ESTRUCTURA DE LA NORMA

ISO 27000

ESTRUCTURA ISO 27000

1.

Poltica de Seguridad

Es el documento que la empresa firma aceptando las polticas de

calidad a revisar el cual debe contener:
Una definicin de la seguridad de informacin y sus objetivos
globales y el alcance y su importancia como un mecanismo que
permite compartir informacin.
Una breve explicacin de las polticas, principios, normas y
requisitos de conformidad ms importantes para la organizacin.

Una definicin de las responsabilidades generales y especficas

en materia de la gestin de seguridad de informacin, incluida el
reporte de las incidencias de seguridad.

2. Organizacin de seguridad.
Se debe establecer una estructura de la seguridad de la
informacin de tal manera que satisfaga todos los requerimientos
para lo cual es indispensable la participacin de los representantes
de las diferentes reas dentro de la organizacin para cubrir
distintas necesidades por ejemplo la participacin de:
Comit de gestin de seguridad de la informacin
-Coordinacin de la seguridad de la informacin.
-Asignacin de las responsabilidades de la seguridad de informacin.
-Procesos de autorizacin para los recursos de tratamiento de la
informacin
-Acuerdos de confidencialidad.

3. Administracin de activos
Se debe asignar a los recursos de la organizacin,
propietarios quienes sern los responsables de
mantener
una
proteccin
adecuada.
La
organizacin debe identificar los activos y su valor e
importancia. Sobre esta base la organizacin puede
proporcionar niveles de proteccin proporcionales
a dicho valor e importancia. Debera establecerse y
mantenerse el inventario de los activos importantes
asociados con cada sistema de informacin.

Propiedad de los recursos

Todos los recursos de tratamiento de la informacin y los
activos de informacin de la organizacin deben ser de
propiedad de una parte designada. El dueo del recurso
debe ser responsable de:
1. asegurar que recursos de tratamiento de la
informacin y los activos de informacin sean
apropiadamente clasificados;
2. definir y revisar peridicamente las restricciones de
acceso y clasificacin, tomando en cuenta polticas de
control de acceso aplicables

4. Seguridad de recursos humanos

Asegurar que cada persona dentro de la organizacin
comprenda sus responsabilidades, ya que es un factor que
influye en la preservacin de la seguridad de la informacin.
Implementar y actuar de acuerdo con las polticas de
seguridad de informacin.
Proteger los activos de accesos no autorizados,
divulgacin, modificacin, destruccin e interferencia.
Ejecutar procesos particulares de seguridad o actividades.
Garantizar que responsabilidades se asignen a los
individuos para acciones tomadas.
Reportar eventos de seguridad o eventos potenciales u
otros riesgos para la organizacin.

5. Seguridad fsica y mental

Los recursos importantes para el tratamiento de la
informacin deben ser ubicados en reas seguras de tal
manera que se provenga el acceso no autorizado.
El permetro de seguridad fsico
Los permetros de seguridad debe ser usadas para
proteger reas que contienen recursos de tratamiento
de informacin. Se debe considerar los siguientes
puntos:
a) el permetro de seguridad deben ser definidos
claramente.

 El permetro de un edificio o un lugar que contenga

recursos de tratamiento de informacin debera tener
solidez fsica.
Se debera instalar un rea de recepcin manual u
otros medios de control del acceso fsico al edificio o
lugar. Dicho acceso se debera restringir solo al personal
autorizado.
Las barreras fsicas se deberan extender, si es
necesario, desde el suelo al techo para evitar entradas
no autorizadas o contaminacin del entorno.
Todas las puertas para incendios del permetro de
seguridad deberan tener alarma y cierre automtico.

6. Gestin de Comunicaciones y
Operaciones

Establecer
responsabilidades
y
procedimientos para la gestin y
operacin de todos los recursos de
tratamiento de informacin, de tal
manera que se consiga reducir el
riesgo de un mal uso del sistema
deliberado o por negligencia.

Documentacin de procedimientos operativos:

Se deberan documentar los procedimientos de
operacin y hacerlo disponible para todos los usuarios
que necesitan de ellos. Los procedimientos de
operacin deberan especificar las instrucciones
necesarias para la ejecucin detallada de cada tarea,
incluyendo:
El proceso y utilizacin correcta de la informacin.
Respaldo.
Los requisitos de planificacin, incluyendo las
interdependencias con otros sistemas, con los
tiempos de comienzo ms temprano y final ms
tardo posibles de cada tarea

7. Sistema de Control de Accesos

Se debera controlar el acceso a la informacin y los
procesos del negocio sobre la base de los requisitos de
seguridad y negocio. Se deberan tener en cuenta para
ello las polticas de distribucin de la informacin y de
autorizaciones.
En la poltica de control de accesos se debera tener
bien definido y documentado los requisitos del negocio
para el control de acceso, definindose de forma clara
las reglas y derechos de cada usuario. Debera
contemplar:

Requisitos de seguridad de cada aplicacin de

negocio individualmente.
Identificacin de toda la informacin relativa a
las aplicaciones.
Polticas para la distribucin de la informacin y
las autorizaciones.
Coherencia entre las polticas de control de
accesos y las polticas de clasificacin de la
informacin en los distintos sistemas y redes

8. Adquisicin, Desarrollo y Mantenimiento

de Sistemas de Informacin
Todos los requisitos de seguridad, incluyendo
las disposiciones para contingencias, la
infraestructura, las aplicaciones de negocio y
las aplicaciones desarrolladas por usuario;
deberan ser identificados y justificados en la
fase de requisitos de un proyecto,
consensuados y documentados como parte
del proceso de negocio global para un
sistema de informacin.

Anlisis y especificacin de los requisitos de seguridad:

Los requisitos y controles de seguridad deberan reflejar el valor de los
activos de informacin implicados y el posible dao a la organizacin que
resultara de fallos o ausencia de seguridad. La estimacin del riesgo y su
gestin son el marco de anlisis de los requisitos de seguridad y de la
identificacin de los controles y medidas para conseguirla
Autenticacin de mensajes

La autenticacin de mensajes es una tcnica utilizada para detectar

cambios no autorizados o una corrupcin del contenido de un mensaje
transmitido electrnicamente.
Se debera establecer en aplicaciones que requieran proteccin de la
integridad del contenido de los mensajes, por ejemplo, transferencia
electrnica de fondos, especificaciones, contratos, propuestas u otros
intercambios electrnicos de datos importantes.

9. Administracin de Incidentes de
Seguridad de la Informacin
Para asegurar los eventos y las debilidades de la
seguridad de la informacin asociados a los
sistemas de informacin, los procedimientos
formales de la divulgacin y de escalada del
acontecimiento deben estar en lugar. Todos los
empleados, contratistas y usuarios de los terceros
deben ser enterados de los procedimientos para
divulgar diversos tipos de eventos y de debilidad
que pudieron tener un impacto en la seguridad de
activos de organizacin.

Procedimientos
de
divulgacin
formal
del
acontecimiento de la seguridad de la informacin se
deben establecer, junto con una respuesta del
incidente y un procedimiento de escalada, precisando
la accin que se adquirir recibo de un informe de un
acontecimiento de la seguridad de la informacin. Los
mismos que deben incluir:
El comportamiento correcto que se emprender en
caso de que se de un evento de la seguridad de la
informacin.
Un proceso disciplinario formal establecido para los
empleados, contratistas o usuarios de los terceros que
ocasionen riesgos de la seguridad.

10. Plan de Continuidad del Negocio

La gestin de la continuidad del negocio debera
incluir controles para la identificacin y reduccin
de riesgos, limitar las consecuencias de incidencias
dainas y asegurar la reanudacin, a tiempo, de las
operaciones esenciales.
As como reducir la interrupcin causada por
desastres y fallas de seguridad.
Proceso de gestin de la continuidad del negocio
Debera incluir los siguientes elementos clave:

Comprender los riesgos que la organizacin corre

desde el punto de vista de su vulnerabilidad e
impacto.
Identificar los activos envueltos en el proceso
crtico del negocio.
Comprender el impacto que tendran las
interrupciones en el negocio;
Considerar la adquisicin de los seguros
adecuados que formarn parte del proceso de
continuidad del negocio.

Continuidad del negocio y anlisis de

impactos

El estudio para la continuidad del negocio

debera empezar por la identificacin de
los
eventos
que
pueden
causar
interrupciones en los procesos de negocio.
Se debera continuar con una evaluacin
del riesgo para determinar el impacto de
dichas interrupciones.

11. CUMPLIMIENTO CON LOS REQUISITOS

LEGALES

Con este control se busca evitar los

incumplimientos de cualquier ley civil o
penal, requisito reglamentario, regulacin
u obligacin contractual, y de todo
requisito
de
seguridad.
El
diseo,
operacin, uso y gestin de los sistemas
de informacin puede estar sujeto a
requisitos estaestutarios, regulatorios y
contractuales de seguridad.

Identificacin de la legislacin aplicable

Se deberan definir y documentar de forma explcita todos los requisitos legales, regulatorios
y contractuales que sean importantes para cada sistema de informacin.

Derechos de propiedad intelectual Se deberan implantar los procedimientos apropiados

para asegurar el cumplimiento de las restricciones legales sobre el uso del material
protegido como derechos de autor y los productos de software propietario. Se debera
considerar:
Publicar una poltica de conformidad de los derechos de propiedad intelectual.
Publicar normas para los procedimientos de adquisicin de productos de software.