27/2/2014 ISO-27001: Qu es y para qu sirve?

(parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 1/9
ISO-27001: Qu es y para qu
sirve? (parte 1)
by Hctor Acevedo Jurez. CISSP, CISA, CGEIT,
ITIL y MCSE 08/11/2011 0 Comments
Este es un primer artculo de una serie que pretende explicar, desde
un punto de vista pragmtico, qu es el ISO-27001 y para qu puede
ser usado. En esta entrega se cubren algunos temas preliminares y se
revisa un poco de la historia del estndar.
ISO-27001 es otro de los temas recurrentes en el ambiente de la
seguridad informtica y, al igual que con otros conceptos, hay
muchas confusiones e interpretaciones errneas o incompletas de lo
que es y, sobre todo, para qu sirve. De manera anloga a la serie de
artculos que escrib sobre ITIL, en esta nueva serie tratar de dar
respuesta a las preguntas anteriores, de tal manera que los lectores
hagan un mejor uso de ISO-27001 en sus organizaciones, sacndole el
mejor provecho y sin expectativas falsas sobre lo que se puede hacer
con l.
Empecemos entonces por el principio, con la definicin formal: El
estndar para la seguridad de la informacin ISO/IEC-27001
(Information technology
Security techniques
Information security
Search
PUBLICI
DAD
Revista
virtual
ETIQUET
AS
ACERCA DE

SUSCRIPCIONES

DESCARGAS
Inicio 0-1 0-2 0-3 0-4 0-5 1-1 1-2 2-1 2-2
2-3 2-4 3-1 3-2 3-3 3-4 4-1 4-2 4-3 5-1
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 2/9
Information security
management systems
Requirements) fue
aprobado y publicado en
2005 por la International
Organization for
Standardization y por la
International
Electrotechnical
Commission,
especificando los
requisitos necesarios para
establecer, implantar,
mantener y mejorar un
sistema de gestin de la
seguridad de la
informacin (SGSI).
.
Pero Qu es un SGSI?
A diferencia de estndares anteriores que, desde un punto de vista
simplificado, fueron conceptualizados como una simple lista de
requisitos a cumplir, ISO-27001 se cre teniendo en cuenta un
proceso de seguridad de la informacin basado en el famoso ciclo de
Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de
Plan, Do, Check y Act), creando con ello lo que se llam el Sistema de
Gestin de la Seguridad de la Informacin (conocido en ingls como el
ISMS, Information Security Management System).
Antes de revisar qu es un sistema de gestin de seguridad de la
informacin, creo importante definir qu se entiende por seguridad
de la informacin. Aunque para muchos pareciera un concepto
demasiado bsico, lo cierto es que no todo mundo lo tiene claro y por
lo mismo prefiero ser reiterativo antes que dejar fuera a aquellos que
se inician en esto de la seguridad informtica. Los clsicos definen la
seguridad de la informacin como el logro, gestin y mantenimiento
de tres caractersticas elementales:
1. Confidencialidad. La informacin slo debe ser vista por
aquellos que tienen permiso para ello, no debe poder ser
AS
administrac
in de
procesos
adminis
tracin
de
riesgos
anlisis
forense
arquitectu
ra de
seguridad
ataque cadena
de custodia
certificaciones
cibercrimen
CISO cloud
computing
Cobit
concientiz
acin control
de acceso
control
es de
segurid
ad cdigo
malicioso
cmputo
en la nube
desarrollo
seguro
descargas
dispositivos
mviles
editorial
estrategi
a de
segurida
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 3/9
aquellos que tienen permiso para ello, no debe poder ser
accedida por alguien sin el permiso correspondiente.
2. Integridad. La informacin podr ser modificada solo por
aquellos con derecho a cambiarla.
3. Disponibilidad. La informacin deber estar disponible en el
momento en que los usuarios autorizados requieren acceder a
ella.
Estas tres caractersticas forman la famosa CIA, por las siglas en
ingls de confidencialidad, integridad y disponibilidad: Confidentiality,
Integrity y Availability. Aunque hay quienes piensan que la seguridad
de la informacin debe incluir una cuarta caracterstica llamada no
repudiacin, que asegura que un cambio a la informacin no sea
negado (o repudiado) por quien realiz dicho cambio, en este artculo
me apegar a la definicin clsica.
As pues, de acuerdo al espritu de la norma, la idea es preservar la
CIA de la informacin estableciendo un sistema, formado por un
conjunto de procesos, gente y tecnologa, que analice los riesgos de la
informacin y establezca medidas para eliminarlos o minimizarlos de
manera recurrente mediante un ciclo de mejora continua,
manteniendo siempre el control de los riesgos para saber en todo
momento la postura de seguridad de la organizacin. Es
precisamente este sistema el que recibe el nombre de Sistema de
Gestin de Seguridad de la Informacin, que es el punto central de la
norma pues bsicamente nos exige que cada organizacin que
cumpla con ISO-27001 lleve a cabo cuatro grandes actividades:
1. Establecer el sistema.
2. Implementar y operar el sistema.
3. Mantener y mejorar el sistema.
4. Monitorear y revisar el sistema.
segurida
d
estndares
evidencia
firewall fuga de
informacin
hackeo
tico
hacker
incidentes
de
seguridad
inteligencia
emocional IOCE
ISACA ISO-
27001 ITIL
Magazcit
um
mejores
prctica
s Mtricas
normatividad
PDF pruebas
de
penetraci
n PT servicios
administrados
sicologa social
tips virus
vulnerab
ilidades
COMENT
ARIOS
RECIENT
ES
Priscila
Balcazar. CISA,
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 4/9
.
Como puede verse, y a diferencia de lo que muchos piensan al
principio, el espritu de la norma no habla de una lista de medidas,
llamadas controles, para preservar la CIA. De lo que habla es de cmo
crear y operar el sistema. Es por eso que antes de terminar esta
entrega, me detendr un momento para reiterar que una de las
caractersticas fundamentales de ISO-27001, al igual que de otras
normas y mejores prcticas, es la exigencia de crear el SGSI y dejar
bajo su tutela el anlisis, definicin y aplicacin de las medidas para
preservar la seguridad de la informacin.
En otras palabras, la idea es crear y mantener el sistema que, por su
propio diseo, nos llevar a seleccionar y mejorar constantemente
los controles a implantar. Como me deca un auditor hace tiempo, en
realidad certificarse en ISO-27001 es mucho ms fcil que
recertificarse. En la primera auditora se puede permitir que no haya
muchos controles implantados y que incluso la operacin de los que
ya estn listos no sea muy buena. Como auditor lo que busco es
evidencia de que el SGSI est correctamente implantado pues, si eso
es cierto, de manera natural se irn desarrollando ms y mejores
controles conforme se avance en el ciclo de mejora continua, y es por
ello que la revisin de recertificacin ser ms exigente con los
controles, pues si no veo avance interpretar que el sistema de
gestin no est trabajando bien.
Entender lo anterior es, creo yo, una de las cosas fundamentales para
cualquiera que quiera saber qu es y para qu sirve ISO-27001
Continuar
hacevedoj@scitum.com.mx

-
Recuadro 1. Un poco de historia
El origen de ISO-27001 se puede rastrear hasta una publicacin del
Departamento de Comercio e Industria (DTI, Department of Trade
and Industry) en el Reino Unido, documento que dio origen en 1995 a
Balcazar. CISA,
CISSP y CGEIT
en Todo lo que
necesita saber
sobre PCI
(Payment Card
Industry
Security
Standards) y no
se atreva a
preguntar
Eugene en Todo
lo que necesita
saber sobre PCI
(Payment Card
Industry
Security
Standards) y no
se atreva a
preguntar
sara en Los
inicios del
cmputo en la
nube
brian en Los
Sherlock
Holmes
modernos
(parte 5)
Esteban San
Romn en El
imperio
contraataca: los
criminales
cibernticos
velan sus armas
Israel
Inchaurregui en
El imperio
contraataca: los
criminales
cibernticos
velan sus armas
Dulce Gonzlez
Trejo. ISO-27001
e ITIL en ISO-
27001:2013
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 5/9
and Industry) en el Reino Unido, documento que dio origen en 1995 a
la norma BS7799-1, que estableca un cdigo de mejores prcticas
para la administracin de la seguridad de la informacin. Como su
nombre lo indica, slo proporcionaba una serie de recomendaciones
pero no defina certificacin alguna ni los mecanismos para lograrla.
Posteriormente la norma fue evolucionando de la siguiente manera:
En 1998 se liber la segunda parte, BS7799-2, que estableci la
especificacin para implantar un sistema de gestin de
seguridad de la informacin (SGSI).
En el ao 2000, la Organizacin Internacional para la
Estandarizacin (ISO, Internacional Organization for
Standarization) tom la norma britnica BS7799-1 y la convirti
en el estndar ISO17799/BS7799-1.
Por su parte en el Reino Unido, la BSI (British Standards
Institution) public la norma BS7799-2:2002, que prepara a las
organizaciones para que reciban la acreditacin de seguridad a
travs de una auditora realizada por una entidad certificadora.
Fue bajo esta norma que las empresas pioneras se certificaron,
no slo en el Reino Unido sino incluso en otros pases.
En 2005 la ISO public, con base en la norma britnica BS7799-
2:2002, el estndar internacional ISO/IEC 27001:2005, que es el
que nos ocupa en el presente artculo. Ese mismo ao hubo una
ligera actualizacin de la ISO-17799.
Finalmente, en 2007, la ISO-17799 se renombr para convertirse
en ISO-27002:2005.
Como puede verse, la historia arriba contada es en realidad la historia
mezclada de lo que termin convirtindose en dos cosas distintas
que dieron origen a la familia ISO-27000, ISO-27001 e ISO-27002. Esto
queda ms claro si se pone de manera grfica:
a) Cronologa mezclada:

b) Cronologa de ISO-27002:
27001:2013
Qu hay de
nuevo?
Felipe Tzab en
ISO-27001:2013
Qu hay de
nuevo?
Jose en ITIL:
Qu es y para
qu sirve?
(parte 4)
Hctor Acevedo
Jurez. CISSP,
CISA, CGEIT, ITIL
y MCSE en
Cibercrimen en
Latinoamrica y
El Caribe: una
visin desde la
sociedad civil
PGINAS
Aviso de
privacidad
Cartas al editor
Contacto
general
Publicidad
Webmaster
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 6/9
c) Cronologa de ISO-27001:
En entregas posteriores revisaremos con ms detalle el contenido de
la familia ISO-27000, que adems del ISO-27001 incluye otros
documentos y normas relacionados con la seguridad de la
informacin.

-
Recuadro 2. Ciclo PDCA
El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de
los temas que con ms frecuencia aparece en el mundo moderno de
TI, tanto as que se ha ido incorporando a la definicin de estndares
y mejores prcticas como ISO-27001 o ITIL.
Se trata de una estrategia de mejora continua difundida por Edwards
Deming en la dcada de 1950, con base en las definiciones hechas por
Walter A. Shewart en los aos 30, y que describe cuatro pasos bsicos
para lograr la mejora: Plan, Do, Check y Act. La idea subyacente es
que, ms que lograr cambios radicales en el corto plazo, lo cual
resulta costoso y poco efectivo casi siempre, debiera aplicarse un
ciclo infinito de mejora continua en la que se realizan una y otra vez
los cuatro pasos. Si esto se hace as, dice la teora, se conseguir una
maduracin gradual, eficiente y bien sustentada de los mecanismos
el sistema para establecer las metas y definir las actividades que
llevarn a las mismas.
Plan (planear o planificar).- En este primer paso se identifica
aquello que se quiere mejorar, se recopilan los datos iniciales, se
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 7/9
Hctor Acevedo Jurez. CISSP, CISA, CGEIT,
ITIL y MCSE
Trabaja en Scitum desde el ao 2004. Actualmente es
Subdirector Comercial de la unidad de negocios Latam y
previamente se desempe como Gerente de Soluciones
establecen los objetivos esperados y se planifican las actividades
a realizar.
Do (hacer o ejecutar).- Lo siguiente es ejecutar las actividades
del plan hecho en el primer paso y documentar los resultados.
Check (verificar).- Se comparan los resultados obtenidos versus
los resultados esperados, que se definieron en el Plan.
Act (actuar).- El ciclo termina haciendo los ajustes necesarios
para que se logren, en la medida de lo posible, los objetivos
planeados; se revisan las lecciones aprendidas y se reinicia el
ciclo completo.
.
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 8/9
previamente se desempe como Gerente de Soluciones
de Servicios para Latinoamrica, Gerente de Preventa de
Servicios Administrados, subgerente SCISO y consultor de
procesos. Anteriormente trabaj como Gerente de
Tecnologas de Informacin para NextiraOne Mxico, S.A.
de C.V., Gerente de Informtica en Intersys y cuenta con
experiencia en la operacin y planeacin de
infraestructura de TI y en valoracin, diseo e
implantacin de procesos de TI. Ha impartido cursos y
conferencias sobre Lotus Notes, sistemas operativos
Microsoft, CobiT, auditora de sistemas, ITIL, temas varios
de redes y telecomunicaciones. Es fundador y editor en
jefe de la revista Magazcitum
(www.magazcitum.com.mx) View all posts by Hctor
Acevedo Jurez. CISSP, CISA, CGEIT, ITIL y MCSE
Tags: administracin de procesos administracin de riesgos
certificaciones concientizacin controles de seguridad estndares
estrategia de seguridad evidencia ISO-27001 Mtricas
normatividad
T las traes (transfiriendo el
riesgo)
Skimming, un fenmeno del que
todos debemos tener cuidado
Deja un comentario
Tu direccin de correo electrnico no ser publicada. Los campos
necesarios estn marcados *
Name *
Email *
Website
Cdigo CAPTCHA *
Comment *
27/2/2014 ISO-27001: Qu es y para qu sirve? (parte 1) | Magazcitum
http://www.magazcitum.com.mx/?p=1574 9/9
Comment *
Publicar comentario
Copyright 2013 Magazcitum. All Rights Reserved. Magazine Premium created by c.bavota.