICA
• Confidencialidad
• Integridad
• Disponibilidad
• Autenticidad
• Imposibilidad de rechazo
• Consistencia
• Aislamiento
• Auditoría
4.- POLÍTICA DE SEGURIDAD
5.- ANÁLISIS Y GESTIÓN DE RIESGOS
6.- VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS
• Vulnerabilidad
• Amenaza
• Contramedida
7.- TIPOS DE VULNERABILIDAD
• Vulnerabilidad física
• Vulnerabilidad natural
• Vulnerabilidad del hardware y del software
• Vulnerabilidad de los medios o dispositivos
• Vulnerabilidad por emanación
ITCP
de una SGSI.
3
• Vulnerabilidad de las comunicaciones

• Vulnerabilidad humana
8.- TIPOS DE AMENAZAS

• Intercepción
• Modificación
• Interrupción
• Generación
• Amenazas naturales o físicas
• Amenazas involuntarias
• Amenazas intencionadas
9.- TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS

• Medidas físicas
• Medidas lógicas
• Medidas administrativas
• Medidas legales
10.- PLANES DE CONTINGENCIA

11.- PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMÁTICA
• Principio de menor privilegio
• La seguridad no se obtiene a través de la oscuridad
• Principio del eslabón más débil
• Defensa en profundidad
• Punto de control centralizado
12.- SEGURIDAD EN CASO DE FALLO
• Participación universal
• Simplicidad
Ente regulador de Normas ISO en Guatemala es:

Coguanor.org
La certificación de Auditor Líder se puede gestionar en dicha institución.
Retos de la implementación de un SGSI:

Existen 3 grandes obstáculos a vencer:
• Cultura de la Organización.
• Alinear la SGSI con la estrategia del negocio.
• Comunicar adecuadamente SI.
Implementar un SGSI es un Proyecto?

La respuesta es simple: “SI” ya que se realiza con alcance especifico, tiempo y costo especificados por la
misma. Además de velar por la calidad y el control de cambios respectivo, por lo que es recomendable
que se maneje como un proyecto.
ITCP
de una SGSI.
4
¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la
documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un
Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Manual de Seguridad.
Procesos y Procedimientos.
Instruccion, Listas de Verificacion,

Formularios.
Registros
Documentos de Nivel 1:
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros
ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las
intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2:
Procesos y Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma
eficaz la planificación, operación y control de los procesos de seguridad de la información.
Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las
actividades específicas relacionadas con la seguridad de la información.
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del
SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha
cumplido lo indicado en los mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos
(en cualquier formato o tipo de medio):
ITCP
de una SGSI.
5
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una
identificación clara de las dependencias, relaciones y límites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de
influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones,
áreas, procesos, sistemas o tareas concretas).
• Política y objetivos de seguridad: documento de contenido genérico que establece el
compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la
información.
• Procesos y Procedimientos y mecanismos de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la
evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en
relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables .
• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación
anteriormente mencionada a los activos de información de la organización.• Plan de tratamiento
de riesgos: documento que identifica las acciones de la dirección, los recursos, las
responsabilidades y las prioridades para gestionarlos riesgos de seguridad de la información, en
función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control
identificados, de los recursos disponibles, etc.
• Procesos y Procedimientos documentados: todos los necesarios para asegurar la planificación,
operación y control de los procesos de seguridad de la información, así como para la medida de la
eficacia de los controles implantados.
• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento
que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los
resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y
exclusiones.
Control de la documentación
Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento
que defina las acciones de gestión necesarias para:
• Aprobar documentos apropiados antes de su emisión.
• Revisar y actualizar documentos cuando sea necesario y renovar su validez.
• Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.
• Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares
de empleo.
• Garantizar que los documentos se mantienen legibles y fácilmente identificables.
• Garantizar que los documentos permanecen disponibles para aquellas personas que los
necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los
procedimientos aplicables según su clasificación.
• Garantizar que los documentos procedentes del exterior están identificados.
• Garantizar que la distribución de documentos está controlada.
• Prevenir la utilización de documentos obsoletos.
• Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.
ITCP
de una SGSI.
6
¿Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO
27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.
• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.
• Check (verificar): monitorizar y revisar el SGSI.
• Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI

• Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y
tecnologías, incluyendo detalles y justificación de cualquier exclusión.
• Definir una política de seguridad que: – Incluya el marco general y los objetivos de seguridad de la
información dela organización; – Considere requerimientos legales o contractuales relativos a la
seguridad de la información;
• Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se
establecerá y mantendrá el SGSI;
• Establezca los criterios con los que se va a evaluar el riesgo;
• Esté aprobada por la dirección.
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio,
además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable.
Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen
numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente
aceptable definir una propia).
ITCP
de una SGSI.
7
Identificar los riesgos:

• Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos,
denominados propietarios;
• Identificar las amenazas en relación a los activos;
• Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;
• Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.
Analizar y evaluar los riesgos:

• Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de
confidencialidad, integridad o disponibilidad de un activo de información;
• Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las
amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados;
• Estimar los niveles de riesgo;
• Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es
aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

• Aplicar controles adecuados;
• Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos
para la aceptación de los riesgos;
• Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
• Transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.
• Seleccionar los objetivos de control y los controles del Anexo A de ISO27001 para el tratamiento
del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del
riesgo.
• Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del
SGSI.
ITCP
de una SGSI.
8
Identificar y Dirección. Mitigar Riesgo Transferir

Analizar • Decidir • Controles. Riesgo
• Identificar : Tratamiento • Seleccionar. • Seguros.
• Activos. de Riesgos. • SOA. • Proveedores.
• Amenazas.
• Aceptar • Implamantar
• Vulnerabilidades.
• Analizar:
Riesgo
• Riesgos.
Residual.
• Costo /
Beneficio.
Aceptar Riesgo
• No hacer
Nada.
Planificar Evitar Riesgo.

• Definir: • Cese de la
• Alcance Gestión de Actividad que
• Politica
• Metodologia
Riesgos lo Origina.
Definir una declaración de aplicabilidad que incluya:

• Los objetivos de control y controles seleccionados y los motivos para su elección;
• Los objetivos de control y controles que actualmente ya están implantados;
• Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es
un mecanismo que permite, además, detectar posibles omisiones involuntarias. En relación a los
controles de seguridad, el estándar ISO 27002 (antigua ISO17799) proporciona una completa
guía de implantación que contiene 133 controles, según 39 objetivos de control agrupados en
11 dominios. Esta norma es referenciada en ISO 27001, en su segunda cláusula, en términos de
“documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de
incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades
particulares.
ITCP
de una SGSI.
9
Do: Implementar y utilizar el SGSI

• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.
• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control
identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.
• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.
• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables
para medir la eficacia de los controles o grupos de controles.
• Procurar programas de formación y concienciación en relación a la seguridad de la información a
todo el personal.
• Gestionar las operaciones del SGSI.
• Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la
información.
• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los
incidentes de seguridad.
Check: Monitorizar y revisar el SGSI

La organización deberá:
• Ejecutar procedimientos de monitorización y revisión para:
• Detectar a tiempo los errores en los resultados generados por el procesamiento de la
información;
• Identificar brechas e incidentes de seguridad;
• Ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos
tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo
previsto;
• Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;
• Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos
del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de
eficacia, sugerencias y observaciones de todas las partes implicadas.
• Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.
• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales
y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en
la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la
efectividad de los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.-.
• Realizar periódicamente auditorías internas del SGSI en intervalos planificados.
• Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido
sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.
• Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados
durante las actividades de monitorización y revisión.
• Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento
del SGSI.
ITCP
de una SGSI.
10
Act: Mantener y mejorar el SGSI

La organización deberá regularmente:
• Implantar en el SGSI las mejoras identificadas.
• Realizar las acciones preventivas y correctivas adecuadas en relación a la cláusula 8 de ISO
27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.
• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado
y acordar, si es pertinente, la forma de proceder.
• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan
para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia
estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo
cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están
implantados en su totalidad.
¿Qué tareas tiene la Gerencia en un SGSI?

Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad
de la Información es la implicación de la dirección.
No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta
fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede
tomar la gerencia de la organización.
No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a
niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son
responsabilidad y decisión de la dirección. El término Dirección debe contemplarse siempre desde el punto
de vista del alcance del SGSI.
Es decir, se refiere al nivel más alto de gerencia de la parte de la organización afectada por el SGSI
(recuérdese que el alcance no tiene por qué ser toda la organización).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los
siguientes puntos:
Compromiso de la dirección
La dirección de la organización debe comprometerse con el establecimiento, implementación, operación,
monitorización, revisión, mantenimiento y mejora del SGSI.
Para ello, debe tomar las siguientes iniciativas:

• Establecer una política de seguridad de la información.
• Asegurarse de que se establecen objetivos y planes del SGSI.
• Establecer roles y responsabilidades de seguridad de la información.
• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la
información y de cumplir con la política de seguridad, como sus responsabilidades legales y la
necesidad de mejora continua.
• Asignar suficientes recursos al SGSI en todas sus fases.
• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
ITCP
de una SGSI.
11
• Estructurar los DNA de confidencialidad con el personal de la organización.

• Asegurar que se realizan auditorías internas.
• Realizar revisiones del SGSI, como se detalla más adelante.
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la
asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes para:
• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de
negocio.
• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones
contractuales de seguridad.
• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la
seguridad adecuada.
• Realizar revisiones cuando sea necesario y actuar adecuadamente segúnlos resultados de las
mismas.
• Mejorar la eficacia del SGSI donde sea necesario.
• Incorporar la Tecno vigilancia dentro del plan de trabajo.
Formación y concienciación
La formación y la concienciación en seguridad de la información son elementos básicos para el éxito de un
SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asignen
responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá:
• Determinar las competencias necesarias para el personal que realiza tareas en aplicación del
SGSI.
• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej.,
contratación del personal ya formado.
• Evaluar la eficacia de las acciones realizadas.
• Mantener registros de estudios, formación, habilidades, experiencia y cualificación. Además, la
dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de
sus actividades de seguridad de la información y de cómo contribuye a la consecución de los
objetivos del SGSI.
• Informar de la Ingenieria Social utilizada para extraer información.
Revisión del SGSI

A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI,
para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones,
que le ayuden a tomar decisiones, entre las que se pueden enumerar:
• Resultados de auditorías y revisiones del SGSI.
• Observaciones de todas las partes interesadas.
• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y
eficacia del SGSI.
• Información sobre el estado de acciones preventivas y correctivas.
• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos
anteriores.
• Resultados de las mediciones de eficacia.
ITCP
de una SGSI.
12
• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.

• Cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora.
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones
relativas a:
• Mejora de la eficacia del SGSI.
• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en
respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de
seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y
criterios de aceptación de riesgos.
• Necesidades de recursos.
• Mejora de la forma de medir la efectividad de los controles.
¿Se integra un SGSI con otros sistemas de gestión?

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la
gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información. La
gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas
de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto
medio-ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001.
Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las empresas
tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la
organización y beneficios sin imponer una carga a la organización.
El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos
necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos
estándares.
Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e
ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el
sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la
organización.
Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de
riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar
éstos al resto de normas en un futuro.
En las secciones de FAQS y de Artículos del documento, podrá encontrar más informaciones acerca de la
integración del SGSI con otros sistemas de gestión.
ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El
aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer
nivel para la organización.
ITCP
de una SGSI.
13
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que

aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y
una evaluación de los riesgos a los que está sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO

(International Organization for Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo
puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en
ISO 27001.
Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution,
la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes
normas como:
• 1979 Publicación BS 5750 - ahora ISO 9001
• 1992 Publicación BS 7750 - ahora ISO 14001
• 1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier
empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su
información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece
un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que
establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una
entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin
cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como
estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como
ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal
de la revisión.
ITCP
de una SGSI.
14
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-

3:2006, centrada en la gestión del riesgo de los sistemas de información.
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de
numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá
términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar
necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos
y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán
un coste.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y
es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio
de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización
deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC
27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español
son, por ejemplo, Colombia, Venezuela y Argentina. El original en inglés y la traducción al francés pueden
adquirirse en ISO.org.
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005.
ITCP
de una SGSI.
15
En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en
Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en
inglés y su traducción al francés pueden adquirirse en ISO.org.
ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una
guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos
de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará
las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los
controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes
de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la
seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y
está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos
en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la
norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de
gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su
publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En
España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.
ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una
versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan
certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y
certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es
decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades
de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta
norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.
guía de auditoría de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una
guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada
conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).
guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una
guía relativa a la ciber seguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma
consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes,
ITCP
de una SGSI.
16
escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante

gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e
implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO
18028.
ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una
guía de seguridad en aplicaciones.
ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información

en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las
anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008
define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC
27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de
controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por
organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo
nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la
confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a
la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información
(palabras y números, grabaciones sonoras, dibujos, vídeos e imágenes médicas), sea cual fuere el medio
utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea
cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya
que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede
adquirirse en ISO.org.
Contenido
En esta sección se hace un breve resumen del contenido de las normas ISO 27001, ISO 27002, ISO
27006 e ISO 27799. Si desea acceder a las normas completas, debe saber que éstas no son de libre
difusión sino que han de ser adquiridas.
Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización:
http://www.iso.org/iso/en/prods-services/ISOstore/store.html
Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles
están ya traducidas):
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
Las entidades de normalización responsables de la publicación y venta de normas en cada país

hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra
sección de Enlaces, bajo Acreditación y Normalización.
ISO 27001:2005
• Introducción: generalidades e introducción al método PDCA.
• Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de
exclusiones.
• Normas para consulta: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en la norma.
• Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar,
supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la
misma.
ITCP
de una SGSI.
17
• Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de

recursos y concienciación, formación y capacitación del personal.
• Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento.
• Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por
parte de la dirección.
• Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.
• Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles
que se encuentran detallados en la norma ISO 27002:2005.
• Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los
apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
• Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de
cláusulas con ISO 9001 e ISO 14001.
• Bibliografía: normas y publicaciones de referencia.
ISO 27002:2005 (anterior ISO 17799:2005)

• Introducción: conceptos generales de seguridad de la información y SGSI.
• Campo de aplicación: se especifica el objetivo de la norma.
• Estructura del estándar: descripción de la estructura de la norma.
• Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de
seguridad de la información.
• Política de seguridad: documento de política de seguridad y su gestión.
• Aspectos organizativos de la seguridad de la información: organización interna; terceros.
• Gestión de activos: responsabilidad sobre los activos; clasificación de la información.
• Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o
cambio de puesto de trabajo.
• Seguridad física y ambiental: áreas seguras; seguridad de los equipos.
• Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación;
gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección
contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes;
manipulación de los soportes; intercambio de información; servicios de comercio electrónico;
supervisión.
• Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario;
responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo;
control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.
• Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad
de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos;
seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión
de la vulnerabilidad técnica.
• Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de
la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.
• Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de
la continuidad del negocio.
• Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de
seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de
información.
• Bibliografía: normas y publicaciones de referencia.
ITCP
de una SGSI.
18
Puede descargarse una lista de todos los controles que contiene esta norma aquí:
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27006:2007
(Esta norma referencia directamente a muchas cláusulas de ISO 17021 - requisitos de entidades de
auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha
norma, que puede adquirirse en español en AENOR).
• Preámbulo: presentación de las organizaciones ISO e IEC y sus actividades.
• Introducción: antecedentes de ISO 27006 y guía de uso para la norma.
• Campo de aplicación: a quién aplica este estándar.
• Referencias normativas: otras normas que sirven de referencia.
• Principios: principios que rigen esta norma.
• Requisitos generales: aspectos generales que deben cumplir las entidades de certificación de
SGSIs.
• Requisitos estructurales: estructura organizativa que deben tener las entidades de certificación
de SGSIs.
• Requisitos en cuanto a recursos: competencias requeridas para el personal de dirección,
administración y auditoría de la entidad de certificación, así como para auditores externos,
expertos técnicos externos y subcontratas.
• Requisitos de información: información pública, documentos de certificación, relación de clientes
certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información
entre la entidad de certificación y sus clientes.
• Requisitos del proceso: requisitos generales del proceso de certificación, auditoría inicial y
certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión,
retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de
solicitantes y clientes.
• Requisitos del sistema de gestión de entidades de certificación: opciones, opción 1 (requisitos del
sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema de gestión
general).
• Anexo A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector:
potencial de riesgo de la organización. (tabla orientativa) y categorías de riesgo de la seguridad de la
información específicas del sector de actividad.
• Anexo B - Áreas de ejemplo de competencia del auditor: consideraciones de competencia general
y consideraciones de competencia específica (conocimiento de los controles del Anexo A de ISO
27001:2005 y conocimientos sobre SGSIs).
• Anexo C - Tiempos de auditoría: introducción, procedimiento para determinar la duración de la
auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de
sistemas de calidad - ISO 9001- y medioambientales -ISO 14001-).
• Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005: tabla
de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.
ISO 27799:2008
Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el
sector sanitario aplicando ISO 17799 (actual ISO 27002).
ITCP
de una SGSI.
19
Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité
técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la
salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información;
Infomación sanitara a proteger; Amenazas y vulnerabilidades)
• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía; Acuerdo de la
dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing;
Checking, Auditing)
• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la información;
Organización; gestión de activos; RRHH; Físicos; Comunicaciones; Accesos; Adquisición;
Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal)
• Anexo A: Amenazas
• Anexo B: Tareas y documentación de un SGSI
• Anexo C: Beneficios potenciales y atributos de herramientas
• Anexo D: Estándares relacionados.
Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad
comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las
áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y
otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
¿Cómo adaptarse?
ITCP
de una SGSI.
20
Arranque del proyecto
ITCP
de una SGSI.
21
Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este
tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado
de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el
proceso hacen necesario el impulso constante de la Dirección.
Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo

invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
Planificación
Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y
tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización;
de hecho, es recomendable empezar por un alcance limitado.
• Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la
información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales
en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de
evaluación de riesgo y sea aprobada por la Dirección. La política de seguridad es un documento
ITCP
de una SGSI.
22
muy general, una especie de "declaración de intenciones" de la Dirección, por lo que no pasará de
dos o tres páginas.
• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos
apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación
de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación
de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede
optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no
impone ninguna ni da indicaciones adicionales sobre cómo definirla (en el futuro, ISO 27005
proporcionará ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sería rentable
hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún valor para la
organización y que quedan dentro del alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o
la disponibilidad de cada uno de los activos.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir,
que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el
nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos
previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado
mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o
transferido (p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la
evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta
que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran
necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay
que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la
Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que
queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en
ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una
lista de todos los controles seleccionados y la razón de su selección, los controles actualmente
implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y
prioridades en la gestión de los riesgos de seguridad de la información.
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control
identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
ITCP
de una SGSI.
23
Seguimiento
Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de
procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad
de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de
seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes
de seguridad han sido eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad,
incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología,
procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una
influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
• Realizar regularmente auditorías internas: para determinar si los controles, procesos y
procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno
legal y los requisitos y objetivos de seguridad de la organización, están implementados y
mantenidos con eficacia y tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido
sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los
objetivos de seguridad de la información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las
revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI:
sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase
anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción,
medida o cambio debe comprobarse siempre.
Aspectos Clave Fundamentales

• Compromiso y apoyo de la Dirección de la organización.
• Definición clara de un alcance apropiado.
• Concienciación y formación del personal.
• Evaluación de riesgos exhaustiva y adecuada a la organización.
• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicación.
• Integración del SGSI en la organización.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
ITCP
de una SGSI.
24
• Realización de comités de dirección con descubrimiento continuo de no conformidades o

acciones de mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte
de los usuarios (los incidentes de seguridad deben ser reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el
soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
Planes de formación y concienciación inadecuados.
Calendario de revisiones que no se puedan cumplir.
Definición poco clara del alcance.
Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.
Falta de comunicación de los progresos al personal de la organización.
Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un
proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una
vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas
fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente
técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación;
adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con
asesoramiento de consultores externos especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa –incluso si al inicio el alcance
se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas
prácticas, además de ser uno de los puntos fundamentales de la norma.
• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin
certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y
tangible y, por lo tanto, mejores opciones de alcanzar el éxito.
• No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener información relativa
a la gestión de la seguridad de la información de otros métodos y marcos reconocidos.
• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como estructura de
trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a
auditores internos y responsables de otros sistemas de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe
ser capaz de trabajar con continuidad en el proyecto.
ITCP
de una SGSI.
25
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de
certificación para demostrar que el SGSI funciona adecuadamente.
Otros Estándares
Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas
publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos.
Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de
la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y
certificación en la norma ISO 27001 con un menor esfuerzo.
En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias

relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más
conocidos y relevantes.
Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas
dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones
en todo el mundo.
ISO/IEC 20000
Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar
británico BS 15000.
ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado
para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este
documento comprende 10 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de
gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios
nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de
resolución”, “Procesos de control” y “Procesos de liberación”.
ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los
servicios y dentro del ámbito indicado por la norma ISO 20000-1.
ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue
inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto,
aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una
adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la
introducción de un paso intermedio.
ITCP
de una SGSI.
26
ITIL
“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión
de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades,
circunstancias y experiencia de cada proveedor de servicios.
Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF
y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura
lógica para mejor comprensión en su publicación y difusión.
ITCP
de una SGSI.
27
ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service
Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”: Las
áreas cubiertas por ITIL en cada documento publicado por la OGC son:
• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio,
que es gestionado además de la mejor forma posible.
• Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al
cliente.
• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada
organización.
• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de
vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de
soluciones.
• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión
de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.
• Administración de seguridad: proceso para la implantación de requerimientos de seguridad;
relaciona las áreas ITIL de soporte y entrega de servicio.
• Administración de activos de software: pautas necesarias para la gestión del software adquirido
y/o de desarrollo propio.
• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de
externalización y gestión del cambio, entre otro
COBIT
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association)
en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y
aseguramiento TI.
Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama
de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la
empresa.
ITCP
de una SGSI.
28
Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para
tecnologías de la información y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO
17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por
tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por
COBIT están más cerca de adaptarse y lograr la certificación en ISO 27001.
CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 44 procesos de TI.
Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos
de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión
completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo
integra en los procesos de negocio.
No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título
personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified
Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.
ISO 27001
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar,
tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de
ITCP
de una SGSI.
29
cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la
empresa.
BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de

riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión
del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y
conformidad con otros estándares y regulaciones sobre el riesgo.
COSO-
COSO-ENTERPRISE RISK MANAGEMENT / SOX
El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector
privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan
informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha
establecido una definición común de controles internos, normas y criterios contra los cuales las empresas
y organizaciones pueden evaluar sus sistemas de control.
COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de
contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association
(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of
Management Accountants (IMA).
El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de
1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr y
ITCP
de una SGSI.
30
los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr
aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.
Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están

representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las
unidades de la entidad, por la tercera dimensión del cubo.
Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Información
adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con
ITIL como modelo de control para procesos y gestión TI.
COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No
se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está
teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información,
conviene mencionarlo en esta sección.
La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente
a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene
validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas
de aquel país.
Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de
control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de
información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de
un informe de la empresa.
Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control
interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de
unos procedimientos y una estructura de control interno adecuados para la información financiera. El
marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión
del riesgo empresarial de COSO.
Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno
de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente,
ITCP
de una SGSI.
31
ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO,

con referencias cruzadas a CobiT. Certificación
7799--2, es certificable. Esto quiere

La norma ISO 27001, al igual que su antecesora BS 7799 quiere decir que la
organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora
acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO
27001.
En las siguientes secciones, se abordan diferentes temas relacionados con la certificación.
Implantación del SGSI

Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema
de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de
funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría
para su primera certificación.
ISO 27001 exige que el SGSI contemple los siguientes puntos:

Implicación de la Dirección.
Alcance del SGSI y política de seguridad.
Inventario de todos los activos de información.
Metodología de evaluación del riesgo.
ITCP
de una SGSI.
32
Identificación de amenazas, vulnerabilidades e impactos.

Análisis y evaluación de riesgos.
Selección de controles para el tratamiento de riesgos.
Aprobación por parte de la dirección del riesgo residual.
Declaración de aplicabilidad.
Plan de tratamiento de riesgos.
Implementación de controles, documentación de políticas, procesos y procedimientos e
instrucciones de trabajo TI.
Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
Monitorización constante y registro de todas las incidencias.
Realización de auditorías internas.
Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su
alcance.
Mejora continua del SGSI.
La documentación del SGSI deberá incluir:

Política y objetivos de seguridad.
Alcance del SGSI.
Procesos y Procedimientos y controles que apoyan el SGSI.
Descripción de la metodología de evaluación del riesgo.
Informe resultante de la evaluación del riesgo.
Plan de tratamiento de riesgos.
Procesos de planificación, manejo y control de los procesos de seguridad de la información y de
medición de la eficacia de los controles.
Registros.
Declaración de aplicabilidad (SOA -Statement of Applicability-).
Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:
Política de seguridad.
Asignación de responsabilidades de seguridad por medio de una RACSI.
Formación y capacitación para la seguridad.
Registro de incidencias de seguridad.
Gestión de continuidad del negocio.
Protección de datos personales.
Salvaguarda de registros de la organización.
Derechos de propiedad intelectual.
ITCP
de una SGSI.
33
ITCP
de una SGSI.
34
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO
27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e
ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso
ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se
puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el
medio ambiente o cualquier otra.
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se
puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:
Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por
parte de la misma.
Respuesta en forma de oferta por parte de la entidad certificadora.
Compromiso.
Designación de auditores, determinación de fechas y establecimiento conjunto del plan de
auditoría.
Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre
la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis
de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación
básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se
verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo
máximo entre la Fase 1 y Fase 2 es de 6 meses.
Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las
políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se
inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal,
instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una
revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los
hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos
aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que
se presenta el informe de auditoría.
Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la
organización deberá implantar acciones correctivas; una vez verificada dicha implantación o,
directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un
informe favorable y el SGSI de organización será certificado según ISO 27001.
Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de
mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor
duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora
continua.
Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación
formal completa como la descrita.
ITCP
de una SGSI.
35
ITCP
de una SGSI.
36
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por
entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas
organizaciones que lo han autorizado, también está publicado el alcance de certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí
es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la
confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la
seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los
miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en
cuestión es confiable y es gestionada transparentemente.
La entidad de certificación
Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y
realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En
el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo detallado en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial
privada con un gran auge en el último par de décadas, debido a la creciente estandarización y
homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede
contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos,
comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas.
Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones
independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de
acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la
que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación); para
otros países, puede consultarse una lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse-
suele hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando
programas de certificación/registro de sistemas de gestión de seguridad en la información".
En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de
acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de
acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como
IAF (International Accreditation Forum) o EA (European co-operation for Accreditation).
El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado,
verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de
auditores:
• De primera parte: auditor interno que audita la organización en nombre de sí misma,

normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de
certificación;
• De segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un
cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;
ITCP
de una SGSI.
37
• De tercera parte: auditor independiente, que audita una organización como tercera parte
imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y
contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación
personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias
profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que
está certificado.
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que pueden formular
requisitos distintos para homologar a sus auditores. Pero, en general, la certificación de auditores se ciñe
a la norma ISO 19011 de directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la
competencia y evaluación de los auditores. Al auditor se le exigen una serie de atributos personales,
conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor.
Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la

estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además
de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas
organizaciones son IRCA, RABQSA o IATCA. IRCA (International Register of Certificated Auditors) es el
mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino
Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya
desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la
información. Su página web, también en español, es una buena fuente de consulta de los requisitos y los
grados de auditor. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección
de boletines.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta,
diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las
que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar
el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de
fiscalización de sus actividades.
Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración,
información y trabajo conjunto.
O - ISM3
O - ISM3 Open Information Security Management Maturity Model (ISM Cubo) es un estándar de madurez
de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001,
La publicación del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de
los sistemas de gestión de seguridad de la información (ISM). ISM3 nace de la observación del contraste
existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas
BS7799-2:2002 (unos cientos en todo el mundo).
ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas de gestión
de la seguridad de la información.
ITCP
de una SGSI.
38
ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeñas organizaciones que
realizan sus primeros esfuerzos, como a un nivel alto de sofisticación por grandes organizaciones como
parte de sus procesos de seguridad de la información...
Al igual que otros estándares del ISECOM, ISM3 se proporciona con una licencia de “código libre”, tiene
una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en organizaciones que
utilicen estándares como COBIT, ITIL, CMMI y ISO17799. Está estructurado en niveles de madurez, de
modo que cada organización puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en
varias etapas.
En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que suponen una barrera a
la implantación de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los
requerimientos de seguridad del negocio. Permite a la empresa aprovechar la infraestructura actual,
fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de madurez certificables según el
sistema de ISM evoluciona.
Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan
incidentes de las tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de
seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación
que permite a una organización autoevaluar su madurez, o bien obtener una certificación de un auditor
independiente.
La publicación de ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM
cubo) ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información.
ISM3 por sí solo o para mejorar sistemas basados en ITIL, ISO27001 o COBIT.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar
de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la
consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la
prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como
entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las
bases de datos sólo a los usuarios autorizados)...
Algunas características significativas de ISM3 son:

• Métricas de Seguridad de la Información - "Lo que no se puede medir, no se puede gestionar, y
lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un
proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer
estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para
medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.
• Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes
mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la
organización y a los recursos que están disponibles.
• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace especialmente
atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como
modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios
de seguridad de la información, dado que la externalización de procesos de seguridad se
simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.
• Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las
extensas referencias a estándares bien conocidos en cada proceso, así como la distribución
ITCP
de una SGSI.
39
explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto
de gestión Estratégica, Táctica y Operativa.
• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o
ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO
27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en
ISO9001 y que tienen experiencia e infraestructura para ISO9001.
• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden
ver con mayor facilidad la Seguridad de la Información como una inversión y no como una
molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.
Gobierno de TI - ITIL - COBIT – SGSI = O – ISM3

El gobierno de TI ha cobrado importancia en los últimos años y TI tiene un papel fundamental que
desempeñar en la mejora de sus buenas prácticas de gobierno corporativo. La administración de riesgos
se ha sensibilizado y hay una mayor conciencia creciente del compromiso de llevar a cabo una gestión de
control para las distintas actividades de TI.
Aunque la palabra Gobierno de TI es relativamente nueva como disciplina definida ha evolucionado a

grandes pasos pero se está buscando que el enfoque sea más específico en cuando a la mejora de la
gestión de control y de tecnologías de información.
La creación de nuevas tecnologías y oportunidades de negocio implican cada vez un riesgo mayor que
pueden afectar la continuidad del negocio, la seguridad de la información y la falta de reconocimiento para
poder aplicar eficientemente cambios organizacionales. Hay muchos riesgos del pasado y otros que han
ido surgiendo, pero lo que sí es claro es que están siendo visibles y que definitivamente hay que empezar a
tratarlos y a hacerlos parte de los planes estratégicos de la organización.
En el mundo de la informática, el tema de Gobierno de TI ha cobrado importancia y se han creado muchas

definiciones entorno a este concepto. La forma para empezar a definir este tema es traduciendo la
palabra que viene del latín Gubernance que no significa otra diferente a dirigir o guiar, pero existe un
instituto llamado: Instituto de Gobierno de TI (ITGI), el cual hacen su definición así:
“Gobierno de TI es responsabilidad de los ejecutivos y del Consejo de Dirección, y consiste del liderazgo,
estructura organizacional y procesos que garantizan que la TI corporativa, sustente y prolongue las
estrategias y objetivos de la organización”[1].
Por otra parte encontramos dos grandes investigadores de la Escuela de Administración de Sloan del
MIT, Jeanne Ross y Peter Weill quien dicen: “El gobierno de TI es especificar los derechos de decidir y el
marco de rendición de cuentas que obligan a comportamientos deseados en el uso de la TI”. Esta
definición de gobierno de TI aspira a capturar la simpleza de este gobierno: derechos de decisión,
rendición de cuentas y comportamiento deseado que son diferentes en cada organización”.
Si bien podemos encontrar muchas otras definiciones sobre el Gobierno de TI, lo que si se tiene claro es
que el un buen gobierno debe proveer estructuras que logre unir los distintos procesos de TI, los recursos,
la información y los objetivos, por ello entonces llega a la organización definiciones como:
• Alineación del negocio de TI
• Administración del portafolio
• Administración de Valor
• Administración de recursos
• Administración de beneficios
ITCP
de una SGSI.
40
• Administración de Riesgos
Es esta última definición en la cual se concentrará este estudio, ya que la conciencia del riesgo existe y su
estado en la organización cada día se vuelve más importante y de necesario tratamiento siempre
guardando un equilibrio entre las metas de cumplimiento y desempeño por medio de las acciones del
directorio mencionadas anteriormente.
El núcleo del gobierno de TI tiene dos grandes responsabilidades, la entrega de valor al negocio y la
mitigación de riesgos asociados a TI.
Se habla entonces de un gobierno corporativo, en donde se abarca un conjunto de relaciones entre la

dirección de la compañía, su consejo, sus accionistas y otras partes interesadas en donde se proporciona
la estructura a través de la cual se definen objetivos de la compañía y se determina el medio para
alcanzarlos y se supervisa el desempeño.
Entonces, el gobierno corporativo llega a formar una vista de la siguiente manera:
GOBIERNO
Gestión de
Riesgos
Control
Interno
SGSI
El gobierno corporativo está centrado en el rendimiento, los riesgos y el control de las tecnologías de
información, por tanto la gestión de las tecnologías de información tiene su clasificación basada en:
• Planeación de las TI
• Control de Gestión de TI
• Administración de Portafolio de proyectos de TI
ITCP
de una SGSI.
41
Administración de Portafolio de
Control de Gestión de TI
proyectos de TI
Planeación Estrátegica de TIC.
• PETI. • ITIL • Portafolio

• Plan • COBIT Proyecto TI.
Estrategico • SGSI • Programa de
Negocio. • ISO 27001 Proyectos TI.
• Procesos de • O - ISM3 • Oficna de
Negocio. Proyectos TI.
• PMI
• Aquitectura TI. • PMI.
• Gobierno TIC.
• PM- RISK.
En la parte central de este artículo, control de Gestión de TI, se tiene también dos divisiones una
igualmente importante que la otra:
Planeación de las • Cedula Riesgos

TI • Plan Riesgos.
Control de • Mitigacion Riesgos.

Gestión de TI • Cultura Riesgos.
Administración • Analisis de
de Portafolio de SteakHolders.
proyectos de TI • Mitigacion Riesgos.
ITCP
de una SGSI.
42
Teniendo en cuenta la ubicación en donde se está, se puede hacer una definición de riesgo basados en el
Committee AS/NZA4360 de Risk Management que dice: “Riesgo expresa la incertidumbre con
respecto a eventos futuros o sus consecuencias, los cuales podrían afectar el logro de los objetivos.
Es percibido como una amenaza o peligro el cual al materializarse podría impactar negativamente a la
organización”.
La gestión de riesgo requiere que por parte de la gerencia exista una cultura y conciencia del riesgo y
comprensión de tus requerimientos legales y regulatorios basado en la identificación, valoración
tratamiento, monitoreo y comunicación de los riesgos y sus impactos.
Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su
información, como para sus activos entonces para alcanzar estos objetivos la gerencia debe entender muy
bien el estado de sus sistemas, controlarlos y asegurarlos y es aquí en donde entran a jugar un papel clave
los estándares y mejores prácticas.
ESTÁNDARES Y MEJORES PRÁCTICAS SGSI

La utilización de unos y otros depende estrictamente de la organización, sus prioridades y expectativas. De
igual puede adoptarse todo el estándar o solo una parte de ellos pero siempre buscando un mejor
desempeño de los procesos de negocios.
El gobierno de TI se ha vuelto algo critico debido a los cambios vertiginosos del mundo informático y
generalmente las inversiones en tecnología solo sirven para atender problemas operativos en vez de
generar valor aunque se tiene claro que TI es la forma de ejecutar grandes objetivos empresariales.
Por todo esto, la organización está constantemente enfrentado desafíos y retos y busca alinearse según
su estrategia de TI con el negocio por ello se optó por la búsqueda de una estructura organizacional que
facilitara la aplicación de estrategias y objetivos adoptando un marco de trabajo.
• ISO 12207 • ISO 27000
• SOA • IT RISK
• RUP • ISO 9001:2008
• UML • PDAC.
• ISHIKAWA
CMMI SGSI
ITIL COBIT
• ISO 20000
• ISO 20500 • VAL IT
• PMI • GOBIERNO TIC
• O - ISM3 • ISO 38500
• COSO - ERM
ITCP
de una SGSI.
43
Por ellos, se piensan en estándares y mejores prácticas para el cumplimiento de objetivos enfocados a la
organización, el equilibrio y el cumplimiento.
COBIT, (Objetivos de control para la información y las tecnologías relacionadas) es uno de los primeros
framework en preferencia organizacional, ya que ayuda a integrar prácticas tecnológicas específicas con
prácticas generales de alto nivel y se establece un puente entre los riesgos del negocio, los controles que
se necesitan y los aspectos técnicos más relevantes.
Por otro lado, la seguridad de la información y la continuidad del negocio son dos componentes críticos de
la estrategia futura de muchas instituciones a nivel nacional e internacional
Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al entendimiento y
a la administración de los riesgos así como de los beneficios asociados con la información y sus
tecnologías relacionadas. COBIT generalmente es aceptable y aplicable para las buenas prácticas de
seguridad y control.
COSO, publicó el sistema de Control Interno, que consistía en un informe que establece una definición de
control interno y proporciona un estándar por medio del cual las organizaciones pueden evaluar y mejorar
su sistema de control.
Su objetivo es: mejorar la calidad de información concentrándose en el manejo corporativo, las normas
éticas y el control interno y así unificar criterios ante la existencia de una variedad de interpretaciones y
conceptos sobre control interno.
Monitoreo
ITCP
de una SGSI.
44
Finalmente esta RISK IT que basa su teoría en 3 categorías de riesgo:

• Entrega de riesgo asociado al rendimiento y a la disponibilidad de los servicios de TI
• Entrega de soluciones y beneficios asociados a la contribución de TI
• Beneficios en la realización de riesgos asociados a las oportunidades para utilizar tecnologías que
mejoren la eficiencia y efectividad de los procesos.
Risk IT, proporciona de extremo a extremo una visión global de todos los riesgos relacionados con el uso
de las TI y su tratamiento. El entorno de RISK TI, es bien importante por ello se explican las funciones los
entes asociados a TI.
Estimar el riesgo de TI,

Roles / Definir alcance de sus productos críticos,
Identificar las
opciones de
Revisión de los resultados
análisis de riesgo de TI servicios, procesos y del análisis de riesgo
Actividades recursos
respuesta al riesgo
CEO I I
CRO R R C A/R
CIO C C C
CFO I C C
Enterprise Risk Committee C I R
Business Management A A/R A I
Business Procesos Owner R R R
Risk Control Funtions C R R I
HR
Compliance and Audit C C I
METODOLOGÍA DE ANÁLISIS DE RIESGOS SGSI.

A continuación se presentan la metodología que se utiliza:
• Riesgo = Valor de activos
• Impacto de activos y Nivel de aceptación del Riesgo = Valor de activos Integridad Confidencial, y
viabilidad
ITCP
de una SGSI.
45
• Impacto de Activos = Impacto en los procesos de Negocio y Tolerancia al Riesgo = Probabilidad

de Amenaza explotación de la vulnerabilidad
Medida de cálculo de Riesgo: Valor de Activos BIA * Amenaza * Vulnerabilidad = Riesgo Medida. Dónde
BIA Valor de activos es una medida de 0 a 5, donde el propietario de los activos es necesario para
identificar las consecuencias para los negocios de una violación del peor caso de la confidencialidad,
integridad o disponibilidad.
Se visualiza los Riesgos como la pérdida de reputación, el interés de los medios de comunicación, la
sensibilidad de los datos, pérdida financiera, etc.
La amenaza se basa la evaluación de la amenaza inicial a una lista de amenazas que se han extraído de la
norma ISO / IEC 27001:2005, sus vulnerabilidades asociadas.
Escala de 1 a 3 Vulnerabilidad: El control de la corriente y la vulnerabilidad (riesgo de vulnerabilidad se

aproveche) situación dentro de la empresa en relación con la amenaza identificada se evalúa.
Escala de 1 a 5. Esto proporciona una medida de riesgo 0 a 75 con el fin de tomar decisiones sobre cómo
abordar y controla:
• MUY BAJO 0- 14 El bajo nivel de riesgo no justifica los controles adicionales están poniendo en
0-14.
marcha. No hay actividad aún más necesaria.
• BAJA 15-15-24 El bajo nivel de riesgo no justifica los controles adicionales están poniendo en marcha.
No hay actividad aún más necesaria.
• MEDIUM 25- 25-45 Gestión aplicarán su criterio en cuanto a si los riesgos son aceptables. Los
controles se aplicarán, según proceda.
• ALTO 46-46-60 Administración, seleccionará los controles adecuados.
• MUY ALTO 61- 61-75 Alto Riesgo - Gestión seleccionará los controles adecuados como una prioridad.
En la norma ISO 31000, el control se define como una "medida que está modificando riesgo". La norma
también define que "la organización debe asegurarse de que haya rendición de cuentas, la autoridad y las
competencias adecuadas para la gestión de riesgos, incluyendo la implementación y el mantenimiento del
proceso de gestión de riesgos y garantizar la adecuación, efectividad y eficiencia de todos los controles. "
Si una organización tiene que implementar de manera eficiente y efectiva lo que la norma define
anteriormente para los controles, cuántos controles se pueden gestionar con realismo en la organización.
La experiencia es que no puede haber muchos miles, por ejemplo, 10.000 más, ya que una industria se
creará dentro de una organización, si tiene que asegurar regularmente la adecuación, eficacia y eficiencia
de los 10.000 controles más. Si una organización capta 10.000 más controles, pero es solamente puede
garantizar regularmente la adecuación, eficacia y eficiencia de un pequeño subconjunto de los controles,
entonces hay un punto en la documentación de todos los controles? ¿Por qué gastar todo el tiempo
tratando de definir / documentar cada control, cuando no se puede encontrar en cualquier punto dado
cuántos de ellos están trabajando o no funciona. en el contexto de las grandes organizaciones donde las
decisiones importantes se tienen que hacer en términos de cuántos controles para capturar, evaluar y
vigilar la aplicación efectiva de la norma ISO 31000 estándar .
Bastantes de las empresas (hasta 15000 empleados) que tratan de aplicar herramientas de evaluación
de riesgos como parte de su norma ISO 27001 la ejecución del proyecto. El resultado es que por lo
general toma mucho tiempo y dinero con muy poco efecto.
ITCP
de una SGSI.
46
En primer lugar, ¿qué es en realidad la evaluación de riesgos, y cuál es su propósito?

La evaluación de riesgos es un proceso en el que una organización debe identificar los riesgos de
seguridad de la información que determinan la probabilidad e impacto. Simplemente hablando, la
organización debería reconocer a todos los problemas potenciales con su información, la probabilidad de
que ocurran y qué consecuencias podría ser.
El propósito de la evaluación del riesgo es determinar qué controles son necesarios con el fin de disminuir el
riesgo "la selección de los controles que se llama el proceso de tratamiento de riesgos y en la ISO 27001
son elegidos en el anexo A, que especifica 133 controles”.
La evaluación de riesgos se lleva a cabo mediante la identificación y evaluación de los activos,

vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la organización "de
hardware, software, personas, infraestructuras, datos (en varias formas y medios), proveedores y socios,
etc.
Una vulnerabilidad es una debilidad en un activo, proceso, control, etc., lo que podría ser explotado por una
amenaza, una amenaza es una causa que puede causar daño a un sistema u organización.
Un ejemplo de la vulnerabilidad es la falta de software anti-virus, una amenaza relacionada es el virus

informático.
Sabiendo todo esto, si su empresa que realmente necesita una herramienta sofisticada para realizar la
evaluación de riesgos. Todo lo que necesitas es una hoja de cálculo de Excel, buenos catálogos de
vulnerabilidades y amenazas, y una buena metodología de evaluación de riesgos.
La tarea principal es realmente para evaluar la probabilidad y el impacto, y eso no puede ser hecho por
cualquier herramienta "es algo que los propietarios de activos, con el conocimiento de sus activos, tienen
que pensar.
La metodología no está disponible de forma gratuita, pero se puede usar ISO 27005 estándar (que
describe la evaluación del riesgo y el tratamiento en detalle), o puede utilizar algunos otros sitios web de
venta de la metodología. Todo esto debería tomar mucho menos tiempo y dinero que la compra de una
herramienta de evaluación de riesgos y aprender a usarlo.
Una buena metodología debe contener un método para la identificación de activos, amenazas y
vulnerabilidades, tablas para el marcado de la probabilidad y el impacto, un método para el cálculo del
riesgo, y definir el nivel de riesgo aceptable.
Catálogos debe contener al menos 30 vulnerabilidades y amenazas 30, algunos contienen incluso unos
pocos cientos de cada uno, pero eso es probablemente demasiado para una empresa. El proceso no es
muy complicado "estos son los pasos básicos para la evaluación y tratamiento:
• Definir y documentar la metodología (incluyendo los catálogos), la distribuirá a todos los
propietarios de activos de la organización
• Organizar entrevistas con todos los propietarios de activos durante el cual se deben identificar
los activos y las vulnerabilidades y amenazas relacionadas, y en el segundo paso pedirles que
evaluar la probabilidad y el impacto si los riesgos particulares debería ocurrir.
• Consolidar los datos en una sola hoja de cálculo, calcular los riesgos e indican que los riesgos no
son aceptables para cada riesgo que no es aceptable, seleccione uno o varios controles del Anexo
ITCP
de una SGSI.
47
A de la norma ISO 27001 "calcular lo que el nuevo nivel de riesgo sería después de los controles
se llevan a cabo.
En conclusión: la evaluación del riesgo y el tratamiento realmente son la base de la información de

seguridad / ISO 27001, pero no quiere decir que tengan que ser complicado. Se puede hacer de una
manera sencilla, y su sentido común es lo que realmente cuenta.
Lo anteriormente expresado nos ha llevado a proponer lineamientos que consideren los aspectos
fundamentales de ISO 27001, ISO 27002, ISO 27005, ISO 20000, COBIT 5.0, COSO, ITIL V3 y BS 25999,
entre otros, con el fin de plantear una ruta estratégica que le ofrezca a las organizaciones la capacidad
para estar mejor preparada ante un entorno cambiante y de alto riesgo.
MEGERIT es una metodología de evaluación del riesgo ampliamente aceptada y esta relacionada a la ISO
27005.
PROCESO PARA EVALUACIÓN DE RIESGOS

Con el riesgo se pueden tener varias alternativas para como son:
• Evitar,
• Reducir,
• Mitigar,
• Dispersar o Atomizar,
• Transferir,
• Asumir o Aceptar.
Sea cual sea la decisión que se tome basadas en las posibilidades anteriores es importante realizar una
evaluación que se basa en:
• Alcance de la reducción de riesgo (Eficacia)
• Beneficios u oportunidades creada
• Factibilidad y Eficiencia (Costo)
ITCP
de una SGSI.
48
ITCP
de una SGSI.
49
ITCP
de una SGSI.
50
Plan de Tratamiento de riesgos es uno de los documentos clave de la norma ISO 27001, sin embargo,
muy a menudo se confunde con la documentación que se produce como resultado de un proceso de
tratamiento de riesgos. Esta es la diferencia:
Proceso De Tratamiento Riesgo

El tratamiento del riesgo es un paso en el proceso de gestión de riesgos que sigue a la etapa de evaluación
de riesgos, "en la evaluación de riesgos de todos deben ser identificados y los riesgos que no son
aceptables deben ser seleccionados. La tarea principal en la etapa de tratamiento de riesgo es para
seleccionar una o más opciones para tratar cada riesgo inaceptable, es decir, decidir cómo mitigar todos
estos riesgos. Cuatro opciones de tratamiento de riesgo existe (para el proceso completo de gestión de
riesgos, la evaluación de riesgos y tratamiento en "6 pasos básicos:
1. Aplicar los controles de seguridad del anexo A para disminuir los riesgos "ver este articulo ISO
27001 Anexo A control.
2. Transferir el riesgo a otra parte "por ejemplo, a una compañía de seguros con la compra de una
póliza de seguro.
3. Evite el riesgo de detener una actividad que es demasiado arriesgado, o por hacerlo de una
manera completamente diferente.
4. Aceptar el riesgo "si, por ejemplo, el costo de mitigar este riesgo sería mayor que el daño mismo.
El tratamiento del riesgo se realiza habitualmente en forma de una hoja simple, donde se vinculan las
opciones de mitigación y control de cada riesgo inaceptable, lo que también se puede hacer con una
herramienta de gestión de riesgos, si dispone de una. De acuerdo con la norma ISO 27001, se deben
documentar los resultados de los tratamientos de riesgo en el informe de evaluación de riesgos, y los
resultados son los principales insumos para la redacción de la Declaración de aplicabilidad. Esto significa
que los resultados del tratamiento de riesgos no están directamente documentados en el Plan de
Tratamiento de Riesgos.
Riesgo Plan de Tratamiento

Así que, ¿dónde está el plan de tratamiento de riesgos en todo este proceso? La respuesta es: sólo se
puede escribir después de la Declaración de aplicabilidad está terminado.
¿Por qué es esto así? Para comenzar a pensar acerca del plan de tratamiento de riesgos, sería más fácil
pensar que es uno de Acción Plan donde tiene que especificar qué controles de seguridad que necesita
para implementar, que es responsable de ellos, cuáles son los plazos y los recursos que (es decir,
financieros y humanos) son obligatorios. Pero para escribir un documento, primero debe decidir qué
controles deben aplicarse, y esto se hace (de una manera muy sistemática) a través de la Declaración de
aplicabilidad.
La pregunta es "por qué ISO 27001 requieren los resultados del proceso de tratamiento de riesgos deben
documentarse directamente en el Plan de Tratamiento de Riesgos? ¿Por qué este paso intermedio
necesario, en forma de Declaración de aplicabilidad? Mi opinión es que los autores de la norma ISO
27001 quiso animar a las empresas a obtener una imagen completa de la información de seguridad "al
momento de decidir qué controles son aplicables en la Declaración de aplicabilidad y cuáles no, el
resultado del tratamiento del riesgo no es sólo la entrada A "otros insumos son los requisitos legales,
reglamentarios y contractuales, otras necesidades de negocio, etc. En otras palabras, SOA sirve como una
especie de lista de control que tiene una visión global de la organización, y el Plan de Tratamiento del
Riesgo estar completa sin dicha inspección.
ITCP
de una SGSI.
51
Para concluir el "Plan de Tratamiento del Riesgo es el punto donde la teoría se detiene y comienza la
verdadera vida de acuerdo a la norma ISO 27001. Evaluación de riesgos bien hecha y el proceso de
tratamiento de riesgos, así como la Declaración de Aplicabilidad global, producirá plan de acción muy útil
para la implementación de seguridad de la información; omitir alguno de estos pasos y Plan de
Tratamiento de riesgos sólo va a confundir.
IMPLEMENTACIÓN DE SGSI POR MEDIO DE O – ISM3.

Como hemos visto antes hay una serie de estándares que se pueden utilizar con base para implementar la
SGSI, la cuestión es cómo llegar a tener un Modelo de Gestión de la Seguridad Idóneo.
O – ISM3 nos da un marco de referencia y consolida las buenas prácticas de TI de:

• ITIL
• COBIT
• CMMI
• ISO 27000
Dando como Resultado un Gobierno de TI capaz de administrar y soportar las necesidades del negocio y
un esquema capaz de soporta:
• Disponibilidad de los Servicios de TI.
• Monitoreo y Control de los Servicios de TI.
• Sistema de Gestión de la Seguridad de la Información que soportara la ISO 27001.
(Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM
para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras
metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas
de gestión de la seguridad de la información.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar
de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la
consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la
prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como
entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las
bases de datos sólo a los usuarios autorizados).
Algunas características significativas de ISM3 son:
Métricas de Seguridad de la Información: "Lo que no se puede medir, no se puede gestionar, y lo que no
se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante
métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la
mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de
gestión de seguridad de la información.
Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus
niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos
que están disponibles.
Basado en Procesos: ISM3 está basado en procesos, lo que lo hace especialmente atractivo para
organizaciones que tienen experiencia con ISO 9001 o que utilizan ITIL como modelo de gestión de TIC. El
uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado
ITCP
de una SGSI.
52
que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los
ANS y la distribución de responsabilidades.
Adopción de las Mejores Prácticas: Una implementación de ISM3 tiene ventajas como las extensas
referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de
responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión
Estratégica, Táctica y Operativa.
Certificación: Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO 9001 o ISO 27001,
lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto
también puede ser atractivo para organizaciones que ya están certificadas en ISO 9001 y que tienen
experiencia e infraestructura para ISO 9001.
Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con
mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es
mucho más sencillo medir su rentabilidad y comprender su utilidad.
¿Ha oído de ITIL, COBIT, COSO, ISO27000, y demás juegos de caracteres? Todos son elementos que
encajan en un marco de referencia que se está tratando de implementar para lograr que este gobierno de
tecnología informática cumpla su propósito.
El gobierno de la tecnología informática no es más que una continuación del gobierno corporativo, pero
enfocado en la tecnología informática, su desempeño, y el manejo del riesgo que el no tenerla puede
ocasionar.
Desde múltiples hechos económicos, en especial casos de defraudación en información financiera y

contable de empresas muy grandes, que generaron perdidas enormes en sus accionistas, se ha hecho
conciencia que la tecnología informática en las empresas no puede seguir siendo una caja negra. El
gobierno de tecnología informática entonces implica la implementación de un sistema de administración
en donde todos los "jugadores" de la empresa, incluyendo la Junta Directiva, participan en el proceso de
decisión sobre el uso y aplicación de la tecnología informática y comunicaciones (TIC).
El simple hecho de cuestionarse la administración de las TIC, pareciera acusar que hasta entonces no se
tiene una administración apropiada. Sin embargo es imperante hacer claridad que la administración de las
TIC en su aspecto técnico y de aplicación es apropiada, y lo que falta es la responsabilidad de la alta
gerencia sobre los resultados de la aplicación de estas tecnologías. Ya los gerentes no pueden decir que
los procesos informáticos transcurren a sus espaldas, sino que deben ser parte de ellos.
Los marcos de referencia para la administración de las TIC han existido siempre, sin embargo la ausencia
de ellos en la práctica en las empresas ahora tienen mayores repercusiones en cuanto al nivel de riesgo
que se maneja al no tener disponibilidad de las mismas, o mediante una generación de información no
confiable.
A partir de legislación en Estados Unidos gestada principalmente por hechos fraudulentos en la

información financiera de las empresas, se han generado una serie de lineamientos y directrices sobre las
cuales se han construido algunos modelos de mejores prácticas en la administración de la información.
COBIT, (Control Objectives for information and related technology, o los Objetivos de Control para la
Informática y sus tecnologías relacionadas) es un conjunto de buenas prácticas o un marco de referencia
ITCP
de una SGSI.
53
creado por el Information Systems audit. And Control Association (ISACA) y el ITGovernance Institute (ITGI)
en 1992, que entrega una serie de medidas, indicadores, procesos y mejores prácticas comúnmente
aceptadas, que le permiten a los administradores, auditores y usuarios de TI, maximizar el beneficio
derivado del uso de las TIC y el desarrollo apropiado del gobierno de TIC. Posteriormente han anunciado
ValIT para Obtener valor de las TIC, y RiskIT para evaluar y mitigar riesgo.
Este marco de referencia define claramente siete características que deben estar presentes en el manejo
de la información:
1. Efectividad
2. Eficiencia
3. Confidencialidad
4. Integridad
5. Disponibilidad
6. Adhesión a la norma (Compliance)
7. Confiabilidad
Y genera el ciclo de calidad (planear, hacer, verificar, y actuar) sobre los recursos de tecnología incluyendo
las aplicaciones, la información, la infraestructura y las personas.
Se ha dividido en seis grandes grupos los procesos a generar dentro del área de tecnología informática,
encima de las operaciones mismas, para ser controladas por este ciclo de calidad. Y es ahí donde
empieza a jugar la "sopa de letras" de los diferentes estándares propuestos para administrar cada uno de
ellos.
• Administración del servicio: ITIL, Information Technology Library Infrastructure
• Desarrollo de Software/Aplicaciones: CMMI, Capability Maturity Model for Integration
• Administración de Proyectos: PMBOK (Libro de conocimiento de administración de proyectos)
• Seguridad TI: ISO 27000 (Antes ISO 17799/ BS 7799)
• Planeación de Tecnología: AS8015 aporta algunos elementos
• Sistema de Calidad: ISO 9000 / Six Sigma
Se ve claramente un conjunto de caracteres y estándares, y la pregunta de fondo es ¿y qué se debe hacer

con todo esto?
Consideramos que estos marcos de referencia en su mayoría, como CobiT e ITIL son maduros y tienen un
ciclo de mejora continua, lo que más cuesta es lograr la curva de aprendizaje de la organización, debido
que deben abandonar las costumbres por las buenas prácticas, lo que en la mayoría de casos implica
resistencia al cambio por temor y porque las cosas bien hechas no son fáciles.
ITCP
de una SGSI.

Implementacion de Un Sgsi PDF

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Implementacion de Un Sgsi PDF

Caricato da

Copyright:

Formati disponibili

2012

Resumen de Buenas Practicas del Gobierno de TI y los aspectos a contemplar en su Implementación.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN – SGSI

Sistema de Gestión de la Seguridad de la Información

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad,

¿Para qué sirve un SGSI?

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y

Premisas a cumplir en la implementación de SGSI:

• Vulnerabilidad de las comunicaciones

8.- TIPOS DE AMENAZAS

9.- TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS

10.- PLANES DE CONTINGENCIA

Ente regulador de Normas ISO en Guatemala es:

La certificación de Auditor Líder se puede gestionar en dicha institución.

Retos de la implementación de un SGSI:

Implementar un SGSI es un Proyecto?

¿Qué incluye un SGSI?

Instruccion, Listas de Verificacion,

¿Cómo se implementa un SGSI?

• Plan (planificar): establecer el SGSI.

Plan: Establecer el SGSI

Identificar los riesgos:

Analizar y evaluar los riesgos:

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

Identificar y Dirección. Mitigar Riesgo Transferir

Planificar Evitar Riesgo.

Definir una declaración de aplicabilidad que incluya:

Do: Implementar y utilizar el SGSI

Check: Monitorizar y revisar el SGSI

Act: Mantener y mejorar el SGSI

¿Qué tareas tiene la Gerencia en un SGSI?

Para ello, debe tomar las siguientes iniciativas:

• Estructurar los DNA de confidencialidad con el personal de la organización.

Revisión del SGSI

• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.

¿Se integra un SGSI con otros sistemas de gestión?

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO

En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-

escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante

ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información

Las entidades de normalización responsables de la publicación y venta de normas en cada país

• Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de

ISO 27002:2005 (anterior ISO 17799:2005)

Arranque del proyecto

Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo

Aspectos Clave Fundamentales

• Realización de comités de dirección con descubrimiento continuo de no conformidades o

En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias

BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de

Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están

ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO,

7799--2, es certificable. Esto quiere

En las siguientes secciones, se abordan diferentes temas relacionados con la certificación.

Implantación del SGSI

ISO 27001 exige que el SGSI contemple los siguientes puntos:

Identificación de amenazas, vulnerabilidades e impactos.

La documentación del SGSI deberá incluir:

• De primera parte: auditor interno que audita la organización en nombre de sí misma,

Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la

Algunas características significativas de ISM3 son:

Gobierno de TI - ITIL - COBIT – SGSI = O – ISM3