UNIVERSIDAD NACIONAL HERMILIO VALDIZAN

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS

E.A.P INGENIERIA DE SISTEMAS

RESUMEN DE LOS ISOS 27000, 27001, 27002,27003,27004,27005 Y 27006

Alumno: Vela Lastra, Eleib Eliseo

Docente: Mg. Heidy Velsy Rivera Vidal

HUANUCO-PERÚ
2018
RESUMEN ISO 270001
Las empresas publicas y privadas manejan una gran cantidad de datos importantes y
confidenciales por lo que es necesario contar con un sistema de seguridad.
El SGSI basada en las normas del ISO 27001 permite evaluar todo tipo de riesgos o amenazas
que puedan poner en peligro a una organización. También permite establecer el control y
estrategias adecuadas para minimizar los posibles riesgos. A través de los siguientes pasos cada
una con diversas acciones.
Planificar: definir políticas de seguridad, establecer el alcance del sistema de gestión de la
seguridad.
Hacer: Implantar el plan de gestión de riesgos, implantar el SGSI, implantar los controles.
Controlar: Revisar internamente el SGSI, poner en marcha indicadores y métricas.
Actuar: Adoptar acciones correctas y acciones de mejora.
Las normas del ISO 27001 establecen una serie de fases para elaborar un SGSI.
Análisis y evaluación de riesgo.
Implementación de controles.
Definición de un plan de tratamiento de los riesgos o esquemas de mejora.
Alcance de la gestión.
Contexto de la organización.
Partes interesadas.
Fijación y medición de objetivos.
Proceso documental.
Autorías internas y externas.
Análisis y evaluación de riesgos
Para poder establecer una evaluación y planificación de riesgos es necesario comenzar
identificar y analizar las posibles amenazas que pongan en riesgo los activos de la entidad ya
sea recursos humanos y material.
A pesar de las medidas de seguridad implementadas, no es posible eliminar totalmente el riego
debido a diferentes motivos que se presentan en la organización ya sea presupuestal o algún
descuido del personal que labora en esa área. Por lo que es necesario definir una estructura
organizacional seleccionando al personal idóneo que se responsabilice de sus actos.
Implementación de controles
Cada empresa u organización es libres de implementar más puntos de control según sea
necesario, pero siempre alineándose a lo que realmente pide las normas del ISO 27001.
Definición de un plan de tratamiento de los riesgos o esquema de mejor
Luego de haber realizado un análisis, es necesario definir un esquema de mejora para permitirle
a la empresa eliminar, mitigar o trasladar el riesgo. Es necesario establecer un rango para cada
control, el proceso de cambio y mejora continua hace posible comprobar la eficacia de los
controles y si es necesario realizar modificaciones necesarias.
El alcance de la gestión
Para la implementación de un SGSI es importante definir el alcance que tendrá, porque no todas
las organizaciones cuentan con igual número de personal o áreas de suma importancia.
Por lo general, las áreas que se deben considerar son las que en primera instancia ayudan a
cumplir su objetivo principal.
Contexto de organización
El contexto organización es importante analizarlo ya que nos ayudara a identificar los posibles
problemas internos y externos, así como sus debilidades, fortalezas, oportunidades y amenazas.
Partes interesadas
Fijación y medición de objetivos
En importante fijarnos un objetivo para la gestión de riesgos que debe ser medible y ser
comunicados a todo el personal que labora en la organización además cada objetivo debe estar
asociado a indicadores que permitan realizar un seguimiento del cumplimiento de las
actividades.
El proceso documental
El proceso documental es muy estricto exigiendo a las organizaciones que cuenten con un
procedimiento documentado para gestionar la información. Este documento puede ser
presentado en diversos formatos y pueda ser consultado en cualquier momento
Auditorías internas y revisión por la dirección
Las auditorías internas se llevan a cabo cada cierto tiempo para poder determinar si se encuentra
en un estado idóneo. Se pueden realizar dos tipos de auditorías internas de gestión y controles,
en el que se supervisan el liderazgo y el entorno y en el que se auditan los 113 controles.
RESUMEN ISO 27002
La norma ISO 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la
seguridad de la información para poder preservar la confidencialidad, integridad y
disponibilidad. Describe 14 dominios principales cada uno con métricas exactas que deben ser
observadas para su correcta implantación.
Políticas de seguridad.
Organización de la seguridad de la información.
Seguridad de los recursos humanos.
Gestión de los activos.
Control de accesos.
Cifrado.
Seguridad física y ambiental.
Seguridad en las operaciones.
Seguridad de las telecomunicaciones.
Adquisición de los sistemas, desarrollo y mantenimiento.
Relaciones con los proveedores.
Gestión de los incidentes que afectan a la seguridad de la información.
Aspectos de seguridad de la información para la gestión de la continuidad del negocio.
Cumplimiento.
RESUMEN ISO 27003
Las normas del ISO 27003 tiene como objeto y campo de aplicación los aspectos críticos
necesarios para el diseño e implementación exitosa de un sistema de gestión de la seguridad de
la seguridad de acuerdo al ISO 27001.
La estructura general del ISO 27003, explica la implementación de un SGSI enfocado en la
iniciación, planificación y definición del proyecto que contiene 5 fases:
Obtener la aprobación gerencial para iniciar un proyecto SGSI.
Definir el acceso del SGSI y la política del SGSI.
Realizar un análisis de la organización.
Planificar el tratamiento del riego.
Diseñar el SGSI.
Fases para la implantación del SGSI son 4:
Definir el alcance, límites y políticas del SGSI
Realizar un análisis de requerimientos de seguridad de la información
Realizar una evaluación del riesgo y planificar el tratamiento del riesgo
Diseñar el SGSI
Como paso final realizar un análisis de la organización identificando los activos de la
organización dentro del alcance de SGSI y evaluando la seguridad de la implementación en
relación a los recursos humanos.
RESUMEN ISO 27004
Las normas del ISO se basan sobre el modelo PDCA que es un ciclo continuo. Una organización
debe describir como se interrelacionan e interactúan el SGSI y las mediciones desarrollando
guías que aseguran, aclaren y documenten esta relación con todos los detalles posibles.
Los objetivos de estos procesos son:
Evaluar el proceso de la implementación de los controles de seguridad.
Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
Proveer estados de seguridad que guíen las revisiones del SGSI facilitando mejoras a la
seguridad y nuevas entradas para auditar.
Comunicar valores de seguridad a la organización.
Servir como entradas al plan de análisis y tratamiento de riesgos.
El modelo y métodos para las mediciones de la seguridad
Se debe desarrollas un programa de como ejecutar las mediciones de la seguridad de la
información las mediciones que aporten decisiones, o determina la eficiencia de la seguridad
será el éxito de este programa. Este modelo debe describir como estos atributos son
cuantificados y convertidos a indicadores que prevean bases para la toma de decisiones, como
primer paso es definir los atributos más relevantes y para definir como los atributos deben ser
medidos se utilizan dos métodos. Subjetivos que indican el recurso humano y objetivos basada
en una regla numérica.
Podemos asociar la medición con determinadas escalas:
Nominal: Los valores son categóricos.
Ordinal: los valores son ordenados.
Intervalos: Se poseen máximos y mínimos con distancias entre ellos.
Ratio: Tienen escalas de distancias, relacionadas a mediciones.
Definición y selección de las mediciones en un SGSI
La norma específica también, como desarrollar las mediciones para poder cuantificar la
eficiencia de un SGSI, sus procesos y controles. Ya que podrían ser requeridos para.
Mejora de procesos, certificación de un SGSI, mejoras en la implementación, operaciones o
gestión organizacional, etc.
Los pasos a seguir para el establecimiento y operación de un programa de mediciones son:
Definición de los procesos
El desarrollo de mediciones aplicables
La implementación del programa
Revisión de mediciones
Operaciones de las mediciones del SGSI
Las mediciones deben encontrarse totalmente integradas al SGSI incluyendo:
Definición y documentación de roles y responsabilidades que participan en el desarrollo,
implementación y mantenimiento de las mediciones dentro del contexto del SGSI.
Políticas y procedimientos que definan el empleo de las mediciones en la organización, difusión
de la información medida, auditoria y revisión de los procesos de medición.
Procesos de monitorización de las mediciones para evaluar su uso.
Procesos de eliminación, modificación y adición de nuevas mediciones.
Mejora de las mediciones del SGSI
Las fases check y act facilitarán las mejoras y reencauces de los procesos de medición,
permitirán el análisis de la información de mediciones disponibles y su apoyo para la toma de
decisiones deberán ser evaluados, ajustadas y detectadas a las necesidades del SGSI.
Las mediciones deberían ser tomadas cuando ocurran cambios en las organizaciones y ser
revisados a intervalos planeados. Los resultados de estas mediciones deben ser comunicados a
todo el personal interesado, directivos, gerentes, técnicos y personal relacionado a la seguridad.
La dirección debería establecer y mantener acuerdos en sus mediciones e implementar acorde
a lo establecido estándar e internacional teniendo en cuenta la aceptación de los requerimientos
de mediciones.
La dirección deberá proveer evidencias de estos acuerdos, de su implementación, operación,
revisión monitorización, mantenimiento y mejora de todo el programa de mediciones a través
de:
Establecimiento de programa de mediciones
Asegurar que el programa sea implementado
Establecer roles y responsabilidades en el programa de mediciones y sus indicadores de
progresos
La dirección debería asignar y proveer los recursos para el programa de mediciones, incluyendo
los responsables de todos los aspectos y la infraestructura para llevar adelante sus funciones.
RESUMEN ISO 27005
Como punto inicial es establecer el contexto sobre el cual se va a llevar acabo la gestión de
riesgos se llevará acabo la gestión del riesgo de la seguridad de la información.
Es aconsejable desarrollar un enfoque adecuado para la gestión del riesgo que aborde los
criterios básicos y evaluar si los recursos necesarios estén disponibles para su implementación,
es necesario establecer un contexto y el alcance que tendrá la implementación de la seguridad
de la información. Establecer roles y responsabilidades en el proceso de gestión del riesgo y la
seguridad de la información.
La estructura que sigue la norma técnica peruana:
Información sobre los antecedentes.
Vista panorámica del proceso de gestión del riesgo en seguridad de información
Evaluación del riesgo
Tratamiento del riesgo
Aceptación del riesgo
Comunicación del riesgo
Monitoreo y revisión del riesgo
ISO 27006
Está pensada para apoyar la acreditación de organismos de certificación que ofrecen la
certificación del sistema de gestión de la información. Se encarga de especificar los requisitos
y suministrar una guía para la auditoria y la certificación del sistema.
Cualquier organización certificada en ISO 27000 debe cumplir también con los requisitos dela
norma 27006