ImplementacionISO27001 TASSI2009AlejandroCorletti PDF

Por: Alejandro Corletti Estrada
acorletti@hotmail.com
Temario
PRIMERA PARTE
Temario:
Introducción e historia de la norma.
Su verdadero significado internacional.
El SGSI (Sistema de Gestión de la Seguridad de la Información).
La definición del ámbito a implementar la norma.
El análisis de riesgo.
Los cursos de acción posibles.
La declaración de intenciones de la Dirección.
Temario
SEGUNDA PARTE
Temario:
Cómo se lleva a la práctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de acción.
Inicio del rodaje.
Definición de los controles a aplicar.
Avance grupo a grupo.
Relación documental.
Auditoría interna.
Soluciones y mejoras.
Reintegración/reingeniería inicial del SGSI.
Solicitud y preparación de la Auditoría y/o preauditoría.
Solución de Observaciones y no conformidades.
Introducción e Historia de la Norma
Tiene sus orígenes desde los 90`en el BS–7799.
Se transforma en ISO–17799.
En el 2004 AENOR UNE 71502 Especificaciones para los SGSI.
Octubre 2005 ISO–27001:2005.
Septiembre 2007 AENOR ISO/UNE–27001.
Situación Actual (Familia 27000):
Publicadas:
2005 – ISO–27001 (Certificable).
2007 – ISO 27006 (regula los organismos de certificación, alineada con 17021).
2007 – ISO–27002 (guía de controles, Ex 17799).
2008 - 27005 (Análisis de Riesgos).
Sin Publicar Aún:
27003 (Ayuda para la implantación SGSI).
27004 (Métricas).
27007 (requisitos de auditoría de un SGSI).
27011 (Sector TIC’s).
27031 (Plan de Continuidad de Negocio).
27032 (Ciberseguridad).
27033 (seguridad en redes, sobre la base de 18028).
27034 (Seguridad en las aplicaciones).
Introducción e Historia (a nivel AAPP)
Resolución de 26 de mayo de 2003, de la Secretaría de Estado para la AAPP
Expresa textualmente “Se insta a los Estados miembros de la UE a fomentar el uso de mejores
prácticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC 17799”.
Reglamento (CE) No 885/2006 de la Comisión (junio de 2006) - FEAGA (Fondo
Europeo Agrícola de Garantía) y del FEADER (Fondo Europeo Agrícola de Desarrollo Rural):
“La seguridad de los sistemas de información estará basada en los criterios fijados en una
versión aplicable en el ejercicio financiero considerado de una de las siguientes normas
aceptadas internacionalmente: i) ISO/IEC 17799)”.
En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los
Organismos Pagadores que exige garantizar la seguridad de la información.
la Consejería de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones,
apostó por la ISO–27001 y acaba de ser la primera Entidad Pública Espaoñola en certificarse
Ley 11 (junio de 2007) “Acceso electrónico de los ciudadanos a los Servicios Públicos”,
Seguridad: se menciona cuarenta y dos veces.
El punto 2. “Las AAPP....... asegurando la disponibilidad, el acceso, la integridad, la
autenticidad, la confidencialidad y la conservación de los datos......... ¿¿ ACIDA ??
MAP (Julio de 2007) “Normalización en seguridad de las TIC”
Criterios SNC (seguridad, normalización y conservación): UNE ISO/IEC 17799:2002, “Tecnologías
de la información – Código de buenas prácticas para la gestión de la seguridad de la información”
Introducción e Historia (Proyectos Oficiales)
Existen otras iniciativas para fomentar la seguridad en España a través de la
norma ISO–27001, como el proyecto PYMETICA en Andalucía, el CAMERSEC
en Málaga, la reciente Subvención del Ministerio de Industria del Plan AVANZA
PyME (19.000 € para certificación ISO–27001) y el próximo proyecto de INTECO
que abarcará varias Comunidades Españolas.
RENFE, en un pliego de licitación de septiembre de 2007, hacía mención al
estándar ISO–27001 (Esto corrobora el hecho del “Lobby” que pueden hacer las
empresas certificadas, tal cual mencionamos en artículos anteriores).
La Consejería de Agricultura y Pesca (Andalucía) ha obtuvo la certificación ISO–
27001 del denominado “Sistema de Localización y Seguimiento de Embarcaciones
Pesqueras Andaluzas”.
Consejería de Economía y AP del Principado de Asturias (Nº exp: 58/06).
Descripción del objeto: “Certificación ISO–27001 del SGSI, para el CPD de la
Administración del Principado de Asturias (año 2007)”.
Junta de Castilla – La Mancha: “Certificado ISO–27001” para sus servicios de
Internet.
Exportar Comercio Exterior Calidad
Congreso ICEX: La constante fue: Gestión
Introducción e Historia (Certificaciones)
En el discurso Internacional, el mensaje es sumamente sencillo:
Informe ISO (Dic 2007)
ISO 9001 Lugar de España: 4º mundial con 57552 certificados.
ISO 14001 Lugar de España: 3º mundial con 11125 certificados.
ISO 27001 Total mundial: 5797 certificados.
Lugar de España: No aparece en el Top 10 (23 certificados).
España es un País de “calidad”, pues así lo demuestra el “ranking”

Internacional de ISO–9000.
España, es un País que se preocupa por su “medioambiente”, según su
creciente volumen en certificaciones ISO14000.
No hay pautas claras que sitúen a España como un País confiable
para intercambiar información “On Line”, para abrir y compartir bases
de datos privadas y públicas, para confiar el bien más preciado, para
comunicarse de forma segura, etc..........
¿Porqué ISO–27001?
Por primera vez ISO, homogeneiza sus familias (GESTIÓN).
La Seguridad deja de ser sólo una cuestión técnica.
Implica a todos los niveles de la organización.
Introduce el Análisis de Riesgo y el SGSI.
El conjunto de controles (133), no deja nada librado al azar.
Ha tenido acogida y apoyo internacional (1ª vez en seguridad).
Pone/demuestra “Calidad” en la seguridad de la Información.
Aparece en un momento clave de la industria.
RECUERDEN: Marca un antes y un después.

Breves Conceptos
Los detalles que conforman el cuerpo de

esta norma, se podrían agrupar en tres
grandes líneas:
Análisis de Riegos (AR).

SGSI.
Controles.
Breves Conceptos (Análisis de Riesgos)
Puede ser desarrollado con cualquier tipo de metodología (pública o
particular), siempre y cuando sea completa y metódica.
El resultado final de un análisis de riesgo, es:
• Clara identificación, definición y descripción de los activos.
• El impacto que podría ocasionar un problema sobre cada uno.
• Conjunto de acciones que pueden realizarse (agrupadas).
• Propuesta varios cursos de acción posibles (Máx, intermedios, mín).
• Finalmente: Elección y Aprobación de un curso de acción por parte de la
Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia
(Coste/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR
el riesgo residual que quedará con lo que no esté dispuesto a abordar (…..o en
definitiva a pagar…..).
Breves Conceptos (SGSI)
En el punto cuatro de la norma, se establecen los conceptos rectores
del SGSI.
Punto 4.1. Requerimientos generales:
La organización, establecerá, implementará, operará, monitorizará, revisará,

mantendrá y mejorará un documentado SGSI en su contexto para las
actividades globales de su negocio y de cara a los riesgos. Para este
propósito, el proceso está basado en el modelo PDCA.
PUNTOS DE LA NORMA (Relativos al SGSI)

4. Sistema de Gestión de la Seguridad de la Información (SGSI).
5. Responsabilidades de la Dirección (Compromiso, gestión y provisión
recursos, concienciación y formación).
6 Auditoría Interna del SGSI (Documentos, planificación, metodología,
acciones).
7. Revisión de SGSI por parte de la Dirección.
8. Mejora de SGSI (Continua, correctiva y preventiva).
Breves Conceptos (Los Controles)
El anexo A los numera tal cual se presentan a
continuación:
A.5 Política de Seguridad.

A.6 Organización de la Información de Seguridad.
A.7 Administración de Recursos.
A.8 Seguridad de los Recursos Humanos.
A.9 Seguridad física y del entorno.
A.10 Administración de las Comunicaciones y Operaciones.
A.11 Control de Accesos.
A.12 Adquisición de Sistemas de Información, Desarrollo y
Mantenimiento.
A.13 Administración de los Incidentes de Seguridad.
A.14 Administración de la Continuidad de Negocio.
A.15 Marco Legal y Buenas Prácticas.
El SGSI (Sistema de Gestión de la Seguridad de la Información)
4.2 de la Norma
Organización: (Para NCS: PRO–01 “Organización de la Seguridad de la
Información”).
Política de Seguridad: (Para NCS: POL–01 “Política de Seguridad de la
Información”) Breve documento rector y descriptivo de líneas generales y
estratégicas.
Definir, Identificar, Analizar y Valorar Riesgos: (Para NCS: DOC–0
“AGR: Análisis y gestión de riesgos”). De este documento se descuelgan:
PLA–06 “Valoración de activos”.
PLA–07 “Inventario”.
PLA–12 “Declaración de intenciones de la Dirección”.
LA DIRECCIÓN DEBERÁ REVISAR ESTE PASO, APROBARLO Y

AVALARLO
Definición del Ámbito a Implementar
Hay que acotar el alcance del SGSI:

Centros de procesamiento de datos (CPDs).
Aplicaciones críticas para el negocio de la empresa.
Procesos de interés para la empresa.
Metodologías de control de accesos y/o autenticación.
Procesos de gestión de información (Almacenamiento,
resguardo, mantenimiento, etc).
Servicios de interés hacia terceros (Hosting, backup,
aplicaciones, soporte, etc).
Productos y/o herramientas que comercializa la empresa.
Edificios y/o instalaciones.
Infraestructuras de redes de transmisión de información.
Call Center.
Definición del Ámbito a Implementar
Empresa Ámbito Certificado
Sistema de Gestión de Seguridad de la Información asociado al control y
Acens
mantenimiento de las infraestructuras físicas del Centro de Proceso de
Technologies
Datos de Acens Technologies, ubicado en Madrid (España).
Identificación – Autenticación – Firma de operaciones y sus evidencias electrónicas a
Bankinter
través del canal Internet.
Costumer and corporate information managed during consultancy projects
development; organizational, technical and judical advice; computing and
Belt multimedia applications training and development on corporative security and asset
protection, public security and civil defense, information security and data protection,
in accordance with SOA.
Bureau Veritas certify that the management system if the above organisation
Camerfirma has been assessed and found to be in accordance with the requirements of the
standards detailed dellow ISO 27001:2005.
Junta de Castilla –
Servicios que ofrece a través de Internet.
La Mancha
Operaciones de negocio en sus delegaciones de Sevilla y de Barcelona, así
GMV como en sus oficinas centrales de Madrid.
AENOR Certifica que la empresa NCS dispone de un SGSI conforme a la norma
NCS ISO/IEC 27001 y/o UNE 71502:2004 PARA TODOS SUS SISTEMAS DE
INFORMACIÓN.
Análisis de Riesgos (A.R.)
A.R. Diferentes Metodologías
MAGERIT v2.0 (Metodología de Análisis y Gestión de Riesgos
en Sistemas de Información):
Utilizado por el Ministerio de las Administraciones Públicas.
Herramientas automatizadas (PILAR, EAR).
3 Libros (Método, Catálogo de Elementos, Guías Técnicas).
CRAMM (CCTA Risk Analysis and Management Method):
Recopila las mejores Prácticas de Seguridad para el Gobierno
Británico.
Herramienta automatizada muy comercial (y muy costosa).
Muy completa.
The Risk Security Management Guide (Microsoft):
Elaborada por Microsoft en base a Mejores Prácticas en la empresa y
en sus clientes.
Revisada por partners, clientes y técnicos.
A.R. MAGERIT
Se divide en 3 procesos:
P1: Planificación.
P2: Análisis de Riesgos.
P3: Gestión de Riesgos.
MAGERIT: P1 Planificación
Actividad A1.1: Estudio de Oportunidad:
Tarea T1.1.1: Determinar la oportunidad.
Actividad A1.2: Determinación del Alcance del Proyecto:
Tarea T1.2.1: Objetivos y restricciones generales.
Tarea T1.2.2: Determinación del dominio y límites.
Tarea T1.2.3: Identificación del entorno.
Tarea T1.2.4: Estimación de dimensiones y coste.
Actividad A1.3: Planificación del Proyecto:
Tarea T1.3.1: Evaluar cargas y planificar entrevistas.
Tarea T1.3.2: Organizar a los participantes.
Tarea T1.3.3: Planificar el trabajo.
Actividad A1.4: Lanzamiento del Proyecto:
Tarea T1.4.1: Adaptar los cuestionarios.
Tarea T1.4.2: Criterios de evaluación.
Tarea T1.4.3: Recursos Necesarios.
Tarea T1.4.4: Sensibilización.
MAGERIT: P2 Análisis de Riesgos
Actividad A2.1: Caracterización de los Activos:
Tarea T2.1.1: Identificación de los activos.
Tarea T2.1.2: Dependencias entre los activos.
Tarea T2.1.3: Valoración de los activos.
Actividad A2.2: Caracterización de las Amenazas:
Tarea T2.2.1: Identificación de las amenazas.
Tarea T2.2.2: Valoración de las amenazas.
Actividad A2.3: Caracterización de las Salvaguardas:
Tarea T2.3.1: Identificación de las salvaguardas existentes.
Tarea T2.3.2: Valoración de las salvaguardas existentes.
Actividad A2.4: Estimación del Estado de Riesgo:
Tarea T2.4.1: Estimación del impacto.
Tarea T2.4.2: Estimación del riesgo.
Tarea T2.4.3: Interpretación de los resultados.
Actividad A2.4: Estimación del Estado de Riesgo:
Tarea T2.4.1: Estimación del impacto.
Tarea T2.4.2: Estimación del riesgo.
Tarea T2.4.3: Interpretación de los resultados.
MAGERIT: P3 Gestión de Riesgos
Actividad A3.1: Toma de Decisiones:
Tarea T3.1.1: Calificación de los riesgos.
Actividad A3.2: Plan de Seguridad:
Tarea T3.2.1: Programas de seguridad.
Tarea T3.2.2: Plan de ejecución.
Actividad A3.3: Ejecución del Plan:
Tarea T3.3.1: Ejecución de cada programa de seguridad.
Cursos de Acción Posibles
Se proponen ente 3 y 5 Cursos de Acción de entre los cuales, la Dirección
escoge el que le parezca oportuno.
Declaración de Intenciones de la Dirección
En relación al Análisis de Riesgos realizado en MES de AÑO donde se
propusieron una serie de cursos de acción propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Dirección
se compromete a llevar a cabo uno de los Cursos de Acción
propuestos en un periodo no superior a X años.
Declaración de Intenciones de la Dirección
En relación al Análisis de Riesgos realizado en MES de AÑO donde se
propusieron una serie de cursos de acción propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Dirección
se compromete a llevar a cabo uno de los cursos de acción
propuestos en un periodo no superior a X años.
Cumple con 8
puntos del CURSO
DE ACCIÓN 3.
Cumple con 12
puntos del CURSO
DE ACCIÓN 3.
Cumple con 22
puntos del CURSO
DE ACCIÓN 3.
Ciclo PDCA
En la implementación de esta norma es donde se presenta el
conjunto de pasos a seguir para implantar un SGSI, el cual es un
ciclo permanente definido como PDCA, y cada uno de estas
actividades quedará regulada, normalizada y auditada mediante los
correspondientes “Controles”.
Plan (Establecer el SGSI): Política SGSI, objetivos, procesos,
procedimientos para la Administración de Riesgos y mejoras en la
Seguridad Informática y resultados acordes a las políticas y objetivos de
la organización.
Do (Implementar y Operar el SGSI): Forma en que se opera e
implementa la política, controles, procesos y procedimientos.
Check (Monitorizar y Revisar el SGSI): Analizar y medir los
procesos relacionados al SGSI, evaluar objetivos, experiencias e
informar los resultados a la administración para su revisión.
Act (Mantener y Mejorar el SGSI): Acciones preventivas y
correctivas, basadas en auditorías internas y revisiones del SGSI.
Plan de Acción
Acciones a desarrollar para alcanzar
la certificación:
Inicio del Rodaje
Definición de los Controles
Los controles que sean excluidos deberán ser justificados.
JUSTIFICACIÓN DE LA
ISO OBJETIVO CONTROL SI/NO
EXCLUSIÓN
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1.1 Funciones y Responsabilidades. SI
8.1 Previo a la Contratación. 8.1.2 Investigación de Antecedentes. SI
8.1.3 Términos y Condiciones de Contratación. SI
8.2.1 Gestión de Responsabilidades. SI
8.2 Durante la Contratación. 8.2.2 Concienciación, Educación y Formación en Seguridad de la Información. SI
8.2.3 Proceso Disciplinario. SI
8.3.1 Finalización de Responsabilidades. SI
Finalización o Cambio de
8.3 8.3.2 Retorno de Activos. SI
Puesto de Trabajo.
8.3.3 Retirada de los Derechos de Acceso. SI
9 SEGURIDAD FÍSICA Y DEL ENTORNO

9.1.1 Perímetro de Seguridad Física. SI
9.1.2 Controles Físicos de Entrada. SI
9.1.3 Seguridad de Oficinas, Despachos y Recursos. SI
9.1.4 Protección Contra las Amenazas Externas y del Entorno. SI
9.1 Áreas Seguras.
9.1.5 Trabajando en Áreas Seguras. NO NCS no necesita áreas de este tipo.
NCS no recibe volumen ni cantidad
suficiente para disponer de una
9.1.6 Áreas de Acceso Público, de Carga y Descarga. NO
sala aislada para su carga y
descarga.
9.2.1 Instalación y Protección de Equipos. SI
9.2.2 Instalaciones de Suministro. SI
Cubierto por las medidas de
9.2.3 Seguridad del Cableado. NO seguridad de control de acceso y
personal.
9.2 Seguridad de los Equipos.
9.2.4 Mantenimiento de Equipos. SI
No se saca ningún equipo fuera de
9.2.5 Seguridad de los Equipos Fuera los Locales de la Organización. NO
la oficina de NCS.
9.2.6 Seguridad en la Reutilización o Eliminación de Equipos. SI
9.2.7 Extracción de Pertenencias. SI
Resumen:
Historia.
Piezas: AR–SGSI–Controles.
Declaración de Intenciones.
Primeros pasos.
Fin de la 1ª parte
Temario
SEGUNDA PARTE
Temario:
Cómo se lleva a la práctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de acción.
Inicio del rodaje.
Definición de los controles a aplicar.
Avance grupo a grupo.
Relación documental.
Auditoría interna.
Soluciones y mejoras.
Reintegración/reingeniería inicial del SGSI.
Solicitud y preparación de la Auditoría y/o preauditoría.
Solución de Observaciones y no conformidades.
Avance Grupo a Grupo
5.– Política de Seguridad

Pto. Objetivo Control Documento
5.1.1 Documento de Política de
Documento de Seguridad de NCS.
Política de Seguridad de la Información.
5.1 Seguridad de Documento de Seguridad de NCS.
5.1.2 Revisión de la Política de
la Información
Seguridad de la Información. Documento de Control y Gestión de Cambios.
6.– Organización de la Seguridad de la Información

6.1.1 Compromiso de la Dirección con la Procedimiento de Organización de la
Seguridad de la Información. Seguridad de la información.
6.1.2 Coordinación de la Seguridad de la Procedimiento de Organización de la
Información. Seguridad de la información.
6.1.3 Asignación de Responsabilidades Procedimiento de Organización de la
sobre Seguridad de la Información. Seguridad de la información.
6.1.4 Proceso de Autorización de
Procedimiento de Control y gestión de
Organización Recursos para el Tratamiento de la
6.1 Cambios.
Interna Información.
Documento de Acuerdo de
6.1.5 Acuerdos de Confidencialidad
Confidencialidad Empresa/Trabajador.
6.1.6 Contactos con las Autoridades
6.1.7 Contacto con Grupos de Especial Procedimiento de Organización de la
Interés. Seguridad de la información.
6.1.8 Revisión Independiente de la
Documento de Lista de Verificación.
Seguridad de la Información
6.– Organización de la Seguridad de la Información

6.2.1 Identificación de Riesgos relativos a Terceros.
6.2.2 Tratamiento de la Seguridad en la Relación con los Documento de Acuerdo

Partes
6.2 Clientes. de Confidencialidad
Externas Empresa/Trabajador.
6.2.3 Tratamiento de la Seguridad en Contratos con Terceros.
Relación Documental
Punto 4.3.2. Control de Documentos:
Todos los documentos requeridos por el SGSI serán protegidos y
controlados. Un Procedimiento Documentado deberá establecer
las acciones de administración necesarias para:
Aprobar documentos y prioridades o clasificación de empleo.
Revisiones, actualizaciones y re–aprobaciones de documentos.
Asegurar que los cambios y las revisiones sean identificadas.
Asegurar que las últimas versiones estén disponibles.
Asegurar que los documentos permanezcan legibles e identificables.
Asegurar que los documentos estén disponibles para quien los
necesite y sean transferidos, guardados y finalmente clasificados.
Asegurar que los documentos de origen externo sean identificados.
Asegurar el control de la distribución de documentos.
Prevenir el empleo no deseado de documentos obsoletos.
Relación Documental
Organización de la Seguridad de la Información
Herramienta para organizar, gestionar y supervisar la
Seguridad.
Organización de la Seguridad de la Información
7.– Gestión de Activos
7.1.1 Inventario de Activos Procedimiento de Inventario de Activos.
Responsabilidad 7.1.2 Propiedad de los Activos. Plantilla de Relación de Roles.
7.1
Sobre los Activos 7.1.3 Uso Aceptable de los Procedimiento de Obligaciones del
Activos. Personal.
Procedimiento de Clasificación y
7.2.1 Guías de Clasificación.
Tratamiento de la Información.
Clasificación de
7.2 Procedimiento de Clasificación y
la Información 7.2.2 Etiquetado y Tratamiento Tratamiento de la Información.
de la Información.
Plantilla de Relación de Roles.
8.– Seguridad Ligada a los Recursos Humanos
Procedimiento de Obligaciones del Personal.
8.1.1 Funciones y Responsabilidades. Documento de Acuerdo de Confidencialidad
Empresas/Trabajador.
Previo a la
8.1 8.1.2 Investigación de Antecedentes. Procedimiento de Gestión de empleados.
Contratación
8.1.3 Términos y Condiciones de
Contratación. Documento de Acuerdo de Confidencialidad
Proceso de Contratación:
Procedimiento de Organización de la
8.2.1 Gestión de Responsabilidades.
Seguridad de la información.
Durante la 8.2.2 Concienciación, Formación y Procedimiento de Obligaciones del Personal.

8.2
Contratación Capacitación en la seguridad de la Documento de Plan de Formación y
Información. Concienciación.
8.2.3 Proceso Disciplinario. Procedimiento de Obligaciones del Personal.
Planes de Formación y Concienciación.

Evaluación de los empleados.
Vacaciones.
Personal imprescindible.
Segregación de funciones.
Documento de Acuerdo de Confidencialidad
8.3.1 Finalización de
Finalización o Responsabilidades. Procedimiento de Obligaciones del Personal.
Cambio del Procedimiento de Gestión de Empleados.
8.3
Puesto de Procedimiento de Obligaciones del Personal.
Trabajo 8.3.2 Devolución de Activos.
Procedimiento de Gestión de Empleados.
8.3.3 Retirada de los Derechos de
Acceso.
9.– Seguridad Física y Ambiental
9.1.1 Perímetro de Seguridad Física.
9.1.2 Controles Físicos de Entrada.
9.1.3 Seguridad de Oficinas, Despachos e
Áreas Instalaciones. Procedimiento de Gestión de
9.1 Empleados.
Seguras 9.1.4 Protección Contra las Amenazas Externas y de
Origen Ambiental.
9.1.5 Trabajo en Áreas Seguras.
9.1.6 Áreas de Acceso Público y de Carga y Descarga.
Procedimiento de Puesto de Trabajo y
9.2.1 Instalación y protección de Equipos. Servidores.
Procedimiento de Red Corporativa.
9.2.2 Instalaciones de Suministro. Procedimiento de Seguridad Física.
Procedimiento de Puesto de trabajo y
9.2.3 Seguridad del Cableado.
Servidores.
Seguridad de Procedimiento de Puesto de trabajo y
9.2 9.2.4 Mantenimiento de Equipos.
los Equipos Servidores.
9.2.5 Seguridad de los Equipos Fuera de los Locales
de la Organización.
Procedimiento de Gestión y Distribución
9.2.6 Reutilización o Retirada Segura de los equipos.
de Soportes.
Procedimiento de Gestión y Distribución
9.2.7 Retirada de Materiales Propiedad de la Empresa.
de Soportes.
10.– Gestión de Comunicaciones y Operaciones
10.1.1 Documentación de los Procedimiento de Control y Gestión
Procedimientos de Operación. de Cambios.
10.1.2 Gestión del Cambios. Procedimiento de Control y Gestión

Responsabilidades y de Cambios.
10.1 Procedimientos de Procedimiento de Organización de
Operación 10.1.3 Segregación de Tareas.
la Seguridad de la Información.
Procedimiento de Desarrollo,
10.1.4 Separación de los Recursos de Pruebas, Producción y Control y
Desarrollo, Prueba y Operación. gestión del software.
10.2.1 Entrega del Servicio.
Gestión de Entrega 10.2.2 Control y Revisión de los
10.2 del Servicio por Servicios Prestados por Terceras Partes.
Tercera parte 10.2.3 Gestión de cambios en los
servicios por terceras partes.
10.3.1 Gestión de la Capacidad.
Sistema de
10.3 Planificación y Procedimiento de Desarrollo,
10.3.2 Aceptación del Sistema. Pruebas, Producción y Control y
aceptación
Gestión del Software.
Procedimiento de Medidas y Controles Contra
Protección Contra 10.4.1 Controles Contra el
el Código Malicioso y Ambulante.
el Código Código Malicioso.
10.4 Procedimiento de Plan de Formación y
Malicioso y
Concienciación.
Ambulante.
10.4.2 Controles Contra el Procedimiento de Medidas y Controles Contra
Código Ambulante. el Código Malicioso y Ambulante.
Copias de 10.5.1 Copias de Seguridad Procedimiento de Copias de Respaldo y
10.5 Restauración.
Seguridad de la Información.
Gestión de la 10.6.1 Controles de Red. Procedimiento de Red Corporativa.

10.6 Seguridad de las 10.6.2 Seguridad de los
Procedimiento de Red Corporativa.
Redes Servicios de Red.
10.7.1 Gestión de los Soportes Procedimiento de Gestión y Distribución de
Extraíbles. Soportes.
Procedimiento de Gestión y Distribución de
10.7.2 Retirada de los Soportes.
Soportes.
Manipulación Procedimiento de Inventario de Activos.
10.7 de los Procedimiento de Clasificación y Tratamiento
10.7.3 Procedimientos de
Soportes de la Información.
Manipulación de la Información.
Soportes.
10.7.4 Seguridad de la Procedimiento de Clasificación y Tratamiento
Documentación del Sistema. de la Información.
Procedimiento de Clasificación y Tratamiento
10.8.1 Políticas y Procedimientos de la Información.
de Intercambio de Información.
Intercambio Procedimiento de Obligaciones del Personal.
de Procedimiento de Inventario de Activos.
10.8 Información Procedimiento de Clasificación y Tratamiento
10.8.2 Acuerdos de Intercambio.
de la Información.

10.8.3 Soportes Físicos en Tránsito.
Soportes.
Procedimiento de Obligaciones del
Personal.
10.8.4 Correo Electrónico.
Procedimiento de Seguridad en el Correo
Intercambio de Electrónico.
10.8
Información
Personal.
10.8.5 Sistema de Información de
Procedimiento de Seguridad Física.
Negocio.
Procedimiento de Seguridad en el Correo
Electrónico.
Servicios de 10.9.1 Comercio Electrónico.

10.9 Comercio 10.9.2 Transacciones On–Line.
Electrónico 10.9.3 Información Pública Disponible.
Procedimiento de Auditoría de los Sistemas de Información.
10.10.1 Registros de Auditoria.
Procedimiento de Control de los Registros.
10.10.2 Supervisión del Uso del Procedimiento de Auditoría de los Sistemas de Información.
Sistema. Procedimiento de Control de los Registros.
10.10.3 Protección de la Información Procedimiento de Auditoría de los Sistemas de Información.

de los Registros. Procedimiento de Control de los Registros.
10.10 Seguimiento
10.10.4 Registros de Administración Procedimiento de Auditoría de los Sistemas de Información.
y Operación. Procedimiento de Control de los Registros.
10.10.5 Registro de Fallos.
10.10.6 Sincronización del Reloj.
11.– Control de Acceso
Requisitos de
11.1.1 Política de Control de
11.1 Negocio para el Acceso.
Control de Acceso
11.2.1 Registro de Usuarios. Procedimiento de Seguridad Física.
Procedimiento de Control de Registros.
11.2.2 Gestión de Privilegios.
Gestión de Acceso Procedimiento de Control de Registros.
11.2
de Usuario
11.2.3 Gestión de Contraseñas de
Procedimiento de Control de Registros.
Usuario.
Plantilla de Cambio de Contraseña.
11.2.4 Revisión de los Derechos de
Acceso de Usuario.
Documento de Plan de Formación y Concienciación.
11.3.1 Uso de Contraseña.
11.3.2 Equipo de usuario
Desatendido.
Responsabilidad Procedimiento de Clasificación y Tratamiento de la
11.3
es de Usuario Información.
11.3.3 Política de Puesto de
Trabajo Despejado y Pantalla Procedimiento de Obligaciones de Personal.
Limpia. Procedimiento de Puesto de Trabajo y Servidores.
Documento de Plan de Formación y Concienciación.
11.4.1 Política de Uso de los Procedimiento de Auditoría del Sistema de
Servicios de Red. Información.
Control de 11.4.2 Autenticación de Procedimiento de Seguridad Física.
11.4
Acceso a la Red Usuario para Conexiones
Externas. Procedimiento de Control de los Registros.
11.4.3 Identificación de
Procedimiento de Puesto de Trabajo y Servidores.
Equipos en las Redes.
11.4.4 Diagnóstico Remoto y Protección de
los Puertos de Configuración.
11.4.5 Segregación de las Redes.
Control de
11.4 Acceso a la 11.4.6 Control de la Conexión a la Red.
Red Procedimiento de Control de los Registros.
11.4.7 Control del Encaminamiento de Red
11.5.1 Procedimientos Seguros de Inicio de Procedimiento de Seguridad Física.

Sesión. Procedimiento de Control de los Registros.
11.5.2 Identificación y Autenticación de Procedimiento de Seguridad Física.

Control de Usuarios. Procedimiento de Control de los Registros.
Acceso al
11.5 11.5.3 Sistema de Gestión de Contraseñas. Procedimiento de Seguridad Física.
Sistema
Operativo Procedimiento de Seguridad Física.
11.5.4 Uso de los Recursos del Sistema.
11.5.5 Desconexión Automática de Sesión. Procedimiento de Seguridad Física.
11.5.6 Limitación del Tiempo de Conexión.
Procedimiento de Clasificación y Tratamiento
11.6.1 Restricción del Acceso de la Información.
a la Información. Documento de Acuerdo de Confidencialidad
Control de Acceso a
11.6 las Aplicaciones y a
la Información Procedimiento de Desarrollo, Pruebas,
11.6.2 Aislamiento de Producción , Control y Gestión del Software.
Sistemas Sensible.
11.7.1 Ordenadores y Procedimiento de Seguridad Física.

Ordenadores Comunicaciones Móviles. Procedimiento de Control de los Registros.
11.7 Portátiles y
Teletrabajo 11.7.2 Teletrabajo.
12.– Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información

Requisitos de Documento de Análisis y Gestión de Riesgos.
12.1.1 Análisis y
Seguridad de los
12.1 Especificación de los Procedimiento de Desarrollo, Pruebas,
Sistemas de Requisitos de Seguridad. Producción, Control y Gestión del Software.
Información
Procedimiento de Desarrollo, Pruebas,
12.2.1 Validación de los Datos Producción, Control y Gestión del Software.
de Entrada
12.2.2 Control del Procedimiento de Auditoría de los Sistemas de
Procesamiento Interno. Información.
Tratamiento Documento de Análisis y Gestión de Riesgos.
12.2.3 Integridad de los
12.2 Correcto de las Mensajes. Procedimiento de Desarrollo, Pruebas,
Aplicaciones Producción, Control y Gestión del Software.
Producción, Control y Gestión del Software.
12.2.4 Validación de los Datos
Procedimiento de Auditoría de los Sistemas de
de Salida.
Información.

12.3.1 Política de Uso de los
Controles Procedimiento de Controles Criptográficos.
12.3 Controles Criptográficos.
Criptográficos 12.3.2 Gestión de Claves. Procedimiento de Controles Criptográficos.
12.4.1 Control del Software Procedimiento de Desarrollo, Pruebas,
en Explotación. Producción, Control y Gestión del Software.
12.4.2 Protección de los Procedimiento de Control y Gestión de Cambios.

Seguridad de los Datos de Prueba del Procedimiento de Desarrollo, Pruebas,
12.4 Archivos del Sistema. Producción, Control y Gestión del Software.
Sistema
12.4.3 Control de Acceso al Procedimiento de Control y Gestión de Cambios.
Código Fuente de los Procedimiento de Desarrollo, Pruebas,
Programas. Producción, Control y Gestión del Software.
Procedimiento de Control y Gestión de Cambios.
Seguridad en los
Procesos de 12.5.1 Procedimientos de
12.5 Producción, Control y Gestión del Software.
Desarrollo y Control de Cambios.
Soporte Procedimiento de Auditoría de los Sistemas de
Información.

Procedimiento de Control y Gestión de Cambios.
12.5.1 Procedimientos de Control
Producción, Control y Gestión del Software.
de Cambios.
Procedimientos de Auditoría de los Sistemas de
Información.
12.5.2 Revisión Técnica de Procedimiento de Control y Gestión de Cambios.
Aplicaciones tras Efectuar Cambios
en el Sistema Operativo. Procedimientos de Control de los Registros.
Seguridad en
12.5.3 Restricciones a los Cambios Procedimiento de Control y Gestión de Cambios.
los Procesos
12.5 en los Paquetes de Software. Documento de Plan de Continuidad de Negocio.
de Desarrollo y
Soporte Procedimiento de Obligaciones de Personal.
12.5.4 Fugas de Información. Procedimiento de Gestión y Distribución de

Soportes.
Procedimiento de Medidas y Controles Contra el
Código Malicioso y Ambulante.
12.5.5 Externalización del
Desarrollo del Software.

Procedimiento de Inventario de Activos.
Gestión de la
12.5.1 Procedimientos de Control Procedimiento de Control y Gestión de Cambios.
12.6 Vulnerabilidad de Cambios.
Técnica Procedimiento de Auditoría de los Sistemas de
Información.
13.– Gestión de Incidentes en la Seguridad de la Información

Notificación de 13.1.1 Notificación de los Procedimiento de Obligaciones de Personal.
Eventos y Puntos Eventos de Seguridad de la Documento de Gestión de Incidencias de la
13.1 Débiles de la Información. Seguridad.
Seguridad de la 13.1.2 Comunicación de Puntos
Información Procedimiento de Obligaciones de Personal.
Débiles de Seguridad.
Procedimiento de Obligaciones de Personal.
13.2.1 Responsabilidades y
Procedimientos. Documento de Gestión de Incidencias de la
Seguridad.
Procedimiento de Auditoría de los Sistemas
de Información.
Gestión de 13.2.2 Aprendizaje de los
Procedimiento de Gestión de Incidencias de
Incidentes de Incidentes de Seguridad de la
la Seguridad.
13.2 Seguridad de la Información.
Documento de Plan de Formación y
Información y
Concienciación.
Mejoras
Procedimiento de Obligaciones de Personal.
Procedimiento de Auditoría de los Sistemas
12.2.3 Recopilación de
de Información.
Evidencias.
Procedimiento de Gestión de Incidencias de
la Seguridad.
14.– Gestión de la Continuidad del Negocio
14.1.1 Inclusión de la Seguridad de la
Información en el Proceso de Gestión de la Documento de Plan de Continuidad del Negocio.
Aspectos de Continuidad del Negocio.
Seguridad 14.1.2 Continuidad del Negocio y Evaluación Documento de Análisis y Gestión de Riesgos.
de la de Riesgos. Documento de Plan de Continuidad del Negocio.
Información 14.1.3 Desarrollo e Implantación de Planes
14.1
en la Gestión de Continuidad que Incluyan la Seguridad de Documento de Plan de Continuidad del Negocio.
de la la Información.
14.1.4 Marco de Referencia para la
Continuidad Planificación de la Continuidad del Negocio.
Documento de Plan de Continuidad del Negocio.
del Negocio 15.1.5 Pruebas, Mantenimiento y
Reevaluación de los Planes de Continuidad Documento de Plan de Continuidad del Negocio.
del Negocio.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Método Clave Análisis de impacto sobre el negocio.
Parámetros Clave Impacto y tiempo.
Tipo de Incidente Acontecimientos causantes de trastornos serios para el negocio.
Magnitud del Incidente Para la planificación estratégica: sólo los incidentes que afectan a la supervivencia del negocio.
Se enfoca sobre todo en gestión de incidentes en su mayor parte externos a los aspectos
Alcance
fundamentales del negocio.
Acontecimientos súbitos o de rápida evolución (aunque también resulte apropiada si un incidente
Intensidad
persistente se transforma en severo).
PDCA de la Continuidad del Negocio
Interrelaciones: Relaciones entre la Continuidad del Negocio y otros procesos de
TI para:
Que los planes de prevención y recuperación sean conocidos por el resto de la
organización.
Que los planes se adecuen a las necesidades del Negocio.
Monitorización para asegurar: Implementación:

Que los planes de prevención y Organizar la implantación del proceso.
recuperación estén actualizados Elaborar los planes de prevención y
Que la organización está capacitada para su recuperación del servicio.
implantación Establecer los protocolos de actuación
Que los procedimientos son adecuados a en situación de crisis.
las capacidades del negocio.
Supervisión:
Evaluar regularmente los
planes de prevención y
recuperación
Asegurar el conocimiento y
formación del personal
respecto a los procesos
asociados
Políticas: Coherente sobre la Garantizar que los planes se
continuidad de los encuentran
servicios. convenientemente
Que se establezca el actualizados.
alcance de la misma.
Que se asigne los recursos
necesarios. Recuperación: Cuando la prevención ha sido
Que se establezcan las insuficiente o el desastre ha sido inevitable, la
bases para la organización gestión de Continuidad de Negocio e la
del proceso. responsable de:
Evaluar el impacto de la interrupción del Servicio.
Poner en marcha si corresponde los planes de
recuperación.
Supervisar todo el proceso.
Plan de Escalado
Variables
Tiempo /Magnitud
ALTA PRD PRD PRD
MEDIA Incidente PRD PRD
BAJA Incidente Incidente PRD

BCP Ej. Plan de Continuidad de Negocio
¿Activación
Escenario A Solución
DPR?
Se han visto afectadas varias máquinas
del CPD, aunque la estructura de este no Comprar las máquinas afectadas lo
No es necesario.
se ha visto afectada y sigue antes posible.
completamente operativo.
¿Activación
Escenario B Solución DPR
DPR?
El CPD ha quedado completamente Habilitar lo antes posible una sala
destruido, aunque las oficinas de nuestra dentro de las oficinas para la
SI.
organización están completamente recuperación de la conexiones y de
operativas. los servicios Críticos.
¿Activación
Escenario C Solución DPR
DPR?
El edificio en donde se encuentra nuestra
organización o la oficina se declara no
operativo a todos los efectos. No existe SI. Centros de Recuperación.
red interna y es imposible el trabajo en la
oficina o en todo el edificio.
15.– Cumplimiento
15.1.1 Identificación de la Legislación
Procedimiento de Requisitos Legales.
Aplicable.
15.1.2 Derechos de la Propiedad Procedimiento de Obligaciones del
Intelectual (DPI). Personal.
Procedimiento de Control de
15.1.3 Protección de los Documentos de Registros.
la Organización.
Cumplimiento de Procedimiento de Clasificación y
15.1 los Requisitos 15.1.4 Protección de Datos y Privacidad Tratamiento de la Información.
Legales de la Información Personal.
15.1.5 Prevención del Uso Indebido de los
Recursos de Tratamiento de la
Personal.
Información.
Procedimiento de Controles
15.1.6 Regulación de los Controles Criptográficos.
Criptográficos.
15.– Cumplimiento
Procedimiento de Control de los
Cumplimiento de 15.2.1 Cumplimiento de las Políticas y Registros.
Normas de Seguridad.
las Políticas y Plantilla de Plan de Revisión.
Normas de
15.2 Procedimiento de Auditoría de los
Seguridad y Sistemas de Información.
Cumplimiento 15.2.2 Comprobación del Cumplimiento
Técnico. Procedimiento de Requisitos Legales.
Técnico
Plantilla de Plan de Revisión.
Procedimiento de Auditoría de los
15.3.1 Controles de Auditoría de los Sistemas de Información.
Consideraciones Sistemas de Información.
de las Auditorías Procedimiento de Requisitos Legales.
15.3
de los Sistemas Procedimiento de Auditoría de los
de Información 15.3.2 Protección de las Herramientas de Sistemas de Información.
Auditoría de los Sistemas de Información.
Conformidades Legales ISO 27001
Leyes Específicas Aplicadas a la Informática:

LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
RLOPD: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba

el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal.
LGT: Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
LSSI-CE: Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la

Información y Comercio Electrónico.
LPI: Ley de Propiedad Intelectual.
Leyes que afectan a tratamientos específicos.

NIVEL
ARTÍCULO CONTROL DE LA ISO 27002
FICH.
BÁSICO
Doc. de Seguridad 5.1.1 Documento de Política de Seguridad de la Información.
MEDIO
(ART. 88) 10.7.2 Retirada de Soportes.
ALTO
Responsable de 6.1.2 Coordinación de la Seguridad de la Información.
MEDIO
Seguridad 6.1.3 Asignación de Responsabilidades Relativas a la Seguridad de la
ALTO
(ART. 95) Información.
Funciones y 8.1.1 Funciones y Responsabilidades.
BÁSICO
Obligaciones del 8.2.2 Concienciación, Formación y Capacitación en Seguridad de la
MEDIO
Personal Información.
ALTO
(ART. 89) 8.2.3 Proceso Disciplinario.
12.6.1 Control de las Vulnerabilidades Técnicas.

Registro de 13.1.1 Notificación de los Eventos de Seguridad de la Información. BÁSICO
Incidencias 13.2.1 Responsabilidades y Procedimientos. MEDIO
(ART. 90) 13.2.2 Aprendizaje de los Incidentes de Seguridad. ALTO
13.2.3 Recopilación de Evidencias.
13.1.1 Notificación de los Eventos de Seguridad de la Información.

Registro de
13.2.1 Responsabilidades y Procedimientos. MEDIO
Incidencias
13.2.2 Aprendizaje de los Incidentes de Seguridad. ALTO
(ART. 100)
13.2.3 Recopilación de Evidencias.
Adecuación Administrativa de los Sistemas a
las leyes vigentes:
Optimización empresarial de tratamientos.
Sencillez en la generación de soluciones.
Adecuación legal de todos los recursos empresariales con datos personales.
Generación de documentación administrativa, empresarial y de relaciones con
terceros.
Gestión de inscripciones en la AEPD.
Realización del proyecto en nuestras oficinas, excepto trabajos de campo.
Mínimo consumo de tiempo y recursos del cliente durante el proyecto.
Auditores y consultores con alta experiencia en diversos campos empresariales.
Propuestas informáticas y jurídicas de adecuación legal.
Aportación de soluciones viables a la tecnología y recursos ya implantados en la
empresa.
Auditorías de Seguridad y de Tratamientos
de Datos de Carácter Personal:
En esta segunda línea de actuación, NCS está capacitada para actuar
frente a proyectos de Auditorías de Seguridad y de Auditorías
Obligatorias respecto a los Datos de Carácter Personal.
Consiste en realizar una serie de sesiones en cliente donde se obtiene
toda la información necesaria y, posteriormente se analiza para realizar
un informe previo de auditoría de la situación actual.
Posteriormente, se redacta el Informe Final con todos los detalles del
análisis desarrollado e indicando las mejoras necesarias para solucionar
las situaciones no convenientes o anómalas en el cumplimiento de los
preceptos legales.
Auditoría Interna
Bien, para empezar la norma ISO 27001 en su punto 6 nos dice que: "La organización deberá
realizar auditorías internas del SGSI a intervalos planificados ...". Para ello debemos:
1º Elaborar el Programa Anual de Auditoría Interna teniendo en
cuenta a los auditores, tipo de auditoría, y categoría.
2º Elaborar un Plan de Auditoría

3º Establecer una
estructura y lista de
verificación para registrar
la información o hallazgos
encontrados en la
auditoria.
5º Se comunica al departamento a auditar con 10 días

4º El Auditor Jefe comunica con un correo al
hábiles de anticipación el inicio de la auditoria. El documento
jefe del Dpto. Auditado el documento
“PLA-16 Aviso de Auditoria” debe ser firmado por el auditor
jefe y por el auditado
6º Se presentan los documentos “PLA-15 Plan de Auditoria” y

“PLA-17 Reunión de Apertura-Cierre”
Se lleva a cabo la auditoria.
Auditoría Interna
Soluciones y Mejoras I.
7º Se realiza el Informe de 8º Dividiremos la auditoria en 3
auditoria, y se distribuye a todas las partes, en la primera buscaremos
áreas implicadas. que el SGSI cumpla con lo
establecido en la ISO 27001 e
indicaremos las No conformidades
encontradas con el punto
correspondiente a la Norma.
Seguiremos los mismos pasos con

la ISO 27002.
Y con los Procedimientos de

Seguridad.
9º Por último el Jefe Auditor realizará un

informe final destinado a la Dirección en el que
expondrá las observaciones o sugerencias que
considere para mejorar el Sistema y sus
conclusiones finales.
Auditoría Interna
Soluciones y Mejoras II.
10º. En el caso de Existir No Conformidades, el 11º. Se Comprueba si las acciones correctivas
jefe auditor o la persona elegida realizarán el tomadas fueron eficaces.
seguimiento de las acciones correctivas y evalúa
la eficacia
La auditoria interna NO debe ser concebida como un

acto dedicado a la inspección con tareas a veces incluso
policiacas en la cual debamos encubrir los delitos ( “a
ver si no nos pillan”), sino, como una oportunidad de
mejora continua con el asesoramiento de los posibles
puntos débiles en los cuales se deba hacer hincapié para
mejorar la organización.
Auditoría
Reintegración/Reingeniería del SGSI.

Ciclo de Gestión de un
programa de Auditoria según
ISO 19011
Auditoría de Certificación
Solicitud y Preparación Auditoría y/o Preauditoría.
1º Contactar con la Empresa 3º Informe de Preauditoría.
Certificadora y acordar las fechas de

las visitas a la Organización.
2º 1ª Visita:
Presentar la información desarrollada.
4º 2ª Visita:
Auditoría e Informe de Auditoría.
Auditoría de Certificación
Solución de Observaciones y No Conformidades.

Si las no conformidades encontradas son de tipo menor,
bastará con realizar un
plan de acciones correctivas PAC con la solución a adoptar para corregirla y
enviarla por e–mail al Jefe Auditor.
Y si todo es correcto
NUESTRO ESFUERZO TENDRÁ SU RECOMPENSA !!!.

Fin
MUCHAS GRACIAS POR VUESTRA ASISTENCIA

Alejandro Corletti Estrada
acorletti@hotmail.com

ImplementacionISO27001 TASSI2009AlejandroCorletti PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ImplementacionISO27001 TASSI2009AlejandroCorletti PDF

Cargado por

Copyright:

Formatos disponibles

Por: Alejandro Corletti Estrada

España es un País de “calidad”, pues así lo demuestra el “ranking”

La Seguridad deja de ser sólo una cuestión técnica.

Implica a todos los niveles de la organización.

Introduce el Análisis de Riesgo y el SGSI.

El conjunto de controles (133), no deja nada librado al azar.

Ha tenido acogida y apoyo internacional (1ª vez en seguridad).

Pone/demuestra “Calidad” en la seguridad de la Información.

Aparece en un momento clave de la industria.

RECUERDEN: Marca un antes y un después.

Los detalles que conforman el cuerpo de

Análisis de Riegos (AR).

La organización, establecerá, implementará, operará, monitorizará, revisará,

PUNTOS DE LA NORMA (Relativos al SGSI)

A.5 Política de Seguridad.

LA DIRECCIÓN DEBERÁ REVISAR ESTE PASO, APROBARLO Y

Hay que acotar el alcance del SGSI:

9 SEGURIDAD FÍSICA Y DEL ENTORNO

5.– Política de Seguridad

6.– Organización de la Seguridad de la Información

Pto. Objetivo Control Documento

6.– Organización de la Seguridad de la Información

6.2.1 Identificación de Riesgos relativos a Terceros.

6.2.2 Tratamiento de la Seguridad en la Relación con los Documento de Acuerdo

Durante la 8.2.2 Concienciación, Formación y Procedimiento de Obligaciones del Personal.

Planes de Formación y Concienciación.

10.1.2 Gestión del Cambios. Procedimiento de Control y Gestión

Gestión de la 10.6.1 Controles de Red. Procedimiento de Red Corporativa.

Pto. Objetivo Control Documento

Servicios de 10.9.1 Comercio Electrónico.

10.10.3 Protección de la Información Procedimiento de Auditoría de los Sistemas de Información.

11.5.1 Procedimientos Seguros de Inicio de Procedimiento de Seguridad Física.

11.5.2 Identificación y Autenticación de Procedimiento de Seguridad Física.

11.7.1 Ordenadores y Procedimiento de Seguridad Física.

Pto. Objetivo Control Documento

Pto. Objetivo Control Documento

12.4.2 Protección de los Procedimiento de Control y Gestión de Cambios.

Pto. Objetivo Control Documento

12.5.4 Fugas de Información. Procedimiento de Gestión y Distribución de

Pto. Objetivo Control Documento

Pto. Objetivo Control Documento

GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Monitorización para asegurar: Implementación:

BAJA Incidente Incidente PRD

Leyes Específicas Aplicadas a la Informática:

RLOPD: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba

LGT: Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

LSSI-CE: Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la

LPI: Ley de Propiedad Intelectual.

Leyes que afectan a tratamientos específicos.

12.6.1 Control de las Vulnerabilidades Técnicas.

13.1.1 Notificación de los Eventos de Seguridad de la Información.

1º Elaborar el Programa Anual de Auditoría Interna teniendo en

cuenta a los auditores, tipo de auditoría, y categoría.

2º Elaborar un Plan de Auditoría

5º Se comunica al departamento a auditar con 10 días

6º Se presentan los documentos “PLA-15 Plan de Auditoria” y

Seguiremos los mismos pasos con

Y con los Procedimientos de

9º Por último el Jefe Auditor realizará un

La auditoria interna NO debe ser concebida como un

Reintegración/Reingeniería del SGSI.

1º Contactar con la Empresa 3º Informe de Preauditoría.