Iso 27001

ISO 27001
• ISO 27001 es una norma desarrollada

por ISO (organización internacional de
Normalización) con el propósito de
ayudar a gestionar la Seguridad de la
Información en una empresa.
• La nomenclatura exacta de la Norma
actual es ISO/IEC 27001 que es la
revisión de la norma en su primera
versión que fue publicada en el año
2005 como una adaptación de ISO de
la norma británica BS 7799-2
IMPLEMENTACIÓN DE LA ISO 27001
• El certificado ISO 27001 le interesa a
cualquier tipo de empresa sin importar su
tamaño y actividad. El factor clave para
decidir sobre la implantación de un
sistema de gestión de la seguridad de la
información radica en la importancia que
los activos de información tienen dentro
de una organización como elementos
imprescindibles para la obtención de sus
objetivos.
• Actualmente a nivel mundial la norma ISO
27001 es la norma de referencia para
certificar la seguridad de la información en
las organizaciones
IMPLEMENTACIÓN DE UN SGSI
La implementación de un sistema de Gestión para la seguridad de la información es la parte central
de la norma ISO IEC 27001.
DEFINICION DE SGSI SEGÚN ISO 27001:2013
Un sistema de gestión para la Seguridad de la información se compone de una serie de procesos

para implementar, mantener y mejorar de forma continua la seguridad de la información tomando
como b ase los riesgos que afectan a la seguridad de la información en una empresa u organización
Pasos para implantar un SGSI en una empresa:

1. La adopción de procesos formales.
2. La definición de responsabilidades de cara a la seguridad de la información.
3. Establecimiento de políticas, planes y procedimientos para la seguridad de la información.
4. Conservar y mantener información documentada como respaldo.
IMPLANTANDO LA NORMA ISO 27001
A la hora de implantar un Sistema de Gestión de la
Seguridad de la Información (SGSI) según la norma
ISO 27001, debemos considerar como eje central de este
sistema la Evaluación de Riesgos. Este capítulo de la
Norma, permitirá a la dirección de la empresa tener la
visión necesaria para definir el alcance y ámbito de
aplicación de la norma, así como las políticas y medidas a
implantar, integrando este sistema en la metodología de
mejora continua, común para todas las normas ISO.
Lo primero, es elegir una metodología de evaluación del
riesgo apropiada para los requerimientos del negocio.
Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología
sugerida en la Norma.
Las fases de esta metodología son los siguientes:
IMPLANTANDO LA NORMA ISO 27001
•1.- Identificar los ACTIVOS DE INFORMACIÓN y sus responsables, entendiendo por activo todo aquello que
tiene valor para la organización, incluyendo soportes físicos (edificios o equipamientos), intelectuales o informativas
(Ideas, aplicaciones, proyectos ...) así como la marca, la reputación etc.
•2.- Identificar las VULNERABILIDADES de cada activo: aquellas debilidades propias del activo que lo hacen
susceptible de sufrir ataques o daños.
•3.- Identificar las AMENAZAS: Aquellas cosas que puedan suceder y dañar el activo de la información, tales como
desastres naturales, incendios o ataques de virus, espionaje etc.
•4.- Identificar los REQUISITOS LEGALES y contractuales que la organización está obligada a cumplir con sus
clientes, socios o proveedores.
•5.- IDENTIFICAR LOS RIESGOS: Definir para cada activo, la probabilidad de que las amenazas o las
vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información, en relación a su
disponibilidad, confidencialidad e integridad del mismo.
•6.- CÁLCULO DEL RIESGO: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto que
este tiene sobre la organización (Riesgo = impacto x probabilidad de la amenaza). Con este procedimiento
determinamos los riesgos que deben ser controlados con prioridad.
•7.- PLAN DE TRATAMIENTO DEL RIESGO: En este punto estamos preparados para definir la política de
tratamiento de los riesgos en función de los puntos anteriores y de la política definida por la dirección. En este
punto, es donde seleccionaremos los controles adecuados para cada riesgo, los cuales irán orientados a : Asumir el
riesgo, Reducir el riesgo, Eliminar el riesgo y Transferir el riesgo
TIPO DE PROCESOS
En un sistema de gestión de la seguridad de la información nos encontraremos con dos
tipos de procesos.
1 PROCESOS DE GESTIÓN: Propios del sistema de gestión básicamente enfocada a

conseguir la revisión y mejora continua del sistema y que serán comunes a los procesos
de gestión de calidad, medioambiente etc.
2 PROCESOS SOBRE LA SEGURIDAD DE LA INFORMACIÓN: Procesos propios de la

seguridad de la información que se integraran dentro de los procesos propios de cada
actividad empresarial en conjunto con las demás dimensiones como la calidad o el
medioambiente.
NORMATIVA ISO 27001
• Para alcanzar el objetivo de implantar un sistema de gestión de la seguridad de la
información la norma ISO 27001 cuenta con dos cuerpos normativos.
• ISO 27001 Requisitos para un sistema de Gestión (SGSI).
• ISO 27002 Guía de buenas prácticas para la implantación de un SGSI.
• ISO 27001 es la norma Certificable y que contiene los requisitos para implantar un
sistema de Seguridad de la información.
• ISO 27002 se trata mas bien de una guía que nos proporciona los posibles controles o
instrumentos de control previamente pensados y diseñados específicamente para
abordar los problemas o peligros para la seguridad de la información. Los peligros
para la seguridad de la información han de ser identificados durante un proceso de
evaluación de riesgos formal, previsto en los requisitos de la norma ISO 27001.
ISO 27001 REFERENCIAS
NORMATIVAS: ISO 27000
Tal como hace referencia el título de este capítulo de la norma, en él se citan las
referencias normativas en las que está basada la norma ISO 27001.
Actualmente se cita como referencia normativa la norma ISO / IEC 27000: 2018
tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad
de la información - Descripción general y vocabulario
ISO / IEC 27000: 2018 nos aporta una perspectiva general de los sistemas de gestión de
seguridad de la información (SGSI). Para ello, nos proporciona los términos y
definiciones que se utilizan comúnmente en la familia de normas sobre seguridad de la
información.
CASO PRÁCTICO:
Por ejemplo, un Firewall, implementado con el propósito específico de limitar el riesgo al controlar el acceso,
a menudo tiene configuraciones tan complicadas que es imposible entender qué acceso se permite. Esto
dificulta el entendimiento del riesgo que está limitando o exponiendo. Ayudar a analizar estas
configuraciones complejas y proporcionar visibilidad sobre qué acceso se permite o deniega ha sido un valor
clave de Security Manager durante más de una década.
Se necesita, por tanto, más que un análisis ocasional para garantizar una seguridad efectiva.
Con los cambios casi constantes que ocurren en la red y el panorama dinámico de amenazas, se requiere una
evaluación continua de la seguridad.
La forma más efectiva de automatizar este análisis es establecer controles, definiciones de configuración o
comportamiento correctos o incorrectos y evaluar continuamente la seguridad de la red con respecto a esos
controles. Lo que hace con este análisis es lo que separa a las organizaciones de seguridad verdaderamente
efectivas del resto.
Mejorar la seguridad requiere algo más que arreglar lo que está roto. Requiere medir la efectividad de las
operaciones de seguridad; Tecnología, personas y procesos. La evaluación continua de los controles de seguridad
definidos y la medición de los resultados a lo largo del tiempo crea un marco para medir las operaciones de
seguridad.
Establecer la expectativa de que la mejora es el objetivo, dará como resultado una mejor seguridad.
CASO PRÁCTICO: EJEMPLO DE
CONTROL TÉCNICO
Por Los cortafuegos serán principalmente controles preventivos. Los Sistemas de protección
contra intrusión (IPS) podrían configurarse para ser tanto preventivos como de detección. Los
Sistemas de Detección de intrusiones (IDS) serán puramente controles de identificación o
de detección. Reinstalar un sistema operativo sospechoso de tener malware será entonces
un control correctivo.
Los controles forenses y la respuesta a incidentes son ejemplos de controles
administrativos o de personal que en todo caso se enmarcan como controles correctivos.
CONTOLES ALTERNATIVOS
Finalmente existen una serie de controles que podemos llamar alternativos o de compensación
Los controles alternativos están diseñados para acercarse lo más posible al el efecto que de los
controles originales, cuando los controles diseñados originalmente no pueden usarse debido a
las limitaciones del entorno.
Estos generalmente se requieren cuando nuestros controles de la fase de actividad no están
disponibles o cuando fallan.
ISO 27002
La norma ISO 27002 (anteriormente denominada ISO 17799)
es un estándar para la seguridad de la información que ha
publicado la organización internacional de normalización y la
comisión electrotécnica internacional. La versión más
reciente de la norma ISO 27002:2013.
La norma ISO 27002 proporciona diferentes
recomendaciones de las mejores prácticas en la gestión de
la seguridad de la información a todos los interesados y
responsables para iniciar, implementar o mantener sistemas
de gestión de la seguridad de la información. La seguridad de
la información se define en el estándar como “la
preservación de la confidencialidad, integridad y
disponibilidad.
La norma ISO 27002 se encuentra organizado en base a los
14 dominios, 35 objetivos de control y 114 controles.
La norma ISO 27002 se
encuentra organizado en
base a los 14 dominios, 35
objetivos de control y 114
controles.
CASO PRÁCTICO: EJEMPLO DE
CONTROL TÉCNICO
Por Los cortafuegos serán principalmente controles preventivos. Los Sistemas de protección
contra intrusión (IPS) podrían configurarse para ser tanto preventivos como de detección. Los
Sistemas de Detección de intrusiones (IDS) serán puramente controles de identificación o
de detección. Reinstalar un sistema operativo sospechoso de tener malware será entonces
un control correctivo.
Los controles forenses y la respuesta a incidentes son ejemplos de controles
administrativos o de personal que en todo caso se enmarcan como controles correctivos.
CONTOLES ALTERNATIVOS
Finalmente existen una serie de controles que podemos llamar alternativos o de compensación
Los controles alternativos están diseñados para acercarse lo más posible al el efecto que de los
controles originales, cuando los controles diseñados originalmente no pueden usarse debido a
las limitaciones del entorno.
Estos generalmente se requieren cuando nuestros controles de la fase de actividad no están
disponibles o cuando fallan.

Iso 27001

Cargado por

Copyright:

Formatos disponibles

Iso 27001

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27001

Cargado por

Copyright:

Formatos disponibles

ISO 27001

• ISO 27001 es una norma desarrollada

DEFINICION DE SGSI SEGÚN ISO 27001:2013

Un sistema de gestión para la Seguridad de la información se compone de una serie de procesos

Pasos para implantar un SGSI en una empresa:

1 PROCESOS DE GESTIÓN: Propios del sistema de gestión básicamente enfocada a

2 PROCESOS SOBRE LA SEGURIDAD DE LA INFORMACIÓN: Procesos propios de la

También podría gustarte