Tabla de Contenidos

Descripcin.
.1
Aplicacin
....1
Requisitos de
Documentacin...
..1
Poltica..
...1
Planificacin..
........1
Gestin de los Recursos Humanos..
..1
Productos y Servicio.....
....1
Medicin, Anlisis y Mejora.
..1

SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN
1. DESCRIPCIN
ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad
de la informacin en una empresa. La revisin ms reciente de esta norma
fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.
La primera revisin se public en 2005 y fue desarrollada en base a la
norma britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o
sin fines de lucro, privada o pblica, pequea o grande. Est redactada por
los mejores especialistas del mundo en el tema y proporciona una
metodologa para implementar la gestin de la seguridad de la informacin
en una organizacin. Tambin permite que una empresa sea certificada;
esto significa que una entidad de certificacin independiente confirma que
la seguridad de la informacin ha sido implementada en esa organizacin en
cumplimiento con la norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la

seguridad de la informacin y muchas empresas han certificado su
cumplimiento; aqu se puede ver la cantidad de certificados en los ltimos
aos:

Cmo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y

disponibilidad de la informacin en una empresa. Esto lo hace investigando
cules son los potenciales problemas que podran afectar la informacin (es
decir, la evaluacin de riesgos) y luego definiendo lo que es necesario hacer
para evitar que estos problemas se produzcan (es decir, mitigacin o
tratamiento del riesgo).
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la
gestin de riesgos: investigar dnde estn los riesgos y luego tratarlos
sistemticamente.

Las medidas de seguridad (o controles) que se van a implementar se

presentan, por lo general, bajo la forma de polticas, procedimientos e
implementacin tcnica (por ejemplo, software y equipos). Sin embargo, en
la mayora de los casos, las empresas ya tienen todo el hardware y software
pero utilizan de una forma no segura; por lo tanto, la mayor parte de la
implementacin de ISO 27001 estar relacionada con determinar las reglas
organizacionales (por ejemplo, redaccin de documentos) necesarias para
prevenir violaciones de la seguridad.
Como este tipo de implementacin demandar la gestin de mltiples
polticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado
cmo amalgamar todos estos elementos dentro del sistema de gestin de
seguridad de la informacin (SGSI).
Por eso, la gestin de la seguridad de la informacin no se acota solamente
a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que

tambin tiene que ver con la gestin de procesos, de los recursos humanos,
con la proteccin jurdica, la proteccin fsica, etc.

Por qu ISO 27001 es importante para su empresa?

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con
la implementacin de esta norma para la seguridad de la informacin:
Cumplir con los requerimientos legales cada vez hay ms y ms
leyes, normativas y requerimientos contractuales relacionados con la
seguridad de la informacin. La buena noticia es que la mayora de ellos se
pueden resolver implementando ISO 27001 ya que esta norma le
proporciona una metodologa perfecta para cumplir con todos ellos.
Obtener una ventaja comercial si su empresa obtiene la certificacin y
sus competidores no, es posible que usted obtenga una ventaja sobre ellos
ante los ojos de los clientes a los que les interesa mantener en forma segura
su informacin.
Menores costos la filosofa principal de ISO 27001 es evitar que se
produzcan incidentes de seguridad, y cada incidente, ya sea grande o
pequeo, cuesta dinero; por lo tanto, evitndolos su empresa va a ahorrar
mucho dinero. Y lo mejor de todo es que la inversin en ISO 27001 es
mucho menor que el ahorro que obtendr.
Una mejor organizacin en general, las empresas de rpido crecimiento
no tienen tiempo para hacer una pausa y definir sus procesos y
procedimientos; como consecuencia, muchas veces los empleados no saben
qu hay que hacer, cundo y quin debe hacerlo. La implementacin de ISO
27001 ayuda a resolver este tipo de situaciones ya que alienta a las
empresas a escribir sus principales procesos (incluso los que no estn
relacionados con la seguridad), lo que les permite reducir el tiempo perdido
de sus empleados.

2. APLICACIN

La aplicacin de ISO/IEC 27001 en una organizacin es un proyecto que

suele tener una duracin entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la informacin y el alcance, entendiendo por
alcance el mbito de la organizacin que va a estar sometido al Sistema de
Gestin de la Seguridad de la Informacin elegido. En general, es
recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma
rigurosa sus sistemas de informacin y sus procesos de trabajo a las
exigencias de las normativas legales de proteccin de datos o que hayan
realizado un acercamiento progresivo a la seguridad de la informacin
mediante la aplicacin de las buenas prcticas
El equipo de proyecto de implantacin debe estar formado por
representantes de todas las reas de la organizacin que se vean afectadas
por el SGSI, liderado por la direccin y asesorado por consultores externos
especializados en seguridad informtica generalmente Ingenieros o
Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas,
proteccin de datos y sistemas de gestin de seguridad de la informacin
(que hayan realizado un curso de implantador de SGSI).

3. REQUISITOS DE DOCUMENTACION
La siguiente lista detalla la cantidad mnima de documentos y
registros requeridos por la Revisin 2013 de la norma ISO/IEC
27001:
Documentos*

Alcance del SGSI

Polticas y objetivos de seguridad de la informacin

Captulo de ISO
27001:2013

4.3
5.2, 6.2

Metodologa de evaluacin y tratamiento de riesgos

Declaracin de aplicabilidad
Plan de tratamiento del riesgo
Informe de evaluacin de riesgos
Definicin de funciones y responsabilidades de
seguridad
Inventario de activos
Uso aceptable de los activos
Poltica de control de acceso
Procedimientos operativos para gestin de TI
Principios de ingeniera para sistema seguro
Poltica de seguridad para proveedores
Procedimiento para gestin de incidentes
Procedimientos de la continuidad del negocio
Requisitos legales, normativos y contractuales

Registros*
Registros de capacitacin, habilidades, experiencia y
calificaciones
Resultados de supervisin y medicin
Programa de auditora interna
Resultados de las auditoras internas
Resultados de la revisin por parte de la direccin
Resultados de acciones correctivas
Registros sobre actividades de los usuarios,
excepciones y eventos de seguridad

6.1.2
6.1.3 d)
6.1.3 e), 6.2
8.2
A.7.1.2,
A.13.2.4
A.8.1.1
A.8.1.3
A.9.1.1
A.12.1.1
A.14.2.5
A.15.1.1
A.16.1.5
A.17.1.2
A.18.1.1
Captulo de ISO
27001:2013
7.2
9.1
9.2
9.2
9.3
10.1
A.12.4.1,
A.12.4.3

*Se pueden excluir los controles del Anexo A si una organizacin

determina que no existen riesgos ni otros requisitos que podran
demandar la implementacin de un control.
Esta no es, de ninguna forma, una lista definitiva de documentos y
registros que se pueden utilizar durante la implementacin de ISO
27001; la norma permite que se agregue cualquier otro documento
que pueda mejorar el nivel de seguridad de la informacin.

Documentos no obligatorios de uso frecuente

Los siguientes son otros documentos que se utilizan habitualmente:

Documentos

Procedimiento para control de documentos

Controles para gestin de registros

Captulo
de ISO
27001:20
13
7.5
7.5

Procedimiento para auditora interna

Procedimiento para medidas correctivas
Poltica Trae tu propio dispositivo (BYOD)
Poltica sobre dispositivos mviles y tele-trabajo
Poltica de clasificacin de la informacin

Poltica de claves

Poltica de eliminacin y destruccin

Procedimiento para trabajo en reas seguras
Poltica de pantalla y escritorio limpio
Poltica de gestin de cambio
Poltica de creacin de copias de seguridad
Poltica de transferencia de la Plan de prueba y
verificacin A.17.1.3
informacin Anlisis del impacto en el negocio
Plan de mantenimiento y revisin
Estrategia de la continuidad del negocio

9.2
10.1
A.6.2.1
A.6.2.1
A.8.2.1,
A.8.2.2,
A.8.2.3
A.9.2.1,
A.9.2.2,
A.9.2.4,
A.9.3.1,
A.9.4.3
A.8.3.2,
A.11.2.7
A.11.1.5
A.11.2.9
A.12.1.2,
A.14.2.4
A.12.3.1
A.13.2.1,
A.13.2.2,
A.13.2.3
A.17.1.1
A.17.1.3
A.17.2.1

4. POLITICAS
La poltica de seguridad es un conjunto de documentos, que se encuentran
sistematizados e indican las normas, los procedimientos y las actuaciones
que se deben cumplir por parte de la organizacin.
Si ahondamos en el concepto y ubicamos la definicin dentro del plano de la
estrategia, de POLITICA DE SEGURIDAD es un instrumento que desarrolla
todos los objetivos de seguridad de la empresa a largo plazo, analizando el
ciclo de vida y debiendo ser la base en la que se centre el diseo del SISTMA
DE SEGURIDAD

Los atributos ms importantes que facilitaran el contexto de la poltica de

seguridad son:
La poltica de seguridad y el cuerpo normativo adjunto.
Si se encuentra perfectamente organizada y engloba todos los objetivos de
la organizacin.
Se demuestra compromiso por parte de la alta direccin de la organizacin
respecto a la seguridad.
Su presencia y aprobacin es uno de los elementos ms importantes.
Para enfrentar las auditorias de cumplimiento, la poltica de seguridad y las
normativas que se encuentran relacionadas son un elemento muy
importante.
4.1. DESCRIPCIN
Un certificado iso 2700 demuestra que su sistema de gestin de seguridad
de la informacin ha sido certificado bajo una norma de acuerdo a las
buenas prcticas. Expedido por una entidad de certificacin, el certificado
demuestra que ha tomado suficientes precauciones para proteger la
informacin confidencial contra el acceso no autorizado y los cambios.
La norma iso 27001 adopta un proceso enfocado para establecer, implantar
funcionar, seguir, revisar, mantener y mejorar un sistema de gestin de la
seguridad de la informacin (SGSI) de la organizacin.
Este ISO 27001 est establecido por la Organizacin Internacional de
Normalizacin (ISO) y es la norma utilizada para la certificacin. Reemplaza
la BS 7799 y prev de una norma internacional del sistema de seguridad de
la informacin. Basada en la BS 7799, ha sido reorganizada para alinearse
con otras normas internacionales. Se ha incluido algunos nuevos controles,
por ejemplo el nfasis en la gestin de incidentes de seguridad de la
informacin y principios.
De acuerdo a otras normas de sistema de gestin el ISO 27001 est
alineado con otros sistemas de gestin, y apoya a la implementacin y
funcionamiento estable e integrado con normas de gestin relacionadas.

5. PLANIFICACIN
ISO 27001 determina cmo se gestiona la seguridad de la informacin
mediante un sistema de gestin de seguridad de la informacin SGSI -. Un
sistema de gestin de este tipo se compone de distintas fases que se deben
implementar secuencialmente para minimizar los riesgos sobre
confidencialidad, integridad y disponibilidad de la informacin.
La primera de las fases es la planificacin, sta sirve para planificar la
empresa y establecer los objetivos de seguridad de la informacin y elegir
los controles correctos de seguridad.
Esta etapa se compone de los siguientes pasos:
-Determinar del alcance del SGSI.

-Redactar la una Poltica de SGSI.

-Identificar la metodologa de evaluacin de riesgos y determinar los
criterios para la aceptabilidad de riesgos.
-Identificar activos, vulnerabilidades y amenazas.
-Evaluar la magnitud de los riesgos.
-Identificar y evaluar opciones para el tratamiento de riesgos.
-Seleccionar controles para el tratamiento de riesgos.
-Obtener la aprobacin de la gerencia para los riesgos residuales.
-Obtener la aprobacin de la gerencia para la implementacin del SGSI.
-Redactar una declaracin de aplicabilidad que detalle todos los controles
aplicables y determine cules ya se han implementados y cules no son
aplicables.
Si no se planifica con atencin las actividades de seguridad de la
informacin, es posible que se pase por alto algo importante, lo que se
traduce en gastos econmicos. Por estos motivos, ISO-27001 afina
especialmente en los diferentes pasos de la fase de planificacin.
El objetivo es crear una direccin clara, y tomar en cuenta todo lo que
pueda producir incidentes de seguridad.
ISO27001 trae una fase de planificacin bastante compleja y necesita de la
redaccin de diferentes documentos y la ejecucin de varias actividades.
La evaluacin y tratamiento de riesgos es el eje central de esta fase debido
a que instauran las bases para la etapa de implementacin, definiendo
controles de seguridad aplicables

6. GESTIN DE LOS RECURSOS HUMANOS

6.1. SELECCIN Y CONTRATACIN DE LOS EMPLEADOS
Una persona puede incorporarse a una empresa por primera vez o cambiar
de puesto dentro de la misma. Sea como sea esto implica un acceso nuevo
a informacin de carcter sensible para la empresa y, que si tiene
implantada la norma ISO-27001 estar protegida. Aun as es necesario
plantear acciones preventivas para que un mal uso de la informacin no
provoque riesgos de consecuencias indeseables.
Cuando se va a contratar a una persona, la organizacin debera comprobar
sus antecedentes, dentro de los mrgenes de la legislacin en privacidad y
proteccin de datos, verificando el contenido de su currculum, las
certificaciones acadmicas y profesionales.
En el contrato que se vaya a firmar deben estar plasmados las condiciones y
trminos sobre la responsabilidad en seguridad de la informacin a la que
tendr acceso el nuevo empleado, y que ste deber aceptar. Estas
clusulas deben contener al menos:

Responsabilidades sobre la propiedad intelectual y proteccin de datos.

Obligacin de confidencialidad y de no revelar ningn dato de la
organizacin.
Responsabilidades sobre el tratamiento de recursos y la clasificacin de la
informacin.
Acciones a llevar a cabo en caso de incumplimiento de requisitos de
seguridad y/o de la poltica.
Responsabilidades con la informacin que reciba de otras compaas y la
que se trata fuera de la organizacin.
6.2. FORMACIN DE EMPLEADOS
Los empleados deben estar seguros de sus funciones y de las acciones que
lleven a cabo en la empresa para no cometer errores que puedan afectar a
la integridad de la informacin de la organizacin. Para que esto sea as
debern recibir la formacin, educacin, motivacin y concienciacin
necesaria acerca de procedimientos de seguridad y el correcto uso de la
informacin.
Estas obligaciones son responsabilidad de la organizacin que,
segn ISO27001 debe manifestar su liderazgo y compromiso en relacin al
Sistema de Gestin de la Seguridad de la Informacin.
Adems de recibir esta formacin, un empleado debe tener claro con quien
debe ponerse en contacto en caso de requerir un asesoramiento de
seguridad y qu procedimientos existen para identificar y gestionar
incidencias de seguridad.
Cuando se genere una incidencia se aplicar el proceso disciplinario
establecido previamente. Tendrn que ser medidas ajustadas a la gravedad
de la infraccin ocurrida y al entorno donde se produjo.
6.3. FINALIZACIN DEL TRABAJO O CAMBIO DE PUESTO
Desde el momento en que se decide que un empleado saldr de la empresa
hay que llevar a cabo una gestin de dicha salida. Esta gestin debe tratar
la retirada de los privilegios y permisos de acceso, del material que estaba
utilizando y de cualquier otro que tenga posesin.
Si lo que se produce es un cambio de puesto de trabajo dentro de la misma
empresa, a este empleado se le debern retirar los accesos que ya no le
sean necesarios y cambiar cualquier contrasea de acceso a cuentas que ya
tampoco vaya a necesitar.
En estos casos influyen aspectos como:
Causa de finalizacin del puesto de trabajo.
Responsabilidades del empleado.
Valor de la informacin que manejaba.
Segn el caso se podra hasta retirar los derechos de los que disfrutase el
empleado un da antes de su salida, y si participara en grupos de trabajo,

stos deberan tenerlo en conocimiento para dejar de compartir informacin

con l.

7. PRODUCTOS Y SERVICIOS
En general para una empresa es importante conocer qu atributos, sobre el
producto/servicio a
ofrecer, tienen mayor relevancia para el
consumidor/cliente.
Por lo tanto lo que la empresa OFRECE con certificacin del ISO-27001, es la
seguridad de la INFORMACION de sus clientes y tambin de la misma
empresa.
La informacin es un recurso que, como el resto de los activos, tiene valor
para una organizacin y por consiguiente debe ser debidamente protegida.
Esta puede estar: impresa o escrita en papel, almacenada electrnicamente,
transmitida por un medio electrnico, presentada en imgenes, o expuesta
en una conversacin.
Informacin de los clientes que tiene que estar sumamente protegida es:
Las cuentas bancarias, estados de cuenta, deuda tributaria, resultados de
anlisis clnicos, configuracin de un equipo de red, cdigos de un sistema,
tipo de cambio, la propuesta tcnica y econmica, estado financiero, el CV,
la compra de una empresa, las imgenes de una cmara, los sueldos,
correos, grabacin de un telfono, logs de auditora, contratos, examen de
admisin, etc.
Entonces Todo lo nombrado es muy importante para las personas que han
depositado su confianza en dicha empresa por lo tanto esta debe estar muy
bien cuidada.
Por lo tanto el SERVICIO que la empresa OFRECE con certificacin del ISO27001, es la seguridad de la informacin de sus clientes y tambin de la
misma empresa. Entonces Todo lo nombrado es muy importante para las
personas que han depositado su confianza en dicha empresa por lo tanto
esta debe estar muy bien cuidada.
La informacin es un recurso que, como el resto de los activos, tiene valor
para una organizacin y por consiguiente debe ser debidamente protegida.
Esta puede estar: impresa o escrita en papel, almacenada electrnicamente,
transmitida por un medio electrnico, presentada en imgenes, o expuesta
en una conversacin.

8. MEDICIN ANALISIS Y MEJORA