Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo de Investigacin
ISO/IEC 27001: 2013
Profesor
Allan Acevedo R
Tabla de contenido
CAPTULO I: INTRODUCCIN................................................................................ 4
1.1 Objetivo de la investigacin............................................................................. 5
1.1.1 Objetivo general....................................................................................... 5
1.1.2 Objetivos especficos................................................................................ 6
1.2 Alcances y limitaciones................................................................................... 6
1.2.1 Alcances................................................................................................. 6
1.2.2 Limitaciones............................................................................................ 6
CAPTULO II: MARCO TERICO............................................................................. 6
2.1 Norma ISO-27001.......................................................................................... 6
2.1.1 Historia................................................................................................... 6
2.2
2.2.1
Alcance.............................................................................................. 9
2.2.2
Requisitos Contextuales.....................................................................10
2.2.2.1
2.2.2.2
2.2.2.3
informacin................................................................................................... 11
2.2.3
Liderazgo......................................................................................... 11
2.2.3.1
Liderazgo y compromiso.................................................................11
2.2.3.2
2.2.3.3
SGSI
12
2.2.4
Planificacin..................................................................................... 13
2.2.4.1
2.2.4.2
2.2.4.3
2.2.4.4
alcanzarlos................................................................................................... 15
2.2.5
Soporte............................................................................................ 16
2
2.2.5.1
Recursos...................................................................................... 16
2.2.5.2
Competencia................................................................................. 16
2.2.5.3
Conciencia.................................................................................... 16
2.2.5.4
Comunicacin................................................................................ 17
2.2.5.5
Informacin Documentada...............................................................17
2.2.5.5.1
Creacin y actualizacin..................................................................18
2.2.5.5.2
2.2.6
Operacin........................................................................................ 19
2.2.6.1
2.2.6.2
2.2.6.3
2.2.7
2.2.7.1
2.2.7.2
Auditora interna............................................................................. 20
2.2.7.3
Revisin de la gestin.....................................................................21
2.2.8
Mejora............................................................................................. 22
2.2.8.1
2.2.8.2
Mejora Continua............................................................................. 22
2.3
2.4
2.5
2.6
Tiempo de transicin................................................................................ 24
Recomendaciones................................................................................... 25
3.3 Bibliografa.................................................................................................. 26
Anexos............................................................................................................ 27
CAPTULO I: INTRODUCCIN
su
1.2.2 Limitaciones
de adquisicin elevado.
No todas las compaas publican la informacin de certificaciones.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para
la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que estableci los requisitos de un sistema de
seguridad de la informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se
adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se
public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799.
Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo
el contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI
public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de
informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro
de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e
implementacin del ISO/IEC 27001, que es la norma principal y nica certificable dentro
de la serie.
nicamente considerar la reciente publicacin de la revisin de las normas
ISO/IEC 27001:2013, ISO/IEC 27002:2013 ambas aprobadas en la misma fecha: 25 de
Septiembre de 2013
abordar un
Alcance
Esta norma internacional especifica los requisitos para establecer, implementar,
.2.2
Requisitos Contextuales
.2.2.1
.2.2.2
.2.2.3
informacin
.2.3
Liderazgo
.2.3.1
Liderazgo y compromiso
objetivo previsto.
La direccin y las personas deben contribuir a la eficacia del sistema de gestin de
seguridad de la informacin.
g) Promover la mejora continua.
11
.2.3.2
12
.2.4
Planificacin
.2.4.1 Acciones para abordar los riesgos y oportunidades
Al planificar el sistema de gestin de seguridad de la informacin, la organizacin
debe determinar los riesgos y oportunidades que deben dirigirse a:
a) Asegurar que el sistema de gestin de seguridad de la informacin puede lograr su
objetivo previsto.
b) Prevenir o reducir los efectos no deseados.
c) Lograr la mejora continua.
La organizacin debe planificar:
d) Las acciones para hacer frente a estos riesgos y oportunidades.
e) La forma de:
a. Integrar y poner en prctica las acciones en los procesos del sistema de
f)
13
14
.2.5
Soporte
.2.5.1 Recursos
La organizacin debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementacin, mantenimiento y mejora continua del sistema de gestin
de seguridad de la informacin.
.2.5.2 Competencia
La organizacin debe:
15
.2.5.3 Conciencia
Las personas trabajando bajo el control de la organizacin deben tener en cuenta:
a) La poltica de la seguridad de la informacin.
b) Su contribucin a la eficacia del sistema de gestin de seguridad de la
informacin, incluyendo los beneficios de un mejor desempeo de la
seguridad de la informacin.
c) Las consecuencias de que no cumplan con los requisitos del sistema de
gestin de seguridad de la informacin.
.2.5.4
Comunicacin
Que comunicar.
Cuando comunicarlo.
Con quien comunicarlo.
Quien deber comunicarlo.
Los procesos por los que la comunicacin ser efectiva.
16
.2.5.5
Informacin Documentada
.2.5.5.1
Creacin y actualizacin
.2.5.5.2
c)
d)
e)
f)
.2.6
Operacin
.2.6.1 Planificacin y control operativo
La organizacin debe planificar, ejecutar y controlar los procesos necesarios para
cumplir los requisitos de seguridad de la informacin, y para poner en prctica las
acciones determinadas. La organizacin debe implementar tambin planes para lograr los
objetivos de seguridad de la informacin.
La organizacin debe mantener la informacin documentada en la medida
necesaria para tener confianza en que los procesos se han llevado a cabo segn lo
previsto.
La organizacin debe controlar los cambios planificados y examinar las
consecuencias de los cambios no deseados, la adopcin de medidas para mitigar los
posibles efectos adversos, segn sea necesario.
La organizacin debe asegurarse de que los procesos externalizados se
determinan y controlan.
18
.2.7
pertinente.
g) Conservar la informacin documentada como prueba del programa (s) de auditora
y los resultados de la auditora.
riesgos.
Las oportunidades de mejora continua.
20
.2.8
Mejora
.2.8.1 No conformidad y acciones correctivas
Cuando se produce una no conformidad, la organizacin deber:
a) Reaccionar a la no conformidad, y segn sea el caso:
a. Tomar medidas para controlarla y corregirla.
b. Hacer frente a las consecuencias.
b) Evaluar la necesidad de acciones para eliminar las causas de no conformidad, con
el fin de que no vuelva a ocurrir o se produzcan en otros lugares, a travs de:
a. La revisin de la no conformidad.
b. Determinar las causas de la no conformidad.
c. Determinar si existen incumplimientos similares o podran producirse.
c) Poner en prctica las medidas oportunas.
d) Revisar la eficacia de las medidas correctivas adoptadas.
e) Realizar cambios en el sistema de gestin de seguridad de la informacin, si es
necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
La organizacin conservar informacin documentada como evidencia de:
f)
posteriormente.
g) Los resultados de cualquier accin correctiva.
21
.4
reformulados
Elimina la seccin de Enfoque a procesos que describa el modelo PDCA
lSO 27002 ya no es una normativa de referencia
Las definiciones fueron removidas y reubicadas en la norma ISO 27000
Cambios en la terminologa: por ejemplo, Poltica de SI es usada en lugar de
y oportunidades
Los requisitos de evaluacin de riesgos son ahora ms generales y se alinean con
.5
22
.6
Tiempo de transicin
.6.1
.6.2
23
3.1 Conclusiones
Esta nueva versin refleja una mayor flexibilidad para su implementacin dentro de
las empresas sin importar su tamao, as como la necesidad de adaptarse a la evolucin
de las tecnologas.
La ISO 27001:2013, proporciona mayor nfasis en partes interesadas, liderazgo,
sensibilizacin, comunicacin, capacidades, propietario del riesgo, activos, gestin de
riesgos y oportunidades, lo que la hace mas prescriptiva.
Las empresas que han realizado el esfuerzo de implementar la ISO 27001:2005,
deben tomar estrategias para alinear su implementacin a la ISO 27001:2013.
El principal elemento del proceso de mejora son las no-conformidades
identificadas, las cuales tienen que contabilizarse y compararse con las acciones
correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.
3.2 Recomendaciones
Esta norma se debe implementar para aumentar los niveles de seguridad, el ISO
27001 es utilizada por grandes empresas a nivel mundial a los cuales les funciona
3.3 Bibliografa
24
Anexos
El Anexo A Referencia de objetivos y controles contina formando parte de este
estndar, pero los anexos B y C se han eliminado.
25
Control
Descripcin
Cambia por
Incluye los
controles de la ISO
26
27001:2005
A.6.1.1
Roles de la seguridad
de la informacin y sus
responsabilidades
A.6.1.3 y A.8.1.1
A.6.1.2
Coordinacin de seguridad
de la informacin
Contacto con
autoridades
A.6.1.6
A.6.1.4
Procesos de autorizacin
para instalaciones para
procesamiento de
informacin
Seguridad de la
informacin en la
gestin de proyectos
A.6.2.1
Identificacin de riesgos
relacionados con agentes
externos
Poltica de dispositivo
mvil
A.11.7.1
A.6.2.2
Direccionamiento de
seguridad al tratar con
clientes
Trabajo a distancia
A.11.7.2
A.10.2.1
A.10.7.4
A.10.8.5
Sistema de informacin de
negocios
A.10.10.2
Seguimiento al uso de
sistema
A.10.10.5
Falla en el registro
A.11.4.2
Autenticacin de usuarios
para conexiones externas
A.11.4.3
Identificacin de equipos
A.11.4.4
Puerto remoto de
diagnstico y configuracin
de proteccin
A.11.4.6
A.11.6.2
A.12.2.1
Validacin de datos de
entrada
Controles contra
malware
A.10.4.1
27
A.12.2.2
Control de procesamiento
interno
A.12.2.3
Integridad de mensaje
A.12.2.4
Validacin de datos de
salida
A.12.5.4
Filtracin de la informacin
A.15.1.5
A.15.3.2
Proteccin de las
herramientas de auditora
de sistemas de informacin
Control
Descripcin
A.6.1.4
A.12.6.2
A.14.2.1
A.14.2.5
A.14.2.6
A.14.2.8
A.15.1.1
A.15.1.3
A.16.1.4
A.16.1.5
Absorbe los
controles de la ISO
27001:2005
A.6.2.3
28
A.17.1.2
A.17.2.1
29