El documento describe las normas internacionales relacionadas con la seguridad de la información y la importancia de aplicar un sistema de gestión de seguridad de la información (SGSI) en las organizaciones. Explica que la norma ISO/IEC 27001 especifica los requisitos para la implementación de un SGSI y que ISO/IEC 27002 proporciona directrices de seguridad. También cubre los pasos para implementar con éxito un SGSI, incluida la formación del personal, el desarrollo de políticas y la revisión continua.

1. Lic. Janeth Y. Piscoya M.

2. • El contenido de este tema está orientado a la
Seguridad de la Información que en particular trata de
mostrar las Normas Internacionales que rigen las
condiciones en el manejo seguro de información y la
importancia de aplicar un SGSI en las Organizaciones.

3. Conceptos

4. Normas Internacionales
• ISO/IEC 27000 que contiene las mejores prácticas recomendadas en materia de
Seguridad de la información para desarrollar, implementar y mantener especificaciones
para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
• La mejor definición de SGSI está descrito por la ISO/IEC 27001 y ISO/IEC 27002 y
relaciona los estándares publicados por (ISO)
y la (IEC).
• ISO/IEC 27001 Es la certificación que deben obtener las organizaciones. Norma que
especifica los requisitos para la implantación
• del SGSI.
• ISO/IEC 27002 Información tecnología- Técnicas de Seguridad- Códigos de prácticas
para la Seguridad de la Información

5. Normas Internacionales
• ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de
implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos
de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie
de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de
implantación.
• ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y
de los controles relacionados.
• ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de
la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación
de un SGSI. Incluye partes de la ISO 13335.
• ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

6. Dominios de control ISO27001

7. SGSI

8. Para la implantación de un SGSI deben ser considerados, fundamentalmente,
los siguientes estándares:
• - El estándar ISO/IEC 17799:2005, “Código de Buenas Prácticas para la
Gestión de la Seguridad de la Información”, que enumera una serie de
medidas para proteger la información (en concreto, 133).
• - La norma UNE 71502: “Especificaciones para los Sistemas de Gestión de la
Seguridad de la Información”, que establece los requerimientos para el
diseño e implantación del SGSI.
• Uno de los aspectos más innovadores de un SGSI es el hecho de que
considera la seguridad de la información como un proceso de gestión. Frente
a la visión tradicional de la seguridad, contemplada desde un punto de vista
meramente técnico, el SGSI trata de lograr un equilibrio entre seguridad
física, técnica, procedimental y de personal.

11. Implantar un SGSI
• implantar un SGSI deberá proceder, en primer
lugar, a la definición del alcance. Para ello, es
necesario determinar los procesos de negocio que
se encuentran incluidos en el SGSI, así como los
activos (hardware, software, información, etc.) que
soportan estos procesos y los departamentos
involucrados en el desarrollo de los mismos.

12. Fase de Implantación SGSI
• Se establecerán normativas y procedimientos de
seguridad que desarrollarán las directrices generales
establecidas en el manual de gestión de la seguridad de
la información. Estas normativas corresponderán, por
tanto, a los controles establecidos por el estándar
ISO/IEC 17799: normativa de clasificación y tratamiento
de la información, de control de acceso lógico, control de
acceso físico, funciones y obligaciones del personal,
gestión de soportes, gestión de incidentes de seguridad,
copias de respaldo y recuperación, desarrollo y
mantenimiento de sistemas, continuidad de negocio y
planes de contingencia, etc.

13. Dominio de Control de un SGSI

14. Beneficios del SGI
• Facilita la trasparencia, al ser un sistema auditable por
terceros.
• Permite establecer una comparación con otras
organizaciones.
• Proporciona una medición objetiva del desempeño de la
seguridad.
• Permite a la Alta Dirección tomar responsabilidad y
control de los esfuerzos de seguridad.
• La implementación y éxito depende del nivel de madurez
de la Organización en sus procesos internos.

15. Implementación de un SGSI exitoso
Un requerimiento fundamental a
considerar para garantizar la efectiva
implantación del SGSI es la formación y
concienciación del personal incluido en el
alcance, con el fin de garantizar el
conocimiento de sus funciones y
obligaciones en materia de seguridad. Las
políticas, normas y procedimientos
desarrollados en el marco del SGSI deben
ser debidamente publicados y divulgados.

16. Revisión ,Monitorización del SGSI
• Ejecutar procedimientos de monitorización para detectar
errores de proceso, identificar fallos de seguridad de
forma rápida y acciones a realizar.
• Revisión del SGSI
• Revisiones periódicas de la política y alcance del SGSI,
así como de su eficacia.
• Revisiones de los niveles de riesgos residuales y riegos
aceptables.
• Auditorías internas/externas del SGSI.

17. Mantenimiento y Mejoramiento del SGSI
• Comunicar resultados de las auditorías a las partes
interesadas.
• Adoptar acciones correctivas y preventivas.
• Mejora Continua
• Medir el rendimiento del SGSI.
• Implantar las mejoras identificadas en las revisiones del
SGSI.

18. conclusiones
• El SGSI otorga un enfoque global a la gestión de la seguridad,
proporcionando una imagen corporativa de compromiso con la
seguridad, promueve la confianza en las relaciones con terceros, puede
suponer un incremento de la rentabilidad del negocio y mejorar la
imagen pública o la imagen frente a clientes de la organización.
• Por otra parte, e independientemente de que se obtenga o no la
certificación, la implantación de un SGSI mejora ostensiblemente la
seguridad, puesto que permite minimizar los riesgos a los que se
encuentra expuesta la información de la organización, preservando la
confidencialidad, integridad y disponibilidad de la misma y evitando la
materialización de incidentes de seguridad que podrían afectar de forma
negativa a la organización en términos de impacto financiero, legal, de
imagen frente a clientes o imagen pública.