ISO 27001 SGSI

Estndar de seguridad informtica
ISO/IEC 27001
ESTNDARES DE SI
El estndar para la seguridad de la informacin ISO/IEC 27001, fue
aprobado y publicado como un estndar internacional por la ISO y la IEC
(International Organization for Standardization, International Electrotechnical
Commission).
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).
ESTNDARES DE SI
En Chile, se emple la ISO/IEC 17799:2005 (Actualmente ISO/IEC 27002)
para crear una norma que establece las caractersticas mnimas obligatorias de
seguridad y confidencialidad que deben cumplir los documentos electrnicos de
los rganos de la Administracin del Estado de la Repblica de Chile.
Proporciona recomendaciones de las mejores prcticas en la gestin de
la seguridad de la informacin a todos los interesados y responsables en
iniciar, implantar o mantener sistemas de gestin de la seguridad de la
informacin.
ESTNDARES DE SI
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que
puede tener una duracin entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la informacin y el alcance, entendiendo por alcance
el mbito de la organizacin que va a estar sometido al Sistema de Gestin de
la Seguridad de la Informacin ( en adelante SGSI) elegido.
En general, es recomendable la ayuda de consultores externos.
ESTNDARES DE SI
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un sistema de gestin de la seguridad de la informacin (SGSI) segn
el conocido como Ciclo de Deming conocido como PDCA que
significa: Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
Es consistente con las mejores prcticas descritas en ISO/IEC 27002,
anteriormente conocida como ISO/IEC 17799
ESTNDARES DE SI
La certificacin de un SGSI es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita el sistema,
determinando su conformidad con ISO/IEC 27001, su grado de implantacin
real y su eficacia y, en caso positivo, emite el correspondiente certificado.
En resumen, ISO/IEC 27001 es una norma internacional, que establece
requisitos relacionados con los Sistemas de Gestin de Seguridad de la
Informacin SGSI.

SGSI
La gestin de seguridad debe ser un proceso sistemtico,
documentado y conocido por toda la institucin.
Es imposible garantizar un nivel de proteccin
Tener el dinero no es suficiente.

SGSI
Un sistema de gestin de la seguridad de la informacin garantiza que
los riesgos de la seguridad de la informacin sean:

Conocidos
Asumidos
Gestionados y minimizados
SGSI
El proceso de cambio debe ser:
Documentado
Sistemtico
Estructurado
Repetible
Eficiente
y flexible a los cambios que se produzcan en los riesgos, el
entorno y las tecnologas.

SGSI
Informacin: todo conjunto de datos organizados que posean valor para una
institucin, independiente de la forma en que se almacene o transmita, de su
origen o de la fecha de elaboracin.
Fuentes de almacenamiento o transmisin:
Escrita
Imgenes
Oral
Impresa en papel
Almacenamiento digital
Proyectada
Correo electrnico o convencional
Etc.
SGSI
La seguridad de la informacin consiste en el cuidado de la
confidencialidad, integridad y disponibilidad.

Con respecto a la transmisin de la informacin se adhieren
conceptos como: autenticacin y no repudio.

SGSI
Confidencialidad: la informacin no est disponible a personas,
entidades o procesos no autorizados.
Integridad: La informacin se mantiene sin modificaciones, exacta y
completa. Se debe constar con mecanismos que no permitan la
modificacin de la informacin y si es modificada que el receptor pueda
detectar la alteracin.
Disponibilidad: Acceso a la informacin y a los sistemas por personas
autorizas en el momento que la requieran.
Autenticacin: que la persona que accede a la informacin o sistema
sea quien dice ser.
No Repudio: ninguna de las dos partes involucradas en la transferencia
de la informacin puede negar que particip en la comunicacin de esta.
SGSI
Para asegurar la correcta gestin de la seguridad de la Informacin se
debe(n) utilizar proceso(s) sistemtico(s), documentado(s) y
conocidos por toda la organizacin o institucin.
El proceso general que involucra todas las actividades o eventos
nombrados anteriormente constituyen un SGSI.
SGSI
Mantener niveles de competitividad
Rentabilidad
Conformidad Legal
Imagen empresarial
Cumplir con los objetivos propuestos por la organizacin
Asegurar beneficios econmicos

Por lo tanto la informacin, los procesos y los
sistemas que hacen uso de ella pasan a ser activos
muy importantes de la organizacin.
UTILIDAD DE UN SGSI
Mientras la tecnologa avanza
las organizaciones y sus
sistemas de informacin
sufren un elevado nmero de
intrusiones que aprovechan
cualquier vulnerabilidad de
sistema.
Ests intrusiones tiene como
objetivo manipular, daar o
robar los activos crticos de
informacin: fraude,
espionaje, sabotaje, etc.

UTILIDAD DE UN SGSI
Las intrusiones ms conocidas son:
Virus
Malwares
DDoS
Gusanos,
Troyanos
El usuario interno (voluntaria o involuntariamente)
Catstrofes naturales
Fallos tcnicos
UTILIDAD DE UN SGSI
Bajo este contexto los SGSI juegan un papel muy importante, pues ayudan
al:
Cumplimiento de las polticas de la organizacin,
Adaptacin dinmica y puntual a las condiciones establecidas por las
polticas de la organizacin
Proteger adecuadamente los objetivos del negocio para:
Obtener el mximo beneficio
Aprovechar nuevas oportunidades de negocio

UTILIDAD DE UN SGSI
Es importante recalcar que el nivel de seguridad que se consigue con
sistemas tcnicos es limitado. La seguridad no pasa por la instalacin de
cortafuegos, encriptacin de datos, ocultacin de redes, sistemas de
autenticacin, etc.
Un nivel adecuado (presupuesto TI) de seguridad se consigue, sumando a
los sistemas tcnicos de seguridad, gestionando la seguridad de forma
transversal a la organizacin (directorio, gerencia, empleados, clientes,
proveedores)

UTILIDAD DE UN SGSI
Para lograr los objetivos de un SGSI, ste debe definir:
Procedimientos de accin para los procesos que integrarn el SGSI.
Planificacin e implementacin de procedimientos de seguimiento y
control evaluados con mtricas basadas en riesgos y eficacia de
estas procedimientos.
UTILIDAD DE UN SGSI
Para medir los riesgos hay que observar 6 factores crticos:
Activos: tienen valor?
Valor de los activos: aumentan los riesgos y si ocurre el riesgo tendr gran
impacto en la organizacin.
Vulnerabilidades: aumentan los riesgos y exponen los activos.
Amenazas: se aprovechan de las vulnerabilidades de la organizacin y
aumentan los riesgos.
Requerimientos de seguridad: se generan de los riesgos descubiertos en la
auditoria y generan procesos de control y seguimiento.
Controles: Protegen a la organizacin de las amenazas internas o externas y
en consecuencia disminuyen los riesgos.

UTILIDAD DE UN SGSI
El uso de SGSI ayuda a establecer polticas y procedimientos que permitan el
cumplimiento de los objetivos de la organizacin en relacin al nivel de riesgo
que la organizacin ha decidido asumir, globalmente.
Hay que tener especialmente cuidado que las polticas creadas para el SGSI
estn alineados a la estrategia de la organizacin.
UTILIDAD DE UN SGSI
As el SGSI ayuda a que la organizacin conozca el nivel de riesgo que
se adopta para la informacin que se encuentra en esta.
La organizacin conociendo el nivel de seguridad adoptado asume,
transfiere, controla y hace seguimiento, revisa y modifica para un mejora
constante de los procesos generados para la gestin de seguridad
mediante una sistemtica definida, documentada y conocida por todos.
UTILIDAD DE UN SGSI
El xito de la implantacin de un SGSI depende:
Una auditoria previa de la organizacin
De que ste sea adecuado al negocio de la organizacin (estndares y
herramientas)
Del dueo del proyecto de implantacin del SGSI
Conocimiento de la organizacin de la implementacin del SGSI (tener
el apoyo completo de la organizacin)
QU INCLUYE UN SGSI
Basados en sistemas de documentacin de los estndares de calidad
podemos interpolar que un SGSI obedece al siguiente esquema:
ISO 27000
La informacin es un activo valioso y en la mayora de los
casos se convierte en un activo crtico para el xito y la
continuidad del negocio.

Bajo este contexto, el aseguramiento de dicha informacin y
de los sistemas que la procesan es, por tanto, un objetivo de
primer nivel para la organizacin.

ISO 27000
Para la adecuada gestin de la seguridad de la informacin, es
necesario implantar un sistema que aborde esta tarea:
metdicamente
documentada
y basada en objetivos claros de seguridad y en la evaluacin de los
riesgos a los que est sometida la informacin de la organizacin.

Una solucin a esta problemtica es ISO/IEC 27000

ISO (International Organization for Standardization)
IEC (International Electrotechnical Commission)
ISO 27000
ISO/IEC 27000 es un conjunto de estndares que
proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin,
pblica o privada, grande o pequea y transversal a sta.

ISO 27000: ORIGEN
1901, BSI (British Standards Institution) primera entidad de
normalizacin es responsable de la publicacin de importantes
normas como:
BS 5750. Publicada en 1979. Origen de ISO 9001
BS 7750. Publicada en 1992. Origen de ISO 14001
BS 8800. Publicada en 1996. Origen de OHSAS 18001

La norma BS 7799, buenas prcticas para la gestin de la
seguridad de informacin, aparece en 1995.

ISO 27000: ORIGEN
BS 7799-1 es slo una gua de buenas prcticas y no
establece ningn esquema de certificacin.

BS 7799-2, publicada en 1998, la que establece los requisitos
de un SGSI para ser certificable por una entidad
independiente.

BS 7799-1 y 2 son revisadas (1999) y se adopta BS 7799-1
(2000) por ISO sin cambios sustanciales, como ISO 17799.
ISO 27000: ORIGEN
2002, se somete a revisin BS 7799-2 para adecuarse a la
filosofa de normas ISO de sistemas de gestin.

2005, con ms de 1700 empresas certificadas en BS 7799-2,
la norma es adoptada ISO como estndar ISO 27001.

Al tiempo se revis y actualiz ISO 17799. Esta ltima norma
se renombr como ISO 27002:2005 (2007), manteniendo el
contenido as como el ao de publicacin formal de la revisin.

ISO 27000: FAMILIA 27000
ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una
visin general de las normas que componen la serie 27000,
una introduccin a los Sistemas de Gestin de Seguridad de la
Informacin, una breve descripcin del ciclo Plan-Do-Check-
Act y trminos y definiciones que se emplean en toda la serie
27000.
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestin de seguridad de la
informacin. Es la norma con la cual se certifican por auditores externos
los SGSIs de las organizaciones.
En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005, para que sean seleccionados
por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementacin de todos los controles enumerados en dicho
anexo, la organizacin deber argumentar slidamente la no aplicabilidad
de los controles no implementados.
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO
17799:2005, manteniendo 2005 como ao de edicin.
Es una gua de buenas prcticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la
informacin.
No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados
en 11 dominios.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010.
No certificable.
Es una gua que se centra en los aspectos crticos necesarios
para el diseo e implementacin con xito de un SGSI de
acuerdo ISO/IEC 27001:2005.
Describe el proceso de especificacin y diseo desde la
concepcin hasta la puesta en marcha de planes de
implementacin, as como el proceso de obtencin de
aprobacin por la direccin para implementar un SGSI.
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009.
No certificable.
Es una gua para el desarrollo y utilizacin de mtricas y
tcnicas de medida aplicables para determinar la eficacia de
un SGSI y de los controles o grupos de controles
implementados segn ISO/IEC 27001.
ISO/IEC 27005:
Publicada en segunda edicin el 1 de Junio de 2011.
No certificable.
Proporciona directrices para la gestin del riesgo en la
seguridad de la informacin.
Apoya los conceptos generales especificados en la norma
ISO/IEC 27001 y est diseada para ayudar a la aplicacin
satisfactoria de la seguridad de la informacin basada en un
enfoque de gestin de riesgos
ISO/IEC 27006:
Publicada en segunda edicin el 1 de Diciembre de 2011.
Especifica los requisitos para la acreditacin de entidades de
auditora y certificacin de sistemas de gestin de seguridad
de la informacin.
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011.
No certificable.
Es una gua de auditora de un SGSI, como complemento a lo
especificado en ISO 19011.
ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011.
No certificable.
Es una gua de auditora de los controles seleccionados en el
marco de implantacin de un SGSI.
ISO/IEC 27010:
En fase de desarrollo, con publicacin prevista en 2012.
Es una norma en 2 partes, que consistir en una gua para la
gestin de la seguridad de la informacin cuando se comparte
entre organizaciones o sectores.
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008.
Es una gua de interpretacin de la implementacin y gestin
de la seguridad de la informacin en organizaciones del sector
de telecomunicaciones basada en ISO/IEC 27002.
Est publicada tambin como norma ITU-T X.1051.
ISO/IEC 27013:
Consistir en una gua de implementacin integrada de
ISO/IEC 27001 (gestin de seguridad de la informacin) y de
ISO/IEC 20000-1 (gestin de servicios TI).
ISO/IEC 27014:
Consistir en una gua de gobierno corporativo de la seguridad
de la informacin.

ISO/IEC 27015:
Consistir en una gua de SGSI para organizaciones del
sector financiero y de seguros.
ISO/IEC TR 27016:
Consistir en una gua de valoracin de los aspectos
financieros de la seguridad de la informacin.
ISO/IEC 27017:
Consistir en una gua de seguridad para Cloud Computing.
ISO/IEC 27031:
Publicada el 01 de Marzo de 2011.
No certificable.
Es una gua de apoyo para la adecuacin de las tecnologas
de informacin y comunicacin (TIC) de una organizacin para
la continuidad del negocio.
ISO/IEC 27032:
Consistir en una gua relativa a la ciberseguridad.
ISO/IEC 27033:
Parcialmente desarrollada, dedicada a la seguridad en redes, consistente en 7
partes:
27033-1, conceptos generales
27033-2, directrices de diseo e implementacin de seguridad en redes
27033-3, escenarios de referencia de redes
27033-4, aseguramiento de las comunicaciones entre redes mediante
gateways de seguridad
27033-5, aseguramiento de comunicaciones mediante VPNs
27033-6, convergencia IP
27033-7, redes inalmbricas.
ISO/IEC 27034:
Parcialmente desarrollada, dedicada la seguridad en
aplicaciones informticas, consistente en 5 partes:
27034-1, conceptos generales
27034-2, marco normativo de la organizacin
27034-3, proceso de gestin de seguridad en aplicaciones
27034-4, validacin de la seguridad en aplicaciones
27034-5, estructura de datos de protocolos y controles de
seguridad de aplicaciones.
ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una gua
sobre la gestin de incidentes de seguridad en la informacin.
ISO/IEC 27036:
En fase de desarrollo, con publicacin prevista en 2013/2014.
Consistir en una gua en cuatro partes de seguridad en las
relaciones con proveedores:
27036-1, visin general y conceptos
27036-2, requisitos comunes
27036-3, seguridad en la cadena de suministro TIC
27036-4, seguridad en outsourcing (externalizacin de
servicios).
ISO/IEC 27037:
En fase de desarrollo, con publicacin prevista en 2013/2014.
Consistir en una gua de identificacin, recopilacin y
custodia de evidencias digitales.
ISO/IEC 27038:
Consistir en una gua de especificacin para seguridad en la
redaccin digital.
ISO/IEC 27039:
Consistir en una gua para la seleccin, despliegue y operativa de
sistemas de deteccin y prevencin de intrusin (IDS/IPS).

ISO/IEC 27040:
Consistir en una gua para la seguridad en medios de
almacenamiento.
ISO 27799:
Publicada el 12 de Junio de 2008.
Es una norma que proporciona directrices para apoyar la
interpretacin y aplicacin en el sector sanitario de ISO/IEC
27002, en cuanto a la seguridad de la informacin sobre los
datos de salud de los pacientes.
ISO 27000: BENEFICIOS
Establecimiento de una metodologa de gestin de la
seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de
informacin.
Los clientes tienen acceso a la informacin a travs medidas
de seguridad.

Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratgicos por la garanta de
calidad y confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar las
debilidades del sistema y las reas a mejorar.

Posibilidad de integrarse con otros sistemas de gestin (ISO
9001, ISO 14001, OHSAS 18001).
Continuidad de las operaciones necesarias de negocio tras
incidentes de gravedad.
Conformidad con la legislacin vigente sobre informacin
personal, propiedad intelectual y otras.

Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Confianza y reglas claras para las personas de la
organizacin.
Reduccin de costes y mejora de los procesos y servicio.

Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos en
vez de en la compra sistemtica de productos y tecnologas.

ISO 27000: ADAPTACIN
Arranque del proyecto
Compromiso de la Direccin: apoyo claro y decidido de la
Direccin de la organizacin.
Generar el cambio de cultura y concienciacin que lleva
consigo el proceso de cambio.
Planificacin, fechas, responsables: el tiempo y el esfuerzo
invertidos en esta fase multiplican sus efectos positivos sobre
el resto de fases.
Planificacin
Definir alcance del SGSI: recomendable empezar por un alcance
limitado. Es importante disponer de un mapa de procesos de
negocio, para definir: interfaces con el exterior del alcance,
determinar las terceras partes, crear mapas de alto nivel de redes
y sistemas, ubicaciones fsicas, requisitos legales y contractuales,
etc.
Definir poltica del SGSI: en base a los objetivos de seguridad de
la informacin de la organizacin, que est alineada con la
gestin de riesgo general, establezca criterios de evaluacin de
riesgo y sea aprobada por la Direccin. Nivel: "declaracin de
intenciones .
Planificacin
Definir el enfoque de evaluacin de riesgos: definir una
metodologa de evaluacin de riesgos apropiada para el SGSI.
ISO 27001 no impone ninguna ni da indicaciones de detalle,
aunque ISO 27005 s profundiza en directrices sobre la
materia.
Inventario de activos: todos aquellos activos de informacin
que tienen algn valor para la organizacin.
Planificacin
Identificar amenazas y vulnerabilidades: todas las que afectan
a los activos del inventario.
Identificar los impactos: los que podra suponer una prdida de
la confidencialidad, la integridad o la disponibilidad de cada
uno de los activos de informacin.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante
de un fallo de seguridad y la probabilidad de ocurrencia del
fallo; tratamiento.
Planificacin
Identificar y evaluar opciones para el tratamiento del riesgo:
mitigacin, eliminacin, aceptacin o transferencia.
Seleccin de controles: tratamiento el riesgo. Utilizar para ello
los controles del Anexo A de ISO 27001.
Aprobacin por parte de la Direccin del riesgo residual y
autorizacin de implantar el SGSI: El riesgo residual es el que
queda, an despus de haber aplicado controles (el "riesgo
cero" no existe).
Planificacin
Confeccionar una Declaracin de Aplicabilidad: la llamada
SOA (Statement of Applicability) es una lista de todos los
controles seleccionados y la razn de su seleccin.

Implementacin
Definir plan de tratamiento de riesgos: identificar acciones,
recursos, responsabilidades y prioridades en la gestin de los
riesgos.
Implantar plan de tratamiento de riesgos: con la meta de
alcanzar los objetivos de control identificados.
Implementar los controles: todos los que se seleccionaron en
la fase anterior.
Formacin y concienciacin: plan de comunicacin y
capacitacin.
Implementacin
Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que
se le asignen.
Implantar procedimientos y controles de deteccin y respuesta
a incidentes de seguridad.

Seguimiento
Ejecutar procedimientos y controles de monitorizacin y
revisin: para detectar errores, brechas e incidentes de
seguridad, control de actividades, etc.
Revisar regularmente la eficacia del SGSI: en funcin de los
resultados de auditoras de seguridad.
Medir la eficacia de los controles: para verificar que se cumple
con los requisitos de seguridad.

Seguimiento
Revisar regularmente la evaluacin de riesgos: deben tener
una periodicidad definida por las polticas del SGSI.
Realizar regularmente auditoras internas: para determinar si
los controles, procesos y procedimientos del SGSI mantienen
la conformidad con los requisitos de ISO 27001.
Seguimiento
Revisar regularmente el SGSI por parte de la Direccin: para
determinar si el alcance definido sigue siendo el adecuado y/o
identificar mejoras al proceso del SGSI.
Actualizar planes de seguridad: teniendo en cuenta los
resultados de la monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la
eficacia o el rendimiento del SGSI: sirven como evidencia
documental de conformidad con los requisitos y uso eficaz del
SGSI.
Mejora continua
Implantar mejoras: poner en marcha todas las mejoras que se
hayan propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades
detectadas.
Acciones preventivas: para prevenir potenciales no
conformidades.
Acciones de verificacin de cambio.

Mejora continua
Comunicar las acciones y mejoras: a todos los interesados y
con el nivel adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos
pretendidos: la eficacia de cualquier accin, medida o cambio
debe comprobarse siempre.

AUDITORA INFORMTICA
Consiste en un examen detallado de la estructura de una
empresa, en cuanto a controles y mtodos, su forma de
operacin, sus objetivos y planes, sus equipos fsicos y
humanos.

Es una visin sistemtica y formal con el fin de determinar hasta
que parte una organizacin cumple sus objetivos establecidos
por la empresa, as como para diferenciar los que necesitan
mejorarse
AUDITORA INFORMTICA
Etapas de una Auditora:
Estudio general: estructura organizacional, operaciones, etc.
Ejecucin de la auditora: anlisis (clasificacin de elementos),
inspeccin (comprobacin de tales elementos), confirmacin
(comunicacin con persona independiente de la empresa;
validacin), investigacin (juicio experto) y observacin
(recopilacin de evidencia).
Informe final: Alcance auditora y opinin.
ISO 27000: ASPECTOS CLAVE
Fundamentales
Compromiso y apoyo de la Direccin de la organizacin.
Definicin clara de un alcance apropiado.
Concienciacin y formacin del personal.
Evaluacin de riesgos adecuada a la organizacin.
Compromiso de mejora continua.
Establecimiento de polticas y normas.
Fundamentales
Organizacin y comunicacin.
Gestin adecuada de la continuidad de negocio, de los
incidentes de seguridad, del cumplimiento legal y de la
externalizacin.
Integracin del SGSI en la organizacin.
Factores de xito
La concienciacin del empleado por la seguridad. Principal
objetivo a conseguir.
Realizacin de comits a distintos niveles (operativos, de
direccin, etc.) con gestin continua de no conformidades,
incidentes de seguridad, acciones de mejora, tratamiento de
riesgos
Factores de xito
Creacin de un sistema de gestin de incidencias que recoja
notificaciones continuas por parte de los usuarios (los
incidentes de seguridad deben ser reportados y analizados).
Hay que tener en cuenta que:
La seguridad absoluta no existe, se trata de reducir el riesgo a
niveles asumibles.
La seguridad no es un producto, es un proceso.
Factores de xito
La seguridad no es un proyecto, es una actividad continua y el
programa de proteccin requiere el soporte de la organizacin
para tener xito.
La seguridad debe ser inherente a los procesos de
informacin y del negocio.

Riesgos
Exceso de tiempos de implantacin: con los consecuentes
costes descontrolados, desmotivacin, alejamiento de los
objetivos iniciales, etc.
Temor ante el cambio: resistencia de las personas.
Discrepancias en los comits de direccin.
Delegacin de todas las responsabilidades en departamentos
tcnicos.
Riesgos
No asumir que la seguridad de la informacin es inherente a los
procesos de negocio.
Planes de formacin y concienciacin inadecuados.
Calendario de revisiones que no se puedan cumplir.
Definicin poco clara del alcance. Exceso de medidas tcnicas en
detrimento de la formacin, concienciacin y medidas de tipo
organizativo.
Falta de comunicacin de los progresos al personal de la
organizacin.

Consejos bsicos
Mantener la sencillez y restringirse a un alcance manejable y
reducido: un centro de trabajo, un proceso de negocio clave,
un nico centro de proceso de datos o un rea sensible
concreta; una vez conseguido el xito y observados los
beneficios, ampliar gradualmente el alcance en sucesivas
fases.
Consejos bsicos
Comprender en detalle el proceso de implantacin: iniciarlo en
base a cuestiones exclusivamente tcnicas es un error
frecuente que rpidamente sobrecarga de problemas la
implantacin; adquirir experiencia de otras implantaciones,
asistir a cursos de formacin o contar con asesoramiento de
consultores externos especializados.
Gestionar el proyecto fijando los diferentes hitos con sus
objetivos y resultados.
Consejos bsicos
La autoridad y compromiso decidido de la Direccin de la
empresa -incluso si al inicio el alcance se restringe a un
alcance reducido- evitarn un muro de excusas para
desarrollar las buenas prcticas, adems de ser uno de los
puntos fundamentales de la norma.
Consejos bsicos
La certificacin como objetivo: aunque se puede alcanzar la
conformidad con la norma sin certificarse, la certificacin por
un tercero asegura un mejor enfoque, un objetivo ms claro y
tangible y, por lo tanto, mejores opciones de alcanzar el xito.
Eso s, la certificacin es la "guinda del pastel", no es bueno
que sea la meta en s misma. El objetivo principal es la gestin
de la seguridad de la informacin alineada con el negocio.

Consejos bsicos
No reinventar la rueda: apoyarse lo ms posible en
estndares, mtodos y guas ya establecidos, as como en la
experiencia de otras organizaciones.
Servirse de lo ya implementado: otros sistemas de gestin
(como ISO 9001 para la calidad o ISO 14001 para medio
ambiente) ya implantados en la organizacin son tiles como
estructura de trabajo, ahorrando tiempo y esfuerzo y creando
sinergias; es conveniente pedir ayuda e implicar a
responsables y auditores internos de otros sistemas de
gestin.
Consejos bsicos
Reservar la dedicacin necesaria diaria o semanal: el personal
involucrado en el proyecto debe ser capaz de trabajar con
continuidad en el proyecto.
Registrar evidencias: deben recogerse evidencias al menos
tres meses antes del intento de certificacin para demostrar
que el SGSI funciona adecuadamente. No precipitarse en
conseguir la certificacin.
Consejos bsicos
Mantenimiento y mejora continua: tener en consideracin que
el mantenimiento y la mejora del SGSI a lo largo de los aos
posteriores requerirn tambin esfuerzo y recursos.
OTROS ESTNDARES
- Normas ISO del SC27
- ISO/IEC 20000
- ITIL
- NIST Serie 800
- CobiT
- UNE 71502
- BS 7799-3
- PAS 99
- BS 25999
- BS 25777
- COSO / Sarbanes-Oxley

ISO 27001 SGSI

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ISO 27001 SGSI

Caricato da

Copyright:

Formati disponibili

Estndar de seguridad informtica

Potrebbero piacerti anche