Norma ISO 27000

NORMA INTERNACIONAL
ISO-27000
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA NACIONAL
DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP)
MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN
GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO
Barquisimeto, mayo 2014

NORMA ISO 27000
Conceptos asociados a ISO 27000
Normas ISO 27000: Familia de
estándares de ISO e IEC que
proporciona un marco para la
gestión de la seguridad de la
Información
Conjunto de normas que especifican los
requisitos para establecer, implantar,
poner en funcionamiento, controlar,
revisar, mantener y mejorar un SGSI.

¿QUÉ ES LA INFORMACIÓN?
La Academia Latinoamericana de
Seguridad Informática (2.004) destaca al
respecto que “la información es el objeto
de mayor valor para las empresas”.
Platos
Motor
Cabeza
lectora
“La información es un activo que, como
otros activos importantes del negocio,
tiene valor para una organización y, por lo
tanto necesita ser protegido” ISO / IEC
27001:2005

SEGURIDAD DE LA INFORMACIÓN
Explica que “la seguridad de la información
son las medidas adoptadas para evitar el uso no
autorizado, el mal uso, la modificación o
denegación del uso de conocimientos, hechos,
Datos o capacidades”.
Maiwald (2005)
Regula a nivel legal una parte importante de los Sistemas de
Información de la empresa, los datos de carácter personal.
Ley Orgánica de Protección de Datos (LOPD)
Marco Regulatorio
Especifica controles técnicos, físicos y organizativos para garantizar la
Protección de citados datos.
Reglamento de Desarrollo RD1720/2007

Los datos de carácter personal son un subconjunto del activo más
importante que Maneja una empresa:
Planes estratégicos,
salario del personal,
operaciones financieras
Site público de la empresa,
Publicidad
Ofertas comerciales, ERP,
contabilidad, planes ejecutivos
Empleados, pacientes,
clientes

Click to add Title
Los objetivos principales de la serie 27000 son la protección de la
información en sus diversas dimensiones, garantizando la:
1 Confidencialidad 2 Integridad 3 Disponibilidad
La Organización Internacional de Estandarización (ISO), a través de las normas
recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva:
ISO 27002 (ISO) 17799
Guía de Buenas Prácticas
ISO 27000: Términos
y Definiciones
ISO27001: Requerimientos
del SGSI

En las normas ISO 27001, el concepto del sistema de gestión es común
estableciendo sinergia y un marco de actuación estructural y
documental. Este sistema de gestión está compuesto por:
Manual de
Calidad y
Seguridad
Procesos/
Procedimientos
Operativos
Generales
Registros de
Calidad y
Seguridad
Instrucciones
de Trabajo
Específicas

En las normas ISO 27001, el concepto del sistema de gestión es
común estableciendo sinergia y un marco de actuación estructural y
documental. Este sistema de gestión está compuesto por:
MANUAL DE SEGURIDAD
PROCEDIMIENTOS
INSTRUCCIONES – CHECKLIST -
FORMULARIOS
REGISTROS

SISTEMA DE GESTIÓN DE LA
El SGSI (Sistema de Gestión de Seguridad de la Información) es el
concepto central sobre el que se construye ISO 27001
INFORMACIÓN
DATOS

¿PARA QUÉ SIRVE UN SGSI?
RIESGOS
AMENAZAS
CONTROLES
REQUERIMIENTOS
DE
SEGURIDAD
Imponen
Marcan
Disminuyen
Aumentan
Protegen de
VULNERABILIDAD
ACTIVOS
VALOR
DE LOS
ACTIVOS
Impactan si se
materializan
Aumentan
Tienen
Aumentan
Exponen
Aprovechan

EVOLUCIÓN DE LA NORMATIVA
ISO 27000
BSI (British Standards Institution): Organización británica responsable de la
publicación de importantes normas como:
(BS 7799-1): es una guía de
buenas prácticas, para la que
no se establece un esquema de
certificación
(BS 7799-2): publicada por
primera vez en 1998, la
que establece los
requisitos de un sistema
de seguridad de la
información (SGSI) para
ser certificable por una
entidad independiente
Las dos partes de la
norma BS 7799 se
revisaron en 1999 y la
primera parte se adoptó
por ISO, como ISO
17799 en el año 2000
En 2002, se revisó BS 7799-2
para adecuarse a la filosofía de
normas ISO de sistemas de
gestión
1979 Publicación BS 5750 -
ahora ISO 9001
1992 Publicación BS
7750 - ahora ISO
14001
1996 Publicación BS
8800 - ahora OHSAS
18001
Publica a norma BS 7799 en 1995:
conjunto de buenas prácticas para
la gestión de la seguridad de su
información

EVOLUCIÓN DE LA NORMATIVA ISO
27000
En 2005, con más de 1700 empresas certificadas en BS7799-2, el
esquema se publicó por ISO como estándar ISO 27001.
1995
BS 7799 Parte 1
Código de
Buenas
Prácticas 1998
BS 7799 Parte 2
Especificación
del SGSI
1999
BS 7799-1 1999
BS 7799-2 1999
Revolución de
las partes
1 y 2
2000
ISO/IEC 17799:2000
Parte 1 se adopta
como ISO
2002
BS 7799-2: 2002
Revisión de la
parte 2
Junio 2005
ISO/IEC
17799: 2000
Revisión de
ISO 17999
Octubre 2005
ISO/IEC 27001
Parte 2
se adopta
como ISO
HISTORIA
DE ISO
27001

2012
ISO/IEC 27010: 2012
ISO/IEC 27013: 2012
ISO/IEC TR 27015: 2012
2007
ISO/IEC 27002: 2005
ISO/IEC 27006: 2007
2009
ISO/IEC 27031: 2009
ISO/IEC 27004: 2009
ISO/IEC 27033: 2009
2008
ISO/IEC 27005: 2008
ISO/IEC 27011: 2008
ISO/IEC 27799: 2008
2011
ISO/IEC 27035: 2011
ISO/IEC 27031: 2011
ISO/IEC 27005: 2011
ISO/IEC 27006: 2011
ISO/IEC 27007: 2011
ISO/IEC TR 27008: 2011
ISO/IEC 27034: 2011
2010
ISO/IEC 27003: 2010
ISO 27000

ISO 27000
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000
Puntos clave: Gestión
de riesgos + Mejora
continua
Define cómo es el SGSI,
cómo se gestiona y cuáles
son las responsabilidades
de los participantes
Sigue un modelo PDCA
(Plan-Do-Check-Act)
ISO/IEC
27001

EVOLUCIÓN
ISO/IEC 27011: guía de
gestión de seguridad de la
información específica para
telecomunicaciones
ISO/IEC 27006: requisitos a
cumplir por las
organizaciones encargadas
de emitir certificaciones
ISO/IEC 27001
ISO/IEC 27002: código de
buenas prácticas para la
gestión de la seguridad
actuación para auditar los
SGSI conforme a las
normas 27000
seguridad en aplicaciones
ISO/IEC 27003: guía
de implementación
de SGSI e
información
ISO 27000
ISO/IEC 27004: especifica
las métricas y las
técnicas de medida
aplicable para la eficacia
el SGSI
ISO/IEC 27005: gestión de
riesgos de seguridad de
la información
ISO/IEC 27032: guía
relativa a la
ciberseguridad
ISO/IEC 27799: guía para
implantar ISO/IEC 27002
específica para entornos
médicos
continuidad de negocio en lo
relativo a tecnologías de la
información y
comunicaciones

ISO 27000
Diagrama de relación de la reorganización de las cláusulas principales
de la versión 2005 a la publicada en 2013

Enfoque del análisis del
riesgo de l afase de
planificación y operación
NUEVA
ISO 27001: 2013
NUEVA ISO 27001: 2013

NUEVA ISO 27001: 2013
SGSI
Estudio de
situación actual
en aspectos
de seguridad
Mantenimiento,
evaluacióny
planes de mejora
Comprobarla
efectividad de
las medidas
implantadas
Implantación de
medidas de
seguridad

ISO 27001
“Norma que especifica los requisitos para establecer, implantar,
poner en funcionamiento, controlar, revisar, mantener y mejorar un
SGSI documentado dentro del contexto global de los riesgos de
negocio de la organización. Especifica los requisitos para la
implantación de los controles de seguridad hechos a medida de
las necesidades de organizaciones individuales o partes de las
mismas”
Se adopta el
modelo Plan-Do-
Check-Act (PDCA
ó ciclo de Deming)
para todos los
procesos de la
organización
Objetivo:
Mejora
continua

PLANIFICAR
(Creación del SGSI
Definir las políticas, objetivos,
procesos y procedimientos del SGSI
relevantes para gestionar el riesgo
y mejorar la seguridad de la
información con el fin de obtener
resultados acordes con las
políticas y objetivos
generales de la organización
HACER
(Implementación y operación del SGSI
Implementar y operar la política,
controles, procesos y
procedimientos del SGSI
VERIFICAR
(Supervisión y revisión del SGSI
Evaluar y, en su caso, medir el
rendimiento del proceso contra la
política, los objetivos y la
experiencia práctica del SGSI, e
informar de los resultados a la
dirección para su revisión
ACTUAR
Mantenimiento y mejora del SGSI
Adoptar medidas correctivas y
preventivas, en función a los
resultados de la auditoría interna
del SGSI y de la revisión por parte
de la dirección, o de otras
informaciones relevantes, para
lograr la mejora continua del SGSI
ISO 27001
ISO 27001

VENTAJAS
Garantizar la confidencialidad,
integridad y disponibilidad
de información sensible
Disminuir el riesgo con la
consiguiente reducción de
gastos
Reducir la incertidumbre
por el conocimiento de
los riesgos e impactos
Mejorar continuamente la
gestión de la seguridad
de la información
Garantizar la continuidad del
negocio
Aumentar la competitividad
y mejorar la imagen
corporativa
Incremetar la confianza de
los stakeholders
Aumentar la rentabilidad
derivada del control de
los riesgos
Cumplir la legislación vigente
referente a la seguridad de
la linformación
Aumentar las oportunidades
de negocio

VENTAJAS
Mejorar la implicación y
participación del
personal en la gestión
de la seguridad
Reducir los costos asociados
a los incidentes
Posibilidad de integración
con otros sistemas de
gestión como ISO 9001,
ISO14001, OHSAS 18001
entre otros
Mejorar los procesos y
servicios prestados
Aumentar la competitividad
por mejora de la imagen
corporativa

DEFINICIÓN DE POLÍTICAS,
ORGANIZACIÓN Y ALCANCES

DISEÑO DEL SGSI
La implantación de un SGSI debe comenzar con el correcto diseño
Para ello debemos definir
cuatro aspectos fundamentales
Tercero:
La organización de la seguridad
Cuarto:
Programas de concienciación y
formación del personal
Primero:
El alcance del sistema
Segundo:
Las Políticas de seguridad
aseguir

Primero: definir el alcance del
sistema. Qué partes o procesos de la
organización que van a ser incluidos
La empresa debe determinar cuáles
son los procesos críticos para su
organización decidiendo qué es lo
que se quiere proteger y por donde
debe empezar
Dentro del alcance debe quedar
definidas las actividades de la
organización, las ubicaciones físicas
que se van a ver involucradas
DISEÑO DEL SGSI

Qué tecnología de la empresa se
incluirán y qué áreas quedarán
excluidas en la implamntación del
SGSI
Es importante que durante esta fase se
estimen los recursos económicos y de
personal que se van a dedicar a
implantary mantenerel sistema
De nada sirve que la organización
realice un esfuerzo importante durante
la implantación si después no es
capaz de mantenerlo
DISEÑO DEL SGSI

POLÍTICAS DE SEGURIDAD
Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad
Recoger las directrices que debe seguir el
SGSI de acuerdo a las necesidades y la
legislación vigente
Se debe establecer las pautas de
actuación en el caso de incidentes y
definir responsabilidades
Las políticas deben delimitar qué se
protege, de quién y por qué
Determinar qué está permitido y qué no;
límite de comportamiento aceptable, y
cuál es la respuesta si existe abuso
Identificar los riesgos a los que está
sometida la organización
Para que la política de seguridad sea un
documento de utilidad, con lo establecido en la
norma ISO/IEC 27001 debe cumplir con ciertos
requisitos.
Redacción accesible para todo el
personal. Corta, precisa y fácil de
comprender
Debe ser aprobada por la dirección de la
organización y publicitada por la misma
Debe ser de dominio público dentro de la
organización y debe estar disponible
para su consulta
Debe ser referencia para la resolución de
conflictos relativas a la seguridad de la
información de la organización

POLÍTICAS DE SEGURIDAD
En función a las responsabilidades se decidirá quién está autorizado a acceder a qué
tipo de información
Se debe indicar qué se protege,
incluyendo tanto al personal como
a la información, la reputación y la
continuidad
Debe ser personalizada para cada
organización
Se deben señalar las normas y reglas
que va adoptar la organización y las
medidas de seguridad necesarias
Las política de seguridad debe incluir
al menos los siguientes apartados
1 - Definición de la SI, objetivos
globales, alcance de la seguridad,
importancia y los mecanismos de
control.
2- Declaración por parte de la
organización donde se apoyan los
objetivos y principios de la SI
3 – Breve explicación de las políticas
4- Definir responsabilidades generales
y específicas donde se incluirán los
roles que se deban cumplir
5 – Referencia a documentos para
sustentar las políticas.
Las políticas de SI debe ser un
documento actualizado por lo que
debe ser revisado y modificado
anualmente

ORGANIZACIÓN DE LA SEGURIDAD
La organización de la seguridad es otro aspecto de immportnacia durante el diseño
del SGSI
1
1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas
responsabilidades
Responsable de seguridad. Comité de Dirección. Comité de Gestión
2. Al plantear la nueva organización y responsabilidades se debe identificar
posibles riesgos y se debe tomar medidas al respecto2
3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los
despachos, en estos casos es posible firmar acuerdos de confidencialidad
3
4
4. La última fase del diseño del SGSI es la concienciación y formación del personal
con el fin de crear una cultura de seguridad

ALCANCES
Para determinar el alcance y límites del SGSI se debe especificar las
características de la organización, su ubicación, activos, tecnología e
incluir detalles de cualquier exclusión dentro del alcance que pudieran
considerarse.
El alcance, es un aspecto fundamental, ya que delimita las partes de la
organización que se ven afectadas, y por tanto, las partes que se deben
auditar.

El alcance, con todas las características debe
estar documentado.
2
3
45
1
La organización debe determinar los
límites y aplicabilidad del sistema de
gestión de seguridad de la información
La organización debe considerar, en el alcance,
los elementos internos y externos para su
propósito que puedan afectar a la consecución
de los objetivos del SGSI.
Se debe considerar, las partes interesadas
para el SGSI y los aspectos legales y
regulatorios incluir
Se debe considerar, las interfaces y dependencias
entre las actividades de la organización y las que
realizan otras organizaciones (proveedores).
Cláusula 4.3 En esta cláusula aparecen 5 especificaciones:
4
ALCANCES

COMPATIBILIDAD
"ISO 27001 está diseñada para ser compatible con otras normas de gestión como:

NORMA INTERNACIONAL
ISO-27000
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DE LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA NACIONAL
DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP)
MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN
GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO
Barquisimeto, mayo 2014
Diseño:ReinaldoPérezLeón
reyleon1970@gmail.com
04245461944

Norma ISO 27000

Norma ISO 27000

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(20)

Destacado

Destacado(20)

Similar a Norma ISO 27000

Similar a Norma ISO 27000(20)

Más de UPTAEB

Más de UPTAEB(17)

Último

Último(20)

Norma ISO 27000