NORMAS ISO 27001 y 27002
NORMAS ISO 27001 y 27002
NORMAS ISO 27001 y 27002
“UNIANDES”
ESCUELA DE SISTEMAS
Fechas: 15/02/2018
IBARRA - ECUADOR
2017
Objetivo General:
Realizar un análisis de las normas ISO relacionadas con el sistema de gestión de
la seguridad de la información.
Definición del alcance y diseño del SGSI. Donde se establecerán los límites del SGSI
definiendo de forma detallada los mismos de acuerdo a las características de los sistemas
de información de la corporación.
Definición de política y organización del SGSI. Se definirá la política de seguridad y la
organización asociada para la correcta puesta en marcha del SGSI.
Implantación de la herramienta SGSI. Instalación y formación en la herramienta
suministrada.
Definición de Plan de Gestión de Riesgos. Se realiza la identificación y evaluación de las
opciones o combinación de opciones para la gestión de cada riesgo: Asumirlo, Evitarlo,
Transferirlo, Reducirlo.
Selección de controles para tratamiento de riesgos: Plan de implantación de controles.
Teniendo en cuenta los requisitos de seguridad identificados (legales, de negocio, análisis
de riesgos, entre otros.). Se propondrá una selección de controles basada en la ISO 27002
y proporcionales a los niveles de riesgo con el objetivo de reducir los riesgos
identificados. Si fuera necesario se seleccionarán controles adicionales.
Elaboración de declaración de aplicabilidad, es decir, describir una relación justificada
de controles a aplicar: i. Controles seleccionados; ii. Objetivos del control; iii. Razones
para la elección y exclusión.
Elaboración de documentación. Se proporcionará la documentación necesaria
estableciendo los procedimientos necesarios para realizar un control y protección
eficientes de la documentación.
Definición de métricas e indicadores. Se establecerá un conjunto de medidas que permitan
a la corporación medir la eficacia de los controles seleccionados, como son: i. Métricas:
datos cuantitativos que permitan evaluar la eficacia, eficiencia y madurez de un control;
ii. Indicadores: agregaciones realizadas con las métricas para obtener información útil.
Monitorización y revisión periódica. Se debe establecer un procedimiento para la revisión
y mantenimiento de todo el SGSI.
Elaboración de un Plan Director de Seguridad.
La norma ISO 27002 proporciona diferentes recomendaciones de las mejores prácticas en la gestión
de la seguridad de la información a todos los interesados y responsables para iniciar, implementar o
mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se
define en el estándar como “la preservación de la confidencialidad, integridad y disponibilidad. Para
saber más sobre los demás dominios puede leer La norma ISO 27002 complemento para la ISO 27001.
La norma ISO 27002 se encuentra enfocada a todo tipo de empresas, independientemente del tamaño,
tipo o naturaleza.
La norma ISO 27002 se encuentra organizado en base a los 14 dominios, 35 objetivos de control y
114 controles.
El documento denominado política es aquel que expresa una intención e instrucción general de la
forma que ha sido expresada por la dirección de la empresa.
El contenido de las políticas se basa en el contexto en el que opera una empresa y suele ser considerado
en su redacción todos los fines y objetivos de la empresa, las estrategias adoptadas para conseguir sus
objetivos, la estructura y los procesos utilizados por la empresa. Además, de los objetivos generales y
específicos relacionados con el tema de la política y los requisitos de las políticas procedentes de
niveles mucho más superiores y que se encuentran relacionadas.
Resumen: se establece una visión general de una extensión breve, uno o dos frases y que pueden
aparecer fusionadas con la introducción.
Introducción: se establece una pequeña explicación del asunto principal de la política.
Ámbito de aplicación: es la descripción de los departamentos, áreas o actividades de una empresa a
las que afecta la política. Cuando es relevante en este apartado se mencionan otras políticas relevantes
a las que se pretende ofrecer cobertura desde ésta.
Objetivos: es la descripción de la intención de la política.
Principios: se describen las reglas que conciernen a las acciones o decisiones para conseguir los
objetivos. En algunos casos puede ser de utilidad identificar de forma previa los procesos calve que
están asociados a un asunto principal de la política para después identificar las reglas de operación de
los procesos.
Responsabilidades: descripción de quién es el responsable de qué acciones pueda cumplir con los
requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos
organizativos, además de las responsabilidades de las personas que tienen sus roles asignados.
Resultados clave: describe todos los resultados relevantes para las actividades de la empresa que se
obtienen cuando se cumplen los objetivos.
Políticas relacionadas: se describen las políticas relevantes para cumplir con los objetivos, se indican
detalles adicionales en relación con los temas específicos.
La política de alto nivel se encuentra relacionada con un Sistema de Gestión de Seguridad de la
Información que suele estar apoyada por políticas de bajo nivel, específicas para aspectos
concretos en temáticas como el control de accesos, la clasificación de la información, la seguridad
física y ambiental, utilizar activos, dispositivos móviles y protección contra los malware.
CONCLUSIONES
El SGSI-ISO 27001 es un sistema activo, integrado en la organización, orientado a los objetivos
empresariales y con una proyección de futuro.
Es importante resaltar que cada vez que se incorpora una nueva herramienta o negocio de TIC a
la empresa se debe actualizar el análisis de riesgos para poder mitigar de forma responsable los
riesgos y, por supuesto, considerando la regla básica de Riesgo de TI vs. Control vs. Coste, es
decir, minimizar los riesgos con medidas de control ajustadas y considerando los costes del
control.
Los certificados, por tercera parte independiente, respaldan el cumplimiento de las normas, como
en el caso de la ISO 27001. En una economía cada vez más globalizada, en la que los productores
españoles de bienes y servicios deben competir, los certificados de conformidad son pasaportes
de calidad que abren mercados y una garantía de confianza entre empresas y consumidores de
todo el mundo.
Bibliografía
Android. (2016). Android developer. Obtenido de
https://developer.android.com/training/basics/network-ops/connecting.html?hl=es-
419#security