SISTEMA DE GESTION DE LA
SEGURIDAD DE LA
INFORMACION
Normas Técnicas:
BS 7799-2:2002 (Certificable).
ISO 17799:2005 (No Certificable).
ISO 27001:2005 (Certificable).
ANTECEDENTES
¿ Qué es una Norma ?
 Una norma es una especificación técnica
 Elaborada con participación de todos los sectores involucrados
 Aprobada por consenso
 Su objetivo es el beneficio a la comunidad
 Está a disposición de todos los interesados
 Es elaborada y publicada por un organismo de normalización reconocido
ANTECEDENTES
Department of Trade & Industry
Ministerio de Comercio y de la
industria del Reino Unido.
www.dti.gov.uk
Es el administrador del comercio, negocios, empleados, consumidores,
ciencia, energía en el Reino Unido y está trabajando para crear las
condiciones de éxito en los negocios del Reino Unido en el desafío de
la globalización.
ANTECEDENTES
British Standard
Institution
www.bsi-global.com
Fundada en 1901 como el comité de estándares de la ingeniería. Los
estándares británicos del bsi son el cuerpo nacional de los estándares del reino
unido, con una reputación global reconocida para la independencia, la
integridad y la innovación en la producción de los estándares que promueven
la mejor práctica. Desarrolla y vende estándares y soluciones de la
estandardización para resolver las necesidades del negocio y de la sociedad.
• Certifica sistemas y productos de gerencia
• Proporciona servicios de la comprobación del producto
• Desarrolla estándares privados, nacionales e internacionales
• Proporciona el entrenamiento en estándares
• Proporciona soluciones de software
ANTECEDENTES
Organización
Internacional para la
Estandarización
Organización internacional no gubernamental, compuesta por representantes
de los organismos de normalización (ONs) nacionales, que produce normas
internacionales industriales y comerciales (normas ISO ). Su finalidad es la
coordinación de las normas nacionales, en consonancia con el Acta Final de la
Organización Mundial del Comercio, con el propósito de facilitar el comercio,
el intercambio de información y contribuir con unos estándares comunes para
el desarrollo y transferencia de tecnologías.
¿QUÉ ES ISO 27000?
Es una familia de estándares internacionales para
Sistemas de Gestión de la Seguridad de la Información
(SGSI).

Requisitos para la especificación de sistemas de gestión de
la seguridad de la información

Proceso del análisis y gestión del riesgo

Métricas y medidas de protección

Guías de implantación

Vocabulario claramente definido para evitar distintas
interpretaciones de conceptos técnicos y de gestión y
mejora continua.
LA FAMILIA NORMA ISO 27000 (1)

ISO 27000
En fase de desarrollo. Contendrá términos y definiciones que se emplean en
toda la serie 27000. La aplicación de cualquier estándar necesita de un
vocabulario claramente definido, que evite distintas interpretaciones de
conceptos técnicos y de gestión.

ISO 27001
Es la norma principal de requerimientos del sistema de gestión de seguridad de
la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a
la cual serán certificados por auditores externos los SGSI de las organizaciones.
Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose
establecido unas condiciones de transición para aquellas empresas certificadas
en esta última.

ISO 27002 (ISO 17799)
Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable.
Será la sustituta de la ISO17799:2005.
LA FAMILIA ISO 27000
(2)

ISO 27003
Contendrá una guía de implementación de SGSI e información acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el
anexo B de la norma BS7799-2.

ISO 27004
Especificará las métricas y las técnicas de medida aplicables para determinar la
eficiencia y efectividad de la implantación de un SGSI y de los controles
relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

ISO 27005
Consistirá en una guía para la gestión del riesgo de la seguridad de la información y
servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará
en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

ISO 27006
Especificará el proceso de acreditación de entidades de certificación y el registro de
SGSIs.
Evolución de la Norma ISO/IEC 27001
Video
Norma ISO/IEC 27001
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
S
G
S
I
Es la norma que define los requisitos para establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad
de la Información (SGSI) documentado dentro del contexto de los riesgos del
negocio.
Norma ISO/IEC 27001
Esta norma la pueden usar para:
 Evaluar la capacidad de una organización (requisitos).
 Aplicación de un sistema de procesos dentro de la organización.
 Comprender los requisitos de la seguridad de la información.
 Implementar y operar controles en la gestión del riesgo.
 Administración del SGSI.
 Mejora continua basada en la medición de objetivos.
Esta norma puede ser aplicada a todas las organizaciones, independientemente
de su tipo, tamaño y naturaleza.
Norma ISO/IEC 27001
¿Qué es un SGSI?
ISMS - Information Security Management System.
Un sistema de gestión de la seguridad de la información (SGSI) es una forma
sistemática de abordar la gestión de la información empresarial para protegerla.
Atañe a las personas, los procesos y los sistemas informáticos.
Es un proceso documentado y conocido por toda la organización para garantizar
que la seguridad de la información es gestionada correctamente. (ISO 9001).
La seguridad de la información consiste en preservar:
 Confidencialidad: acceso únicamente por autorizados.
 Integridad: exactitud y completitud.
 Disponibilidad: acceso de los usuarios autorizados cuando lo requieran.
 Los sistemas implicados en el tratamiento de la información.
Información: escrita, diagramas, electrónica, imágenes o incluso oral.
¿Para qué sirve un SGSI?
Conoce los riesgos a los que está sometida su información y los asume, minimiza,
transfiere o controla mediante un sistema definido, documentado y conocido por
todos, que se revisa y actualiza constantemente.
¿Para qué sirve un SGSI?
Principales riesgos
Captura de PC desde el exterior
Mails “anónimos” con información crítica o con agresiones
Spamming
Robo de información
Violación de e-mails
Intercepción y modificación de e-mails
Violación de contraseñas
Virus
Violación de la privacidad de los empleados
Incumplimiento de leyes y regulaciones
Ingeniería social
Fraudes informáticos
Interrupción de los servicios
Acceso indebido a documentos impresos
empleados deshonestos
Programas “bomba”
Propiedad de la Información
Destrucción de soportes documentales
Acceso clandestino a redes
Indisponibilidad de información clave
Destrucción de equipamiento
Robo o extravío de notebooks
Software ilegal
Intercepción de comunicaciones
Falsificación de información para
terceros
Agujeros de seguridad de redes conectadas
Norma ISO/IEC 27001
CONTENIDO DE LA NORMA
1.
Objeto
2.
Referencias Normativas
3.
Términos y Definiciones
4.
Sistema de Gestión de la Seguridad de la Información
5.
Responsabilidad de la Dirección
6.
Revisión del SGSI por la Dirección
7.
Mejora del SGSI.
Anexo A Objetivos de Control y Controles.
Anexo B Guía para el uso de la Norma.
Anexo C Correspondencia entre ISO9001 - ISO14001 – BS7799-2.
4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
EL MODELO PDCA – PHVA aplicado al SGSI
Requisitos
de Seguridad
de la Información
Resultados de la
Seguridad
de la Información
1. Plan (planificar): establecer el SGSI.
2. Do (hacer): implementar y utilizar el SGSI.
3. Check (verificar): monitorizar y revisar el SGSI.
4. Act (actuar): mantener y mejorar el SGSI.
RC Resumen de Controles - DA Declaración de Aplicabilidad
4.1. REQUISITOS GENERALES
La organización debe:
Desarrollar, implementar, mantener y mejorar un Sistema de
Gestión de la Seguridad de la Información (SGSI)
documentado dentro del contexto de los riesgos del negocio.
FLUJOGRAMA PARA EL ESTABLECIMIENTO DE UN SGSI
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (1)
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (2)
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (3)
4.2.1. ESTABLECIMIENTO Y GESTIÓN DEL SGSI (4)
EJEMPLO DE POLITICA DE SEGURIDAD (1)
A.3 POLÍTICA DE SEGURIDAD
Numeral de la
NTC-ISO/IEC
17799
A.3.1 Política de seguridad de la información
,
3.1
Objetivo de control: brindar orientación y apoyo de la dirección para la seguridad de la
información.
.Contro/es
A.3.1.1
Documento de la política de
La
Dirección
debe aprobar,
seguridad de la información.
comunicar a todos los empleados, en la
publicar y
3.1.1
forma adecuada, un documento de política
de sequridad de la información.
A.3.1.2
Revisión y evaluación.
Se debe revisar regularmente la política, y
en caso de cambios que tengan influencia,
se debe asegurar que ésta sigue siendo
apropiada.
3.1.2
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI
Anexo A
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (1)
4.2.2 IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI (2)
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (1)
4.2.3. SEGUIMIENTO Y REVISIÓN DEL SGSI (2)
4.2.4. MANTENER Y MEJORAR EL SGSI
4.2.4. MANTENER Y MEJORAR EL SGSI (1)
REQUISITOS DE DOCUMENTACION (1)
REQUISITOS DE DOCUMENTACION (2)
REQUISITOS DE DOCUMENTACION (3)
RESPONSABILIDAD DE LA DIRECCION (1)
RESPONSABILIDAD DE LA DIRECCION (2)
AUDITORIA INTERNA DEL SGSI (1)
MONITOREO DEL SGSI POR LA DIRECCION (1)
MONITOREO DEL SGSI POR LA DIRECCION (2)
MEJORA DEL SGSI (1)
OBJETIVOS DE
CONTROL Y CONTROLES
Anexo Nº 1
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL Y CONTROLES
CONTROLES DE CADA OBJETIVO DE CONTROL (1)
CONTROLES DE CADA OBJETIVO DE CONTROL (2)
CONTROLES DE CADA OBJETIVO DE CONTROL (3)
CONTROLES DE CADA OBJETIVO DE CONTROL (4)
CONTROLES DE CADA OBJETIVO DE CONTROL (5)
CONTROLES DE CADA OBJETIVO DE CONTROL (6)
CONTROLES DE CADA OBJETIVO DE CONTROL (7)
CONTROLES DE CADA OBJETIVO DE CONTROL (8)
CONTROLES DE CADA OBJETIVO DE CONTROL (9)
BENEFICIOS DE UN SGSI
CONCLUSIONES FUNDAMENTALES
Descargar

Diapositiva 1