Cómo implantar un SGSI

según UNE-ISO/IEC 27001:2014

y su aplicación en el Esquema
Nacional de Seguridad
Luis Gómez Fernández y Pedro Pablo Fernández Rivero

¡Compre YA!

5%
descuento EN NUESTRA
TIENDA ONLINE
 Cómo implantar un SGSI
según UNE-ISO/IEC 27001:2014 y
su aplicación en el Esquema
Nacional de Seguridad

Luis Gómez Fernández

Pedro Pablo Fernández Rivero

¡Compre YA!

5%
descuento EN NUESTRA
TIENDA ONLINE
 Título: Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014
y su aplicación en el Esquema Nacional de Seguridad
Autores: Luis Gómez Fernández y Pedro Pablo Fernández Rivero

© AENOR (Asociación Española de Normalización y Certificación), 2015

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,
sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-900-7
Depósito legal: M-21327-2015
Impreso en España - Printed in Spain

Edita: AENOR
Maqueta y diseño de cubierta: AENOR
Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

¡Compre YA! Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695
comercial@aenor.es • www.aenor.es

5%
descuento EN NUESTRA
TIENDA ONLINE
 Índice

Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1. Los Sistemas de Gestión de Seguridad de la Información (SGSI) . . . . . . . . . 11
1.1. Definición de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.2. El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3. La Norma UNE-ISO/IEC 27001:2014 . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3.1. Novedades en la última versión de la norma . . . . . . . . . . . . . . 13
1.3.2. Objeto y campo de aplicación de la norma . . . . . . . . . . . . . . . 14
1.4. La Norma UNE-ISO/IEC 27002:2015 . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.1. Objeto y campo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . 14
2. Requisitos de la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . 17
2.1. Contexto de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.1.1. Sistema de gestión de seguridad de la información . . . . . . . . . 17
2.1.2. Conocer la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.1.3. Definición del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . . . 19
2.2. Establecimiento y gestión del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.1. Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.2. Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2.3. Soporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.4. Operación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.2.5. Evaluación y desempeño . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2.6. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.2.7. El anexo A de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3. Recomendaciones de la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . 33
¡Compre YA!
3.1. Políticas de seguridad de la información . . . . . . . . . . . . . . . . . . . . . . 34

5%
descuento EN NUESTRA
TIENDA ONLINE
 4 Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad

3.2. Organización de la seguridad de la información . . . . . . . . . . . . . . . . 35

3.3. Seguridad relativa a los recursos humanos . . . . . . . . . . . . . . . . . . . . . 36
3.4. Gestión de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.5. Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.6. Criptografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.7. Seguridad física y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.8. Seguridad de las operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.9. Seguridad de las comunicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.10. Adquisición, desarrollo y mantenimiento de los sistemas de información . 47
3.11. Relación con proveedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.12. Gestión de incidentes de seguridad de la información . . . . . . . . . . . . . 51
3.13. Aspectos de seguridad de la información para la gestión de la
continuidad de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.14. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4. Definir e implementar un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.1. Fases del proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2. Documentación del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3. Política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.4. Evaluación de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.4.1. Elaboración del inventario de activos . . . . . . . . . . . . . . . . . . . 59
4.4.2. Identificar y valorar amenazas . . . . . . . . . . . . . . . . . . . . . . . . 61
4.4.3. Calcular el impacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.4.4. Calcular el riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.5. Identificar a los propietarios de los riesgos y tratamiento de los riesgos . 65
4.6. Determinar las medidas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 65
4.7. Evaluar los riesgos residuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.8. Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.9. Información documentada sobre procesos . . . . . . . . . . . . . . . . . . . . . 69
4.10. Formación y concienciación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.11. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.12. Revisión por la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.13. Evidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5. El proceso de certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6. Relación entre los apartados de la norma y la información documentada
del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
7.YA!
¡Compre Correspondencia entre las normas UNE-ISO/IEC 27001:2007
y UNE-ISO/IEC 27001:2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

5%
descuento EN NUESTRA
TIENDA ONLINE
 Índice 5

8. Caso práctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

8.1. Contexto de la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
8.1.1. Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
8.1.2. Estructura de la empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
8.1.3. Aspectos técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
8.2. Documentación de la política de seguridad . . . . . . . . . . . . . . . . . . . . 87
8.2.1. Política de seguridad de la información . . . . . . . . . . . . . . . . . . 87
8.2.2. Definición del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
8.2.3. Marco organizativo de la seguridad de la información . . . . . . . 90
8.2.4. Evaluación de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . 91
8.3. El inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.3.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.3.2. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.3.3. Relación proceso de negocio/activos . . . . . . . . . . . . . . . . . . . 93
8.3.4. Valoración de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
8.4. Resultados de la evaluación de riesgos . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.1. Identificación y valoración de amenazas . . . . . . . . . . . . . . . . . 95
8.4.2. Cálculo del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
8.4.3. Tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8.5. Determinar los controles y declaración de aplicabilidad . . . . . . . . . . 105
8.5.1. Declaración de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . . 106
8.6. Documentación de la gestión de riesgos . . . . . . . . . . . . . . . . . . . . . 115
8.6.1. Valoración de amenazas tras la aplicación de medidas . . . . . 115
8.6.2. Cálculo de riesgos residuales . . . . . . . . . . . . . . . . . . . . . . . . 120
8.7. Documentación del plan de tratamiento del riesgo . . . . . . . . . . . . . . 125
8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.7.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.8. Documentación del procedimiento de gestión de métricas de
seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
¡Compre YA!
8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.8.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

5%
descuento EN NUESTRA
TIENDA ONLINE
 6 Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad

8.8.5. Requisitos de documentación . . . . . . . . . . . . . . . . . . . . . . . . 131

8.8.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.8.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.9. Documentación del procedimiento de gestión de incidencias . . . . . . . 133
8.9.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
8.9.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
8.9.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
8.9.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
8.9.5. Requisitos de documentación . . . . . . . . . . . . . . . . . . . . . . . . 134
8.9.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
8.9.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
9. El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . . . . . . 137
9.1. Introducción al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
9.2. Alcance del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.3. Beneficios del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
9.4. Plan de adecuación al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
9.4.1. Política de seguridad en el ENS . . . . . . . . . . . . . . . . . . . . . . 141
9.4.2. Categorización de los sistemas . . . . . . . . . . . . . . . . . . . . . . . 143
9.4.3. Análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
9.4.4. Declaración de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . . 145
9.4.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
9.4.6. Plan de mejora de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 146
9.5. Implantación del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
9.6. Auditoría del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
9.7. Actualización del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
10. Cumplir con el ENS a través de un SGSI según UNE-ISO/IEC 27001 . . . . 149
10.1. Motivación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
10.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
10.3. Política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
10.4. Marco organizativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.5. Dimensiones de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
10.6. Categorización y riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
10.7. Catálogo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Sobre los autores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
¡Compre YA!

5%
descuento EN NUESTRA
TIENDA ONLINE
 Agradecimientos

Los autores quieren expresar su agradecimiento por sus valiosas sugerencias y su

colaboración en la revisión técnica de esta publicación, las cuales ayudaron a mejorar
su calidad, a:
• D. Miguel Ángel Amutio. Subdirector Adjunto de Coordinación de Unida-
des TIC. Dirección de Tecnologías de la Información y las Comunicaciones.
Ministerio de Hacienda y Administraciones Públicas.
• D. Carlos Manuel Fernández. Gerente de TICs. Evaluación de la conformidad.
AENOR.
• D. Boris Delgado. Auditor Jefe de TICs. AENOR.

Asimismo, agradecemos al Centro Criptológico Nacional su amable colaboración en

todas las ocasiones.

¡Compre YA!

5%
descuento EN NUESTRA
7
TIENDA ONLINE
 Introducción

Con este libro se pretende ofrecer al lector una descripción de los conceptos y re-
quisitos para la implantación efectiva de un Sistema de Gestión de Seguridad de la
Información (SGSI), utilizando para ello el estándar más frecuentemente utilizado:
UNE-ISO/IEC 27001, en su versión de 2014.
Por otra parte, se incluye un capítulo en relación al Esquema Nacional de Seguridad
(ENS), regulado en el Real Decreto 3/2010, de obligado cumplimiento en el ámbito
de la Administración Electrónica, en el que se analizan las similitudes entre UNE-
ISO/IEC 27001 y ENS y cómo dar cumplimiento a este último mediante un SGSI.
En cualquier caso, esta publicación ofrece una orientación y alternativas para la im-
plantación de un SGSI, presentando ejemplos y casos prácticos, si bien existen otros
mecanismos y métodos igualmente válidos.
Otra herramienta importante para la implantación de los requisitos de la Norma
UNE-ISO/IEC 27001 es la Norma UNE-ISO/IEC 27002, que ofrece un conjunto
de recomendaciones y buenas prácticas para la implantación de las medidas de segu-
ridad seleccionadas, para lo que se ha incluido un capítulo descriptivo de las mismas.

¡Compre YA!

5%
descuento EN NUESTRA
9
TIENDA ONLINE
 1 Los Sistemas de
Gestión de Seguridad
de la Información (SGSI)

1.1. Definición de un SGSI

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de
procesos que permiten establecer, implementar, mantener y mejorar de manera con-
tinua la seguridad de la información, tomando como base para ello los riesgos a los
que se enfrenta la organización.
Su implantación supone el establecimiento de procesos formales y una clara definición
de responsabilidades en base a una serie de políticas, planes y procedimientos que
deberán constar como información documentada.
Fundamentalmente se distinguirán dos tipos de procesos:
1. Procesos de gestión. Controlan el funcionamiento del propio sistema de gestión
y su mejora continua.
2. Procesos de seguridad. Se centran en los aspectos relativos a la propia seguridad
de la información.

En su versión de 2014, la norma ha adoptado la estructura del Anexo SL, que será
el que adopten otras normas internacionales como UNE-EN ISO 9001 o UNE-EN
ISO 14001, y que permitirá una mejor integración de sistemas de gestión basados
en estas normas, al poseer idéntica estructura y requisitos comunes. De esta manera,
para conseguir una gestión más eficiente de los recursos, se recomienda, como norma
general, integrar los distintos sistemas de gestión implantados en la organización.

¡Compre YA!

5%
descuento EN NUESTRA
11
TIENDA ONLINE
 12 Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad

1.2. El ciclo de mejora continua

Una novedad con respecto a anteriores versiones de la norma es la desaparición del
ciclo PDCA como marco obligatorio para la gestión de mejora continua, indicando
únicamente en su apartado 10.2 que “la organización debe mejorar de manera con-
tinua la idoneidad, adecuación y eficacia del sistema de gestión de seguridad de la
información”.
No obstante, el ciclo PDCA está implícito en la propia estructura de la norma,
por lo que a continuación se desarrolla este modelo de mejora continua que creemos
que es necesario conocer. El modelo PDCA o “Planificar-Hacer-Verificar-Actuar”
(Plan-Do-Check-Act, de sus siglas en inglés), consta de un conjunto de fases que
permiten establecer un modelo comparable a lo largo del tiempo, de manera que se
pueda medir el grado de mejora alcanzado (véase la figura 1.1):
• Plan. En esta fase se planifica la implantación del SGSI. Se determina el con-
texto de la organización, se definen los objetivos y las políticas que permitirán
alcanzarlos. Se correspondería con los capítulos 4, 5, 6 y 7 de la Norma UNE-
ISO/IEC 27001:2014.
• Do. En esta fase se implementa y pone en funcionamiento el SGSI. Se ponen en
práctica las políticas y los controles que, de acuerdo al análisis de riesgos, se han
seleccionado para cumplirlas. Para ello debe de disponerse de procedimientos
en los que se identifique claramente quién debe hacer qué tareas, asegurando
la capacitación necesaria para ello. Se correspondería con el capítulo 8 de la
Norma UNE-ISO/IEC 27001:2014.
• Check. En esta fase se realiza la monitorización y revisión del SGSI. Se controla
que los procesos se ejecutan de la manera prevista y que además permiten alcanzar
los objetivos de la manera más eficiente. Se correspondería con el capítulo 9 de
la Norma UNE-ISO/IEC 27001:2014.
• Act. En esta fase se mantiene y mejora el SGSI, definiendo y ejecutando las
acciones correctivas necesarias para rectificar los fallos detectados en la ante-
rior fase. Se correspondería con el capítulo 10 de la Norma UNE-ISO/IEC
27001:2014.

A la hora de diseñar el SGSI, se debe tener en cuenta que sobre el mismo se aplicará
un proceso de mejora continua, con lo que conviene partir de una primera versión
del mismo adaptado a las necesidades, operativas y recursos de la organización, con
unas medidas de seguridad mínimas que permitan proteger la información y cumplir
con los requisitos de la norma. Así, el SGSI será mejor adoptado por las personas
implicadas, evolucionando de manera gradual y con un menor esfuerzo.
¡Compre YA!

5%
descuento EN NUESTRA
TIENDA ONLINE
 1. Los Sistemas de Gestión de Seguridad de la Información (SGSI) 13

Identificar objetivos del negocio

Obtener apoyo de la dirección
Aplicar mejora continua Definir política
Acciones correctivas Act Plan Establecer el alcance
Análisis de riesgos
Seleccionar procesos/procedimientos/controles

Implantar el plan de gestión

Monitorizar
Implantar el sistema de gestión
Auditorías internas
Medir Check Do Implantar procesos/procedimientos/controles
Asignar recursos
Revisión por la dirección
Formación y concienciación

Figura 1.1. Ciclo PDCA

1.3. La Norma UNE-ISO/IEC 27001:2014

1.3.1. Novedades en la última versión de la norma
En octubre de 2013 se publicaban las revisiones de las normas internacionales ISO/
IEC 27001 (adoptada como norma española en 2014) e ISO/IEC 27002 (adoptada
como norma española en 2015) que sustituían a las versiones de 2005.
Como se ha comentado anteriormente, esta norma internacional es una de las pri-
meras en adoptar el Anexo SL, mejorando así la integración con otros sistemas de
gestión. Presenta además otras diferencias con respecto a la anterior versión:
• Aparece la figura del propietario del riesgo. Se enfatiza así la importancia de
gestionar riesgos y oportunidades en lugar de activos.
• No establece cómo se deben evaluar los riesgos. En la anterior norma se espe-
cificaba la necesidad de identificar activos, amenazas y vulnerabilidades, pero
en esta nueva versión únicamente se hace referencia a “identificar los riesgos
asociados a la pérdida de confidencialidad, integridad y disponibilidad de la
información”. Ahora, la identificación de activos, amenazas y vulnerabilidades
es una opción para la evaluación de riesgos, pero se pueden aplicar otras alter-
nativas, haciéndose referencia a la Norma UNE-ISO 31000 Gestión del riesgo.
¡Compre YA!
Principios y directrices.

5%
descuento EN NUESTRA
TIENDA ONLINE
 14 Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad

• Desaparecen las referencias a documentos y registros, pasándose a hablar de

información documentada, que podrá estar en cualquier soporte (papel o elec-
trónico).
• Se modifica el enfoque en cuanto a la actividad de selección de controles. En
anteriores versiones de la norma, se seleccionaban los controles del Anexo A que
permitiesen reducir los riesgos a un nivel aceptable. En esta versión el proceso
sería: inicialmente, determinar los controles que se necesitan (sin tomar ningún
marco como referencia) y posteriormente comparar los controles determinados
con el Anexo A para asegurarse de que no se ha olvidado ninguno.
• Se eliminan las acciones preventivas, ya que estas se consideran acciones deri-
vadas de la gestión de riesgos.
• Se actualiza el conjunto de controles, pasando de 133 repartidos en 11 seccio-
nes, a 114 repartidos en 14 secciones. Aparecen nuevos controles y desaparecen
otros cuyo contenido se reparte, evitando así anteriores duplicidades.

1.3.2. Objeto y campo de aplicación de la norma

Los requisitos de la Norma UNE-ISO/IEC 27001, al igual que sucede con otros
sistemas de gestión, son aplicables a todo tipo de organizaciones, independientemente
de su naturaleza, tamaño o sector de actividad.
Esta norma especifica los requisitos para establecer, implementar, mantener y me-
jorar de manera continua un SGSI, teniendo en cuenta los objetivos y riesgos de la
organización. No obstante, no concreta cómo deben llevarse a cabo estos procesos,
existiendo diversas posibilidades de dar cumplimiento a los mismos. Por ejemplo,
establece las características que debe cumplir el proceso de evaluación de riesgos,
pero no concreta la metodología ni los métodos a seguir. Esto ofrece a la organiza-
ción flexibilidad a la hora de definir la manera de dar cumplimiento a los requisitos,
ajustándolos a su naturaleza y capacidad.

1.4. La Norma UNE-ISO/IEC 27002:2015

1.4.1. Objeto y campo de aplicación
La Norma UNE-ISO/IEC 27002 incluye un catálogo de buenas prácticas, desa-
rrolladas en base a la experiencia y colaboración de numerosos participantes, que
han alcanzado un consenso acerca de los objetivos generalmente aceptados para la
¡Compre YA!
implantación y gestión de la seguridad de la información.

5%
descuento EN NUESTRA
TIENDA ONLINE
 1. Los Sistemas de Gestión de Seguridad de la Información (SGSI) 15

Los objetivos de control y los controles de esta norma internacional sirven de guía
para la implantación de las medidas de seguridad. Por ello, la selección de los controles
se realizará en función de los resultados de un proceso previo de evaluación de ries-
gos, y el grado de implementación de cada control se llevará a cabo de acuerdo a las
necesidades de seguridad identificadas y a los recursos disponibles de la organización,
buscando un equilibrio entre seguridad y coste.

¡Compre YA!

5%
descuento EN NUESTRA
TIENDA ONLINE
 Sobre los autores

Luis Gómez Fernández es Licenciado en Económicas por la Facultad de Económicas

de la Universidad de Oviedo. Ha desempeñado diversos cargos directivos, tanto
en la Administración Pública como en la empresa privada, hasta la creación de su
propia empresa que, actualmente, es un referente en seguridad de la información y
servicios de TI.
Pedro Pablo Fernández Rivero es Ingeniero Técnico en Informática por la Uni-
versidad de Oviedo. Inició su carrera profesional en el área de la administración de
sistemas para posteriormente especializarse en la implantación y las auditorías de
sistemas de gestión de seguridad de la información.

¡Compre YA!

5%
descuento EN NUESTRA
163
TIENDA ONLINE
Final del fragmento del libro

¡Compre YA!

5%
descuento
en

ne

nu n li
e stra
ti e n d a o

www.aenor.es • comercial@aenor.es • 914 326 036