Sistema de Gestin de

Seguridad de la
Informacin

Aspecto Normativo
UNIT ISO/IEC 27000

Familia de normas ISO/IEC 27000

Esta norma especifica los requisitos para establecer,
implantar, documentar y evaluar un SGSI

Especifica los requisitos de los controles de seguridad de

acuerdo con las necesidades de las organizaciones,
independientemente de su tipo, tamao o actividad

27000 Fundamentos y vocabulario

27001 Requisitos para certificacin
27002 Buenas prcticas
27003 Directrices para la implementacin

Anlisis familia de normas ISO/IEC 27000

Norma 27002
Dominio

Objetivos

Controles

Poltica de Seguridad

Aspectos organizativos para la seguridad

11

Gestin de los Activos

Seguridad de los Recursos Humanos

Seguridad fsica y del entorno

13

Gestin de comunicaciones y operaciones

10

32

Control de accesos

25

Adquisicin, Desarrollo y mantenimiento de

Sistemas

16

Gestin de Incidentes de Seguridad de la

Informacin

15

Gestin de continuidad del negocio

Conformidad

10

Norma UNIT ISO/IEC 27002

Dominios de seguridad
Objetivos
Controles
Implementacin del control

Definir poltica de seguridad

Establecer alcance del al SGSI
Realizar anlisis de riesgos
Seleccionar los controles

MODELO PDCA

Implantar plan de gestin de riesgos

Implantar el SGSI
Implantar los controles

ISO/IEC 27002

1 Poltica de Seguridad de Informacin

6 Gestin de comunicaciones y operaciones

2 Estructura organizativa de la SI

7 Control de accesos

3 Clasificacin y control de activos

8 Desarrollo y mantenimiento de sistemas

4 Seguridad ligada al personal

9 Gestin de Incidentes de Seguridad

5 Seguridad fsica y del entorno

10. Gestin Continuidad de Negocio

----------------------------------------------------------11 Conformidad y Cumplimiento legislacin

Adoptar las acciones correctivas

Adoptar las acciones preventivas
Revisar internamente el SGSI
Realizar auditorias internas del SGSI

Documentacin en un SGSI

Documentacin en un SGSI
Manual de seguridad: Es el documento que inspira y
dirige todo el sistema, determina las intenciones,
alcance, objetivos, responsabilidades, polticas y
directrices principales del SGSI.
Procedimientos: documentos en el nivel operativo, que
aseguran que se realicen de forma eficaz la
planificacin, operacin y control de los procesos de
seguridad de la informacin.

Documentacin en un SGSI
Instrucciones, checklists y formularios: Son los
documentos que describen cmo se realizan las tareas
relacionadas con la seguridad de la informacin

Registros: Son los documentos que proporcionan una

evidencia objetiva del cumplimiento de los requisitos del
SGSI; estn asociados a documentos de los otros tres
niveles como output que demuestra que se ha cumplido
lo indicado en los mismos.

Poltica General de Seguridad

Declaracin general de principios que
presenta la posicin de la Administracin
sobre los cursos de accin a seguir.
Intencin y direccin general expresada
formalmente por la direccin. (ISO 27002)

Poltica de Seguridad
Poltica de Seguridad Organizacional
o Un conjunto de leyes y prcticas que regulan cmo una
organizacin gestiona, protege y distribuye recursos para
alcanzar los objetivos de una poltica de seguridad

Poltica de Seguridad Automatizada

o El conjunto de restricciones y propiedades que especifican cmo
un sistema informtico previene que tanto informacin como
recursos sean utilizados violando una poltica de seguridad
organizacional

Dominio : Poltica de Seguridad

Objetivo:
Proporcionar orientacin y apoyo de la
direccin para la seguridad de la
informacin de acuerdo con los requisitos
del negocio y con las regulaciones y leyes
pertinentes.

Documento de Poltica de Seguridad

Control
La direccin debera aprobar, publicar y
comunicar a todos los empleados y a
terceras partes, un documento con la
poltica de seguridad de la informacin
Gua de Implantacin

Revisin de la Poltica de Seguridad de

la Informacin
Control
La poltica de seguridad de la informacin
debe ser revisada a intervalos planificados
o si se producen cambios significativos,
para asegurar su conveniencia, suficiencia
y eficacia continua.

Gestin de Riesgos
Un riesgo es la posibilidad de que un
resultado indeseado distorsione el negocio
La gestin de riesgos es el proceso de
identificar y controlar esos resultados
indeseados de manera PROACTIVA

Gestin de Riesgos
Los riesgos siempre implican posibles
prdidas, de all la importancia de
manejarlos
Gestionar riesgos es trabajar con la
incertidumbre y la idea es disminuirla.
El problema no es que haya riesgos es
saber manejarlos.

Gestin de Riesgos
Para manejar los riesgos trabajamos con
una tcnica que reduzca la incertidumbre,
pero nunca la eliminaremos.
Deben ser analizados por diferentes
personas con diferentes visiones

La importancia del Anlisis de Riesgos

Nos ayuda a visualizar cules son
nuestras debilidades
Nos permite analizar cmo resolver esas
debilidades
Nos permite definir en qu orden las
atenderemos, nos permite priorizarlas

Estudio del Riesgo

Riesgo: Es lo que acontece y dispara una prdida
para la organizacin
Conductor del riesgo: condicionantes en el entorno
que hacen pensar que el riesgo podra ocurrir
Probabilidad del riesgo: evaluacin subjetiva, basada
en los conductores del riesgo, de la posibilidad de
que dicho riesgo ocurra

Estudio del Impacto

Impacto: la consecuencia o prdida potencial que
podra resultar si el riesgo ocurre
Prdidas: magnitud de la prdida en caso que ocurra
el riesgo