resumen de la norma UNE-ISO/IEC 27001 que trata sobre la implementacion de un SGSI

1. Norma UNE-ISO/IEC 27001
SISTEMAS DE GESTION DE SEGURIDAD DE INFORMACION
Ing. Guillermo Brand
Presentado por: JUAN JOSE MEJIA
20122007040

2. Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001,
es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se
establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de
la información.
La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la
organización como las políticas, la planificación, las responsabilidades, las prácticas, los
procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las
tareas que se realizan.
• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la información
cuando lo requieran.

5. Requisitos generales del sistema de gestión
de la seguridad
• Sistema de gestión de la seguridad de la información.
• Responsabilidad de la dirección.
• Auditorias internas del SGSI.
• Revisión del SGSI por la dirección.
• Mejora del SGSI.
El sistema constara de una documentación en varios niveles.
Políticas, que proporcionan las guías generales de
actuación en cada caso.
Procedimientos, que dan las instrucciones para
ejecutar cada una de las tareas previstas.
Registros, que son las evidencias de que se han
llevado a cabo las actuaciones establecidas.

6. Establecimiento y gestión del SGSI
• Definición del alcance del SGSI: Procesos por los cuales se va a
actuar y evaluar los recursos que se pueden dedicar al
proyecto y la dimensión correcta del proyecto para alcanzar el
éxito.
• Política de Seguridad: Contendrá las directrices generales, la
estrategia a seguir a la hora de establecer objetivos y líneas de
actuación.
• Inventario de activos: Detallara los activos dentro del alcance
del SGSI, así como los propietarios y la valoración.
• Análisis de riesgos: Se basan en la política de la organización
sobre seguridad de la información y el grado de seguridad
requerido.
• Las decisiones de la dirección: respecto a los riesgos
identificados, así como la aprobación de los riesgos residuales.
• Documento de aplicabilidad: con la relación de los controles
que son aplicables para conseguir el nivel de riesgo residual
aprobado por la dirección.

7. • Metodología del análisis de riesgos: Los resultados deben ser
comparables y repetibles adaptándose a los modos de trabajo de la
organización.
• Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos
mediante la implementación de controles hasta un nivel aceptable.
• Selección de controles: Especifica que los controles deben ser
seleccionados de entre los listados de la propia norma UNE-ISO/IEC
27002.
• Gestión de Riesgos: Una vez seleccionados los controles que repetirá el
análisis de riesgos, teniendo en cuenta ya todas las medidas de
seguridad implementadas.
• Declaración de aplicabilidad: Debe incluir los objetivos de control y los
controles seleccionados con las razones de esta selección.
• Implementación y puesta en marcha del SGSI: La dirección tiene que
aprobar la documentación desarrollada en las actividades detalladas y
proveer los recursos necesarios para ejecutar las actividades.

8. • Control y revisión del SGSI: Controlar y revisar el SGSI de manera
periódica para garantizar la conveniencia, adecuación y eficacia
continuas del sistema.
• Mantenimiento y mejora del SGSI: Los cambios en la organización
impactaran en los niveles de riesgos y a la inversa, y tiene que
haber mecanismos que acomoden estos cambios y mantengan el
nivel de seguridad en un nivel aceptable.

9. Requisitos de documentación
El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las
políticas y las acciones tomadas.
Por ello es necesario tener documentado:
• La política y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripción de la metodología de análisis del riesgo.
• Los procedimientos y controles de apoyo al SGSI.
• El análisis del riesgo.
• El plan de tratamiento del riesgo.
• Los registros requeridos por la norma.

10. Control de documentos
Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan
unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías,
cambios, autorizaciones de acceso, permisos temporales, bajas, etc.).
Control de registros
Los registros son aquellos documentos que proporcionan evidencia
de la realización de actividades del SGSI. Con ellos se puede verificar
el cumplimiento de los requisitos. Ejemplo de registros son el libro de
visitas, los informes de auditorías y los logs de los sistemas.
Compromiso de la dirección
Establecer la política del SGSI y asegurar que se establezcan los objetivos y
planes del SGSI. Así como asignar los roles y las responsabilidades para la
seguridad de la información.

11. Gestión de los recursos
La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento del SGSI en
función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar
el seguimiento, revisar, mantener y mejorar el SGSI.
Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el
SGSI sean competentes para efectuar las actividades necesarias.
Se deben mantener los registros de formacion, educacion y cualificacion de los empleados
Auditorias Internas
Estas auditorías deben programarse y prepararse regularmente,
normalmente una vez al año. Debe estar aprobado por la direccion y se debe distribuir a todos los
departamentos y auditores afectados, y se debe verficar el alcance de la auditoria (ver si sera global o
parcial)

12. Revisión por la dirección
La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y
eficacia continuas del sistema.
Para realizar esta revisión hay que recopilar información de los resultados
de las distintas actividades del SGSI para comprobar si se están alcanzando
los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles
soluciones.
Entradas a la Revisión
Las entradas de la revision pueden ser:
-Los resultados de las auditorias
-Cualquier cambio en el sgsi
-Comentarios de las partes interesadas

13. Salida de la Revisión
La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI,
debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en
comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora continua del
sistema.
Mejora Continua
La mejora continua es una actividad recurrente para incrementar la
capacidad a la hora de cumplir los requisitos. La mejora continua es un concepto empresarial de primer
orden
Acción Correctiva
La acción correctiva se define como la tarea que se emprende para corregir
una no conformidad significativa con cualquiera de los requisitos del sistema
de gestión de seguridad de la información.

14. Acción Preventiva
Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Se pretende
con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos
que solucionarlos.
Pueden utilizarse como fuentes de información para el establecimiento
de acciones preventivas:
• Los resultados de la revisión por la dirección.
• Los resultados de los análisis de incidencias y objetivos.
• Los registros.
• El personal.