Clase 2

Gestión de I+D+i; Gestión de la Seguridad de la Información:
ISO 27000 y 27001; ISO 20000-1 :2011 Gestión del Servicio
ANTONIO GARCIA
10.05.19
Capítulo 4. ISO 27001

CLASE 4 ISO 27001
4.1. Antecedentes
4.2. ¿Qué es la norma ISO 27001?
4.3. ¿Qué es la norma ISO 27002?
4.4. Relaciones entre las normas ISO 27001 e
ISO 27002
4.5. La familia ISO 27000
► 4.1. Antecedentes
• HISTORIA
– 1989. REINO UNIDO : Codigo de buenas practicas para
ususarios.
– 1993: BSI: Codigo de practicas para la gestion de seguridad de
la informacion.
– 1995: Publicacion de la BS 7799. (No certificable). (éxito).
– 1998: Publicacion de la BS 7799-2. (Certificable). (éxito).
– 2002: ISO/IEC 17799:2000.
– 2005: ISO /IEC 27001:2005
– 2007: REVISION DE LA 17799 se adecua a normativa de
grupo 27000 y se convierte en ISO 27002
– 2013: publicacion de la revision de ISO 27001:2013
Gestión de I+D+i; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2011 Gestión del servicio
- ANTONIO GARCIA
CUESTION de clase semana pasada
• 7.9 Vigilancia tecnológica e inteligencia competitiva
• El sistema de gestión de la I+D+i debe incluir un proceso de vigilancia tecnológica e inteligencia
competitiva.
• La vigilancia tecnológica permite realizar de manera sistemática la captura, el análisis, la difusión
y la explotación de las informaciones científicas, técnicas, legislativas, normativas, económicas,
de mercado, sociales, etc., útiles para la organización.
• La información proporcionada por la vigilancia tecnológica es fundamental para el conocimiento
del entorno de la organización (véase el capítulo 4), así como para la inteligencia competitiva.
• La inteligencia competitiva comprende el análisis, interpretación y comunicación de la información
de valor estratégico, que se transmite a los responsables de la toma de decisiones en la
organización, incluidas las relativas al sistema de gestión de la I+D+i (por ejemplo, en la revisión
por la Dirección, véase 9.3).
• NOTA Véase también la Norma UNE 166006 para obtener más detalles acerca de la vigilancia
tecnológica y la inteligencia competitiva.
- ANTONIO GARCIA
• La Vigilancia Tecnologica es un proceso organizado, selectivo y
permanente, de captar información del exterior y de la propia
organización sobre ciencia y tecnología, seleccionarla, analizarla,
difundirla y comunicarla, para convertirla en conocimiento para
tomar decisiones con menor riesgo y poder anticiparse a los
cambios. (Definición según norma UNE 166006:2011 Ex Gestión de
la I+D+i: Sistema de Vigilancia Tecnológica e Inteligencia
Competitiva)
• La Inteligencia Competitiva es un conjunto de acciones coordinadas

de búsqueda, tratamiento (filtrado, clasificación, análisis),
distribución, comprensión, explotación y protección de la
información obtenida de modo legal, útil para las y los actores
económicos de una organización para el desarrollo de sus
estrategias individuales y colectivas.
- ANTONIO GARCIA
- ANTONIO GARCIA
4.1. Antecedentes
En el momento del atentado
aquellas organizaciones que
operaban bajo un SGSI pudieron
ser capaces de levantar su
negocio en períodos cercanos a
48 horas. Esto se debe a que un
SGSI permite la continuidad de
la información, incluso, tras
catástrofes de todo tipo.
De este modo a través de la

desgracia se desarrolló el avance
al centrarse en la capacidad de
las organizaciones para preservar
la información más allá de todo
evento posible. Esto incluye una
de las partes estructuradas de la
norma ISO 27001.
.
- ANTONIO GARCIA
4.2. ¿Qué es la norma ISO 27001?
• Es la referencia de requisitos bajo los que opera un SGSI.

• Es certificable.
• Especifica los requisitos para : operar , monitorizar, revisar ,
mantener y mejorar un sistema de gestion.
• Aplicable cualquier organización.
• No es la UNICA FORMA gestionar un SGSI, si es el mas
extendido.
• Otros sistemas de gestion de Riesgos

para garantizar la seguridad de la Inform.
- ANTONIO GARCIA
4.3. ¿Qué es la norma ISO 27002?
• Es una guia de recomendaciones:

– Estructurada
– Reconocida
– Dedicada a la seguridad de la Informacion.
SU CUMPLIMIENTO NO GARANTIZA CUMPLIR ISO 27001

– EJEMPLO:
– COPIAS DE SEGURIDAD ( 12.3)
• establecer procedimientos rutinarios para garantizar el respaldo ( ver 14.1)
• Implantar procedimientos de back up y recuperacion.
• Considerando la E.R. Para determinar activos mas importantes y eestablecer al
estrategia de back ups-
• Tipo de almacenamiento, soporte a emplear,…
• Aplicación de tecnicas de cifrazo para datos sensibles o valiosos.
- ANTONIO GARCIA
4.4. Relaciones entre las normas ISO 27001 e ISO 27002
• ISO 27002 estabelce recomendaciones orientadas a entablar un

marco eficaz para la gestion de la SI.
• ISO 27001, establece una serie de requisitos ·” debes”
• ISO 27001, establece una serie de controles, según su anexo A

que en coinciden con el desarrollo de buenas practicas definido
por ISO 27002.
- ANTONIO GARCIA
4.4. Relaciones entre las normas ISO 27001 e ISO 27002
ISO 27001
ISO 27002
COPIAS DE SEGURIDAD ( 12.3).
• establecer procedimientos rutinarios para garantizar el respaldo ( ver 14.1)
• Implantar procedimientos de back up y recuperacion.
• Considerando la E.R. Para determinar activos mas importantes y establecer al
estrategia de back upS.
• Tipo de almacenamiento, soporte a emplear
• Aplicación de tecnicas de cifrazo para datos sensibles o valioso
- ANTONIO GARCIA
4.5. La familia ISO 27000
• GRUPO DE NORMAS para la implementacion, operación y

gestion de los sistemas de seguridad de la Informacion.
• ISO 27000. Fundamentos y vocabulario

• ISO 27001. Requisitos de los sistemas de gestión de seguridad de
la Información
• ISO 27002. Buenas prácticas para la Gestión de Seguridad de la
Información
• ISO 27003. Guía de implantación de un SGSI
• ISO 27004. Métricas e indicadores de eficiencia y efectividad de los
controles
• ISO 27005. Gestión del riesgo en Seguridad de la información
ISO 27006. Requisitos de acreditación de las entidades de
certificación de SGSi
- ANTONIO GARCIA
► 4.6. Elementos básicos de la norma ISO 27001
– La Norma sigue la denominada «estructura de alto nivel»

• Capítulo 0. Introducción.
Capítulo 1. Objeto y campo de aplicación.
• Capítulo 2. Normas para la consulta.
• Capítulo 3. Términos y definiciones.
• Capítulo 4. Contexto de la Organización.
• Capítulo 5. Liderazgo
• Capítulo 6. Planificación.
• Capítulo 7. Soporte.
• Capítulo 8. Operación.
• Capítulo 9. Evaluación de desempeño.
• Capítulo 10. Mejora.
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
- ANTONIO GARCIA
- ANTONIO GARCIA
- ANTONIO GARCIA
4.6. Elementos básicos de la norma ISO 27001
• Todos los requisitos son de aplicacion,.( Apartados 4 a 10).

• Anexo A:
– OBJETIVOS DE CONTROL Y CONTROLES:
• La organización podrá excluir aquellos controles que no le
resulten de aplicación.: ej.: Si no desarrolla software podrá
excluir el apartado A 14.1.1.: Politica de desarrollo seguro.
• No es un listado cerrado, ya que podrá aplicar otros
controles , por ejemplo de LOPD, NORMA PCI- DSS,…
- ANTONIO GARCIA
- ANTONIO GARCIA
4.7. SOA
• SOA:
• STATEMENT OF APLICABILITY.
• DECLARACION DE APLICABILIDAD:
– SoA se trata de un documento que enlista los controles de
seguridad establecidos en el Anexo A del estándar ISO/IEC
27001 (un conjunto de 114 controles agrupados en 35 objetivos
de control, en la versión de 2013 de esta norma de seguridad).
– La Declaración de Aplicabilidad se desarrolla despues del
tratamiento de riesgos, que a su vez es la actividad posterior a
una evaluación de riesgos. El tratamiento tiene como objetivo
la definición de las acciones a realizar para mitigar aquellos
riesgos que han sido identificados y analizados.
– MITIGAR- TRANSFERIR-ACEPTAR.
- ANTONIO GARCIA
- ANTONIO GARCIA
- ANTONIO GARCIA
4.7. SOA
- ANTONIO GARCIA
4.7. SOA
COPIAS DE SEGURIDAD
- ANTONIO GARCIA
4.7. SOA
• BUENA PRACTICA:
– Elaboracion de planes de accion
- ANTONIO GARCIA
4.7. SOA
• BUENA PRACTICA:
– Elaboracion de planes de accion
- ANTONIO GARCIA
4.7. SOA
• ELEMENTOS SIGNIFICATIVOS dispuestos a traves del anexo:
– CONTRATACIONES DEL PERSONAL:
• Selección correcta.
• Aceptación de terminos y condiciones a la misma.
• Consciente de riesgos y amenazas.
• Procesos disciplinarios.
• Responsabilidades legales.
– PROTECCION DE AREAS FISICAS QUE CONTIENEN
INFORMACION.
• Perimetro asegurado.
• Medios de control.
• Equipos de respaldo.
- ANTONIO GARCIA
4.7. SOA
– ACCESO A PERSONAS AUTORIZADAS:
• Procedimiento.
• Permisos
– POLITICAS DE CLAVES DE ACCESO:
• Compromisos firmados.
• temporalidad de contraseñas.
• ….
– ACCESO A LA INFORMACION CONFORME SEGURIDAD,
CRITERIOS DEL NEGOCIO Y LEGALES
• Documentar de forma individualizada.
• Legislacion aplicable.
• Revision periodica.
- ANTONIO GARCIA
4.7. SOA
– ACCESOS EXTERNOS DE LA RED.
• Informacion al usuario de los peligros.
• Protocolos seguros.
• Desarrollo de politicas para escritorios
• Encriptacion de la informacion sensible.
– EMPLEO CORRECTO DE LOS EQUIPOS DE SOBREMESA.
• RECORDAD BUENAS PRACTICAS DE ISO 27002.
- ANTONIO GARCIA
4.8. EVALUACION DE RIESGOS
• La norma no especifica una metodologia concreta.

• Es un requisito basico.
• Ha de estar documentada .
• Metodos estandar: EJ.: MAGERIT
- ANTONIO GARCIA
- ANTONIO GARCIA
- ANTONIO GARCIA
4.9. SISTEMA DE GESTION
- ANTONIO GARCIA
4.10. SISTEMA DE GESTION
• IS0 27001 ES CERTIFICABLE: ( 3 años)

• SIGUE MISMO PROCESO QUE CUALQUIER OTRA NORMA
CERTIFICABLE:
• Proceso de auditoria
- ANTONIO GARCIA
PROXIMA CLASE: 5
2ª PARTE. GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN ISO 27000 Y 27001
Capítulo 5. Implantación de Sistema de Seguridad de la
Información
5.1. Principales errores de la Organización al implantar un
SGSI
5.2. Definición del alcance
5.3. Comité de seguridad
33
- ANTONIO GARCIA
www.unir.net

Clase 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase 2

Cargado por

Copyright:

Formatos disponibles

Gestión de I+D+i; Gestión de la Seguridad de la Información:

ISO 27000 y 27001; ISO 20000-1 :2011 Gestión del Servicio

Capítulo 4. ISO 27001

• La Inteligencia Competitiva es un conjunto de acciones coordinadas

De este modo a través de la

• Es la referencia de requisitos bajo los que opera un SGSI.

• Otros sistemas de gestion de Riesgos

• Es una guia de recomendaciones:

SU CUMPLIMIENTO NO GARANTIZA CUMPLIR ISO 27001

• ISO 27002 estabelce recomendaciones orientadas a entablar un

• ISO 27001, establece una serie de controles, según su anexo A

• GRUPO DE NORMAS para la implementacion, operación y

• ISO 27000. Fundamentos y vocabulario

– La Norma sigue la denominada «estructura de alto nivel»

• Todos los requisitos son de aplicacion,.( Apartados 4 a 10).

• La norma no especifica una metodologia concreta.

• IS0 27001 ES CERTIFICABLE: ( 3 años)

2ª PARTE. GESTIÓN DE LA SEGURIDAD DE LA

También podría gustarte