Este documento presenta una introducción a los estándares y normas de seguridad ISO 27000. Explica por qué son importantes las normas de seguridad, e introduce los conceptos clave de un Sistema de Gestión de Seguridad de la Información. Resume los orígenes e historia de la serie ISO 27000, así como algunos de sus estándares específicos como ISO 27001 y 27002. Finalmente, destaca los beneficios de implementar estas normas de seguridad.

1. ESTÁNDARES Y NORMAS DE
SEGURIDAD
ISO 27000
WILSON CASTAÑO GALVIZ
ELIZABETH DANIELA MERCHAN CARDOZA
MARÍA ALEJANDRA MERCHAN VILLALBA
UNIVERSIDAD POPULAR DEL CESAR SECCIONAL
AGUACHICA
2013

2. Contenido de la presentación
ISO 27000
¿ Porque normas y estándares de
seguridad?
Herramientas.
Que incluye un SGSI
Como se implementa un SGSI.
Origen de ISO 27000.
La serie 27000.
Beneficios.
Cibergrafía.

3. La información es un activo vital
para cualquier organización, y su
resguardo se ha convertido en su
objetivo de primer nivel.
El manejo adecuado de la
información debe seguir una
serie de parámetros los cuales
deben abordar de manera
metódica y documentada los
pasos a seguir ante cualquier
eventualidad.
INTRODUCCIÓN

4. ¿ PORQUE NORMAS Y
ESTÁNDARES DE
SEGURIDAD?
ISO 27000

5. Las organizaciones necesitan
demostrar que realizan una gestión
competente y efectiva de la
seguridad de los recursos y datos
que gestionan.
− Deben demostrar que identifican
y detectan los riesgos a los que
está sometida y que adoptan
medidas adecuadas y
proporcionadas.
− Confidencialidad, integridad y
disponibilidad.
¿ Porque normas y estándares de
seguridad?

6. HERRAMIENTAS
ISO 27000

7. HERRAMIENTAS
Proceso
sistemático, documentado
y conocido por toda la
organización para
garantizar que la seguridad
de la información es
gestionada correctamente.
Es el concepto central
sobre el que se construye
ISO 27001.
SGSI
(Sistema de Gestión de la Seguridad de la
Información).

8. QUE INCLUYE UN SGSI
ISO 27000

9. QUE INCLUYE UN SGSI

10. COMO SE IMPLEMENTA
UN SGSI.
Funciones de Bessel

11. Como se implementa un SGSI
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.

12. ORIGEN DE ISO 27000.
Funciones de Bessel

13. ISO27000

14. ISO/IEC 27000
• “ISO/IEC 27000 es un conjunto de
estándares desarrollados en fase de
desarrollo por ISO (International Organization
for Standardization) e IEC (International
Electrotechnical Commission), que
proporcionan un marco de gestión de la
seguridad de la información utilizable por
cualquier tipo de organización, pública o
privada, grande o pequeña”.

15. LA SERIE 27000.
ISO 27000

16. LA SERIE 27000.
• Los rangos de numeración reservados por
ISO van de 27000 a 27019 y de 27030 a
27044 con 27799 finalizando la serie
formalmente en estos momentos.
• La seguridad de la información tiene
asignada la serie 27000 dentro de los
estándares ISO/IEC:

17. LA SERIE 27000.

18. ISO/IEC 27001
ISO 27000

19. ISO/IEC 27001
Publicada el 15 de Octubre de 2005. Es la norma
principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-
2:2002 (que ya quedó anulada) y es la norma
con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones.

20. ISO/IEC 27001
Objetivo: Mejora continua
Se adopta el modelo Plan-Do-Check-Act
(PDCA ó ciclo de Deming) para todos los
procesos de la organización, se basa en un
ciclo de mejora continua, en consecuencia
con lo que se haya detectado al efectuar las
comprobaciones.

21. Anexo A, es de carácter normativo, contiene una
tabla en las que se identifican los controles y
objetivos del control de la versión del año 1005
de la ISO/IEC 17799
Anexo B, es de carácter informativo, proporciona
una correlación entre cada principio de la OCDE
con el proceso del SGSI y una fase del PDCA.
Anexo C, incluye la correspondencia entre los
capitulos de la norma ISO/IEC 27001 y las
normas ISO 9001 e ISO 14001.
A. 5 Política de seguridad
A. 6 Organización de la seguridad de la
información
A. 7 Gestión de activos
A. 8 Seguridad relacionada con el personal
A. 9 Seguridad física y del entorno
A. 10 Gestión de comunicaciones y operaciones
A. 11 Control de acceso
A. 12 Adquisición, desarrollo y mantenimiento de
los sistemas de la información
A. 13 Gestión de los incidentes de seguridad de la
información
A. 14 Gestión de la continuidad del negocio
A. 15 Cumplimiento

22. ISO/IEC 27001/ Ley orgánica de
protección de datos
La Ley Orgánica de Protección de Datos
(LOPD) tiene como principal finalidad
proteger derechos fundamentales de las
personas, como son el derecho al honor, la
intimida d personal y la propia imagen de
todas las personas físicas.

23. ISO/IEC 27001/Beneficios
• Una Auditoria de seguridad es una fuente clave de
información para el conocimiento de seguridad de
una empresa.
• Demuestra un compromiso inequívoco de los
órganos de dirección de la empresa con el sistema
de gestión de la seguridad de la
información, además del cumplimiento de los
requisitos legales, reglamentarios y contractuales.

24. ISO/IEC 27001/ Implantación
• La implantación de ISO/IEC 27001 en una
organización es un proyecto que suele tener una
duración entre 6 y 12 meses, dependiendo del
grado de madurez en seguridad de la información
y el alcance, entendiendo por alcance el ámbito
de la organización que va a estar sometido
al Sistema de Gestión de la Seguridad de la
Información (en adelante SGSI) elegido.

25. • La certificación de un SGSI es un proceso
mediante el cual una entidad de certificación
externa, independiente y acreditada audita el
sistema, determinando su conformidad con
ISO/IEC 27001, su grado de implantación real y
su eficacia y, en caso positivo, emite el
correspondiente certificado.
ISO/IEC 27001/ Certificación

26. ISO/IEC 27002
ISO 27000

27. ISO/IEC 27002
código de buenas prácticas para la gestión de la
seguridad
Dentro de su contenido podemos encontrar:
• Recomendaciones sobre qué medidas tomar para
asegurar los sistemas de información de una
organización
• Describe los objetivos de control y especifica los
controles recomendables a implantar.

28. ISO/IEC 27002/Historia
(anteriormente denominada como ISO 17799) estándar
creado por primera vez como 17799:2000 por la ISO y
por la CEI en el año 2000, con el título de Information
technology - Security techniques - Code of practice for
information security management. Tras un periodo de
revisión y actualización, se publicó en el año 2005 el
documento actualizado denominado ISO/IEC
17799:2005.

29. ISO/IEC 27002/Objetivos de la norma
- Servir de punto de información de la serie de normas
ISO 27000 y de la gestión de seguridad de la
información mediante la aplicación de controles
óptimos a las necesidades de las organizaciones en
cada momento.
- establece las directrices y principios generales para el
comienzo, la implementación, el mantenimiento y la
mejora de la gestión de la seguridad de la información
en una organización.

31. ISO/IEC 27000 Y SUS
DEMÁS DERIVACIONES
ISO 27000

32. • ISO/IEC 27003: guía de implementación de SGSI e
información acerca del uso del modelo PDCA (Plan-Do-
Check-Act) y de los requerimientos de sus diferentes
fases (en desarrollo, pendiente de publicación)
• ISO/IEC 27004: especifica las métricas y las técnicas
de medida aplicables para determinar la eficacia de un
SGSI y de los controles relacionados (en desarrollo,
pendiente de publicación) medición de los componentes
de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

33. • ISO/IEC 27005: gestión de riesgos de seguridad
de la información (recomendaciones, métodos y
técnicas para evaluación de riesgos de seguridad).
• ISO/IEC 27006: requisitos a cumplir por las
organizaciones encargadas de emitir certificaciones
ISO/IEC 27001.
Requisitos para la acreditación de las entidades de
auditoria y certificación

34. • ISO/IEC 27007: guía de actuación para auditar los
SGSI conforme a las normas 27000.
• ISO/IEC 27011: guía de gestión de seguridad de la
información específica para telecomunicaciones (en
desarrollo) elaborada conjuntamente con la ITU (Unión
Internacional de Telecomunicaciones) .
• ISO/IEC 27031: guía de continuidad de negocio en lo
relativo a tecnologías de la información y
comunicaciones (en desarrollo).

35. • ISO/IEC 27032: guía relativa a la ciber seguridad
(en desarrollo)
• ISO/IEC 27032: guía de seguridad en aplicaciones
(en desarrollo)
• ISO/IEC 27799: guía para implantar ISO/IEC
27002 específica para entornos médicos

36. BENEFICIOS
ISO 27000

37. BENEFICIOS
• Reduce los riesgos de seguridad de la información.
• Reduce la probabilidad y el impacto de los
incidentes
• de seguridad
• La certificación de un estándar internacional.
• Ventajas de marketing, etc.
• Enfoque coherente, estructurado. Evaluación
integral de riesgos
• Focaliza el gasto en seguridad de la información
donde produce mayor ventaja.
• Gobernanza demostrable

38. CIBERGRAFÍA
ISO 27000

39. CIBERGRAFÍA
• "CONFEDERACIÓN DE EMPRESARIOS DE
NAVARRA", España,2013. Disponible:
http://www.varios.cen7dias.es/documentos/documentos/
90/iso.pdf
• “ISO 27000”, España, 2013. Disponible:
http://www.iso27000.es/iso27000.html
• "ISO 27002",Vista en Colombia,2013. Disponible:
https://iso27002.wiki.zoho.com/5-1-Pol%C3%ADtica-de-
seguridad-de-la-informaci%C3%B3n.html

40. CIBERGRAFÍA
• "ISO 27002", Vista en Colombia,2013. Disponible:
https://iso27002.wiki.zoho.com/Objetivos.html
• "PORTAL DE SEGURIDAD CLM", España,2013.
Disponible:
http://protegete.jccm.es/protegete/opencms/Administr
acion/Seguridad/Estandares/ISO27000.html
• “UNIVERSIDAD DE VIGO”, España, 2013. Disponible:
http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

41. Por su atencion
Gracias