REPUBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD NOR-ORIENTAL GRAN MARISCAL DE AYACUCHO

CATEDRA: ELECTIVA TECNICA
CARRERA: ING. INFORMATICA
SECCION: 1S

NORMAS ISO 27001

Autor: Carpenito Jhonny C.I 25744294

Azocar Deibis C.I 25744506
Profesora: Ana Pinancel
Fecha: Guayana, Mayo del 2013

Introduccin

Con este trabajo se busca expandir los conocimientos

sobre las normas ISO 27001 y todas las reas que esta
abarca, podemos decir con antelacin que las polticas de
seguridad expuestas en estas normas son muy
importantes para las empresas independientemente sea o
no sea con fines de lucro y sea grande o sea pequea
.Como futuros Ing.Informticos el estudio de estas normas
es clave para nuestra formacin ya que esta provee
estndares indispensables para el uso y el manejo de la
informacin asegurando su integridad y seguridad.

1) Que es la norma ISO 27001?

La norma ISO 27001 define cmo organizar la seguridad
de la informacin en cualquier tipo de organizacin, con o
sin fines de lucro, privada o pblica, pequea o grande. Es
posible afirmar que esta norma constituye la base para la
gestin de la seguridad de la informacin.
La ISO 27001 es para la seguridad de la informacin lo
mismo que la ISO 9001 es para la calidad: es una norma
redactada por los mejores especialistas del mundo en el
campo de seguridad de la informacin y su objetivo es
proporcionar una metodologa para la implementacin de
la seguridad de la informacin en una organizacin.
Tambin permite que una organizacin sea certificada, lo
cual significa que una entidad de certificacin
independiente ha confirmado que la seguridad de la
informacin se ha implementado en esa organizacin de
la mejor forma posible.
A raz de la importancia de la norma ISO 27001, muchas
legislaturas han tomado esta norma como base para
confeccionar las diferentes normativas en el campo de la
proteccin de datos personales, proteccin de informacin
confidencial, proteccin de sistemas de informacin,
gestin de riesgos operativos en instituciones financieras,
etc.
2) Identifique y explique las fases que se gestionan en la
norma ISO 27001
Cuatro fases del sistema de gestin de seguridad de la
informacin.

La norma ISO 27001 determina cmo gestionar la

seguridad de la informacin a travs de un sistema de
gestin de seguridad de la informacin. Un sistema de
gestin de este tipo, igual que las normas ISO 9001 o ISO
14001, est formado por cuatro fases que se deben
implementar en forma constante para reducir al mnimo
los
riesgos
sobre
confidencialidad,
integridad
y
disponibilidad de la informacin.

Las fases son las siguientes:

La Fase de planificacin: esta fase sirve para planificar la
organizacin bsica y establecer los objetivos de la
seguridad de la informacin y para escoger los controles
adecuados de seguridad (la norma contiene un catlogo
de 133 posibles controles).
La Fase de implementacin: esta fase implica
realizacin de todo lo planificado en la fase anterior.

la

La Fase de revisin: el objetivo de esta fase es monitorear

el funcionamiento del SGSI mediante diversos canales y
verificar si los resultados cumplen los objetivos
establecidos.
La Fase de mantenimiento y mejora: el objetivo de esta
fase es mejorar todos los incumplimientos detectados en
la fase anterior.
El ciclo de estas cuatro fases nunca termina, todas las
actividades deben ser implementadas cclicamente para
mantener la eficacia del SGSI.

-La Fase de planificacin

Esta fase est formada por los siguientes pasos:
Determinacin del alcance del SGSI; Redaccin de una
Poltica de SGSI; Identificacin de la metodologa para
evaluar los riesgos y determinar los criterios para la
aceptabilidad de riesgos; Identificacin de activos,
vulnerabilidades y amenazas; Evaluacin de la magnitud
de los riesgos; Identificacin y evaluacin de opciones
para el tratamiento de riesgos; Seleccin de controles
para el tratamiento de riesgos; Obtencin de la
aprobacin de la gerencia para los riesgos residuales;
Obtencin de la aprobacin de la gerencia para la
implementacin del SGSI; Redaccin de una declaracin
de aplicabilidad que detalle todos los controles aplicables,
determine cules ya han sido implementados y cules no
son aplicables.

-La Fase de implementacin

Esta fase incluye las siguientes actividades:
Redaccin de un plan de tratamiento del riesgo que
describe quin, cmo, cundo y con qu presupuesto se
deberan implementar los controles correspondientes;
Implementacin de un plan de tratamiento del riesgo;
implementacin
de
los
controles
de
seguridad
correspondientes; determinacin de cmo medir la
eficacia de los controles; realizacin de programas de
concienciacin y capacitacin de empleados; gestin del

funcionamiento normal del SGSI; gestin de los recursos

del SGSI; implementacin de procedimientos para
detectar y gestionar incidentes de seguridad.

La Fase de verificacin
Esta fase incluye lo siguiente:
Implementacin de procedimientos y dems controles de
supervisin y control para determinar cualquier violacin,
procesamiento incorrecto de datos, si las actividades de
seguridad se desarrollan de acuerdo a lo previsto, etc.;
revisiones peridicas de la eficacia del SGSI; medicin la
eficacia de los controles; revisin peridica de la
evaluacin de riesgos; auditoras internas planificadas;
revisiones por parte de la direccin para asegurar el
funcionamiento del SGSI y para identificar oportunidades
de mejoras; actualizacin de los planes de seguridad para
tener en cuenta otras actividades de supervisin y
revisin; mantenimiento de registros de actividades e
incidentes que puedan afectar la eficacia del SGSI.

La fase de mantenimiento y mejora

Esta fase incluye lo siguiente:
Implementacin en el SGSI de las mejoras identificadas;
toma de medidas correctivas y preventivas y aplicacin de
experiencias de seguridad propias y de terceros;
comunicacin de actividades y mejoras a todos los grupos

de inters; asegurar
objetivos previstos.

que las mejoras cumplan

los

3) Cuntos documentos se gestionan en la norma ISO

27001?
Documentos de ISO 27001
La norma ISO 27001 requiere los siguientes documentos:
El alcance del SGSI; la poltica del SGSI; procedimientos
para control de documentacin, auditoras internas y
procedimientos para medidas correctivas y preventivas;
todos los dems documentos, segn los controles
aplicables; metodologa de evaluacin de riesgos; informe
de evaluacin de riesgos; declaracin de aplicabilidad;
plan de tratamiento del riesgo; registros.

La cantidad y exactitud de la documentacin depende del

tamao y de las exigencias de seguridad de la
organizacin; esto significa que una docena de
documentos sern suficientes para una pequea
organizacin, mientras que las organizaciones grandes y
complejas tendrn varios cientos de documentos en su
SGSI.
4) Qu organizaciones cubre la norma ISO 27001?
Respalda a toda organizacin ya sea con fin o no fin de
lucro ya sean pequeas o grandes.

5) Qu controles se deben tener en cuenta para:

a. La red externa
b. Intercambio de informacin
c. soporte fsico
d. servicios externos
e. seguridad fsica
f. desarrollo y mantenimiento de software (servidores,
estaciones de trabajo, aplicaciones y documentacin)
g. Organizacin
h. Usuarios

A.5 Poltica de seguridad.

Este est constituido por dos controles los cuales son
- Poltica de seguridad (Nivel poltico o estratgico de la
organizacin): Es la mayor lnea rectora, la alta direccin.
Define las grandes lneas a seguir y el nivel de
compromiso de la direccin con ellas.
- Plan de Seguridad (Nivel de planeamiento o tctico):
Define el Cmo. Es decir, baja a un nivel ms de detalle,
para dar inicio al conjunto de acciones o lneas rectoras
que se debern cumplir.

A.6 Organizacin de la informacin de seguridad.

Este segundo grupo de controles abarca once de ellos y se
subdivide en:
- Organizacin Interna: Compromiso de la Direccin,
coordinaciones,
responsabilidades,
autorizaciones,
acuerdos de confidencialidad, contactos con autoridades y
grupos de inters en temas de seguridad, revisiones
independientes.
- Partes externas: Riesgos relacionados con terceros,
gobierno de la seguridad respecto a clientes y socios de
negocio.
Lo ms importante a destacar de este grupo son dos
cosas fundamentales que abarcan a ambos subgrupos:
- Organizar y Mantener actualizada la cadena de
contactos (internos y externos), con el mayor detalle
posible
(Personas,
responsabilidades,
activos,
necesidades, acuerdos, riesgos, etc.).
- Establecer derechos y obligaciones de cualquiera de los
involucrados.

A.7 Administracin de recursos

Este grupo cubre cinco controles y tambin se encuentra
subdividido en:
- Responsabilidad en los recursos: habla de cmo manejar
los Inventarios, los propietarios de los recursos y la
implementacin aceptable de los mismos.

- Clasificacin de la informacin: Guas de clasificacin y

Denominacin, identificacin y tratamiento de la
informacin.

A.8 Seguridad de los recursos humanos.

Este grupo cubre nueve controles y tambin se encuentra
subdividido en:
- Antes del empleo: Habla de Responsabilidades y roles,
verificaciones curriculares, trminos y condiciones de
empleo.
- Durante el empleo: abarca la Administracin de
responsabilidades,
preparacin,
educacin
y
entrenamiento en seguridad de la informacin, medidas
disciplinarias.
- Finalizacin o cambio de empleo: tiene como objetivo
informar sobre la
Finalizacin de responsabilidades,
devolucin de recursos, revocacin de derechos.
Este grupo, en la actualidad, debe ser el gran ausente en
la mayora de las organizaciones. Se trata de un serio
trabajo a realizar entre RRHH y los responsables de
Seguridad de la Informacin de la organizacin.

A.9 Seguridad fsica y del entorno

Este grupo cubre trece controles y tambin se encuentra

subdividido en:
- reas de seguridad: Trata la parte de Seguridad fsica y
perimetral, control fsico de entradas, seguridad de locales
edificios y recursos, proteccin contra amenazas externas
y del entorno, el trabajo en reas e seguridad, accesos
pblicos, reas de entrega y carga.
- Seguridad de elementos: Maneja todo lo referente a
ubicacin y proteccin de equipos, elementos de soporte
a los equipos, seguridad en el cableado, mantenimiento
de equipos, seguridad en el equipamiento fuera de la
organizacin, seguridad en la redistribucin o reutilizacin
de equipamiento, borrado de informacin y/o software.

A.10 Administracin
operaciones

de

las

comunicaciones

Este grupo comprende treinta y dos controles, es el ms

extenso de todos y se divide en:
- Procedimientos operacionales y responsabilidades: Tiene
como objetivo asegurar la correcta y segura operacin de
la informacin, comprende cuatro controles. Hace especial
hincapi en documentar todos los procedimientos,
manteniendo los mismos y disponibles a todos los
usuarios que los necesiten, segregando adecuadamente
los servicios y las responsabilidades para evitar uso
inadecuado de los mismos.
Administracin de prestacin de servicios de terceras
partes:
Abarca
tres
controles,
se
refiere

fundamentalmente, como su nombre lo indica, a los casos

en los cuales se encuentran tercerizadas determinadas
tareas o servicios del propio sistema informtico. Los
controles estn centrados en tres aspectos fundamentales
de esta actividad:
Documentar adecuadamente los servicios que se estn
prestando (acuerdos, obligaciones, responsabilidades,
confidencialidad, operacin, mantenimiento, etc.).
Medidas a adoptar para la revisin, monitorizacin y
auditora de los mismos
Documentacin adecuada que permita regularizar y
mantener un eficiente control de cambios en estos
servicios.
- Planificacin y aceptacin de sistemas: El objetivo es
realizar una adecuada metodologa para que al entrar en
produccin cualquier sistema, se pueda minimizar el
riesgo de fallos.
De acuerdo a la magnitud de la empresa y al impacto del
sistema a considerar, siempre es una muy buena medida
la realizacin de maquetas. Estas maquetas deberan
acercarse todo lo posible al entorno en produccin, para
que sus pruebas de funcionamiento sean lo ms veraces
posibles, simulando ambientes de trabajo lo ms
parecidos al futuro de ese sistema (Hardware y Software,
red, carga de operaciones y transacciones, etc.), cuanto
mejor calidad y tiempo se dedique a estas maquetas,
menor ser la probabilidad de fallos posteriores, es una
relacin inversamente proporcional que se cumple en la
inmensa mayora de los casos.

- Proteccin contra cdigo mvil y maligno: el objetivo de

este apartado es la proteccin de la integridad del
software y la informacin almacenada en los sistemas.
El cdigo mvil es aquel que se transfiere de un equipo a
otro para ser ejecutado en el destino final, este empleo es
muy comn en las arquitecturas cliente-servidor, y se est
haciendo ms comn en las arquitecturas vctimagusano, por supuesto con un empleo notan deseado.
Sobre el empleo seguro de Cdigo mvil, recomiendo que
el que est interesado, profundice en una metodologa
que est haciendo las cosas bien, que se denomina ProofCarring Code (PCC), la cual propone la implementacin
de medidas para garantizar que los programas que sern
ejecutados en el cliente lo hagan de forma segura. Se
puede encontrar mucha informacin al respecto en
Internet.
Resguardo:
El
objetivo
de
esta
apartado
conceptualmente es muy similar al anterior, comprende
un solo control que remarca la necesidad de las copias de
respaldo y recuperacin. Siguiendo la misma insistencia
del prrafo precedente, de nada sirve realizar copias de
respaldo y recuperacin, sino se prepara al personal e
implementan las mismas con prcticas y procedimientos.
- Administracin de la seguridad de redes: Los dos
controles que conforman este apartado hacen hincapi en
la necesidad de administrar y controlar lo que sucede en
nuestra red, es decir, implementar todas las medidas
posibles para evitar amenazas, manteniendo la seguridad
de los sistemas y aplicaciones a travs del conocimiento
de la informacin que circula por ella. Se deben

implementar
controles
tcnicos,
que
evalen
permanentemente los servicios que la red ofrece, tanto
propios como tercerizados.
- Manejo de medios: En esta traduccin, como medio
debe entenderse todo elemento capaz de almacenar
informacin (discos, cintas, papeles, etc. tanto fijos como
removibles). Por lo tanto el objetivo de este grupo es, a
travs de sus cuatro controles, prevenir la difusin,
modificacin, borrado o destruccin de cualquiera de ellos
o lo que en ellos se guarda.

- Intercambios de informacin: Este grupo contempla el

conjunto de medidas a considerar para cualquier tipo de
intercambio de informacin, tanto en lnea como fuera de
ella, y para movimientos internos o externos de la
organizacin.
Servicios de comercio electrnico: Este grupo, supone que
la empresa sea la prestadora de servicios de comercio
electrnico, es decir, no aplica a que los empleados
realicen una transaccin, por parte de la empresa o por
cuenta propia, con un servidor ajeno a la misma.
Monitorizacin: Este apartado tiene como objetivo la
deteccin de actividades no autorizadas en la red.
A.11 Control de accesos
El control de acceso es una de las actividades ms
importantes de la arquitectura de seguridad de un
sistema. Al igual que sucede en el mundo de la seguridad
fsica, cualquiera que ha tenido que acceder a una caja de

seguridad bancaria vivi como a medida que uno de

llegando a reas de mayor criticidad, las medidas de
control de acceso se incrementan, en un sistema
informtico debera ser igual.
Para cumplir con este propsito, este apartado lo hace a
travs de veinticinco controles, que los agrupa de la
siguiente forma:
- Requerimientos de negocio para el control de accesos:
Debe existir una Poltica de Control de accesos
documentada, peridicamente revisada y basada en los
niveles de seguridad que determine el nivel de riesgo de
cada activo.
- Administracin de accesos de usuarios: Tiene como
objetivo asegurar el correcto acceso y prevenir el no
autorizado y, a travs de cuatro controles, exige llevar un
procedimiento de registro y revocacin de usuarios, una
adecuada administracin de los privilegios y de las
contraseas de cada uno de ellos, realizando peridicas
revisiones a intervalos regulares, empleando para todo
ello
procedimientos
formalizados
dentro
de
la
organizacin.
- Responsabilidades de usuarios: Todo usuario dentro de la
organizacin debe tener documentadas sus obligaciones
dentro de la seguridad de la informacin de la empresa.
Independientemente de su jerarqua, siempre tendr
alguna responsabilidad a partir del momento que tenga
acceso a la informacin. Evidentemente existirn
diferentes
grados
de
responsabilidad,
y

proporcionalmente a ello, las obligaciones derivadas de

estas funciones.
Lo que no puede suceder es que algn usuario las
desconozca.
- Control de acceso a redes: Todos los servicios de red
deben ser susceptibles de medidas de control de acceso;
para ello a travs de siete controles, en este grupo se
busca prevenir cualquier acceso no autorizado a los
mismos.
- Control de acceso a sistemas operativos: El acceso no
autorizado a nivel sistema operativo presupone uno de los
mejores puntos de escalada para una intrusin; de hecho
son los primeros pasos de esta actividad, denominados
Fingerprintig y footprinting, pues una vez identificados
los sistemas operativos, versiones y parches, se comienza
por el ms dbil y con solo conseguir un acceso de
usuario, se puede ir escalando en privilegios hasta llegar a
encontrar el de root, con lo cual ya no hay ms que
hablar. La gran ventaja que posee un administrador, es
que las actividades sobre un sistema operativo son
mnimas, poco frecuentes sus cambios, y desde ya que no
comunes a nivel usuario del sistema, por lo tanto si se
saben emplear las medidas adecuadas, se puede
identificar
rpidamente
cuando
la
actividad
es
sospechosa, y en definitiva es lo que se propone en este
grupo: Seguridad en la validacin de usuarios del sistema
operativo, empleo de identificadores nicos de usuarios,
correcta administracin de contraseas, control y
limitacin de tiempos en las sesiones y por ltimo

verificaciones de empleo de utilidades de los sistemas

operativos que permitan realizar acciones interesantes.

- Control de acceso a informacin y aplicaciones: En este

grupo, los dos controles que posee estn dirigidos a
prevenir el acceso no autorizado a la informacin
mantenida en las aplicaciones. Propone redactar, dentro
de la poltica de seguridad, las definiciones adecuadas
para el control de acceso a las aplicaciones y a su vez el
aislamiento de los sistemas sensibles del resto de la
infraestructura. Este ltimo proceder es muy comn en
sistemas crticos (Salas de terapia intensiva, centrales
nucleares, servidores primarios de claves, sistemas de
aeropuertos, militares, etc.), los cuales no pueden ser
accedidos de ninguna forma va red, sino nicamente
estando fsicamente en ese lugar. Por lo tanto si se posee
alguna
aplicacin
que
entre
dentro
de
estas
consideraciones, debe ser evaluada la necesidad de
mantenerla o no en red con el resto de la infraestructura.
- Movilidad y teletrabajo: Esta nueva estructura laboral, se
est haciendo cotidiana en las organizaciones y presenta
una serie de problemas desde el punto de vista de la
seguridad:
Accesos desde un ordenador de la empresa, personal o
pblico.
Posibilidades de instalar o no, medidas
hardware/software seguro en el ordenador remoto.

de

 Canales de comunicaciones por los cuales se accede

(red pblica, privada, GPRS,
UMTS, WiFi, Tnel, etc.).
Contratos que se posean sobre estos canales.
Personal que accede: propio, tercerizado, o ajeno.
Lugar remoto: fijo o variable.
Aplicaciones e informacin a la que accede.
Nivel de profundidad en las zonas de red a los que debe
acceder.
Volumen y tipo de informacin que enva y recibe.
Nivel de riesgo que se debe asumir en cada acceso.
Cada uno de los aspectos expuestos merece un
tratamiento detallado y metodolgico, para que no surjan
nuevos puntos dbiles en la estructura de seguridad.

A.12 Adquisicin de sistemas

desarrollo y mantenimiento

de

informacin,

Este grupo rene diecisis controles.

- Requerimientos de seguridad de los sistemas de
informacin: Este primer grupo que incluye un solo
control, plantea la necesidad de realizar un anlisis de los
requerimientos que deben exigirse a los sistemas de
informacin, desde el punto de vista de la seguridad para
cumplir con las necesidades del negocio de cada empresa

en particular, para poder garantizar que la seguridad sea

una parte integral de los sistemas.
- Procesamiento correcto en aplicaciones: En este grupo
se presentan cuatro controles, cuya misin es el correcto
tratamiento de la informacin en las aplicaciones de la
empresa. Para ello las medidas a adoptar son, validacin
en la entrada de datos, la implementacin de controles
internos en el procesamiento de la informacin para
verificar o detectar cualquier corrupcin de la informacin
a travs de los procesos, tanto por error como
intencionalmente, la adopcin de medidas para asegurar
y proteger los mensajes de integridad de las aplicaciones.
Y por ltimo la validacin en la salida de datos, para
asegurar que los datos procesados, y su posterior
tratamiento o almacenamiento, sea apropiado a los
requerimientos de esa aplicacin.
- Controles criptogrficos: Nuevamente se recalca este
objetivo de la criptografa de proteger la integridad,
confidencialidad y autenticidad de la informacin. En este
caso, a travs de dos controles, lo que propone es
desarrollar una adecuada poltica de empleo de estos
controles criptogrficos y administrar las calves que se
emplean de forma consciente.
El tema de claves criptogrficas, como se ha podido
apreciar hasta ahora, es un denominador comn de toda
actividad de seguridad, por lo tanto ms an cuando lo
que se pretende es implementar un completo SGSI, por lo
tanto es conveniente y muy recomendable dedicarle la
atencin que evidentemente merece, para lo cual una
muy buena medida es desarrollar un documento que

cubra todos los temas sobre los cuales los procesos

criptogrficos participarn de alguna forma y desde el
mismo referenciar a todos los controles de la norma en los
cuales se hace uso de claves.
- Seguridad en los sistemas de archivos: La Seguridad en
los sistemas de archivos, independientemente que existan
sistemas operativos ms robustos que otros en sus
tcnicas de archivos y directorios, es una de las
actividades sobre las que se debe hacer un esfuerzo
tcnico adicional, pues en general existen muchas
herramientas para robustecerlos, pero no suelen usarse.
Es cierto que los sistemas de archivos no son un tema
muy esttico, pues una vez que un sistema entra en
produccin suelen hacerse muchas modificaciones sobre
los mismos, por esto ltimo principalmente es que una
actividad que denota seriedad profesional, es la
identificacin de Cules son los directorios o archivos que
no deben cambiar y cules s? Esta tarea la he visto en
muy, pero muy pocas organizaciones, y puedo asegurar
que es una de las que mayores satisfacciones proporciona
en el momento de despertar sospechas y restaurar
sistemas. Suele ser el mejor indicador de una actividad
anmala, si se ha planteado bien el interrogante
anteriormente propuesto. Si se logra identificar estos
niveles de estaticidad y cambio y se colocan los
controles y auditoras peridicas y adecuadas sobre los
mismos, este ser una de las alarmas de la que ms
haremos uso a futuro en cualquier etapa de un incidente
de seguridad, y por supuesto ser la mejor herramienta
para restaurar un sistema a su situacin inicial.

A.13 Administracin de los incidentes de seguridad

Todo lo relativo a incidentes de seguridad queda resumido
a dos formas de proceder:
- Proteger y proceder.
- Seguir y perseguir.

Conclusin

Una vez concluido este trabajo podemos decir que una

Poltica de Seguridad bien planteada, diseada, y
desarrollada cubre la gran mayora de los aspectos que
hacen falta para un verdadero SGSI (sistema de gestin
de la seguridad de la informacin) ,estas normas son
amplias y cubre todo lo referente a la seguridad de la
informacin por lo que un manejo eficiente de estas es
crucial en una era donde todo se maneja en base a la
informacin. Algo que cabe resaltar es que a travs de
estas norma que tienen como objetivo llevar a adelante
un verdadero SGSI, son aplicables a cualquier tipo de
organizacin, independientemente de su magnitud, pues
si es grande, tiene todo el nivel de detalle que desea y si
es pequea tiene a su disposicin la posibilidad de
justificar todo aquello que no le aplica y (una vez
planteado y pensado), dejarlo de lado si no le es til.

Blibiografia
http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_I.pdf
ISO-27001: LOS CONTROLES (Parte I) Por: Alejandro Corletti Estrada
Madrid, noviembre de 2006.

http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf
ISO-27001: LOS CONTROLES (Parte II) Por: Alejandro Corletti Estrada
Madrid, noviembre de 2006.

http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
Estndar internacional ISO/IEC 27001 Primera edicin 15/10/2005.

http://www.iso27001standard.com/es/que-es-la-norma-iso-27001
por Dejan Kosutic

Escrito