Taller de Implementación

de la norma ISO 27001

Oficina Nacional de Gobierno Electrónico e Informática

 Agenda

 Sección 1: Principios fundamentales de la Seguridad

de la Información
 Sección 2: Estándar y Marco Normativo

 Sección 3: Implementación de la Norma ISO 27001

2
 Sección 1

Principios fundamentales de la
Seguridad de la Información

3
 ¿Qué es Seguridad?

• El término seguridad proviene

de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la
reducción del riesgo o también
a la confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según
el área o campo a la que haga
referencia.

4
 Información y Activo

• Información: Datos significativos

• Activo: Cualquier bien que tiene valor para la
organización

5
 Activo de Información

• Las organizaciones poseen información que deben

proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las
empresas es lo que se denomina activo de
información.

6
 Tipos de Activos de
Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
 Documento - Registro

• Documento: Información y su medio de soporte

• Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeñadas

8
 Seguridad de la Información

La seguridad de la información es el conjunto de

medidas preventivas y reactivas de
las organizaciones que permiten resguardar y proteger
la información buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.

Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad

9
 Seguridad de la Información

Abarca todo tipo de información

 Impresa o escrita a mano
 Grabada con asistencia técnica
 Transmitida por correo electrónico o electrónicamente
 Incluida en un sitio web
 Mostrada en videos corporativos
 Mencionada durante las conversaciones
 Etc.

10
 Confidencialidad

• La confidencialidad es la propiedad que impide la

divulgación de información a personas o sistemas no
autorizados.
• A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la
debida autorización.

11
 Integridad

• Es la propiedad que busca mantener los datos libres

de modificaciones no autorizadas.
• La integridad es mantener con exactitud la
información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.

12
 Disponibilidad

• La disponibilidad es la característica, cualidad o

condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
• La disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento
que así lo requieran.

13
 Análisis de Riesgos
Vulnerabilidad

• La debilidad de un activo o de un control que puede

ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o
extrínsecas.

14
 Análisis de Riesgos
Amenazas

• Una Amenaza es la posibilidad de ocurrencia de

cualquier tipo de evento o acción que puede
producir un daño (material o inmaterial) sobre
los Elementos de Información.

15
 Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza

16
 Impacto

Cambio adverso importante en el nivel de los objetivos

de negocios logrados

17
 Riesgo para la Seguridad de la
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por
lo tanto causará daño a la organización

Probabilidad Consecuencia
de
Ocurrencia
(Impacto) Riesgo

18
 El Riesgo en función del
Impacto y la Probabilidad
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
pero de muy alto impacto
19
 Objetivo de Control y Control

Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de
seguridad

20
 Tipos de Controles

Control preventivo
 Desalentar o evitar la aparición de problemas
 Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.

21
 Tipos de Controles

Control de investigación
 Buscar e identificar anomalías
 Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).

22
 Tipos de Controles

Control correctivo
 Evitar la repetición de anomalías
 Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar
seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23
Las Relaciones entre Conceptos de
Gestión de Riesgos

24
 Sección 2

Estándar y Marco Normativo

25
 ¿Qué es ISO?

• ISO es una red de organismos nacionales de

estandarización de mas de 160 países.
• Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
• Se han publicado mas de 19,000 normas desde 1947

26
 Principios
Básicos de las Normas ISO

1. Representación igualitaria: 1 voto por país

2. Adhesión voluntaria: ISO no tiene la autoridad

para forzar la adopción de sus normas
Principios
Básicos de las 3. Orientación al negocio: ISO sólo desarrolla
normas para las que existe demanda del mercado
Normas ISO
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas

5. Cooperación internacional: más de 160 países

además de organismos de enlace
27
 ¿Qué son los Sistemas de Gestión?

• Un sistema de gestión es una estructura

probada para la gestión y mejora continua
de las políticas, los procedimientos y
procesos de la organización.

• Un sistema de gestión ayuda a lograr los

objetivos de la organización mediante una
serie de estrategias, que incluyen la
optimización de procesos, el enfoque
centrado en la gestión y el pensamiento
disciplinado.

28
 Los Sistemas de Gestión se Integran

SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001

29
 ¿Qué es un SGSI?

• Un SGSI (Sistema de Gestión de Seguridad de la

Información) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la protección de los activos de información para
lograr objetivos de negocio.

• El análisis de los requisitos para la protección de los

activos de información y la aplicación de controles
adecuados para garantizar la protección de estos activos
de información, contribuye a la exitosa implementación
de un SGSI.
En ingles se conoce con las siglas ISMS (Information
security management system) 30
 ¿Qué es un SGSI?

El Sistema de Gestión de la Seguridad de la Información

(SGSI) en las empresas ayuda a establecer
estas políticas, procedimientos y controles en relación
a los objetivos de negocio de la organización.

31
Enfoque a Procesos

32
 Ciclo de Deming

• El circulo de DEMING se constituye como una de las

principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.
• El conocido Ciclo Deming o también se le denomina el
ciclo PHVA que quiere decir según las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)

33
Ciclo de Deming

34
 Familia
ISO 27000
Vocabulario

ISO 27000
Vocabulario
Requisitos

ISO 27001 ISO 27009

Requisitos del Requisitos organización
SGSI certificadora
Generalidades

ISO 27002 ISO 27003 ISO 27005

ISO 27004 ISO 27007-27008
Código buenas Guía de Gestión de
Métricas Guías de Auditoria
practicas Implementación Riesgos
Industria

ISO 27011 ISO 27799 ISO 270XX

Telecomunicaciones Salud Vocabulario

35
 ISO 27001

• Especifica los requisitos de gestión

de un SGSI (Cláusula 4 a 10)

• Los requisitos (cláusulas) son

escritos utilizando el verbo
"deberán" en imperativo

• Anexo A: 14 cláusulas que

contienen 35 objetivos de control y
114 controles

• La organización puede ser

certificada en esta norma
36
 ISO 27002

• Guía para el código de prácticas para los

controles de la seguridad de la
información (Documento de referencia)

• Cláusulas escritas utilizando el verbo

"debería"

• Compuesto de 14 cláusulas, 35 objetivos

de control y 114 controles

• Una organización no puede ser certificada

en esta norma

• También conocida como ISO 17799

37
 ISO 27003

• Guía para el código de prácticas para

la implementación de un SGSI

• Documento de referencia para ser

utilizado con las normas ISO 27001 e
ISO 27002

• Consta de 9 cláusulas que definen 28

etapas para implementar un SGSI

• La certificación con esta norma no es

posible

38
Historia de la Norma
ISO 27001

39
 Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organización

Clausula 5
Planificación

Clausula 10 Clausula 8
Mejora Funcionamiento

Clausula 9
Evaluación del
Clausula 7 desempeño Clausula 5
Soporte Liderazgo

40
 Sección 3

Implementación de la Norma ISO 27001

41
 Enfoque a Procesos

• La aplicación del enfoque de proceso variará de una

organización a otra en función de su tamaño,
complejidad y actividades
• A menudo las organizaciones identifican demasiados
procesos
• Los procesos se pueden definir como un grupo lógico
de tareas relacionadas entre sí, para alcanzar un
objetivo definido.

ENTRADA PROCESO SALIDA

42
 Información Documentada
Ciclo de Vida de los Documentos
1. Creación

2. Identificación

3. Clasificación y seguridad

4. Modificación

5. Aprobación

6. Distribución

7. Uso adecuado

8. Archivado

9. Disposición
43
 ISO 30301

• Información y
documentación. Sistemas
de gestión para
documentos. Requisitos
• La organización puede ser
certificada en esta norma

44
 La implantación de un Sistema de
Gestión de Seguridad de la Información es
una decisión estratégica
que debe involucrar a toda la organización y
que debe ser apoyada y
dirigida desde la dirección

45

• Compromisode la dirección
• Planificación
• Fechas
• Responsables
• Implantar mejoras
• Acciones correctivas
• Acciones Preventivas
• Comprobareficacia de las
acciones
Etapas
Ciclo de Deming
• Definir alcance del SGSI
• Definir Política de Seguridad
• Metodología de evaluación de
riesgos.
• Inventarios de activos
• Identificar amenazas y
vulnerabilidades
• Identificar Impactos
• Análisis y evaluación de riesgos
• Selección de controles y SOA
• Definir plan de tratamientode
riesgos
•
Implantar plan de tratamiento
de riesgos
• Implementar controles
• Formacióny concienciación
• Operar el SGSI
• Revisar el SGSI
• Medir eficacia de los controles
• Revisar riesgos residuales
• Realizar auditoriasinternasdel
SGSI
• Registrar acciones y eventos 46
 Iniciando el SGSI

 Definición del enfoque para la aplicación del SGSI

• Velocidad de Implementación
• Nivel de madurez del proceso y controles
• Expectativas y ámbito
 Selección de un marco metodológico
• Metodología para gestionar el proyecto (PMBOK)
 Alineación con las mejores practicas
• ISO 27001
• ISO 27002
• ISO 27003
• ISO 27004
47
 Nivel de Madurez

Es importante determinar
en que nivel se encuentra la
organización, para ello
CMM muestra la madurez
de una organización
basándose en la capacidad
de sus procesos

48