TALLER

INTERPRETACIN DEL SGSI

ISO 27001
En el marco del congreso internacional FreeSecurity
2016, Tuxtepec, Oaxaca, 17 de marzo de 2016

MATI Carmen Daz Novelo, EAT

Carmen.diaz@correo.uady.mx

El objetivo es conocer un modelo de Sistema de Gestin de

Seguridad de la Informacin aplicable a travs de la norma ISO
27001.

Caractersticas:

Este taller permite entender los antecedentes, objetivos,

beneficios y estructura de un sistema de gestin de seguridad
de la informacin ISO 27001.

Este taller est diseado para ayudar a los profesionales

involucrados con la implementacin del SGSI ISO 27001,
Gerentes de Seguridad, Consultores, etc. en entender los
conceptos primordiales y base del estndar que hay que
considerar antes de intentar entender cmo implementar un
SGSI, as como el proceso que tiene que llevarse a cabo para
que una organizacin pueda obtener la certificacin ISO 27001.

Objetivos de Aprendizaje del

Taller

Definir y describir la terminologa comn de la seguridad de la

informacin.

Entender los objetivos del estndar internacional ISO 27001

Conocer los beneficios de implementar el estndar internacional

ISO 27001

Conocer los antecedentes del estndar ISO 27001

Entender la estructura del estndar ISO 27001

Conocer el proceso de certificacin ISO 27001

Tema 1: Introduccin a la
seguridad de la informacin.

Explica el grado de importancia que ha adquirido la

informacin en las organizaciones, define la terminologa
comn de la seguridad de la informacin y explica el
propsito y beneficios de la implementacin del estndar
internacional ISO/IEC 27001.

3. Trminos y definiciones
3.1. Activo
cualquier cosa que tenga valor para la organizacin (ISO/IEC 13335-1:2004)

3.2. Disponibilidad
la propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada (ISO/IEC 13335-1:2004)

3.3. Confidencialidad
la propiedad que esa informacin est disponible y no sea divulgada a
personas, entidades o procesos no-autorizados (ISO/IEC 13335-1:2004)

3.4. Seguridad de informacin

preservacin de la confidencialidad, integridad y disponibilidad de la
informacin; adems, tambin pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-repudio y confiabilidad (ISO/IEC
17799:2005)

3.5. Evento de seguridad de la informacin

una ocurrencia identificada del estado de un sistema, servicio o red
indicando una posible violacin de la poltica de seguridad de la informacin
o falla en las salvaguardas, o una situacin previamente desconocida que
puede ser relevante para la seguridad. (ISO/IEC TR 18044:2004)

3. Trminos y definiciones
3.6. incidente de seguridad de la informacin
un solo o una serie de eventos de seguridad de la informacin no deseados
o inesperados que tienen una significativa probabilidad de comprometer las
operaciones comerciales y amenazan la seguridad de la informacin.
(ISO/IEC TR 18044:2004)

3.7. sistema de gestin de seguridad de la informacin SGSI

esa parte del sistema gerencial general, basada en un enfoque de riesgo
comercial; para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin.

3.8. integridad. la propiedad de salvaguardar la exactitud e integridad

de los activos. (ISO/IEC 13335-1:2004)

3.9. riesgo residual

el riesgo remanente despus del tratamiento del riesgo (ISO/IEC Gua
73:2002)

3.10. aceptacin de riesgo

decisin de aceptar el riesgo (ISO/IEC Gua 73:2002)

3.11. anlisis de riesgo

uso sistemtico de la informacin para identificar fuentes y para estimar
el riesgo (ISO/IEC Gua 73:2002)

3.12. valuacin del riesgo

proceso general de anlisis del riesgo y evaluacin del riesgo (ISO/IEC Gua
73:2002)

3.13. evaluacin del riesgo

proceso de comparar el riesgo estimado con el criterio de riesgo dado para
determinar la importancia del riesgo (ISO/IEC Gua 73:2002)

3.14. gestin del riesgo

actividades coordinadas para dirigir y controlar una organizacin con relacin
al riesgo (ISO/IEC Gua 73:2002)

3.15 tratamiento del riesgo

proceso de tratamiento de la seleccin e implementacin de medidas para
modificar el riesgo (ISO/IEC Gua 73:2002)

3.16. enunciado de aplicabilidad

enunciado documentado que describe los objetivos de control y los controles
que son relevantes y aplicables al SGSI de la organizacin.

Gobierno de TI
El Gobierno de TI es una disciplina relativa a la forma
en la que la alta direccin de las organizaciones dirige
la evolucin y el uso de las tecnologas de la
informacin.
Una definicin formal la podemos encontrar en la
norma ISO/IEC 38500 , que define el gobierno de TI
como "El sistema mediante el cual se dirige y controla
el uso actual y futuro de las tecnologas de la
informacin".

Gobierno de TI
El IT Governance Institute nos dice que "El
Gobierno de TI es responsabilidad del Consejo de
Administracin y la alta direccin. Es una parte
integral del gobierno corporativo y consiste en que
el liderazgo, las estructuras organizativas y los
procesos aseguren que la TI sostiene y extiende los
objetivos y estrategias de la Organizacin".

Por tanto, el gobierno de TI tiene que ver, sobre

todo con la capacidad de la toma de decisiones, la
supervisin y el control de las tecnologas de la
informacin.

TI en la toma de decisiones
La mayora de las organizaciones reconocen el
potencial beneficio que les puede proporcionar la
tecnologa. Las organizaciones exitosas, de cualquier
forma, entienden y administran los riesgos asociados
con la implementacin de nuevas tecnologas.
Existen un nmero importante de cambios en las TI y
en los entornos de operacin que enfatizan la
necesidad de mejorar la administracin de riesgos
de las TI. La dependencia entre la informacin y los
sistemas de TI es esencial para soportar procesos
crticos de cualquier organizacin.

Relacin entre estndares de

TI

Legislaciones como la ley Sarbanes-Oxley y similares alrededor del

mundo han llamado la atencin de las organizaciones para incrementar
sus procesos de gobierno en las TI, ya que estas incluyen una gran
cantidad de requisitos que deben cumplir las organizaciones en
materia de TI.

Mantenerse dentro de los mrgenes de la Ley Sarbanes-Oxley requiere

por parte de las compaas que toda su informacin financiera sea
precisa, est actualizada y sea completamente verificable. En ltima
instancia, el departamento de TI y sus sistemas son los responsables de
generar, soportar y mantener esa informacin. Yendo ms a fondo,
esos mismos sistemas garantizarn la

http://www.microsoft.com/sam/latam/latam/govcompliance.aspx
validez y disponibilidad de los datos.

Seguridad de tecnologas de informacin

Hoy en da la seguridad de las TI es un tema que va tomando fuerza en

las organizaciones, donde las mismas implementan medidas de
seguridad para proteger la informacin y que esta no sea comprometida.

La creacin de puestos CPO y los CSO demuestran la importancia y

cambio de los roles de la seguridad de TI en las organizaciones.

Los datos, software, hardware y redes pueden estar expuestos peligros

dentro y fuera de la organizacin. Una de los principales errores de los
directivos es subestimar las vulnerabilidades y amenazas que en los
servicios de TI: base de datos, sistema, infraestructura, etc.

La proteccin de la infraestructura debe considerar la energa elctrica,

infraestructura, telecomunicaciones, transportacin etc.

Existen hoy en da herramientas de seguridad de TI como puede ser los

sistemas inteligentes, firewalls, deteccin de intrusos, agentes
antivirus, servicios de autenticacin, etc. El anlisis forense es un tipo
de investigacin de fraudes.

Qu es Seguridad de la
Informacin?
La informacin es un activo, como
muchos otros componentes importantes
en una organizacin, tiene un valor dentro
de la organizacin y por consecuencia
requiere ser protegida.
La seguridad de la informacin protege la
informacin de una gran variedad de
amenazas en orden de proteger la
continuidad de la operacin en una
organizacin, minimizar los daos y
maximizar el retorno de la inversin y las
oportunidades.

Qu es Seguridad de la
Informacin?
Se

caracterza por la preservacin de:

Confidencialidad:

Asegurar que la
informacin solo es accesible a quien cuenta
con los privilegios necesarios.

Integridad:

Salvaguardar que la informacin

se encuentre completa y sea precisamente lo
que se espera en base a los procesos de la
misma.

Disponibilidad:

Asegurara que los usuarios

autorizados tengan acceso a la informacin y
los activos asociados en el momento que lo
requiera.

Requerimientos de
Seguridad
Es esencial que una organizacin identifique las
necesidades de seguridad, existen tres fuentes:
El

anlisis de riesgos.

Regulaciones,
Principios

Leyes, requerimientos contractuales.

y objetivos que la organizacin haya definido

Anlisis de riesgos
Cualquier

metodologa puede ser aplicada.

Los

controles sugeridos por el anlisis debern estar

orientados al objetivo de la organizacin.

Las

posibilidades establecidas en el anlisis de riesgo

debern basarse en observaciones reales y vlidas
para la organizacin.

Los

resultados del anlisis debern guiar y

determinar
las
acciones
apropiadas
de
administracin y manejo de los riesgos de seguridad.

El

proceso de evaluacin de riesgos y seleccin

puede ser realizada tantas veces como sea
necesario.

Anlisis de riesgos
Durante el periodo de revisin de los
riesgos de seguridad y la
implementacin de controles es
importante considerar:
Los

cambios de los requerimientos

de la organizacin.

Considerar

nuevos riesgos y
vulnerabilidades.

Confirmar

la efectiva permanencia
de los controles

Tipos de ataques

Ataques pasivos: espionaje de informacin, a travs de

anlisis de trfico de la red hecho de forma oculta (sniffers)
para robo de informacin (como passwords)

Ataques activos: suplantacin de usuarios, spoofing,

manipulacin de secuencias de mensajes -al modificar dicha
secuencia-, modificacin de los mensajes, manipulacin de
los recursos al recargar su uso, reconfiguracin no
autorizada, reprogramacin de sistemas, etctera (acceso no
autorizado, virus, ataques de negacin de servicios, etc.)

Malfuncionamiento de los recursos

Las metas y los requerimientos de seguridad se

establecen a partir de anlisis de amenazas y los
valores (recursos y servicios) que necesitan
proteccin.

Las polticas de seguridad definidas identificarn

los requerimientos de seguridad.

Tema 2: Evolucin del

estndar desde el BS7799
hasta la serie ISO 27000.
Explica como evolucion el estndar
internacional ISO/IEC 27001 a travs del tiempo
presentando brevemente en que consiste el
estndar ISO 17799 y el estndar de buenas
prcticas de seguridad.

Qu es ISO 17799?

Es un estndar internacional de
administracin de seguridad de la
informacin.

Presenta definiciones y alcances en

un lenguaje de alto nivel.

Esta abstraccin permite que sea

aplicable a mltiples tipos de
empresas.

Qu no es ISO 17799?

Un estndar es principalmente una

serie de definiciones conceptuales,
de forma que NO es:
Un

estndar tcnico.

Un

producto o controlador de
Tecnologas

Una

metodologa de evaluacin
como el Common Criteria/ISO
15408

Marco

Conceptual de trabajo de TI.

Antecedentes.

Primer Documento formal elaborado

por BSI (British Standard).

Basado en el BS7799.

Ultima actualizacin en diciembre del

2000.

Existen versiones locales adaptadas

del BS.

BS 7799 Parte 1 (ISO 17799)

versus BS 7799 Parte 2

Parte 1 es una gua de implementacin basada en

sugerencias o las mejores prcticas.

BS 7799 Parte 2, es una gua de auditoria basada en los

requerimientos para obtener la certificacin

Beneficios de ISO17799

Reconocimiento internacional.

Un proceso de evaluacin, implementacin,

mantenimiento y control de la seguridad de la
informacin.

Conjunto de Polticas, Estndares, Procedimientos y

Guas hechos a la medida.

Relacin de ISO 17799 con

otros estndares
Marco de Referencia ISO 17799:
Polticas, Estndares, Procedimientos, administracin

Controles de Seguridad de la Informacin

Common Criteria
Equipment
Assurance Level
(EAL)
ISO 15408

GASSP
Guidelines

GMITS Concepts
ISO 13335

Seleccin de Controles
Una

vez identificados los requerimientos

de seguridad, los controles deben ser
seleccionados
en
base
a
estas
necesidades.
No todos los controles aplican a las
organizaciones, por ejemplo:
Organizaciones pequeas que no puedan
implementar
(8.1.4)
separacin
de
obligaciones.
Entornos donde existe legislacin sobre
privacidad (9.7, 12.1) el manejo de la
evidencia puede presentar limitaciones.

Seleccin de Controles
Los controles deben seleccionarse en
base al costo de implementacin en
relacin al riesgo que reduce y la prdida
potencial si se presentara este.
Factores no econmicos como prdida de
reputacin deben tomarse en cuenta.
Algunos controles del ISO17799 pueden
ser considerados como guas principales
en la administracin y son aplicables a la
mayora de las organizaciones.

Controles esenciales

Protecciones legales

Proteccin de datos y privacidad de la

informacin personal (12.1.4)

Medidas de proteccin a los registros de

la organizacin (12.1.3)

Derechos de propiedad intelectual

(12.1.2)

Controles comunes
Buenas

prcticas

Polticas

de seguridad de la informacin
documentadas.(3.1)
Asignacin de responsabilidades de
seguridad de la informacin. (4.1.3)
Programas de capacitacin sobre
seguridad de la informacin.(6.2.1)
Reportes de incidentes de seguridad.
(6.3.1.)
Administracin de la continuidad de la
organizacin. (11.1)

Controles

ISO 17799 consiste de 10 reas de seguridad.

Polticas de Seguridad

Organizacin de la Seguridad

Administracin y Operacin de
Comunicaciones

Control de Acceso
Clasificacin y Control de Activos.
Desarrollo y mantenimiento de
Aseguramiento del Personal Sistemas
Seguridad Fsica y de Entorno Continuidad de la organizacin
Legalidad.

1.0. Polticas de Seguridad

Proporciona la direccin a los procesos de administracin:

Documento de Polticas de Seguridad.- Conjunto de

sentencias sobre el gobierno y las metas de seguridad
de la organizacin.

Propiedad y Revisin.- Administradas por un comit

de seguridad de la informacin, programa de revisin.

Foro de Administracin de la Seguridad.- Comit

multidisciplinario que discute el estado de la seguridad
de la informacin.

ISSO (Information System Security Officer).- Acta

como punto central de contacto en la direccin de las
lneas de seguridad de la informacin.

Responsabilidades de Seguridad de la
Informacin.- Responsabilidades individuales asignadas
sin presentar ambigedades.

2.0. Organizacin de la Seguridad

Informacin Especializada.- Mantener relaciones o

alianzas con especialistas independientes que
proporcionen experiencia que no se cuente en la
organizacin.

Cooperar con organizaciones.- mantener alianzas

para obtener informacin tcnica, de igual forma con las
autoridades.

Revisiones Independientes.- Desarrollar mecanismos

que permitan la revisin de la eficiencia de la seguridad.

Acceso a Terceros.- Mecanismos para administrar la

interaccin de terceros dentro de la organizacin.

Outsourcing.- Requerimientos de seguridad

contractuales a establecer.

3.0. Clasificacin y Control

de Activos.

Inventario de activos.- Mecanismo

para mantener y actualizar los
inventarios de activos.
Clasificacin.-procedimientos para
identificar los activos en base al impacto
y los requerimientos de seguridad.
Etiquetado.- Identificar sin ambigedad
la clasificacin de los activos.
Manejo de Activos.- Incluyendo la
introduccin, transferencia, eliminacin
de los activos.

4.0. Aseguramiento del

Personal

Seleccin del Personal.- Polticas con aplicacin

legal local y dentro del marco de referencia
cultural sobre la calificacin del personal con
acceso a la informacin de la organizacin.

Responsabilidades de Seguridad.- Procesos de

induccin sobre el cdigo de conducta, as como
los acuerdos de confidencialidad de la
organizacin.

Capacitacin.- Programas de formacin y

capacitacin en materia de seguridad.

Procesamiento.- Procesos conocidos sobre las

consecuencias en caso de violacion a las polticas.

5.0. Seguridad Fsica y de

Entorno
Localidad.-

Identificar las
amenazas del entorno local.

Permetro

fsico.- Los permetros

de seguridad deben definirse de
forma clara.

Control

de Acceso.- Apropiado
control de acceso y salidas
dependiendo del nivel de
clasificacin.

5.0. Seguridad Fsica y de

Entorno

Equipamiento.- Aseguramiento fsico de

los equipos.

Transferencia de Activos.- Mecanismo

definido para la entrada y salida de activos
a los distintos permetros de seguridad.

Generales.- Polticas y Estndares como

pueden ser la de: escritorios limpios.

6.0. Administracin y
operacin de comunicaciones.
Procedimientos

de operacin.- conjunto de
procedimientos que soportan los estndares y las polticas.

Control

de cambios.- Proceso de control de cambios y

control de configuraciones de equipos.

Manejo

de Incidentes.- Mecanismo que garantiza una

respuesta eficiente en tiempo a cualquier incidente de
seguridad.

Separacin

de obligaciones.- separacin y rotacin de

obligaciones de forma que se minimice la colusin del
personal.

Aceptacin

de Sistemas.-Metodologa para evaluar

cambios en sistemas garantizando la confidencialidad,
integridad y disponibilidad.

6.0. Administracin y
operacin de comunicaciones.

Cdigo Malicioso.- Control y mitigacin de

riesgos inducidos.

Administracin Local.- Polticas,

estndares, guas y procedimientos dirigidos
a las actividades como respaldos y registros.

Administracin de la Red.- Controles que

gobiernen las operaciones de seguridad en la
infraestructura de la red.

Manejo de medios.- controles en la

administracin de los medios de
almacenamiento.

7.0. Controles de Acceso

Requerimientos del Negocio.- Polticas de control

de acceso a los activos de la organizacin basada
en los requerimientos de la organizacin.

Responsabilidades de Usuarios.- Procesos de

induccin a los usuarios sobre sus
responsabilidades por ejemplo uso de contraseas y
terminales sin proteccin.

Administracin de Usuarios.- definicin de

mecanismos sobre:

Altas y Bajas de Usuarios.

Control y revisin de accesos y privilegios.

Administracin de contraseas.

7.0. Controles de Acceso

Control de Acceso a la Red.- Polticas sobre el uso de

servicios de red, incluyendo mecanismos sobre:

Autenticacin de nodos.

Autenticacin externa de usuarios.

Control sobre dispositivos de seguridad de red.

Mantenimiento de seguridad a la red.

Control de Acceso a Sistemas.- Incluir mecanismos

de:

Identificacin de Terminales.

Acceso Seguro.

Autenticacin de Usuarios.

Administracin de contraseas.

Utileras de Seguridad de Sistemas.

Control de tiempos de conexin.

7.0. Controles de Acceso

Control de Acceso de Aplicaciones.Acceso controlado a usuarios en base a

niveles de autorizacin.

Monitoreo de Acceso.- Mecanismos de

monitoreo a redes y sistemas para detectar
actividades no autorizadas.

Cmputo Movil.- Polticas y Estndares que

establezcan directrices en el uso de laptop y
otros dispositivos.

8.0. Desarrollo y
Mantenimiento de Sistemas

Requerimientos de Seguridad en los sistemas.Incorporar consideraciones de seguridad de la

informacin en cualquier desarrollo de sistemas.

Requerimientos de seguridad en las

aplicaciones.- Incorporar consideraciones de
seguridad en el desarrollo de aplicaciones.

Cifrado de informacin.- Establecer polticas,

estndares y procedimientos que gobiernen el uso de
mecanismos de cifrado de informacin.

Integracin de Sistemas.- Mecanismos de control de

acceso, verificacin de integridad, operacin de
software y datos, incluyendo procesos, tareas;
incorporando actualizacin de activos y manejo de
parches.

Continuidad de la
Organizacin

Planes de continuidad.- Estrategias de continuidad

basadas en un anlisis de impacto.

Pruebas de Continuidad.- Pruebas a las

estrategias de continuidad y documentacin de las
mismas.

Mantenimiento de la continuidad.- Identificacin

de responsables en la estrategia de continuidad de la
organizacin.

Legalidad

Requerimientos Legales.- Cumplimiento de:

Legislacin relevante.

Derechos de propiedad Intelectual.

Proteccin a los registros de la organizacin.

Privacidad de datos.

Prevencin de mal uso.

Regulacin sobre criptografa.

Coleccin de evidencias.

Requerimientos Tcnicos.- Mecanismos de

verificacin sobre implementacin y polticas de
seguridad.

Auditoria de Sistemas.- Controles de auditoria

que maximicen la efectividad, reduzcan las
interrupciones y proporcionen proteccin sobre las
herramientas de auditoria.

 Es

un marco de referencia
internacionalmente reconocido.
El ISO 17799 no lo es todo, solo
representa la documentacin y
aplicacin de buenas prcticas.
La integracin del estandar no
representa la eliminacin de los
problemas de seguridad de la
informacin.
Si garantiza que existan procesos que
permitirn la deteccin y el adecuado
manejo de un incidente de seguridad.

The Standar of Good Practice for

Information Security.

Estndar desarrollado por ISF (Information Security Forum:

https://www.securityforum.org/
ISF: Es una asociacin internacional organizaciones
mundialmente reconocidas de las listas de Forbes 2000 o
de Fortune 500

The Standar of Good Practice for

Information Security.

Usa metodologas probadas.

Se basa en el extenso conocimiento de los miembros del ISF.

Tambin hace uso de otros estndares internacionales como

el ISO 17799.

Proceso de elaboracin del

Estndar

Este estndar se basa en la buenas prcticas que aplican los

miembros del ISF, durante el 2002 se llevo a cabo la recoleccin
de informacin para desarrollar esta versin, en esta encuesta
participaron 86 organizaciones a lo largo del mundo.

Proceso de Elaboracin del Estndar

Proceso de elaboracin del

Estndar

Los participantes identificaron las distintas reas

importantes en el manejo de la seguridad que debera
abordar el estndar, de forma que los resultados
reflejaran la preocupacin que expresaron.

reas Importantes en el manejo de la

Seguridad de la Informacin.
Preocupacin

Mayor

Importante

Otras

Implementar buenas prcticas

Evaluar el estatus de los controles

Habilitar objetivos de seguridad de la informacin

Reducir la frecuencia/impacto de los incidentes mayores

Cumplir con polticas internas

Integrar un programa de manejo de riesgos

Conocer los requerimientos regulatorios de la industria.

Maximizar la inversin existente

Obtener ventajas competitivas

10

Conocer los requerimientos gubernamentales

11

Responder a presiones de terceros.

12

Alcanzar ahorro en los costos.

Beneficios de usar el Estndar.

Reemplazar

o dar sustento a los propios

estndares de seguridad de la informacin.

Integrar

partes del estndar dentro de la

organizacin complementando y
consolidando los procesos del negocio
existente.

Soportar

auditoras o revisiones de
seguridad.

Integrar

programas de seguridad.

Cinco aspectos de la Seguridad

de la Informacin.
El

estndar se enfoca en como la

seguridad de la informacin soporta los
procesos claves de una organizacin
Estos procesos son dependientes de
aplicaciones tecnolgicas, muchas de las
cuales son consideradas crticas para la
organizacin.
Estos aspectos de seguridad son
relacionados a lo que se conoce como
Critical Business Applications que es
central en el diseo del estndar.

Cinco aspectos de la Seguridad de la

Informacin.
La

instalacin de sistemas (Computer

installations) y las Redes (Networks) provee el
soporte de la infraestructura sobre la que
funciona las aplicaciones criticas del negocio
(Critical Business Applications). El desarrollo
de sistemas (System development) administra
como deben ser creadas las nuevas aplicaciones
y la Administracin de la Seguridad (Security
Management) proporciona la direccin y control
de alto nivel.

Diagrama de los cinco

aspectos

reas y Secciones del Estndar

reas y Secciones del Estndar

El estndar consiste
de cinco aspectos
diferentes, cada uno
de estos est dividido
en reas y secciones
detalladas.

Nmero
de
rea
s

Nmero
de
seccio
nes

Administracin de la
Seguridad

30

Aplicaciones crticas del

negocio

25

Instalacin de Equipos

30

Redes

24

Desarrollo de Sistemas

23

30

132

Aspectos

Total

Aspectos SM Administracin dela

Seguridad

rea SM1: Direccin de Alto Nivel.

Lograr un efectivo y consistente estndar de buenas

prcticas de seguridad de la informacin.

La organizacin requiere de directrices claras.

Comit de elaboracin de Polticas, estndares y

procedimientos.

Aspectos SM Administracin dela

Seguridad

rea SM2: Organizacin de la Seguridad.

Salvaguardar la informacin requiere de actividades

organizadas en toda lo organizacin.

Definicin de coordinadores locales de la seguridad de la

informacin.

Garantizar que los operadores cuenten con las habilidades

necesarios a travs de procesos de capacitacin.

Aspectos SM Administracin dela

Seguridad

rea SM3: Requerimientos de Seguridad.

Asegurar que las protecciones aplicadas a la informacin y los

sistemas sean apropiados dependiendo de la importancia para
la organizacin.

Clasificacin de la informacin y sistemas, asignando

responsables e identificando riesgos.

Aspectos SM Administracin dela

Seguridad

rea SM4: Seguridad del Entorno

Lograr una integracin de las buenas prcticas en toda la

organizacin en un entendimiento de su complejidad.

Disear un entorno seguro en la organizacin y redes

relacionadas.

Aspectos SM Administracin dela

Seguridad

rea SM5: Ataques maliciosos

Las organizaciones se encuentran constantemente sujetas a

ataques de terceros.

Esta rea cubre los controles requeridos para proteger de virus y

otros cdigos maliciosos.

Integrando capacidades de deteccin de intrusos, respuestas a

incidentes y manejo de investigaciones forenses.

Aspectos SM Administracin dela

Seguridad

rea SM6: Tpicos Especiales

Los rpidos cambios en los procesos de la organizacin, as como en las

tecnologas requiere de un control de estos aspectos especiales.

Esta rea cubre los controles de seguridad relativos a criptografa, PKI,

email, trabajo remoto, etc.

Aspectos SM Administracin dela

Seguridad

rea SM7: Revisiones Administrativas

Integra los procesos de auditorias de seguridad a los procesos de la

organizacin.

Las condiciones de seguridad en las que se encuentra la organizacin

deben ser reportadas a la direccin.

Aspectos CB Aplicaciones Crticas

de la organizacin.

rea CB1: Requerimientos de Seguridad

Las aplicaciones principales varan en su importancia y necesita cumplir

requerimientos especficos.

Confidencialidad

Integridad

Disponibilidad

Aspectos CB Aplicaciones Criticas

de la organizacin.

rea CB2: Administracin de Aplicaciones

Determinar los lmites del riesgo que puede ser aceptable para la
organizacin.

Definir los roles y responsabilidades que se requieren en las aplicaciones.

Control de los cambios en la aplicaciones estableciendo esquemas de

revisin, prueba y aceptacin.

Aspectos CB Aplicaciones Criticas de

la organizacin.

rea CB3: Entorno de Usuarios

Establecer los controles de acceso de los usuarios de acuerdo a los

requerimientos de autoridad establecidos.

Los usuarios estarn sujetos a rigurosos procesos de autenticacin antes

de obtener acceso a las aplicaciones.

Los sistemas que tengan acceso a las aplicaciones debern cumplir con
estrictos checklist.

Aspectos CB Aplicaciones Crticas

de la organizacin.

rea CB4: Administracin de Sistemas

Los equipos y los servicios de redes que requieren soportar las

aplicaciones debern ser obtenidos de proveedores que cumplan con
requerimientos de seguridad.

Las aplicaciones debern ejecutarse sobre equipos robustos que soporten

distintas alternativas de solucin.

Esquemas de administracin de respaldos .

Aspectos CB Aplicaciones Crticas

de la organizacin.

rea CB5: Administracin de Seguridad Local.

Deber establecerse un coordinador de seguridad local de las aplicaciones

o de las reas relacionadas.

Las aplicaciones debern ser clasificadas de acuerdo a la importancia de

la informacin que almacena.

Aspectos CI Instalacin de
Equipos

rea CI1: Control de Instalaciones

Deber establecerse un responsable de los procesos de

instalacin.

La informacin esencial sobre hardware y software debe ser

inventariada, as como el licenciamiento deber ser respetado.

Los sistemas asociados con las instalaciones debern ser

monitoreados continuamente.

Aspectos CI Instalacin de
Equipos

rea CI2: Estado del Entorno

Las instalaciones debern ser diseadas cumpliendo los

niveles de seguridad usando principalmente los controles
internos del sistema.

Los eventos claves sern registrados por default, y se

integrarn mecanismos de monitoreo automtico.

Los equipos y sus componentes deben ser protegidos de

contingencias ambientales.

Los equipos crticos debern contar con UPS.

Aspectos CI Instalacin de
Equipos

rea CI3: Sistemas operativos

Los medios de almacenamiento debern ser protegidos para evitar

corrupcin, prdida o divulgacin de informacin confidencial.

Deben establecerse agendas de respaldo de acuerdo a ciclos

definidos.

Las actualizaciones debern pasar por un ciclo de prueba y

liberacin con procesos documentados.

Aspectos CI Instalacin de Equipos

rea CI4: Control de Acceso

El acceso a los equipos deber ser restringido para todos los tipos
de usuarios.

Todos los usuarios debern ser autorizados antes de obtener

acceso privilegiado.

Loso usuarios debern seguir un proceso riguroso de

autenticacin antes de tener acceso a los sistemas.

Aspectos CI Instalacin de Equipos

rea CI6: Continuidad de los servicios

Deber establecerse un plan de contingencias documentado y probado;

de acuerdo a las necesidades de la organizacin.

Definicin de procesos alternativos en caso de contingencias.

Los planes de contingencias debern ser validados y peridicamente

revisados.

Aspectos NW Redes

rea NW1: Administracin de la Red

Debe identificarse un responsable de la red, establecerse

responsabilidades claves en este sentido.

El diseo de la red debe realizarse tomando en cuenta los

niveles de trfico as como los controles de seguridad.

La red debe contar con componentes robustos, hardware y

software resistente, que soporte cambios y alternativas.

Aspectos NW Redes

rea NW1: Administracin de Trfico

Los dispositivos de red deben presentar controles de

acceso, para prevenir accesos no autorizados o
actualizaciones incorrectas.

El trfico de red debe atravesar un firewall para

mantener un control ms preciso.

El
acceso
externo
deber
individualmente, registrado y
responsable de la red.

El trfico va wireless deber ser autorizado, cifrado y

autenticado permitiendo solo el acceso local

ser
identificado
aprobado por el

Aspectos NW Redes

rea NW2: Administracin de Trfico

Los dispositivos de red deben presentar controles de

acceso, para prevenir accesos no autorizados o
actualizaciones incorrectas.

El trfico de red debe atravesar un firewall para mantener

un control ms preciso.

El acceso externo deber ser identificado individualmente,

registrado y aprobado por el responsable de la red.

El trfico via wireless deber ser autorizado, cifrado y

autenticado permitiendo solo el acceso local

Aspectos NW Redes

rea NW3:Operacin de la Red

Las actividades claves debern ser monitoreadas.

Los incidentes de cualquier tipo deben ser registrados, revisados y

resueltos usando el proceso de manejo de incidentes.

El acceso fsico a los dispositivos de red se encuentra restringido a

personal autorizado.

Aspectos NW Redes

rea NW5:Redes de Voz

Debern existir documentacin sobre la configuracin y operacin de la

red de voz.

Los dispositivos de las redes de voz deben ser monitoreados regularmente

y el acceso es restringido.

Aspectos SD Desarrollo de
Sistemas

rea SD1: Administracin de Desarrollo

Las responsabilidades y los roles en las actividades de desarrollo

debern establecerse en funcin de los requerimientos del sistema.

Las actividades de desarrollo debern estar sustentadas en

metodologas de desarrollo

El aseguramiento de la calidad es un actividad clave para la

seguridad y debe ser ejecutada durante el ciclo de desarrollo.

Aspectos SD Desarrollo de Sistemas

rea SD2: Requerimientos del Negocio

Las especificaciones de seguridad deben ser establecidas

desde la fase de conceptual del diseo, estas deben estar
documentadas y justificadas.
Confidencialidad
Integridad.
Disponibilidad

Aspectos SD Desarrollo de Sistemas

rea SD3: Diseo y Construccin.

Todas las consideraciones e hiptesis en los controles de

seguridad deben ser contempladas en el ciclo de desarrollo.

La implementacin debe llevarse a cabo con las herramientas y

las habilidades adecuadas, manteniendo una inspeccin para
identificar las modificaciones no autorizadas o cambios que
comprometan la seguridad.

Aspectos SD Desarrollo de
Sistemas

rea SD4: Pruebas

Todos los elementos del sistema deben ser probados antes de promoverse
a un entorno de operacin.

Los sistemas entrarn a un proceso riguroso de aceptacin en reas

aisladas que simulen un entorno de operacin.

Aspectos SD Desarrollo de Sistemas

rea SD5: Implementacin

Establecerse rigurosos criterios para aceptar un sistema dentro

de un entorno de operacin.

Los nuevos sistemas deben ser instalados en base a los procesos

documentados de instalacin.

Mdulo 3: ISO 27001

Estructura y propsito
Se explica la estructura de la norma ISO/IEC 27001,
presentando lo que implica un SGSI

Sistema de Gestin de la
Seguridad de la Informacin (SGSI)

La norma ISO 27001 ha sido preparada por

administradores y personal especializado en seguridad y
provee un sistema de Gestin de la seguridad de la
informacin (Information Security Management System:
ISMS).
La implementacin del ISMS es una decisin estratgica
de la organizacin.
El diseo e implementacin del ISMS debe estar orientado
con los objetivos de la organizacin.

Proceso de
Implementacin.
El

modelo conocido como Plan-Do-CheckAct (PDCA), puede ser aplicado en todos los
procesos ISMS, en la adopcin del estndar.

El

ISMS toma como entradas los

requerimientos de seguridad de la
informacin y expectativas de las reas
interesadas.

El

ISMS genera como resultados un sistema

de administracin de la seguridad: polticas,
estndares y procedimientos.

Modelo PDCA

Modelo PDCA

Plan (definicin del ISMS).- definicin de

polticas, objetivos, procesos y procedimientos
relevantes que administren los riesgos.

Do (Implementacin y Operacin del ISMS).Implementacin y Operacin de las polticas,

controles, procesos y procedimientos de seguridad.

Check (Monitoreo y Revisin del ISMS).- Evaluar

la ejecucin de las polticas de seguridad, objetivos y
prcticas, reportando los resultados obtenidos.

Act (Mantenimiento y Mejoras del ISMS).- Tomar

acciones correctivas y preventivas, basada en los
resultados obtenidos en la revisin.

Proceso de
Implementacin

Soporte Directivo
El

soporte directivos es el componente

ms crucial para el xito de la
implementacin de un programa ISO
27001.

La

adaptacin y configuracin de la
infraestructura puede llegar a ser un
proceso que requiere de entusiasmo,
dedicacin y cumplirse en tiempos.

La

seguridad de la informacin no es un
programa, en si es un proceso.

Definicin de Perimetros
de Seguridad.

Una de las tareas iniciales ms difciles es

la definicin de los permetros de
seguridad.

El permetro de seguridad puede o no

corresponder al total de la organizacin.

El permetro de seguridad debe ser

establecido en primer lugar como un
control de la organizacin.

Creacin de Polticas de
Seguridad.
Las

polticas de seguridad deben

integrar mltiples visiones.

Estas

pueden integrarse como un

documento nico o como mltiples
documentos que son personalizados a
la audiencia que se enfoca.

Soporte

a las metas y objetivos de

seguridad.

Creacin del SGSI (ISMS)

Marco

de referencia generado
para la implementacin, manejo,
mantenimiento de los procesos de
seguridad de la informacin.

Estrategias

que son referencias

en la creacin de las polticas,
estndares, procedimientos,
planes, comites y equipos.

Ejecucin de un anlisis
de riesgos de seguridad.
Identificacin

de activos, amenazas y
vulnerabilidades.

Es

una metodologa orientada a

maximizar el uso de los recursos finitos
de la organizacin basada en la
valoracin de los riesgos y la tolerancia
de la organizacin a los riesgos.

Anlisis de riesgos de
seguridad
Identificacin de activos dentro del
permetro de seguridad.- Un activo
puede ser tangible, como el hardware
o intangible como las base de datos de
la organizacin.
Por

definicin un activo tiene valor

para la organizacin y por lo tanto
requiere proteccin.

Los

activos sern identificados y su

propiedad ser establecida.

Anlisis de riesgos de
seguridad
Identificar las amenazas de los
activos.- Las amenazas de explotar o
tomar ventaja de las vulnerabilidades
de algn activo, configuran un riesgo.
Las

amenazas pueden ser mltiples

para cada activo, la identificacin
requiere de un trabajo arduo y realista.

Solo

las amenazas que presenten una

probabilidad significativa sern
consideradas.

Anlisis de riesgos de
seguridad
Identificar vulnerabilidades de los
activos.Las vulnerabilidades son deficiencias
conocidas que pueden ser explotadas por
una amenaza para configurar el riesgo.
Una vulnerabilidad, por ejemplo: en las
base de datos de la organizacin puede
ser un pobre control de acceso o manejo
inadecuado de los respaldos.

Anlisis de riesgos de
seguridad
Determinar

probabilidades
realistas.- Generar los modelos de
combinacin de
amenaza/vulnerabilidad, los resultados
estadsticos insignificantes pueden ser
ignorados.
Clculo del dao.- Algunas ocasiones
referido como el impacto, debe ser
cuantificado numericamente para
reflejar una explotacin exitosa.
El dao no es relativo a la probabilidad.

Anlisis de riegos de
seguridad
Clculo

del riesgo.- Evaluacin y

mitigacin del riesgo es la meta del ISMS ISO

17799.

El riesgo puede ser expresado por la formula:

Probabilidad x dao = Riesgo

Este valor permite priorizar los recursos finitos del

plan de mitigacin de riesgos.

Escala de probabilidad de
Eventos.
Probabilidad de
Evento

Frecuencia

valor

Insignificante

Improbable que ocurra

Muy Bajo

2 3 veces en 5 aos

Bajo

<= una vez al ao

Medio

<= una vez cada 6 meses

Alto

<= una vez cada mes

Muy Alto

=> una vez por mes

Extremo

=> una vez al da

Escala de dao del evento

Dao del
evento
Insignificant
e

Grado del dao

Mnimo para impactar

Valor
0

Menor

No se requiere esfuerzo extra

para reparacin.

Significante

Dao tangible, esfuerzo extra

requerido para reparacin.

Demandant
e

Requiere de significativa
asignacin de recursos.

Serio

Problemas extendidos o
perdida de conectividad,
Compromete una gran
cantidad de datos y servicios

Grave

Permanente prdida,
Totalmente comprometido

Seleccin e Implementacin
de Controles

Los controles mitigan los riesgos

identificados a lo largo del anlisis de
riesgos.

La seleccin de los controles representa una

decisin de balancear la disponibilidad de los
activos y la habilidad de administrar los
riesgos aceptados.

Estructura de la Administracin
de la Seguridad

Tema 4: ISO 27001. Objetivo

y aplicacin prctica
Se explica el objetivo de la norma ISO/IEC
27001, su estructura y se da un recorrido de las
clusulas ms importantes de este estndar
explicando qu son y mencionando algunas
recomendaciones para su implementacin.

4. Sistema de gestin de
seguridad de la informacin
Tecnologa de la Informacin Tcnicas de
seguridad Sistemas de gestin de seguridad
de la informacin Requerimientos
Numero de Referencia
ISO/IEC 27001:2005 (E)

4.1 Requerimientos generales

La organizacin debe establecer, implementar, operar,

monitorear, mantener y mejorar continuamente un SGSI
documentado dentro del contexto de las actividades
comerciales generales de la organizacin y los riesgos que
enfrentan.

4.2 Establecer y manejar el SGSI

4.2.1 Establecer el SGSI
La organizacin debe hacer lo siguiente:
a) Definir el alcance y los lmites del SGSI en trminos de las
caractersticas del negocio, la organizacin, su ubicacin,
activos, tecnologa e incluyendo los detalles de y la
justificacin de cualquier exclusin del alcance (ver 1.2).
b) Definir una poltica SGSI en trminos de las
caractersticas del negocio, la organizacin, su ubicacin,
activos y tecnologa que: ..

4.2.2 Implementar y operar el

SGSI
La organizacin debe hacer lo siguiente:
a) Formular un plan de tratamiento de riesgo que identifique la accin
gerencial apropiada, los recursos, las responsabilidades y prioridades
para manejar los riesgos de la seguridad de informacin (ver 5).
b) Implementar el plan de tratamiento de riesgo para poder lograr los
objetivos de control identificados, los cuales incluyen tener en
consideracin el financiamiento y asignacin de roles y
responsabilidades.
c) Implementar los controles seleccionados en 4.2.1(g) para satisfacer
los objetivos de control.
d) Definir cmo medir la efectividad de los controles o grupos de
controles seleccionados y especificar cmo se van a utilizar estas
mediciones para evaluar la efectividad del control para producir
resultados comparables y reproducibles (ver 4.2.3 c)).

4.2.2 Implementar y operar

el SGSI
e) Implementar los programas
conocimiento (ver 5.2.2).

de

capacitacin

f) Manejar las operaciones del SGSI.

g) Manejar recursos para el SGSI (ver 5.2).
h) Implementar los procedimientos y otros controles
capaces de permitir una pronta deteccin de y respuesta a
incidentes de seguridad.

4.2.3 Monitorear y revisar el SGSI

La organizacin debe hacer lo siguiente:
a) Ejecutar procedimientos de monitoreo y revisin, y otros controles para:
b) Realizar revisiones regulares de la efectividad del SGSI (incluyendo
satisfacer la poltica y objetivos de seguridad del SGSI, y revisar los
controles de seguridad) tomando en cuenta los resultados de auditorias de
seguridad, incidentes, mediciones de seguridad, sugerencias y
retroalimentacin de todas las partes interesadas.
c) Medir la efectividad de los controles para verificar que se hayan
cumplido los requerimientos de seguridad.
d) Revisar las evaluaciones del riesgo a intervalos planeados y revisar el
nivel de riesgo residual y riesgo aceptable identificado, tomando en cuenta
los cambios en: ..

4.2.3 Monitorear y revisar el

SGSI
f) Realizar una revisin gerencial del SGSI sobre una base
regular para asegurar que el alcance permanezca
adecuado y se identifiquen las mejoras en el proceso SGSI
(ver 7.1).
g) Actualizar los planes de seguridad para tomar en cuenta
los descubrimientos de las actividades de monitoreo y
revisin.
h) Registrar las acciones y eventos que podran tener un
impacto sobre la efectividad o desempeo del SGSI (ver
4.3.3).

4.2.4 Mantener y mejorar el SGSI

La organizacin debe realizar regularmente lo siguiente:
a) Implementar las mejoras identificadas en el SGSI.
b) Tomar las acciones correctivas y preventivas apropiadas en
concordancia con 8.2 y 8.3.
Aplicar las lecciones aprendidas de las experiencias de
seguridad de otras organizaciones y aquellas de la
organizacin misma.
c) Comunicar los resultados y acciones a todas las partes
interesadas con un nivel de detalle apropiado de acuerdo a
las circunstancias y, cuando sea relevante, acordar cmo
proceder.
d) Asegurar que las mejoras logren sus objetivos sealados.

4.3 Requerimientos de documentacin

4.3.1 General
La documentacin debe incluir los registros de las
decisiones gerenciales, asegurar que las acciones puedan
ser monitoreadas a las decisiones y polticas gerenciales, y
los resultados registrados deben ser reproducibles.
Es importante ser capaces de demostrar la relacin desde
los controles seleccionados y de regreso a los resultados
del proceso de evaluacin del riesgo y tratamiento del
riesgo, y subsecuentemente, de regreso a la poltica y
objetivos del SGSI.

4.3 Requerimientos de documentacin

4.3.1 General

La documentacin SGSI debe incluir lo siguiente:

a) enunciados documentados de la poltica SGSI (ver
4.2.1b)) y los objetivos;
b) el alcance del SGSI (ver 4.2.1a));
c) procedimientos y controles de soporte del SGSI;
d) una descripcin de la metodologa de evaluacin del
riesgo (ver 4.2.1c));

4.3 Requerimientos de documentacin

4.3.1 General
e) reporte de evaluacin del riesgo (ver 4.2.1c) a 4.2.1g));
f) plan de tratamiento del riesgo (ver 4.2.2b));
g) Los procedimientos documentados necesarios por la
organizacin para asegurar la planeacin, operacin y
control de sus procesos de seguridad de la informacin y
describir cmo medir la efectividad de los controles (ver
4.2.3c));
h) registros requeridos por este Estndar Internacional
(ver 4.3.3); y
i) Enunciado de Aplicabilidad.

4.3.2 Control de documentos

Los documentos requeridos por el SGSI deben ser protegidos y
controlados. Se debe establecer
un procedimiento documentado para definir las acciones
gerenciales necesarias para:
a) aprobar la idoneidad de los documentos antes de su emisin;
b) revisar y actualizar los documentos conforme sea necesario y
re-aprobar los documentos;
c) asegurar que se identifiquen los cambios y el status de la
revisin actual de los documentos;
d) asegurar que las versiones ms recientes de los documentos
relevantes estn disponibles en los puntos de uso;

4.3.2 Control de documentos

e) asegurar que los documentos se mantengan legibles y
fcilmente identificables;
f) asegurar que los documentos estn disponibles para
aquellos que los necesitan; y sean transferidos, almacenados
y finalmente eliminados en concordancia con los
procedimientos aplicables para su clasificacin;
g) asegurar que se identifiquen los documentos de origen
externo;
h) asegurar que se controle la distribucin de documentos;
i) evitar el uso indebido de documentos obsoletos; y
j) aplicarles una identificacin adecuada si se van a retener
por algn propsito.

4.3.3 Control de registros

Se deben establecer y mantener registros para proporcionar
evidencia de conformidad con los requerimientos y la
operacin efectiva del SGSI. Deben ser protegidos y
controlados. El SGSI debe tomar en cuenta cualquier
requerimiento legal o regulador relevante. Los registros
deben mantenerse legibles, fcilmente identificables y
recuperables. Se deben documentar e implementar los
controles necesarios para la identificacin, almacenaje,
proteccin, recuperacin, tiempo de retencin y disposicin
de los registros.
Se deben mantener registros del desempeo del proceso tal
como se delinea en 4.2 y de todas las ocurrencias de
incidentes de seguridad significativos relacionados con el
SGSI.

5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
La gerencia debe proporcionar evidencia de su
compromiso con el establecimiento, implementacin,
operacin, monitoreo, revisin, mantenimiento y
mejoramiento del SGSI al:
a) establecer una poltica SGSI;
b) asegurar que se establezcan objetivos y planes SGSI;
c) establecer roles y responsabilidades para la seguridad
de informacin;

5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
d) comunicar a la organizacin la importancia de lograr los
objetivos de seguridad de la informacin y cumplir la poltica
de seguridad de la informacin, sus responsabilidades bajo la
ley y la necesidad de un mejoramiento continuo;
e) proporcionar los recursos suficientes para desarrollar,
implementar, operar, monitorear, revisar, mantener y mejorar
el SGSI (ver 5.2.1);
f) decidir el criterio para la aceptacin del riesgo y los niveles
de riesgo aceptables;
g) asegurar que se realicen las auditoras internas SGSI (ver
6); y
h) realizar revisiones gerenciales del SGSI (ver 7).

5.2 Gestin de recursos

5.2.1 Provisin de recursos
La organizacin debe determinar y proporcionar los recursos
necesarios para:
a) establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI;
b) asegurar que los procedimientos de seguridad de la informacin
respalden los requerimientos comerciales;
c) identificar y tratar los requerimientos legales y reguladores y las
obligaciones de seguridad contractuales;
d) mantener una seguridad adecuada mediante la correcta
aplicacin de todos los controles implementados;
e) llevar a cabo revisiones cuando sean necesarias, y reaccionar
apropiadamente ante los resultados de estas revisiones;
f) donde se requiera, mejorar la efectividad del SGSI.

5.2.2 Capacitacin, conocimiento

y capacidad
La organizacin debe asegurar que todo el personal a quien se asign las
responsabilidades definidas en el SGSI sea competente para realizar las
tareas requeridas para:
a) determinar las capacidades necesarias para el personal que realiza
trabajo que afecta el SGSI;
b) proporcionar la capacitacin o realizar otras acciones (por ejemplo;
emplear el personal competente) para satisfacer estas necesidades;
c) evaluar la efectividad de las acciones tomadas;
d) mantener registros de educacin, capacitacin, capacidades,
experiencia y calificaciones (ver 4.3.3).
La organizacin tambin debe asegurarse que todo el personal relevante
est consciente de la relevancia e importancia de sus actividades de
seguridad de la informacin y cmo ellos puedenv contribuir al logro de
los objetivos SGSI.

6 Auditoras internas SGSI

La organizacin debe realizar auditoras internas SGSI a intervalos planeados
para determinar si los objetivos de control, controles, procesos y
procedimientos del SGSI:
a) cumplen con los requerimientos de este Estndar Internacional y la
legislacin y regulaciones relevantes;
b) cumplen con los requerimientos de seguridad de la informacin
identificados;
c) se implementan y mantienen de manera efectiva; y
d) se realizan conforme lo esperado.

6. Auditoras internas SGSI

Se debe planear un programa de auditora tomando en consideracin el
status e importancia de los procesos y reas a ser auditados, as como
los resultados de auditoras previas. Se debe definir el criterio, alcance,
frecuencia y mtodos de auditora. La seleccin de los auditores y la
realizacin de las auditoras deben asegurar la objetividad e
imparcialidad del proceso de auditora. Los auditores no deben auditar
su propio trabajo.
Las responsabilidades y requerimientos para la planeacin y realizacin
de las auditoras, y para el reporte de resultados y mantenimiento de
registros (ver 4.3.3) se deben definir en un procedimiento
documentado.
La gerencia responsable para el rea siendo auditada debe asegurar que
se den sin demora las acciones para eliminar las no-conformidades
detectadas y sus causas. Las actividades de seguimiento deben incluir la
verificacin de las acciones tomadas y el reporte de los resultados de
verificacin (ver 8).

7 Revisin Gerencial del SGSI

7.1 General

La gerencia debe revisar el SGSI de la organizacin a

intervalos planeados (por lo menos una vez al ao) para
asegurarse de su continua idoneidad, conveniencia y
efectividad. Esta revisin debe incluir oportunidades de
evaluacin para el mejoramiento y la necesidad de
cambios en el SGSI, incluyendo la poltica de seguridad
y los objetivos de seguridad de la informacin. Los
resultados de las revisiones deben documentarse
claramente y se deben mantener registros (ver 4.3.3).

7.2 Insumo de la revisin

El insumo para la revisin gerencial debe incluir:

a) resultados de auditorias y revisiones del SGSI;

b) retroalimentacin de las partes interesadas;

c) tcnicas, productos o procedimientos, que se podran

utilizar en la organizacin para mejorar el desempeo y
efectividad del SGSI;

d) status de acciones preventivas y correctivas;

e) vulnerabilidades o amenazas no tratadas

adecuadamente en la evaluacin de riesgo previa;

f) resultados de mediciones de efectividad;

g) acciones de seguimiento de las revisiones gerenciales

previas;

h) cualquier cambio que pudiera afectar el SGSI; y

i) recomendaciones para el mejoramiento.

7.3 Resultado de la revisin

El resultado de la revisin gerencial debe incluir cualquier decisin y
accin relacionada con lo siguiente:

a) mejoramiento de la efectividad del SGSI;

b) actualizacin de la evaluacin del riesgo y el plan de

tratamiento del riesgo;

c) modificacin de procedimientos y controles que afectan la

seguridad de la informacin, si fuese necesario, para responder a
eventos internos o externos que pudieran tener impacto sobre el
SGSI, incluyendo cambios en: ..

d) necesidades de recursos;

e) mejoramiento de cmo se mide la efectividad de los controles.

8 Mejoramiento del SGSI

8.1 Mejoramiento continuo

La organizacin debe mejorar continuamente la

efectividad del SGSI a travs del uso de la poltica de
seguridad de la informacin, objetivos de seguridad de
la informacin, resultados de auditoria, anlisis de los
eventos
monitoreados,
acciones
correctivas
y
preventivas, y la revisin gerencial.

8.2 Accin correctiva

La organizacin debe realizar las acciones para eliminar la causa
de las no-conformidades con los requerimientos del SGSI para
poder evitar la recurrencia. El procedimiento documentado para la
accin correctiva debe definir los requerimientos para:

a) identificar las no-conformidades;

b) determinar las causas de las no-conformidades;

c) evaluar la necesidad de acciones para asegurar que las noconformidades no vuelvan a ocurrir;

d) determinar e implementar la accin correctiva necesaria;

e) registrar los resultados de la accin tomada (ver 4.3.3); y

f) revisar la accin correctiva tomada.

8.3 Accin preventiva

La organizacin debe determinar la accin para eliminar la causa
de las no-conformidades potenciales de los requerimientos SGSI
para evitar su ocurrencia. Las acciones preventivas tomadas
deben ser apropiadas para el impacto de los problemas
potenciales. El procedimiento documentado para la accin
preventiva debe definir los requerimientos para:
a) identificar las no-conformidades potenciales y sus causas;
b) evaluar la necesidad para la accin para evitar la ocurrencia de
no-conformidades;
c) determinar e implementar la accin preventiva necesaria;
d) registrar los resultados de la accin tomada (ver 4.3.3); y
e) revisar la accin preventiva tomada.

8.3 Accin preventiva

La organizacin debe identificar los riesgos cambiados e
identificar los requerimientos de accin
preventiva enfocando la atencin sobre los riesgos
cambiados significativamente.
La prioridad de las acciones preventivas se debe
determinar en base a los resultados de la evaluacin del
riesgo.

Tema 5: Proceso de
certificacin ISO 27001
Explica cual es el proceso a seguir una vez que
una organizacin ha implementado el SGSI para
obtener la certificacin ISO/IEC 27001, abarca la
pre-auditora,
auditora
de
certificacin,
acciones correctivas, recomendacin para la
certificacin y el proceso que debe seguirse para
mantener el certificado una vez que se ha
obtenido.

Auditora
Permite

la revisin de la implementacin de
la infraestructura de seguridad de la
informacin:
1a.

Parte.- La organizacin ejecuta una revisin

interna sobre la implementacin.
2a. Parte.- Un asociado revisa la implementacin.
3a. Parte.- Un consultor independiente lleva a
cabo una auditoria.

Definiciones

Alcance de la auditora. Clusulas que se auditar con respecto

a la norma ISO 27001:2013, reas que entran en la auditora.

Hallazgos de la auditora. Conformidad y No conformidades

detectadas.

Cumplimiento total: el requisito auditado est en conformidad

con la norma.

Cumplimiento parcial: el requisito auditado cumple una parte

de lo descrito en la norma pero no en su totalidad para darlo
por bueno

Las actividades base del servicio de auditora se realiza a

travs de:

Entrevistas: Reuniones con personal clave para evaluar

los controles de seguridad

Revisin de documentos: Valoracin de la efectividad de

las polticas y procedimientos de seguridad

Observacin de la ejecucin de los procedimientos.

Ejemplo de resumen de
resultado de auditora
Tomando en cuenta las 7 clusulas (se divide en 22 puntos) y los 114
controles establecidos por la norma ISO/IEC 27001: 2013 se realiz un
anlisis de brecha el cual nos determina el nivel de cumplimiento de la
"Universidad Autnoma de Yucatn"

12 clusulas en cumplimiento total (55%)

8 clusulas en cumplimiento parcial o incompleto (23%)

2 clusulas que no estn en cumplimiento

64 controles en cumplimiento total (56%)

26 controles en cumplimiento parcial o incompleto (23%)

14 controles que no cumplen con los requerimiento de la norma (12%) y

10 controles que no aplican por la naturaleza del negocio (9%)

Ejemplo de resultado de hallazgos

Clusulas ISO/IEC 27001:2013

5. Liderazgo

No se cuenta con una poltica de gestin de

seguridad de la informacin donde se debe
asegurar que sta y los objetivos de seguridad de
informacin estn establecidos y sean compatibles
con el modelo estratgico de negocio o
institucin.

Tema 6: Recomendaciones
finales
Con base en la experiencia en implementaciones
y ejecucin de auditoras en el estndar
internacional ISO/IEC 27001 se proporciona a la
audiencia una serie de recomendaciones,
sugerencias y aspectos claves para asegurar una
implementacin exitosa del estndar.

Ejemplos de documentacin para

cumplimiento
Poltica del sistema de gestin de la seguridad de la
informacin
Proveer los servicios de tecnologas de
Informacin Institucionales, que satisfagan las
necesidades y expectativas de la comunidad
universitaria y la sociedad, aplicando tcnicas y
estndares internacionales de seguridad que
permitan minimizar el nmero e impacto de
contingencias de seguridad, garantizando la
continuidad de los servicios y mejorando
continuamente nuestros procesos.

Bibliografa. Publicacin de estndares

(1) ISO 9001:2000, Sistemas de gestin de calidad - Requerimientos
(2) ISO/IEC 13335-1:204, Tecnologa de la informacin Tcnicas de seguridad Gestin de seguridad en
tecnologa de informacin y comunicaciones Parte 1: Conceptos y modelos para la gestin de seguridad
en la tecnologa de la informacin y comunicaciones
(3) ISO/IEC TR 13335-3:1998, Lineamientos para la Gestin de Seguridad TI Parte 3: Tcnicas para la
gestin de la seguridad TI
(4) ISO/IEC 13335-4:2000, Lineamientos para la Gestin de la Seguridad TI Parte 4: Seleccin de
salvaguardas
(5) ISO 14001:2004, Sistemas de gestin ambiental Requerimientos con lineamiento para su uso
(6) ISO/IEC TR 18044:2004, Tecnologa de la informacin Tcnicas de seguridad Gestin de incidentes
en la seguridad de la informacin
(7) ISO/IEC 19011:2002, Lineamientos para la auditora de sistemas de auditora y/o gestin ambiental
(8) ISO/IEC Gua 62:1996, Requerimientos generales para los organismos que operan la evaluacin y
certificacin/registro de sistemas de calidad.
(9) ISO/IEC Gua 73:2002, Gestin de riesgo Vocabulario Lineamientos para el uso en estndares
Otras publicaciones
(1) OECD, Lineamientos OECD para la Seguridad de los Sistemas y Redes de Informacin Hacia una
Cultura de Seguridad. Paris: OECD, Julio 2002, www.oecd.org
(2) NIST SP 800-30, Gua de Gestin de Riesgo para los Sistemas de Tecnologa de la Informacin
(3) Deming, W.E., Fuera de la Crisis, Cambridge, Mass:MIT, Centro de Estudios de Ingeniera Avanzada,
1986