Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ISO/IEC 27001
Presentado por:
Diego Arturo Machado
Cód.
Edwin Anderson Vargas
Cód.
Jhon Fernando Anichiarico
Cód. 1.064.996.565
Víctor Hugo Rico Macías
Cód. 79532368
En cuanto a los riesgos de la organización estaremos tratándolos y evitar que estos se den,
estudiaremos las metodologías como OCTAVE,MAGERIT,MEHARI entre otras.
Daremos algunos puntos importantes sobre los requisitos de la norma ISO/IEC 27001:2013
los cuales son necesarios para la certificación de esta norma en las empresas , la importancia
de establecer un SGSI
OBJETIVO GENERAL
OBJETIVOS ESPECIFICOS
Para el desarrollo de la actividad individual cada estudiante debe realizar un informe que contenga los
siguientes puntos o productos:
1. El estudiante debe realiza listado con los requisitos de la norma ISO/IEC 27001:2013.
La norma 27001 es la norma certificable y es la que determina que requisitos debemos seguir para la
correcta implementación de la 27001 y la creación y mantenimiento del SGSI dentro de una
organización, por lo tanto, es muy importante saber con qué debemos contar para lograr la
implementación del SGSI. Los requisitos que vemos deben tenerse en cuenta son los que no son
excluibles de cualquier implementación, lo apartados del 4 al 8, estos son:
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
4 Contexto de la organización
Aquí hablamos de los problemas externos que tiene la empresa, identificamos y definimos necesidades
de las partes interesadas con relación a la seguridad de la información y las expectativas creadas por
el Sistema de Gestión de Seguridad de la Información
5 Liderazgo
Garantiza la disponibilidad de los recursos y así implantación del SGSI ,habla de los roles y
responsabilidades de la seguridad de información
6 Planeación
está enfocada en los objetivos de la seguridad, estos deben estar de manera clara .Evaluamos los
riesgos, miramos la probabilidad de que suceda un riesgo y cuáles son las consecuencias del mismo
Cambiamos el termino propietario del activo por el término propietario del riesgo.
7 Soportes
En esta sección los requisitos para mejorar el sistema de gestión de seguridad de información requieren
de recursos, personal idóneo para realizar actividades y comunicación entre si
8 Operación
en esta parte los requisitos van orientados a medir la funcionalidad del Sistema de Gestión de Seguridad
de la Información, todas las expectativas de la gerencia de la organización y la retro alimentación sobre
estas, además de cumplir con la norma ISO 27001: 2013.A, el pilar de este proceso se centra en realizar
las evaluaciones de riesgos de seguridad de la información de forma periódica por medio de un
programa elegido.
Estos hablan de temas que no son excluidos, como que es y cuál debe ser el contexto para el sistema
de gestión de la seguridad de la información, la responsabilidad de la dirección, Las auditorias internas
del SGSI, La revisión del SGSI por los directivos y la mejora continua.
Estos requisitos se ven reflejados en la práctica con la construcción e implementación de políticas,
procedimientos y registros.
Las políticas, son las guías generales para saber como actuar en cada caso que se exija dentro del
normal funcionamiento del SGSI. Los procedimientos, son los que dejan claras las INSTRUCCIONES
para ejecutarlas con tareas previstas y planeadas. Finalmente, los registros son todas las evidencias que
se tienen de las actuaciones realizadas en la gestión del sistema.
Usuarios: Son el eslabón débil de la cadena de la seguridad, son los clientes finales de los productos y
servicios que ofrece la tecnología. Por tanto, se deben educar y culturizar con el objeto de que empleen
métodos y estrategias para mitigar el número de incidentes de seguridad.
Creadores de sistemas: Es una persona con altos conocimientos de software, que se encarga de
incorporar los requisitos o necesidades de los usuarios, en entornos y ambientes digitales que hagan
mas manejable su uso, entre las propiedades que deben tener los sistemas, se encuentran los principios
de seguridad informática de confidencialidad, autenticación, integridad, no repudiación y
disponibilidad.
Gerentes: Son aquellas personas que tienen la iniciativa de direccionar y gestionar las medidas de
protección necesarias para proteger y salvaguardar la información y datos de sus clientes y de la
empresa, implantando una política como mecanismo de seguridad que debe exigirse en la empresa.
Cracker: Es una persona con altos conocimientos en sistemas, que usa estos en beneficio propio o de
terceros, causando perjuicios a sus víctimas.
Hacker: Es una persona con altos conocimientos en sistemas, que se vale de estos con el fin de
desarrollar técnicas de mejora, en beneficio de la seguridad de los sistemas de una empresa.
Administradores de T.I.: Son los que tienen la responsabilidad de vigilar a los otros roles, valiéndose
de herramientas de gestión de seguridad informática con el fin de brindar soluciones a los problemas
complejos de seguridad.
Metodologías
de gestión de Ventajas Desventajas
riesgos
• Se le considera con un alcance
• El hecho de tener que traducir de
completo, tanto en el análisis como
forma directa todas las
en la gestión de riesgos. - Posee un
valoraciones en valores
extenso archivo de inventarios en lo
económicos hace que la
referente a Recursos de Información,
aplicación de esta metodología
Amenazas y tipo de Activos -
MAGERIT sea realmente costosa. - No
Permite un análisis completo
involucra a los procesos, recursos
cualitativo y cuantitativo - De
ni vulnerabilidades como
carácter Público. - No requiere
elementos del modelo a seguir -
autorización previa para su uso. Es
No posee un inventario completo
una metodología líder en España,
en lo referente a Políticas
con buenos referentes de aplicación
• Estándar internacional, lo que le
faculta mayor aceptación - Posee una
cláusula completa orientada a la
• - No detalla la forma de valorar
monitorización y revisión de riesgos
las amenazas. - No es certificable
- Se la considera con un alcance
ISO27005 - No posee herramientas, técnicas,
completo, tanto en el análisis como
ni comparativas de ayuda para su
en la gestión de Riesgos - Posee la
implementación
fase de aceptación de riesgos, previa
su justificación. - Permite un análisis
completo cuantitativo
• Cuando la empresa es demasiado
pequeña o no tiene la capacidad ni
la formación para llevar a cabo
• En la apreciación de riesgos se
estas tareas, la dirección puede
identifican, analizan y se establecen
apoyarse en los servicios de una
cuáles son los más importantes. Se
ISO31000 consultora requiere de una labor
evalúan cualitativa y
previa de empalme en la que el
cuantitativamente, para proceder a
personal que realizará la
tratarlos.
evaluación se pone al día en todo
lo relacionado a la Gestión de
Riesgos
• Es una metodología auto dirigida, es
decir, la organización gestiona y • No toma en cuenta el principio de
dirige la evaluación de sus riesgosa no repudio de la información
través de un equipo como objetivo de seguridad. - Usa
multidisciplinario. - Comprende los muchos documentos anexos para
procesos de análisis y gestión de llevar a cabo el proceso de
riesgos. - Involucra a todo el análisis de riesgos, lo que la hace
OCTAVE
personal de la entidad. - Se considera tediosa, complicada de entender. -
de las más completas, ya que Requiere de profundos
involucra como elementos de su conocimientos técnicos. - No
modelo de análisis: procesos, activos explica en forma clara la
y dependencias, recursos, definición y determinación de los
vulnerabilidades, amenazas y activos de información
salvaguardas.
• Tiene una aplicabilidad • Hay que pagar el costo de la
internacional. licencia adicionalmente al costo
NIST 800-30
• Facilita también la certificación de la implementación del análisis
ISO17999 y del mantenimiento.
• Maneja varios niveles de valoración
de impacto y riesgo lo cual es bueno
• Hay que pagar el costo de la
para empresas en donde se están
licencia adicionalmente al costo
CRAMM conociendo su infraestructura
de la implementación del análisis
• Se puede aplicar a nivel
y del mantenimiento.
internacional en la versión CRAMM
5.1
• Tiene una gran cantidad de
herramientas para la aplicabilidad
• Facilita la certificación BS 7799 e
ISO 17999
• Sólo toma en cuenta los principios
de confidencialidad, integridad y
disponibilidad de la información
como objetivos de seguridad,
dejando a un lado el no repudio. -
• Usa un modelo de análisis de riesgos La recomendación de los
MEHARI
cualitativo y cuantitativo controles no la incluye dentro del
análisis de riesgos sino en la
gestión de los riesgos. - La
estimación del impacto se realiza
en el proceso de gestión y
evaluación de riesgos
- Posee diferentes herramientas - No realiza análisis de
CORAS de apoyo para el análisis de riesgos, riesgos cuantitativos.
un editor gráfico para soportar la
elaboración de los modelos basado • No tiene contemplados elementos
en Microsoft Visio y utiliza lenguaje como los procesos y las
gráfico basado en UML. dependencias.
- Provee un repositorio de
paquetes de experiencias
reutilizables.
- Útil en el desarrollo y
mantenimiento de nuevos sistemas.
Cuando hablamos de articulación de los controles y sus tipos es importante tener en cuenta que esto
tiene directa relación con la aplicabilidad y para esto el siguiente cuadro presenta aspectos que son
indispensables para que esta articulación y la aplicabilidad des un éxito en el proceso del SGSI.
Normas para
Estándares Directrices Procedimientos Políticas
el SGSI
Es también llamado es una
normalización y se actividad
define como el orientada en
Una directriz
proceso de elaborar, forma Como normas
es una norma
aplicar y mejorar las ideológica a la para el SGSI
o una
normas que se toma de están reunidas
instrucción
aplican a distintas decisiones de en todas las
que se tiene
actividades un grupo para normas que
en cuenta
científicas, Son el conjunto alcanzar contiene la
para realizar
industriales o de acciones u ciertos 27000.
una cosa.
económicas, con el operaciones que objetivos.
También se
fin de ordenarlas y tienen que También Una norma es
trata de
mejorarlas. realizarse de la puede definirse una regla que
aquello que
misma forma, como una debe ser
fija cómo se
También es para obtener manera de respetada y
Diferencias
producirá
conocido como el siempre el mismo ejercer el que permite
algo. Las
proceso de formular resultado bajo las poder con la ajustar ciertas
directrices,
y aplicar reglas, mismas intención de conductas o
por lo tanto,
para una circunstancias. resolver o actividades. En
sientan las
aproximación minimizar el el ámbito del
bases para el
ordenada a una choque entre derecho, una
desarrollo de
actividad específica, los intereses norma es un
una actividad
para el beneficio y encontrados precepto
o de un
con la cooperación que se jurídico.
proyecto.
de todos los producen
involucrados. dentro de una
sociedad.
En la práctica
Una directriz
Según la ISO es la consiste en seguir
se dice de
actividad que tiene ciertos pasos
aquello que
por objeto predefinidos para
marca las
establecer, ante desarrollar una
condiciones
problemas reales o labor de manera
potenciales, en que se eficaz. Su
disposiciones genera algo. objetivo debería
destinadas a usos ser único y de
comunes y fácil
repetidos, con el fin identificación,
de obtener un nivel aunque es posible
de ordenamiento que existan
óptimo en un diversos
contexto dado, que procedimientos
puede ser que persigan el
tecnológico, mismo fin, cada
político, o uno con
económico. estructuras y
etapas diferentes,
y que ofrezcan
más o menos
eficiencia.
Para el caso de programas la descripción se debe presentar como actividades y no como software.
Políticas de seguridad
Programas Procesos
informática
Un programa es una forma Un proceso es una secuencia Una Política es una declaración
específica de llevar a cabo un de pasos dispuesta con algún de alto nivel requerida por todos
proceso o una actividad. Los tipo de lógica que se enfoca los estándares de mayor
programas pueden ser en lograr algún resultado reconocimiento tales como ISO
documentados. específico. 9001, ISO 14001 y OHSAS
18001.
Algunos programas que Los procesos son mecanismos
podemos encontrar en de comportamiento que Las políticas:
algunas normativas son: diseñan los hombres para • Son directrices que debe ser
mejorar la productividad de captada por todos los
• Evaluación algo, para establecer un orden miembros de la empresa.
• Planificación o eliminar algún tipo de • Esta especificado las normas y
• Documentación problema. responsabilidades de cada
• Organización trabajador
• Presentación • Son alineamientos que deben
• Despliegue ser seguidas antes de tomar
alguna decisión
• Se pueden implementar en el
logro de los objetivos de la
empresa como estrategias
• Deben ser dictadas por un
nivel jerárquico
• Se dividen en Políticas
Generales y Políticas
Específicos
2. Una vez realizado lo anterior y respondiendo a ese objetivo de negocio, se solicita establecer
un posible alcance que abarque (procesos involucrados, ubicaciones incluidas, etc.) y de esta
forma justificar el SGSI en la empresa.
Para la gestión de la certificación y basados en los alcances de la organización hemos decidido que
vamos a certificar los procesos están en directa relación con los clientes y las ventas, como son el área
operativa y de seguridad y el área comercial y de mercadeo.
Sabemos que esto asegurara la confianza y nos dejara muchas oportunidades en la consecución de
contratos con empresas grandes de los sectores que nos interesan, como son Financiero cooperativas,
salud y educación.
El resultado del informe entregado tras pasar la pre-auditoría, se detectaron e identificaron deficiencias
en los siguientes controles:
1. Roles y responsabilidades en seguridad de la información
No se tienen definidas las capacidades necesarias para desempeñar los roles de la organización, en
especial para el responsable de seguridad. De igual forma no se tiene identificados los activos y su
responsable que garantice su protección.
Solución: Para este punto se tendrá el apoyo del área de RRHH el cual nos dará las directrices para la
creación y construcción de las roles y perfiles de los funcionarios y desde la seguridad de la
información nos basaremos en el Dominio 6. en su punto 6.1.1 organización interna en roles y
responsabilidades para la seguridad de la información.
2. Concienciación, educación y capacitación en seguridad de la información.
No existe un programa de capacitación para los grupos técnicos respecto a los procedimientos que se
deben seguir y/o cumplir, ni se realizan cursos de concienciación globales en temas de seguridad de la
información.
Solución: Teniendo en cuenta que las áreas involucradas son las de operativo y seguridad y las de
mercadeo y ventas tomamos inicialmente a todos estos funcionarios y los involucraremos en un pan
de capacitación en temas de seguridad de la información, ciber seguridad alineándonos al dominio. 7
en su punto 7.2.2 donde se debe tomar conciencia de la educación y capacitación en el tema.
3. Clasificación de la información.
No se ha establecido y definido un sistema de clasificación de la información para la protección de la
misma.
Solución: El dominio a alinear será: 8 de gestión de activos en su numeral 8.2.1 que habla de la
clasificación de la información en la seguridad de la información. Con planes de identificación de los
datos de cada equipo generando inventarios liderados por lo directores de área en todos los
computadores y archivos físicos de la empresa. basados en estos inventarios se darán las categorías
respectivas y se sacara un acta.
4. Política de control de acceso.
Se detectó que existe acceso global por parte de todos los usuarios a las principales aplicaciones de
negocio de la entidad.
Solución: El dominio que se usará ser ale 5: en la creación de las políticas respectivas, su numeral
5.1.1 de seguridad de la información en las políticas y 9 en la gestión de acceso en el numeral 9.1,1,
de la creación de la política específica para este dominio cuando vemos que en las pruebas se ha logrado
llegar a tener accesos en los recursos compartidos como carpetas de algunas máquinas de la parte
contable y administrativa.
REFERENCIAS
Luis Gómez Fernández, and Ana Andrés Álvarez, AENOR - Asociación Española de Normalización y
Certificación, 2012-01-01, Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad
en sistemas de información para pymes.
Abraham Mogollón, Análisis Comparativo: Metodologías de análisis de Riesgos, recuperado de:
https://www.academia.edu/14195886/An%C3%A1lisis_Comparativo_Metodolog%C3%ADas_de_an%C
3%A1lisis_de_Riesgos
Ramiro Cid, Análisis de Riesgos, recuperado de: https://es.slideshare.net/RamiroCid/anlisis-de-riesgos-
26199990
La normalización o estandarización, recuperado de: https://es.wikipedia.org/wiki/Normalizaci%C3%B3n
El procedimiento, concepto recuperado de: https://es.wikipedia.org/wiki/Procedimiento y recuperado de:
https://definicion.de/procedimiento/
Procesos del SGSI, recuperado de: https://www.gb-advisors.com/es/6-pasos-para-implementar-sgsi/
Gestión de riesgos organizacionales con iso31000, recuperado de: https://www.isotools.org/pdfs-
pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf?_hsenc=p2ANqtz-8fGjSJB5wNPn9ayOF-
fHHNJZeVOzby4CAj5Op4XTBIyqAfj-
eX6f3drEonaU9N7moQQMVnA77aEW6DMZ5MMiBYgoxHmg&_hsmi=25816197
Helena Alemán Novoa, C. R. (s.f.). http://hemeroteca.unad.edu.co. Obtenido de
http://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/1435/1874
Jimenez, D. P. (24 de abril de 2016). blog.davidpachecojimenez.com/. Obtenido de
https://blog.davidpachecojimenez.com/niveles-de-seguridad-informatica-orange-book/
Kosutic, D. (s.f.). advisera.com. Obtenido de https://advisera.com/27001academy/es/knowledgebase/lista-
de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/
MINEDUCACIÓN. (s.f.). www.mineducacion.gov.co. Obtenido de
https://www.mineducacion.gov.co/1759/articles-322548_Manual_de_Seguridad_Informatica_.pdf
Plataforma educativa aragonesa. (2016). http://e-ducativa.catedu.es/. Obtenido de http://e-
ducativa.catedu.es/44700165/aula/archivos/repositorio/1000/1063/html/31_polticas_de_seguridad.html