ISO 27001

Es un sistema de gestión que comprende la política, estructura organizativa,

procedimientos, procesos y recursos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
; La propuesta de esta norma, no está orientada a despliegues tecnológicos o de
infraestructura, sino a aspectos netamente organizativos, es decir, la frase que
podría definir su propósito es “Organizar la seguridad de la información”; Esta
norma utiliza el modelo “Plan-Do-Check-Act” (PDCA) aplicado a toda la estructura
de procesos de ISMS.
Un ISMS se implanta de acuerdo a estándares de seguridad como el ISO 27001
basado en el código de buenas prácticas y objetivos de control ISO 17799, el cual se
centra en la preservación de las características de confidencialidad, integridad y
disponibilidad.

¿Qué significa el modelo PDCA?

– Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus
objetivos, procesos, procedimientos relevantes para la administración de
riesgos y mejoras para la seguridad de la información, entregando
resultados acordes a las políticas y objetivos de toda la organización.
– Do (Implementar y operar el ISMS): Representa la forma en que se debe
operar e implementar la política, controles, procesos y procedimientos.
– Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea
aplicable, los procesos ejecutados con relación a la política del ISMS,
evaluar objetivos, experiencias e informar los resultados a la
administración para su revisión.
– Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y
correctivas, basados en las auditorías internas y revisiones del ISMS o
cualquier otra información relevante para permitir la continua mejora del
ISMS.

¿Cuándo se convirtió en norma?

– 1995 BS 7799-1:1995 (Norma británica)
– 1999 BS 7799-2:1999 (Norma británica)
– 1999 Revisión BS 7799-1:1999
– 2000 ISO/IEC 17799:2000 (Norma internacional código de prácticas)
– 2002 Revisión BS 7799-2:2002
– 2004 UNE 71502 (Norma española)
 – 2005 Revisión ISO/IEC 17799:2005
– 2005 Revisión BS 7799-2:2005
– 2005 ISO/IEC 27001:2005 (Norma internacional certificable)

¿Porque poner en funcionamiento el SGSI?

– Reconocimiento oficialmente reconocido para la gestión de la seguridad de

la información.

– Protege la información.

– Permite garantizar la eficacia de los esfuerzos desarrollados en materia de

gestión de seguridad.

– Confianza y reputación corporativa hacia los clientes, empleados, accionistas

y proveedores; cuando ellos acceden a la información de manera segura.

– Auditoria y control de riesgos constantemente; que permiten identificar

debilidades del sistema.

– Posibles reducciones en las primas de su seguro, vinculadas a una posible

disminución de incidentes en materia de seguridad.

– Evitar pérdidas, robos, riesgos, corrupción y descuidos con los activos de la

información.

¿A quién puede interesar?

ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o
pequeña, de cualquier sector o parte del mundo. La norma es particularmente
interesante si la protección de la información es crítica, como en finanzas, sanidad
sector público y tecnología de la información (TI); ISO/IEC 27001 también es muy
eficaz para organizaciones que gestionan la información por encargo de otros, por
ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los
clientes que su información está protegida.
La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7 y 8, no
son aceptables cuando una organización solicite su conformidad con esta norma y
son:
4. ISMS: La organización, establecerá, implementará, operará, monitorizará,
revisará, mantendrá y mejorará las actividades globales de su negocio y los riesgos.
Donde este está basado en el modelo PDCA; los documentos de estos deben de
ser debidamente protegidos y controlados. Es necesario un procedimiento
documentado y a su vez incluyen los siguientes criterios: Aprobación de
documentos antes de su emisión, revisión y actualización y necesidad de re-
aprobación, identificación de cambios y versiones en vigor, garantizar que las
versiones aplicables se encuentren en los puntos de uso, garantizar que los
documentos permanecen legibles y fácilmente identificables, garantizar que están a
disposición de las personas que los necesitan, garantizar que son transferidos,
almacenados y destruidos según lo establecido en el ISMS, garantizar que se
identifican los documentos de origen externo, garantizar que se controla la
distribución e documentos, prevenir el uso no intencionado de documentos
obsoletos, identificar los obsoletos caso de que sean retenidos por algún motivo.

5. Responsabilidades de la Administración: debe proporcionar una alta

dirección y proveerá evidencias de su compromiso con el proyecto estableciendo la
Política del ISMS, asegurando que se establecen Objetivos para el ISMS y que se
planifica su consecución, estableciendo roles y responsabilidades, comunicando la
importancia de logar los Objetivos y estableciendo la Política del ISMS, comunicando
responsabilidades y la necesidad de la búsqueda de la mejora continua,
suministrando recursos, decidiendo criterios de aceptación de riesgos y Niveles de
Riesgo Aceptables, asegurándose de que se realizan Auditorías Internas, realizando
Revisiones por la Dirección del ISMS.
La organización asegurará que los empleados que sean responsables de algo en el
ISMS sean competente y esté en capacidad de ejecutar las tareas requeridas, para
ello deberá proveer las herramientas y capacitación necesaria; y ser consciente de
la importancia de sus actividades y de cómo pueden contribuir a la consecución de
los Objetivos.

6. Auditoría Interna del ISMS: estas auditorías del ISMS deben de realizarse
aintervalos previamente planificados en un Programa de Auditorías, en función de
la importancia de los procesos y áreas a auditar; obteniendo unos resultados
previos.
La selección de auditores y el desarrollo de la auditoría deben garantizar la total
imparcialidad y objetividad del proceso de auditoría. Un auditor no debe auditar
nunca su propio trabajo.
Requisitos mínimos: Intervalos planificados y como mínimo 1 al año, debe incluir
oportunidades de mejora y necesidad de cambios en el ISMS, analizar posibles
cambios en la Política y en los Objetivos y los resultados de la RxD deben estar
documentados manteniendo registro.

7. Administración de las revisiones del ISMS: Estas revisiones incluirán

valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política
de seguridad de la información y sus objetivos. Los resultados de estas revisiones,
como se mencionó en el punto anterior serán claramente documentados y los
mismos darán origen a esta actividad.

8. Mejoras del ISMS: el mejoramiento continúo de la eficiencia del ISMS usando

las políticas de seguridad de la información, sus objetivos, el resultado de las
auditorías, el análisis y monitorización de eventos, las acciones preventivas y
correctivas y las revisiones de administración.
Este posee dos tipos de acciones: las acciones correctivas (AACC)que incluyen
identificar No Conformidades, determinar sus causas, evaluar necesidad de
actuación, determinar AACC necesarias, registrar resultados de las acciones, revisar
las AACC tomadas y las acciones preventivas que incluyen identificar No
Conformidades Potenciales, determinar sus causas, evaluar necesidad de actuación
preventiva, determinar AAPP necesarias, registrar resultados de las acciones,
revisar las AAPP tomadas.

¿Qué es un control?
Es lo que me permite garantizar que cada uno de los aspectos que se valoraron con
riesgos queda cubierto y auditable de muchas maneras; lo que es necesario
recalcar aquí es que los controles serán seleccionados e implementados de acuerdo
a los requerimientos identificados por la valoración del riesgo y los procesos de
tratamiento del riesgo o sea que esta actividad surgirá la primera decisión acerca
de los controles que se deberán abordar.

¿Cuáles son esos controles?

Aquí los dividiremos en varios grupos y cada uno abarca uno o más
controles:

– Política de seguridad (2 controles):

 Apoyo y orientación en el camino con respecto a la seguridad de la
información, de acuerdo con los requisitos del negocio y los reglamentos y
las leyes pertinentes; (1): política de seguridad: Define las grandes líneas
a seguir y el nivel de compromiso de la dirección con ellas. (2): plan de
seguridad: conjunto de acciones o líneas rectoras que se deberán cumplir.

– Aspectos organizativos para la seguridad (11 controles):

Su responsabilidad radica en diseñar e implementar una simple base de
datos, que la redacción de la documentación inicial de responsables:
derechos y obligaciones (para personal interno y ajeno) y el conjunto de
medidas a adoptar con cada uno de ellos; este grupo de controles se
subdivide en:
Organización Interna gestionar la seguridad de la información dentro de la
organización mediante Compromiso de la Dirección, coordinaciones,
responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos
con autoridades y grupos de interés en temas de seguridad, revisiones
independientes.
Partes Externas mantener la seguridad de la información de los servicios
de procesamiento de información de la organización a los cuales tiene
acceso partes externas o que son procesados, comunicados o dirigidos por
éstas.

– Clasificación de activos (5 controles):

En cuanto a este se debe de tener que todo recurso debe estar
perfectamente inventariado con el máximo detalle posible, que se debe
documentar el uso adecuado de los recursos y que toda la información
deberá ser tratada de acuerdo a su nivel ya que es imposible pensar en
seguridad, si no se sabe ciertamente lo que se posee; este está subdividido
en:
Responsabilidad por los activos donde logramos y mantenemos la
protección adecuada de los activos organizacionales.
Clasificación de la información nos asegura que la información recibe el
nivel de protección adecuado.

– Seguridad ligada al personal (9 controles):

Este es un departamento ausente en casi todas las empresas (viene siendo
como una asociación de el departamento de seguridad de la información y
recursos humanos) y son los encargados de ayudar a avanzar hacia un
objetivo “consciencia y adhesión de la información con ellos mismos; la
importancia vital de la información en la organización” garantizando que el
personal logre la misión; está basado en tres principios básicos de recursos
humanos
Antes de la contratación laboral asegura que los empleados,
contratistas, y usuarios por tercera parte entienden sus responsabilidades y
son adecuados para los roles para los que se los considera, y reducir el
riesgo de robo, fraude o uso inadecuado de las instalaciones; el contrato es
muy importante en esta etapa ya que en este deben de estar los acuerdos
confidenciales, propiedad intelectual y protección de datos; en este se debe
tener bien claro lo que se desea del personal, no omitiendo ningún detalle.
 Durante la vigencia de la contratación laboral asegura que todos los
empleados, contratistas y usuarios de terceras partes estén consientes de
las amenazas y preocupaciones respecto a la seguridad de la información,
sus responsabilidades y sus deberes y que estén equipados para apoyar la
política de seguridad de la organización en transcurso de su trabajo normal,
al igual que reducir el riesgo de error humano.
Terminación o cambio de contratación laboral asegura que los
empleados, los contratistas y los usuarios de terceras partes salen de la
organización o cambian su contrato laboral de forma ordenada.

– Seguridad física y del entorno (13 controles):

Este se subdivide en
Áreas seguras Seguridad física y perimetral, control físico de entradas,
seguridad de locales edificios y recursos, protección contra amenazas
externas y del entorno, el trabajo en áreas e seguridad, accesos públicos,
áreas de entrega y carga para evitar el acceso físico no autorizado, el daño e
interferencia a las instalaciones y a la información de la organización.
Seguridad de los equipos: Ubicación y protección de equipos, elementos
de soporte a los equipos, seguridad en el cableado, mantenimiento de
equipos, seguridad en el equipamiento fuera de la organización, seguridad
en la redistribución o reutilización de equipamiento, borrado de información
y/o software donde evitamos pérdida, daño, robo o puesta en peligro de los
activos y la interrupción de las actividades de la organización.
Por seguridad y control se debe de tener la siguiente documentación
rigiendo este grupo de controles: Documentación de control de accesos y
seguridad perimetral general, documentación de CPDs, planos de
instalaciones, material informático y de comunicaciones a nivel físico,
seguridad física en el almacenamiento y transporte de material informático y
de comunicaciones, redistribución o recalificación de elementos.

– Gestión de comunicaciones y operaciones (32 controles):

Este se subdivide en:
Procedimientos operacionales y responsabilidades que nos garantiza
la operación correcta y segura de los servicios de procesamiento de
información es confiable; identifica los responsables de la información y sus
funciones, donde evitan la “imprescindibilidad” de ciertos administradores,
evitan ambigüedades el procedimientos y detectan ausencias
procedimentales.
Gestión de la prestación del servicio por terceras partes es donde se
implementa y mantiene un grado adecuado de seguridad de la información y
de la prestación del servicio, de conformidad con los acuerdos de prestación
del servicio por terceras partes; donde se deben de cumplir con unos
requisitos documentación adecuada de los servicios que se están prestando,
medidas a adoptar para la revisión, monitorización y auditoría de los
mismos, documentación adecuada que permita regularizar y mantener un
eficiente control de cambios en estos servicios.
La planificación y aceptación del Sistema. Esdiseñar, planificar, probar,
adecuar y desarrollar criterios de aceptación/actualización de metodología
que pueda ser implantada a cualquier sistema de producción que permite
minimizar el riesgo de fallas de los sistemas; generalmente se toma como
material la creación de maquetas con el mas mínimo detalle del entorno de
producción de la empresa (para que esta metodología que se tome en base
de esta maqueta sea lo más apropiado posible).
Protección contra códigos maliciosos y móviles protección de la
integridad del software y de la información o antipáticamente detección,
prevención y recuperación de la información ante cualquier tipo de virus; y
es mucho mascomún cuando una empresa tiene el modelo cliente-servidor y
deja el porvenir de su información bajo la responsabilidad de un producto y
 nada más donde una medida se basa en la concientización de los clientes u
empleados de cómo deben de actuar ante un virus (procedimientos).
Respaldo mantener la disponibilidad de la información y de los servicios de
procesamiento de información, realizando Backup de respaldo y
recuperación pero sin antes preparar al personal para que implementen con
prácticas y procedimientos.
Gestión de la seguridad de las redes asegurar la protección de la
información en las redes y la protección de la infraestructura de soporte
mediante controles técnicos, que evalúen permanentemente los servicios
que la red ofrece, tanto propios como tercereados.
Manejo de los medios un medio es un elemento capaz de almacenar
información y este evita la divulgación, modificación, retiro o destrucción de
medios no autorizados, su uso incorrecto y la interrupción en las actividades
del negocio.
Intercambio de la Información aquí se encuentran unas medidas para el
mantenimiento de la seguridad de la información y del software que se
intercambian dentro de la organización y con cualquier entidad externa
mediante políticas, procedimientos y controles para el intercambio de
información para cualquier tipo y medio de comunicación a emplear,
acuerdos, funciones, obligaciones, responsabilidades y sanciones de todas
las partes intervinientes, medidas de protección física de la información en
tránsito, consideraciones para los casos de mensajería electrónica, medidas
particulares a implementar para los intercambios de información de negocio,
en especial con otras empresas.
Servicios de comercio electrónico este posee unos controles que nos
garantizan la seguridad de los servicios de comercio electrónico y
mecanismos de la integridad de la totalidad de la información disponible y su
utilización segura; ya que ningún empleado puede realizar una transacción
personal con un servidor ajeno al de la compañía; cuando la compañía hace
uso de este servicio debe de asegurar a los clientes metodologías seguras de
pago, confidencialidad e integridad de la transacción, mecanismos de no
repudio, transacciones seguras
Monitoreo en esta se detectan actividades de procesamiento de la
información no autorizadas mediante los siguientes controles: auditar log
para registrar todos los eventos, realizar revisiones periódicas, robusta
seguridad con los log por si alguien quiere borrar sus huellas, monitorear las
actividades del administrador de la red (ya que a veces los pueden usurpar),
implementar un sistema de alarmas para el normal funcionamiento del
sistema de generador de eventos (log), sincronización de tiempos NNTP para
que todos los servidores estén sincronizados por si hay que realizar una
investigación de eventos.

– Control de accesos (25 controles):

Este viene después de la autenticación del usuario (que es quien dice ser),
cuando el va a hacer el uso de un recurso (que si tenga o no la autorización
sobre dicho activo) y está dividida en los siguientes grupos:
Requisito del negocio para el control de acceso controla el acceso a la
información mediante la documentación de accesos basados en los niveles
de seguridad que determine el nivel de riesgo de cada activo.
Gestión del acceso de usuarios asegurar el acceso de usuarios
autorizados y evitar el acceso de usuarios no autorizados a los sistemas de
información mediante la adecuada administración de los privilegios y sus
debidas contraseñas que se deben de revisar periódicamente.
Responsabilidades de los usuarios todos los usuarios ya tienen
responsabilidades pero cuando se tiene acceso a la información su grado de
responsabilidad con la empresa incrementa según a la información que se
tenga acceso, lo que no puede suceder es que esos usuario desconozcan sus
responsabilidades por lo cual se deben de seguir los siguientes como la
identificación de su nivel de información (y por ende de responsabilidad),
 documentarlas correctamente, difundirlas y verificar su adecuada
comprensión.
Control de acceso a las redes este evita el acceso no autorizado a
servicios en red y es el que más posee una exigencia técnica tiene dentro
de este estándar y sus políticas se basan que usuario está autorizado a
acceder a que servicio de red, control de los accesos remotos a la
organización donde debe de haber autenticación y las más importantes la
identificación de equipamiento y de puertos de acceso (para ello deben de
buscar la herramienta adecuada para que cumpla esta finalidad).
En este grupo se exigen medidas automáticas, segmentación, diagnóstico y
control equipamiento, direcciones y de puertos, control de conexiones y
rutas de red.
Control de acceso al sistema operativo en un sistema operativo los
cambios son mínimos y poco frecuentes por lo tanto cuando se emplean
medidas adecuadas, se puede identificar rápidamente cuando la actividad es
sospechosa mediante la seguridad en la validación de usuarios del sistema
operativo, empleo de identificadores únicos de usuarios, correcta
administración de contraseñas, control y limitación de tiempos en las
sesiones y finalmente verificaciones de empleo de utilidades.
Control de acceso a las aplicaciones y a la información evita el acceso
no autorizado a la información contenida en las aplicaciones y en los
sistemas de información mediante la redacción de unas políticas para el
acceso a las aplicaciones y a su vez el aislamiento de los sistemas sensibles
del resto de la infraestructura.
Computación móvil y trabajo remoto este grupo se encarga de adoptar
una serie de procedimientos que permitan evaluar, implementar y controlar
adecuadamente estos aspectos en el caso de poseer accesos desde
ordenadores móviles y/o teletrabajo.

– Desarrollo y mantenimiento de sistemas (16 controles):

Este grupo se subdivide en:
Requisitos de seguridad de los sistemas de información estos realizan
un análisis de los requerimientos que se necesitan para garantizar que la
seguridad es parte integral de los sistemas de información.
Procesamiento correcto en las aplicaciones aquí se evitan errores,
pérdidas, modificaciones no autorizadas o uso inadecuado de la información
en las aplicaciones mediante la validación en la entrada de datos, la
implementación de controles internos en el procesamiento de al información
para verificar o detectar cualquier corrupción de la información a través de
los procesos y la validación de la salida de los datos; además asegurar que
los datos procesados, y su posterior tratamiento o almacenamiento, sea
apropiado a los requerimientos de esa aplicación.
Controles criptográficos con este se protegen la confidencialidad,
autenticidad o integridad de la información, por medios criptográficos
mediante controles criptográficos y administrar las calves que se emplean
de forma consciente y como medida súper importante desarrollar un
documento que cubra todos los temas sobre los cuales los procesos
criptográficos participarán de alguna forma y desde el mismo referenciar a
todos los controles de la norma en los cuales se hace uso de claves.
Seguridad de los archivos del sistema garantizan la seguridad de los
archivos del Sistema principalmente realizándose una pregunta ¿Cuáles son
los directorios o archivos que no deben cambiar y cuáles sí? Es decir
establecer unos niveles de estático y cambio mediante control de software
operacional, test de esos datos y controlar el acceso al código fuente.
Seguridad en los procesos de desarrollo y soporte mantienen la
seguridad del software y de la información del sistema de aplicaciones
mediante el avaluo de los cambios que sufre todo el sistema mediante el
desarrollo de un procedimiento de control de cambios, realización de
 revisiones técnicas a las aplicaciones luego de realizar cualquier cambio
teniendo especial atención a las aplicaciones críticas, documentación de las
restricciones que se deben considerar en los cambios de paquetes de
software, implementación de medidas tendientes a evitar fugas de
información, supervisión y monitorización de desarrollos de software
externalizado.
Gestión de la vulnerabilidad técnica el control que se aplica en este nos
permite detectar más temprano que tarde las vulnerabilidades que ocurren
en el sistema reduciendo riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas.

– Administración de incidentes de seguridad (5 controles):

Cuando ocurre un incidente tenemos dos opciones 1) tener la capacidad de
proceder y proteger inmediatamente, esta es momentánea ya que vendrá y
volverá cuantas veces quiera aquel incidente y 2) “Convivir con el enemigo”
y nuestra tarea será analizarlo conociendo todas sus acciones para poder
erradicarlo desde la raíz, eso si este ultimo método requiere de preparación,
métodos y recursos; este se subdivide en dos grupos:
Reportes de eventos de seguridad de la información y debilidadessu
función radica en una metodología eficiente para la generación,
monitorización y seguimiento de reportes, los cuales deben reflejar, tanto
eventos de seguridad como debilidades de los sistemas mediante la
generación de alertas tempranas con un mecanismo de gestión para que se
les responda inmediatamente cuando una de esas debilidades sea
explotada por personal no autorizado. Administración de incidentes de
seguridad de la información y mejoras es la metodología de un
procedimientos que tengas los pasos, acciones, responsabilidades, funciones
y medidas concretas; es decir crear incidentes de seguridad para difundirlos,
practicarlos y simularlos que por ningún motivo afecten la producción real,
para cuando realmente pasen estos incidentes estemos preparados
“preparémonos para los problemas por si algún día ocurren sabremos cómo
manejarlos”, “prepararnos para la guerra”, es válido afirmar que estos
simulacros no se deben de realizar en tiempos en que la compañía si este en
verdaderos problemas de seguridad es decir realizarlo en tiempo frio.

– Gestión de continuidad del negocio (5 controles):

Independientemente a lo que se dedica la empresa este tiene cierto grado
de dependencia de la información, entonces cualquier anomalía del sistema
repercute en la continuidad del negocio; Las medidas o determinaciones que
se adopten para solucionar, minimizar, mejorar o asumir esos riesgos
deberán expresarse por medio de planes de continuidad de negocio (o
planes de contingencia), los cuales tienen el objetivo de mantener y
restaurar el nivel operacional de la empresa, por medio de un conjunto de
medidas que reflejen la forma de proceder y/o escalar ante la ocurrencia de
cualquiera de los efectos que produciría un fallo y así contrarrestar las
interrupciones en las actividades del negocio y proteger sus procesos críticos
contra los efectos de fallas importantes en los sistemas de información o
contra desastres, y asegurar su recuperación oportuna.

– Conformidad con la legislación y reglamentación existente (10

controles):
Este debe estar de acuerdo a las bases y regulaciones legales de su país, las
cuales sólo son consideradas, una vez que las organizaciones de
estandarización correspondientes adecuan el estándar Inglés a cada País
respectivo; este se subdivide en:
Cumplimiento de los requisitos legales este considera la identificación
de la legislación aplicable a la empresa, definiendo explícitamente y
documentando todo lo que guarde relación con estos aspectos que evita el
incumplimiento de cualquier ley de obligaciones estatutarias, reglamentarias
 o contractuales y de cualquier requisito de seguridad; un control muy
importante hace referencia a las regulaciones legales que aplican al uso de
controles criptográficos donde tocan aspectos como exportación de claves,
requerimientos legales sobre registros almacenados, empleo de claves por
parte de los usuarios y administradores de sistemas.
Cumplimiento de las políticas y las normas de seguridad y
cumplimiento técnico en este el personal está involucrado en el
cumplimiento de las medidas donde se asegura que los sistemas cumplen
con las normas y políticas de seguridad de la organización.
Consideraciones de la auditoria de los sistemas de información las
auditorias de los sistemas de información deben de realizarse de manera
interna y externa (o sea servicios prestados por tercero, que sale más eficaz
pero más costosa) donde maximizan la eficacia de los procesos de auditoría
de los sistemas de información y minimizar su interferencia.

Glosario
– Seguridad de la Información (SI): Preservación de la confidencialidad,
integridad y disponibilidad de la información; adicionalmente autenticidad,
responsabilidad, no repudio y confiabilidad.

– Confidencialidad: Aseguramiento de que la información es accesible sólo a

autorizados.

– Integridad: Garantía de exactitud y completitud de información y métodos

de procesado.

– Disponibilidad: Aseguramiento de que los autorizados tengan acceso

cuando lo necesiten a la información y los activos asociados.

– ISMS: La parte del Sistema de Gestión Global, basada en una orientación a

riesgo de negocio, para establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar la seguridad de la información

– Activo o recurso: Algo que tiene valor para la organización.

– Amenaza o incidente de seguridad: Evento que puede provocar un

incidente en la organización produciendo daños o pérdidas materiales y/o
inmateriales.
– Vulnerabilidad: Susceptibilidad de algo para absorber negativamente
incidencias externas.
– Eventos de seguridad de la información: situación previa desconocida
que pueda ser relevante desde el punto de vista de la seguridad identificado
en un sistema o servicio de red.

– Riesgo residual: El riesgo remanente luego de una amenaza a la

seguridad.

– Aceptación de riesgo: Decisión de aceptar un riesgo.

– Análisis de riego: Uso sistemático de la información para identificar

fuentes y estimar riesgos.

– Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de

riesgo.
 – Evaluación de riesgo: Proceso de comparar los riesgos estimados contra
los criterios de riesgo establecidos o dados, para determinar el grado de
significativo del riesgo.

– Administración del riesgo: Actividades coordinadas para dirigir y controlar

las medidas necesarias para la observación del riesgo dentro de la
organización.

– Tratamiento del riesgo: Proceso de selección e implementación de

mediciones para modificar el riesgo.

Conclusiones

– Son 133 controles los que esta norma maneja.

– La Seguridad de la Información es un proceso.
– La Seguridad de la Información se basa en personas.
– La Seguridad de la Información debe orientarse al riesgo.
– Un buen SGSI es un sistema rentable para la organización.
– no existe la seguridad absoluta. el ISMS ayuda a la gestión.
– Hay que definir estrategias de negocio y huir de actuaciones puntuales sin
criterios de interconexión.
– Un proyecto SGSI requiere un equipo de trabajo multiconocimiento.