11 DOMINIOS DE LA NORMA ISO 27001

1. Poltica de Seguridad
Es el documento que la empresa firma aceptando las politicas de calidad a
revisar el cual debe contener:
a.Una definicin de la seguridad de informacin y sus objetivos
globales y el alcance y su importancia como un mecanismo que permite
compartir informacin.
b.Una breve explicacin de las polticas, principios, normas y requisitos de
conformidad ms importantes para la organizacin.
c.Una definicin de las responsabilidades generales y especficas en materia de
la gestin de seguridad de informacin, incluida el reporte
de las incidencias de seguridad.
Se debe establecer una estructura de la seguridad de la informacin, de tal
manera que satisfaga todos los requerimientos, para lo cual es indispensable la
participacin de los representantes de las diferentes reas dentro de la
organizacin para cubrir las distintas necesidades
por ejemplo la participacin de:
-Comit de gestin de seguridad de la informacin
-Coordinacin de la seguridad de la informacin.
-Asignacin de las responsabilidades de la seguridad de informacin.
-Procesos de autorizacin para los recursos de tratamiento de la informacin
-Acuerdos de confidencialidad.
2.Organizacin de Seguridad
Se debe asignar a los recursos de la organizacin, propietarios quienes sern
los responsables de mantener una proteccin adecuada.La organizacin debe
identificar los activos y su valor e importancia. Sobre esta base la organizacin
puede proporcionar niveles de proteccin proporcionales a dicho valor e
importancia. Debera establecerse y
mantenerse el inventario de los activos importantes asociados con cada
sistema de informacin.
Propiedad de los recursos
Todos los recursos de tratamiento de la informacin y los activos de
informacin de la organizacin deben ser de propiedad de una parte
designada. El dueo del recurso debe ser responsable de:
1. asegurar que recursos de tratamiento de la informacin y los activos de
informacin sean apropiadamente clasificados;
2. definir y revisar peridicamente las restricciones de acceso y clasificacin,
tomando en cuenta polticas de control de acceso aplicables.
3. Administracin de Activos
Asegurar que cada persona dentro de la organizacin comprenda sus
responsabilidades, ya que es un factor que influye en la preservacin de la
seguridad de la informacin.
a) implementar y actuar de acuerdo con las polticas de seguridad de
informacin;
b) proteger los activos de accesos no autorizados, divulgacin, modificacin,
destruccin e interferencia;
c) ejecutar procesos particulares de seguridad o actividades;

d) garantizar que responsabilidades se asignen a los individuos para acciones

tomadas;
e) reportar eventos de seguridad o eventos potenciales u otros riesgos para la
organizacin.
4. Seguridad de los Recursos Humanos.
Los recursos importantes para el tratamiento de la informacin deben ser
ubicados en reas seguras de tal manera que se provenga el acceso no
autorizado.
El permetro de seguridad fsico
Los permetros de seguridad debe ser usadas para proteger reas que
contienen recursos de tratamiento de informacin. Se debe considerar los
siguientes puntos:
a) el permetro de seguridad deben ser definidos claramente;
b) el permetro de un edificio o un lugar que contenga recursos de
tratamiento de informacin debera tener solidez fsica;
c) se debera instalar un rea de recepcin manual u otros medios de
control del acceso fsico al edificio o lugar. Dicho acceso se debera
restringir solo al personal autorizado;
d) las barreras fsicas se deberan extender, si es necesario, desde el suelo
al techo para evitar entradas no autorizadas o contaminacin del
entorno;
e) todas las puertas para incendios del permetro de seguridad deberan
tener alarma y cierre automtico.
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
Establecer responsabilidades y procedimientos para la gestin y operacin de
todos los recursos de tratamiento de informacin, de tal manera que se
consiga reducir el riesgo de un mal uso del sistema deliberado o por
negligencia.
Documentacin de procedimientos operativos:
Se deberan documentar los procedimientos de operacin y hacerlo disponible
para todos los usuarios que necesitan de ellos. Los procedimientos de
operacin deberan especificar las instrucciones necesarias para la ejecucin
detallada de cada tarea, incluyendo:
a) el proceso y utilizacin correcto de la informacin;
b) respaldo;
c) los requisitos de planificacin, incluyendo las interdependencias con
otros sistemas, con los tiempos de comienzo ms temprano y final ms
tardo posibles de cada tarea
7. Sistema de Control de Accesos
Se debera controlar el acceso a la informacin y los procesos del negocio
sobre la base de los requisitos de seguridad y negocio. Se deberan tener en
cuenta para ello las polticas de distribucin de la informacin y de
autorizaciones.
En la poltica de control de accesos se debera tener bien definido y
documentado los requisitos del negocio para el control de acceso, definindose

de forma clara las reglas y derechos de cada usuario. Debera contemplar:

a) requisitos de seguridad de cada aplicacin de negocio individualmente;
b) identificacin de toda la informacin relativa a las aplicaciones;
c) polticas para la distribucin de la informacin y las autorizaciones;
d) coherencia entre las polticas de control de accesos y las polticas de
clasificacin de la informacin en los distintos sistemas y redes
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de
Informacin
Todos los requisitos de seguridad, incluyendo las disposiciones para
contingencias, la infraestructura, las aplicaciones de negocio y las aplicaciones
desarrolladas por usuario; deberan ser identificados y justificados en la fase de
requisitos de un proyecto, consensuados y documentados como parte del
proceso de negocio global para un sistema de informacin.
Anlisis y especificacin de los requisitos de seguridad:
Los requisitos y controles de seguridad deberan reflejar el valor de los activos
de informacin implicados y el posible dao a la organizacin que resultara de
fallos o ausencia de seguridad. La estimacin del riesgo y su gestin son el
marco de anlisis de los requisitos de seguridad y de la identificacin de los
controles y medidas para conseguirla
Autenticacin de mensajes
La autenticacin de mensajes es una tcnica utilizada para detectar cambios
no autorizados o una corrupcin del contenido de un mensaje transmitido
electrnicamente.
Se debera establecer en aplicaciones que requieran proteccin de la integridad
del contenido de los mensajes, por ejemplo, transferencia electrnica de
fondos, especificaciones, contratos, propuestas u otros intercambios
electrnicos de datos importantes.
9. Administracin de Incidentes de Seguridad de la Informacin
Para asegurar los eventos y las debilidades de la seguridad de la informacin
asociados a los sistemas de informacin, los procedimientos formales de la
divulgacin y de escalada del acontecimiento deben estar en lugar. Todos los
empleados, contratistas y usuarios de los terceros deben ser enterados de los
procedimientos para divulgar diversos tipos de eventos y de debilidad que
pudieron tener un impacto en la seguridad de activos de organizacin.
Procedimientos de divulgacin formal del acontecimiento de la seguridad de la
informacin se deben establecer, junto con una respuesta del incidente y un
procedimiento de escalada, precisando la accin que se adquirir recibo de un
informe de un acontecimiento de la seguridad de la informacin. Los mismos
que deben incluir:
a) el comportamiento correcto que se emprender en caso de que se de un
evento de la seguridad de la informacin;
b) Un proceso disciplinario formal establecido para los empleados,
contratistas o usuarios de los terceros que ocasionen riesgos de la
seguridad.
.

10. Plan de Continuidad del Negocio

La gestin de la continuidad del negocio debera incluir controles para la
identificacin y reduccin de riesgos, limitar las consecuencias de incidencias
dainas y asegurar la reanudacin, a tiempo, de las operaciones esenciales.
As como reducir la interrupcin causada por desastres y fallas de seguridad.
Proceso de gestin de la continuidad del negocio
Debera incluir los siguientes elementos clave:
a) comprender los riesgos que la organizacin corre desde el punto de vista
de su vulnerabilidad e impacto;
b) identificar los activos envueltos en el proceso crtico del negocio;
c) comprender el impacto que tendran las interrupciones en el negocio;
d) considerar la adquisicin de los seguros adecuados que formarn parte
del proceso de continuidad del negocio
Continuidad del negocio y anlisis de impactos
El estudio para la continuidad del negocio debera empezar por la identificacin
de los eventos que pueden causar interrupciones en los procesos de negocio.
Se debera continuar con una evaluacin del riesgo para determinar el impacto
de dichas interrupciones.
11.Cumplimiento
CUMPLIMIENTO CON LOS REQUISITOS LEGALES
Con este control se busca evitar los incumplimientos de cualquier ley civil o
penal, requisito reglamentario, regulacin u obligacin contractual, y de todo
requisito de seguridad. El diseo, operacin, uso y gestin de los sistemas de
informacin puede estar sujeto a requisitos estatutarios, regulatorios y
contractuales de seguridad.
Identificacin de la legislacin aplicable
Se deberan definir y documentar de forma explcita todos los requisitos
legales, regulatorios y contractuales que sean importantes para cada sistema
de informacin.
Derechos de propiedad intelectual
Se deberan implantar los procedimientos apropiados para asegurar el
cumplimiento de las restricciones legales sobre el uso del material protegido
como derechos de autor y los productos de software propietario. Se debera
considerar:
a) publicar una poltica de conformidad de los derechos de propiedad
intelectual;
b) publicar normas para los procedimientos de adquisicin de productos de
software;