SlideShare una empresa de Scribd logo

La norma ISO 27001

Andy Juan Sarango Veliz
Andy Juan Sarango Veliz

Seguridad Informática

Ingeniería
1 de 23
Descargar para leer sin conexión
La norma ISO 27001 Aspectos clave de su diseño e implantación
La norma ISO 27001: Aspectos claves de su diseño e implantación Índice 1. El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000. . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3. La implementación de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4. Definición de un plan de tratamiento de riesgos o esquema de mejora . . . . 5 5. El alcance de la gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6. Contexto de organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7. Partes interesadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8. Fijación y medición de objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 9. El proceso documental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 10. Auditorías internas y revisión por la Dirección . . . . . . . . . . . . . . . . . . . . . 11 11. Cómo automatizar el SGSI según ISO 27001. . . . . . . . . . . . . . . . . . . . . . . . 12 12. Sectores más interesados en la implantación de este sistema . . . . . . . 12
3 La norma ISO 27001: Aspectos claves de su diseño e implantación 1. El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000 Las amenazas a los activos de información En la actualidad, las empresas se enfrentan a muchos riesgos e inseguridades procedentes de focos diversos. Esto quiere decir que los activos de información de las empresas, uno de sus valores más importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia tipología de vul- nerabilidades. La seguridad de estos activos de información está en función de la correcta ges- tión de una serie de factores como: la capacidad, la elaboración de un plan de contingencia frente a los incidentes, el análisis de riesgos, las competencias, el grado de involucración de la Dirección, las inversiones en seguridad y el grado de implementación de controles.
4 La norma ISO 27001: Aspectos claves de su diseño e implantación Aunque existen muchos soportes documentales diferentes, como la información en papel o los soportes analógicos participantes, lo cierto es que, en la actualidad, la mayor parte de la información gestionada por una empresa se sustenta en la información automatizada (informatizada) a través de las nuevas herramientas de las Tecnologías de la Información y la Comunicación (TICs). Por este moti- vo, la tendencia de la norma ISO 27001 es tratar aspectos mayoritariamente del rango informático. Aspectos claves de un SGSI basado en la norma ISO 27001 La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros. Por otro lado, también permite establecer los controles y estrategias más ade- cuadas para eliminar o minimizar dichos peligros. Como ocurre con todas las normas ISO, la 27001 es un sistema basado en enfo- que basado en el ciclo de mejora continua o de Deming. Dicho ciclo consiste, como ya sabemos, en Planificar-Hacer-Verificar-Actuar, por lo que se le conoce también como ciclo PDCA (acrónimo de sus siglas en inglés Plan-Do-Check-Act). Trasladado a las necesidades de un SGSI, el ciclo PDCA planteado por la ISO 27001 se dividiría en los siguientes pasos, cada uno de ellos ligado a una serie de acciones: PLANIFICAR Definir la política de seguridad Establecer al alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles Definir competencias Establecer un mapa de procesos Definir autoridades y responsabilidades HACER Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles
5 La norma ISO 27001: Aspectos claves de su diseño e implantación CONTROLAR Revisar internamente el SGSI Realizar auditorías internas del SGSI Poner en marcha indicadores y métricas Hacer una revisión por parte de la Dirección ACTUAR Adoptar acciones correctivas Adoptar acciones de mejora Relación de la norma ISO 27001 con la ISO 22301 y la ISO /IEC 20000 La norma ISO 27001, que como hemos visto está muy enfocada en la parte infor- mática de la empresa, se encuentra muy ligada y tiene puntos en común con otras dos normas ISO: la ISO 22301 de continuidad del negocio y la ISO/IEC 20000, de gestión de servicios TI (Tecnología de la Información). La ISO 22301 trabaja el tema de la seguridad en la empresa desde una pers- pectiva mucho más general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los factores ligados con la producción y la operativa. Las normas ISO 27001, ISO 22301 y ISO/IEC 20000 mantienen una relación de confluencia en ciertos puntos pero, sobre todo, de complementariedad, logrando en conjunto altos niveles de garantía en lo que respecta a la correcta evaluación, prevención, tratamiento y solución de riesgos para la empresa relacionados con la TI. El estándar 22301 se centra en diversos aspectos de la organización que van a permitir su sustentabilidad, utilizando para ello ciertos elementos y controles que van a evitar las consecuencias de las distintas amenazas, así como también encontrar las causas que motivan el problema.
6 La norma ISO 27001: Aspectos claves de su diseño e implantación Un aspecto muy importante de la norma ISO 22301, que no tiene en cuenta la 27001, son los tiempos de recuperación, una cuestión crucial para poder evaluar si nuestro plan de contingencia es el adecuado para poder reanudar la actividad en unos niveles aceptables para la organización, una vez ha ocurrido el incidente. Otra noma relacionada con la ISO 27001 es el estándar ISO/IEC 20000, de ges- tión de la calidad de los servicios TI (Tecnologías de la Información): hosting, páginas web, elearning, desarrollo de software. Todo ello val ligado a la continui- dad del negocio y de los servicios de información y, en conjunto, sirve para garan- tizar un servicio seguro, sin interrupciones importantes y de calidad. Fases de un SGSI basado en la norma ISO 27001 En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI 1. Análisis y evaluación de riesgos. 2. Implementación de controles 3. Definición de un plan de tratamiento de los riesgos o esquema de mejora 4. Alcance de la gestión 5. Contexto de organización 6. Partes interesadas 7. Fijación y medición de objetivos 8. Proceso documental 9. Auditorías internas y externas ElpropósitodeunSistemadeGestióndela SeguridaddelaInformaciónes,portanto, garantizarquelosriesgosdelaseguridad delainformaciónseanconocidos, asumidos,gestionadosyminimizados porlaorganizacióndeunaforma documentada,sistemáticay estructurada A continuación, pasamos a desarrollar cada una de estas fases.
7 La norma ISO 27001: Aspectos claves de su diseño e implantación 2. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad Identificación de las amenazas Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la iden- tificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos. Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques infor- máticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico. Pero en ocasiones basta una omisión o despiste por parte del personal de la em- presa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información. En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.
8 La norma ISO 27001: Aspectos claves de su diseño e implantación Para garantizar la correcta gestión de la seguridad de la información se deben identificar inicialmente sus aspectos más relevantes. Un correcto proceso de identificación de riesgos implica: • Identificar todos aquellos activos de información que tienen algún valor para la organización. • Asociar las amenazas relevantes con los activos identificados. • Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas. • Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo. Análisis y evaluación de los riesgos y sus consecuencias Se debe analizar el impacto en el negocio de un fallo de seguridad que su- ponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos. Además de riesgo en sí, es necesario analizar también sus consecuencias po- tenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales. Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases: 1. Recogida y preparación de la información. 2. Identificación, clasificación y valoración los grupos de activos. 3. Identificación y clasificación de las amenazas. 4. Identificación y estimación de las vulnerabilidades. 5. Identificación y valoración de impactos: identificar, tipificar y valorar los im- pactos. 6. Evaluación y análisis del riesgo.
9 La norma ISO 27001: Aspectos claves de su diseño e implantación Criticidad del riesgo Por este motivo, se deben evaluar las consecuencias potenciales para poder eva- luar su criticidad: riesgo aceptable y riesgo residual. Riesgo aceptable No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc. Riesgo residual Se trata del riesgo que permanece y subsiste después de haber implemen- tado los debidos controles, es decir, una vez que la organización haya desarro- llado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente. El riesgo residual puede entenderse comoloque separaa lasorganizaciones de la seguridad absoluta El compromiso del liderazgo La norma ISO 27001 otorga un peso cualitativo muy importante a la Direc- ción, la cual debe ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo: se tiene que establecer con exacti- tud quién tiene que hacer cada función y cómo ejecutarla. Los dueños del riesgo La norma ISO 27001 establece la figura de Dueño del Riesgo, asociándose cada amenaza potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las distintas actividades. Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.
10 La norma ISO 27001: Aspectos claves de su diseño e implantación Por lo tanto, es necesario definir la estructura organizacional del SGSI, selec- cionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución. 3. La implementación de controles Con el objetivo de que cada riesgo identificado previamente quede cubierto y pue- da ser auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113 puntos de control (en la versión anterior del 2005 eran 133). Los 113 controles están divididos por grandes objetivos: • Políticas de seguridad de la información. • Controles operacionales. Cada empresa, según su parecer, puede añadir más puntos de control si lo consi- dera conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional, pero siempre deben estar alineados a lo que pide la norma.
11 La norma ISO 27001: Aspectos claves de su diseño e implantación 4. Definición de un plan de tratamiento de los riesgos o esquema de mejora Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en el que se tengan en cuenta las distintas consecuencias poten- ciales de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas. Formas de afrontar el riesgo Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo. Eliminar el riego Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se lle- gue realmente a producir. Mitigarlo En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. En estos casos la organi- zación puede aceptar el riego, ser consciente de que la amenaza para la informa- ción existe y dedicarse a monitorearlo con el fin de controlarlo. En definitiva, se trata de implantar las medidas preventivas o correctivas ne- cesarias con el fin de reducir la posibilidad de ocurrencia o el impacto de riesgo. Trasladarlo Esta opción está relacionada con la contratación de algún tipo de seguro que com- pense las consecuencias económicas de una pérdida o deterioro de la información. Sea cual el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a la organización la tranquilidad de tener suficientemente identificados los riesgos y los controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual materialización de los mismos.
12 La norma ISO 27001: Aspectos claves de su diseño e implantación En cualquier caso, a la hora de elegir una u otra opción la empresa debe mante- ner el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de la información para los procesos de la empresa y el nivel de critici- dad del riesgo. Establecimiento de un rango para cada control A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el acceso a un área segura podría dividirse en: Rango 1. No hay establecida ninguna medida de seguridad. Rango 2. Existe alguna medida de seguridad pero no se ha establecido una pauta concreta ni periodicidad. Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación de las mismas. Rango 4. Los controles tienen establecidos una periodicidad, evaluación y segui- miento. Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la empresa que lo gestiona y está implementada dentro de la propia organización.
13 La norma ISO 27001: Aspectos claves de su diseño e implantación La empresa debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la seguridad de la información, teniendo en cuenta que los contro- les de carácter preventivo son más eficaces que los correctivos. Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse). Todos estos controles siguen un ciclo de mejora continua vinculado al plan de tratamiento de riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual, que es el riesgo bruto mitigado por los controles. Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean necesarias. Los controles están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y especificidad los diferencian de los existentes en otras normas, que tienen un carácter más generalista y transversal. El concepto de control en esta norma se debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir o auditar ciertos riesgos 5. El alcance de la gestión En la planeación para la implementación de un SGSI es muy importante definir el alcance para la implementación del sistema en una organización. Teniendo en cuenta que existen organizaciones que difieren en tamaño por el número de empleados, volumen de información manejada, número de clientes, volúmenes de activos físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario determinar cómo se debe implantar un SGSI.
14 La norma ISO 27001: Aspectos claves de su diseño e implantación Por ejemplo, se debe elegir en qué áreas o dependencias de la organización se desea implantar el SGSI como primera medida, cuáles posteriormente y, en algu- nos casos, determinar si existen ámbitos del negocio que, por sus características, no precisan de la implantación de un protocolo de seguridad. Normalmente la determinación del alcance de la gestión se realiza bien por líneas de negocio o por macro procesos. Por ejemplo, si una empresa tiene dos líneas de negocio: una de asesoramiento contable y otro fiscal, es posible que decida priorizar la primera actividad, la contabilidad, por considerarla más vulnerable en materia de seguridad de la información. Por lo general, las primeras áreas que se deben considerar son aquellas que, por sus funciones y responsabilidades, ayudan en primera instancia a dar cum- plimiento a la misión institucional. Pongamos un ejemplo concreto, la determinación de alcance y priorización de una empresa comercial de tamaño mediano de compra y venta de artículos de- portivos, que vende por Internet y de forma presencial en sus diferentes sedes locales y nacionales, podría ser la siguiente: • Determinar que en primera instancia se deben cubrir áreas de contabili- dad, inventario y facturación por ser un tema sensible, donde se manejan datos claves para la empresa. • En segundo lugar, se deberían considerar la logística y atención al cliente, ya estas áreas que permiten un trato directo con los mismos pudiendo mejo- rar su satisfacción. • El resto de áreas de la empresa, como el marketing, pueden no incluirse en primera instancia en el SGSI, para irse introduciendo luego de manera progresiva.
15 La norma ISO 27001: Aspectos claves de su diseño e implantación 6. Contexto de organización El análisis de contexto de la organización es fundamental para el SGSI, ya que nos permite determinar los problemas internos y externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar. La norma ISO no especifica el método a utilizar para el análisis del contexto, sien- do del método DAFO uno de los más comunes y aceptados. Sea cual sea el siste- ma elegido, es fundamental someter a valoración tanto el contexto interno (pro- ductos y servicios) como externos (logística o clima organizacional).   La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su SGSI
16 La norma ISO 27001: Aspectos claves de su diseño e implantación 7. Partes interesadas Para poder realizar un correcto análisis de riesgo es preciso definir un contexto de la organización y comprender las necesidades y expectativas de todas las partes interesadas: • Proveedores de servicios de información y de equipamientos de Tecnolo- gías de la Información (TICs). • Clientes, poniendo especial cuidado en la gestión de datos de protección personal. • Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los aspectos legales. • Participación en foros profesionales. • La sociedad en general. 8. Fijación y medición de objetivos Fijación de objetivos Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben poder ser medibles, aunque no es necesario que sean cuantificables. Otro aspecto básico es que estos objetivos deben ser eficientemente comu- nicados al conjunto de los empleados de la empresa, puesto que todos los profesionales deben ser conscientes de que participan en un objetivo común, y que un descuido o una mala actitud pueden acarrear consecuencias muy negativas. Además, todas las personas que trabajan en la organización deben poseer las competencias necesarias en materia de seguridad de la información según su puesto o función en la empresa. Por otro lado, cada objetivo definido tiene que estar asociado a unos indi- cadores que permitan realizar un seguimiento del cumplimiento de las acti- vidades.
17 La norma ISO 27001: Aspectos claves de su diseño e implantación 9. El proceso documental La norma ISO 27001 da mucha importancia a la documentación, estableciendo de manera muy estricta cómo se debe gestionar la documentación y exigiendo que la organización cuente con un procedimiento documentado para gestionar toda la información. Esta cuestión es fundamental para la obtención de la certificación. La documentación puede ser presentada en diversos formatos: documentos en papel, archivos de texto, hojas de cálculo, archivos de vídeo o audio, etc. Pero en cualquier caso constituye un marco de referencia fundamental y debe estar lista en todo momento para que pueda ser consultada. La organización debe gestionar tanto los documentos internos (políticas di- versas, procedimientos, documentación del proyecto, etc.), como lo externos (diferentes tipos de correspondencia, documentación recibida con equipamien- to, etc.). Por este motivo, la gestión de documentación es una tarea compleja e integral. Con el objetivo de que las empresas gestionen eficazmente los documentos, la norma ISO 27001 exige la aplicación de un método sistemático para su mane- jo, así como la redacción de un procedimiento para su gestión.
18 La norma ISO 27001: Aspectos claves de su diseño e implantación 10. Auditorías internas y revisión por la Dirección Las auditorías internas Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo. Existen dos grandes tipos de auditorías internas: • Gestión. Donde se supervisa el liderazgo, el contexto, etc. • Controles. En este caso se auditan los 113 controles, normalmente se rea- liza por personal más experto y puede realizarse en años distintos.
19 La norma ISO 27001: Aspectos claves de su diseño e implantación Básicamente, el principal motivo de que se realicen las auditorías internas perió- dicamente es poder determinar si los procedimientos del SGSI se encuentran conforme a: los requisitos de la norma, la legislación vigente en cada país o sector y los objetivos marcados por la Dirección para el propio sistema de gestión. El plan de auditoría interna En la planificación de la auditoría se debe contar con el nivel de importancia de los procesos y de las áreas que van a ser auditadas y, además, hay que tener en cuenta los resultados obtenidos de auditorías previas. También es necesario definir los criterios utilizados durante la auditoría, el alcance, la frecuencia y los métodos utilizados. Si se detectan problemas o desviaciones entre los objetivos de seguridad plan- teados y los resultados obtenidos, el equipo auditor comprueba si se están aplicando las medidas necesarias, proponiendo nuevas medidas en caso necesario. Revisión por la Dirección Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del sistema, si se están cumpliendo los objetivos y también si se está produciendo un Retorno de la Inversión (ROI). La Alta Dirección de la organización es la máxima responsable de que el área auditada lleve a cabo las acciones necesarias para eliminar las No Conformidades que se hayan detectado durante la auditoría interna. Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los equipos, que el equipo no se encuentre encriptado o que existan con- traseñas conocidas por más de una persona, cuando deberían ser unitarias o individuales. Durante el seguimiento de las actividades realizadas, se tiene que incluir una ve- rificación de las acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados obtenidos.
20 La norma ISO 27001: Aspectos claves de su diseño e implantación 11. Cómo automatizar el Sistema de GestióndeSeguridaddelaInformación según ISO 27001 Un software de automatización permiten poder llevar a cabo una gestión muy eficaz y exhaustiva de cualquier tipo de riesgo: operacionales, financieros, in- dustriales, legales u operativos, ajustándolos completamente a las necesidades de cada una de las organizaciones y facilitando, en gran medida, la adecuación a la normativa. Algunos aspectos a tener en cuenta en este tipo de herramientas que facilitan la automatización de la gestión de riesgos son: • Poner en marcha procesos de identificación automática de los riesgos a los que está expuesto cada organización. • Alinear cada riesgo con propuestas de posibles controles para conse- guir reducir los riesgos de las compañías. • Poner en marcha un automático del seguimiento del tratamiento de riesgos. • Realizar proyecciones y simulaciones que permitan visualizar los resulta- dos que se podrían obtener con la implantación de los controles definidos en el plan de tratamiento de riesgos. La Plataforma ISOTools facilita la automatización de la ISO 27001 La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles es- tablecidos en ISO 27002. ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros. Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.
21 La norma ISO 27001: Aspectos claves de su diseño e implantación 12. Sectores más interesados en la implementación de este sistema Aunque la norma ISO 27001 es perfectamente válida como guía o base para la implementación de un SGSI en cualquier empresa u organización, con indepen- dencia de su tamaño o sector, resulta especialmente interesante, y casi nece- saria, en los siguientes sectores: • Salud. • Sector público. • Sector financiero. Sector de la salud La definición y puesta en marcha de un SGSI basado en la norma ISO es especial- mente atractiva para las organizaciones médicas, tanto públicas como privadas, por los siguientes motivos: • La información que manejan es especialmente crítica y confidencial. • Los requisitos y medidas planteados por la ISO 27001 garantizan la confi- dencialidad y seguridad de la información de los pacientes y trabajado- res ante cualquier amenaza. • En todo momento se preserva la confidencialidad, integridad y disponi- bilidad de la información. • Con la aplicación de este sistema se consiguen ventajas adicionales como: mejorar la calidad de los servicios, disminuir los tiempos de espera o agilizar las comunicaciones internas y externas del hospital o centro de salud. Sector público El sector público y la administración en general también son ámbitos muy intere- sados en la esta norma ISO 27001. El principal motivo es que permiten poner en marcha sistemas y protocolos que garanticen la confidencialidad y gestión adecuada de la gran cantidad de datos que manejan, muchos de ellos perso- nales y con un alto nivel de criticidad.
22 La norma ISO 27001: Aspectos claves de su diseño e implantación Sector financiero La ISO 27001 es muy necesaria para el sector financiero en general, y el de las grandes empresas en particular, con el fin de asegurar los recursos humanos y financieros de las organizaciones. Algunas ventajas de la certificación ISO son: • Lograr ventaja competitiva. • Garantizar la gestión de la calidad. • Controlar y reducir los riesgos operativos y comerciales. • Cumplir con la legislación y normativa de cada país y sector. • Poner en marcha procesos de mejora continua.
23 La norma ISO 27001: Aspectos claves de su diseño e implantación www.isotools.org

Recomendados

ISO 9001:2015 QMS Awareness
ISO 9001:2015 QMS AwarenessISO 9001:2015 QMS Awareness
ISO 9001:2015 QMS AwarenessAli Fuad R
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Interpretación de la ley y reglamento de SST - IRTP
Interpretación de la ley y reglamento de SST - IRTPInterpretación de la ley y reglamento de SST - IRTP
Interpretación de la ley y reglamento de SST - IRTPTVPerú
 
Awareness QMS ISO 9001 2015 Webinar
Awareness QMS ISO 9001 2015 WebinarAwareness QMS ISO 9001 2015 Webinar
Awareness QMS ISO 9001 2015 WebinarAli Fuad R
 
Iso 14001 curso 2016
Iso 14001 curso 2016Iso 14001 curso 2016
Iso 14001 curso 2016CPSI-INGENIERIA INDUSTRIAL
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
INTERPRETACION DE LA LEY 29783.pptx
INTERPRETACION DE LA LEY 29783.pptxINTERPRETACION DE LA LEY 29783.pptx
INTERPRETACION DE LA LEY 29783.pptxMartinHerrera74
 
27001.pptx
27001.pptx27001.pptx
27001.pptxAvniJain836319
 

Recomendados

ISO 9001:2015 QMS Awareness
ISO 9001:2015 QMS AwarenessISO 9001:2015 QMS Awareness
ISO 9001:2015 QMS AwarenessAli Fuad R
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Interpretación de la ley y reglamento de SST - IRTP
Interpretación de la ley y reglamento de SST - IRTPInterpretación de la ley y reglamento de SST - IRTP
Interpretación de la ley y reglamento de SST - IRTPTVPerú
 
Awareness QMS ISO 9001 2015 Webinar
Awareness QMS ISO 9001 2015 WebinarAwareness QMS ISO 9001 2015 Webinar
Awareness QMS ISO 9001 2015 WebinarAli Fuad R
 
Iso 14001 curso 2016
Iso 14001 curso 2016Iso 14001 curso 2016
Iso 14001 curso 2016CPSI-INGENIERIA INDUSTRIAL
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
INTERPRETACION DE LA LEY 29783.pptx
INTERPRETACION DE LA LEY 29783.pptxINTERPRETACION DE LA LEY 29783.pptx
INTERPRETACION DE LA LEY 29783.pptxMartinHerrera74
 
27001.pptx
27001.pptx27001.pptx
27001.pptxAvniJain836319
 
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020Primala Sistema de Gestion
 
Iso 370012016 sgas
Iso 370012016 sgasIso 370012016 sgas
Iso 370012016 sgasPrimala Sistema de Gestion
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Gmc fo-sst- 01 informe diagnostico de sst
Gmc fo-sst- 01 informe diagnostico de sstGmc fo-sst- 01 informe diagnostico de sst
Gmc fo-sst- 01 informe diagnostico de sstEzio Aguilar
 
Ohsas 18001
Ohsas 18001Ohsas 18001
Ohsas 18001Kristhian Barragán
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadlizbasile
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Magda CHELLY, Ph.D, S-CISO, CISSP®
 
Codificacion para documentos ISO
Codificacion para documentos ISOCodificacion para documentos ISO
Codificacion para documentos ISOAdrian Campos
 
Iperc
IpercIperc
IpercArancysEcheverra
 
How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
 
Estudiode casoaa4
Estudiode casoaa4Estudiode casoaa4
Estudiode casoaa4Lina Gc
 
Norma iso 9001
Norma iso 9001Norma iso 9001
Norma iso 9001Universidad Nacional Experimental Francisco de Miranda
 
Beneficios de la trinorma
Beneficios de la trinormaBeneficios de la trinorma
Beneficios de la trinormaJose Arturo Gonzalez Ferrer
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNValle Magico
 
1. Auditoria del SG-SST
1. Auditoria del SG-SST1. Auditoria del SG-SST
1. Auditoria del SG-SSTInstituto Tecnico Virtual
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness TrainingDr Madhu Aman Sharma
 
01 inspeccion general
01 inspeccion general01 inspeccion general
01 inspeccion generalKtaYps
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 

Más contenido relacionado

La actualidad más candente

Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020Primala Sistema de Gestion
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Gmc fo-sst- 01 informe diagnostico de sst
Gmc fo-sst- 01 informe diagnostico de sstGmc fo-sst- 01 informe diagnostico de sst
Gmc fo-sst- 01 informe diagnostico de sstEzio Aguilar
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadlizbasile
 
Codificacion para documentos ISO
Codificacion para documentos ISOCodificacion para documentos ISO
Codificacion para documentos ISOAdrian Campos
 
How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
 
Estudiode casoaa4
Estudiode casoaa4Estudiode casoaa4
Estudiode casoaa4Lina Gc
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNValle Magico
 
01 inspeccion general
01 inspeccion general01 inspeccion general
01 inspeccion generalKtaYps
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 

La actualidad más candente (20)

Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
Iso pensamiento basado en riesgos aplicado a iso 9001 v 2020
 
Iso 370012016 sgas
Iso 370012016 sgasIso 370012016 sgas
Iso 370012016 sgas
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Gmc fo-sst- 01 informe diagnostico de sst
Gmc fo-sst- 01 informe diagnostico de sstGmc fo-sst- 01 informe diagnostico de sst
Gmc fo-sst- 01 informe diagnostico de sst
 
Ohsas 18001
Ohsas 18001Ohsas 18001
Ohsas 18001
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Codificacion para documentos ISO
Codificacion para documentos ISOCodificacion para documentos ISO
Codificacion para documentos ISO
 
Iperc
IpercIperc
Iperc
 
How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...
 
Estudiode casoaa4
Estudiode casoaa4Estudiode casoaa4
Estudiode casoaa4
 
Norma iso 9001
Norma iso 9001Norma iso 9001
Norma iso 9001
 
Beneficios de la trinorma
Beneficios de la trinormaBeneficios de la trinorma
Beneficios de la trinorma
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
 
1. Auditoria del SG-SST
1. Auditoria del SG-SST1. Auditoria del SG-SST
1. Auditoria del SG-SST
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
01 inspeccion general
01 inspeccion general01 inspeccion general
01 inspeccion general
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TI
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 

Similar a La norma ISO 27001

Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 

Similar a La norma ISO 27001 (20)

Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Punteros
PunterosPunteros
Punteros
 
Iso27001
Iso27001Iso27001
Iso27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
ii
iiii
ii
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 

Más de Andy Juan Sarango Veliz

Examen final de CCNA Routing y Switching Academia OW
Examen final de CCNA Routing y Switching Academia OWExamen final de CCNA Routing y Switching Academia OW
Examen final de CCNA Routing y Switching Academia OWAndy Juan Sarango Veliz
 
Criptología de empleo en el Esquema Nacional de Seguridad
Criptología de empleo en el Esquema Nacional de SeguridadCriptología de empleo en el Esquema Nacional de Seguridad
Criptología de empleo en el Esquema Nacional de SeguridadAndy Juan Sarango Veliz
 
Alfabetización Informática - 3. Navegador Web
Alfabetización Informática - 3. Navegador WebAlfabetización Informática - 3. Navegador Web
Alfabetización Informática - 3. Navegador WebAndy Juan Sarango Veliz
 
Alfabetización Informática - 2. Test de Conceptos Básicos
Alfabetización Informática - 2. Test de Conceptos BásicosAlfabetización Informática - 2. Test de Conceptos Básicos
Alfabetización Informática - 2. Test de Conceptos BásicosAndy Juan Sarango Veliz
 
Alfabetización Informática - 1. Conceptos Básicos
Alfabetización Informática - 1. Conceptos BásicosAlfabetización Informática - 1. Conceptos Básicos
Alfabetización Informática - 1. Conceptos BásicosAndy Juan Sarango Veliz
 
Gestión y Operación de la Ciberseguridad
Gestión y Operación de la CiberseguridadGestión y Operación de la Ciberseguridad
Gestión y Operación de la CiberseguridadAndy Juan Sarango Veliz
 
Tecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosTecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosAndy Juan Sarango Veliz
 
Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9
Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9
Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9Andy Juan Sarango Veliz
 
Análisis e Implementación de una Red "SDN" usando controladores "Open Source"
Análisis e Implementación de una Red "SDN" usando controladores "Open Source"Análisis e Implementación de una Red "SDN" usando controladores "Open Source"
Análisis e Implementación de una Red "SDN" usando controladores "Open Source"Andy Juan Sarango Veliz
 
Software Defined Radio - Capítulo 5: Modulación Digital I
Software Defined Radio - Capítulo 5: Modulación Digital ISoftware Defined Radio - Capítulo 5: Modulación Digital I
Software Defined Radio - Capítulo 5: Modulación Digital IAndy Juan Sarango Veliz
 
Software Defined Radio - Capítulo 4: Modulación FM
Software Defined Radio - Capítulo 4: Modulación FMSoftware Defined Radio - Capítulo 4: Modulación FM
Software Defined Radio - Capítulo 4: Modulación FMAndy Juan Sarango Veliz
 
Software Defined Radio - Capítulo 3: Modulación AM
Software Defined Radio - Capítulo 3: Modulación AMSoftware Defined Radio - Capítulo 3: Modulación AM
Software Defined Radio - Capítulo 3: Modulación AMAndy Juan Sarango Veliz
 
Software Defined Radio - Capítulo 2: GNU Radio Companion
Software Defined Radio - Capítulo 2: GNU Radio CompanionSoftware Defined Radio - Capítulo 2: GNU Radio Companion
Software Defined Radio - Capítulo 2: GNU Radio CompanionAndy Juan Sarango Veliz
 
Software Defined Radio - Capítulo 1: Introducción
Software Defined Radio - Capítulo 1: IntroducciónSoftware Defined Radio - Capítulo 1: Introducción
Software Defined Radio - Capítulo 1: IntroducciónAndy Juan Sarango Veliz
 
MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01
MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01
MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01Andy Juan Sarango Veliz
 
Los cuatro desafíos de ciberseguridad más críticos de nuestra generación
Los cuatro desafíos de ciberseguridad más críticos de nuestra generaciónLos cuatro desafíos de ciberseguridad más críticos de nuestra generación
Los cuatro desafíos de ciberseguridad más críticos de nuestra generaciónAndy Juan Sarango Veliz
 

Más de Andy Juan Sarango Veliz (20)

Examen final de CCNA Routing y Switching Academia OW
Examen final de CCNA Routing y Switching Academia OWExamen final de CCNA Routing y Switching Academia OW
Examen final de CCNA Routing y Switching Academia OW
 
Criptología de empleo en el Esquema Nacional de Seguridad
Criptología de empleo en el Esquema Nacional de SeguridadCriptología de empleo en el Esquema Nacional de Seguridad
Criptología de empleo en el Esquema Nacional de Seguridad
 
Alfabetización Informática - 3. Navegador Web
Alfabetización Informática - 3. Navegador WebAlfabetización Informática - 3. Navegador Web
Alfabetización Informática - 3. Navegador Web
 
Alfabetización Informática - 2. Test de Conceptos Básicos
Alfabetización Informática - 2. Test de Conceptos BásicosAlfabetización Informática - 2. Test de Conceptos Básicos
Alfabetización Informática - 2. Test de Conceptos Básicos
 
Alfabetización Informática - 1. Conceptos Básicos
Alfabetización Informática - 1. Conceptos BásicosAlfabetización Informática - 1. Conceptos Básicos
Alfabetización Informática - 1. Conceptos Básicos
 
Gestión y Operación de la Ciberseguridad
Gestión y Operación de la CiberseguridadGestión y Operación de la Ciberseguridad
Gestión y Operación de la Ciberseguridad
 
Tecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosTecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de servicios
 
3. wordpress.org
3. wordpress.org3. wordpress.org
3. wordpress.org
 
2. wordpress.com
2. wordpress.com2. wordpress.com
2. wordpress.com
 
1. Introducción a Wordpress
1. Introducción a Wordpress1. Introducción a Wordpress
1. Introducción a Wordpress
 
Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9
Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9
Redes de Computadores: Un enfoque descendente 7.° Edición - Capítulo 9
 
Análisis e Implementación de una Red "SDN" usando controladores "Open Source"
Análisis e Implementación de una Red "SDN" usando controladores "Open Source"Análisis e Implementación de una Red "SDN" usando controladores "Open Source"
Análisis e Implementación de una Red "SDN" usando controladores "Open Source"
 
Software Defined Radio - Capítulo 5: Modulación Digital I
Software Defined Radio - Capítulo 5: Modulación Digital ISoftware Defined Radio - Capítulo 5: Modulación Digital I
Software Defined Radio - Capítulo 5: Modulación Digital I
 
Software Defined Radio - Capítulo 4: Modulación FM
Software Defined Radio - Capítulo 4: Modulación FMSoftware Defined Radio - Capítulo 4: Modulación FM
Software Defined Radio - Capítulo 4: Modulación FM
 
Software Defined Radio - Capítulo 3: Modulación AM
Software Defined Radio - Capítulo 3: Modulación AMSoftware Defined Radio - Capítulo 3: Modulación AM
Software Defined Radio - Capítulo 3: Modulación AM
 
Software Defined Radio - Capítulo 2: GNU Radio Companion
Software Defined Radio - Capítulo 2: GNU Radio CompanionSoftware Defined Radio - Capítulo 2: GNU Radio Companion
Software Defined Radio - Capítulo 2: GNU Radio Companion
 
Software Defined Radio - Capítulo 1: Introducción
Software Defined Radio - Capítulo 1: IntroducciónSoftware Defined Radio - Capítulo 1: Introducción
Software Defined Radio - Capítulo 1: Introducción
 
MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01
MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01
MAE-RAV-ROS Introducción a Ruteo Avanzado con MikroTik RouterOS v6.42.5.01
 
Los cuatro desafíos de ciberseguridad más críticos de nuestra generación
Los cuatro desafíos de ciberseguridad más críticos de nuestra generaciónLos cuatro desafíos de ciberseguridad más críticos de nuestra generación
Los cuatro desafíos de ciberseguridad más críticos de nuestra generación
 
ITIL Foundation ITIL 4 Edition
ITIL Foundation ITIL 4 EditionITIL Foundation ITIL 4 Edition
ITIL Foundation ITIL 4 Edition
 

Último

UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfrefrielectriccarlyz
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptNombre Apellidos
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologicaJUDITHYEMELINHUARIPA
 
Matrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptxMatrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptxNancyJulcasumaran
 
portafolio final manco 2 1816827 portafolio de evidencias
portafolio final manco 2 1816827 portafolio de evidenciasportafolio final manco 2 1816827 portafolio de evidencias
portafolio final manco 2 1816827 portafolio de evidenciasIANMIKELMIRANDAGONZA
 
Presentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptxPresentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptxwilliam801689
 
Determinación de espacios en la instalación
Determinación de espacios en la instalaciónDeterminación de espacios en la instalación
Determinación de espacios en la instalaciónQualityAdviceService
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTElisaLen4
 
Auditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónAuditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónYanet Caldas
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfELIZABETHCRUZVALENCI
 
5. MATERIALES petreos para concreto.pdf.
5. MATERIALES petreos para concreto.pdf.5. MATERIALES petreos para concreto.pdf.
5. MATERIALES petreos para concreto.pdf.davidtonconi
 
Manual deresolucion de ecuaciones por fracciones parciales.pdf
Manual deresolucion de ecuaciones por fracciones parciales.pdfManual deresolucion de ecuaciones por fracciones parciales.pdf
Manual deresolucion de ecuaciones por fracciones parciales.pdfgonzalo195211
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJOJimyAMoran
 
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdfAportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdfElisaLen4
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxwilliam801689
 
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATINSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATevercoyla
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEduardoBriones22
 
ingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptxingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptxjhorbycoralsanchez
 
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfTRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfVladimirWashingtonOl
 
“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...
“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...
“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...WeslinDarguinHernand
 

Último (20)

UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica
 
Matrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptxMatrices Matemáticos universitario pptx
Matrices Matemáticos universitario pptx
 
portafolio final manco 2 1816827 portafolio de evidencias
portafolio final manco 2 1816827 portafolio de evidenciasportafolio final manco 2 1816827 portafolio de evidencias
portafolio final manco 2 1816827 portafolio de evidencias
 
Presentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptxPresentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptx
 
Determinación de espacios en la instalación
Determinación de espacios en la instalaciónDeterminación de espacios en la instalación
Determinación de espacios en la instalación
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
 
Auditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónAuditoría de Sistemas de Gestión
Auditoría de Sistemas de Gestión
 
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdfNTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
NTC 3883 análisis sensorial. metodología. prueba duo-trio.pdf
 
5. MATERIALES petreos para concreto.pdf.
5. MATERIALES petreos para concreto.pdf.5. MATERIALES petreos para concreto.pdf.
5. MATERIALES petreos para concreto.pdf.
 
Manual deresolucion de ecuaciones por fracciones parciales.pdf
Manual deresolucion de ecuaciones por fracciones parciales.pdfManual deresolucion de ecuaciones por fracciones parciales.pdf
Manual deresolucion de ecuaciones por fracciones parciales.pdf
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
 
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdfAportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docx
 
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNATINSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
INSUMOS QUIMICOS Y BIENES FISCALIZADOS POR LA SUNAT
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
 
ingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptxingenieria grafica para la carrera de ingeniera .pptx
ingenieria grafica para la carrera de ingeniera .pptx
 
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfTRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
 
“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...
“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...
“Análisis comparativo de viscosidad entre los fluidos de yogurt natural, acei...
 

La norma ISO 27001

  • 1. La norma ISO 27001 Aspectos clave de su diseño e implantación
  • 2. La norma ISO 27001: Aspectos claves de su diseño e implantación Índice 1. El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000. . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3. La implementación de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4. Definición de un plan de tratamiento de riesgos o esquema de mejora . . . . 5 5. El alcance de la gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6. Contexto de organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7. Partes interesadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8. Fijación y medición de objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 9. El proceso documental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 10. Auditorías internas y revisión por la Dirección . . . . . . . . . . . . . . . . . . . . . 11 11. Cómo automatizar el SGSI según ISO 27001. . . . . . . . . . . . . . . . . . . . . . . . 12 12. Sectores más interesados en la implantación de este sistema . . . . . . . 12
  • 3. 3 La norma ISO 27001: Aspectos claves de su diseño e implantación 1. El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001. Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000 Las amenazas a los activos de información En la actualidad, las empresas se enfrentan a muchos riesgos e inseguridades procedentes de focos diversos. Esto quiere decir que los activos de información de las empresas, uno de sus valores más importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia tipología de vul- nerabilidades. La seguridad de estos activos de información está en función de la correcta ges- tión de una serie de factores como: la capacidad, la elaboración de un plan de contingencia frente a los incidentes, el análisis de riesgos, las competencias, el grado de involucración de la Dirección, las inversiones en seguridad y el grado de implementación de controles.
  • 4. 4 La norma ISO 27001: Aspectos claves de su diseño e implantación Aunque existen muchos soportes documentales diferentes, como la información en papel o los soportes analógicos participantes, lo cierto es que, en la actualidad, la mayor parte de la información gestionada por una empresa se sustenta en la información automatizada (informatizada) a través de las nuevas herramientas de las Tecnologías de la Información y la Comunicación (TICs). Por este moti- vo, la tendencia de la norma ISO 27001 es tratar aspectos mayoritariamente del rango informático. Aspectos claves de un SGSI basado en la norma ISO 27001 La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto propia como datos de terceros. Por otro lado, también permite establecer los controles y estrategias más ade- cuadas para eliminar o minimizar dichos peligros. Como ocurre con todas las normas ISO, la 27001 es un sistema basado en enfo- que basado en el ciclo de mejora continua o de Deming. Dicho ciclo consiste, como ya sabemos, en Planificar-Hacer-Verificar-Actuar, por lo que se le conoce también como ciclo PDCA (acrónimo de sus siglas en inglés Plan-Do-Check-Act). Trasladado a las necesidades de un SGSI, el ciclo PDCA planteado por la ISO 27001 se dividiría en los siguientes pasos, cada uno de ellos ligado a una serie de acciones: PLANIFICAR Definir la política de seguridad Establecer al alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles Definir competencias Establecer un mapa de procesos Definir autoridades y responsabilidades HACER Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles
  • 5. 5 La norma ISO 27001: Aspectos claves de su diseño e implantación CONTROLAR Revisar internamente el SGSI Realizar auditorías internas del SGSI Poner en marcha indicadores y métricas Hacer una revisión por parte de la Dirección ACTUAR Adoptar acciones correctivas Adoptar acciones de mejora Relación de la norma ISO 27001 con la ISO 22301 y la ISO /IEC 20000 La norma ISO 27001, que como hemos visto está muy enfocada en la parte infor- mática de la empresa, se encuentra muy ligada y tiene puntos en común con otras dos normas ISO: la ISO 22301 de continuidad del negocio y la ISO/IEC 20000, de gestión de servicios TI (Tecnología de la Información). La ISO 22301 trabaja el tema de la seguridad en la empresa desde una pers- pectiva mucho más general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los factores ligados con la producción y la operativa. Las normas ISO 27001, ISO 22301 y ISO/IEC 20000 mantienen una relación de confluencia en ciertos puntos pero, sobre todo, de complementariedad, logrando en conjunto altos niveles de garantía en lo que respecta a la correcta evaluación, prevención, tratamiento y solución de riesgos para la empresa relacionados con la TI. El estándar 22301 se centra en diversos aspectos de la organización que van a permitir su sustentabilidad, utilizando para ello ciertos elementos y controles que van a evitar las consecuencias de las distintas amenazas, así como también encontrar las causas que motivan el problema.
  • 6. 6 La norma ISO 27001: Aspectos claves de su diseño e implantación Un aspecto muy importante de la norma ISO 22301, que no tiene en cuenta la 27001, son los tiempos de recuperación, una cuestión crucial para poder evaluar si nuestro plan de contingencia es el adecuado para poder reanudar la actividad en unos niveles aceptables para la organización, una vez ha ocurrido el incidente. Otra noma relacionada con la ISO 27001 es el estándar ISO/IEC 20000, de ges- tión de la calidad de los servicios TI (Tecnologías de la Información): hosting, páginas web, elearning, desarrollo de software. Todo ello val ligado a la continui- dad del negocio y de los servicios de información y, en conjunto, sirve para garan- tizar un servicio seguro, sin interrupciones importantes y de calidad. Fases de un SGSI basado en la norma ISO 27001 En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI 1. Análisis y evaluación de riesgos. 2. Implementación de controles 3. Definición de un plan de tratamiento de los riesgos o esquema de mejora 4. Alcance de la gestión 5. Contexto de organización 6. Partes interesadas 7. Fijación y medición de objetivos 8. Proceso documental 9. Auditorías internas y externas ElpropósitodeunSistemadeGestióndela SeguridaddelaInformaciónes,portanto, garantizarquelosriesgosdelaseguridad delainformaciónseanconocidos, asumidos,gestionadosyminimizados porlaorganizacióndeunaforma documentada,sistemáticay estructurada A continuación, pasamos a desarrollar cada una de estas fases.
  • 7. 7 La norma ISO 27001: Aspectos claves de su diseño e implantación 2. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad Identificación de las amenazas Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la iden- tificación y análisis de las principales amenazas para, a partir de este punto de partida, poder establecer una evaluación y planificación de dichos riesgos. Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques infor- máticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico. Pero en ocasiones basta una omisión o despiste por parte del personal de la em- presa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información. En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.
  • 8. 8 La norma ISO 27001: Aspectos claves de su diseño e implantación Para garantizar la correcta gestión de la seguridad de la información se deben identificar inicialmente sus aspectos más relevantes. Un correcto proceso de identificación de riesgos implica: • Identificar todos aquellos activos de información que tienen algún valor para la organización. • Asociar las amenazas relevantes con los activos identificados. • Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas. • Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo. Análisis y evaluación de los riesgos y sus consecuencias Se debe analizar el impacto en el negocio de un fallo de seguridad que su- ponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos. Además de riesgo en sí, es necesario analizar también sus consecuencias po- tenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales. Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases: 1. Recogida y preparación de la información. 2. Identificación, clasificación y valoración los grupos de activos. 3. Identificación y clasificación de las amenazas. 4. Identificación y estimación de las vulnerabilidades. 5. Identificación y valoración de impactos: identificar, tipificar y valorar los im- pactos. 6. Evaluación y análisis del riesgo.
  • 9. 9 La norma ISO 27001: Aspectos claves de su diseño e implantación Criticidad del riesgo Por este motivo, se deben evaluar las consecuencias potenciales para poder eva- luar su criticidad: riesgo aceptable y riesgo residual. Riesgo aceptable No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc. Riesgo residual Se trata del riesgo que permanece y subsiste después de haber implemen- tado los debidos controles, es decir, una vez que la organización haya desarro- llado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente. El riesgo residual puede entenderse comoloque separaa lasorganizaciones de la seguridad absoluta El compromiso del liderazgo La norma ISO 27001 otorga un peso cualitativo muy importante a la Direc- ción, la cual debe ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo: se tiene que establecer con exacti- tud quién tiene que hacer cada función y cómo ejecutarla. Los dueños del riesgo La norma ISO 27001 establece la figura de Dueño del Riesgo, asociándose cada amenaza potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las distintas actividades. Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.
  • 10. 10 La norma ISO 27001: Aspectos claves de su diseño e implantación Por lo tanto, es necesario definir la estructura organizacional del SGSI, selec- cionado el personal idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la información de la institución. 3. La implementación de controles Con el objetivo de que cada riesgo identificado previamente quede cubierto y pue- da ser auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113 puntos de control (en la versión anterior del 2005 eran 133). Los 113 controles están divididos por grandes objetivos: • Políticas de seguridad de la información. • Controles operacionales. Cada empresa, según su parecer, puede añadir más puntos de control si lo consi- dera conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control Operacional, pero siempre deben estar alineados a lo que pide la norma.
  • 11. 11 La norma ISO 27001: Aspectos claves de su diseño e implantación 4. Definición de un plan de tratamiento de los riesgos o esquema de mejora Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en el que se tengan en cuenta las distintas consecuencias poten- ciales de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las diferentes amenazas. Formas de afrontar el riesgo Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo, mitigarlo o trasladarlo. Eliminar el riego Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que haya un posibilidad cero de que la amenaza se lle- gue realmente a producir. Mitigarlo En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo suficientemente crítico. En estos casos la organi- zación puede aceptar el riego, ser consciente de que la amenaza para la informa- ción existe y dedicarse a monitorearlo con el fin de controlarlo. En definitiva, se trata de implantar las medidas preventivas o correctivas ne- cesarias con el fin de reducir la posibilidad de ocurrencia o el impacto de riesgo. Trasladarlo Esta opción está relacionada con la contratación de algún tipo de seguro que com- pense las consecuencias económicas de una pérdida o deterioro de la información. Sea cual el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a la organización la tranquilidad de tener suficientemente identificados los riesgos y los controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual materialización de los mismos.
  • 12. 12 La norma ISO 27001: Aspectos claves de su diseño e implantación En cualquier caso, a la hora de elegir una u otra opción la empresa debe mante- ner el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de la información para los procesos de la empresa y el nivel de critici- dad del riesgo. Establecimiento de un rango para cada control A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el acceso a un área segura podría dividirse en: Rango 1. No hay establecida ninguna medida de seguridad. Rango 2. Existe alguna medida de seguridad pero no se ha establecido una pauta concreta ni periodicidad. Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación de las mismas. Rango 4. Los controles tienen establecidos una periodicidad, evaluación y segui- miento. Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la empresa que lo gestiona y está implementada dentro de la propia organización.
  • 13. 13 La norma ISO 27001: Aspectos claves de su diseño e implantación La empresa debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la seguridad de la información, teniendo en cuenta que los contro- les de carácter preventivo son más eficaces que los correctivos. Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse). Todos estos controles siguen un ciclo de mejora continua vinculado al plan de tratamiento de riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual, que es el riesgo bruto mitigado por los controles. Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean necesarias. Los controles están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y especificidad los diferencian de los existentes en otras normas, que tienen un carácter más generalista y transversal. El concepto de control en esta norma se debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir o auditar ciertos riesgos 5. El alcance de la gestión En la planeación para la implementación de un SGSI es muy importante definir el alcance para la implementación del sistema en una organización. Teniendo en cuenta que existen organizaciones que difieren en tamaño por el número de empleados, volumen de información manejada, número de clientes, volúmenes de activos físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario determinar cómo se debe implantar un SGSI.
  • 14. 14 La norma ISO 27001: Aspectos claves de su diseño e implantación Por ejemplo, se debe elegir en qué áreas o dependencias de la organización se desea implantar el SGSI como primera medida, cuáles posteriormente y, en algu- nos casos, determinar si existen ámbitos del negocio que, por sus características, no precisan de la implantación de un protocolo de seguridad. Normalmente la determinación del alcance de la gestión se realiza bien por líneas de negocio o por macro procesos. Por ejemplo, si una empresa tiene dos líneas de negocio: una de asesoramiento contable y otro fiscal, es posible que decida priorizar la primera actividad, la contabilidad, por considerarla más vulnerable en materia de seguridad de la información. Por lo general, las primeras áreas que se deben considerar son aquellas que, por sus funciones y responsabilidades, ayudan en primera instancia a dar cum- plimiento a la misión institucional. Pongamos un ejemplo concreto, la determinación de alcance y priorización de una empresa comercial de tamaño mediano de compra y venta de artículos de- portivos, que vende por Internet y de forma presencial en sus diferentes sedes locales y nacionales, podría ser la siguiente: • Determinar que en primera instancia se deben cubrir áreas de contabili- dad, inventario y facturación por ser un tema sensible, donde se manejan datos claves para la empresa. • En segundo lugar, se deberían considerar la logística y atención al cliente, ya estas áreas que permiten un trato directo con los mismos pudiendo mejo- rar su satisfacción. • El resto de áreas de la empresa, como el marketing, pueden no incluirse en primera instancia en el SGSI, para irse introduciendo luego de manera progresiva.
  • 15. 15 La norma ISO 27001: Aspectos claves de su diseño e implantación 6. Contexto de organización El análisis de contexto de la organización es fundamental para el SGSI, ya que nos permite determinar los problemas internos y externos de la organización, así como sus debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar. La norma ISO no especifica el método a utilizar para el análisis del contexto, sien- do del método DAFO uno de los más comunes y aceptados. Sea cual sea el siste- ma elegido, es fundamental someter a valoración tanto el contexto interno (pro- ductos y servicios) como externos (logística o clima organizacional).   La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su SGSI
  • 16. 16 La norma ISO 27001: Aspectos claves de su diseño e implantación 7. Partes interesadas Para poder realizar un correcto análisis de riesgo es preciso definir un contexto de la organización y comprender las necesidades y expectativas de todas las partes interesadas: • Proveedores de servicios de información y de equipamientos de Tecnolo- gías de la Información (TICs). • Clientes, poniendo especial cuidado en la gestión de datos de protección personal. • Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los aspectos legales. • Participación en foros profesionales. • La sociedad en general. 8. Fijación y medición de objetivos Fijación de objetivos Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben poder ser medibles, aunque no es necesario que sean cuantificables. Otro aspecto básico es que estos objetivos deben ser eficientemente comu- nicados al conjunto de los empleados de la empresa, puesto que todos los profesionales deben ser conscientes de que participan en un objetivo común, y que un descuido o una mala actitud pueden acarrear consecuencias muy negativas. Además, todas las personas que trabajan en la organización deben poseer las competencias necesarias en materia de seguridad de la información según su puesto o función en la empresa. Por otro lado, cada objetivo definido tiene que estar asociado a unos indi- cadores que permitan realizar un seguimiento del cumplimiento de las acti- vidades.
  • 17. 17 La norma ISO 27001: Aspectos claves de su diseño e implantación 9. El proceso documental La norma ISO 27001 da mucha importancia a la documentación, estableciendo de manera muy estricta cómo se debe gestionar la documentación y exigiendo que la organización cuente con un procedimiento documentado para gestionar toda la información. Esta cuestión es fundamental para la obtención de la certificación. La documentación puede ser presentada en diversos formatos: documentos en papel, archivos de texto, hojas de cálculo, archivos de vídeo o audio, etc. Pero en cualquier caso constituye un marco de referencia fundamental y debe estar lista en todo momento para que pueda ser consultada. La organización debe gestionar tanto los documentos internos (políticas di- versas, procedimientos, documentación del proyecto, etc.), como lo externos (diferentes tipos de correspondencia, documentación recibida con equipamien- to, etc.). Por este motivo, la gestión de documentación es una tarea compleja e integral. Con el objetivo de que las empresas gestionen eficazmente los documentos, la norma ISO 27001 exige la aplicación de un método sistemático para su mane- jo, así como la redacción de un procedimiento para su gestión.
  • 18. 18 La norma ISO 27001: Aspectos claves de su diseño e implantación 10. Auditorías internas y revisión por la Dirección Las auditorías internas Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder comprobar que el sistema se encuentra en un estado idóneo. Existen dos grandes tipos de auditorías internas: • Gestión. Donde se supervisa el liderazgo, el contexto, etc. • Controles. En este caso se auditan los 113 controles, normalmente se rea- liza por personal más experto y puede realizarse en años distintos.
  • 19. 19 La norma ISO 27001: Aspectos claves de su diseño e implantación Básicamente, el principal motivo de que se realicen las auditorías internas perió- dicamente es poder determinar si los procedimientos del SGSI se encuentran conforme a: los requisitos de la norma, la legislación vigente en cada país o sector y los objetivos marcados por la Dirección para el propio sistema de gestión. El plan de auditoría interna En la planificación de la auditoría se debe contar con el nivel de importancia de los procesos y de las áreas que van a ser auditadas y, además, hay que tener en cuenta los resultados obtenidos de auditorías previas. También es necesario definir los criterios utilizados durante la auditoría, el alcance, la frecuencia y los métodos utilizados. Si se detectan problemas o desviaciones entre los objetivos de seguridad plan- teados y los resultados obtenidos, el equipo auditor comprueba si se están aplicando las medidas necesarias, proponiendo nuevas medidas en caso necesario. Revisión por la Dirección Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta Dirección con el objetivo de comprobar el buen funcionamiento del sistema, si se están cumpliendo los objetivos y también si se está produciendo un Retorno de la Inversión (ROI). La Alta Dirección de la organización es la máxima responsable de que el área auditada lleve a cabo las acciones necesarias para eliminar las No Conformidades que se hayan detectado durante la auditoría interna. Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los equipos, que el equipo no se encuentre encriptado o que existan con- traseñas conocidas por más de una persona, cuando deberían ser unitarias o individuales. Durante el seguimiento de las actividades realizadas, se tiene que incluir una ve- rificación de las acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados obtenidos.
  • 20. 20 La norma ISO 27001: Aspectos claves de su diseño e implantación 11. Cómo automatizar el Sistema de GestióndeSeguridaddelaInformación según ISO 27001 Un software de automatización permiten poder llevar a cabo una gestión muy eficaz y exhaustiva de cualquier tipo de riesgo: operacionales, financieros, in- dustriales, legales u operativos, ajustándolos completamente a las necesidades de cada una de las organizaciones y facilitando, en gran medida, la adecuación a la normativa. Algunos aspectos a tener en cuenta en este tipo de herramientas que facilitan la automatización de la gestión de riesgos son: • Poner en marcha procesos de identificación automática de los riesgos a los que está expuesto cada organización. • Alinear cada riesgo con propuestas de posibles controles para conse- guir reducir los riesgos de las compañías. • Poner en marcha un automático del seguimiento del tratamiento de riesgos. • Realizar proyecciones y simulaciones que permitan visualizar los resulta- dos que se podrían obtener con la implantación de los controles definidos en el plan de tratamiento de riesgos. La Plataforma ISOTools facilita la automatización de la ISO 27001 La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles es- tablecidos en ISO 27002. ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros. Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.
  • 21. 21 La norma ISO 27001: Aspectos claves de su diseño e implantación 12. Sectores más interesados en la implementación de este sistema Aunque la norma ISO 27001 es perfectamente válida como guía o base para la implementación de un SGSI en cualquier empresa u organización, con indepen- dencia de su tamaño o sector, resulta especialmente interesante, y casi nece- saria, en los siguientes sectores: • Salud. • Sector público. • Sector financiero. Sector de la salud La definición y puesta en marcha de un SGSI basado en la norma ISO es especial- mente atractiva para las organizaciones médicas, tanto públicas como privadas, por los siguientes motivos: • La información que manejan es especialmente crítica y confidencial. • Los requisitos y medidas planteados por la ISO 27001 garantizan la confi- dencialidad y seguridad de la información de los pacientes y trabajado- res ante cualquier amenaza. • En todo momento se preserva la confidencialidad, integridad y disponi- bilidad de la información. • Con la aplicación de este sistema se consiguen ventajas adicionales como: mejorar la calidad de los servicios, disminuir los tiempos de espera o agilizar las comunicaciones internas y externas del hospital o centro de salud. Sector público El sector público y la administración en general también son ámbitos muy intere- sados en la esta norma ISO 27001. El principal motivo es que permiten poner en marcha sistemas y protocolos que garanticen la confidencialidad y gestión adecuada de la gran cantidad de datos que manejan, muchos de ellos perso- nales y con un alto nivel de criticidad.
  • 22. 22 La norma ISO 27001: Aspectos claves de su diseño e implantación Sector financiero La ISO 27001 es muy necesaria para el sector financiero en general, y el de las grandes empresas en particular, con el fin de asegurar los recursos humanos y financieros de las organizaciones. Algunas ventajas de la certificación ISO son: • Lograr ventaja competitiva. • Garantizar la gestión de la calidad. • Controlar y reducir los riesgos operativos y comerciales. • Cumplir con la legislación y normativa de cada país y sector. • Poner en marcha procesos de mejora continua.
  • 23. 23 La norma ISO 27001: Aspectos claves de su diseño e implantación www.isotools.org