Seguridad de la información
Según las normas
ISO 27001 e ISO 27002
…la información y el
conocimiento son los activos
más importantes de una
organización.

ANTES DE EMPEZAR…
MOVILES CASOS PRACTICOS
DESCANSOS
PREGUNTAS

ANTES DE EMPEZAR…
PRESENTACIONES
MONITOR ………
ASISTENTES 1. NOMBRE
2. DEPARTAMENTO/FUNCIONES
3. CONOCIMIENTOS PREVIOS
4. EXPECTATIVAS DEL CURSO

Seguridad de la información
1- Introducción

¿Qué es la información?
Conjunto de datos
procesados en poder de
una organización e
independientemente de la
forma en que se guarde o
transmita (escrita,
representada mediante
diagramas o impresa en
papel, almacenada
electrónicamente,
proyectada en imágenes,
enviada por fax o correo,
o, incluso, transmitida de
forma oral en una
conversación presencial o
telefónica),

¿Por qué es necesaria la seguridad de la información?
La información y los procesos, sistemas y redes que la
soportan, son importantes activos de negocio. La
definición, consecución, mantenimiento, y mejora de la
seguridad de la información pueden ser esenciales para
mantener su competitividad, rentabilidad,
cumplimiento con la legislación, imagen…
Las organizaciones y sus sistemas de información y redes
se enfrentan, con amenazas de seguridad procedentes de
una amplia variedad de fuentes, incluyendo fraudes
basados en informática, espionaje, sabotaje, vandalismo,
incendios o inundaciones. Las causas de daños como
ataques por código malicioso, de intrusión y de
denegación de servicios se están volviendo cada vez más
comunes, ambiciosos y sofisticados.

¿QUÉ PROTEGER? ¿DE QUIÉN? ¿CÓMO
PROTEGERLO?
8
7 1
SEGURIDAD DE LA
INFORMACIÓN
PROTEGIDO POR:
6 2
5 3
4 ISO 27001
SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA
INFORMACIÓN

¿Qué es exactamente la seguridad de la
información?
La seguridad de la información es la preservación de la
confidencialidad, integridad y disponibilidad de la misma y de los
sistemas implicados en su tratamiento dentro de una organización.
Estos tres factores se definen como:
•Confidencialidad: acceso a la información por parte únicamente de
quienes estén autorizados.
•Integridad: mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso.
•Disponibilidad: acceso a la información y los sistemas de tratamiento
de la misma por parte de los usuarios autorizados cuando lo requieran

Seguridad de la información
2- Preguntas y respuestas
sobre el SGSI y la norma 27001

¿Qué es un SGSI?
•Un SGSI es un Sistema de Gestión de la Seguridad de la Información.
Esta gestión debe realizarse mediante un proceso sistemático,
documentado y conocido por toda la organización. Podría
considerarse, por analogía con una norma tan conocida como la ISO
9000, como el sistema de calidad para la seguridad de la información.
•El propósito de un sistema de gestión de la seguridad de la
información no es garantizar la seguridad – que nunca podrá ser
absoluta- sino garantizar que los riesgos de la seguridad de la
información son conocidos, asumidos, gestionados y minimizados por
la organización de una forma documentada, sistemática, estructurada,
continua, repetible, eficiente y adaptada a los cambios que se
produzcan en la organización, los riesgos, el entorno y las tecnologías.

Si la seguridad total no existe, ¿qué diferencia
aporta un SGSI?
Un SGSI es el modo más eficaz de conseguir minimizar los riesgos,
asegurar la continuidad adecuada de las actividades de negocio hasta
en los casos más extremos y de adaptar la seguridad a los cambios
continuos que se producen en la organización y en su entorno.
Aunque nunca logremos la seguridad total, nos acercamos a ella
mediante una mejora continua. Es más apropiado hablar en términos
de riesgo asumible en lugar de seguridad total, ya que no sería lógico
que el gasto en seguridad sea mayor que los impactos potenciales de
los riesgos que pretende evitar.

¿Qué es la norma ISO 27001?
• Es un estándar ISO que
proporciona un modelo para
establecer, implementar, utilizar,
monitorizar, revisar, mantener y
mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI).
Se basa en un ciclo de vida PDCA
(Plan-Do-Check-Act; o ciclo de
Deming) de mejora continua, al
igual que otras normas de sistemas
de gestión (ISO 9001 para calidad,
ISO 14001 para medio ambiente,
etc.).
 Es un estándar certificable, es decir, cualquier organización que tenga
implantado un SGSI según este modelo puede solicitar una auditoría externa
por parte de una entidad acreditada y, tras superar con éxito la misma, recibir
la certificación en ISO 27001

¿En qué consiste la gestión del riesgo y el ciclo de
vida PDCA?
•Mediante la gestión del riesgo se identifican, evalúan y corrigen a
niveles razonables y asumibles en coste todos los riesgos en
seguridad que podrían afectar a la información.
•PDCA son las siglas en inglés del conocido como ciclo de Deming:
Plan-Do-Check-Act (Planificar-Hacer-Verificar-Actuar).
•En la fase PLAN se realiza la evaluación de las amenazas, riesgos e
impactos. En la fase DO, se seleccionan e implementan los controles
que reduzcan el riesgo a los niveles considerados como aceptables y
en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida
de evidencias y readaptación de los controles según los nuevos
niveles obtenidos y requeridos.
•Es un proceso cíclico sin fin que permite la mejor adaptación de la
seguridad al cambio continuo que se produce en la organización y su
entorno.

¿Cuál es el origen de ISO 27001?
•Su origen está en la norma de BSI (British Standards Institution)
BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y
ya era un estándar certificable desde entonces. Tras la adaptación
pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.
¿Puedo certificar mi organización en ISO 17799?
•ISO 27002 es un conjunto de buenas prácticas de seguridad de la
información que describe 133 controles aplicables. No es certificable,
al igual que su norma antecesora BS 7799-1, y la aplicación total o
parcial en cada organización se realiza de forma totalmente libre y sin
necesidad de una supervisión regular externa.
•La norma que sí es certificable es ISO 27001, como también lo fue su
antecesora BS 7799-2

¿Qué es un estándar?
•Es una publicación que recoge el trabajo en común de los comités de
fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones técnicas y mejores
prácticas en la experiencia profesional con el objeto de ser utilizada
como regulación, guía o definición para las necesidades demandadas
por la sociedad y tecnología.
•Los estándares ayudan a aumentar la fiabilidad y efectividad de
materiales, productos, procesos o servicios que utilizan todas las
partes interesadas (productores, vendedores, compradores, usuarios y
reguladores).
•En principio, son de uso voluntario, aunque la legislación y las
reglamentaciones nacionales pueden hacer referencia a ellos.

¿Es ISO 27001 compatible con ISO 9001?
•ISO 27001 ha sido redactada de forma análoga a otros estándares,
como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS
18001 (prevención de riesgos), con el objetivo, entre otros, de facilitar
a las organizaciones la integración de todos ellos en un solo sistema
de gestión. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO
14001:2004 y sus semejanzas en la documentación necesaria para
facilitar la integración.
•Es recomendable integrar los diferentes sistemas, en la medida que
sea posible y práctico. En el caso ideal, es posible llegar a un solo
sistema de gestión y control de la actividad de la organización, que se
puede auditar en cada momento desde la perspectiva de la seguridad
de la información, la calidad, el medio ambiente o cualquier otra.

La serie 27000
•A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de
numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá
términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar
necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos
técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la
serie, que tendrán un coste.
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS
7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición
para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen
los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO
17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles
enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de
los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en
España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde
también está publicada en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en
inglés y la traducción al francés pueden adquirirse en ISO.org.

La serie 27000
•ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios. La norma ISO27001 contiene un
anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida
(previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799)
y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al
francés pueden adquirirse en ISO.org.
ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en
una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la
serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación.
ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008.
Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI
y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

La serie 27000
ISO 27005: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá en
una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto,
de apoyo a la ISO27001 y a la implantación de un SGSI. Recogerá partes de ISO/IEC TR 13335.
ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una
versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan
certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de
auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO
27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021
cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación
por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en
ISO.org.
ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en
una guía de auditoría de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en
una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada
conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

La serie 27000
ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en
una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en
una guía relativa a la ciberseguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una
norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes,
escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e
implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO
18028.
ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en
una guía de seguridad en aplicaciones.
ISO 27799: En fase de desarrollo; su fecha prevista de publicación es 2008. Es un estándar de
gestión de seguridad de la información en el sector sanitario aplicando ISO 27002 (actual ISO 27002).
Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité
técnico TC 215

Tengo un firewall, actualizo regularmente el antivirus y realizo copias
de backup. ¿Qué aporta un SGSI a mi organización?
•Estas medidas no son más que unos pocos controles técnicos que,
por sí mismos, no significan que se esté gestionando la seguridad. Un
SGSI implica que la organización ha estudiado los riesgos a los que
está sometida toda su información, ha evaluado qué nivel de riesgo
asume, ha implantado controles (no sólo tecnológicos, sino también
organizativos) para aquellos riesgos que superan dicho nivel, ha
documentado las políticas y procedimientos relacionados y ha entrado
en un proceso continuo de revisión y mejora de todo el sistema.
•El SGSI da así la garantía a la organización de que los riesgos que
afectan a su información son conocidos y gestionados. No se debe
olvidar, por tanto, que no hay seguridad total sino seguridad
gestionada.

¿Qué tiene que ver ISO 27001 con ISO 27002?
• ISO 27002 es un conjunto de buenas prácticas en seguridad de la
información. Contiene 133 controles aplicables (en relación a la gestión de la
continuidad de negocio, la gestión de incidentes de seguridad, control de
accesos o regulación de las actividades del personal interno o externo, entre
otros muchos), que ayudarán a la organización a implantar medidas que
reduzcan sus riesgos en cuanto a seguridad de la información. Su origen está
en la norma de BSI (British Standards Institution) BS7799-Parte 1, que fue
publicada por primera vez en 1995. No es certificable.
• ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
27002 para su posible aplicación en el SGSI que implante cada organización
(justificando, en el documento denominado “Declaración de Aplicabilidad”, los
motivos de exclusión de aquellos que finalmente no sean necesarios). ISO
27002 es para ISO 27001, por tanto, una relación de controles necesarios para
garantizar la seguridad de la información.

¿Qué aporta la ISO 27001 a la seguridad de la
información de una organización?
•Ayuda a la organización a gestionar de una forma eficaz la
seguridad de la información, evitando las inversiones innecesarias,
ineficientes o mal dirigidas que se producen por contrarrestar
amenazas sin una evaluación previa, por desestimar riesgos, por la
falta de contramedidas, por implantar controles desproporcionados y
de un coste más elevado del necesario, por el retraso en las medidas
de seguridad en relación a la dinámica de cambio interno de la propia
organización y del entorno, por la falta de claridad en la asignación
de funciones y responsabilidades sobre los activos de información,
por la ausencia de procedimientos que garanticen la respuesta
puntual y adecuada ante incidencias o la propia continuidad del
negocio, etc.

¿ISO 27001 tiene que ver sólo con la seguridad
informática de una organización?
 La información crítica de una organización está presente en los
sistemas informáticos, pero también en papel, en diferentes tipos
de archivos y soportes, se transmite a terceros, se muestra en
diversos formatos audiovisuales, se comparte en conversaciones
telefónicas y reuniones y está presente en el propio conocimiento y
experiencia de los trabajadores. ISO 27001 propone un marco de
gestión de la seguridad de toda la información de la organización.
La presencia masiva de sistemas informáticos en el tratamiento de la información lleva
a menudo a centrar la atención sólo en la informática, dejando así expuesta información
esencial para las actividades del negocio.
• La evaluación de riesgos previa a la implantación de controles debe partir de un
análisis de los impactos que podría suponer para la organización la pérdida de la
confidencialidad, la integridad o la disponibilidad de cualquier parte de su información.
Esto es un estudio en términos de negocio, independiente del soporte de la información.
• La aplicación posterior de controles considera temas como los aspectos organizativos,
la clasificación de la información, la inclusión de la seguridad en las responsabilidades
laborales, la formación en seguridad de la información, la conformidad con los requisitos
legales o la seguridad física, además de controles propiamente técnicos.

¿Quién debe promover la implantación de ISO
27001 en la organización?
•La Dirección de la organización debe liderar el proceso. Teniendo en
cuenta que los riesgos que se intentan minimizar mediante un SGSI
son, en primera instancia, riesgos para el negocio, es la Dirección
quien debe tomar decisiones. Además, la implantación de ISO 27001
implicará cambios de mentalidad, de sensibilización, de
procedimientos y tareas, etc., y la Dirección es la única que puede
introducirlos en la organización.
•Sin el apoyo decidido de la Dirección, según la propia ISO 27001
indica, no es posible la implantación ni la certificación de la norma en
la organización.

¿Cual es la documentación del SGSI?
La documentación del SGSI deberá incluir:
• Política y objetivos de seguridad.
• Alcance del SGSI.
• Procedimientos y controles que apoyan el
SGSI.
• Descripción de la metodología de
evaluación del riesgo.
• Informe resultante de la evaluación del
riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo
y control de los procesos de seguridad de la
información y de medición de la eficacia de
los controles.
• Registros.
• Declaración de aplicabilidad (SOA
-Statement of Applicability-).
• Procedimiento de gestión de toda la
documentación del SGSI

¿Cuales son los puntos de la ISO 27001?
Evidentemente, el paso previo a intentar la certificación es la
implantación en la organización del sistema de gestión de seguridad de
la información según ISO 27001. Este sistema deberá tener un historial
de funcionamiento demostrable de al menos tres meses antes de
solicitar el proceso formal de auditoría para su primera certificación.
ISO 27001 exige que el SGSI contemple los siguientes puntos:
• Implicación de la Dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.
• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
• Monitorización constante y registro de todas las incidencias.
• Realización de auditorias internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su
alcance.
• Mejora continua del SGSI.

¿Aporta un retorno de inversión la certificación en
ISO27001 de la organización?
Como cualquier otro proyecto de la organización,
la certificación requiere de una inversión de mayor
o menor importancia en función de las prácticas
actuales en seguridad. El retorno de la inversión
es realmente efectivo en el tiempo, considerando,
entre otras razones, que con ISO 27001:
•Se aprovecha el hecho comprobado de que el coste de la implementación de controles apropiados
de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseño e
implantación de las soluciones de negocio.
•Las inversiones en tecnología se ajustan a unas necesidades y prioridades conocidas de un entorno
controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de
productos.
•Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se
solucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen se
solucionan y controlan mediante procedimientos establecidos.
•Se asegura la continuidad de negocio en el tiempo mínimo requerido ante cualquier incidencia, por
grave que sea.
•Se evita la fuga de información esencial a competidores y medios públicos que pueda perjudicar el
crecimiento, pérdida de competitividad y reputación de la organización en el mercado en el que
participa.
•Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio.
•Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto
nivel de concienciación en la protección de la información y conformidad y cumplimento de la
legalidad

¿Qué tipo de organizaciones se están certificando
en ISO 27001?
• El estándar se puede adoptar por la mayoría de los sectores
comerciales, industriales y de servicios de pequeñas, medianas o
grandes entidades y organizaciones: finanzas, aseguradoras,
telecomunicaciones, servicios públicos, minoristas, sectores de
manufactura, industrias de servicios diversos, sector del transporte y
administraciones públicas entre otros.
• En la actualidad destaca su presencia en organizaciones dedicadas
a servicios de tecnologías de la información, como prueba del
compromiso con la seguridad de los datos de sus clientes.

¿Cómo se relaciona ISO 27001 con otros
estándares de seguridad de la información?
•Ciertamente, existen otros estándares relacionados con seguridad de
la información (COBIT, COSO, NIST, ITIL, TickIT, ISO 22.000, etc.),
que la enfocan desde diferentes puntos de vista como a controles de
seguridad, buen gobierno, gestión de servicios TI, seguridad de
producto…
•La organización debería considerar cuál es la mejor opción en
relación a sus necesidades.

Quiero implantar ISO 27001, ¿por dónde
empiezo?
Si está planteándose abordar ISO 27001 en su organización, puede empezar por:
• Recopilar información en páginas Web y asistir a eventos informativos.
• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO (http://www.iso.org),
AENOR (http://www.aenor.es) en España.
• Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma,
a su implantación y su auditoría.
•Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO
17799. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que
le separa de la conformidad con la norma y el camino que habrá que recorrer.
• En muchos casos, es necesario contratar los servicios de una organización consultora
especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de
negocio no deben ser trasladadas a nadie externo a la organización.
• Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política,
determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc.
• Paralelamente, formar y concienciar a todo el personal.
• Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante
tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y
registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera
adecuada.
• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias
entidades de certificación acreditadas para pedir formalmente la visita de auditoría (sus tarifas y
oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria”
muy recomendable para afrontar con garantías una primera certificación en la norma.

¿Existe algún producto que cubra los principales
aspectos de seguridad de la información?
No. Por influencia de la publicidad y las campañas de venta agresivas,
es un error común pensar que el nivel de seguridad depende
exclusivamente del presupuesto dedicado a la compra de productos
relacionados.
La seguridad exige de un plan de gestión del riesgo continuado,
políticas adecuadas a cada organización y una seguridad establecida
en base a múltiples y diferentes barreras. Siempre hay que recordar
que la seguridad no es un producto sino un proceso.

¿En qué ayuda a las organizaciones la auditoría
de certificación?
•Supone la oportunidad de recibir la confirmación por parte de un
experto ajeno a la organización de que se está gestionando
correctamente la seguridad de la información.
•Añade un factor de tensión y de concentración en un objetivo a todos
los miembros del proyecto y de la organización en general, lo que
redunda en beneficio de la implantación del sistema. Da una señal al
mercado de que la organización en cuestión es confiable y es
gestionada transparentemente.
•Es el requisito indispensable para acceder a la certificación y poder
utilizar el sello de certificación junto al de la propia organización.

¿Obliga mi certificación a la de mis organizaciones
de servicio externas (outsourcing)?
•No necesariamente. ISO27001 indica los controles a considerar para
servicios de outsourcing desde el ámbito de su organización
(requisitos contractuales, niveles de servicio, obligaciones legales,
auditoría, etc.).
•La seguridad de los sistemas de información que están fuera del
ámbito es responsabilidad de la organización externa, que debe
cumplir regularmente con los compromisos contractuales exigidos por
el cliente

¿Alguien puede obligarme a certificarme en ISO
27001?
Como obligación legal, a día de hoy, no. Sin embargo, como en toda
relación comercial, el cliente puede exigir a su proveedor ciertas
condiciones previas para ser considerado siquiera como opción de
contratación.
Hay administraciones públicas que están empezando a exigir
certificados de este tipo a las organizaciones que quieran acceder a
concursos públicos de productos o servicios relacionados con
sistemas de información. Igualmente, es previsible que organizaciones
privadas comiencen en algún momento a exigírselo a sus proveedores
siempre que vaya a haber algún tipo actividad relacionada con
información sensible.

¿Cómo es el proceso de certificación?
El proceso de certificación puede resumirse en las siguientes
fases:
•Solicitud por parte del interesado a la entidad de certificación y
toma de datos por parte de la misma.
•Respuesta en forma de oferta por parte de la entidad certificadora.
•Compromiso.
•Designación de auditores, determinación de fechas y
establecimiento conjunto del plan de auditoría.
•Pre-auditoría: opcionalmente, puede realizarse una auditoría
previa que aporte información sobre la situación actual y oriente
mejor sobre las posibilidades de superar la auditoría real.
•Fase 1 de la auditoría: revisión del alcance, política de seguridad,
Dirección, análisis de riesgos, declaración de aplicabilidad y
procedimientos clave.
•Fase 2 de la auditoría: revisión de las políticas, auditoría de la
implantación de los controles de seguridad y verificación de la
efectividad del sistema.
•Certificación: acciones correctivas en caso de no conformidades
graves, revisión y emisión de certificado en caso de informe
favorable.
•Auditoría de seguimiento: auditoría semestral o anual de
mantenimiento.
•Auditoría de re-certificación: cada tres años, una auditoría de
certificación formal completa.

¿Quién acredita a las entidades certificadoras?
•Cada país tiene una entidad de acreditación (algunos, varias) que se
encarga de supervisar que las entidades de certificación (las que,
finalmente, auditan y certifican los sistemas de gestión de las
organizaciones) están capacitadas para desempeñar su labor y se
ajustan a los esquemas establecidos. En España, es ENAC (Entidad
Nacional de Acreditación; http://www.enac.es) quien tiene esta misión.
•También se da el caso de entidades certificadoras que expiden
certificados bajo esquema de acreditación de una entidad de
acreditación extranjera. En ISO 27001, se da frecuentemente el caso
con UKAS (entidad nacional de acreditación del Reino Unido), por el
origen inglés de la norma y su corta vida aún como ISO

Seguridad de la información
Activos.
Evaluación
y gestión del riesgo

Pasos para la Evaluación y gestión del
riesgo
A) Identificar los riesgos
1) Identificar los activos dentro del alcance del SGSI, así como los
propietarios de estos activos
2) Identificar las amenazas a estos activos
3) Identificar las vulnerabilidades que podrían ser explotadas por las
amenazas
4) Identificar los impactos que pueden tener en los activos, las
pérdidas de la confidencialidad, integridad y disponibilidad

A1) Gestión de activos
Responsabilidad sobre los activos
Inventario de activos
Todos los activos deberían ser claramente identificados y
debería prepararse y mantenerse un inventario de todos los
activos importantes.
Propiedad de los activos
Toda la información y los activos asociados con los
recursos para el tratamiento de la información deberían
ser propiedad de una parte designada de la organización
Uso aceptable de los activos
Las reglas de uso aceptable de la información y de los
activos asociados con los recursos para el tratamiento de
la información, deberían ser identificadas, documentadas
e implantadas.

A1) Gestión de activos
Tipos de activos
Activos de información: ficheros y bases de datos, contratos y acuerdos,
documentación del sistema, información de investigación, manuales de los
usuarios, material de formación, procedimientos operativos o de soporte,
planes de continuidad, configuración del soporte de recuperación, pistas de
auditoria e información archivada;
Activos de software: aplicaciones de software, software del sistema,
herramientas y utilidades de desarrollo;
Activos físicos: equipo informático, equipo de comunicaciones, medios
desmontables (removible) y otro equipo;
Servicios: servicios informáticos y de comunicaciones, utilidades generales,
por ejemplo calefacción, iluminación, energía y aire acondicionado;
Personas y sus cualificaciones, perfiles y experiencia;
Ejemplo
Intangibles, tales como la reputación e imagen de la organización.

Evaluación y gestión del riesgo
B) Analizar y evaluar los riesgos
1) valorar los impactos en el negocio de la organización que
podrían provocar los fallos de seguridad, teniendo en cuenta las
consecuencias de una pérdida de confidencialidad, integridad o
disponibilidad de los activos.
2) valorar la posibilidad realista de ocurrencia de fallos de
seguridad a luz de las amenazas y las vulnerabilidades, y los
impactos asociados con los activos y los controles actualmente
implantados.
3) estimar los niveles de riesgo
4) determinar si los riesgos son aceptables o requieren de un
tratamiento, a partir del criterio de aceptación de riesgos
establecido

Evaluación y gestión del riesgo
C) Identificar y evaluar las opciones de tratamiento de los riesgos
Las posibles acciones incluyen:
1) la aplicación de los controles adecuados;
2) el conocimiento y aceptación objetiva de los riesgos, que
proporciona una clara conformidad con las políticas de la
organización y los criterios de aceptación de los riesgos
3) el evitar los riesgos; y
4) transferir los riesgos asociados al negocio a otras partes, por
ejemplo a aseguradoras, suministradores.

Evaluación y gestión del riesgo
D) Seleccionar los objetivos de los controles y los controles para
el tratamiento de los riesgos.
Los objetivos de los controles y los controles deben ser seleccionados e
implantados para cumplir con los requisitos identificados por el análisis de
riesgo y el proceso de tratamiento del riesgo. Esta selección debe tener en
cuenta el criterio de aceptación de riesgos, así como los requisitos
legales, regulatorios y contractuales.
Los objetivos del control y los controles listados en el Anexo A de la norma
ISO 27001 deben ser seleccionados como parte de este proceso y de una
manera adecuada para cubrir los requisitos identificados.
Los objetivos del control y los controles listados en el Anexo A norma ISO
27001 no tienen carácter exhaustivo, y pueden seleccionarse también otros
objetivos del control otros controles listados en el Anexo A.

Evaluación y gestión del riesgo
E) La obtención de la aprobación por parte de la Dirección de
los riesgos residuales propuestos.
F) La obtención de la autorización por parte de la Dirección
para implantar y poner en marcha el SGSI.
G) La preparación de una declaración de aplicabilidad.
Ejemplo
Se debe preparar una declaración de aplicabilidad que incluya lo siguiente:
1) Los objetivos de control y los controles seleccionados y las razones de esta
selección;
2) Los objetivos de control y los controles actualmente implantados la
exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y
la justificación para dicha exclusión.
NOTA: La declaración de aplicabilidad proporciona un resumen de las decisiones
relativas al tratamiento del riesgo. La justificación de las exclusiones proporciona una
comprobación cruzada de que no se han omitido controles de una manera inadvertida.

Seguridad de la información
La norma ISO 17799:2005

Estructura de la norma ISO 17799:2005
La norma contiene 11 capítulos de controles de seguridad que contienen un
total de 39 categorías principales de seguridad y un capítulo introductorio sobre
valoración y tratamiento del riesgo.
Cada categoría principal de seguridad contiene:
a) un objetivo del control objetivo que establece que
es lo que se quiere conseguir; y
b) uno o más controles que pueden ser aplicados
para conseguir el objetivo del control.
En total 133 controles a aplicar

Estructura de la norma ISO 17799:2005
Cada capítulo contiene un número de Categorías principales de seguridad.
Los once capítulos (acompañados del número de Categorías principales de seguridad incluidos
dentro de cada capítulo) son los siguientes:
a) Política de seguridad (1);
b) Organización de la seguridad de la información (2);
c) Gestión de activos (2);
d) Seguridad ligada a los Recursos Humanos (3); NOTA: El orden de los capítulos de
e) Seguridad física y del entorno (2); la norma no implica orden de
importancia. En función de las
f) Gestión de comunicaciones y operaciones (10); circunstancias, todos los capítulos
pueden ser importantes, por lo tanto
g) Control de acceso (7); cada organización que aplique esta
h) Adquisición de sistemas de información. Desarrollo y norma debería identificar que
capítulos le son aplicables, como
mantenimiento (6); son de importantes y su aplicación a
i) Gestión de incidentes de seguridad de la información cada proceso de negocio. Además,
el orden de la lista de controles de
(2); esta norma no implica orden de
j) Gestión de la continuidad del negocio (1); prioridad salvo cuando así se indica.
k) Conformidad (3).

Política de seguridad
Política de Seguridad de la Información
Definición: Manual que aporta una serie de recomendaciones y líneas de actuación para distinguir
entre el uso correcto de los sistemas de información y el indebido.
Objetivo: Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo a los requisitos
del negocio y a la legislación y regulación aplicables
Documento de Política de Seguridad de la Información
Un documento de política de seguridad de la información debería ser aprobado por la Dirección y
debería ser publicado y comunicado a todos los empleados y terceras partes.
Revisión de la política de seguridad e la información
La política de seguridad de la información se debería
revisar a intervalos planificados o en el caso de que se Proceso de autorización de recursos para el tratamiento de la
produzcan cambios significativos para asegurar la información (6.1.4)
Uso aceptable de los activos (7.1.3)
idoneidad, adecuación y la eficacia de la continuidad Extracción de pertenencias (9.2.7)
Derechos de propiedad intelectual (IPR) (15.1.2)
Controles contra el código malicioso (10.4)
¿Cómo? Ejemplos del contenido
Correo electrónico y Envío de mensajes (10.8.4)
Sistemas de información del negocio (10.8.5)
Política de puesto de trabajo despejado y pantalla limpia (11.3.3)
Política de uso de los servicios de red (11.4.1)
•Políticas de Sistema de gestión de contraseñas (11.5.3)
Seguridad de la Ejemplo Ordenadores y comunicaciones móviles (11.7.1)
Teletrabajo (11.7.2)
Proceso disciplinario (8.2.3)
información Seguridad de los equipos fuera de los locales de la organización (9.2.5

6 Organización de la seguridad de la
información
Organización interna
Comisión de gestión de la seguridad de la información
Coordinación de la seguridad de la información
Asignación de responsabilidades sobre Seguridad de la Información
Proceso de autorización de recursos para el tratamiento de la información
Acuerdos de confidencialidad
Contactos con grupos de interés especial
Revisión independiente de la seguridad de la información
Partes externas
Identificación de riesgos relativos a partes externas
Direccionamiento de la seguridad en el trato con los clientes
Direccionamiento de la seguridad en contratos con terceros

Coordinación de la seguridad de la información
Las actividades relativas a la seguridad de la información deberían
ser coordinadas por representantes de las diferentes partes de la
organización con los correspondientes roles y funciones de trabajo
Cooperación y colaboración de:
•Directivos •Personal de seguridad
•Usuarios •Seguros
•Administrativos •Asuntos legales
•Diseñadores de aplicaciones •Recursos humanos
•Consultores •TI
•Auditores •Gestión del riesgo
•Etc.
¿Cómo? •Nombramiento de un director de seguridad de la
información que coordine éstas actividades

Asignación de responsabilidades sobre
Seguridad de la Información
Deberían definirse claramente todas las responsabilidades de
seguridad de la información.
¿Cómo? •Organigrama Ejemplo
•Manual de funciones o
•Perfil de los puestos de trabajo
Proceso de autorización de recursos para el
tratamiento de la información
Debería definirse e implantarse un proceso de autorización para
la gestión de cada nuevo recurso de tratamiento de la
información.
¿Cómo? •Procedimiento
•Tabla Recursos/Autorizaciones

Acuerdos de confidencialidad
Deberían identificarse y revisarse de una manera regular los
requisitos de los acuerdos de confidencialidad o no revelación que
reflejen las necesidades de la organización para la protección de la
información
¿Cómo? •Acuerdos de confidencialidad Ejemplo
Contacto con las autoridades
Deberían mantenerse contactos adecuados con las autoridades
que corresponda
¿Cómo? •Tabla de autoridades, teléfonos y
persona de contacto •Banco de España
•Bomberos
•Proveedores
•Etc.

Contacto con grupos de interés especial
Se deberían mantener contactos apropiados con grupos de interés
especial u otros foros especialistas en seguridad y asociaciones
profesionales.
¿Cómo? •Tabla de identificación de grupos
especiales •Banco de España
•Revistas sectoriales
•Foros de seguridad
•Etc
Revisión independiente de la seguridad de la
información
La gestión de la seguridad de la información (por ejemplo objetivos
del control, controles, políticas, procedimientos para seguridad de la
información) debería revisarse de una manera independiente a
intervalos planificados
¿Cómo? •Auditoría interna
•Revisión por la dirección

Identificación de riesgos relativos a partes
externas
Deberían identificarse los riesgos de la información de la
organización y de los dispositivos de tratamiento de la información
así como la implantación de los controles adecuados antes de
garantizar el acceso
¿Cómo? •Procedimiento Ejemplo
•Tabla/registro de identificación,
evaluación y control de partes externas
Direccionamiento de la seguridad en el trato con los
clientes
Todos los requisitos de seguridad que se hayan identificado deberían
ser dirigidos antes de dar acceso a los clientes a los activos o a la
información de la seguridad
¿Cómo? •Utilización de los sistemas
anteriormente descritos

Gestión de activos
Clasificación de la información
La información debería ser clasificada para indicar la necesidad,
las prioridades y el grado esperado de protección cuando se
maneja la información.
La información tiene varios grados de sensibilidad y criticidad.
Algunos puntos pueden requerir un nivel de protección adicional
o un manejo especial.
Se debería utilizar un esquema de clasificación de la
información para definir un conjunto adecuado de niveles de
protección y comunicar la necesidad de medidas especiales de
tratamiento
Marcado y tratamiento de la información
Debería desarrollarse un conjunto adecuado de
procedimientos para marcar y tratar la información de
acuerdo con el esquema de clasificación adoptado por la
organización.

Seguridad ligada a los Recursos Humanos
Previo a la contratación
Funciones y responsabilidades
Investigación de antecedentes
Términos y condiciones de contratación
Durante la contratación
Gestión de responsabilidades
Concienciación, educación y formación en
seguridad de la información
Proceso disciplinario
Finalización o cambio de puesto de trabajo
Finalización de responsabilidades
Retorno de activos
Retirada de los derechos de acceso

Funciones y responsabilidades
Las funciones y responsabilidades de seguridad para los empleados,
contratista y usuarios de tercera parte deberían ser definidas y
documentadas de acuerdo con la política de seguridad de la
información de la organización.
¿Cómo? •Manual de funciones o
•Perfil de los puestos de trabajo
Investigación de antecedentes
La comprobación de los antecedentes de todos los candidatos al
puesto de trabajo, los contratistas o los usuarios de tercera parte
deberían ser llevadas a cabo de acuerdo con la legislación
aplicable, las reglamentaciones y éticas y de una manera
proporcional a los requisitos de negocio, la clasificación de la
información a la que se accede y los riesgos considerados.
¿Cómo? •Referencias
•Curriculum Vitae
•Confirmación de las certificaciones académicas
•Comprobaciones crediticias y de antecedentes

Seguridad física y del entorno
Áreas seguras
Perímetro de seguridad física
Deberían utilizarse perímetros de seguridad (barreras tales
como muros, puertas de entrada con control a través de
tarjeta, o mesas de recepción tripuladas) para proteger las
áreas que contienen la información y los recursos de
tratamiento de la información.
Controles físicos de entrada
Las áreas seguras deberían estar protegidas por controles de
entrada adecuados para asegurar que únicamente se permite
el acceso al personal autorizado.
Seguridad de oficinas, despachos y recursos
Se debería diseñar y aplicar la seguridad física para las
oficinas, despachos y recursos.

Seguridad física y del entorno
Protección contra las amenazas externas y del entorno
Se deberían diseñar y aplicar una protección física
contra el daño por fuego, inundación, terremoto,
explosión, malestar social y otras formas de
desastres naturales o provocados por el hombre..
Trabajo en áreas seguras
Se debería diseñar e implantar la protección física y las
directrices para trabajar en las áreas seguras.
Áreas de acceso público, de carga y descarga
Deberían controlarse los puntos de acceso tales como las
áreas de carga y descarga y otros puntos donde pueda
acceder personal no autorizado, y si es posible, dichos puntos
deberían estar aislados de los recursos de tratamiento de la
información para evitar accesos no autorizados.

Seguridad física y del entorno
Seguridad de los equipos
Instalación y protección de equipos
Los equipos deberían estar situados o protegidos para reducir
los riesgos de las amenazas y los riesgos del entorno así
como de las oportunidades de accesos no autorizados.
Instalaciones de suministro
Los equipos deberían estar protegidos de los fallos de
energía y de otras interrupciones causadas por fallos en las
instalaciones de suministro.
Seguridad del cableado
El cableado eléctrico y de telecomunicaciones que
transmite datos o los servicios de soporte de la información
debería estar protegido de interceptación o daño.

Seguridad física y del entorno
Mantenimiento de los equipos
Los equipos deberían ser mantenidos de una manera correcta
para asegurar su continúa disponibilidad y su integridad
Seguridad de los equipos fuera de los locales de la organización
Se deberían aplicar medidas de seguridad a los equipos fuera
de los locales de la organización, teniéndose en cuenta los
diferentes riesgos de trabajar fuera de los locales de la
organización.
Seguridad en la reutilización o eliminación de equipos
Todos los elementos del equipo que contengan medios de
almacenamiento deberían ser comprobados para asegurar
que todo dato sensible y software bajo licencia se ha borrado
o sobrescrito, previamente a su eliminación.
Extracción de pertenencias
Los equipos, la información o el software no deberían
sacarse fuera de las instalaciones sin previa autorización.

Gestión de incidentes en la seguridad de la
información
Notificación de eventos y puntos débiles de la seguridad de
la información
Comunicación de los eventos de seguridad de la información
Los eventos de seguridad de la información deberían
comunicarse mediante canales adecuados de gestión lo antes
posible.
Comunicación de puntos débiles de seguridad
Todos los trabajadores, contratistas y usuarios de terceros de
los sistemas y servicios de información deberían estar
obligados a anotar y comunicar cualquier punto débil que
hayan observado o que sospechen que exista en los sistemas
o servicios.

Cumplimiento
Cumplimiento de los requisitos legales
Objetivo: Evitar quebrantamientos de las leyes o incumplimientos de cualquier
obligación legal, reglamentaria o contractual o de cualquier requisito de
seguridad.
Identificación de la legislación aplicable
Todos los requisitos pertinentes, tanto legales como reglamentarios o
contractuales, y el enfoque de la organización para cumplirlos deberían definirse
explícitamente, documentarse y mantenerse actualizados para cada sistema de
información y la organización.
Derechos de propiedad intelectual (IPR)
Deberían implementarse procedimientos adecuados para garantizar el
cumplimiento de los requisitos legales, reglamentarios y contractuales acerca del
uso de materiales con respecto a los cuales puedan existir derechos de propiedad
intelectual y acerca del uso de productos de software exclusivo.

Cumplimiento
Protección de los registros de la organización
Los registros importantes deberían estar protegidos contra la pérdida, destrucción
y falsificación de acuerdo con los requisitos legales, reglamentarios, contractuales
y empresariales.
Protección de datos y privacidad de la información personal
Debería garantizarse la protección de datos y la privacidad según se requiera en
la legislación, las normativas y, si fuera aplicable, las cláusulas contractuales
pertinentes.

Seguridad de la información RSI
X- Continuidad
del Negocio

Gestión de la continuidad del negocio
Aspectos de seguridad de la información en la gestión de la continuidad
del negocio
Objetivo: Reaccionar a la interrupción de las actividades empresariales y proteger los
procesos críticos de negocio de los efectos de desastres o de fallos importantes de los
sistemas de información, así como garantizar su oportuna reanudación.
Debería implementarse un proceso de gestión de la continuidad del negocio para minimizar
los efectos sobre la organización y poder recuperarse de pérdidas de activos de información
(como resultado, por ejemplo, de desastres naturales, accidentes, fallos de los equipos y
acciones intencionadas) hasta un nivel aceptable mediante una combinación de controles
preventivos y de recuperación. Este proceso debería identificar los procesos críticos de
negocio e integrar los requisitos de gestión de seguridad de la información para la
continuidad del negocio con otros requisitos de continuidad relacionados con aspectos tales
como las actividades, el personal, los materiales, el transporte y las instalaciones.

Gestión de la continuidad del negocio
Inclusión de la seguridad de la información en el proceso de gestión de
la continuidad del negocio
Debería desarrollarse y mantenerse un proceso controlado para la continuidad del negocio
en toda la organización que trate los requisitos de seguridad de la información necesarios
para la continuidad del negocio de la organización.
Continuidad del negocio y evaluación de riesgos
Deberían identificarse los eventos que provocan interrupciones en los procesos de negocio,
así como la probabilidad y los efectos de dichas interrupciones y sus consecuencias con
respecto a la seguridad de la información.
Desarrollo e implementación de planes de continuidad que incluyan
seguridad de la información
Deberían desarrollarse e implementarse planes para mantener o restaurar las actividades y
garantizar la disponibilidad de la información en el nivel y la escala temporal requeridos
después de una interrupción o un fallo de los procesos críticos de negocio.

Gestión de la continuidad del negocio
Marco de referencia para la planificación de la continuidad del negocio
Se debería mantener un único marco de referencia para los planes de continuidad
del negocio para asegurar que todos los planes son consistentes, para dirigir de
una manera coherente los requisitos de seguridad de la información, y para
identificar prioridades para las pruebas y el mantenimiento.
Pruebas, mantenimiento y reevaluación de los planes de continuidad del
negocio
Los planes de continuidad del negocio deberían probarse y actualizarse
periódicamente para garantizar que están al día y que son efectivos.

GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
Comité de Seguridad Propietario del Plan de Continuidad Todo el personal
Identificar y Incidente que ha
priorizar procesos 1 provocado 13
críticos interrupci ón
Identificar los activos que ¿ Existe plan
No Sí
intervienen en los de
procesos 2 contingencia?
Identificar eventos que
puedan provocar Solucionar incidente
interrupciones 3 14
Evaluar probabilidad e
impacto
4 Actuar segú n plan
continuidad
Sí 15
¿ Es
significativo?
No Elaborar Plan de
continuidad
6
Mantener bajo control 5
Implantar controles
preventivos
7
Implantar procedimientos
de continuidad
8
Aprobar Plan de
continuidad
9
Formar al personal en
caso necesario
10
Distribuir Plan de
Continuidad
11
Realizar pruebas,
mantenimiento y
reevaluación de los planes 12

UN CASO REAL…
“La Gaceta de
los Negocios”
INCENDIO DEL
EDIFICIO WINDSOR
¿Y SI MAÑANA NOS
PASARA A NOSOTROS?

CONTINUIDAD DEL NEGOCIO
Objetivo:
Reaccionar a las posibles interrupciones de las actividades empresariales y proteger los
procesos críticos de negocio de los efectos de desastres o de fallos importantes de los
sistemas de información, así como garantizar su oportuna reanudación.
+ =
+ + =
PLAN

QUÉ CONTIENE
Qué hacer:
Implementar un proceso de gestión de la continuidad del negocio para minimizar los
efectos sobre la organización y poder recuperarse de pérdidas de activos de información
(como resultado, por ejemplo, de desastres naturales, accidentes, fallos de los equipos y
acciones intencionadas) hasta un nivel aceptable mediante una combinación de controles
preventivos y de recuperación.
 Identificados los procesos críticos de
negocio
PLAN  Identificados los activos que participan en
estos procesos
 Evaluados los riesgos en base a las posibles
amenazas
 Definidos controles preventivos
 Definido Plan de actuación en caso de
ocurrencia

TÉRMINOS
PROCESO CRÍTICO
 Proceso que forma parte de la cadena de valor de la Organización
y cuya realización es base del éxito y supervivencia de la misma.
 Proceso que dando soporte a uno varios procesos críticos, la
interrupción de su ejecución provoque la interrupción de uno o varios
de ellos
ACTIVO
 Recurso del sistema de información o relacionado con éste,
necesario para que la organización funcione correctamente y alcance
los objetivos propuestos por su dirección

METODOLOGÍA
Objetivo:
El objetivo de nuestra metodología, no es realizar un Plan de Contingencias que contemple
todos los posibles eventos que puedan interrumpir la actividad de la empresa, sino
centrarnos en las actividades y recursos más críticos de cara a optimizar los recursos
destinados a la elaboración y mantenimiento del Plan de Continuidad del Negocio
Metodología:
4 etapas en la realización de un Plan de Continuidad del Negocio
Identificar y valorar Identificar y valorar Elaborar planes de PLA
Identificar y valorar
los activos los eventos contingencia para N
los procesos
relacionados con sobre los activos los eventos más
críticos de negocio
los procesos críticos más críticos significativos

METODOLOGÍA
PASO 1:
Identificar y valorar los procesos críticos de negocio
 Conocer la estructura de la empresa  Conocer sus procesos de negocio, su
Mapa de Procesos
 Seleccionar aquellos procesos cuya realización compone la cadena de valor de la
empresa, o aquellos que les dan soporte de forma muy directa y cuya interrupción
supone la interrupción inmediata de los primeros
 Valorar estos procesos según tres aspectos: impacto en cliente, coste asociado a
su inactividad y probabilidad de ocurrencia de eventos que provoquen su
interrupción

EJEMPLO
Ejemplo:
Identificación y valoración de procesos críticos
Orden Importancia
Coste asociado a
Probabilidad de
ocurrencia de
Impacto en el
inactividad
Proceso crítico
eventos
cliente
Peso
Total
Recogida de archivos 4 5 1 20 7,69% 6 1. MINIMO/A
2. LEVE
Devolución de archivos 5 5 1 25 9,62% 5 3. MODERADO/A
4. ALTO/A
Inventario de Archivos 2 5 3 30 11,54% 3 5. CRITICO/A
Destrucción de archivos 3 5 2 30 11,54% 3
Custodia 2 5 2 20 7,69% 6
Facturación 4 5 3 60 23,08% 2
Control sobre prestamos 5 5 3 75 28,85% 1

METODOLOGÍA
PASO 2:
Identificar y valorar los activos relacionados con los procesos críticos
 Conocer los procesos críticos y los activos que intervienen en los mismos
 Valorar el grado de relación de cada uno de los activos especificados con cada
uno de los procesos críticos de la empresa
 Identificar la importancia que tiene cada uno de los activos en base a la relación
del mismo con los procesos críticos y a la valoración obtenida para estos últimos

EJEMPLO
Ejemplo:
Identificación y valoración de procesos críticos y activos relacionados
Orden Importancia
Coste asociado a
Teléfonos móviles
Equipo Puesto de
Medios extraíbles
Personal Archivo
Probabilidad de
Equipos de fax
ocurrencia de
Impacto en el
(HD portátiles,
ininterrumpida
Instalaciones
Factor
alimentación
Sistemas de
Enrutadores
inactividad
Furgonetas
Impresoras
Pens, etc.)
Proceso crítico
Mobiliario
eventos
Servidor
Escaner
Oficinas
cliente
trabajo
Peso
Total
(8)
Recogida de archivos 1 1 1 1 1 3 1 1 9 1 1 9 1 4 5 1 20 7,69% 6
Devolución de archivos 1 1 1 1 1 3 1 1 9 1 1 9 1 5 5 1 25 9,62% 5
Inventario de Archivos 9 9 1 9 9 1 1 9 9 1 1 1 1 2 5 3 30 11,54% 3
Destrucción de archivos 1 1 1 1 1 1 1 1 9 1 1 9 1 3 5 2 30 11,54% 3
Custodia 9 9 1 9 9 1 1 9 9 1 1 1 1 2 5 2 20 7,69% 6
Facturación 9 9 1 1 9 3 1 1 9 9 1 1 1 4 5 3 60 23,08% 2
Control sobre prestamos 9 1 1 1 1 1 1 1 9 1 1 1 1 5 5 3 75 28,85% 1
VALORACIÓN PONDERADA 6,6923 4,3846 1 2,5385 4,3846 1,8077 1 2,54 9 2,85 1 3,31 1
ORDEN DE CRITICIDAD DEL ACTIVO 2 3 10 7 3 9 10 7 1 6 10 5 10
0 Sin relación 1. MINIMO/A
1 Relación débil 2. LEVE
3 Relación media 3. MODERADO/A
9 Relación fuerte 4. ALTO/A
5. CRITICO/A

METODOLOGÍA
PASO 3:
Identificar y valorar los eventos sobre los activos más críticos
 Partiendo de los activos más críticos, identificar posibles eventos que puedan
producir una afección grave sobre los mismos causando la interrupción de los
procesos en los que toman parte
 Valorar estos eventos en base a su probabilidad de ocurrencia, su impacto
económico y su grado de recuperación
 Priorizar así los eventos sobre los que deberíamos realizar un Plan de
Contingencias

EJEMPLO
Ejemplo:
Identificación y valoración de eventos sobre los activos críticos
Probabilidad Impacto económico Periodo de recuperación
De 600€ a
Menos de
1 vez a la
semana
1 vez el
1 vez al
Mas de
6000 €
6000 €
Grave
Media
600 €
Baja
mes
Total Nº
año
Eventos 1 2 3 1 2 3 1 2 3
1- Incendio en Instalaciones 1 3 3 9 3
2- Borrado de BBDD 2 2 1 4 6
3- Caída Servidor 1 1 1 1 10
5- Corte suministro de luz 1 1 3 3 9
6- Corte de comunicaciones 1 2 2 4 6
7- Robo o extravío archivo personal 2 3 3 18 2
8- Accidente transporte 2 2 2 8 5
9- Avería transporte 2 1 2 4 6
10- Inundación Instalaciones 1 3 3 9 3
11- Falta de espacio 3 3 3 27 1

METODOLOGÍA
PASO 4:
Elaborar Planes de Contingencia para los eventos más significativos
Partiendo de los eventos más significativos identificados en la etapa anterior, se
documenta para cada uno los siguientes aspectos:
Descripción del evento
Propietario de la gestión y ejecución del Plan
Condiciones para su activación
Controles preventivos
Plan de contingencias
Elementos o aspectos a comprobar

EJEMPLO
Ejemplo:
Ficha de Plan de Contingencia de un evento
Campo Explicación
1 Evento Nombre del evento o suceso
Propietario de gestión Responsable de la documentación, implantación, revisión y mejora
2
del plan del mismo
Condiciones para su Criterios que determinarán cuando es apropiado poner en
3
activación funcionamiento el plan o procedimiento de recuperación
Controles técnicos u organizativos o medios humanos que se van a
4 Controles Preventivos destinar para prevenir que suceda el evento o, en caso de que
ocurra, para detectar su ocurrencia y paliar los resultados del mismo
Procedimientos que permitan la recuperación y restauración de las
5 Plan de contingencias actividades empresariales, así como la disponibilidad de la
información en las escalas temporales requeridas
6 Qué comprobar Elementos de detección, protección y/o actuación

FIN
Gracias por vuestra atención
Para más información:
JOSÉ MARÍA GILGADO TANCO
jmgilgado@consultoriainnovadora.com
Teléfonos
616 63 03 89
Para poder mejorar:
Rellenar los
cuestionarios