SGSI Engargolar

Fundamentos de la Gestin de
Seguridad de Informacin

Norma ISO/IEC 27001

Alumno:
Carlos Hctor Cruz Lpez
No. Control:
11560111

1

ndice
Norma ISO/IEC 27000:2014 ................................................................................................ 2
Introduccin ........................................................................................................................ 2
Visin general ................................................................................................................. 2
Familia de normas SGSI ................................................................................................. 2
Propsito de esta Norma Internacional ........................................................................... 3
Alcance ............................................................................................................................ 3
Trminos y definiciones .................................................................................................. 4
Evolucin de la familia de normas ISO IEC 27001 ......................................................... 17
Conceptos generales de seguridad de la informacin ..................................................... 19
Seguridad de la informacin: modelo PDCA ................................................................... 19
Bases de la Seguridad Informtica .................................................................................... 20
Fiabilidad ....................................................................................................................... 20
Confidencialidad ........................................................................................................... 21
Integridad ...................................................................................................................... 21
Disponibilidad ............................................................................................................... 22
Mecanismos bsicos de seguridad .................................................................................... 23
Autenticacin ................................................................................................................ 23
Autorizacin .................................................................................................................. 23
Norma ISO/IEC 27001:2005. Contenido .......................................................................... 26
Especificaciones para los sistemas de seguridad de la informacin ............................... 27
Beneficios de la implantacin de la norma ISO 27001 .................................................... 28

2

Norma ISO/IEC 27000:2014
Introduccin
Visin general
Normas internacionales para los sistemas de gestin proporcionan un modelo a seguir en la
creacin y operacin de un sistema de gestin. Este modelo incorpora los elementos sobre
los que los expertos en la materia han llegado a un consenso como el estado del arte
internacional. ISO / IEC JTC 1/SC 27 mantiene un comit de expertos dedicado a la
elaboracin de normas internacionales de sistemas de gestin de seguridad de la
informacin, tambin conocido como el Sistema de Gestin de la Seguridad de la
Informacin (SGSI) de la familia de normas.
A travs del uso de la familia de normas de SGSI, las organizaciones pueden desarrollar e
implementar un marco de gestin de la seguridad de sus activos de informacin, incluyendo
la informacin financiera, la propiedad intelectual, y detalles de los empleados, o la
informacin confiada a ellos por los clientes o por terceros. Estas normas tambin se
pueden utilizar para prepararse para una evaluacin independiente de sus SGSI se aplica a
la proteccin de la informacin.
Familia de normas SGSI
La familia de normas de SGSI (vase el apartado 4) tiene por objeto ayudar a las
organizaciones de todos los tipos y tamaos para implementar y operar un SGSI y consta de
las siguientes normas internacionales, bajo el ttulo general Tecnologa de la informacin -
Tcnicas de seguridad (que figuran a continuacin en orden numrico:
- ISO / IEC 27000 , Sistemas de gestin de seguridad de la informacin - Informacin
general y vocabulario
- ISO / IEC 27001 , Sistemas de gestin de seguridad de la informacin - Requisitos
- ISO / IEC 27002 , Cdigo de prctica para los controles de seguridad de la
informacin
- ISO / IEC 27003 , Gua de implementacin para Sistema de gestin de seguridad de
la informacin
- ISO / IEC 27004 , Gestin de la Seguridad - Medicin
- ISO / IEC 27005 , la informacin de gestin de riesgos de seguridad
- ISO / IEC 27006 , Requisitos para los organismos que realizan la auditora y la
certificacin del sistema de gestin de seguridad de la informacin
- ISO / IEC 27007 , Directrices para la auditora de sistemas de gestin de seguridad
de la informacin
- ISO / IEC TR 27008 , Directrices para los auditores sobre los controles de seguridad
de la informacin
3

- ISO / IEC 27010 , Gestin de la informacin de seguridad para el inter-sectorial y
la comunicacin entre organizaciones
- ISO / IEC 27011 directrices de gestin de seguridad , de informacin para las
organizaciones de telecomunicaciones
- basado en la norma ISO / IEC 27002
- ISO / IEC 27013 , Gua para el desarrollo integrado de la norma ISO / IEC 27001 e
ISO / IEC 20000-1
- ISO / IEC 27014 , la gobernanza de la seguridad de la informacin
- ISO / IEC TR directrices de gestin de seguridad 27015 , compra venta, servicios
financieros
- ISO / IEC TR 27016 , Gestin de la Seguridad - Economa de las Organizaciones
Propsito de esta Norma Internacional
Esta Norma Internacional proporciona una visin general de los sistemas de gestin de
seguridad de la informacin, y define los trminos relacionados.
NOTA Anexo A aclara cmo se utilizan formas verbales para expresar requisitos y / o
orientacin en la familia de normas de SGSI.
La familia de normas de SGSI incluye normas que:
a) definen los requisitos para un SGSI y para aquellos que acredite dichos sistemas;
b) prestan apoyo directo, orientacin y / o interpretacin detallada para el proceso
general para establecer,
c) implementar, mantener y mejorar un SGSI;
d) abordan las directrices sectoriales especficas para SGSI; y
e) abordan la evaluacin de la conformidad para SGSI.
Los trminos y las definiciones previstas en esta norma:
- Cubre los trminos y definiciones de uso comn en la familia de normas de SGSI;
- No cubre todos los trminos y definiciones aplicadas dentro de la familia de normas
de SGSI; y
- No se limite a la familia de normas de SGSI en la definicin de nuevos trminos de
uso.
Alcance
Esta Norma Internacional proporciona una visin general de los sistemas de gestin de
seguridad de la informacin, y los trminos y las definiciones utilizadas en la familia de
normas de SGSI. Esta Norma Internacional es aplicable a todos los tipos y tamaos de
organizacin (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro).
4

Trminos y definiciones
A los efectos de este documento, los siguientes trminos y definiciones.
2.1 Control de acceso
Son los medios para asegurar que el acceso a los activos est autorizado y restringido
basado en los negocios y requisitos de seguridad.
2.2 Modelo analtico
Algoritmo o clculo que combina una o ms medidas de base (2.10) y / o medidas
derivadas (2.22) con los criterios de decisin asociados.
2.3 Ataque
Intente destruir, exponer, alterar, inutilizar, robar u obtener acceso no autorizado o hacer un
uso no autorizado de un activo
2.4 Atributo
Propiedad o caracterstica de un objeto (2,55) que se puede distinguir cuantitativamente o
cualitativamente por medios humanos o automatizados
[FUENTE: ISO / IEC 15939:2007, modificada - "entidad" se ha sustituido por "objeto" en
la definicin.]
2.5 Auditora
Proceso sistemtico, independiente y documentado (2.61) para obtener evidencias de la
auditora y evaluarlas de manera objetiva con el fin de determinar el grado en que se
cumplen los criterios de auditora
Nota 1 a la entrada: Una auditora puede ser una auditora interna (primera parte) o de una
auditora externa (segunda parte o tercero), y puede ser una auditora combinada (la
combinacin de dos o ms disciplinas).
2.6 Alcance de la auditora
Extensin y lmites de una auditora (2.5)
[FUENTE: ISO 19011:2011]
2.7 Autenticacin
Prestacin de la garanta de que una caracterstica alegada de una entidad es correcta
2.8 Autenticidad
5

Propiedad de que una entidad es la que es dice ser
2.9 Disponibilidad
Propiedad de ser accesible y utilizable a peticin por una entidad autorizada
2.10 Medida de base
Medida (2,47) se define en trminos de un atributo (2,4) y el mtodo para cuantificarlo
[FUENTE: ISO / IEC 15939:2007]
Nota 1 a la entrada: Una medida base es funcionalmente independiente de otras medidas.
2.11 Competencia
Capacidad de aplicar los conocimientos y habilidades para lograr los resultados deseados
2.12 Confidencialidad
Propiedad de que la informacin no est disponible o se revelar a personas no autorizadas,
las entidades o procesos (2,61)
2.13 Conformidad
Cumplimiento de un requisito (2,63)
Nota 1 de la entrada: El trmino "cumplimiento" es sinnimo aunque no se use.
2.14 Consecuencia
Resultado de un evento (2.25) que afectan a los objetivos (2,56)
[Fuente: Gua ISO 73:2009]
Nota 1 a la entrada: Un evento puede conducir a una serie de consecuencias.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta, y en el contexto de
seguridad de la informacin es por lo general negativa.
Nota 3 a la entrada: Las consecuencias pueden ser expresadas cualitativa o
cuantitativamente.
Nota 4 de la entrada: consecuencias iniciales pueden escalar a travs de efectos en cadena.
2.15 La mejora continua
Actividad recurrente para mejorar el rendimiento (2.59)
6

2.16 Control
Medida que es modificar el riesgo (2,68)
Nota 1 de entrada: Los controles incluyen cualquier proceso, la poltica, el dispositivo,
prctica, u otras acciones que modifican el riesgo.
Nota 2 de entrada: Los controles no siempre pueden ejercer el pretendido o supuesto efecto
modificador.
2.17 Objetivo de control
Declaracin describiendo lo que se quiere lograr como resultado de la implementacin de
los controles (2,16)
2.18 Correccin
Accin para eliminar una no conformidad detectada (2,53)
2.19 Acciones correctivas
Acciones para eliminar la causa de una no conformidad (2.53) y para prevenir la
recurrencia
2.20 Datos
Medidas de recaudacin de los valores asignados a las medidas de base (2.10), derivados
(2,22) y / o indicadores (2,30)
Nota 1 a la entrada: Esta definicin se aplica nicamente en el contexto de la norma ISO /
IEC 27004:2009.
2.21 Criterios de decisin
Umbrales, objetivos o patrones que se utilizan para determinar la necesidad de una accin o
de una mayor investigacin, o para describir el nivel de confianza en un resultado
determinado
2.22 Medida derivada
Medir (2,47) que se define como una funcin de dos o ms valores de medidas de base
(2.10)
7

2.23 Informacin documentada
Informacin que debe ser controlada y mantenida por una organizacin (2.57) y el medio
en el que est contenida
Nota 1 a la entrada: Informacin documentada puede ser en cualquier formato y los medios
de comunicacin y desde cualquier fuente.
2.24 Eficacia
Medida en que las actividades planificadas se realizan y los resultados planificados logra
2.25 Evento
Aparicin o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: Un evento puede ser una o ms apariciones, y puede tener varias
causas.
Nota 2 a la entrada: Un evento puede consistir en algo que no suceda.
Nota 3 a la entrada: un evento a veces puede ser referido como un "incidente" o
"accidente".
2.26 La direccin ejecutiva
Persona o grupo de personas que han delegado la responsabilidad del rgano de gobierno
(2,29) para la implementacin de estrategias y polticas para lograr el propsito de la
organizacin (2.57)
Nota 1 a la entrada: La direccin ejecutiva a veces se llama la alta direccin y puede incluir
consejeros delegados, directores financieros y papeles similares
2.27 Contexto externo
Entorno externo en el que la organizacin busca alcanzar sus objetivos
Nota 1 de entrada: Contexto externo puede incluir:
- El entorno cultural, social, poltico, legal, normativo, financiero, tecnolgico,
econmico, natural y competitivo, ya sea internacional, nacional, regional o local;
8

- Factores clave y las tendencias que tienen impacto en los objetivos (2.56) de la
organizacin (2.57); y
- Las relaciones con los y las percepciones y valores de los grupos de inters
externos, (2.82).
2.28 Gobernanza de la seguridad de informacin
Sistema por el cual (2.57) Las actividades de seguridad de la informacin de una
organizacin son dirigidas y controladas
2.29 rgano de gobierno
Persona o grupo de personas que son responsables del rendimiento (2.59) y la conformidad
de la organizacin (2.57)
2.30 Indicador
Medida (2,47), que proporciona una estimacin o evaluacin de atributos especificados
(2.4) deriva de un modelo analtico (2.2) con respecto a la informacin definida, es
necesario (2,31)
2.31 Necesidad de informacin
Conocimiento necesario para gestionar los objetivos, las metas, los riesgos y problemas
2.32 Instalaciones de procesamiento de informacin
Cualquier sistema de procesamiento de la informacin, servicios o infraestructura, o la
ubicacin fsica alojndola.
2.33 Seguridad de la informacin
Preservacin de la confidencialidad (2.12), la integridad (2,40) y la disponibilidad (2.9) de
la informacin
Nota 1 a la entrada: Adems, otras propiedades, como la autenticidad (2.8), la
responsabilidad, el no repudio (2,54), y la fiabilidad (2.62) pueden tambin estar
involucrados.
2.34 Informacin de continuidad de seguridad
Procesos (2.61) y procedimientos para garantizar la seguridad contina de la informacin
(2,33) para las operaciones
2.35 Eventos de seguridad de informacin
9

ocurrencia identificada de un sistema, servicio o red estatal que indica una posible violacin
de la poltica de seguridad o el fracaso de los controles, o una situacin previamente
desconocida que puede ser la seguridad pertinente
2.36 Incidente de seguridad de informacin
nica o una serie de eventos de seguridad de la informacin no deseados o inesperados
(2.35) que tienen una probabilidad significativa de comprometer las operaciones
comerciales y amenazar la seguridad de la informacin (2,33)
2.37 Gestin de incidentes de seguridad de informacin
Procesos (2,61) para detectar, informar, evaluar, responder a, tratar con, y aprender de
incidentes de seguridad de la informacin (2,36)
2.38 El intercambio de informacin de la comunidad
Grupo de organizaciones que estn de acuerdo para compartir la informacin
Nota 1 a la entrada: Una organizacin puede ser un individuo.
2.39 Sistema de informacin
Aplicaciones, servicios, activos de tecnologa de informacin, u otros componentes de
manejo de la informacin
2.40 Integridad
Propiedad de exactitud e integridad
2.41 Parte interesada
Persona u organizacin (2.57) que puede afectar, verse afectadas por, o percibirse a s
mismos a ser afectados por una decisin o actividad
2.42 Contexto interno
Ambiente interno, en el que la organizacin busca alcanzar sus objetivos
Nota 1 de entrada: el contexto interno puede incluir:
- De gobierno, estructura organizativa, las funciones y responsabilidades;
- Las polticas, los objetivos y las estrategias que estn en marcha para alcanzarlos;
- Las capacidades, entendidas en trminos de recursos y de conocimientos (por
ejemplo, el capital, el tiempo, las personas, los procesos,
10

- sistemas y tecnologas);
- Sistemas de informacin, los flujos de informacin y procesos de toma de
decisiones (tanto formales como informales);
- Las relaciones con los y las percepciones y valores de, los interesados internos;
- La cultura de la organizacin;
- Las normas, directrices y modelos adoptados por la organizacin; y
- Forma y el alcance de las relaciones contractuales.
2.43 Proyecto SGSI
Actividades estructuradas llevadas a cabo por una organizacin (2.57) para implementar un
SGSI
2.44 Nivel de riesgo
Magnitud de un riesgo (2,68), expresada en trminos de la combinacin de consecuencias
(2.14) y su probabilidad (2.45)
[FUENTE:. ISO Guide 73:2009, modificada - "o una combinacin de los riesgos", ha sido
eliminado]
2.45 Probabilidad
Probabilidad de que algo suceda
2.46 Sistema de gestin
Conjunto de elementos interrelacionados o que interactan de una organizacin (2.57) para
establecer polticas (2,60) y objetivos (2,56) y procesos (2.61) para alcanzar dichos
objetivos
Nota 1 a la entrada: Un sistema de gestin puede abordar una sola disciplina o varias
disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura de la organizacin,
funciones y responsabilidades, la planificacin, operacin, etc
Nota 3 a la entrada: El alcance de un sistema de gestin puede incluir la totalidad de la
organizacin, especfico y funciones identificadas de la organizacin, las secciones
especficas e identificadas de la organizacin, o uno o ms funciones a travs de un grupo
de organizaciones.
2.47 Medir
11

Variable a la que se asigna un valor como el resultado de la medicin (2.48)
Nota 1 de la entrada: El trmino "medidas" se utiliza para referirse colectivamente a las
medidas de base, las medidas derivadas, e indicadores.
2.48 Medicin
Proceso (2.61) para determinar un valor
Nota 1 a la entrada: En el contexto de seguridad de la informacin (2,33), el proceso de
determinacin de un valor, se requiere informacin sobre la efectividad (2.24) de un
sistema de gestin de seguridad de la informacin (2,46) y sus controles asociados (2,16)
utilizando un mtodo de medicin (2.50), una funcin de medicin (2.49), un modelo de
anlisis (2.2), y los criterios de decisin (2.21).
2.49 Funcin de medicin
Algoritmo o clculo realizado para combinar dos o ms medidas de base (2,10)
2.50 Mtodo de medicin
Secuencia lgica de operaciones, se describe genricamente, utilizado en la cuantificacin
de un atributo (2.4) con respecto a una escala especificada (2,80)
2.51 Resultados de las mediciones
Uno o ms indicadores (2.30) y sus correspondientes interpretaciones que abordan una
necesidad de informacin (2,31)
2.52 Monitoreo
Determinar el estado de un sistema, un proceso (2.61) o una actividad
Nota 1 a la entrada: Para determinar el estado puede haber una necesidad de comprobar,
supervisar u observar crticamente.
2.53 Disconformidad
Incumplimiento de un requisito (2,63)
2.54 No repudio
12

Capacidad de probar la ocurrencia de un evento o una accin reivindicada y sus entidades
originarias
2.55 Objeto
Elemento caracteriza a travs de la medicin (2.48) de sus atributos (2.4)
2.56 Objetivo
Resultado que debe conseguirse
Nota 1 a la entrada: Un objetivo puede ser estratgica, tctica, u operacional.
Nota 2 a la entrada: Los objetivos se refieren a diferentes disciplinas (tales como
financieros, de salud y seguridad, y las metas ambientales) y se pueden aplicar a diferentes
niveles (como estratgica, en toda la organizacin, proyecto, producto y proceso (2.61).
Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un
resultado esperado, un propsito, un criterio operativo, como un objetivo de seguridad de
informacin o por el uso de otras palabras de significado similar (por ejemplo, objeto, fin o
meta).
Nota 4 de la entrada: En el contexto de los sistemas de gestin de seguridad de la
informacin, los objetivos de seguridad de informacin areset por la organizacin, en
consonancia con la poltica de seguridad de la informacin, para lograr resultados
especficos.
2.57 Organizacin
Persona o grupo de personas que tiene sus propias funciones con responsabilidades,
autoridades y relaciones para alcanzar sus objetivos (2,56)
Nota 1 de la entrada: El concepto de organizacin incluye pero no se limita a sole-
comerciante, empresa, corporacin, firma, empresa, autoridad, asociacin, la caridad o
institucin, o parte o combinacin de los mismos, ya sea o no personalidad jurdica, pblica
o privada.
2.58 Externalizar
Hacer un arreglo donde una organizacin externa (2,57) realiza parte de la funcin de una
organizacin o proceso (2,61)
Nota 1 a la entrada: Una organizacin externa est fuera del alcance del sistema de gestin
(2,46), aunque la funcin externalizada o proceso est dentro del alcance.
2.59 Rendimiento
13

Resultado medible
Nota 1 de la entrada: El rendimiento puede relacionarse ya sea cuantitativos o cualitativos
conclusiones.
2.60 Poltica
Intenciones y direccin de una organizacin (2.57) como expresan formalmente por la alta
direccin (2,84)
2.61 Proceso
Conjunto de actividades mutuamente relacionadas o que interactan, las cuales transforman
entradas en salidas
2.62 Confiabilidad
Caracterstica de comportamientos previstos consistentes y resultados
2.63 Requisito
Necesidad o expectativa establecida, generalmente implcita u obligatoria
2.64 Riesgo residual
Riesgo (2,68) que queda despus del tratamiento del riesgo (2,79)
Nota 1 a la entrada: Riesgo residual puede contener el riesgo identificado.
Nota 2 a la entrada: Riesgo residual tambin puede ser conocido como "riesgo retenido".
2.65 Revisin
Actividad emprendida para asegurar la conveniencia, adecuacin y efectividad (2.24) de la
materia para alcanzar los objetivos establecidos
2.66 Revisin de objeto
Elemento especfico est revisando
2.67 Objetivo de la revisin
Declaracin que describe lo que se quiere lograr como resultado de una revisin
2.68 Riesgo
Efecto de la incertidumbre en los objetivos
14

Nota 1 a la entrada: Un efecto es una desviacin de lo esperado - positiva o negativa.
Nota 2 a la entrada: La incertidumbre es el estado, aunque sea parcial, de la deficiencia de
informacin relacionada con, la comprensin o conocimiento de un evento (2,25), su
consecuencia (2,14), o la probabilidad (2.45).
2.69 Aceptacin de riesgos
Decisin informada para tomar un riesgo en particular (2,68)
Nota 1 a la entrada: la aceptacin del riesgo puede ocurrir sin el tratamiento del riesgo
(2,79) o durante el proceso de tratamiento de riesgos.
Nota 2 a la entrada: riesgos aceptados estn sujetas a supervisin (2.52) y revisin (2.65).
2.70 Anlisis de riesgos
Proceso de comprender la naturaleza del riesgo (2,68) y para determinar el nivel de riesgo
(2,44)
Nota 1 de la entrada: El anlisis de riesgos es la base para la evaluacin del riesgo (2,74) y
las decisiones sobre el tratamiento del riesgo (2.79).
2.71 La evaluacin de riesgos
Proceso general (2.61) de la identificacin del riesgo (2,75), el anlisis de riesgo (2,70) y la
evaluacin del riesgo (2,74)
2.72 Comunicacin de riesgos y de consulta
Procesos continuos e iterativos que una organizacin lleva a cabo para proporcionar,
compartir u obtener informacin, y para entablar un dilogo con las partes interesadas
(2.82) con respecto a la gestin del riesgo (2,68)
2.73 Criterios de riesgo
Trminos de referencia con el que se evala la importancia del riesgo (2,68)
15

Nota 1 a la entrada: Los criterios de riesgo se basan en objetivos de la organizacin, y el
contexto externo e interno.
Nota 2 a la entrada: Los criterios de riesgo se pueden derivar de las normas, leyes, polticas
y otros requisitos.
2.74 Evaluacin del riesgo
Proceso (2.61) de la comparacin de los resultados del anlisis de riesgos (2.70) con los
criterios de riesgo (2.73) para determinar si el riesgo (2,68) y / o su magnitud es aceptable o
tolerable
Nota 1 a la entrada: la evaluacin de riesgos ayuda a la decisin sobre el tratamiento del
riesgo (2,79).
2.75 Identificacin de riesgos
Proceso de encontrar, reconocer y describir los riesgos (2,68)
Nota 1 a la entrada: La identificacin de riesgos consiste en la identificacin de las fuentes
de riesgo, eventos, sus causas y sus consecuencias potenciales.
2.76 La gestin de riesgos
Actividades coordinadas para dirigir y controlar una organizacin (2.57) con respecto al
riesgo (2,68)
2.77 Proceso de gestin de riesgos
Aplicacin sistemtica de polticas, procedimientos y prcticas a las actividades de
comunicacin, consultora, estableciendo el contexto y la identificacin, anlisis,
evaluacin, tratamiento, seguimiento y revisin de riesgo (2,68)
Nota 1 a la entrada: ISO / IEC 27005 se utiliza el trmino "proceso" para describir la
gestin del riesgo global. Los elementos dentro del proceso de gestin de riesgos se
denominan actividades.
2.78 Propietario del riesgo
16

Persona o entidad que tiene la responsabilidad y la autoridad para administrar un riesgo
(2,68)
2.79 Tratamiento de riesgos
Proceso (2.61) para modificar el riesgo (2,68)
Nota 1 de la entrada: El tratamiento del riesgo puede implicar:
- Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al
riesgo;
- Tomar o el aumento del riesgo con el fin de perseguir una oportunidad;
- La eliminacin de la fuente de riesgo;
- El cambio de la probabilidad;
2.80 Escala
Conjunto ordenado de valores, continuo o discreto, o un conjunto de categoras a las que se
asigna el atributo (2.4)
2.81 Estndar de implementacin de seguridad
Documento que especifica maneras autorizadas de para llevar a cabo la seguridad.
2.82
Partes interesadas
Persona u organizacin que puede afectar, verse afectada por, o percibirse a s mismos a ser
afectados por una decisin o actividad
2.83 Amenaza
Causa potencial de un incidente no deseado, que puede resultar en dao a un sistema u
organizacin
2.84 La alta direccin
Persona o grupo de personas que dirige y controla a una organizacin (2.57) al ms alto
nivel.
17

Nota 1 a la entrada: La alta direccin tiene la facultad de delegar la autoridad y
proporcionar los recursos dentro de la organizacin.
2.85 Confianza entidad de comunicacin de informacin
Organizacin que apoya el intercambio de informacin autnoma dentro de una comunidad
de intercambio de informacin.
2.86 Unidad de medida
En particular la cantidad, definida y adoptada por convenio, con la que otras cantidades de
la misma clase se comparan con el fin de expresar su magnitud con relacin a la cantidad
2.87 Validacin
Confirmacin, a travs de la aportacin de evidencia objetiva, de que se han cumplido los
requisitos para un uso especfico previsto o aplicacin
[FUENTE: ISO 9000:2005]
2.88 Verificacin
Confirmacin, a travs de la aportacin de evidencia objetiva, de que se han cumplido los
requisitos especificados
[FUENTE: ISO 9000:2005]
Nota 1 a la entrada: Esto tambin podra ser llamada la prueba de conformidad.
2.89 Vulnerabilidad
Debilidad de un activo o de control (2.16) que puede ser explotada por una o ms amenazas
(2,83)
Evolucin de la familia de normas ISO IEC 27001
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO 14001
- BS 8800. Publicada en 1996. Origen de OHSAS 18001
18

La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad
de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se
estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez
en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI) para
ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin
cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO, con
algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO 17799. Esta ltima
norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as
como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS 7799-
3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie
27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC
27001, que es la norma principal y nica certificable dentro de la serie.

19

Conceptos generales de seguridad de la informacin
Seguridad de la informacin: modelo PDCA
Dentro de la organizacin el tema de la seguridad de la informacin es un captulo muy
importante que requiere dedicarle tiempo y recursos. La organizacin debe plantearse un
Sistema de Gestin de la Seguridad de la Informacin (SGSI).
El objetivo de un SGSI es proteger la informacin y para ello lo primero que debe hacer es
identificar los 'activos de informacin' que deben ser protegidos y en qu grado.
Luego debe aplicarse el plan PDCA ('PLAN DO CHECK ACT'), es decir Planificar,
Hacer, Verificar, Actuar y volver a repetir el ciclo. Se entiende la seguridad como un
proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar.
De los riesgos se desprende que los problemas de seguridad no son nicamente de
naturaleza tecnolgica, y por ese motivo nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y
terminan en Actuar, consiguiendo as mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas de
seguridad, se hace el anlisis de riesgos, se hace la seleccin de controles y el estado de
aplicabilidad
HACER (Do): consiste en implementar el sistema de gestin de seguridad de la
informacin, implementar el plan de riesgos e implementar los controles.
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditoras internas.
20

ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora,
acciones preventivas y acciones correctivas.
Bases de la Seguridad Informtica
Fiabilidad
Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene
Spafford, profesor de ciencias informticas en la Universidad Purdue (Indiana, EEUU) y
experto en seguridad de datos, dijo que el nico sistema seguro es aquel que est apagado
y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y
custodiado por guardianes bien pagados y muy bien armados. Aun as, yo no apostara mi
vida por l.
Hablar de seguridad informtica en trminos absolutos es imposible y por ese motivo se
habla ms bien de fiabilidad del sistema, que, en realidad es una relajacin del primer
trmino.
Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se
espera de l.
En general, un sistema ser seguro o fiable si podemos garantizar tres aspectos:
Confidencialidad: acceso a la informacin solo mediante autorizacin y de forma
controlada.
Integridad: modificacin de la informacin solo mediante autorizacin.
Disponibilidad: la informacin del sistema debe permanecer accesible mediante
autorizacin.

Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de
calidad del servicio que se ofrece. Pero esta propiedad, que hace referencia a la
21

disponibilidad, estara al mismo nivel que la seguridad. En nuestro caso mantenemos la
Disponibilidad como un aspecto de la seguridad.
Confidencialidad
En general el trmino 'confidencial' hace referencia a "Que se hace o se dice en confianza o
con seguridad recproca entre dos o ms personas." (http://buscon.rae.es)
En trminos de seguridad de la informacin, la confidencialidad hace referencia a la
necesidad de ocultar o mantener secreto sobre determinada informacin o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la
informacin.
En general, cualquier empresa pblica o privada y de cualquier mbito de actuacin
requiere que cierta informacin no sea accedida por diferentes motivos. Uno de los
ejemplos ms tpicos es el del ejrcito de un pas. Adems, es sabido que los logros ms
importantes en materia de seguridad siempre van ligados a temas estratgicos militares.
Por otra parte, determinadas empresas a menudo desarrollan diseos que deben proteger de
sus competidores. La sostenibilidad de la empresa as como su posicionamiento en el
mercado puede depender de forma directa de la implementacin de estos diseos y, por ese
motivo, deben protegerlos mediante mecanismos de control de acceso que aseguren la
confidencialidad de esas informaciones.
Un ejemplo tpico de mecanismo que garantice la confidencialidad es la Criptografa, cuyo
objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos
usuarios que no disponen de los permisos suficientes.
Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la
clave de encriptacin. Esta clave es necesaria para que el usuario adecuado pueda descifrar
la informacin recibida y en funcin del tipo de mecanismo de encriptacin utilizado, la
clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseadas
para ello. Si se produce esta situacin, la confidencialidad de la operacin realizada (sea
bancaria, administrativa o de cualquier tipo) queda comprometida.
Integridad
En general, el trmino 'integridad' hace referencia a una cualidad de 'ntegro' e indica "Que
no carece de ninguna de sus partes." y relativo a personas "Recta, proba, intachable.".
En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de
la informacin o recursos, y normalmente se expresa en lo referente a prevenir el cambio
impropio o desautorizado.
22

El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la
informacin.
La integridad hace referencia a:
la integridad de los datos (el volumen de la informacin)
la integridad del origen (la fuente de los datos, llamada autenticacin)
Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su
exactitud, credibilidad y confianza que las personas ponen en la informacin.
A menudo ocurre que al hablar de integridad de la informacin no se da en estos dos
aspectos.
Por ejemplo, cuando un peridico difunde una informacin cuya fuente no es correcta,
podemos decir que se mantiene la integridad de la informacin ya que se difunde por medio
impreso, pero sin embargo, al ser la fuente de esa informacin errnea no se est
manteniendo la integridad del origen, ya que la fuente no es correcta.
Disponibilidad
En general, el trmino 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho
de una cosa "Que se puede disponer libremente de ella o que est lista para usarse o
utilizarse."
En trminos de seguridad de la informacin, la disponibilidad hace referencia a que la
informacin del sistema debe permanecer accesible a elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no
autorizadas/controladas de los recursos informticos.
En trminos de seguridad informtica un sistema est disponible cuando su diseo e
implementacin permite deliberadamente negar el acceso a datos o servicios
determinados. Es decir, un sistema es disponible si permite no estar disponible.
Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.
Como resumen de las bases de la seguridad informtica que hemos comentado, podemos
decir que la seguridad consiste en mantener el equilibrio adecuado entre estos tres factores.
No tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan
siquiera el usuario administrador pueda acceder a l, ya que se est negando la
disponibilidad.
Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto
de la seguridad o a otro. En ambientes militares suele ser siempre prioritaria la
confidencialidad de la informacin frente a la disponibilidad. Aunque alguien pueda
23

acceder a ella o incluso pueda eliminarla no podr conocer su contenido y reponer dicha
informacin ser tan sencillo como recuperar una copia de seguridad (si las cosas se estn
haciendo bien).
En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la
confidencialidad o disponibilidad. Se considera menos daino que un usuario pueda leer el
saldo de otro usuario a que pueda modificarlo
Mecanismos bsicos de seguridad
Autenticacin
Definimos la Autenticacin como la verificacin de la identidad del usuario, generalmente
cuando entra en el sistema o la red, o accede a una base de datos.
Normalmente para entrar en el sistema informtico se utiliza un nombre de usuario y una
contrasea. Pero, cada vez ms se estn utilizando otras tcnicas ms seguras.
Es posible autenticarse de tres maneras:
Por lo que uno sabe (una contrasea)
Por lo que uno tiene (una tarjeta magntica)
Por lo que uno es (las huellas digitales)
La utilizacin de ms de un mtodo a la vez aumenta las probabilidades de que la
autenticacin sea correcta. Pero la decisin de adoptar ms de un modo de autenticacin
por parte de las empresas debe estar en relacin al valor de la informacin a proteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas.
Este mtodo ser mejor o peor dependiendo de las caractersticas de la contrasea. En la
medida que la contrasea sea ms grande y compleja para ser adivinada, ms difcil ser
burlar esta tcnica.
Adems, la contrasea debe ser confidencial. No puede ser conocida por nadie ms que el
usuario. Muchas veces sucede que los usuarios se prestan las contraseas o las anotan en un
papel pegado en el escritorio y que puede ser ledo por cualquier otro usuario,
comprometiendo a la empresa y al propio dueo, ya que la accin/es que se hagan con esa
contrasea es/son responsabilidad del dueo.
Para que la contrasea sea difcil de adivinar debe tener un conjunto de caracteres amplio y
variado (con minsculas, maysculas y nmeros). El problema es que los usuarios
difcilmente recuerdan contraseas tan elaboradas y utilizan (utilizamos) palabras
previsibles (el nombre, el apellido, el nombre de usuario, el grupo musical preferido,...),
que facilitan la tarea a quin quiere entrar en el sistema sin autorizacin.
Autorizacin
24

Definimos la Autorizacin como el proceso por el cual se determina qu, cmo y cundo,
un usuario autenticado puede utilizar los recursos de la organizacin.
El mecanismo o el grado de autorizacin puede variar dependiendo de qu sea lo que se
est protegiendo. No toda la informacin de la organizacin es igual de crtica. Los recursos
en general y los datos en particular, se organizan en niveles y cada nivel debe tener una
autorizacin.
Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un
formulario o mediante una contrasea, pero siempre es necesario que dicha autorizacin
quede registrada para ser controlada posteriormente.
En el caso de los datos, la autorizacin debe asegurar la confidencialidad e integridad, ya
sea dando o denegando el acceso en lectura, modificacin, creacin o borrado de los datos.
Por otra parte, solo se debe dar autorizacin a acceder a un recurso a aquellos usuarios que
lo necesiten para hacer su trabajo, y si no se le negar. Aunque tambin es posible dar
autorizaciones transitorias o modificarlas a medida que las necesidades del usuario varen.
Gestin de seguridad de la informacin
El manejo de riesgos
Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las alternativas
para manejar los posibles riegos que un activo o bien puede tener dentro de los procesos de
organizacin. Esta clasificacin lleva el nombre de manejo de riegos. El manejo de riesgos,
conlleva una estructura bien definida, con un control adecuado y su manejo, habindolos
identificado, priorizados y analizados, a travs de acciones factibles y efectivas. Para ello se
cuenta con las siguientes tcnicas de manejo del riesgo:
Evitar. El riesgo es evitado cuando la organizacin rechaza aceptarlo, es decir, no
se permite ningn tipo de exposicin. Esto se logra simplemente con no
comprometerse a realizar la accin que origine el riesgo. Esta tcnica tiene ms
desventajas que ventajas, ya que la empresa podra abstenerse de aprovechar
muchas oportunidades. Ejemplo:
No instalar empresas en zonas ssmicas

Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo
operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible.
Esta opcin es la ms econmica y sencilla. Se consigue optimizando los
procedimientos, la implementacin de controles y su monitoreo constante. Ejemplo:
No fumar en ciertas reas, instalaciones elctricas anti flama, planes de
contingencia.
25

Retener, Asumir o Aceptar el riesgo. Es uno de los mtodos ms comunes del
manejo de riesgos, es la decisin de aceptar las consecuencias de la ocurrencia del
evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el
reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas
involucradas, esta decisin se da por falta de alternativas. La retencin involuntaria
se da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el riesgo:
Con recursos propios se financian las prdidas.

Transferir. Es buscar un respaldo y compartir el riesgo con otros controles o
entidades. Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y
transferirlo a otro, o para minimizar el mismo, compartindolo con otras entidades.
Ejemplo:
Transferir los costos a la compaa aseguradora

26

Norma ISO/IEC 27001:2005. Contenido

27

Especificaciones para los sistemas de seguridad de la informacin

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar
y evaluar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).
Entre las actividades propias a desarrollar al abordar una implantacin a ISO27001 se
encuentran:
Definicin del alcance del SGSI
Definicin de una Poltica de Seguridad
Definicin de una metodologa y criterios para el Anlisis y Gestin del
Riesgo
Identificacin de riesgos
Evaluacin de los posibles tratamientos del riesgo
Elaboracin de una Declaracin de Aplicabilidad de controles y requisitos
Desarrollo de un Plan de Tratamiento de Riesgos
Definicin de mtricas e indicadores de la eficiencia de los controles
Desarrollo de programas de formacin y concienciacin en seguridad de la
informacin
Gestin de recursos y operaciones
Gestin de incidencias
Elaboracin de procedimientos y documentacin asociada
Como otras Normas de gestin (ISO 9000, ISO 14001, etc.), los requisitos de esta Norma
aplican a todo tipo de Organizaciones, independientemente de su tipo, tamao o rea de
actividad. Asimismo, est basada en un enfoque por procesos y en la mejora continua, por
lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestin que ya
existan en la Organizacin.

28

Beneficios de la implantacin de la norma ISO 27001

La implantacin de la norma ISO/IEC 27001 proporciona diferentes ventajas a cualquier
organizacin:
Reduccin del impacto de los riesgos, que en caso de materializarse las amenazas,
puedan representar prdidas (de capital, de facturacin, de oportunidades de
negocio, por reposicin de los daos causados, reclamaciones de clientes, sanciones
legales, etc), al aumentar la seguridad efectiva de los sistemas de informacin, con
una mejor planificacin y gestin de la seguridad.
Garantas de continuidad del negocio basndose en el Plan de Contingencias.
Mejora de la imagen de la organizacin y aumento del valor comercial de la
empresa y sus marcas.
Incremento de los niveles de confianza de clientes, proveedores, accionistas y
socios.
Mejora del retorno de las inversiones, al tener mejor criterio segn los riesgos
residuales aceptados y ahorro de tiempo y dinero al reducir o eliminar actividades o
inversiones de escasa o nula aplicabilidad a los niveles de riesgo identificados en el
negocio.
Cumplimiento de la legislacin y normativa vigentes, tales como de Proteccin de
datos de Carcter personal, de Servicios de la Sociedad de la Informacin o de
Propiedad Intelectual.
Mejora continua a travs de la metodologa PDCA (Planificar, Hacer, Verificar y
Actuar).
En definitiva, establece una cultura de la seguridad y una excelencia en el tratamiento de la
informacin en todos los procesos de negocio de la empresa, aportando un valor aadido de
reconocido prestigio, en la calidad de los servicios que ofrece a sus clientes.

SGSI Engargolar

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SGSI Engargolar

Enviado por

Direitos autorais:

Formatos disponíveis

Fundamentos de la Gestin de

Você também pode gostar