ANEXO A DILIGENCIAR A.

5 Poltica de Seguridad Aspecto Organizacional

A.6 Seguridad Organizacional

Aspecto Organizacional

A.7 Clasificacin y Control de Activos

Aspecto Organizacional

A.15 Cumplimiento

Aspecto Organizacional

A.13 Gestin de Incidentes

Aspecto Organizacional

A.11 Control de Acceso

Aspecto Tcnico

A.8 Seguridad Recurso Humano

Aspecto Organizacional

A.9 Seguridad Fsica y del Entorno

Aspecto Fsico

A.10 Gestin de Comunicaciones y Operaciones

Aspecto Tcnico

A.12 Desarrollo y mantenimiento de sistemas

Aspecto Tcnico

A.14 Gestin de la continuidad del negocio

Aspecto Tcnico

CAP. ISO 7.2

REGISTROS Registros de capacitacin, habilidades, experiencia y calificaciones

9.1

Resultados de supervisin y medicin

9.2

Programa de auditora interna

9.2

Resultados de las auditoras internas

9.3

Resultados de la revisin por parte de la direccin

10.1

Resultados de acciones correctivas

A12.4.1, A.12.4.3

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

CONTROL DESARROLLAR A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas A.7 GESTIN DE ACTIVOS Proteccin de los activos organizacionales. Asegurar la proteccin adecuada de la informacin A.15 CUMPLIMIENTO Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia. A.13 GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente

 Controlar el acceso a la informacin Asegura el acceso a los usuarios autorizados. Evitar el acceso de usuarios no autorizados. Evitar el acceso de usuarios no autorizados a las redes. Evitar el acceso de usuarios no autorizados a S.O. Evitar el acceso de usuarios no autorizados a Informacin en los S.I. Evitar el acceso de usuarios no autorizados a equipos mviles A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los los empleados, contratistas y usuarios de terceras partes. A.9 SEGURIDAD FSICA Y DEL ENTORNO Evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones y la informacin de la organizacin. Evitar prdida, dao, robo o puesta en peligro de los archivos e interrupcin de las actividades de la organizacin.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin. Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio de conformidad con los ANS por terceras partes. Minimizar el riesgo de fallas de los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de informacin. Asegurar la proteccin de informacin en las redes y proteccin de la infraestructura de soporte. Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura. Detectar actividades de procesamiento de informacin no autorizadas.

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Garantizar que la seguridad es parte integral de los sistemas de informacin. Evitar errores, prdida, modificaciones no autorizadas o uso inadecuado de informacin en las aplicaciones Proteger la confidencialidad, autenticidad e integridad de la informacin. Garantizar la seguridad de archivos del sistema. Mantener la seguridad del software y de la informacin del sistema de aplicaciones. Reducir los riesgos resultantes de la explotacin de vulnerabilidad tcnicas publicadas.

A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

DESCRIPCIN El departamento de recursos humanos el generalmente se encarga de llevar estos registros. que

ANEXO A DILIGENCIAR

La forma ms sencilla de describir cmo se miden los controles es a travs de polticas y procedimientos que definan a cada control. En general, esta descripcin puede ser realizada al final de cada documento, y cada descripcin tiene que definir los tipos de ICD (indicadores clave de desempeo) que es necesario medir para cada control o grupo de controles. La forma ms sencilla de describir cmo se miden los controles es a travs de polticas y procedimientos que definan a cada control. En general, esta descripcin puede ser realizada al final de cada documento, y cada descripcin tiene que definir los tipos de ICD (indicadores clave de desempeo) que es necesario medir para cada control o grupo de controles.

El programa de auditora interna no es ms que un plan anual para realizar las auditoras. Este programa debe definir quin realizar las auditoras, los mtodos que se utilizarn, los criterios que se aplicarn, etc.

Un auditor interno debe generar un informe de auditora, que incluye los resultados de la auditora (observaciones y medidas correctivas). Este informe debe ser interno tendr que verificar si todas las medidas correctivas se aplicaron segn lo esperado. confeccionado dentro de un par de das luego de realizada la auditora interna. En algunos casos, el auditor interno tendr que verificar si todas las medidas correctivas se aplicaron segn lo esperado.

Estos registros se presentan, normalmente, bajo la forma de actas de reunin y deben incluir todo el material tratado durante la reunin de la direccin, como tambin todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital.

Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicacin que ya est en uso en la organizacin; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son ms que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos

Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automtica o semiautomtica como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente.

Proporcionar direccin general y apoyo a la seguridad de la informacin en concordancia con lso requerimientos comerciales, leyes y regulaciones relevantes

A.5 Poltica de Seguridad La gerencia debe aprobar un documento de poltica, que se debe publicar y comunicar a todos los empleados y entidades externas relevantes A.6 Seguridad Organizacional El informe de evaluacin y tratamiento de riesgos debe ser redactado una vez que se realiz la evaluacin y el tratamiento de riesgos, y all se resumen todos los resultados

A.7 Clasificacin y Control de Activos

A.15 Cumplimiento

A.8 Seguridad

Recurso Humano

A.10 Gestin de La gerencia debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las polticas y procedimiento establecidos de la organizacin Comunicaciones y Todos los activos deben estar claramente identificados; se debe elaborar y mantener un inventario de todos los activos importantes Operaciones A.12 Desarrollo y

mantenimiento de

sistemas

A.11 Control de Acceso

A.9 Seguridad Fsica y

del Entorno

A.14 Gestin de la

continuidad del negocio CONTROL A DESARROLLAR Aspecto Organizacional

Aspecto Fsico

Aspecto Tcnico

A.13 Gestin de Incidentes

A D I R E C C I O N ANEXO A ISO 27001

5 Poltica de Seguridad

6 Seguridad Organizacional

7 Clasificacin y Control de Activos

15 Cumplimiento

curso Humano

10 Gestin de

omunicaciones y

12 Desarrollo y

antenimiento de

11 Control de Acceso

9 Seguridad Fsica y

14 Gestin de la

ntinuidad del

pecto Organizacional

pecto Fsico

pecto Tcnico

13 Gestin de Incidentes

NEXO A ISO 27001

ISO/IEC 27001: Seguridad de la Informacin en el marco ISO 27000

NORMA ISO 27001 - LISTA DE CHEQUEO

De acuerdo a la Norma ISO 27002, la seguridad de la informacin se define como la preservacin de las siguientes caractersticas: Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera. La seguridad de la informacin se logra implementando un conjunto adecuado de controles, que abarca polticas, prcticas, procedimientos, estructuras organizacionales y funciones del software, para garantizar que se logren los objetivos especficos de seguridad de la organizacin.

ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles A1no implementados. CAP. ISO DOCUMENTOS DESCRIPCIN 1. Objeto. Definir el alcance y limites del SGSI. 1.1. Generalidades. 1.2. Aplicacin. Plan de Seguridad del Gestin Sistema de Informacin 2. Referencia Normativa. organizacin, ubicacin, activos y tecnologa. 3. Trminos y definiciones. 4. Sistema de Gestin de la Seguridad de la Informacin. 1- Plan de Seguridad del Gestin Sistema de Informacin en donde est claramente descritos todos los elementos del DEBE. Anexo A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. A.15 CUMPLIMIENTO Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia.

A.5 Poltica de Seguridad

A.5 Poltica de Seguridad

4.1. Requisitos Generales.

A.15 Cumplimiento La Organizacin debe establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documento, en 2. Actas de comit en donde se el contexto global de las actividades globales del negocio de la tomaron las decisiones que organizacin y de los riesgos que enfrenta. dieron origen a plan. Y firmada por los integrantes. El proceso usado para este estndar Internacional esta basado en el modelo PHVA. 3. La declaracin de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.

4.2. Establecimiento y Gestin del SGSI. 4.2.1. Establecimiento del SGSI. Declaraciones documentadas 4.2.1 Establecer el SGSI. de la poltica de seguridad y los La Organizacin debe: objetivos de control. a) Definir el alcance y lmites del SGSI en trminos de: Documento Marco de referencia para fijar los - Caractersticas del negocio, objetivos y establezca un sentido general de direccin y - La organizacin, su ubicacin, sus activos y tecnologa, e principios para la accin con incluir los detalles y justificacin de cualquier exclusin del relacin a la seguridad de alcance. informacin; (plan SGSI) b) Definir una poltica del SGSI en trminos de las Matriz de riesgos por proceso caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa . Relacin de Activos c) Definir un enfoque organizacional para la valoracin del Relacin de procesos riesgo. 1) Identificar la metodologa Registros de seguimiento de 2) Desarrollar criterios para la aceptacin de riesgos, e

A.9 Seguridad Fsica y del A.9 SEGURIDAD FSICA Y DEL ENTORNO Entorno Evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones y la informacin de la organizacin. Evitar prdida, dao, robo o puesta en peligro de los archivos e interrupcin de las actividades de la organizacin. A.7 Clasificacin y Control de A.7 GESTIN DE ACTIVOS Activos Proteccin de los activos organizacionales. Asegurar la proteccin adecuada de la informacin

referencia para fijar los objetivos y establezca un sentido general de direccin y principios para la accin con relacin a la seguridad de informacin; (plan SGSI) Matriz de riesgos por proceso Relacin de Activos Relacin de procesos Registros de seguimiento de Acta de aprobacin de la direccin de riesgos residuales

- Caractersticas del negocio, - La organizacin, su ubicacin, sus activos y tecnologa, e incluir los detalles y justificacin de cualquier exclusin del alcance. b) Definir una poltica del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa . c) Definir un enfoque organizacional para la valoracin del riesgo. 1) Identificar la metodologa 2) Desarrollar criterios para la aceptacin de riesgos, e g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. h) Obtener una aprobacin de la direccin sobre los riesgos residuales propuestos. * Los riesgos en seguridad de la informacin son riesgos del negocio y slo la direccin puede tomar decisiones sobre su aceptacin o tratamiento. * El riesgo residual es el que queda, an despus de haber aplicado controles. i) Obtener aprobacin de la direccin y autorizacin para implementar y operar el SGSI * Registros j) Preparar el SOA (Declaracin de Aplicabilidad) -Objetivos de control y controles seleccionados -Objetivos de control y controles implementados -Objetivos de control y controles excluidos y justificacin de la exclusin. 4.2 ESTABLECIMIENTO Y GESTION DEL SGSI 4.2.2 Implementacin y operacin del SGSI a) Formular plan para tratamiento de riesgos que identifique la accin de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin; b) Implementar plan para el tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar financiacin y la asignacin de funciones y responsabilidades; c) Implementar controles seleccionados 4.2.1 g) para cumplir los objetivos de control; d) Definir como medir la eficacia de los controles o grupos de controles seleccionados, y especificar cmo se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir resultados comparables y reproducibles. Ver 4.2.3 c); e) Implementar programas de formacin y de toma de conciencia. (5.2.2); f) Gestionar operaciones del Seguimiento SGSI; 4.2.3. y revisin del SGSI. A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

A.5 Poltica de Seguridad

4.2.2. Implementacin y Operacin del SGSI.

Plan de tratamiento de riesgos Registro de control de seguimiento Procedimientos para dar respuesta oportuna a incidentes

A.6 Organizacional

Seguridad A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas

4.2.3 Seguimiento y revisin del SGSI La Organizacin debe:

A.14 Gestin de la continuidad del negocio

a) Ejecutar procedimientos de seguimiento y revisin y otros controles para: 1) detectar rpidamente errores en los resultados del procesamiento; 2) identificar con prontitud los incidentes e intentos de violacin de la seguridad, tanto los que tuvieron xito como los que fracasaron; 3) Posibilitar que la direccin determine si las actividades de seguridad delegadas a personas o implementadas mediante tecnologa de la informacin se estn ejecutando en la forma esperada; 4) ayudar a detectar eventos de seguridad, y de esta manera Actas de seguimiento del impedir incidentes de programa seguridad mediante el uso de indicadores, y 5) determinar si las acciones tomadas para solucionar un Actualizacin de procesos, si es problema de violacin a la del caso seguridad fueron eficaces. Actas de visita de auditoria b) Emprender revisiones regulares de la eficacia del SGSI (que A.12 Desarrollo y interna incluyen el mantenimiento de cumplimiento de la poltica y objetivos del SGSI, y la revisin de sistemas ( aspectos tcnico) controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, mediciones de la eficacia, sugerencias y retroalimentacin de todas las partes interesadas. c) Medir la eficacia de los controles para verificar que se han cumplido los 4.2.3. Seguimiento y revisin del requisitos de seguridad. SGSI.

A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Garantizar que la seguridad es parte integral de los sistemas de informacin. Evitar errores, prdida, modificaciones no autorizadas o uso inadecuado de informacin en las aplicaciones Proteger la confidencialidad, autenticidad e integridad de la informacin. Garantizar la seguridad de archivos del sistema. Mantener la seguridad del software y de la informacin del sistema de aplicaciones. Reducir los riesgos resultantes de la explotacin de vulnerabilidad tcnicas publicadas.

4.2.3. Seguimiento y revisin del SGSI.

d) Revisar la valoraciones de los riesgos a intervalos A.10 Gestin de planificados, y revisar el Comunicaciones y nivel de riesgo residual y riesgo aceptable identificado, teniendo Operaciones en cuenta los cambios en: 1) la organizacin, 2) la tecnologa, 3) los objetivos y proceso del negocio, a) las amenazas identificadas, b) la eficacia de los controles implementados, y c) eventos externos, tales como cambios en el entorno legal o reglamentario, en las obligaciones contractuales, y en el clima social

Informe de evaluacin de riesgos y seguimiento de los mismos Planes de seguridad actualizados

e) Realizar auditorias internas del SGSI a intervalos planificados (Ver 6). Nota: las auditorias internas, denominadas algunas veces Registro de evento que generen auditoria de primera parte, las impacto en la entidad realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos. f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso del SGSI (Ver 7.1) g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de seguimiento y revisin. h) Registrar acciones y eventos que podrn tener impacto en la eficacia o el desempeo del SGSI (ver 4.3.3).

A.14 Gestin de la continuidad del negocio (Aspecto Tcnico)

A.10 GESTION DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin. Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio de conformidad con los ANS por terceras partes. Minimizar el riesgo de fallas de los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de informacin. Asegurar la proteccin de informacin en las redes y proteccin de la infraestructura de soporte. Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura. Detectar actividades de procesamiento de informacin no autorizadas. A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente A.14 Gestin de la continuidad del negocio (Aspecto Tcnico) A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI 4.2.4 Mantener y mejorar el SGSI La organizacin debe, regularmente: a) Implementar las mejoras identificadas en el SGSI; b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de

4.2.4. Mantenimiento y Mejora del SGSI.

Circular o documento que muestre que se ha comunicado la poltica o cambiado

4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI 4.2.4 Mantener y mejorar el SGSI La organizacin debe, regularmente: a) Implementar las mejoras identificadas en el SGSI; b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organizacin; c) Comunicar las acciones y mejorar a todas las partes interesadas, con un nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder; d) Asegurar que las mejoras logren los objetivos previstos

A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente A.10 Gestin de Comunicaciones y Operaciones Tcnico) A.10 GESTION DE COMUNICACIONES Y OPERACIONES (Aspecto Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin. Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio de conformidad con los ANS por terceras partes. Minimizar el riesgo de fallas de los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de informacin. Asegurar la proteccin de informacin en las redes y proteccin de la infraestructura de soporte. Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura. Detectar actividades de procesamiento de informacin no autorizadas. A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

Actas de decisiones sobre la seguridad de informacin

4.3. Requisitos de Documentacin. 4.3 REQUISITOS DE DOCUMENTACIN

A.5 Poltica de Seguridad

4.3.1 Generalidades Registros de las decisiones de la La documentacin del SGSI debe incluir registros de las direccin. decisiones de la direccin, asegurar que las acciones sean trazables a las decisiones y polticas de la gerencia, y que los A.9 Seguridad Fsica y del A.9 SEGURIDAD FSICA Y DEL ENTORNO 4.3. Requisitos de Documentacin. Controles seleccionados y los resultados registrados son reproducibles. Es importante estar en Entorno Evitar el acceso fsico no autorizado, el dao e resultados del proceso capacidad interferencia a las instalaciones y la de demostrar la relacin entre los controles seleccionados y los informacin de la organizacin. Declaraciones documentadas resultados del proceso de valoracin y tratamiento de riesgos, y Evitar prdida, dao, robo o puesta en peligro de los de la poltica de seguridad y los seguidamente, con la poltica y objetivos del archivos e interrupcin de las objetivos de control. SGSI. La documentacin debe incluir: actividades de la organizacin. a) Declaraciones documentadas de la poltica de seguridad y los 4.3.1. Generalidades.

4.3.2. Control de Documentos.

Procedimiento documental

4.3.3. Control de Registros.

4.3.2 Control de documentos Los documentos exigidos por el SGSI se deben proteger y Registro de actualizacin de controlar. Se debe establecer manuales y procesos un procedimiento documentado para definir las acciones de gestin necesarias para: Poltica de seguridad de a) Aprobar los documentos en cuanto a su adecuacin antes de documentos y tiempos re su publicacin; retencin b) Revisar y actualizar los documentos segn sea necesario y reaprobarlos; Tablas de retencin documental c) Asegurar que los cambios y el estado de actualizacin de los documentos estn identificados; d) Asegurar las versiones mas recientes de los documentos pertinentes estn disponibles en los puntos de uso. e) Asegurar que los documentos permanezcan legibles y fcilmente identificables f) asegurar que los documentos estn disponibles para quienes los necesiten y que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia, almacenamiento y disposicin final; g) asegurar que los documentos de origen externo estn identificados; h) asegurar que la distribucin de documentos est controlada; i) impedir el uso no previsto de los documentos obsoletos; y j) Aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier propsito. 4.3.3 Control de Registros Se deben establecer y mantener registros para brindar la evidencia de la conformidad con los requisitos y la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se Registro de procesos debe documentar e implementar. Registros de incidentes Se deben llevar registros del desempeo del proceso, como se esboza en el numeral Actas de toma d decisiones o 4.2, y de todos los casos de incidentes de seguridad seguimientos por parte de significativos relacionados con el seguridad y alta direccin SGSI. 5. Responsabilidad de la direccin.

A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente

A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente

5.1. Compromiso de la Direccin. 5.1 COMPROMISO DE LA DIRECCIN La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: a) Mediante el establecimiento de una poltica del SGSI; b) asegurando que se establezcan los objetivos y planes del SGSI c) Estableciendo funciones y responsabilidades de seguridad de la informacin; d) Comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin y de la conformidad con la poltica del SGSI, sus responsabilidades bajo la ley, y la necesidad de la mejora continua.

A.5 Poltica de Seguridad

A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

Actas de seguimiento La declaracin de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.

A.15 Cumplimiento La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: e) Brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar el SGSI. f) Decidiendo los criterios de aceptacin del riesgos, y los niveles de riesgo aceptables; g) Asegurando que se realizan auditorias internas del SGSI; h) Efectuando las revisiones por la direccin, del SGSI. 5.2. Gestin de Recursos 5.2. Gestin de Recursos Historias Laborales al da Procedimientos de vinculacin de recurso humano Requerimiento de expedientes 5.2 GESTION DE RECURSOS 5.2.1 Provisin de recursos La organizacin debe determinar y suministrar los recursos necesarios para: a) establecer, implementar, operar , hacer seguimiento, revisar, mantener y mejorar un SGSI; b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; c) identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad contractuales; d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados; e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente a los resultados de estas revisiones; y f) en donde se requiera, mejorar la eficacia del SGSI. A.8 Seguridad Humano

A.15 CUMPLIMIENTO Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia.

Recurso A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.

5.2.1. Provisin de Recursos

Historias Laborales al da Procedimientos de vinculacin de recurso humano Requerimiento de expedientes

La organizacin debe determinar y suministrar los recursos necesarios para: a) establecer, implementar, operar , hacer seguimiento, revisar, mantener y mejorar un SGSI; b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; c) identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad contractuales; d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados; e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente a los resultados de estas revisiones; y f) en donde se requiera, mejorar la eficacia del SGSI. 5.2 GESTION DE RECURSOS 5.2.2 Formacin, toma de conciencia y competencia a) La determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el SGSI. b) El suministro de formacin o realizacin de otras acciones por ejemplo: la contratacin de personal competente) para satisfacer estas necesidades. c) La evaluacin de la eficacia de las acciones emprendidas, y d) El mantenimiento de registro de educacin, formacin, habilidades, experiencia y calificaciones.

A.8 Seguridad Humano

Recurso A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.

5.2.2. Formacin, toma de conciencia y competencia

Historias Laborales al da Procedimientos de vinculacin de recurso humano Requerimiento de expedientes

A.8 Seguridad Humano

Recurso A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.

Informe de auditoria interna Registro de seguimiento de la auditoria interna

6. Auditoras Internas del SGSI

La organizacin debe realizar auditorias internas al SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI: a) Cumplen los requisitos de esta norma internacional y de la legislacin o reglamentaciones pertinentes; b) Cumplen los requisitos identificados de seguridad de la informacin; c) Estn implementados y se mantienen eficazmente, y d) Tienen un desempeo acorde con lo esperado.

A.15 Cumplimiento (Aspecto A.15 CUMPLIMIENTO Organizacional) Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia. A.14 Gestin de la continuidad del negocio A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

7. Revisin del SGSI por la direccin

1- Plan de Seguridad del Gestin Sistema de Informacin en donde est claramente descritos todos los elementos del DEBE.

7.1. Generalidades

7.1 GENERALIDADES La Direccin debe revisar el SGSI de la organizacin a intervalos planificados (por lo menos una vez al ao), para asegurar su conveniencia, suficiencia y eficacia 2. Actas de comit en donde se continuas. tomaron las decisiones que Esta revisin debe incluir: dieron origen a plan. Y firmada La evaluacin de oportunidades para mejorar por los integrantes. y la necesidad de cambios en el SGSI, incluidos * la poltica de seguridad de la informacin. 3. La declaracin de * objetivos de la seguridad de la informacin. aplicabilidad, firmada por los Los resultados de la revisin se deben documentar claramente y directivos o directivos o se deben llevar responsables del proceso. registros (Ver 4.3.3). 7.2 REVISIN DE ENTRADAS Las entradas para la revisin por la direccin debe incluir: a) resultados de las auditorias y revisiones del SGSI; b) retroalimentacin de las partes interesadas; c) tcnicas, productos o procedimientos que se pueden usar en la organizacin para mejorar el desempeo y eficacia del SGSI; d) estado de las acciones preventivas y correctivas; e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos; f) resultados de las mediciones de la eficacia; g) acciones de seguimiento resultantes de revisiones anteriores por la direccin; h) cualquier cambio que pueda afectar el SGSI; y i) Retroalimentacin para mejorar.

A.5 Poltica de Seguridad

A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

A.6 Organizacional

Informes de auditoria seguimientos de no conformidades y/o recomendaciones Registro de resultados de mediciones Actas de seguimiento del sistema de alta direccin y grupos de apoyo. 7.2. Informacin para la revisin

Seguridad A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas

A.6 Organizacional 7.3 REVISIN DE LAS SALIDAS Las resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con: a) Mejoramiento de la eficacia del SGSI; b) la actualizacin de la evaluacin del tratamiento de riesgo y plan de valoracin y tratamiento de riesgos; c) la modificacin de los procedimientos y controles que afecten la seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a: 1) los requisitos del negocio, 2) los requisitos de seguridad, 3) los procesos del negocio que afectan los requisitos del negocio existentes, 4) los requisitos reglamentarios o legales, 5) las obligaciones contractuales; y 6) los niveles de riesgo y/o niveles de aceptacin de riesgos. d) los recursos necesarios, e) La mejora en que se mide la manera en que se mide la eficacia de los controles. 8. Mejora del SGSI

Seguridad A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas

Informes de auditoria seguimientos de no conformidades y/o recomendaciones Registro de resultados de mediciones Actas de seguimiento del sistema de alta direccin y grupos de apoyo. 7.3. Resultado de la Revisin

8.1. Mejora Continua

8.1 MEJORA CONTINUA La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso: a) De la poltica de seguridad de la informacin, b) Los objetivos de la seguridad de la informacin, c) Los resultados de la auditoria, d) El anlisis de los eventos a los que se les ha hecho seguimiento, e) Las acciones correctivas y preventivas y f) La revisin por la Direccin.

A.14 Gestin de la continuidad del negocio

A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

8.2. Accin Correctiva

A.14 Gestin de la continuidad del 8.2 ACCIN CORRECTIVA negocio La organizacin debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El procedimiento documentado para la accin correctiva debe definir requisitos para: a) Identificar las no conformidades; b) determinar las causas de las no conformidades; c) evaluar la necesidad de acciones que aseguren que las no conformidades no vuelvan a ocurrir; d) determinar e implementar las acciones correctivas necesarias; e) registrar los resultados de la acciones tomadas; (Ver 4.3.3); y f) revisar la accin correctiva tomada. A.14 Gestin de la continuidad del 8.3 ACCIN PREVENTIVA negocio La organizacin debe determinar acciones para eliminar la causa de potenciales no conformidades con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la accin preventiva debe definir requisitos para: a) Identificar no conformidades potenciales y sus causas; b) evaluar la necesidad de accin para impedir que las no conformidades ocurran; c) Determinar e implementar la accin preventivas necesarias; d) registrar los resultados de la accin tomada (Ver 4.3.3); y e) revisar la accin preventivas tomadas. La organizacin debe identificar los cambios en los riesgos e identificar requisitos en cuanto acciones preventivas, concentrando la atencin sobre los riesgos que han cambiado significativamente. La prioridad de las acciones preventivas se debe determinar con base en los resultados de la valoracin de los riesgos. Nota: Las acciones preventivas para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.

A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.

8.3. Accin Preventiva

Norma ISO27001:2013 Este ao 2013 en octubre se realizar el lanzamiento de la norma ISO27001:2013 la cual tiene varios cambios frente a la norma ISO27001:2005, entre ellos resaltamos los siguientes:

pretende que se describa la metodologa ni los criterios. mas al dueo del riesgo.

anterior versin no estaba tan claramente identificada.

son menos controles, evitando redundancia, paso de 133 a 113 Se realiz una reubicacin de controles que se ver en el cuadro del archivo anexo: accesos, ahora es parte de la seccin 6.2 Organizacin de la seguridad de la informacin. de comunicaciones y operaciones, ahora es parte de la gestin de activos 8.3. acceso a la informacin, se colocaron en un solo control en el Sistema de control de aplicaciones y acceso (9.4). informacin de la adquisicin, desarrollo y mantenimiento, ahora es una categora aparte en el numeral 12.5 en la seccin de Operaciones de seguridad.

Cumplimiento pasaron a la seccin 12.7 de Seguridad de operaciones. han trasladado a la seccin 13 de Seguridad en las comunicaciones. seccin 13 Seguridad en las comunicaciones. dominio 14.1 en Requisitos de seguridad de sistemas de informacin. sola.

sistemas de informacin ingeniera de sistemas desarrollo seguridad esto es parte de la gestin de incidentes lograr redundancia Controles que se fueron

informacin. informacin.