NORMA INTERNACIONAL

ISO-27000

REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DE LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA

DE LA FUERZA ARMADA NACIONAL

DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP)

MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN

GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO

Barquisimeto, mayo 2014

NORMA ISO 27000

Conceptos asociados a ISO 27000

Normas ISO 27000: Familia de

estándares de ISO e IEC que

proporciona un marco para la

gestión de la seguridad de la

Información

Conjunto de normas que especifican los

requisitos para establecer, implantar,

poner en funcionamiento, controlar,

revisar, mantener y mejorar un SGSI.

¿QUÉ ES LA INFORMACIÓN?

La Academia Latinoamericana de

Seguridad Informática (2.004) destaca al

respecto que “la información es el objeto

de mayor valor para las empresas”.

Platos

Motor

Cabeza

lectora “La información es un activo que, como

otros activos importantes del negocio,

tiene valor para una organización y, por lo

tanto necesita ser protegido” ISO / IEC

27001:2005

SEGURIDAD DE LA INFORMACIÓN

Explica que “la seguridad de la información

son las medidas adoptadas para evitar el uso no

autorizado, el mal uso, la modificación o

denegación del uso de conocimientos, hechos,

Datos o capacidades”.

Maiwald (2005)

Regula a nivel legal una parte importante de los Sistemas de

Información de la empresa, los datos de carácter personal.

Ley Orgánica de Protección de Datos (LOPD)

Marco Regulatorio

Especifica controles técnicos, físicos y organizativos para garantizar la

Protección de citados datos.

Reglamento de Desarrollo RD1720/2007

Los datos de carácter personal son un subconjunto del activo más

importante que Maneja una empresa:

SEGURIDAD DE LA INFORMACIÓN

Planes estratégicos,

salario del personal,

operaciones financieras

Site público de la empresa,

Publicidad

Ofertas comerciales, ERP,

contabilidad, planes ejecutivos

Empleados, pacientes,

clientes

SEGURIDAD DE LA INFORMACIÓN

Click to add Title

Los objetivos principales de la serie 27000 son la protección de la

información en sus diversas dimensiones, garantizando la:

1 Confidencialidad 2 Integridad 3 Disponibilidad

La Organización Internacional de Estandarización (ISO), a través de las normas

recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva:

ISO 27002 (ISO) 17799

Guía de Buenas Prácticas

ISO 27000: Términos

y Definiciones

ISO27001: Requerimientos

del SGSI

SEGURIDAD DE LA INFORMACIÓN

En las normas ISO 27001, el concepto del sistema de gestión es común

estableciendo sinergia y un marco de actuación estructural y

documental. Este sistema de gestión está compuesto por:

Manual de

Calidad y

Seguridad

Procesos/

Procedimientos

Operativos

Generales

Registros de

Calidad y

Seguridad

Instrucciones

de Trabajo

Específicas

SEGURIDAD DE LA INFORMACIÓN

En las normas ISO 27001, el concepto del sistema de gestión es

común estableciendo sinergia y un marco de actuación estructural y

documental. Este sistema de gestión está compuesto por:

MANUAL DE SEGURIDAD

PROCEDIMIENTOS

INSTRUCCIONES – CHECKLIST -

FORMULARIOS

REGISTROS

SISTEMA DE GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN

El SGSI (Sistema de Gestión de Seguridad de la Información) es el

concepto central sobre el que se construye ISO 27001

INFORMACIÓN

DATOS

¿PARA QUÉ SIRVE UN SGSI?

RIESGOS

AMENAZAS

CONTROLES

REQUERIMIENTOS

DE

SEGURIDAD

Imponen

Marcan

Disminuyen

Aumentan

Protegen de

VULNERABILIDAD

ACTIVOS

VALOR

DE LOS

ACTIVOS

Impactan si se

materializan

Aumentan

Tienen

Aumentan

Exponen

Aprovechan

EVOLUCIÓN DE LA NORMATIVA

ISO 27000

BSI (British Standards Institution): Organización británica responsable de la

publicación de importantes normas como:

(BS 7799-1): es una guía de

buenas prácticas, para la que

no se establece un esquema de

certificación

(BS 7799-2): publicada por

primera vez en 1998, la

que establece los

requisitos de un sistema

de seguridad de la

información (SGSI) para

ser certificable por una

entidad independiente

Las dos partes de la

norma BS 7799 se

revisaron en 1999 y la

primera parte se adoptó

por ISO, como ISO

17799 en el año 2000

En 2002, se revisó BS 7799-2

para adecuarse a la filosofía de

normas ISO de sistemas de

gestión

1979 Publicación BS 5750 -

ahora ISO 9001

1992 Publicación BS

7750 - ahora ISO

14001

1996 Publicación BS

8800 - ahora OHSAS

18001

Publica a norma BS 7799 en 1995:

conjunto de buenas prácticas para

la gestión de la seguridad de su

información

EVOLUCIÓN DE LA NORMATIVA ISO

27000

En 2005, con más de 1700 empresas certificadas en BS7799-2, el

esquema se publicó por ISO como estándar ISO 27001.

1995

BS 7799 Parte 1

Código de

Buenas

Prácticas 1998

BS 7799 Parte 2

Especificación

del SGSI

1999

BS 7799-1 1999

BS 7799-2 1999

Revolución de

las partes

1 y 2

2000

ISO/IEC 17799:2000

Parte 1 se adopta

como ISO

2002

BS 7799-2: 2002

Revisión de la

parte 2

Junio 2005

ISO/IEC

17799: 2000

Revisión de

ISO 17999

Octubre 2005

ISO/IEC 27001

Parte 2

se adopta

como ISO

HISTORIA

DE ISO

27001

2012

ISO/IEC 27010: 2012

ISO/IEC 27013: 2012

ISO/IEC TR 27015: 2012

2007

ISO/IEC 27002: 2005

ISO/IEC 27006: 2007

2009

ISO/IEC 27031: 2009

ISO/IEC 27004: 2009

ISO/IEC 27033: 2009

2008

ISO/IEC 27005: 2008

ISO/IEC 27011: 2008

ISO/IEC 27799: 2008

2011

ISO/IEC 27035: 2011

ISO/IEC 27031: 2011

ISO/IEC 27005: 2011

ISO/IEC 27006: 2011

ISO/IEC 27007: 2011

ISO/IEC TR 27008: 2011

ISO/IEC 27034: 2011

2010

ISO/IEC 27003: 2010

EVOLUCIÓN DE LA NORMATIVA

ISO 27000

EVOLUCIÓN DE LA NORMATIVA

ISO 27000

ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI

certificable conforme a las normas 27000

Puntos clave: Gestión

de riesgos + Mejora

continua

Define cómo es el SGSI,

cómo se gestiona y cuáles

son las responsabilidades

de los participantes

Sigue un modelo PDCA

(Plan-Do-Check-Act)

ISO/IEC

27001

EVOLUCIÓN

ISO/IEC 27011: guía de

gestión de seguridad de la

información específica para

telecomunicaciones

ISO/IEC 27006: requisitos a

cumplir por las

organizaciones encargadas

de emitir certificaciones

ISO/IEC 27001

ISO/IEC 27002: código de

buenas prácticas para la

gestión de la seguridad

ISO/IEC 27007: guía de

actuación para auditar los

SGSI conforme a las

normas 27000

ISO/IEC 27032: guía de

seguridad en aplicaciones

ISO/IEC 27003: guía

de implementación

de SGSI e

información

EVOLUCIÓN DE LA NORMATIVA

ISO 27000

ISO/IEC 27004: especifica

las métricas y las

técnicas de medida

aplicable para la eficacia

el SGSI

ISO/IEC 27005: gestión de

riesgos de seguridad de

la información

ISO/IEC 27032: guía

relativa a la

ciberseguridad

ISO/IEC 27799: guía para

implantar ISO/IEC 27002

específica para entornos

médicos

ISO/IEC 27031: guía de

continuidad de negocio en lo

relativo a tecnologías de la

información y

comunicaciones

EVOLUCIÓN DE LA NORMATIVA

ISO 27000

Diagrama de relación de la reorganización de las cláusulas principales

de la versión 2005 a la publicada en 2013

Enfoque del análisis del

riesgo de l afase de

planificación y operación

NUEVA

ISO 27001: 2013

NUEVA ISO 27001: 2013

NUEVA ISO 27001: 2013

SGSI

Estudio de

situación actual en aspectos de seguridad

Mantenimiento,

evaluación y planes de mejora

Comprobar la

efectividad de las medidas implantadas

Implantación de

medidas de seguridad

ISO 27001

“Norma que especifica los requisitos para establecer, implantar,

poner en funcionamiento, controlar, revisar, mantener y mejorar un

SGSI documentado dentro del contexto global de los riesgos de

negocio de la organización. Especifica los requisitos para la

implantación de los controles de seguridad hechos a medida de

las necesidades de organizaciones individuales o partes de las

mismas”

Se adopta el

modelo Plan-Do-

Check-Act (PDCA

ó ciclo de Deming)

para todos los

procesos de la

organización

Objetivo:

Mejora

continua

PLANIFICAR

(Creación del SGSI

Definir las políticas, objetivos,

procesos y procedimientos del SGSI

relevantes para gestionar el riesgo

y mejorar la seguridad de la

información con el fin de obtener

resultados acordes con las

políticas y objetivos

generales de la organización

HACER

(Implementación y operación del SGSI

Implementar y operar la política,

controles, procesos y

procedimientos del SGSI

VERIFICAR

(Supervisión y revisión del SGSI

Evaluar y, en su caso, medir el

rendimiento del proceso contra la

política, los objetivos y la

experiencia práctica del SGSI, e

informar de los resultados a la

dirección para su revisión

ACTUAR

Mantenimiento y mejora del SGSI

Adoptar medidas correctivas y

preventivas, en función a los

resultados de la auditoría interna

del SGSI y de la revisión por parte

de la dirección, o de otras

informaciones relevantes, para

lograr la mejora continua del SGSI

ISO 27001

ISO 27001

VENTAJAS

Garantizar la confidencialidad,

integridad y disponibilidad

de información sensible

Disminuir el riesgo con la

consiguiente reducción de

gastos

Reducir la incertidumbre

por el conocimiento de

los riesgos e impactos

Mejorar continuamente la

gestión de la seguridad

de la información

Garantizar la continuidad del

negocio

Aumentar la competitividad

y mejorar la imagen

corporativa

Incremetar la confianza de

los stakeholders

Aumentar la rentabilidad

derivada del control de

los riesgos

Cumplir la legislación vigente

referente a la seguridad de

la linformación

Aumentar las oportunidades

de negocio

VENTAJAS

Mejorar la implicación y

participación del

personal en la gestión

de la seguridad

Reducir los costos asociados

a los incidentes

Posibilidad de integración

con otros sistemas de

gestión como ISO 9001,

ISO14001, OHSAS 18001

entre otros

Mejorar los procesos y

servicios prestados

Aumentar la competitividad

por mejora de la imagen

corporativa

DEFINICIÓN DE POLÍTICAS,

ORGANIZACIÓN Y ALCANCES

DISEÑO DEL SGSI

La implantación de un SGSI debe comenzar con el correcto diseño

Para ello debemos definir

cuatro aspectos fundamentales

Tercero:

La organización de la seguridad

Cuarto:

Programas de concienciación y

formación del personal

Primero:

El alcance del sistema

Segundo:

Las Políticas de seguridad

aseguir

La implantación de un SGSI debe comenzar con el correcto diseño

Primero: definir el alcance del

sistema. Qué partes o procesos de la organización que van a ser incluidos

La empresa debe determinar cuáles

son los procesos críticos para su organización decidiendo qué es lo que se quiere proteger y por donde

debe empezar

Dentro del alcance debe quedar

definidas las actividades de la organización, las ubicaciones físicas que se van a ver involucradas

DISEÑO DEL SGSI

La implantación de un SGSI debe comenzar con el correcto diseño

Qué tecnología de la empresa se

incluirán y qué áreas quedarán excluidas en la implamntación del SGSI

Es importante que durante esta fase se

estimen los recursos económicos y de personal que se van a dedicar a implantar y mantener el sistema

De nada sirve que la organización

realice un esfuerzo importante durante la implantación si después no es capaz de mantenerlo

DISEÑO DEL SGSI

POLÍTICAS DE SEGURIDAD

Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad

Recoger las directrices que debe seguir el

SGSI de acuerdo a las necesidades y la

legislación vigente

Se debe establecer las pautas de

actuación en el caso de incidentes y

definir responsabilidades

Las políticas deben delimitar qué se

protege, de quién y por qué

Determinar qué está permitido y qué no;

límite de comportamiento aceptable, y

cuál es la respuesta si existe abuso

Identificar los riesgos a los que está

sometida la organización

Para que la política de seguridad sea un

documento de utilidad, con lo establecido en la

norma ISO/IEC 27001 debe cumplir con ciertos

requisitos.

Redacción accesible para todo el

personal. Corta, precisa y fácil de

comprender

Debe ser aprobada por la dirección de la

organización y publicitada por la misma

Debe ser de dominio público dentro de la

organización y debe estar disponible

para su consulta

Debe ser referencia para la resolución de

conflictos relativas a la seguridad de la

información de la organización

POLÍTICAS DE SEGURIDAD

En función a las responsabilidades se decidirá quién está autorizado a acceder a qué

tipo de información

Se debe indicar qué se protege,

incluyendo tanto al personal como

a la información, la reputación y la

continuidad

Debe ser personalizada para cada

organización

Se deben señalar las normas y reglas

que va adoptar la organización y las

medidas de seguridad necesarias

Las política de seguridad debe incluir

al menos los siguientes apartados

1 - Definición de la SI, objetivos

globales, alcance de la seguridad,

importancia y los mecanismos de

control.

2- Declaración por parte de la

organización donde se apoyan los

objetivos y principios de la SI

3 – Breve explicación de las políticas

4- Definir responsabilidades generales

y específicas donde se incluirán los

roles que se deban cumplir

5 – Referencia a documentos para

sustentar las políticas.

Las políticas de SI debe ser un

documento actualizado por lo que

debe ser revisado y modificado

anualmente

ORGANIZACIÓN DE LA SEGURIDAD

La organización de la seguridad es otro aspecto de immportnacia durante el diseño

del SGSI

1

1. Se debe realizar revisiones de aspecto organizativo y asignar nuevas responsabilidades

Responsable de seguridad. Comité de Dirección. Comité de Gestión

2. Al plantear la nueva organización y responsabilidades se debe identificar posibles riesgos y se debe tomar medidas al respecto 2

3. Por ejemplo: los equipos de limpieza suelen tener acceso a todos los despachos, en estos casos es posible firmar acuerdos de confidencialidad

3

4 4. La última fase del diseño del SGSI es la concienciación y formación del personal con el fin de crear una cultura de seguridad

ALCANCES

Para determinar el alcance y límites del SGSI se debe especificar las

características de la organización, su ubicación, activos, tecnología e

incluir detalles de cualquier exclusión dentro del alcance que pudieran

considerarse.

El alcance, es un aspecto fundamental, ya que delimita las partes de la

organización que se ven afectadas, y por tanto, las partes que se deben

auditar.

El alcance, con todas las características debe

estar documentado.

2

3

4 5

1

La organización debe determinar los

límites y aplicabilidad del sistema de

gestión de seguridad de la información

La organización debe considerar, en el alcance,

los elementos internos y externos para su

propósito que puedan afectar a la consecución

de los objetivos del SGSI.

Se debe considerar, las partes interesadas

para el SGSI y los aspectos legales y

regulatorios incluir

Se debe considerar, las interfaces y dependencias

entre las actividades de la organización y las que

realizan otras organizaciones (proveedores).

Cláusula 4.3 En esta cláusula aparecen 5 especificaciones:

4

ALCANCES

COMPATIBILIDAD

"ISO 27001 está diseñada para ser compatible con otras normas de gestión como:

NORMA INTERNACIONAL

ISO-27000

REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DE LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA

DE LA FUERZA ARMADA NACIONAL

DIRECCIÓN DE INVESTIGACIÓN Y POSTGRADO (DIP)

MAESTRÍA EN GERENCIA DE LAS TECNOLOGÍAS DE INFORMACION Y COMUNICACIÓN

GUÉDEZ, CARLOS, LUJANO, RICHAR J., PEREZ LEÓN, REINALDO

Barquisimeto, mayo 2014

Dis

eñ

o:

Rein

ald

o P

ére

z L

eó

n

reyle

on

1970@

gm

ail

.co

m

04245461944