UNIVERSIDAD FIDLITAS

Licenciatura en Sistemas de Computacin

Consultora Aplicada en Tecnologa de la
Informacin

Trabajo de Investigacin
ISO/IEC 27001: 2013

Profesor
Allan Acevedo R

San Jos, Costa Rica

Mayo, 2014

Tabla de contenido

CAPTULO I: INTRODUCCIN................................................................................ 4
1.1 Objetivo de la investigacin............................................................................. 5
1.1.1 Objetivo general....................................................................................... 5
1.1.2 Objetivos especficos................................................................................ 6
1.2 Alcances y limitaciones................................................................................... 6
1.2.1 Alcances................................................................................................. 6
1.2.2 Limitaciones............................................................................................ 6
CAPTULO II: MARCO TERICO............................................................................. 6
2.1 Norma ISO-27001.......................................................................................... 6
2.1.1 Historia................................................................................................... 6
2.2

Norma ISO/IEC 27001:2013........................................................................9

2.2.1

Alcance.............................................................................................. 9

2.2.2

Requisitos Contextuales.....................................................................10

2.2.2.1

Entendiendo la organizacin y su contexto.........................................10

2.2.2.2

Definir las necesidades y expectativas de las partes interesadas..........11

2.2.2.3

Determinar el alcance del sistema de gestin de seguridad de la

informacin................................................................................................... 11
2.2.3

Liderazgo......................................................................................... 11

2.2.3.1

Liderazgo y compromiso.................................................................11

2.2.3.2

Poltica de seguridad de informacin adecuada..................................12

2.2.3.3

Funciones de la organizacin, responsabilidades y autoridades para el

SGSI

12

2.2.4

Planificacin..................................................................................... 13

2.2.4.1

Acciones para abordar los riesgos y oportunidades.............................13

2.2.4.2

Evaluacin de riesgos de seguridad de informacin............................13

2.2.4.3

Tratamiento de los riesgos de seguridad de informacin......................14

2.2.4.4

Los objetivos de seguridad de la informacin y la planificacin para

alcanzarlos................................................................................................... 15
2.2.5

Soporte............................................................................................ 16
2

2.2.5.1

Recursos...................................................................................... 16

2.2.5.2

Competencia................................................................................. 16

2.2.5.3

Conciencia.................................................................................... 16

2.2.5.4

Comunicacin................................................................................ 17

2.2.5.5

Informacin Documentada...............................................................17

2.2.5.5.1

Creacin y actualizacin..................................................................18

2.2.5.5.2

Control de la informacin documentada.............................................18

2.2.6

Operacin........................................................................................ 19

2.2.6.1

Planificacin y control operativo.......................................................19

2.2.6.2

Evaluacin de riesgos de seguridad de informacin............................19

2.2.6.3

Tratamiento de los riesgos de seguridad de informacin......................19

2.2.7

Evaluacin del desempeo.................................................................20

2.2.7.1

Seguimiento, medicin, anlisis y evaluacin.....................................20

2.2.7.2

Auditora interna............................................................................. 20

2.2.7.3

Revisin de la gestin.....................................................................21

2.2.8

Mejora............................................................................................. 22

2.2.8.1

No conformidad y acciones correctivas..............................................22

2.2.8.2

Mejora Continua............................................................................. 22

2.3

Beneficios de la Norma ISO 27001:2013....................................................23

2.4

Principales diferencias ISO 27001version 2005 & versin 2013.....................23

2.5

Lineamientos para la transicin..................................................................24

2.6

Tiempo de transicin................................................................................ 24

CAPTULO III: CONCLUSIONES Y RECOMENDACIONES.......................................25

3.1 Conclusiones.............................................................................................. 25
3.2

Recomendaciones................................................................................... 25

3.3 Bibliografa.................................................................................................. 26
Anexos............................................................................................................ 27

CAPTULO I: INTRODUCCIN

Debido a que el uso de Internet se encuentra en aumento, cada vez ms

compaas permiten a sus socios y proveedores acceder a sus sistemas de informacin.
Por lo tanto, es fundamental saber qu recursos de la compaa necesitan proteccin
para as controlar el acceso al sistema y los derechos de los usuarios del sistema de
4

informacin. Los mismos procedimientos se aplican cuando se permite el acceso a la

compaa a travs de Internet.
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el
cual permite a los empleados conectarse a los sistemas de informacin casi desde
cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de
informacin fuera de la infraestructura segura de la compaa.
Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y
tambin el material y los recursos de software que permiten a una compaa almacenar y
hacer circular estos datos. Los sistemas de informacin son fundamentales para las
compaas y deben ser protegidos.
Frecuentemente, la seguridad de los sistemas de informacin es objeto de metforas. A
menudo, se la compara con una cadena, afirmndose que el nivel de seguridad de un
sistema es efectivo nicamente si el nivel de seguridad del eslabn ms dbil tambin lo
es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan
las ventanas completamente abiertas.
Por lo tanto es necesario crear herramientas que nos permitan salvaguardar uno
de los activos ms importantes de las empresas de manera que podamos garantizar el
uso adecuado de la informacin, es por eso que hacemos uso de estndares o normas
para certificar que la informacin recorre procesos que mantienen la informacin
disponible, segura, integra y confidencial.

1.1 Objetivo de la investigacin

1.1.1 Objetivo general
Investigar la norma ISO27001, consultando diferentes fuentes bibliogrficas, para
conocer la estructura, historia y su funcin dentro de la familia de estndares ISO27000.

1.1.2 Objetivos especficos

Identificar las fases de la norma, estudiando el contenido, para conocer

propsito dentro de las Tecnologas de la Informacin y Comunicaciones.

Determinar las pautas de certificacin, verificando requisitos de las empresas

su

encargadas, para conocer el marco de requerimientos necesarios que debe

cumplir una organizacin.

Conocer los beneficios adquiridos de las empresas certificadas en ISO2701,
identificando comentarios y la reputacin de estas compaas, para reflejar las

ventajas implcitas de una certificacin de este calibre.

Describir el proceso de implementacin de la norma ISO27001, mediante los
diagramas que posee la norma, para ampliar el nivel de conocimiento sobre la
estructura y conocer el nivel de complejidad que conlleva este proceso.

1.2 Alcances y limitaciones

1.2.1 Alcances

El alcance de este proyecto de investigacin es la de identificar y conocer puntos

generales de la norma ISO27001 tales como su estructura, pasos para su
implementacin, lineamientos de tiempo de transicin y los beneficios que podra
obtener una compaa certificada.

1.2.2 Limitaciones

La definicin completa del estndar no es pblica y por el contrario tiene un costo

de adquisicin elevado.
No todas las compaas publican la informacin de certificaciones.

CAPTULO II: MARCO TERICO

2.1 Norma ISO-27001
2.1.1 Historia
La norma BS 7799 de BSI (Standards, Training, Testing, Assessment &
Certification) apareci por primera vez en 1995, con objeto de proporcionar a cualquier
empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad
de su informacin.

La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para
la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que estableci los requisitos de un sistema de
seguridad de la informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se
adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se
public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799.
Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo
el contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI
public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de
informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro
de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e
implementacin del ISO/IEC 27001, que es la norma principal y nica certificable dentro
de la serie.
nicamente considerar la reciente publicacin de la revisin de las normas
ISO/IEC 27001:2013, ISO/IEC 27002:2013 ambas aprobadas en la misma fecha: 25 de
Septiembre de 2013

Figura 1: Historia de la norma ISO27001 hasta la fecha.

La familia de estandares de los sistemas de gestin de seguridad de la informacin

(SGSI) consiste en estandares interrelacionados, ya sean publicados o bajo desarrollo, y
contiene un nmero significativo de componentes estructurales. Estos componentes estan
enfocados sobre estandares normativos que describen los requerimientos para un SGSI
(ISO/IEC 27001) y requisitos de los organismos de certificacin (ISO/IEC 27006) para
aquellos que desean certificarse dentro de la norma (ISO/IEC 27001). Otros estandares
proveen una gua para varios aspectos de la implementacin del SGSI,

abordar un

proceso genrico, directrices relacionadas con el control, as como orientacin especfica

de un sector. Las relaciones entre los estandares del SGSI son ilustrados en la siguiente
figura.

Figura 2: Relaciones de la familia de SGSI

.2 Norma ISO/IEC 27001:2013

.2.1

Alcance
Esta norma internacional especifica los requisitos para establecer, implementar,

mantener y mejorar continuamente un sistema de gestin de seguridad de la informacin

en el contexto de la organizacin. Esta norma tambin incluye los requisitos para la
evaluacin y tratamiento de los riesgos de seguridad de informacin adaptados a las
necesidades de la organizacin. Los requisitos establecidos en la norma son genricos y
se pretende que sea aplicable a todas las organizaciones, independientemente de su tipo,
tamao o naturaleza.

Figura 3: Estructura de la norma ISO27001:2013

.2.2

Requisitos Contextuales

.2.2.1

Entendiendo la organizacin y su contexto

La organizacin debe determinar los problemas externos e internos que son

relevantes para su propsito y que afectan su capacidad para lograr el resultado deseado
de su sistema de gestin de seguridad de la informacin.
10

.2.2.2

Definir las necesidades y expectativas de las partes interesadas

La organizacin debe determinar:

a) Las partes interesadas que son relevantes para el sistema de gestin de
seguridad de la informacin.
b) Los requisitos de estas partes interesadas pertinentes a la seguridad de la
informacin.

.2.2.3

Determinar el alcance del sistema de gestin de seguridad de la

informacin

La organizacin debe determinar los lmites y aplicabilidad del sistema de gestin

de seguridad de la informacin para establecer su mbito de aplicacin.

.2.3

Liderazgo

.2.3.1

Liderazgo y compromiso

La alta direccin debe demostrar su liderazgo y compromiso con respecto al

sistema de gestin de seguridad de la informacin a travs de:
a) Garantizar que la poltica de seguridad de la informacin y que los objetivos de
seguridad de la informacin estn establecidos y son compatibles con la direccin
estratgica de la organizacin.
b) Garantizar la integracin de los requerimientos del sistema de gestin de
seguridad de la informacin en los procesos de la organizacin.
c) Velar por que los recursos necesarios para el sistema de gestin de seguridad de
la informacin estn disponibles.
d) Comunicar la importancia de una gestin eficaz de seguridad de la informacin y
de adaptarse a los requerimientos del sistema de gestin de seguridad de la
informacin.
e) Garantizar que el sistema de gestin de seguridad de la informacin alcanza su
f)

objetivo previsto.
La direccin y las personas deben contribuir a la eficacia del sistema de gestin de

seguridad de la informacin.
g) Promover la mejora continua.
11

h) Dar apoyo a otras funciones de gestin pertinentes para demostrar su liderazgo.

.2.3.2

Poltica de seguridad de informacin adecuada

La alta direccin debe establecer una poltica de seguridad de la informacin que:

a) Es apropiada para el propsito de la organizacin.
b) Incluye los objetivos de seguridad de la informacin o proporciona el marco
para establecer los objetivos de seguridad de la informacin.
c) Incluye un compromiso de cumplir con los requisitos aplicables en materia de
seguridad de la informacin.
d) Incluye un compromiso de mejora continua del sistema de gestin de
seguridad de la informacin.
La poltica de seguridad de la informacin deber:
e) Estar disponible como informacin documentada.
f) Ser comunicada dentro de la organizacin.
g) Estar a disposicin de las partes interesadas, segn corresponda.

.2.3.3 Funciones de la organizacin, responsabilidades y autoridades para el SGSI

La alta direccin debe asegurarse de que las responsabilidades y autoridades para
las funciones relevantes para la seguridad de informacin son asignadas y comunicadas.
La alta direccin debe asignar la responsabilidad y autoridad para:
a) Garantizar que el sistema de gestin de seguridad de la informacin se ajusta a
los requisitos de la Norma Internacional.
b) Informar sobre el desempeo del sistema de gestin de seguridad de la
informacin a la alta direccin.
NOTA: La alta direccin tambin puede asignar las responsabilidades y autoridades para
informar sobre el desempeo del sistema de gestin de seguridad de la informacin
dentro de la organizacin.

12

.2.4

Planificacin
.2.4.1 Acciones para abordar los riesgos y oportunidades
Al planificar el sistema de gestin de seguridad de la informacin, la organizacin
debe determinar los riesgos y oportunidades que deben dirigirse a:
a) Asegurar que el sistema de gestin de seguridad de la informacin puede lograr su
objetivo previsto.
b) Prevenir o reducir los efectos no deseados.
c) Lograr la mejora continua.
La organizacin debe planificar:
d) Las acciones para hacer frente a estos riesgos y oportunidades.
e) La forma de:
a. Integrar y poner en prctica las acciones en los procesos del sistema de

f)

gestin de seguridad de la informacin

b. Evaluar la eficacia de estas acciones.
Proceso de evaluacin.

.2.4.2 Evaluacin de riesgos de seguridad de informacin

La organizacin debe definir y aplicar un proceso de evaluacin de riesgos de
seguridad de informacin que:
a) Establece y mantiene los criterios de riesgo de la informacin de seguridad que
incluyen:
a. Los criterios de aceptacin del riesgo.
b. Los criterios para la realizacin de las evaluaciones de riesgos de
seguridad de la informacin.
b) Se asegure de que las continuas evaluaciones de riesgos de seguridad de la
informacin producen resultados consistentes, vlidos y comparables.
c) Identifica los riesgos de seguridad de la informacin.
a. Aplicar el proceso de evaluacin de riesgos de seguridad de informacin
para identificar los riesgos asociados a la prdida de confidencialidad,
integridad y disponibilidad de la informacin en el mbito de aplicacin del
sistema de gestin de seguridad de la informacin.
b. Identificar a los propietarios de los riesgos;
d) Analiza los riesgos de seguridad de la informacin:

13

a. Evaluar las posibles consecuencias que resultaran si los riesgos

identificados llegaran a materializarse.
b. Evaluar la probabilidad realista de la ocurrencia de los riesgos
identificados.
c. Determinar los niveles de riesgo.
e) Evala los riesgos de seguridad de la informacin.
a. Comparar los resultados del anlisis de riesgos a los criterios de riesgo
establecidos.
b. Clasificacin de los riesgos analizados para el tratamiento de riesgos.
La organizacin conservar informacin documentada acerca de los riesgos de
seguridad de informacin.

.2.4.3 Tratamiento de los riesgos de seguridad de informacin

La organizacin debe definir y aplicar un proceso de tratamiento de riesgos de
seguridad de la informacin a:
a) Seleccionar las opciones de tratamiento de riesgos de seguridad de informacin
adecuados y teniendo en cuenta los resultados de la evaluacin del riesgo.
b) Determinar todos los controles que sean necesarios para aplicar el tratamiento de
los riesgos de seguridad de informacin
Las organizaciones pueden disear controles segn sea necesario, o identificarlos a
partir de cualquier fuente.
c) Comparar los controles y verificar que controles necesarios no se han omitido.
d) Producir una Declaracin de aplicabilidad que contiene los controles necesarios y
justificacin de las inclusiones, estn aplicando o no, y la justificacin de las
exclusiones de controles.
e) Formular un plan de tratamiento de riesgos de seguridad de la informacin.
f) Obtener la aprobacin de los propietarios del plan de tratamiento de riesgos de
seguridad de la informacin y la aceptacin de los riesgos residuales de la
informacin.
La organizacin conservar informacin documentada sobre el proceso de tratamiento
de los riesgos de seguridad de informacin.

14

.2.4.4 Los objetivos de seguridad de la informacin y la planificacin para

alcanzarlos
La organizacin debe establecer los objetivos de seguridad de la informacin en
las funciones y niveles pertinentes.
Los objetivos de seguridad de la informacin debern:
a) Ser coherente con la poltica de seguridad de la informacin.
b) Ser medibles (si es posible).
c) Tener en cuenta los requisitos aplicables de seguridad de informacin, y los
resultados de la evaluacin y tratamiento de riesgos.
d) Ser comunicados.
e) Ser actualizados cuando sea apropiado.
La organizacin conservar informacin documentada sobre los objetivos de
seguridad de la informacin.
Al planificar cmo alcanzar sus objetivos de seguridad de la informacin, la
organizacin debe determinar:
f)
g)
h)
i)
j)

.2.5

Que se deber hacer.

Los recursos que sern necesarios.
Quien ser responsable.
Cuando ser completado.
Como se evaluarn los resultados.

Soporte
.2.5.1 Recursos
La organizacin debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementacin, mantenimiento y mejora continua del sistema de gestin
de seguridad de la informacin.

.2.5.2 Competencia
La organizacin debe:
15

a) Determinar la competencia necesaria de la persona (s) que hace el trabajo bajo su

control que afecte a su rendimiento de seguridad de la informacin;
b) Garantizar que dichas personas son competentes en nivel de educacin,
entrenamiento o experiencia.
c) Cuando aplique, tomar las acciones para adquirir la competencia necesaria, y
evaluar la eficacia de las medidas adoptadas.
d) Conservar la informacin documentada apropiada como evidencia de la
competencia.
Acciones aplicables pueden incluir, por ejemplo: la oferta de formacin para la
tutora, o la reasignacin de los empleados actuales; o la contratacin de personas
competentes.

.2.5.3 Conciencia
Las personas trabajando bajo el control de la organizacin deben tener en cuenta:
a) La poltica de la seguridad de la informacin.
b) Su contribucin a la eficacia del sistema de gestin de seguridad de la
informacin, incluyendo los beneficios de un mejor desempeo de la
seguridad de la informacin.
c) Las consecuencias de que no cumplan con los requisitos del sistema de
gestin de seguridad de la informacin.

.2.5.4

Comunicacin

La organizacin debe determinar la necesidad de las comunicaciones internas y

externas pertinentes para el sistema de gestin de seguridad de la informacin que
incluye:
a)
b)
c)
d)
e)

Que comunicar.
Cuando comunicarlo.
Con quien comunicarlo.
Quien deber comunicarlo.
Los procesos por los que la comunicacin ser efectiva.

16

.2.5.5

Informacin Documentada

Sistema de gestin de seguridad de la informacin de la organizacin debe incluir:

a) Informacin documentada requerida por la norma.
b) Informacin documentada determinada por la organizacin como necesaria para la
eficacia del sistema de gestin de seguridad de la informacin.
El alcance de la informacin documentada para un sistema de gestin de seguridad
de la informacin puede diferir de una organizacin a otra debido a:
1. El tamao de la organizacin y de su tipo de actividades, procesos, productos y
servicios.
2. La complejidad de los procesos y sus interacciones.
3. La competencia de las personas.

.2.5.5.1

Creacin y actualizacin

Al crear y actualizar la informacin documentada de la organizacin se debe

asegurar:
a) La identificacin y descripcin (por ejemplo, un ttulo, fecha, autor, o el nmero de
referencia).
b) Formato (por ejemplo, de idiomas, la versin del software, grficos) y de los
medios de comunicacin (por ejemplo, papel, electrnico).
c) La revisin y aprobacin por la idoneidad y adecuacin.

.2.5.5.2

Control de la informacin documentada

Informacin documentada requerida por el sistema de gestin de seguridad de la

informacin y por la norma se deben controlar para asegurar:
a) Que est disponible y adecuada para su uso, donde y cuando sea necesario.
b) Que est protegida de forma adecuada (por ejemplo, de prdida de
confidencialidad, uso inadecuado, o la prdida de la integridad).
Para el control de la informacin documentada, la organizacin debe responder a las
siguientes actividades, segn corresponda:
17

c)
d)
e)
f)

La distribucin, acceso, recuperacin y uso.

Almacenamiento y conservacin, incluyendo la preservacin de la legibilidad.
El control de cambios (por ejemplo, control de versiones).
La retencin y disposicin.

Informacin documentada de origen externo, que la organizacin determina que son

necesarios para la planificacin y operacin del sistema de gestin de seguridad de la
informacin, debe ser identificada como corresponda y controlarse.
El acceso implica una decisin sobre el permiso para ver la informacin documentada
solamente, o el permiso y la autoridad para ver y cambiar la informacin documentada,
etc.

.2.6

Operacin
.2.6.1 Planificacin y control operativo
La organizacin debe planificar, ejecutar y controlar los procesos necesarios para
cumplir los requisitos de seguridad de la informacin, y para poner en prctica las
acciones determinadas. La organizacin debe implementar tambin planes para lograr los
objetivos de seguridad de la informacin.
La organizacin debe mantener la informacin documentada en la medida
necesaria para tener confianza en que los procesos se han llevado a cabo segn lo
previsto.
La organizacin debe controlar los cambios planificados y examinar las
consecuencias de los cambios no deseados, la adopcin de medidas para mitigar los
posibles efectos adversos, segn sea necesario.
La organizacin debe asegurarse de que los procesos externalizados se
determinan y controlan.

.2.6.2 Evaluacin de riesgos de seguridad de informacin

18

La organizacin debe llevar a cabo las evaluaciones de riesgos de seguridad de la

informacin a intervalos planificados o cuando se propongan modificaciones importantes o
se producen.

.2.6.3 Tratamiento de los riesgos de seguridad de informacin

La organizacin debe implementar el plan de tratamiento de riesgos de seguridad
de la informacin.

.2.7

Evaluacin del desempeo

.2.7.1 Seguimiento, medicin, anlisis y evaluacin
La organizacin debe evaluar el desempeo de la seguridad de la informacin y la
eficacia del sistema de gestin de seguridad de la informacin.
La organizacin debe determinar:
a) Lo que necesita ser monitoreado y medido, incluidos los procesos y controles de
seguridad de la informacin.
b) Los mtodos de seguimiento, medicin, anlisis y evaluacin, como apliquen, para
c)
d)
e)
f)

garantizar la validez de los resultados.

Cuando se llevarn a cabo el seguimiento y medicin.
Quien medir y dar seguimiento.
Cuando se analizan y evalan los resultados de seguimiento y medicin.
Quien debe analizar y evaluar estos resultados.

.2.7.2 Auditora interna

La organizacin debe llevar a cabo auditoras internas a intervalos planificados
para proporcionar informacin sobre si el sistema de gestin de seguridad de la
informacin:
a) Cumple.
19

a. Las propias necesidades de la organizacin para su sistema de gestin de

seguridad de la informacin propio.
b. Los requisitos de la norma.
b) Se ha implementado y mantiene de manera eficaz.
La organizacin debe:
c) Planear, establecer, implementar y mantener un programa (s) de auditora, incluida
la periodicidad, los mtodos, responsabilidades, requisitos de planificacin y
presentacin de informes. El programa (s) de auditora deber tener en cuenta la
importancia de los procesos en cuestin y los resultados de auditoras anteriores.
d) Definir los criterios de auditora y el alcance de cada auditora.
e) Seleccin de los auditores y realizar auditoras que garanticen la objetividad e
f)

imparcialidad del proceso de auditora.

Asegurarse de que los resultados de las auditoras se reportan a la gerencia

pertinente.
g) Conservar la informacin documentada como prueba del programa (s) de auditora
y los resultados de la auditora.

.2.7.3 Revisin de la gestin

La alta direccin debe revisar el sistema de gestin de seguridad de informacin
de la organizacin a intervalos planificados para asegurarse de su conveniencia,
adecuacin y eficacia.
La revisin por la direccin debe incluir la consideracin de:
a) El estado de las acciones de las revisiones por las direcciones previas.
b) Los cambios en los problemas externos e internos que son relevantes para el
sistema de gestin de seguridad de la informacin;
c) La retroalimentacin sobre el desempeo de la seguridad de la informacin,
incluyendo las tendencias en:
a. Las no conformidades y acciones correctivas;
b. Seguimiento y medicin de los resultados.
c. Resultados de las auditoras.
d. El cumplimiento de los objetivos de seguridad de la informacin.
d) La retroalimentacin de las partes interesadas;
e) Los resultados de la evaluacin del riesgo y el estado del plan de tratamiento de
f)

riesgos.
Las oportunidades de mejora continua.

20

La retroalimentacin de la revisin por la direccin debe incluir las decisiones

relacionadas con las oportunidades de mejora continua y de cualquier necesidad de
cambios en el sistema de gestin de seguridad de la informacin.

.2.8

Mejora
.2.8.1 No conformidad y acciones correctivas
Cuando se produce una no conformidad, la organizacin deber:
a) Reaccionar a la no conformidad, y segn sea el caso:
a. Tomar medidas para controlarla y corregirla.
b. Hacer frente a las consecuencias.
b) Evaluar la necesidad de acciones para eliminar las causas de no conformidad, con
el fin de que no vuelva a ocurrir o se produzcan en otros lugares, a travs de:
a. La revisin de la no conformidad.
b. Determinar las causas de la no conformidad.
c. Determinar si existen incumplimientos similares o podran producirse.
c) Poner en prctica las medidas oportunas.
d) Revisar la eficacia de las medidas correctivas adoptadas.
e) Realizar cambios en el sistema de gestin de seguridad de la informacin, si es
necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
La organizacin conservar informacin documentada como evidencia de:
f)

La naturaleza de las no conformidades y de cualquier accin tomada

posteriormente.
g) Los resultados de cualquier accin correctiva.

.2.8.2 Mejora Continua

La organizacin debe mejorar continuamente la conveniencia, adecuacin y

eficacia del sistema de gestin de seguridad de la informacin.

21

.3 Beneficios de la Norma ISO 27001:2013

.4

Cumplimiento en materia de gestin de la informacin.

Aumento del valor comercial y mejora la imagen de la organizacin
Reduccin de los costos vinculados a incidente
Ordenamiento del negocio u organizacin
Una mejora continua en la Gestin de la Seguridad

Principales diferencias ISO 27001version 2005 & versin 2013

Reduce el nmero de controles de 133 a 113

Aumenta el nmero de dominios de 11 a 14
Se han eliminado o fusionado algunos controles
Algunos controles nuevos se han aadido y otros que permanecen han sido

reformulados
Elimina la seccin de Enfoque a procesos que describa el modelo PDCA
lSO 27002 ya no es una normativa de referencia
Las definiciones fueron removidas y reubicadas en la norma ISO 27000
Cambios en la terminologa: por ejemplo, Poltica de SI es usada en lugar de

Poltica del SGSI

Los requisitos para el compromiso de la Alta Direccin fueron revisados y ahora

estn presentes en la Clusula de Liderazgo

Las acciones preventivas se reemplazaron por "acciones para abordar los riesgos

y oportunidades
Los requisitos de evaluacin de riesgos son ahora ms generales y se alinean con

la norma ISO 31000

Mayor nfasis en el establecimiento de los objetivos, el seguimiento del
desempeo y mtricas

.5

Lineamientos para la transicin

22

Segn lo especificado por el Foro Internacional de Acreditacin (IAF), todos los

certificados vigentes bajo los requisitos de la norma ISO/IEC 27001:2005 debern ser
actualizados en un periodo mximo de dos (2) aos, el cual finalizar el 01/10/2015.

.6

Tiempo de transicin
.6.1

Organizaciones certificadas con la ISO/IEC 27001:2005 antes del da

01/10/2013

Las auditoras de seguimientos, reactivaciones y renovaciones de certificados emitidos

con la norma ISO/IEC 27001:2005, se podrn realizar hasta el 01/04/2015.

.6.2

Organizaciones que an no estn certificadas con la ISO/IEC 27001

Las auditoras de otorgamiento de certificados con la norma ISO/IEC 27001:2005 solo

sern permitidas hasta el da 01/10/2014. Despus de esta fecha las auditoras de
otorgamiento se realizarn solamente con ISO/IEC 27001 versin 2013.

CAPTULO III: CONCLUSIONES Y RECOMENDACIONES

23

3.1 Conclusiones

Esta nueva versin refleja una mayor flexibilidad para su implementacin dentro de
las empresas sin importar su tamao, as como la necesidad de adaptarse a la evolucin
de las tecnologas.
La ISO 27001:2013, proporciona mayor nfasis en partes interesadas, liderazgo,
sensibilizacin, comunicacin, capacidades, propietario del riesgo, activos, gestin de
riesgos y oportunidades, lo que la hace mas prescriptiva.
Las empresas que han realizado el esfuerzo de implementar la ISO 27001:2005,
deben tomar estrategias para alinear su implementacin a la ISO 27001:2013.
El principal elemento del proceso de mejora son las no-conformidades
identificadas, las cuales tienen que contabilizarse y compararse con las acciones
correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

3.2 Recomendaciones

Esta norma se debe implementar para aumentar los niveles de seguridad, el ISO
27001 es utilizada por grandes empresas a nivel mundial a los cuales les funciona

por lo que es recomendada su aplicacin.

La recomendacin para quienes ya poseen un SGSI implementado es considerar
el apoyo de consultores con experiencia para llevar a cabo las modificaciones y
dirigir los esfuerzos hacia una actualizacin exitosa de la norma, conforme lo

dictan los requisitos.

Para ayudar con la transicin, obtener la gua de transicin y escala del tiempo
que proporciona BSI, para realizar las adecuaciones pertinentes.

3.3 Bibliografa

24

Esteban, L. (27 de septiembre de 2013). Obtenido de INTECO:

http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_com
entarios/nueva_version_iso27001
ISO/IEC 27001:2013. (25 de Septiembre de 2013). ISO. Recuperado el 23 de
mayo de 2014, de http://www.iso.org/iso/home.html
Trejos, D. G. (30 de agosto de 2013). Magazcitum. Obtenido de El magazine
para los profesionales de la seguridad de TI:
http://www.magazcitum.com.mx

Anexos
El Anexo A Referencia de objetivos y controles contina formando parte de este
estndar, pero los anexos B y C se han eliminado.

25

El nmero de dominios del anexo aumenta de 11 a 14, de esta manera,

donde algunos controles se incluan de forma artificial en ciertas reas
donde no encajaban perfectamente, ahora se organizan mejor.

Figura 2: Dominios Anexo A de ISO 27001:2013

Lista de controles que ya no forman parte del estndar:

Control

Descripcin

Cambia por

Incluye los
controles de la ISO
26

27001:2005
A.6.1.1

Comit de gestin para la

seguridad de la informacin

Roles de la seguridad
de la informacin y sus
responsabilidades

A.6.1.3 y A.8.1.1

A.6.1.2

Coordinacin de seguridad
de la informacin

Contacto con
autoridades

A.6.1.6

A.6.1.4

Procesos de autorizacin
para instalaciones para
procesamiento de
informacin

Seguridad de la
informacin en la
gestin de proyectos

A.6.2.1

Identificacin de riesgos
relacionados con agentes
externos

Poltica de dispositivo
mvil

A.11.7.1

A.6.2.2

Direccionamiento de
seguridad al tratar con
clientes

Trabajo a distancia

A.11.7.2

A.10.2.1

Entrega del servicio

A.10.7.4

Seguridad del sistema de

documentos

A.10.8.5

Sistema de informacin de
negocios

A.10.10.2

Seguimiento al uso de
sistema

A.10.10.5

Falla en el registro

A.11.4.2

Autenticacin de usuarios
para conexiones externas

A.11.4.3

Identificacin de equipos

A.11.4.4

Puerto remoto de
diagnstico y configuracin
de proteccin

A.11.4.6

Control para la conexin de

redes

A.11.6.2

Aislamiento del sistema

sensible

A.12.2.1

Validacin de datos de
entrada

Controles contra
malware

A.10.4.1

27

A.12.2.2

Control de procesamiento
interno

A.12.2.3

Integridad de mensaje

A.12.2.4

Validacin de datos de
salida

A.12.5.4

Filtracin de la informacin

A.15.1.5

Prevencin del uso indebido

de las instalaciones para el
procesamiento de
informacin

A.15.3.2

Proteccin de las
herramientas de auditora
de sistemas de informacin

Nuevos controles propuestos.

Control

Descripcin

A.6.1.4

Seguridad de la informacin en la gestin de

proyectos

A.12.6.2

Restricciones en la instalacin de software

A.14.2.1

Poltica de desarrollo de seguridad

A.14.2.5

Desarrollo de procedimientos para el sistema

A.14.2.6

Desarrollo de un entorno seguro

A.14.2.8

Sistema de prueba de seguridad

A.15.1.1

Informacin de seguridad para las relaciones de

proveedores

A.15.1.3

Cadena de suministro ICT

A.16.1.4

Evaluacin y decisin de los eventos de seguridad

de la informacin

A.16.1.5

Respuesta a incidentes de seguridad de la

informacin

Absorbe los
controles de la ISO
27001:2005

A.6.2.3

28

A.17.1.2

Implementacin de la continuidad de la seguridad

de la informacin

A.17.2.1

Disponibilidad de las instalaciones para

procesamiento de informacin.

29