NTC ISO/IEC 27001

Tecnología de la información
Técnicas de seguridad
sistemas de gestión de la
seguridad de la información

Integrantes:
Ing. Sandra Milena Ocampo C
Ing. Jorge Hernán Gaviria
 ¿Qué es información?
Conjunto de datos organizados en poder de una
entidad que poseen valor para la misma.

• escrita,
• en imágenes,
• oral,
La información • impresa en papel,
puede estar • almacenada electrónicamente,
• proyectada,
• enviada por correo, fax o e-mail,
• transmitida en conversaciones.
• nube
Seguridad de la información
Consiste en la preservación de su
confidencialidad, integridad y
disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una
organización.
Ciclo de vida de la información
 • La información no se pone a disposición ni se
Confidencialidad revela a individuos, entidades o procesos no
autorizados.

• Mantenimiento de la exactitud y completitud

Integridad de la información y sus métodos de proceso.

• Acceso y utilización de la información y los

sistemas de tratamiento de la misma por parte
Disponibilidad de los individuos, entidades o procesos
autorizados cuando lo requieran.
¿Qué es un SGSI?
Dado el conocimiento del ciclo de vida de cada
información relevante se debe adoptar el uso de
un proceso sistemático, documentado y conocido
por toda la organización, desde un enfoque de
riesgo empresarial. Este proceso es el que
constituye un SGSI
ORIGEN
Normas BS BS 7799-2:1999
BS 7799-2:2002
La British Standards Institution Revisión de la anterior
Se publicó una nueva versión
publica normas con el prefijo BS con norma. Establecía los requisitos
que permitió la acreditación de
carácter internacional. Estas son el para implantar un Sistema de
empresas por una entidad
origen de normas actuales como ISO Gestión de Seguridad de la
certificadora de Reino Unido y
9001, ISO 14001 u OHSAS 18001. Información certificable. En 1999 se
en otros países.
revisa.

1979 1995 1998 2000 2002

ISO/IEC 17799:2000
BS 7799-1:1995
La organización Internacional
Mejores prácticas para ayudar a las
para la Estandarización
empresas británicas a administrar la
(ISO) tomó la norma británica BS
Seguridad de la Información. Eran
7799-1 que dio lugar a la llamada ISO
recomendaciones que no permitían la
17799, sin experimentar grandes
certificación ni establecía la forma de
cambios.
conseguirla.

2013 2009 2007 2005

ISO 27001: ISO/IEC 27001:2005 e ISO/IEC

Nueva ISO 27001:2013
2007/1M:2009
Nueva ISO 27002:2013
Se publica un documento adicional
de modificaciones llamado ISO
27001:2007/1M:2009.
ISO 17799. Se renombra y pasa a
17799:2005 Aparece el estándar
ser la ISO 27002:2005 ISO/IEC
ISO 27001 como norma
27001:2007.
internacional certificable y se
Se publica la nueva versión
revisa la ISO 17799 dando lugar a
la ISO 27001:2005.
 Directrices
para auditoria
de SGSI
Términos y 27007
vocabulario 27009
27000 27006 Requisitos
organismos
de auditoria
Requisitos
SGSI

27001
SERIE 27005
27000 Gestión del
riesgo de S.I

Guía de
buenas
prácticas 27002 27004
Métricas
27003 SGIS
Guía para
implementación
del SGSI
ISO 27001: Norma principal de la serie. Especifica los requisitos
para la implantación de un SGSI.
ISO 27003: Directrices para la implantación de un SGSI.
ISO 27005: Directrices para la gestión del riesgo seguridad de la
información.
ISO 27007: Guía para auditar el SGSI.
ISO 27010: Guía para gestionar la seguridad de la información en
comunicaciones entre sectores.
ISO 270012: Requisitos y directrices de gestión de seguridad de la
información en organizaciones de servicios de e-administración.
ISO 27014: Guía de gobierno corporativo de la seguridad de la
información.
ISO 27016: Guía de SGSI para aspectos económicos de las
organizaciones.
ISO 27032: Guía sobre ciberseguridad.
ISO 27034: Guía de seguridad en aplicaciones.
ISO 27036: Guía de seguridad de servicios externalizados.
ISO 27038: Guía de especificación para la redacción digital.
ISO 27040: Guía para la seguridad en medios de almacenamiento.
ISO 27799: Estándar para la estándar de gestión de seguridad de la azul:
información en el sector sanitario aplicando ISO 27002.
Amari
ISO 27002: Guía de buenas prácticas para la gestión de la
seguridad de la información.
ISO 27004: Métricas y técnicas para la gestión de la seguridad de
la información.
ISO 27006: Requisitos para la acreditación de entidades que
proporcionan certificación de SGSI.
ISO 27008: Guía de auditoría de los controles seleccionados en el
marco de implantación de un SGSI.
ISO 27011: Guía de gestión de seguridad de la información para
telecomunicaciones.
ISO 27013: Guía para la implementación integrada de ISO 27001 e
ISO 20000-1 (Requisitos SGSTI)
ISO/IEC TR 27015: Guía de SGSI para organizaciones del sector
seguros y finanzas
ISO 27031: Guía de continuidad de negocio referente a tecnologías
de la información y comunicaciones.
ISO 27033: Formada por 7 partes para la gestión de redes
(seguridad, arquitectura, diseño, implementación…)
ISO 27035: Guía de gestión de incidentes de seguridad de la
información.
ISO 27037: Guía para la identificación, recopilación y preservación
de evidencias digitales.
ISO 27039: Guía los sistemas de detección de intrusos.
naranja Normas que describen las pautas generales
Normas que especifican requisitos
Normas que describen directrices específicas del sector
Ver Normas que describen directrices específicas del control
TRANSICIÓN
Conceptos Generales del ISO 27001:2013
ISO/IEC 27001:2013 es
un conjunto de
lineamientos que
especifica los requisitos
para establecer,
implementar, mantener
y mejorar un Sistema de
Gestión de Seguridad de
la Información (SGSI).
Estos requisitos
describen cuál es el
comportamiento
esperado del Sistema de
Gestión una vez que esté
en pleno
funcionamiento.
Estructura General ISO 27001:2013
La nueva ISO 27001:2013
Cambio de
estructura
Desaparece que facilita la
Enfoque a integración
Nuevo
procesos modelo de
estructura
documental

Enfoque del
análisis
Nueva del riesgo en la
ISO27001:2013 fase
de planificación y
operación.

Se reducen
los
controles
Cambios principales secciones
0. Introducción
El cambio más significativo en todo el apartado
fue la eliminación de la sección “Enfoque por
procesos” que contenía la versión 2005, en
donde se describía el modelo PDCA, corazón del
Sistema de Gestión de Seguridad de la
Información (SGSI).
Cambios principales secciones
• 1. Alcance
• En esta sección se establece la obligatoriedad de
cumplir con los requisitos especificados en los
capítulos 4 a 10 del documento, para poder
obtener la conformidad de cumplimiento y
certificarse.
Cambios principales secciones
• 2. Referencias normativas
• El estándar ISO-27002 ya no es una referencia
normativa para ISO-27001:2013, aunque
continúa considerándose necesario en el
desarrollo de la declaración de aplicabilidad
(SOA, por sus siglas en inglés).
• El estándar ISO 27000:2013 se convierte en una
referencia normativa obligatoria y única, ya que
contiene todos los nuevos términos y
definiciones.
Cambios principales secciones
3. Términos y definiciones
Los términos y definiciones que se manejaban en
27001:2005 los trasladaron y agruparon en la
sección 3 de ISO 27000:2013 “Fundamentos y
vocabulario” (lo cual se llevará a cabo en todos
los documentos que forman parte de esta
familia), con el objetivo de contar con una sola
guía de términos y definiciones que sea
consistente.
Cambios principales secciones
4. Contexto de la organización
• Esta cláusula hace hincapié en identificar los problemas
externos e internos que rodean a la organización.
• Instituye los requerimientos para definir el contexto del SGSI
sin importar el tipo de organización y su alcance.
• Introduce una nueva figura (las partes interesadas) como un
elemento primordial para la definición del alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente las
necesidades de las partes interesadas con relación a la
seguridad de la información y sus expectativas con relación al
SGSI, pues esto determinará las políticas de seguridad de la
información y los objetivos a seguir para el proceso de gestión
de riesgos.
Cambios principales secciones
5. Liderazgo
Ajusta la relación y responsabilidades de la Alta Dirección
respecto al SGSI, destacando de manera puntual cómo debe
demostrar su compromiso, por ejemplo:
• Garantizando que los objetivos del SGSI y “La política de
seguridad de la información”,anteriormente definida
como “Política del SGSI”, estén alineados con los objetivos del
negocio.
• Garantizando la disponibilidad de los recursos para la
implementación del SGSI (económicos, tecnológicos,
etcétera).
• Garantizando que los roles y responsabilidades claves para la
seguridad de la información se asignen y se comuniquen
adecuadamente.
Cambios principales secciones
6. Planeación
Esta es una nueva sección enfocada en la definición de los objetivos
de seguridad como un todo, los cuales deben ser claros y se debe
contar con planes específicos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluación de
riesgos:
• El proceso para la evaluación de riesgos ya no está enfocado en los
activos, las vulnerabilidades y las amenazas.
• Esta metodología se enfoca en el objetivo de identificar los
riesgos asociados con la pérdida de la confidencialidad,
integridad y disponibilidad de la información.
• El nivel de riesgo se determina con base en la probabilidad de
ocurrencia del riesgo y las consecuencias generadas (impacto), si el
riesgo se materializa.
• Se ha eliminado el término “Propietario del activo” y se adopta el
término “Propietario del riesgo”.
• Los requerimientos del SOA no sufrieron transformaciones
significativas.
Cambios principales secciones
7. Soporte
Marca los requerimientos de soporte para el establecimiento,
implementación y mejora del SGSI, que incluye:
• Recursos
• Personal competente
• Conciencia y comunicación de las partes interesadas
Se incluye una nueva definición “información
documentada” que sustituye a los
términos “documentos” y “registros”; abarca el
proceso de documentar, controlar, mantener y
conservar la documentación correspondiente al
SGSI.
El proceso de revisión se enfoca en el contenido de los
documentos y no en la existencia de un determinado conjunto
de estos.
Cambios principales secciones
8. Operación
Establece los requerimientos para medir el
funcionamiento del SGSI, las expectativas de la
Alta Dirección y su realimentación sobre estas,
así como el cumplimiento con el del estándar.
Además, plantea que la organización debe planear y
controlar las operaciones y requerimientos de seguridad,
erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información
de manera periódica por medio de un programa
previamente elegido.
Los activos, vulnerabilidades y amenazas ya no
son la base de la evaluación de riesgos. Solo se
requiere para identificar los riesgos asociados
con la confidencialidad, integridad y
disponibilidad.
Cambios principales secciones
9. Evaluación del desempeño
La base para identificar y medir la efectividad y
desempeño del SGSI continúan siendo las
auditorías internas y las revisiones del SGSI.

Se debe considerar para estas revisiones el

estado de los planes de acción para atender no
conformidades anteriores y se establece la
necesidad de definir quién y cuándo se deben
realizar estas evaluaciones así como quién debe
analizar la información recolectada.
Cambios principales secciones
10. Mejora
El principal elemento del proceso de mejora son las
no-conformidades identificadas, las cuales tienen
que contabilizarse y compararse con las acciones
correctivas para asegurar que no se repitan y que las
acciones correctivas sean efectivas.
Aquí se observa uno de los cambios más
importantes porque las medidas preventivas se
fusionarán con la evaluación y tratamiento del
riesgo, algo más natural e intuitivo que permite
enfrentar los riesgos y las oportunidades con base en
cuándo estos se identifican y cómo se tratan.
1 - Cambios en los ANEXOS: nueva
estructura del Anexo
Agrega 3 dominios de control, los cuales incluyen un
total de 113 controles, 20 menos que en la versión
anterior. Dentro de los nuevos dominios de control
aparece
• Criptografía, siendo separada del dominio
Adquisición, desarrollo y mantenimiento de la
información.
• Relación con proveedores
• Operaciones de seguridad y Seguridad de
las comunicaciones: resultado de la división del
dominio Gestión de comunicaciones y operaciones
en dos nuevos dominios
Valor agregado del cambio
• Las empresas que quieran certificarse con esta
norma ya no están obligados a
implementar todos los controles de este
anexo. Por lo que este se convierte en una guía
para evitar que se omitan controles
importantes por parte de la organización
al momento de implementar su sistema
de gestión (SGSI). Brindando mayor
flexibilidad a las empresas para implementar
de la manera más adecuada el sistema de
gestión.
2- Cambio: anexo SL
• adopción del Anexo SL (lo que era antes la
Guía ISO 83) dentro del SGSI. Es importante
mencionar que este anexo describe los
lineamientos para un sistema de gestión
genérico; ayudando a las empresas que por
alguna razón deben certificar múltiples normas
de sistemas de gestión. De esta forma ISO
27001 cumple con los requisitos comunes
a todo sistema de gestión, facilitando la
implementación y auditoria de varios sistemas
en la misma organización.
Implementación del SGSI
¿Qué documentos y registros son
necesarios?
Ventajas de implantar un SGSI basado en la ISO 27001
Garantizar la confidencialidad, integridad y disponibilidad de
información sensible.

Disminuir el riesgo, con la consiguiente reducción de gastos

asociados.

Reducir la incertidumbre por el conocimiento de los riesgos e

impactos asociados.

Mejorar continuamente la gestión de la seguridad de la

información.

Garantizar la continuidad del negocio.

Aumento de la competitividad por mejora de la imagen
corporativa.

Incremento de la confianza de las partes interesadas.

Aumento de la rentabilidad, derivado de un control de los riesgos.

Cumplir la legislación vigente referente a seguridad de la

información.

Aumentar las oportunidades de negocio.

Reducir los costos asociados a los incidentes.

Mejorar la implicación y participación del personal en la gestión de

la seguridad.

Posibilidad de integración con otros sistemas de gestión como ISO

9001, ISO14001, OHSAS 18001, entre otros.

Mejorar los procesos y servicios prestados.

Aumentar de la competitividad por mejora de la imagen

corporativa.
Herramientas de software para la
gestión de la seguridad de la
información
El software eGAM Seguridad de la información automatiza los
procedimientos requeridos por la Norma ISO/IEC 27001 de
manera que cuando se necesita ejecutar un proceso, el
procedimiento correspondiente se carga instantáneamente en el
sistema, distribuyendo automáticamente tareas, instrucciones a
responsables y plazos, de forma que la propia ejecución de las
tareas autogenera las evidencias necesarias del sistema de
gestión.
Desarrollada en entorno Web con el objetivo de cumplir los
requisitos de las normas ISO y de modelos de Acreditación y
Excelencia, ISOTools resulta una herramienta ideal para
implementar, mantener y mejorar continuamente los Sistemas de
Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la
Información, Seguridad Alimentaria, Modelos de Acreditación,
Modelos de Excelencia como EFQM, Modelos de Planificación
Estratégica – BSC, entre otros.
Compuesta de diferentes módulos, es una herramienta escalable,
flexible y adaptable a las necesidades de cada empresa u
organización independientemente del tamaño y del sector en el
que opere. Es una solución que favorece la agilización y la mejora
de los procesos, así como la accesibilidad y búsqueda rápida y
fácil de la información.
GesConsultor GRC ofrece una plataforma que integra todos los
elementos necesarios para la implantación y gestión completa
del ciclo de vida de un SGSI, así como otros requisitos de
cumplimiento de aspectos legales, normativos, contractuales y
con terceras partes que sean de aplicación al Alcance del Sistema
de Gestión.

GesConsultor GRC proporciona, adicionalmente, unas

capacidades diferenciadoras en su motor de cumplimiento para
incorporar las nuevas versiones de las Normas y, con ello,
asegurar el mantenimiento y evolución de los proyectos basados
en las mismas. Este es el caso de la familia ISO 27000:2012, con
publicación esperada en el año 2013.
Top 10 de países con más
organizaciones certificadas en ISO
27001
Colombia
 MEJORES PRÁCTICAS Y OTRAS
NORMAS
Anexo:
http://www.bitcompany.biz/que-es-itil-
cursos/#.UzcVAKh5PYE

http://www.bitcompany.biz/que-es-
cobit/#.UzcSoKh5PYE
Conclusiones
Más allá de los cambios
en el estándar, lo más
importante es tener en
cuenta que todas las
organizaciones son
diferentes y los
requerimientos
impuestos por la
norma deben ser
interpretados de
acuerdo al contexto
de cada empresa.
Conclusiones
La implantación de un SGSI basado en ISO 27001, supone el conocimiento,
de la organización en su conjunto, de los riesgos a los que se encuentra
expuesta. De manera que se asuman y se trabaje en su minimización y
control de manera sistemática, para mejorar continuamente.

La ISO 27001 es perfectamente integrable con otros sistemas de gestión

como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hace
más sencilla con esta nueva versión ISO 27001:2013

Ya está vigente la nueva versión ISO 27001:2013 que sustituye a la

anterior ISO 27001:2005.

La ISO 27001 permite una operativa basada en la seguridad y la excelencia

en el tratamiento de la información en la organización, que se traducen en
un mejor servicio con una menor inversión.