FACULTAD DE CIENCIAS

O R IB
T
O
I
T
CONTABILIDAD

M O G RO VE
J
O
DE

I
S
D
R
A
E
D
V
I
SA
N
N
U

TITULO:

Normas ISO 27000 Seguridad de la

informacin

ESTUDIANTE:

PASTOR BANDA, ANA MIRELLA

PROFESORA:

MSc. Ing. JESSIE LEILA BRAVO JAICO

CHICLAYO, OCTUBRE DEL 2011

INDICE
Introduccin
1.1. Origen
1.2. Definicin
1.3. La Serie 27000
1.4. Trminos y Definiciones
1.5. Beneficios
1.6. Adaptacin
1.6.1. Arranque del Proyecto
1.6.2. Planificacin
1.6.3. Implementacin
1.6.4. Seguimiento
1.6.5. Mejora continua
Conclusiones
Bibliografa

INTRODUCCION

Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un

sistema que emprenda esta tarea de una forma ordenada, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin; es por ello que La ISO ha reservado la serie ISO/IEC
27000 para una gama de normas de gestin de la seguridad de la informacin de manera
similar a lo acontecido con las normas de gestin de la calidad.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se
indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la
informacin (SGSI) basado en ISO 27001.

Normas ISO 27000

1.1. Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es
responsable de la publicacin de importantes normas como:

1979. Publicacin BS 5750 - ahora ISO 9001

1992. Publicacin BS 7750 - ahora ISO 14001

1996. Publicacin BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas
prcticas para la gestin de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas,
para la que no se estableca un esquema de certificacin. Es la segunda parte
(BS 7799-2), publicada por primera vez en 1998, la que estableci los
requisitos de un sistema de seguridad de la informacin (SGSI) para ser
certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte
se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI
public la BS 7799-3:2006, centrada en la gestin del riesgo de los sistemas
de informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas
dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la
interpretacin e implementacin de ISO/IEC 27001, que es la norma principal
y nica certificable dentro de la serie.

 En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro

con la historia de ISO 27001 e ISO 17799.
1.2. Definicin
ISO 27000 es una familia de estndares internacionales para sistemas de gestin de
la seguridad de la informacin (SGSI) que proporciona un marco de gestin de la
seguridad de la informacin.
Esta norma contiene trminos y definiciones que se emplean en toda la serie 27000.
La aplicacin de cualquier estndar necesita de un vocabulario claramente definido
que evite distintas interpretaciones de conceptos tcnicos y de gestin.
Este estndar internacional ha sido preparado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema
de gestin de seguridad de la informacin (SGSI).
Este estndar adopta el modelo de proceso Planear- Hacer- Chequear Actuar
(PDCA), el cual se puede aplicar a todos los procesos SGSI.

Partes
Interesadas

Partes
Interesadas

Requerimientos
y expectativas
de la seguridad
de informacin

Seguridad de
Informacin
manejada

1.3. La Serie 27000

La numeracin actual de las Normas de la serie ISO/IEC 27000 es la siguiente y
est previsto que la numeracin del resto de las normas sean:

ISO/IEC 27000: Fundamentos y vocabulario.

ISO/IEC 27001: Norma que especifica los requisitos para la implantacin

del Sistema de Gestin de Seguridad de la Informacin (SGSI). Y por lo
tanto incorpora el tpico "Plan-Do-Check-Act" (PDCA) que significa
"Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora
continua:

Plan (planificar): es una fase de diseo del SGSI, realizando

la evaluacin de riesgos de seguridad de la informacin y la
seleccin de controles adecuados.

Do (hacer): es una fase que envuelve la implantacin y

operacin de los controles.

Check (controlar): es una fase que tiene como objetivo

revisar y evaluar el desempeo (eficiencia y eficacia) del
SGSI.

Act (actuar): en esta fase se realizan cambios cuando sea

necesario para llevar de vuelta el SGSI a mximo
rendimiento.

ISO/IEC 27002 (actualmente ISO/IEC 17799-2005): Cdigo de buenas

prcticas para la gestin de Seguridad de la Informacin.

ISO/IEC 27003: Directrices para la implementacin de un sistema de

gestin de Seguridad de la Informacin.

ISO/IEC 27004: Mtricas para la gestin de Seguridad de la Informacin.

ISO/IEC 27005: Gestin de riesgos de la Seguridad de la Informacin.

ISO/IEC 27006: Requisitos para la acreditacin de las organizaciones que

proporcionan la certificacin de los sistemas de gestin de la Seguridad de la
Informacin.

La serie de Normas de la 27010 a la 27019, guas y documentos interpretativos de

los SGSI:

ISO/IEC 27010: Telecomunicaciones.

ISO/IEC 27011: Asistencia sanitaria.

ISO/IEC 27012: Finanzas.

ISO/IEC 27013-14: Manufacturas (industrias aeroespaciales, del automvil,

de electrnica, etc.).

ISO/IEC 27015: Auditoras y revisiones.

ISO/IEC 27016: Evaluacin y pruebas de la eficacia del plan y

procedimientos SGSI.

En lo relativo a las Normas de continuidad de negocio y outsourcing, se le ha

atribuido la serie de numeracin de la 27030 a la 27039, esta adjudicada por el
momento la siguiente numeracin:

ISO/IEC 27030: Vocabulario.

ISO/IEC 27031: Gestin de Incidentes IS.

ISO/IEC 27032: Seguridad de redes informtica (Parte 1-5).

ISO/IEC 27033: Deteccin de intrusiones (2 partes).

ISO/IEC 27034: Servicios TTP.

ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una gua

sobre la gestin de incidentes de seguridad en la informacin de grandes y
medianas empresas. Tambin proporciona una gua para las organizaciones
externas que proveen informacin de seguridad de los servicios de gestin de
incidentes.

ISO/IEC 27036: En fase de desarrollo, con publicacin prevista en 2012.

Consistir en una gua de seguridad de outsourcing (externalizacin de
servicios).

ISO/IEC 27037: En fase de desarrollo, con publicacin prevista en 2012.

Consistir en una gua de identificacin, recopilacin y preservacin de
evidencias digitales.

ISO/IEC 27038: En fase de desarrollo, con publicacin prevista en 2013.

Consistir en una gua de especificacin para la redaccin digital.

ISO/IEC 27039: En fase de desarrollo, con publicacin prevista en 2013.

Consistir en una gua para la seleccin, despliegue y operativa de sistemas
de deteccin de intrusos.

1.4. Trminos y Definiciones

Confidencialidad
La propiedad que esa informacin est disponible y no sea divulgada a
personas, entidades o procesos no autorizados

Seguridad de Informacin
Preservacin de la confidencialidad, integridad, disponibilidad de la
informacin, adems, tambin pueden estar involucradas otras propiedades
como autenticidad, responsabilidad y confiabilidad.

Sistema de Gestin de la Seguridad de Informacin

Esta parte del sistema gerencial general, basado en un enfoque de riesgo
comercial; para establecer, implementar, monitorear, revisar, mantener y
mejorar la seguridad de la informacin.

1.5. Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y
estructurada.

Reduccin del riesgo de prdida, robo o corrupcin de informacin.

Los clientes tienen acceso a la informacin a travs medidas de seguridad.

Los riesgos y sus controles son continuamente revisados.

Confianza de clientes y socios estratgicos por la garanta de calidad y

confidencialidad comercial.

Las auditoras externas ayudan cclicamente a identificar las debilidades del

sistema y las reas a mejorar.

Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO

14001, OHSAS 18001).

Continuidad de las operaciones necesarias de negocio tras incidentes de

gravedad.

Conformidad con la legislacin vigente sobre informacin personal,

propiedad intelectual y otras.

Imagen de empresa a nivel internacional y elemento diferenciador de la

competencia.

Confianza y reglas claras para las personas de la organizacin.

Reduccin de costes y mejora de los procesos y servicio.

Aumento de la motivacin y satisfaccin del personal.

Aumento de la seguridad en base a la gestin de procesos en vez de en la

compra sistemtica de productos y tecnologas.

1.6. Adaptacin
1.6.1. Arranque del Proyecto

Compromiso de la Direccin: una de las bases fundamentales sobre las que

iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin
de la organizacin. No slo por ser un punto contemplado de forma especial
por la norma sino porque el cambio de cultura y concienciacin que lleva
consigo el proceso hacen necesario el impulso constante de la Direccin.

Planificacin,

fechas,

responsables:

como

en

todo

proyecto

de

envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus

efectos positivos sobre el resto de fases.
1.6.2. Planificacin

Definir alcance del SGSI: en funcin de caractersticas del negocio,

organizacin, localizacin, activos y tecnologa, definir el alcance y los
lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de
hecho, es recomendable empezar por un alcance limitado). Es importante
disponer de un mapa de procesos de negocio, definir claramente los
interfaces con el exterior del alcance, determinar las terceras partes
(proveedores, clientes...) que tienen influencia sobre la seguridad de la
informacin del alcance, crear mapas de alto nivel de redes y sistemas,
definir las ubicaciones fsicas, disponer de organigramas organizativos,
definir claramente los requisitos legales y contractuales relacionados con
seguridad de la informacin, etc.

Definir poltica del SGSI: que incluya el marco general y los objetivos de
seguridad de la informacin de la organizacin, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad, est
alineada con la gestin de riesgo general, establezca criterios de evaluacin
de riesgo y sea aprobada por la Direccin. La poltica del SGSI es
normalmente un documento muy general, una especie de "declaracin de
intenciones" de la Direccin.

Definir el enfoque de evaluacin de riesgos: definir una metodologa de

evaluacin de riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de riesgos y determinar el
nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de
riesgos aceptadas internacionalmente (ver seccin de Herramientas); la
organizacin puede optar por una de ellas, hacer una combinacin de varias
o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de
detalle, aunque ISO 27005 s profundiza en directrices sobre la materia. El
riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que
es necesario definir una estrategia de aceptacin de riesgo.

Inventario de activos: todos aquellos activos de informacin que tienen

algn valor para la organizacin y que quedan dentro del alcance del SGSI.

Identificar amenazas y vulnerabilidades: todas las que afectan a los

activos del inventario.

Identificar los impactos: los que podra suponer una prdida de la

confidencialidad, la integridad o la disponibilidad de cada uno de los activos
de informacin.

Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo

de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la
probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y
determinar si el riesgo es aceptable (en funcin de los niveles definidos
previamente) o requiere tratamiento.

Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo

puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando
el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro
o un contrato de outsourcing).

Seleccin de controles: seleccionar controles para el tratamiento el riesgo en

funcin de la evaluacin anterior. Utilizar para ello los controles del Anexo A
de ISO 27001 (teniendo en cuenta que las exclusiones habrn de ser
justificadas) y otros controles adicionales si se consideran necesarios.

Aprobacin por parte de la Direccin del riesgo residual y autorizacin

de implantar el SGSI: hay que recordar que los riesgos de seguridad de la
informacin son riesgos de negocio y slo la Direccin puede tomar
decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que
queda, an despus de haber aplicado controles (el "riesgo cero" no existe
prcticamente en ningn caso).

Confeccionar una Declaracin de Aplicabilidad: la llamada SOA

(Statement of Applicability) es una lista de todos los controles seleccionados
y la razn de su seleccin, los controles actualmente implementados y la
justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

1.6.3. Implementacin

Definir plan de tratamiento de riesgos: que identifique las acciones,

recursos, responsabilidades y prioridades en la gestin de los riesgos de
seguridad de la informacin.

Implantar plan de tratamiento de riesgos: con la meta de alcanzar los

objetivos de control identificados.

Implementar los controles: todos los que se seleccionaron en la fase

anterior.

Formacin y concienciacin: de todo el personal en lo relativo a la

seguridad de la informacin.

Desarrollo del marco normativo

procedimientos e instrucciones.

Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

Implantar procedimientos y controles de deteccin y respuesta a incidentes

de seguridad.

necesario:

normas,

manuales,

1.6.4. Seguimiento

Ejecutar procedimientos y controles de monitorizacin y revisin: para

detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, determinar si las actividades de seguridad de la
informacin estn desarrollndose como estaba planificado, detectar y
prevenir incidentes de seguridad mediante el uso de indicadores y comprobar
si las acciones tomadas para resolver incidentes de seguridad han sido
eficaces.

Revisar regularmente la eficacia del SGSI: en funcin de los resultados de

auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y
feedback de todos los interesados.

Medir la eficacia de los controles: para verificar que se cumple con los
requisitos de seguridad.

Revisar regularmente la evaluacin de riesgos: los cambios en la

organizacin, tecnologa, procesos y objetivos de negocio, amenazas,
eficacia de los controles o el entorno tienen una influencia sobre los riesgos
evaluados, el riesgo residual y el nivel de riesgo aceptado.

Realizar regularmente auditoras internas: para determinar si los

controles, procesos y procedimientos del SGSI mantienen la conformidad
con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos

de seguridad de la organizacin, estn implementados y mantenidos con

eficacia y tienen el rendimiento esperado.

Revisar regularmente el SGSI por parte de la Direccin: para determinar

si el alcance definido sigue siendo el adecuado, identificar mejoras al
proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de
la informacin.

Actualizar planes de seguridad: teniendo en cuenta los resultados de la

monitorizacin y las revisiones.

Registrar acciones y eventos que puedan tener impacto en la eficacia o el

rendimiento del SGSI: sirven como evidencia documental de conformidad
con los requisitos y uso eficaz del SGSI.

1.6.5. Mejora Continua

Implantar mejoras: poner en marcha todas las mejoras que se hayan

propuesto en la fase anterior.

Acciones correctivas: para solucionar no conformidades detectadas.

Acciones preventivas: para prevenir potenciales no conformidades.

Comunicar las acciones y mejoras: a todos los interesados y con el nivel

adecuado de detalle.

Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la

eficacia de cualquier accin, medida o cambio debe comprobarse siempre

CONCLUSIONES

Esta norma busca salvaguardar la informacin corporativa de las

instituciones y, en consecuencia, los usuarios relacionados con estas
entidades, tener la certeza de que sus datos estn protegidos de agentes
extraos que operan a travs de la Internet.

En la actualidad, solo el 20% 25% de organizaciones que operan en Per

han implementado la norma, destacando de este grupo que el mayor
porcentaje lo comprenden organizaciones que reportan sus estados
financieros al extranjero.

BIBLIOGRAFIA
www.iso27000.es
es.wikipedia.org/wiki/ISO/IEC_27000-series
http://es.wikipedia.org/wiki/SGSI
http://www.slideshare.net/julianabh/iso-27000
http://www.buenastareas.com/ensayos/Iso-27000/203897.html
sociedaddelainformacion.wordpress.com/category/.../iso-27000/ http://www.slideshare.net/pocketbox/seguridad-de-la-informacin-iso-27000lopd-y-su-integracin-con-otras-normas
http://www.revistavirtualpro.com/revista/index.php?ed=2009-09-01&pag=7
http://www.pecert.gob.pe/index.php?
option=com_content&view=article&id=14:what-is-the-ftp-layer-for