27001
Seguridad
orientada al
Negocio

• Objetivo de la Norma ISO 27001
• Bases de la Norma ISO 27001
• Actualización a ISO 27001:2013
• Estructura de la Norma
• Compromiso y alcance
• Dominios de control
• Soporte y operación
• Declaración de Aplicabilidad
• Negocio y otros Frameworks
• La certificación
• Familia de Normas ISO 27000
ISO 27001
2005 → 2013

Este estándar fue desarrollado para proveer un modelo para el
establecimiento, implementación, operación, monitorización, revisión,
mantenimiento y mejora del SGSI teniendo en cuenta la política,
estructura organizativa, las normas, procedimientos y los recursos de la
empresa.
El SGSI de la ISO 27001 permite prevenir o reducir eficazmente el
nivel de riesgo mediante la implantación de los controles
adecuados, preparando a la Organización ante posibles
emergencias, garantizando la continuidad del negocio.
Objetivo

La norma ISO 27.001 le brinda a la Organización los objetivos de control, de los cuales surgen las
medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la
información más sensible y las aplicaciones más críticas para cada área de negocio establecidos.
• La Seguridad deja de ser sólo una cuestión técnica para ser parte del
Plan de Negocio
• Aplica a todos los niveles de la Organización.
• Introduce el Análisis de Riesgo y un sistema de gestión orientado a la
protección de la información (SGSI).
• Define un conjunto de controles que no deja nada librado al azar.
• Asocia Gobernabilidad con la Seguridad de la Información, mostrando
un valor agregado de Calidad a los resultados del Negocio
POLITICA DE SEGURIDAD DE LA INFORMACIÓN
Bases de la 27001

Requerimientos
legales,
reglamentarios
y expectativas
de seguridad de
la información
Clientes
Proveedores
Usuarios
Accionistas
Socios
Seguridad de la
información
Gestionada
Clientes
Proveedores
Usuarios
Accionistas
Socios
Disponer de una gestión que asegure los
procesos de negocio y el tratamiento de los
datos propios o de terceros permite una…
Bases de la 27001

27001:2013
• Pone más énfasis en la medición y evaluación del SGSI
• Nueva sección sobre la contratación externa, la cual
refleja el hecho de que muchas organizaciones
dependen de terceros para la prestación de algunos
aspectos de las TI.
• No enfatiza en el ciclo Plan-Do-Check-Act
explicitamente, presta más atención al contexto de
Seguridad de la Información en la Organización
• La 27001:2013 fue diseñada para ajustarse mejor a
otras normas de gestión como ISO 9000 e ISO 20000

SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
GOBERNABILIDAD
CALIDAD
NEGOCIO
ISO 27014 – Gobierno de Seguridad de la Información
ISO 20000 – Gestión de Servicios de TI
Concepto clave

1. Ámbito de aplicación de la norma
2. Alcance
3. Términos y definiciones de la ISO / IEC 27000
4. Contexto organizacional y de las partes interesadas
5. Liderazgo en seguridad de la información y apoyo de alto nivel para la
política
6. Planificación de un sistema de gestión de seguridad de la información;
evaluación de riesgos; tratamiento de riesgos
7. Apoyar un sistema de gestión de seguridad de la información
8. Hacer un sistema de gestión de seguridad de información operativa
9. Revisar el funcionamiento del sistema
10.Acciones correctivas
Anexo A:
Lista de los controles y sus objetivos.
Estructura de la Norma
En la actualidad hay 114 controles en 14 grupos
El viejo estándar tenía 133 controles en 11 grupos

Estructura de la Norma
Propone un marco genérico para cualquier sistema de gestión, a partir
del cual toda norma ISO de sistema de gestión converja en una misma
estructura común y con el mismo contenido salvo en su apartado 8.-
Operación que será en el que, tras un primer apartado también común
(8.1, de planificación y control operacional) cada norma desarrollará
sus requisitos específicos (de seguridad, de continuidad, de gestión
energética o de lo que sea).
ANEXO SL
(ex Guía ISO 83)
Facilita la integración
entre Normas

4. Sistema de Gestión de
Seguridad de la Información
4.3 Requisitos de la
Documentación
4.1 Generalidades
4.2 Implementación y
gerenciamiento del SGSI
5. Responsabilidades de la
Dirección
6. Auditoría interna del SGSI
7. Revisión del SGSI por parte
de la Dirección
8. Mejora del SGSI
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación de
funcionamiento del SGSI
10. Mejoras y acciones
correctivas
Introducción, Alcance, Referencias Normativas, Términos y definiciones
Estructura de la Norma
2005 2013

ACTCHECKDOPLAN
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación de
funcionamiento del SGSI
10. Mejoras y acciones
correctivas
Entendimiento de la Organización y su contexto
Expectativas de las partes interesadas
Alcances del ISMS
Liderazgo y compromiso de la Alta Dirección
Políticas
Organización de los roles, responsables y autoridades
Como abordar riesgos y oportunidades
Recursos, competencias, concientización,
comunicación, información documentada
Plan de tratamiento de riesgos
Implementar el plan y documentar los resultados
Plan de seguimiento, medición, análisis y evaluación
Planear y realizar auditorías internas del SGSI
Revisiones regulares de la Alta Dirección
No conformidad y acciones correctivas
Mejora continua del SGSI
Estructura de la Norma - PDCA

Estructura de la Norma

Política de Seguridad
Organización de la seguridad
Gestión de activos Control de accesos
Conformidad
Seguridad del personal
Seguridad del entorno
físico
Seguridad del entorno
tecnológico
Gestión de incidentes de
seguridad
Gestión de
operaciones
Gestión de
comunicaciones y
operaciones
Gestión de continuidad
de negocio
Seguridad Organizativa
Seguridad lógica
Seguridad física
Seguridad legal
TácticoOperativoEstratégico
Estructura de la Norma

ENTORNO = RIESGOS
CUMPLIMIENTO
Leyes, Regulaciones, Políticas Internas
Asociar las áreas Legales,
Auditoría y Seguridad con
las áreas Funcionales y
Tecnológicas
GOBIERNO
Establecer procesos
funcionales y de servicio
tecnológico protegidos,
compliance y pensados para
El Negocio
Reconocer los diferentes
riesgos y metodología para
su gestión
Estructura de la Norma

Lo primero que debe reconocer la Organización es la importancia de uno de
sus principales activos: LA INFORMACIÓN, y en función de ello podrá
descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino
también el INTERES de aquellos agentes internos y externos en violarla, ya
sea en su Integridad, como Confidencialidad y Disponibilidad.
La Dirección debe reconocer que lo que se plantea es la
implementación de un esquema de seguridad orientada al negocio, y
toda Norma de Seguridad es una herramienta de que dispone (como marco
normativo) para implantar la política y objetivo de Seguridad de la
Información.
Este Sistema proporciona mecanismos para la salvaguarda:
• De los Activos de Información.
• De los Sistemas que los procesan.
Compromiso y alcance

Objetivos de mejora en su gestión que busca alcanzar la Organización:
• De gobierno, estructura organizativa, funciones y responsabilidades
• Políticas, los objetivos y las estrategias que están en marcha para
alcanzarlos
• Las capacidades, entendidas en términos de recursos y de
conocimiento (por ejemplo, capital, tiempo, personas, procesos,
sistemas y tecnologías)
• Sistemas de información, flujos de información y procesos de toma
de decisiones (tanto formales como informales)
• Relación con las percepciones y valores de los interesados internos:
• Cultura de la organización
• Normas, directrices y modelos adoptados por la organización
• Forma y el alcance de las relaciones contractuales.
Compromiso y alcance

Áreas de Negocio
Proceso Funcional
Proceso de Servicios Tecnológicos y de Seguridad al Negocio
Leyes y Regulaciones del
Negocio
Adopción del estándar
Políticas, Normas y
Procedimientos
Registros y ControlesRegistros y Controles
Compromiso y alcance

Dominios de control (Anexo A)

Controles 27002:2013

Según lo que establezca como alcance la Compañía a través de su Política
de Seguridad, cada área de negocios participa en la gestión de:
El Negocio
Gestión de la Seguridad
Gestión de Información
Gestión con Terceras Partes
Medios de Comunicación
El Personal
Funciones y responsabilidades
Confidencialidad y contraseñas
Uso de hardware
Uso de software y aplicaciones
Concientización y Educación
Los sistemas de Información
Seguridad Física del entorno
Seguridad Física de los soportes
Seguridad Lógica en los sistemas
Manejo de incidentes
La Revisión del Sistema
Control de registros
Auditorías de Sistemas
Seguimiento del Cumplimiento
Para aportar resultados y conocimientos para el control de:
Soporte

Conocer su responsabilidad en cuanto a
la Seguridad de la Información y lo que se
espera de él.
Entrenamiento inicial y continuo a sus
colegas de área, y aporte en el
mantenimiento activo de la
documentación y los controles
Conocer las políticas organizacionales,
haciendo hincapié en el cumplimiento de
la Política de Seguridad.
Incrementar la conciencia de la necesidad de proteger la
información y a entrenar a los usuarios en la utilización de la
misma para que ellos puedan llevar a cabo sus funciones en
forma segura, minimizando la ocurrencia de errores y pérdidas.
Soporte

Nivel 4 = REGISTROS
Proporciona las pruebas objetivas del cumplimiento
Nivel 3 = INSTRUCTIVOS / CHECKLIST / FORMULARIOS
Describe las actividades y tareas específicas , indicando como se realizan
Nivel 2 = PROCEDIMIENTOS
Describe procesos (qué, quien, cuando, donde)
Nivel 1 = MANUAL DE SEGURIDAD
Políticas, alcance, evaluación de riesgos, declaración de aplicabilidad
Un Marco Normativo sobre estas bases permite contar con la certeza
sobre la Información de respaldo y pruebas objetivas para el control y
desarrollo de la Seguridad de la Información.
Soporte

RIESGOS NEGOCIO
• Definir tipos de riesgos
• Identificar riesgos asociados
• Establecer parámetros de
medición
• Elegir una metodología de
tratamiento
• Analizar y evaluar riesgos
• Crear un Plan de Mitigación
• Identificar procesos
• Analizar entorno
regulatorio
• Analizar cultura interna
• Analizar madurez
operativa
• Analizar entorno
documental
MATRIZ DE RIESGO
DIRECTORIO
Preparando la Operación

“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el
cual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se
detallan todos aquellos riesgos para los cuales la respuesta al riesgo
residual es distinta de “se asume” y por consiguiente se ha especificado
un plan de acción con los controles/actividades tendientes a mitigar el
riesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”,
• Detalle de nuevos riesgos y factores incorporados
• Detalle de riesgos y factores dados de baja, con la
correspondiente justificación de esta acción
• Detalle de riesgos para los cuales se registran cambios en la
evaluación, incluyendo la evaluación anterior, la evaluación
actual y la justificación del cambio realizado
Preparando la Operación

Evaluación y tratamiento de riesgos de seguridad
Planificación de
Administración
de Riesgos
•Alcance
•Metodología
Identificación de
Riesgos
•Activos
•Amenazas
•Vulnerabilidades
Análisis de
Riesgos
•Riesgos
•Costos / Beneficios
Plan de Acción
•Tratamiento
•Aceptar riesgo residual
Monitoreo de los
Riesgos
Mitigar
• Controles
Transferir
• Seguros
• Proveedores
Aceptar
• No hacer nada
Evitar
• Cesar la actividad que
lo origina
Preparando la Operación

Un Análisis de Riesgo puede ser desarrollado con cualquier tipo
de metodología, siempre y cuando sea completa y metódica.
El resultado final de un análisis de riesgo, es:
• Clara identificación, definición y descripción de los activos.
• El impacto que podría ocasionar un problema sobre cada
uno.
• Conjunto de acciones que pueden realizarse (agrupadas).
• Propuesta varios cursos de acción posibles.
• Finalmente: Elección y Aprobación de un curso de acción por
parte de la Dirección. Es decir, el compromiso que asume en
virtud de su propia estrategia (Costo/beneficio/Negocio), para
tratar las acciones de ese curso de acción y ASUMIR el
riesgo residual que quedará con lo que no esté dispuesto a
abordar (…..o en definitiva a pagar…..).
Preparando la Operación

Declaración de aplicabilidad
Consiste en un documento que relaciona los controles que se
aplican en el sistema de gestión.
De la relación de los controles que la norma ISO/IEC 27001 indica
en su anexo A, una Organización debe seleccionar aquellos que
debe implantar y mantener en su sistema.
El resultado de la elección de los controles forma parte del Plan de
Tratamiento de riesgos, de modo que éste tiene como salida la
Declaración de Aplicabilidad.

Interpretación
Seguridad
Interpretación
Áreas de
Negocio
Interpretación
Tecnología
Declaración de aplicabilidad
Objetivos de
control
Riesgos
identificados
Planes de
tratamiento de
riesgos
Implantación
de controles

Declaración de aplicabilidad

Declaración de aplicabilidad

Para asegurar la gestión de Seguridad
de la información debemos
necesariamente conocer cuáles son
los procesos de nuestra Organización
y como se trata la información en cada
uno de ellos para de esta forma
establecer cuáles son los alcances
respecto de su “Ciclo de Vida” y que
actividades vamos a establecer para
la gestión de cada uno de los Activos
de Información. Esto nos ayudará a
entender cuál es la “cadena de
información” y así poder establecer los
medios tecnológicos para tratarla en
cada uno de sus estados en el paso
de cada uno de los diferentes
procesos.
27001 y otros frameworks

Para satisfacer los objetivos del negocio, la información necesita
concordar con ciertos criterios a los que CObIT hace referencia como
requerimientos de negocio para la información. Al establecer la
lista de requerimientos, CObIT combina los principios contenidos en
los modelos referenciales existentes y conocidos:
Requerimientos de calidad
• Calidad
• Costo
• Entrega (de servicio)
Requerimientos Fiduciarios
(Administración de patrimonio
terceros bajo su
responsabilidad) - COSO
• Efectividad & eficiencia de
operaciones
• Confiabilidad de la información
• Cumplimiento de las leyes &
regulaciones
Requerimientos de Seguridad
• Confidencialidad
• Integridad
• Disponibilidad
27001 y otros frameworks

27001 y otros frameworks

Las diferente áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000:
• Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS.
• Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios.
• Actividades de supervisión y evaluación de seguridad
27001 y otros frameworks

ISO 27001 e ITIL son complementarios. La mayoría de los controles de seguridad
identificados en la norma ISO 27001 ya son parte de la gestión del servicio. Tanto ITIL como
ISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos del
servicio con el fin de gestionar eficazmente los riesgos en la infraestructura
27001 y otros frameworks

Los ocho libros de ITIL y sus temas son:
1. Gestión de Servicios de TI
2. Mejores prácticas para la Provisión de Servicio
3. Mejores prácticas para el Soporte de Servicio
Otras guías operativas
4. Gestión de la infraestructura de TI
5. Gestión de la seguridad
6. Perspectiva de negocio
7. Gestión de aplicaciones
8. Gestión de activos de software
27001 y otros frameworks

La norma ISO/IEC 20000-1 especifica los siguiente
procesos de gestión de servicio relacionados entre sí:
Procesos de Entrega de Servicios
Procesos de Control
Procesos
de Versiones
Procesos
de Relaciones
Procesos
de Resolución
Gestión de Configuraciones
Gestión de Cambios
Gestión de Niveles
de Servicio
Informes de Servicio
Gestión de Incidentes
Gestión de Problemas
Gestión de Relaciones
de Negocio
Gestión de
Proveedores
Gestión de Versiones
Gestión de
Seguridad de
la Información
Presupuestación
y Contabilización
de
Servicios de TI
Gestión de
Capacidad
Gestión de
Continuidad y
Disponibilidad
de Servicio
27001 y otros frameworks

La Certificación

Pre-Auditoría (opcional)
Existencia y alcance apropiado del SGSI
Auditoría de Certificación
Fase 1 = Revisión de la documentación
Fase 2 = Procesos y control
Certificación
Emisión del certificado
Seguimiento anual
Mejora continua
La Certificación

Información documentada requerida para la certificación :
1. Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3)
2. Política de seguridad de la Información (cláusula 5.2)
3. Proceso de evaluación de riesgos (cláusula 6.1.2)
4. Proceso de tratamiento de riesgos (cláusula 6.1.3)
5. Objetivos de seguridad de la Información (cláusula 6.2)
6. Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2)
7. Otros documentos relacionados con el SGSI considerados necesarios en la Organización
( 7.5.1b cláusula )
8. Documentos de planificación y control operacional (cláusula 8.1)
9. Resultados de las evaluaciones de riesgos (cláusula 8.2)
10. Decisiones con respecto al tratamiento del riesgo (cláusula 8.3)
11. Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1)
12. Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2)
13. Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3)
14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan
(cláusula 10.1)
15. Otra información documentada; uso aceptable de los activos, política de control de
acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con los
proveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones
contractuales, procedimientos de continuidad
La Certificación

La Certificación

ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos y
conceptos)
ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las
normas 27000. Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los
participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestión de riesgos + Mejora contínua
ISO/IEC 27002:
Código de buenas prácticas para la gestión de la seguridad. Recomendaciones sobre qué medidas
tomar para asegurar los sistemas de información de una organización. Describe los objetivos de control
(aspectos a analizar para garantizar la seguridad de la información) y especifica los controles
recomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estándar BS 7799 (en
España norma UNE-ISO 17799)
ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA
(Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de
publicación)
ISO/IEC 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia
de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
http://www.iso27000.es/iso27000.html#section3c
Familia de Normas ISO/IEC 27000

ISO/IEC 27005: Gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas
para evaluación de riesgos de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC
27001. Requisitos para la acreditación de las entidades de auditoria y certificación
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000
ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en
desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)
ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y
comunicaciones (en desarrollo)
ISO/IEC 27032: guía relativa a la ciberseguridad
ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo)
ISO/IEC 27034: guía de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la información.
ISO/IEC 27036: Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores
(en desarrollo)
Familia de Normas ISO/IEC 27000

ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con la identificación,
recopilación, consolidación y preservación de evidencias digitales potenciales.
ISO/IEC 27038: Consistirá en una guía de especificación para seguridad en la redacción digital. (en desarrollo)
ISO/IEC 27039: Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y
prevención de intrusión (IDS/IPS). (en desarrollo)
ISO/IEC 27040: Consistirá en una guía para la seguridad en medios de almacenamiento. (en desarrollo)
ISO/IEC 27041: Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de
investigación. (en desarrollo)
ISO/IEC 27042: Consistirá en una guía con directrices para el análisis e interpretación de las evidencias
digitales. (en desarrollo)
ISO/IEC 27043: Desarrollará principios y procesos de investigación. (en desarrollo)
ISO/IEC 27044: Gestión de eventos y de la seguridad de la información - Security Information and Event
Management (SIEM). (en desarrollo)
ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector
sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los
pacientes.
Familia de Normas ISO/IEC 27000

Pág. 6-45
Director Certificado en Seguridad de la Información (Universidad CAECE)
Auditoria y Control en Seguridad de la Información
ITIL V3 Certified - ISO 20000 Internal Audit Certified
Celular (5411) 15 3328-6859
http://ar.linkedin.com/in/fabiandescalzo
https://mybizcard.co/fabian.descalzo.126280