Está en la página 1de 657

Implementador Líder

Certificado en la norma ISO/lEC


27001

Guía del Participante


Implementador Lider
Cenifrcado en la ISO 27001

"'''
Programa para el Día 1

Sección 1 Qt;ellvo Y eSIn.clura del curso


Seoc ión 2: ESI~rdar y 1113'00 normativo
Sec<:T6n 3 Slstema de Gesbón de SeQUldad de la InformacIÓn (SGSI)
Sección 4 Principios lurdameriales de la seguridad de la irtormación
Secció n 5 1nK:lando la Implemenla<;!Órl del SGS I
Se<:ClÓ n 6 DescnpclÓl1 de la orgsnlZa<:i6n y clartflcac¡6 n de los ObJetiVOS de segundad de la Información
Sección 7 W lisis del sistema de ge5ti6n eX I~tente

Cl2005 PECB
Vers i6n47
Eric Lachapelle (Editor)
NUmero de documelllo ISMSUD1V47

Los documentos prav istos a los pa rbCIpantes es~n estrictamente reservados para Su uso en el presente
curso y son marca registrada de PECa A menos que se espec ifique lo contrario, ninguna parte de esta
pJbllcación ¡:odré ser reprodlx;Kla o ut ilizada en cualquier manera o formato por cua lquier medio qLJe fuera,
electrónico o mecánico, incluyendo fOlocop!a o microfil me sm el consenl irT'llelllO por escrito de PECB.

1
,-
Referencias normativas utilizadas en este curso de capacitación

1, Las normas prind pales

ISO 19011.201 1, [);rectriees pa ra la audrlor le de sistemas ele gestión_


ISOíIEC 27000 -2012, Tecnologla de la InformacIÓn - TécrJcas de segundad · Sistemas de gestión de
seguridad de la IriormaC1Ón - Informació n genera l y vocatJJIaoo
ISalEC 27001 2013 , Sistemas de Gestión de Seguridad de la informac ión - Requi s.tos
ISalEC 27002 :2013, Tecnolog la de la Irformaclón - Téc nicas de segulldad - Código de buenas
prácticas de geslo6n de la seguridad de la Información
La ISOI IEC 270002010, Te<:ooo9 ia de la Inlormaci6n - Té<:n lCas de seguridad - DIrectrIZ de
Implementación de lJ1 sistema ele gestión de seguidad ele la mformaClÓn
ISO/lEC 27004 .2009, Tecnolog la de la Irformación - Técrucas de segur idad - Gesbón de segundad de
la IriormaclÓll ' Medición
1S00lEC 27005-20 11, Tecnologla de la lriormaclón - Téc~s de segundad - Gestió n de riesgos de
seguridad ele la Iriormaci6n

2. Otras n onnas de releo-encla

Gu13 ISO 73 2009, Gestió n de riesgo,. - VocabularIO


ISO 00002005, Sistemas de gesti6n de calidad · Fundamertos y vocatularlO
ISO 9001 2008, Sistemas de ges\l6n de calídad - RequiSitos
ISO 14001 :2004, Sistemas de gestión ambierfa l - Req,.II&IIOs con orierfaclÓ n para su uso
ISO/lEC 17011:2004, EvaluacIÓn de la corIormidad - ReqlM.itos genera les para orga nismos de
acred itaclÓ<1 que ac red itan orgaRlsmos de evaluaCIÓn de la oonformdad
ISO 17021:2011, Evaluación de la corformidad - ReqUlS~ pa ra los o r!jj<l rlSmos que rea lizan la
auditor la y certifICacIÓn de SIstemas de gestió n.
ISO 17024_2003, Evaluación de la oonformidad - ReqJls!lOS generales pa ra entidades que realiza n la
cer1dicaclón de personas
OHSAS l acol 2007, Salud OcupaclOf1al y Sistemas de GestJ6 n de Seguridad · RequSllos
ISOíIEC 20000·1 -201 1 Te<:roog la de la InlomIaclÓIl -(>eguón de sef1lICIOS Te<:ro\ogla de la
iriormaclÓn - Parte 1 Requ isitos del SIstema de gesti6n de 5ef1licios.
ISO/lEC 2{X)O'J-2.2012, Tecnolog la de la información - Gestión de sef1licios - Parte 2 Orientación
soto-e 13 aplicacIÓ n de sistemas de gestión de sef\llClOS
ISO 2200J2OO5, Sistemas de gestión de 13 seguridad alimentarla - Reql.lSllos para cualqu ier
org<Il"IIZ8ClÓIl en la cadena ali mentaria
ISO 22301 _2012, La seguidad soc ietana - Sistemas de gesb6n ele la cori irtidad elel negocio -
RequlSJIOS
ISOíIEC 27006 201 1, Tecnologla de la Inlorrreción - Técnicas de segur-idad - ReqUlsrtos para los
QfWrlsmos que realizan la auditorTa y ceruficación de los sistemas de gestión de seguridad de la
triormación
ISOíIEC 27007 201 1, Tecoolog la de la Información - Téa":;as de segur1d<ld · DIrectrICes para la
auditorla de sistema de gestión de segl.l'idad de la Información
1S000EC 27008 2011 TecnologTa de la lriormación Técricas de segurdad - Direclnces pa ra
audJlOres sobre oo nlfoles e n la segur1d<ld de la IriormaCIÓ<1
ISO 28000:2007, Espec"icacio~ para sistemas de gest ió n de seglJridad de la cadena de sumi nistro.

2
· ISO 3 10002009, GeSllón de rIeSgOs - Pnnc ipQS y O rectri<;es.
Lista de siglas y abreviaturas utilizadas en esta capacitación

ANSI: ArTlt"'ca n Nabonal Sta ndards Instnute IlnstlMo NacIOnal Americano de Estándares
8S; Bfit ~h Standard I Estánda r BritárllOO
$OCN; Sistema de gestiOn de co nllnUldad de l negocIO
CERT: Equipo de res¡:uesta pa ra emergencias rrtOlrMticas
$OC; Sistema de Gestión de Conlerodo
COOI1 : Control ObjectlVe5 far Business and related Tecnrdogy
COSO: Comm ittee of Sponsoring Orga niZ<ltions of the Treadway CommlSslOl'l
OPC; Desarrollo Profesiona l Corrtin<,.Q
500; Sistema de Gestió n de Documemos
EA: Coope ración E.ropea para la Acreditación
$OOE: Sistema de GestIÓ n de Documentos Electrórucos
SOA: Sistema de Gestión Amboertal
FISrM ; Federa l Intonnation Se<:urity Management Act I Ley Federa l de Gesti6n de Seguridad de la
InformacIÓn
GAAS: Gene rally Acce~ed Aud ibng Slandardsl Prill:lpios de Audotoria Genera lmente Aceptados
GLBA Gramm-Leach-Bliley Act
HIPAA Ley de Seguro Médico, Portabilidad Y Responsallilidad (HI PAA en idioma Inglés)
IAF: Imernationa l Acc reditatlOn Fon..m I Foro InternaclOfl3 l de Acreditación
IFAC: InternatlOfla l FederatlOfl 01 Accouriants I FederaCIÓ n Internaciona l de Contadores
IMS2: Integrated Implememation Methodology for Managemm Systems and Sta nda rds I Metodologla de
Implementación Integrada pa ra los Sistemas de Gestión y las Normas ( IMS2)
SOSl: Sistema de gestión de seguridad de la informacIÓn
ISO: IntematlOl'lal S!anda rds O rgaruabon I Organización InternaCIOna l de NormalizacIÓn
ITIL: IriormabonTeohnolog¡' ln/r8sm.elure l..Jbrary
LA; Aud itor Líde r
LI : Implementado¡ Llder
NC: No corformidad
NIST: Nationa l lnstltute 01 Slandards and T echnology I Instituto Nacional de Estandares y T ecnolog ía
OHSAS: OccupatlOna l Hea llh and Safety Assessment 8efJeS
OCOE; O rganIZaCIÓn para ta Cooperacoo y el Desarro llo Económtcos
PCI-OSS: Paymenl Card IndJstry Data Se<: urny Standard I Estándar de Seguridad de Datos para la
Industna de las Tar¡etas de Pago
PHVA: Aa nificar -Hacer-Verificar -Actua r
5OC; Sistema de gestión de la ca lidad
PECa ; ProfesslOfl3 l Eva luation and Cendication Board
ROl : RetlSn en Il'M'slment I Retomo de la Ifl'\tersió n
ROSI: Retum en SecUflty Investment I Retorno de la InverslÓll en Segundad
SOS: Sistema de gestión de servicios
SOA: statemeri of a~icabi lity I Decla ración de aplicabmdad
SOX; Ley Sarbanes-Odey

3
SeoclÓn 1 O~et"'os y eslrliCtura del CISSO

Capacitación Implementador líder Certificado


en la norma ISO 27001
Sección 1
Objetivos y estructura del curso

• Bienvenida y presentacio nes


,. CUilStlones general es

o. Objetivos del curllo


,. Enfoqu . didáctico

•• Examen y cartificaclón
PECB
••
,. Programa del CurlJO

"'''
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

Actividad
Bienvenida y presentaciones

"'''
Para romper el hielo, los partICipa ntes se ¡:.-esenlan dK;iendo su:

Nomb'e;
PoSICIÓn actual,
ConocirT'lff!ri.o y experienc ia en &egLf idad de la inl'ormaci6n,
Conocimiento y experiencia con la ll'Jm1 a ISO 27001 Y otras normas de la ram ilia 270C10 (27002,
27003, 27004, 27005, ),
Conocimteri.o y experiencia con ot ros si~t emas ele gesbón ( ISO 9001, ISO 14001, ISO :xxxxJ, ISO
22301 , etc) ,
ExpectatMls del curso y objetivos

DJ rad6n de la actIVIdad 20 m nLAos

5
,-
SeoclÓn 1 O~et"'os y eslrliCtura del CISSO

Información General

Uso de teléfonos mOvlles Uso de compUlador~s Zona para fumadores


y d i sposi~vos de grabaciOO y acceso a Interne!

:'1
. '../\
I , • :-...

Horarios y descansos Comidas Ausenc<as

"'''
Para Sl mpl~lCar, sOlo el mascul ino se UlUlZa en todo este c.... so de capacitacIÓn, no se p"elerde ofender
a name
Er> caso de eme rgencIa, por lavor, ser coosc lemes de las sa,das
Po nerse de acuerdo sobre el OOo"ario dei C\SSO y dos descansos (Llegue a horano)
Programe e l te léforo celular en vll:faclÓl1 V si tiene que toma r una llamada, por favor , hága lo fuera dei
,.,
Los disposit rvos de grabación están p-unobodos porque pueden restri n!;1lr las dIscusiones hbres

,-
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

Objetivos del Curso


Adquirir conocimien tos

Comprender los componentes y la operación de un Sistema


1 de Gestión de Seguridad de la Infonnación basado en la ISO
27001 Y sus procesos principales

Comprender el objeli~o, el contenido y la correlación entre la


2
ISO 27001 Y la ISO 27002, as l como con olras normas y
marcos regu latorios

3 Dominar los conceptos. enfoques. normas. métodos y


técnicas para la Implementación y gestión eficaz de un SGSI

"'''
B objetivo ",,'llC lpa l de eSla formacIÓn es adQl,lnr ylo mejorar los conocimientos y competenciaS pa ra
part;cipar en la implementaclÓl1 de un Sistema Gestió n de Segu rx!M de la IrlormaclÓl1 basado e n la rorma
ISO 2700 t Desde el ~nto de ~ISta didáctICO, la competencia consiste en los SlQlIernes 3 e lementos
, Conoomll'nto;
2 Hab lidad,
3 Comportamiento (9ct ltud)

la capacitación se oe ntra en la adqlis;clÓl1 de los c:orocmientos necesarios para la aplicacIÓ n de un


maroo de clSflpl imiento de la rQrma ISO 2700 1 Y no en la adqu iSición de e)(penerlCl3 en segu rldada de la
n'ormaclÓn Un COnocimiento mlnl!TlO de seguridad de la Irlormadó n es Sin elTJb¡jrgo necesario para la
finahzación ed osa del curso

Esta capactla<:lÓ n no pretende ser una Simple lista de los reqUiS itos de la norma ISO 27001 Y un
asesoram iento de allo nivel sobre el ertoque de aprlCa<:ió n. AderMS de presl!f'ltar los conocirnerios
teóricos que neceSita un director de ,,"oyecto del SGSI, se .,..esenta lil a melodoio9 ia oompleta pa ra la
aphcación AsI, al fina l de este curso, los piutlclpa ntes hatxan adqulndo conoc imientos soto"e cómo
Implementar un m¡u eo de cumplimiento de la mIma ISO 27001 Y 00 sólo acerca de por qué o qué
hace !

Pa ra obtener un conoc imierio mÍls p-oIundo de las lécnicas de aud itmia de !Xl SGS I, se recomieooa tomar
el curso de Auditor Llder Certdicado en la ISO 2700 1

7
,-
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

Objetivos del Curso


Desarrollo de Capacidades

1
Interpretar los requisitos de la norma ISO 27001 en el
cOntexto especifico de una organización

DesarrOllar 10$ oonoclmientos necesarios p~ra apoyar a una


J1
organización en la plan~;caciOO , e¡ecu66n, administración ,
2 supeN isión y mantenimiento de un SGSI según lo especificado en la
~""''-------
Adquinr los conocimientos necesarios para asesorar:'"
:J
3 organización en las mejores prácticas de gestión de
seguridad de la información

Fortalecer las cualidades personales necesarias para actuar


4 con el debido cuidado profesional cuando se realiza un
_Illilyecto de cumplimieQto

"'''
B objetIVO de esla capilC llaclÓn es garantIZa r que el d la sig uiente a la finalización de la ca pacitación , el
candidato pUed3 partklpar activamente en la Implementación de un matco de cumplimiento de la
norma ISO 27001 .

Esta lormación se centra en la rea lidad de la realizació n de un proyecto de clJ11ll imiemo El estudio de
casa y los ejercICIOS se ~i izan para Simula r condICiones kl más cercanas pos ible a la real idad

En cuanto a la act rtud. varios ejercK:ios perrnnirán al candidato forta lecer sus habi~dades persam les
necesarias para actuar como implemertado r con el debiOO cuidado profeSIOna l en la eJeCUCión de las
acirvldaóes de IITIPlementadón, lales corro la capacidad de la toma de decISIOnes, el tra bejo en equipo, la
apanura de la mente, etc

8
,-
SeoclÓn 1 O~el"'os y estructura del curso

Enfoque Didáctico
los estudiantes en el centro

"'''
Este curso se basa pnrJCIpalrnente en
Ses;ones gUiadas por L.n capac itador, dorxle las preguntas son blenYenidas.
• EJerc1C<os, estudios de caoos, notas, reaOClQnes, drscusicnes (e:<peneoc <as de los partic ipa ntes) en los
que se Irlvo l<.lOran los aSistentes al curso

Re-=ue rde, es te CUBOes s uyo: ustedes son los protagoni stas principales de s u é~ito .

Los cursantes son ar1lmados a tomar notas ad icionales paginas adICionaleS en bl.anco esta n disponibles al
flfl<ll de las notas de cada dla

Los ejercicios son eseoclales para adquorir las hab lldades necesarias para Revar a cabo un ¡xoyecto de
Implementación de un SGSI Por eso es muy importa nte hacerlos a COfICleOC18 Aderres. estos ejercICios
prepara n a los cursa ntes para el examen fi na l.

9
,-
SeoclÓn 1 O~et"'os y eslrliCtura del CISSO

Examen
Ámbitos de competencia

Principios fundamentales de la seguridad de la infOfTTlación

Las mejores prácticas de control de seguridad de la Información I


.J¡<i~S en la norma ISO 27002 ----.J
PlaflificaciÓJ'l de un SGSI basad 8 en la norma ISO 27001

Aplicación de Un SGSI basado en la norma ISO 27001

La evaluaciÓJ'l del desempei'io, seguimieflto y medición de un SGSI


basado en la orma ISO 2700

Mejora continua de un SGSI basada en la norma ISO 27001 .1


Prep aración para la auditorla de certificación de un SGSI ~

"'''
El obielfllo 001 examen de certlficaclÓl1 es asegura r que los candidatos han llegado a OOmI""r los
oorceptos y lécl"llCas de ImplementaCión a fm de que puedan partICipar ert las tareas de c.n proyecto de
Implementac lÓI1 de c.n SGSI El comrté de examen de PECe vetará porque el desarrollo y la adecuaclÓI1 de
las pregLrta s de l examen se mantenga n en base a 19 practica profesiona l actual

Las pregc.ntas son desarrol lados y manterldos por c.n grupo de espedahstas de segLridad de la
InformaCIÓn que son todos Implementador Llde r Certdicado en ISO 2i'OO1

El e~arnen s610 contiene pregUlltas de ellsayo (por escrito). La dumción del examen es de 3 horas.
La pulltuación mlIli"", para aprobar es del 70%.

Todas las nobs y do:;umentos de referencia pueden se r l.tili zados w-ame el exa men excli.yendo el uso
de c.n ordena dor

El examen está dispon ible en vanos id iomas AJ rea liza r el examen, por favor pregc.ntar al capacitado r °
comproba r en la pég ina wetl de PECe pera co rocer la lISta de idIOmas diSponibles

Los siete ámbitos de competenc ia esta n ~ ublertos por el el<'amen Para lee r c.na descripCIÓn deta llada de
cada dom nlo de ~tellCia s, por favor VIsite el snlO web de PECe.

,-
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

Implementador Líder Certificado en la


norma ISO 27001
Pre-requisitos para la certificación

Aprobar el e~amen

Adherir al Código de lObea de PECa

5 a~O$ de experienda profesional


-1r--- 2 anos de experiencia en
seguridad de la informacIÓn

300 horas de actividad

'7'----- Referencias profesionales

Implementador L1der Certificado Itnla


no<ma ISO 27001

"'''
Aprobar el examen nO es el único pre-requisito para obtener la <:et1ifi<:ación de " Implementador
Uder Cet1lncado en ISO 27001 "" Esta credero:::la l respa lda tanto la a¡:rotación del examen como la
va lidacIÓn de los registros de e><penencla profesiona l Desafonunadamerte, rn.ochas personas dicen que
esta n ca ldioados corro I ~meftado r Lider en ISO 27 001 Il)I.'go de ha ber aprobado lXl examen , a pesar
de que no ~enen el nivel de experiencia reql)l.'rldo.

a conj unto de <:riterios y el proceso de certifi<:ación se explican en detalles en el último día de la


capacitación.

Ul cartidato oo n meros experienc'a p.rede sollcrtar la crede OClal de "Implementador CertdlCado en ISO
27001" o "Implernertador Provisiona l CerllflCado en ISO 27001 "

No ta importante: Los costos de certificacIÓn está n Irduldos en ~ precIO del exa men. El ca nd!dato por lo
tanto no tendrá ql)l.' pagar IlIngln costo adiciona l cuando solicite la certificación de su nivel de experiencia
correspondiente para rec'!;" una de las credenc iales p rofeSIOnales Implemenlador ProvisIOna l Cert llicado
en la ISO/ lEC 27001, Imp!ementador CertdlCaoo en la ISO' IEC 27001 o Implemenlador lIder Cerol icado
en la IsorlEe 27001

,-
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

Certificado

Los candidatos que hayan cumplido con todos los


pre-requisitos recibirán un certificado:

---
.- .. ...
R..... S. int·( ;.no"in

C'.l"Iir.. d lso; n :c 1, 001 I.... d hopl, ol"""

'--- ---._--
...
~~
--~- -- -

"'''
Des~s de aprober el examen, el candidato dispone de un plazo máx imo de tres anos para solICita r una
de las c redenciales profesiona les relacionadas con el esquema de certificacIÓn ISO 27001

Cuando el candidalO se cert ifica, va a recibir, por correo electrónico, desde PEca LXI certdicado va lido por
tres ar'los. Para mantenel su certifICación, el solic itante debe demostrar cada al'lo que cumple los reqLJISIlos
para la c redencial 8S1grOOa, y con el Código de Etica de PECB Para ol:l;ener más información sobre el
mantenunierno del cerllficaoo y el p-wedimlento de renovacIÓn, por f avor visite el SIIIO web de PECa Al
final de l curso de capacitación, ser;') n dados m;')s detalles

Ula versión electrón ica (en fo rmato PCF) del rert ificado de fina lización del curso que tiene una va lidez de
31 créditos del DPC (Desarrollo Prolesiona l ContIllU:l) se emitirá (enviada por correo electrónICo) a los
part icipantes des~s de la capac itacIÓn

12
,-
SeoclÓn 1 O~et"'os y eslrliCtura del CISSO

¿Qué es PECB?
Professiona! Evalualion and Certificalion Board

Principales servicios:
1. Certificación del personal
(Auditor e Implementador)
2. Certificación de organizaciones de capacitación
3. Certificación de capacitadores

"'''
Furoo:laoo en 2005, PECB es un organismo de cert ificacIÓn de pl'rson/I I para vanos esulrda res, Ind uyendo
ISO 900 1 [Ca lidad), ISO 14001 ( Medio ambiente). OHSAS 18001 (Sa lud y Segundad). ISO 21XXX1
(ServICIO de T I) ISO 22000 (Seg undad ai mentarta ), ISO 22301 (Contm.... dad de l negocIO) ISO 2600)
(Resp:>nsabllldad Socoa l), tSO 27001 (Seguridad de la InformaClOn) , ISO 27005 (Riesgo de Seguo-Idad de la
InformaCIÓn ) e ISO 28{XX) (Seguridad de la Cadena de SU11 irnslro)

Nuestra misión es provee!' ;] nues tros <: Iientes <:on los servi<:ios de un e~amen e~l¡austivo y una
cert¡,t.::aclón Individuales. PECB desalro!!a, marltlene y mejo ra continuamente re<:onocldos
p<ogramas de <:ertifkació" de alta <:alidad. PECB es~ ;]<:redi tado por A NSI bajo la no rma ISO I lEC
17024 (10 de acredíta<:ión : 1003) . PECB es el úni<:o org anismo de <:ertifi<:adón de personal
c:ertln<:ado por las ISO 9001 e ISO 27001 .

B pro~ito de PECe, seg(in consta efI sus estaMos, es desarrolla r y promover est!ndares profeslOfl<j!es
para la cerllficactón y ad mmstra r programas cre lbles de cert ificación para las personas quI'Ilrabajan en
dtsc lpllnas que abarcan la audllO rla y la imple menta CIón de un sistema de gestIÓn conforme a las I"IOrmas
Esta fina lidad prirc lpa t InC luye

1 Establecer los feq Ulsnos m imrros necesa rios pa ra capaCItar a los profeSlOfl¡l les certdlCados,
2 La revisión y venfOJilc lÓn de las ca ldicaciones de los solIC ita ntes pa ra la etegibi lidad paf3 rendir los
ex.'lmenes de ceMicación,
3 Oesarrollar y ma ntener los exámenes de certificación conf'ta lJles, va lidos y actua lizados;
4 La concesIÓn de certdicados a los candidatos cil tdlCaOOS, el manterurnerto de regist ros de aquellos a
se r certifICados, y Il'l pLOIicaclÓn de un arectol"lO de los tenedores de cert ificados wlidos,
5. Establecer requisitos paf3 la reflO\f¡jclÓn periódlca de la cert ificacIÓn y determina r el cu~ i mrento de
o;i<;hos requlsnos.
B Determ inar que la s personas cert ificadas c umplan y cortinLJen cllnlpliendo co n el CódIgo de ÉtICa de
PECe,
7 Re,..esenta r a sus m errbros, cuando corresponda . en ~s asuntos de Interés comUi1 ;

,-
8 Proroove r lo!; reneliclOs de la certdicaclÓn a los em,.-esarios, lurciona rios públ icos,
,.-olesjonales de areas afines y públ iCO en general
SeoclÓn 1 O~etIVos y eslrliCtura del CISSO

Organismos de Certificación de Personas


ISO 17024

• La ISO 17024 especifica los criterios para una organización


que certifICa personas en relación a requisitos especlficos,
Incluyendo el desarrollo y mantenimiento de un esquema
de certificación de personas
• PECe está acreditado por ANSI bajo la norma ISO/lEC
17024
• La mayoría de las organizaciones que ofrecen las
certificaciones de profesionales no son organ ismos de
certifICación acredilados

,'"
La IYIITTla ISO 17024 proporciona un marco global pa ra que los orgarusmos de certifICación de
perso nas, corro PECa p.¡edan opera r ele manera cohererte, comparable y Sll'rldo dignos de conlar=
en el mundo La runci6r1 pnncipa l del orga ni1>rm de oe rllficaci6n de personas es u;oa evalwclÓn
independ iente de la eKpenencia demostrada, oonoc imierios y actitLXles de un candidato que se aplica n
al campo para el que se otorga la oertificaclÓll

La norma ISO 17024 proporciona un COflUnto uniforme de directrices para las orgaruzsciones que
gestiona n la ca,ficación y certifICación de personas, mcIu1dos los prooed imerios relawos a la
elaoo rac<ó n y actualización de un esquema de certificacl6n La rorrna está dlsel'lada pa ra ayudar a las
organ.zaciones que rea lizan la cert ificaCIÓn de las perso nas pa ra lleva r a cabo eva luac iones bie n
plani fi cadas y estructuradas Ulilizardo crrtenos obJetIVOS de com petencias y calificacIOneS para
garantIZar la im parclarldad de la1; operacioneS y redlJelf el riesgo de co nfhcto de Interés

La norma ISO 17024 se refiere a la estn x;!ura y gobierlYl de la entidad de ceruficación, las
ca racterlsti<:as del prog ra ma de cert ificación, la lflI'orrreclÓn que de be ponerse a disposICIÓn de los
canddatos y la renovación de la certificaci6n de la eriidad de cert ificaCtón

ANS I es la más grande y reconocida orga nizaCió n para ofrecer un programa de acredotación segCJ1 la
r.orma ISO 17024 PECa est'i acreditado por ANS I baj o la norma ISO I IEC 17024 (ID de acreditacIÓn.
"'")
NOla Importante:
PECe es la Ilnica enlldad de Cerllfkaclón personal acreditada por ANSI para el programa de
certificación en la ISO 27001 . La mayor la de las organlZOlc lCnes que ofrecen las certificacIOneS de
profesIOnales no son orgarllSmos de cert ificacIÓn acreditados Sólo lJ'1 organismo de cenificaclÓn
ac reditado baJO la norma ISO 17024 ga rariiza un reco.noclmento iniernaclOnal Es Importarie va lidar el
l'llta do de un organismo de certdicació n oon la autoridad de aoredJtaclÓn asociada ta les oorro como
ANS I y UMS
SeoclÓn 1 O~et"'os y estructura del curso

¿Por qué obtener la Certificación de


Implementador?
Ventajas

Estar calificado para gestionar un proyecto de


SGSI

Reconocimiento formal e independiente de


capacidades personales

Los profesionales certificados generalmente


perciben mejores sal arios que aquellos que no lo
están

• Un certificado reconoclOO internacIOna lmente puede ayu:iarie ~ ll1iI~imizar su


polenclal pl ofeslon31 y alcanzar objetIVOS profesio na les

Una certifICaCIón internacIOna l es e l reconoci mie nto formal de las co mpeten<: ias
personales para mejora r ~ desem peno de las orga n~t"'Il'5,

De al:uerdo con estudiOS de sueldos publicados por 13 revista Oualily Fmgress en


los últi rms ClflOO arios, los profes io nales <:ertificados tie nen un salario promedio
<:onsldera ble mente mM alto que sus cortrapartes no-cert ificados

,-
SeoclÓn 1 O~et"'os y estrliCtura del CISSO

Servicios al Cliente
Comentarios, preguntas y quejas

"'''
Co n el fin de asegura r su sausl OOClÓn y meJOrar continuamente los p-ocesos de formacIÓn, evaluación y
certificación. el Servicio al O iellle de PECB ha estat:Oecido lJ:1 sJstema de bcket de soporte para el maneJO
de quejas y seMCIOS para nueSIrOS chentes

Co mo primer paso, le I nv~am::Js a discul lr la situación con el capac~ador. Si es necesario, no dl.de en


ponerse e n OOlllacto co n el jefe de la organIZacIÓn de capac itacIÓn en la que está n registrados En todos
los casos, quedamos a su d i\;~iclÓ n pa ra arbitra r c w lquter controversia que pu:l lera surgir e ntre usted y
estas partes

Pa ra eflll iar sus comentanoló, pregLrtas o quejas, por lavor abra lJ:1 tic ket en la pág ina _b de PECB en la
sección Cont'Jctenos

SI tiene sugerer>::tas para mejor¡t r los materiales de capacltaCt6rt de PECB, nos gustarla sate r de usted
l eemos y eva luamos el ajXlrte que recibimos de ruestros rnembros. Por l avor, abra lJ:1 ~c k et dirig id;) al
Departamelllo de Capacnaci6n en el sit iO web de PECB en la seccIÓn Contácteros

En caso de discortormidad con el elllrenamierio (capacitador, sala de capac itacIÓ n, eqUipamiento,.. l, el


e~ilmen o lo\; procesos de ce rtifICación, por favor abra lJ:1 tICket en la categorla ''Presenta r una queja " en el
sJtlo web de PECB en la seCCIÓn Contáctenos

,-
SeoclÓn 1 O~elIVos y eslrliCtura del curso

Agenda de la Semana

,,,.
Ola 1; Introd ucción ala norma ISO 27001 y el inicio de un SGSI
• Se<:clÓn 1 Oqewo y estrLX;tura del curso
• Seoció n 2. Estl,.jar y marco normativo
• Secció n 3 SIstema de Gestión de Segundad de la InformaCIón (SGSI)
• Se<:clÓn 4 Princ ipios lundamentales de la seguridad de la Información
• Seoció n 5 1rn: landO la 1~lementaclÓ n del SGS I
• SeoclÓ n 5 Descnpcro n de la orgaruació n y cla rifi<;aClón de los OqetIVOS de seglJidad de la
información
• Secció n 7 Aná l ~ is del sistema de gestió n e~islente

Ola 2: Pl anificar la Implementación del SGSI


• SeoclÓ n 8- Lidelazgo Y aprobacIÓn del proye<;to SGSI
• Secció n 9- Alcance de l SGSI
• SeoclÓn 10 PoI lticas de seguridad de la Información
• Secció n 11 , Eva lua CI ón de nesgas
• Secció n 12 DeclaracIÓn de A.pIicabllldad Y autorizaCl6n de la DlreoclOn pa ra I~lemerta r el SGSI
• Se<:clÓ n 13_ DefinicIÓn de la es~ Lctura orgarizativa de 5egu'idad de la Información

,-
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

Oía 3: Despliegue de l SGS!


• Secco6n 14 Definición del proceso de geslo6n de OOc umentos
• SeccIÓn 15 Diseno de cont roles de segu'ldad y el ~ooraco6n de pol íticas y procedi mientos
espec lrocos
• Sección 16. Plan de comunicaco6n
• SecCIÓn 17 Plan de capacltaco6n y COrotenC I ~CIÓll
• Secco6n 18 ImplementacIÓn de controles de segundad
, Sección 19' GeslJÓn de Irc!de ntes
• SeccIÓn 20' Gestión de O peracIOnes

Ola 4: Medida del SGSI, mejora contin ua '1 prepa ración pal a la audltorla de certificación
• SeccIÓn 21 Seg Ulmtento, medr<:r6n, an¡\ lis~ y evaluao;lÓ n
• SecCIÓn 22. Auditorla mterrn
• Secco6n 23. RfN isión por la Dirección
• SeccIÓn 24 T ratamiento de probJemasy no conformidades
• SeccIÓn 25. Mejora continua
• Sección 26 . PreparacIÓn pa la la aud itorla de certifICaCIÓn
• SecCIÓn 'n Com peterJC18 Y evalwclÓn de Implementadores
• Secco6n 28 Cierre de la capacitaclÓl1
SeoclÓn 1 O~el"'os y eslrliCtura del CISSO

¿PREGUNTAS?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",


SeccIÓn 2' Estándar y rn¡j rco rQrmatfVO

Capacitación Implementador Uder Certificado


en la norma ISO 27001
Sección 2
Estandar y marco normativo

a. Estructura de la Norma ISO


b. Principios lundamonlalaa da la ISO
c. EsUndaNs de la Seguridad de la
Información
d. La familia ISO 27000

e. Marco normativo Integrado


f. Estándares de Gest!ón de Proyectos

"'''
Du rante esta capacitaCIÓn, adoplaremos la Siguiente COfl'\IeoclÓn A menudo Se hace referencia en la
diapositiva a las normas como ~ ISO XXXX· en lugar de su denominación onclal - ISO/lEC XXXXX:
2OXX- , si n es~ lficar la fecha de sU pubIiocaclÓn, cada una relerlda a su úlllrn¡j versión

Los doclI'I'Ientos ISO están proteg;d06 por COPifigti Cada partldpante ~ene la responsabilidad de ¡»See,
lIIl<I coPIa lega l de los estárda res requenoos para este curso Si I.nl ruma se incluye o le lue dada
durante el pe riodo de esta capacnaci6f\ usted deberá seguir las condic~ de uso esbbeCldas por ISO

Ninguna parte de esta pubiicaClÓn p..Iede ser reprodu;lda por ClJ¡j lq .Jler meQo o utilIZada en cualqu ier
lorma, ya sea electrónica o mecé nlCa, Irduyeroo 100000pas y micrommes. sin el permISO p:l r escrito de
ISO (~éase la direcCIón más abajo) o un Il1iE!mbro de la orgarizaci6n ISO ubicado en el pa ia de la persona
de la organIZacIÓn correspondiente

Las copias de las diferentes oormas ISO se puede n COITIfKa r en linea en el sitio web de la ISO
(_.lso.org l o de la aL.Wr>dad de acred ibClón de cada pa ls Por e¡empo, usted puede comprarle las
rormas ISO a ANSI (webstore.ilDsj.org )

Nota importante sobre la terminologla: En IlTCró n de la rQlfI"'I<j , eXiste n diferentes térm ir= utili zados
para reterirse a una parte espec ífica de una rQrfT13 como la cláusula, seccIÓn, p;lrrafo o capitulo En esle
curso vamos a utiliza r ' cláusula' para expresar cualqlAer referencia a una parte especIfica de una norma o
estánda r

,-
SeccIÓn 2' Estándar y rn¡j rco corrTl3t .... o

¿Qué es ISO?

• ISO es una red de organismos nacionales de


estandarización de más de 160 países

• Los resultados finales de los trabajos realizados por


ISO son publicados como normas internacionales

• Se han publicado más de 19000 normas desde


1947

ISO
~

"'''
Histori~
En 1946, 105 delegados de 25 paIses se reunieron en Londres y decidieron c rear lI:1a l"IIJe'<a orgarozaoon
InternaCIOna l, cuyo obfeto seria '1acll rtar la coordmaCl6n Inlema<;""",1 y la un ificacIÓn de estánda res
Wo::Iustnales" la nueva organlZaoOn in id6 oficialmente sus operaciones el 23 de feto"ero de 1947, en
Ginebra Suiza

1..03 orgariz3clÓn no gubernamental que tiene


la Orga nizaoo n Internact0n:3 1 de Norma lizacIÓn ( ISO) es
lI:1aposicIÓn especial entre el sector ~ico y el sector prrvado. Entre sus mierrt>ros figuran
organlza<:lones de estánda res naCIona les que a mem.do forman parte de las estf\.C1uras gubernamentales
en sus pa ises o que tier.en el rn¡jndato de sus gobemos

aros miemb<os pertenecen al sector prIVado, como las a\óOaaclQrtes nacIOnales de asoclaoo r.es de la
Industna

ObjetivosNentajas
El papel de la ISO es faellaar la coordlnaclÓnlfl1emaciona l y la estandaflzacKm de las normas industriales
Para alcanzar estos ol:iellVos, la ISO publica normas lécnlCas Estas normas contriruyen al desarrollo,
faooca<:i6n y entreg¡. de prodwos y servl\:ios que sea n más efICaCes, mas segurcs y más c laros, Faci litan
el comerck> JUsto entre los pa ises Además, ap:lfta n una oose técnICa a los goboernos para la leg isla Ción
sobre sa lud, sf!glJ'idad y medloambiente, y ayudan a transfenr tecnologlas a los pa ises en desa rro llo las
normas ISO se utilizan también para proteger a los consurmdores y usuarios e n genera l de prod"",,os y
servicIOS Estas normas tamb,én se ullizan para s lmpldicar sus vidas,

Nota sobre la termnolog la Dado que la Orgaruación InternacKJna l de Norma lizaCIÓn tendrla Siglas
diferentes en iálOll1as diferentes ¡ lOS' en inglés 1: '" "¡n!ernaIKJnal OrganizallQrt far Slandardtzation" , ' O IN"
en frarcés por "Organsallon InternaclOnale de Norma lisatlOl1 ' ), sus fundadores decid iero n darle tamblen
un nombre corto para todo uso, EligierOn "ISO" , derrvado del gnego " tSQs' , que slgrnOJa "igua l'

,-
Fuente: www.l§oo rg
SeccIÓn 2' Estándar y IT\3 rco rormatfVO

¿Cómo se desarrollan las normas ISO?


Las delegaCIOnes nacIOnales de expertos de un con'Oté se re unen para trata r, debatrr y discutir hasta llega r
a \Xl consenso sotYe un oorraoo-r de acueroo Las "organilaClOnes de enlace" tarrtié n p3rtJc1p3 n en esta
laOClr, En algunos casos, el trabajo avanzado dentro de estas organilaClOnes signifICa que ya se ha
¡xoduCldo un sustanci81desarrollo técnrco y debate, lo que lleva a un Cierto reconcx: rmlento rntemacoonal y,
en este caso, un dooJmento ¡;uede se r I-""esentado por "Vla rápida" de prooes.amlento En amOOs C3SOS, el
do<:t..menlo res u ~ante se d istnbulrá como un Proyecto de Norma Intemadona l (OIS) B todos los organismos
moembros de ISO para '/Útilr y hacer comentarios
Si el voto es a lavar, el documento, con las eventua les modifICaciones, se d istnb<..ye a los miembros de la
ISO como Borrador Fina l de EstAnclar Internacional (FO IS) Si ese '/Úto es posrt l'/Ú, e l do<:umenlo se publ ica
como una Norma IntemaOlOflal (No hay \Xl escenano FOIS en el caso de los dOClJ'Tlentos tramitados por el
p"oced irnento de vla ráPIda del cormté técooo conJl.Xllo ISO/lEC JTC 1, Te<:ro1og 18 de la info rmadón)
Todos los d ías laborables del ano, \Xl ¡xomedio de Siete reurlones técnicas se lleva n a C300 e n todo el
mundo Ent re , reurlones, los expertos contlnUan el trabaJO de desarrollo de las rorrnas por
cor respondenci8. cada vez más, su trabajo se lleva a cabo jXlr ITIeÓOOS e!ectrónocos, lo que acelera el
desarrollo de rorlT\3S y reduce los costos de viaje

Las Normas Inte rnaciona les son desa rrolladas por un proceso de se is pasos

Etapa 1: Fase de pro puesta


El pmner paso en el desa rro llo de una No<'ma internacIOnal es cortirma r que una determ inada norma
InternaCIOnal es necesana Una roueva propuesta de elemento de trabajo (NP) se somete a vota cIÓn de 106
miembros de l TC o secorresjXInclienle para determlf\a r le loc luslÓn del elemento de trabajo en el progra1T\3
de IrabaJo
La propuesta es aceptada SI la rnayorla de los rroombros P del TC I SC vota a fa\lOr y 51por lo mer,os CIrco
miembros P declaran Su compromso de partICipar actM!merte en el proVecto En esta etapa es
ro rma lmente deSignado \Xl Jele de proyecto responsable del elemento de trabaJO ,
Etapa 2: Fase de ¡lfe paracJó n
Por lo gener1l l, l.n grujXI de traoojO de expertos, clIfo presidente (coordinador) es el respor1!>8b1e del
p"oyedo, es establecido por el TC I se para i8 preparación de l.fl borradcf de trabajo Sucesi\lOs
borradores de trabajO puede n ser conSiderados hasta que e l grupo de trabajo considera que se ha
desarrollado la mepr so!o.x;ió n téc nica par1l el p"oblem~ en cuestión En esta etapa, el proyecto se remite al
com ité ongr nario del grupo de traooJo para la fase de creació n de consenso

Etapa 3: Fase de comisión


Tan pronto corno un pnme r borraoo-r de COTTIIlé esta disponible, es reglst r1loo por la Se<:reta rta Centr1l 1de la
ISO. Es distnbuido para recate r observacIOnes y, en su caso, para la VútaclÓn. jXl r los mlelTlbros P del CT I
SC Sl..Cesivos proyectos del comité pueden se r conskleraoos hasta que se alcanza e l consenso sobre e l
contenodo técnrco Una vez ~ se ha alcanzado un consenso, el texto es terrmnado para su presentacIÓn
como pruyedo de Norma InternacIOnal (DIS)
Etapa 4 : Fase de Co nsldta
El provecto de Norma Internaciona l (DIS) se distribuye a todos los miembros de ISO por la Secrntarla
Centra l de la ISO para votar V hacer comenta rIOS en un piazc de ClflOO meses Será aprobado par1l su
¡xesentaciÓll como un proyecto I lna l de Norma InternaclOf18l (FO IS) si una rnayorla de dos tercIOS de los
moembros P del TC I se es!.'Jn a lavor y no mAs de una cuarta parte del IlÚl1ero tota l de votos emlldos es
negativo Si los crrte rlOS de a¡:mbaciónro se CISTlpien, el texto se devuelve al TC I SC OIlglnarlO para su
esti..dlo V un documento revisado se distrJOU lrá nuevamente para ser votado y hacer rornentari05 como
proyecto de Norma Intemacoona l

Etapa S: Fase de aprobació n


El proyecto fina l de Noima Internaciona l (FOIS) se diStribuye a todos los miembros de ISO por la Secretarta
Centra l de la ISO para un \lOto aJirmatlvol negatrvo de1lr1tivo en el plazo de dos meses , SI se reciben
comentarIOS técnICOS durante este periodo, ya ro se corn;tderan e n esta etapa, pero se registra n para su
consideracIÓn durarte una ILtura reviSIÓn de la No<'ma InternacIOna l El texto ser'" aprobad::> como norrm
InternaClOf1Ill 51 una rnayorla de dos tercios de los mremto"os P del TC I se
esma j avor y ro rOOs de una
cuarta parte del nUmero tolal de \o'Otos emtidos sonnegaWos. Si estos c r ~er,los de aprobacIÓn 00 se
cumplen, la norma se remte de nuevo al T C I SC de ongen para su reconsideraclÓ n a la luz de 106 motIVOS
técnooos presentados en ajXIyo de los votos negativos recibidos

Etapa 6: Fase de publicación


Una vez que un proyecto fmal de norma Internaciona l ha sido aprobado siemp"e y cuando sea necesario ,
se Introducen sólo cambos de redacción de px:a im¡xrrtancla en e l teidO I lnal El tel<lo final se env la a la
Secretaria Central do la ISO que publica la Norma Internacional.

Referencia : _ .iso.org
SeccIÓn 2' Estándar y ITI3 ' CO rormatfVO

Principios Básicos - Normas ISO

1 R"presentaclon Igualita na' 1 voto por pal .

2 2. Adheslon voluntllna : ISO no 1"''''' la 3Ulondad


para lG17ar la adOJ)ClOn da sus norma.
Principios
Básicos de 3. 3. Onenlaclon al nogoclo: ISO sOlo deS'IIToI la
norma. para las qua oXlsla dem¡¡flCSa de4 mercado
las Normas
ISO 4 Enloqutt de ConS<l nsO. busca un ~m ~ roosenso
anuo "," dlst,n,," pM" ,ntoresad.u
5 Cooperación intornaclonal : m~ d& 160 ¡¡a1 &eS
ade~s dO <>rgan,smos do en!aco

"'"
Principios básicos de la ISO

1. Repfesf!ntaclón igualitaria: cada miembro de ISO (miembro de pleno derecho) tiene el


derecho a participar en el desarrollo de cua lquier norma que crea impone nte para la economia de
su pa ls, Sea cual sea e l wlTI3l'rJ o la fo rtaleza de la econornla, cada miembro participante plRde
reclalTl3r Su derecho al voto Las actividades de la ISO se rea li ;:an asl en ella eslll.ctura
democratICe donde 105 paises miembros están en pie de lQualdad en términos de su lriluencia en
la orientación laooral

2. Volunlario : La adopción de las normas ISO es volunta ria Como orgat1lZaci6n no


glbernarnerta l, la ISO no tiene autoridad legal para su aplICaCIÓn, Un po,ceria¡e de las normas
ISO - en partICular las relacicrndas con la salud, la segU'idad y el medio ambiente - han sido
ado¡Xadas en varios pa ises como parte del marco reg.Jador . o CuarDo se irdea en la legislación
hX1ClOI1andO como base técnICa Esas adopcIOnes son declSIOf"IeS sobera~ de las
organizac iones reguladoras o los gobiernos

La ISO ro regula fl legISla , Sin embargo, a pe,.." de que las rormas ISO son voluntarias, pueden
convertirse en U1a eXigencia del merca do. como es el caso con la rorma ISO 9001 o con las
dimensiones de los COnlenedores de marcenelas. la Irazat.lidad de los ahmenlos, etc

"
Secc1Ófl 2' Estándar y rn¡j rco rormatfVO

3. 3. Orientación al negocio: ISO sólo desarrolla las normas pa ra las que eXIste una demanda
del mercado E l trabajo es llevado a cabo por expertos en los sectores relaclo n<ldos ya sea
Industriales, técf1lcos y de negoolQS Estos expertos pueden esta r acampanados por otros
eKpE!rtos, con los COI'IOCW'niento5 adecuados, como las organizaciones pú~icas, el rntIndo
académico y los laborator.:.s de erlSayo tSO lanza el desarrollo de r>Jevos estándares en
respueSla a seaores y grupos de interés que e~presan lS\a necesidad c laramente establecida
para e llos

Un iSector de la irdustf\3 o grupo de partes interesadas generalmente comunICa n la necesidad de


un estándar a LO'\O de los m.embros naciona les de ISO Este úIInTlO propone el nuevo elemento
de trabajO a la comsu)n técnica competente de la ISO que elabora las normas en la materia
Nuevos elementos de trabajos también pcxlrán ser propuestos po r orgarUaclOnes de enlace con
dichos com~k , C uaooa 106 elementos de trabajo no se reladona n con los com~k e:oc istentes,
los propuestas taml:Mén pueden ser r.echas por membros de la ISO para establecer nuevos
comités técllCOS para c\.bm fJ.IeVOS campos de actIvidad .

4 . Enfoque de consenso: las fXlrmas ISO se basa n en un enfoque de oonsenso representatNo


de las <i/erentes partes Interesadas (expertos, IfIdustrias Investigadores, g:oblerros elc) Esto
esegura LOa c irculación mayor y una ma)'Ol" aplicación las mrmas ISO son desa rrolladas por
com ités té\;nroos, sub comrtés o com ~és (del proyecto) integrados por expertos de los sectores
tndustriales, técnicos y comerc iales que han pedido las rorroas, y que posteoormente las ponen
en uso A estos expertos se les pueden uni r mpresentantes de organismos gubernamentales,
laboratorios de pruebas, asociaciones de consurnrdo res, orgaruaciones no glbemamental es y
clrculos acadérnrcos

Las prop.¡estas para establecer nuevos com ités técno:;:os son e"",adas a todos los OfgafllSlllOS
nacIOna les rnrerrtJros de ISO, que puede n opta r por ser partic ipante (P), observador (O) o ro
m.embr06 de la comSlÓn. la secreta ria (es dectr, la er1:ldad que presta el apoyo admin istrativo a
ta latlOl' de la comisión) es asignada por el Consejo de GesllÓn Técmca (que a su vez irtorroa al
Consejo de la ISO), por lo genera l el orga nismo mrembro de tSO que tuzo la prop.;esta La
secretar ia es r esp:msa~e de nombrar a una persona re ra que actúe como presidente del comité
técnrco El presidente es formalmente normrado po r el Consejo de Gestión TécI1ica

los expeltos parlicire n como de legaCIOnes naciona les, eleg idos poi el órgano naciona l mierrt>rc
de la ISO pa ra el pa ís en cuestión las delegaciones nacionales esta n obhgadas a representar
no sólo las oprnrones de las organrzaciones en las qlR partrc lpan expertos en su trabaJo , Sino
tambrén las de otros gr uf:lOS de Inte rés, Las delegacrones nacionales se basan generalmente e n
y son apoyadas f:IOr los oomrtés naciona les espejO a 105 que ref:lOrtan las delegaciones

De acueroo a las normas ISO, se espera que la instttución naciona l mieml:fo tome en c ueria las
opit"lClnes <le todas tas partes rnteresaClas en la norma en elatoración , Esto les perrnrte presertar
at COlT'lllé técnico lS\a poSICIÓn de consenso nacioml l conso lidada

Las organ izaciones inte rnaciona les y reg ionales de las empresas y el sector p<bIico ¡:>Jede n
sohcttar la condICión de enlace pe ra partIC ipar en e l desarro llo de ure rorma, o de ser informadas
acerca del tratajo Estas "organrzaciones de enlace" se ace¡Xan a través del voto por el
corres¡:lOOd iente comité de la ISO. Enas pueden hacer comentarios sobre los sucesivos
bomIdores, propone r nLll"iOS elementos de trabaJO o 'rc luso proparer doco..mentos de "vla
rápida", pero m Uenen derecho a voto

6. CooperiICión intem.,.;iom'l: las rormas ISO son aclRrdos técricos que acercan en el plaro
Internacional, estructuras de compatIbilidad tecnoklglCa. E l desa rrollo de '" consenso técnico en

,.
el ámbito internacIOnal es ooa actIVIdad lmpOftante Está n ldentIflCaoos 3000 grupos téc nicos de
ISO (comtés técnicos, sub com ités grupos ele tra baJo, etc. ) eleri ro de bs cuales 5(XX)(J expertos
participan anualmente en el desarrollo ele normas

Fuenle : WWW l500ra


Secc1Ófl2' Estándar y rn¡j rro rQrmatfVO

Los Ocho Principios de Gestión de la ISO

1. ~ntoque en el cliente: Las aga,vZdCtOneS deperUerl da sus e1Jfj(jlas y por /o tanto deb«lan
comprender su:¡ necesidades actl.ales y ftAlXaS. sallsfacer sus requrSJlos y eslcnarse en
e~ce<:Jer /as mpe<;tarrvas del elJfj(jte
Impllcanclas para el sistema de gestió n
I"""Sligar y comprero:ler las necesidades y expe<:tatrvas 00 1cliente.
Asegura r que los ot:;etlvos de I ~ orgarUaclÓfl está n hgados 11 las necesjdaoos V
expectativas del c li ente
Cormnca r las necestdades y expectat;"as de l cliente en toda la Organiza(jÓfl
Slslemáncamente geslJQfl8r las relaCIOnes ron los clientes
Asegurar 00 enfoque equílibraoo entre la sauslacción de los clientes y las otras partes
Interesadas, (la les corro ,,"opoetarios, empleados, ,,"oveeOOres, !I""relstes.
comuflIdades loca les y la sociedad en su rofl\ln(ol

2. Liderazgo; Los lideres estal>leren la (lfIIdad da propósito Y doreoxlÓfl de la crg3flzacJÓrl Ellos


debe,!¡m crear y man/efltlr (In ambleflte Jn(e<ro en el cual la genle pueda llegar a Invoir.x;ran;e
rotalirJen/e ef1 el logro de los OOjetivos de la agan!:ur:/ál.
Impllcan<: ias para el sistema de gestió n
Tener en cuenta las necesid<ldes de todas las partes Interesadas IfICh.lj'eroJo clientes,
~opietalios. empleados ~oYeedores, finardstas comunidades locales y la sociedad
en $U COflJootO
Establecer ooa visi6 n claf3 de l luturo de la orgaruadón
Establecer ObjetIVOS y metas desafiantes
Crear y rn¡jntener valores compartidos, imparcia lidad y modelos étICOS de runclOfleS e n
todos los niveles de la orgamzaclÓn
ESlablecer la confia nza y eliminar el mlE!do
ProporclOfla r a las personas los recursos necesaflOs, la formacIÓn y la libertad paf3
actuar COf1 res¡:onsabi lidad y refldjr cuentas
Inspira r. a lentar V reconocer las contribuciones de las personas

25
,-
Secc1Ófl2' Estándar y rn¡j rco rQrmatfVO

3. Partjcjpación de las perso.",s: LM pH$M'U de tcx/ru: .,. n,,~ItM, ~M liJ ~5""""" de WM organiz/tCión y 8"
total convo""o po<sibiltút Que .u. h~bi~ade ......n "hllZi.t<Jes par. el /lener""" de liJ (l'9,m"ac';"
Impl icancias par .. e l s i ste ma de gestió n
Las person ~s comprenden la importanc,a de SIJ conmbucoón y su papel en la organ",aClÓn
Las personas id~ n llli<:a n lo que obSlarulil.a su d~rn¡>el\o
• Las persona . acepta n la propied ad de m problemas y su ' espon .... bi.dad P""" resot-~
Las peosonas e'Yalúan su d ~....,..,., frenle a las metas y obJl'wos pe rsona l ~s .
• Las personas buoca n activa mente oportun idades pa ra mejO .... r ,,"s CO<'lpelenc .. ~. conoctmientos y
e>per renc,a.
• Las personas comparten I"'.--n\e e<>rt<>drrventos y exper .. """,
Las personas di"",,"'n abiertamente los !>'oble-mos y cuestrones

4. Enfoque de procesos: Un ,,,-,ultado de_ .... a.\:a/lZa ""h eriOttnlemenltT cuando "". llCINid&d<M Y /re
re<:rJf~OS reladorradoa se .....5''''''sn
"""" un proceso
Impl icanci as p .. ra e l s istefllil de gestió n
SiSlem;lbcamente definir las act .. ldad .... n~ r i as pa.... obte~ un re sulta dod ~ado
Eota blecer u.... clara r5PO'l""bihdad Y rendkión de cuentas de la gestlÓl1 de la. actr.tidades ~ e
Ana lizar y med;, la capaeidad de las activ idades el ..... e.
ldemfic<l r la~ ,merla""" de las acti.¡Qades eI ..... e dentro y entre las fu""K>nes de la ofllanlz""ón
Cf'ntrarse ~n 1M factores ta les como 1M recursos, rnetodos y mate" ales que mejorarán las ""tNidades
c4ave de la orga nizacIÓn
EvalJar bs riesgos, oonsecuMCias e ,mpacto de las actrvidades en los c4'''''!es, ~eedore 5 y otras
partes interesadas

6. Enfoq"" de "¡$lema para la {¡NrJÓfI: IdsnlifJcar, ",,1efXJer y IJ".I/Offar """ Pf'X'.'$O!J in"" relita<Jnado.s com<J
un &iotemlJ, "",,~ibuye a li1 eficftdi¡ de Is O'ga",zaclÓ<l y .. efK:ienoa en el logro de sus objeINru.
Implicanclas para e l s ist e ma de gestió n
Eotructurar un listem;r pa.... ak:anzar los objetlVOO de la org. n",aClÓn de la manera más e!ic;az y eflCrente,
Comprender las interdependeooas entre los !>,ecesos del sistem;r,
Enfoques estruC1 u r~dos que armanin n e integ ran los procesos
ProporOOnar una me¡or oomprensión de las f u rclon~s y respoosabilídades nMeSanas para ef log ro de
obtetivos corro,rnes y reduc .. ndo asi las I>orreras inter fUllClonale-s
Entender las capacdades orga nizaw as y estabf.-cer las I.nrtaOOnes de r.-cu rSOS antes de ¡., acci6rt
Focaltz ~ , y definir cóm:> deben funciooa r las acW id a ~ especil k:as dentro de un orste .....
Mejorar conMuamente el SIstema a tra.k de la medición V la ."..aluación.

6. Mejora confiflUa: La me¡ot"s GOIIM .... del 005~ glaJsl de la ",{¡anm>cm deberla "", un objelivo
per""'''''''¡'' dllla O'ganizacón
Implleanel as pata e l s l stefllil de ges tió n
El empf.., "" toda la O/garuz acjón de un enfoque consistente eon la mejora GOIIm ua del desempello de
la orga nizac';"
Proporc ""ar a las personas lo formaclon en los rMtocIos Y h.. " amientas de mo-jora OOIIIi nua
Hace; que" ......jo.-a c<>'1trnua de Pfoducto.. proces<>s y s,.temas sea un objet"'o ""ra cada jndrvrdoo en
la orga nizacIÓn
Estat>lecer rnet.,. ~ra gu.. r y medidas ~ra hacer un seg uimiento de la mepra conllnua
Idenlfica r y reconocer las mejoras.

7. Enfoque basado en hechos para la roma de decjsio",,5: L"3 decioiones "'-t::are3 se b&an en el an ~I.... de
ds!os e .,fa""",,';".
Implicancias para e l s ist e ma de gestió n
Asegurar que los datos y la informac"" son sulide nt ~me n te Pf.-cisQs ~ rrables
Ha,,", acceSIbles los datos a las que los necesitan
AnA lisio de datos V de la nIormaci6n utiliza ndo métodos Yálidos,
La toma de d.-c"bnes y"
~do pción de medidas sobre la />ase de amikts de los hecho ... eq ui,b-raoas
GOIIIa e.pene",," y la intuidó/1

8. Relaciones mulUolmenre bem>ficjosa5 con el proveedor. Un" org"niz""",," y W5 pro~ 3M 'nler-


depenó.enl<n;. y u"," rfi'/aclÓ<l "",I..."",nl" b<>neficlO5a au"",nta la C1tfJ'ICrdad de smro.. para ~ _alu
Imp licanc i a!> para e l sis tema de geslió n
Estableoer relaerones que eq u' ,bran las ga noneras a o:>r1O pl azo con las oonsiderac"",es a largo pino.
Au nar C<>nOC1rme<1tos y recu rsos CO/llos soaooo.
Idenlfica r y ...,lettlonar 105 proveedores el""e
Uoa cotrOJ nocación clara y abierta
Compartir informac,;" y ¡>Ianes futuros
Eota blecer a<:t",id ~ des de meJ<>fa y desa rrollo en conjunto
Inspirar, alenta r ~ re<:or><:a:r las "",¡oras ~ los log ros de 1M PlOIieedores
Fuente: ""'" ¡so org
Secc1Ófl 2' Estándar y ITI3 rco rormatfVO

Normas de Sistemas de Gestión


Normas primarias en las que una organización puede estar

-- -- - -
certificada

¡SO WOI ISO 14001 ISO 20000


~ , ,,, TI

-......
15022000
_~
-- ---.. .. I SOVooI
......""'" "",. ISO 2al1OO
"""""
" ...... "0
~

."
Desde 1947, la ISO h<I pubhc~do más de 1900;) normas IntefTlaClOrlales, ISO publICa
esUtndares re lacIOnados con las act.....mdes tradicIOnales como la agricu ltura y la
construcción, los djSposlllV06 de los meálO6 ele cornuf'llCaoon y el desarrollo m'ls
reciente en tecroklglas de la InlormadÓll como la cod(ICaCl6n digital de sel'\ales
audio~ i s ua l es para aplicaCIOnes mu/tjme<ia

ISO 900;) e ISO 14QCO son alg<..oas de las rormas ISO m;!!s conooldas La ro rma ISO
900;) se ha co llVertloo en lXl refere nte inielTl3ciOll2l I en lo que respecta a los reqLilslles
de ca lidad en las transacclCTles comerciales y de negocIOS La llCITTIa ISO 14000, per su
parte, se lJlbz ~ para ayuda r a las orga nl¡:aCICTleS a cumplir los retos de c~rácte r
arrbiental

La ISO 900 1 se refiere a la gestión de la calidad, Conuene las buenas prácticas que
tienen romo e~lVo mejorar la sa tisfacCl6n del cliente, el logro de los requsitos del
cliente y los reqUsltos reglamentarios, as i como aoclOT1eS de mejO<a corrtll'lLJa en esos
camiX's En díciert'lb'e de 2009, 1 064 785 organizaciones es/aba n certifICadas en la
norlTl3 ISO 9001 (Chi na tiene la mayor ca nlldad de organizaciones certl lcadas 257
076)

La ISO 14Xl1 est.'l pnncipa lmente re lacionada con la gestión arrt>ienta l. Define las
acclorJe'S ql.le la orga nizac ión puede Irnplemenl~r pa ra I ~ reduxió n maxlfT\¡l de los
Impactes negat ivos de SUll actIVidades sotve el medio ambiente y para la mejora
ocri iT'IU'J de su desernpel'lo ambienta l. En diciembre de 2009, 223 149 orga nizacIOneS
clXT1 p1 lan con la norma ISO 14001 (Chin~ tiene la mayo r cantlwd de organ lzaclOT1es
certificadas 55 316 en 2009, Japón ocupa el segundo lugar con 39 556 organizaCIOnes

27
,-
certdlC<was)
SeccIÓn 2' Estándar y rn¡j rco rQrmatfVO

La a-ISAS 18001 (OHSAS = Serie de Evaluación de Seguridad y Sa lud OcupacIOna l) identifICa


las mepres práctICaS para la ge5t16n rigurosa y la efectwa ¡:rotección de la salud y de la
seglSldaa ocupaciona l A pesar de la publICación de la roorma ISO 18001 de5puk de va rios
desacuerdos dentro de la Olganizaci6n ISO para crear 111 est"'ndar de gestión de salud y
seglSK!aa, OHSAS 18001 es el estándar de l acto para la salud y la seguridad en la e~resa
OHSAS 18001 es una norma privada, Fue desarrollada a partir de las normas naciona les
existentes (BS 8800, UNE 81000, VCA) y las mrmas publicadas ~ diferentes orgal1lsmos de
cert ificacIÓn (OHSGS, SafetyCert, SGS 8800)

La ISO 20000.1 define los requISitos que debe aplicar 111 ¡:roveedor de servICIOS de tecnología
de la inlormacl6n Esta rJXTTIiI se aplICa a los proveeoores de seMClOS, Independientemente del
tarnal'oo o el ti po de la organizacIÓn La norma consta de dos panes En la pnmera p¡!ne se
definen las especifICaciones que la organización aplicar'" para oIXener la ceruficaclón. La
seglSlda parte (ISO 2OOXl-2) explica las diferentes ¡:tácticas o recomendaclOf1es para alcaflZ¡lr
los ObtetlvOS ¡:tevlamerrte definidos

La tSO 22000 crea y gest'ona 111 Slstern¡j de gestión de la segLXidad ali mentaria (SGSA) Esta
norma se aplica a todas las orgaruzaclones que están Ifl'\IohJCfadas en cualquler aspecto de la
cadena de sum il1lstro de ahmentos y desean implemertar 111 sistema para ¡xoporcionar
contmuamente alime ntos segLXOS Esta norma se centra en las competerv; lils 00 personal,
bUsqueda de mlo rmaoon cont ilJJiI acerca de los ¡:rO<i.rnos alimentICIOS (ruevas leyes. normas
reglas ,j . Las orgaruzaclOnes deben rearlZar 111 plan de HACCP (Arui lisls de Pe ligros y Pu1tos
Cr rt icos de Contro l) para identIficar, analiza r y eva luar los nesgos para la seguridad ahmenlana
Para cada nesgo que se h¡, defirtdo corno slgnificalivo, la organizaci6 n debe óelirir los contro les
a implementar

La ISO 22301 define ios reqllSltos que lI1a o rgaruzaciÓll debe aplica r para certrficar 111 Sistern¡j
de Gestión de la Cont inUIdad de l NegocIO (SGCN) Para cunpIir con los reqlJlsrtos de esta norma
la organizacIÓn debe documentar un modelo pa ra desarrollar, implementa r, operar, morflorea r
revisar, mantener y mejora r 111 SGCN para aumentar la capacidad de recuperación de una
orgaf'liz3clÓn en caso de 111 desastre. Esta mrma es compatible con PAS 22399 (Dired.nces
para I ~ preparación y gestión de lroidentes y de oontrru ldad operaciona l) y SS 25999 (roorma
britároca sot:t-e la contJfllldad del nego<:lo)

LB ISO 27001 define los requiSitos que una organlZi\ClCln debe eplfCilr para proporciOnar un
rnrxIelo para establecer, mplementar, operar. rnon~orea r, re\llsar, ma ntener y mejora r 111
Sistema de GestIÓn de Seguridad de la Inlo(fl'lación (SGS I). Un SGSI es 111 marco de p:lIftlCilS y
procedim ientos que incluye todos los controles legales, llsicos y téallCOS que intervienen en los
prooesos de gestIÓn del rtesgo de la informaóón de una organizacIÓn La norma ISO 2700 1 m
establece cortroles especlflCO& de segJridad de la inlormación. pero ¡roporciona !M'Ia hsta de los
ool'l!roies que deben ser conside!ados en el código de prácticas. ISO 27002. Esta segtnda
norma descnbe un cOflUnto completo de ot:;etIVos de contro l de segLXidad de la iniormación y 111
COrlunto controies de seguridad de las buenas prédicas ger1l!ra lmel'l!e ace¡Xadas

La ISO 28000 establece los requsitos aplicables a 111 sistema de geslJón de la segundad de la
cadena de suministro. Una organlZac lÓll uene que defirw, implementar, mantener ~ mejorar la
cadena de SLmlniStro del sistema de gestión de 5el)Jridad en CMla paso de la ¡xoduccróll_ la
fat:oca ción, mantenrmienlo, almacenamiento o transporte de rne rcarv; ías,

"
SeccIÓn 2' Estándar y IT\3 rco rQrmatfVO

Sistema de Gestión Integrado


Estructura IIpica de las normas ISO

~ . . ,"",,,"
= tSO
''''''':0><
~o
ISO = .."
'"o,"'.' ==
n ..,lO"
... ,
tSO '00''''' >0000"""
Obfotlvoo dol 010_
dognll6n
u ., ..... " "
PoI~~ ........ _

~~- " " ." '.' "


C_"'-do" .., ••
" " "
..
OIrec:el6n

R_

--~
.. l1oodo
" ..
" "
'"..,
...
....... _ In",,, ~u
" " <M.

.,
/1I0I0<' <0011" ...
R....I6n".,.. ..
OIrwc:el6n
,,,e
.. .. ..•. .. ..
."
'"
l • .>

Cada vez más organIZaCIOnes tiene n que geslJonar vallOS marcos de r;u-npl lmlento de forma simu ltánea
Pa ra simplifICar el trabaJo, pa ra e\l1tar conflictos y reduc:ir la dupl i ~ci6n de documentos, se recomienda
Implementa r un SIstema de gestIÓn Integrado, Un Sistema Integrado de gestIÓn (S IG) es un Slste1T\3 de
ges\lOn que Integra toxlos los componentes de un negocIO e n un único sistema cohe rente para perm itir el
logro de su propós ito y rnslÓn La tabla en la diajX>Siti\ia preserta ciertos req u ls~os que 5Of1 comunes a
todos los sistemas de gestión

Hay var ias t:oenas razones para eleg ir la integración ell a serv irá para
armorua r y optImizar las práctICaS
elimIna r kls re5por1S<1bdldades y las relaciones confhctivas
equi li brar 105 ot;etlVOS contra~t06
formaliza r los sistemas Informa les
re-du:<lr la duplloación y po r lo tanto los COSIOS
recru::1f los nesgos y atmeriar la rentabil idad
foca lizarse en los obfet""os de negocIO
crea r conslstencoa
mejOrar la comunicación
(acUnar la formacIÓ n y la sensibilizacIÓn

HO!:a Importante: En ju lllO de 2009, el Com~é T écl'lCo de la ISO aprobó una resolLCión pidiendo a los
comrtés QUe partICIpa n en la elaboración de normas espec{ica r 105 feqUlSrtos de un sIstema de geslión
(ISO 14001, ISO 22000, ISO 27001, ele,) sigUIendo ura eStn.lCtufil de las cláusulas com.l n de acuerdo 00fl
la norma ISO!XXl1 Esta Directiva se ap'ica a las versiones pubrlCadaS después del al'lo 2011 Por lo tanto
los elementos comunes a todo sIstema de gestlÓntef'ldrán la mISma referencia El objetIVO princ ipal es
rac illtar la gestión con¡unta de un marco normatIvo pe ra lJfl<j orgaruaCIÓn

29
,-
Secc1Ófl2' Estándar y rn¡j rco mrmatfVO

Otros Estándares de Seguridad de la


Información
Ejemplos

"'''
Hasta marzo de 2012, hay 106 normas ISO sotte segundad de I~ informacIÓn publ icadaS (comné téoolOO
JTC I/SC 27) Ircluyendo los SigUIentes ejemplos

1$09798: Esta norma espec il >ea lSl modelo ge nerallrcluyendo los reqUisitos y limitaciones para el usa de
mecan ismos de aLJenticación de oden1idad, Estos mecanismos se ut il izan para demostrar ~ una entidad
es quien dice ser Los deta lles sobre los dilerernes mecaflSmoS se explk;a n en las dosllrias partes de esla
~~

1$0 11nO; Este estándar define lSl modelo genera l para la ~ti 6n de claves indepeooentemerrte del
algoritmo de cifrado utlliOl<ldo Esta m rma aborda !<tnto las claves automátICas y rna nU<l les y la secuercia
de las operaciones reqRrida. SIn embargo, ro espec ifica detalles saNe 105 protocolo5 de irner1az
reoesarios pera las operaciones

ISO 15408: Bajo e l titulo general de Cmerio CotnCr" el alcarce de esta norma es su uso como base pe ra
evalua r las ","optedades de seguridad de productos y sl1>temas de Te<:noIog las de la Iriormac:IÓn (T t) Se
p..oede descarga r desde el SrtlO ISO una co",a gratUIta
Contiene las siguientes pertes
Pa rle 1 tntroóucci6 n y rrodelo genera l
Pa rle 2 Los componentes fl.flClOfl3 les de segurJdad;
Parle 3 Los componentes de garamia de &egUlidad

,-
,o
Secc1Ófl2' Estándar y rn¡j rco rormatfVO

L~ ISO 218Z7 esp:<; lfica 13 Ingen ierla de SeglXldad de Sistemas - Modelo de MadIXez de la
C~paOlOOd ® (SSE-CMM® ). en el que se describen las cara,ter lsl!c~s esef"Cla les del proceso
de ingenieria de segundad de una organizaclÓl1 que debe ex isti r pa ra garantizar un buen nrvel de
seglXidaa 1.3 ISO 21827 na ,.-escnbe un determ inado proceso o se<;uer;c¡a. pero capta las
pracllcas obse!Vadas en 13 industria en general El obJetivo es faCI litar un ao.memo de lo!;
procesos de madurez de la inger1leria de seguridad dentro de la orga nizacIÓ n.

La ISO 247111 especdlca la estructLKa y los elementos de LI'I mecarosmo de alAelll!CaClÓ n


med ianle la biomeIrla en el proceso de verificación

La ISO :21033 proporciona lXI3 descnpclÓn gener¡l l de la segtSldad de la red y defino<:lOnes


relacionadas, Der.ne y describe los conceptos relacionaoos con la segundad de la red l.3s
dleren!es partes de la rorma ISO 27Q3.3 aoordan temas espec irlCos relacionados a la segllidad
de la red
SeccIÓn 2' Estándar y rn¡j rco rQrmatfVO

Historia de la Norma ISO 27001


Fechas Importantes

. ,..... _.. _ _
.. --
..,- - _
- -- _. _ ..
_.

_o. _o - - - .... ""'. = ..


_.-
--
-
---- - -
-
Comienzos de la dkada de 1990
Una r.ecesldad de la indust1\a es e~","esada en lémunos de mejores "'"actlCas y CIXIIro les
pa ra apoyar el comercio y e l goboerno en la implemenlaClón y mejora de la seguridad de la
información .
El Mrrosteno de Comerc>o e Industna (Rerno Unido) forma l.rl grllPO de trabajo que agrupa a
directores con experiencia en segl.rldad de la irtormaCIÓn.
Publicaoón de un trabaj o colectivo de asesoram ierto sobre la gesbón de seguridad de la
informacIÓn

"" Gula de buenas práctocas de la induSlna (Septiembre) publicada lf1icia lmente co rno una
publ icaCIón del British Standa rd I nst~ut e (BS I).
Esta guia lue la base para el Estánda r BritaflCO BS 7799· '

""
• BS 7799-1 :1995 p.Jbhcado como un estándar Británoco

1996 · 1997
Idenbfocac:i6n de la necesidad de aumentar el nivel de confianza en la flOIrrnI BS 7799,
• La andustna dema nda un programa de cert ificacIÓn para l.rl SGS I

""
• Lanzamiento del modelo de certifICac ió n de SGS I (PLJt:j ic:ado corno BS 7799 -2.1998)

""RevisKm de la norma BS 7799-1 1999 (actua li zación y adicIÓn de nuevos controles de


segtridad)

32
,-
• Nuevos controles de seguridad . e-commerce T I móvi l, acuerdos con terceros,
• S~esi6n de las refe reooas especlf;cas al Rell'lO Urudo.
SS 7799·2:1999 (AhneaclÓn de los corVoIes con SS7799-1)
SeccIÓn 2' Estándar y m¡jrro rQrmatfVO

,,'"
• PublicaCIón de la rorma ISO 177992000

,'"l anza rriento de la norma BS 7799-22002


l as ac:tw hzaClOfles son las SIgUlentes
• IntegraCIÓn del MoOOo PIa.. flCa,· Hacer-Verificar. Actuar (PHVA) ,
• Colllroles de la ISO 17799 indUdos en lr1 anexo a la norma;
• Ane~o demostrando la cone~ ión entre BS7799·2, ISO 900 1 e ISO 14001

,'"PublicaCIÓn de la rueve versión de la rorm¡j ISO 17799 2C1J5


LB publicacIÓn de la no rma ISO 27oo1 :2C05, que sLlStduye a la norma BS7799·2, y ronue ne
• Espec ificaciones del SGS I;
• Cootmles de la ISO 17799 en el ane~o del estanda,
• Ane~o demostra ndo la oone~ión enlre la ISO 900 1 e ISO 14001

"'"l a publi<;aci6n de la rorma ISO 27002 2005 para sustrto.ir la norma ISO 177992005 (Sin cambios
en el oonIenido, sólo número de KlellllflCació n) ,
l a publ icacIÓn los requositos de la rorma IS027(X)5 2007 (para los órganos de auditorla y
certificacIÓn de sIStemas de geStión de segundad de la Información) ,

,,'"
PublicaCIÓn de la rorma ISO 27C05 2008 (Gestión de nesgos de segundad de la tnlormaclÓ n),
Publ icación de la norma ISO 27011 .2008 (las tired ' lCe5 pala la gestión de la seglJ'idad de la
"",formacIÓn pa ra las organizaciones de teleconnricaciones basadas en la norma ISO 27002)

",.PublicaCIón de la norma ISO 27CXXJ2009 (Sistemas de gestión de segundad de la irformaci6n -


lriormación general y VOC3ool<lrioj;
Publi<;ación de la norma ISO 27004 2009 (Gesbón de seglJ'ldad de la iríormaclÓn· Medi<;i6n) ,
PublicaCIón de la norma ISO 27033---12009 (Segundad de la ,ed - Pane 1 Introducció n y
concepos)

2010
PublicaCIón de la norma ISO 27003 2010 (gu la de apl lCaciOn del Sistema de gestió n de seglJ'ldad de
la información):
Publ icación de la norma ISO 27033 -3.2010 (Seguridad de la red - Parte 3 Escenaoos de relererx:ia
de redes - Las amefl3<:as, las técnICas de dlsef'lo y los temas de control )

"" Publicación de la norma ISO 27C1J5 2011 (Gestión de riesgos de seguridad de la Información) ,
Publ icaCIón de la norma ISO 27(X)5:2011 (ReqUISitos para los organismos de aud~orla y
certtlicaci6n de Sistemas de gestIÓn de segundad de la lnlormación) .
Publ icación de la norma ISO 270072011 (DIrectrices para la auditorla de sIStemas de gestión de
segur idad de la irformaci6n):
PlJjicaci6n de la norma ISO 27008'2011 (Segurldad de la red - Parte 3 Escenarios de referencia

33
de redes - UlS amenazas, las técr;.;as de disef\o y los temas de oo nlfol)

"",
P\bhc~ClÓn de I~ norma ISO 270002012 (esl~ segunda edicIÓn c~ncela y reempaza la
pnmerlI ediCIÓn: ISOJIEC 27000.2(09)

""'
PubhcatlÓ n de la norm3 ISO 27001 2013 (esta segunda edicIÓ n cancela y reemplaZil la
p"mera edic ió n. ISOiIEC 27001 20(5)
Pu blicació n de la norma ISO 27002:20 13 (esta segunda edició n cancela y reempaza la
p"mef3 edicIÓ n ISOiIEC 27002 20(5)

,' ,
Secc1Ófl2' Estándar y rn¡j rro cormatfVO

La Familia ISO 27000

"'''
Resu lt~nte de reflexiorles de gnJp:ls de tr~tejo inlemacJOna les dedicados al <lmbto de la
se\l\Sidaa de la Información, la familia ISO 27000 se está publ ioando gradua lmente desde el ar'lo
2005, ISO 270012005 es la Úrlca romt3 cenlflCilble de la famil ia ISO 27000 liIs demils normas
son dlfeotri<:es

ISO 27000: Este estánda r de segundad de la lriormació n desarrolla los conct'>WG ~icos,
~SI CQfOO el vocaooario que se aplICa en el aná liSIS de un SGS I Una oopa graluita de esta
norma p,Jede ser descargado desde e! srtlO de la ISO
ISO 27001 : EWl no rma de segurioad de la Información define los requiSitos del Sistema de
Gestión de Seguridad de la IriormaclÓn (SGSI)
ISO 27002 (anteriormente ISO 17799): Gu la de las mejOres practicas pa ra la gestión de
seguridad de la U"tormaclÓfl. Esta norma define los objetIVos y recomendaclOOes en materia
de seguridad de la U"tormaclÓn y se anticjpa a las preocupilciones globales de las
orga nizaciones relaClOIladaS con la seglXidad de la U"toltTlaaÓfl para sus actividades en
general.
ISO 27003: G ula pa la la implementación o la creació n de .., SGS I
ISO 2T004: Gula de indicadores para facilitar la gestió n de! SGS I, proporcIOna un métod:l
para deho r los objelfVOS de los crrteflOs de ejecl.lOlÓn y de eficacia, de las mecielone\; de
5e9lJlmtento y evo ll.lOl6n a través de todo et proceso
ISO 27005: Gula para la gestión de f\esgos de seguridad de la IrlormaOlÓ n que cumple ro n
tos conceptos, modelos y pocesos generales espec~lC300s en la corma ISO 27001
ISO 27006: G ula para las organizal;lQne\; que auditan y cert ifican los SGS I
ISO 27007 : Directrices para la auditorla de sistemas de gestión de segulidad de la
Información
ISO 27008: Directrices pala los aLditores de la seguridad de la inf ormaci6~
ISO 27011 : Directnces p3ra e! uso de la norma ISO 27002 en e! sector de las
teleoofTlUnteiICJQne\;
1$0 2703 1: Directrices para la preparaCIÓn pa ra la oonl iflJidad del negoc IO de la T IC

,- "
(Teonologla de la InformacIÓn y Comurllca<;ión)
ISO 2n99: Dire<;l ooes par1l el uso de la norma ISO 27002 en el sector de ..,formátlCB
aplicada a la sa lud.
Secc1Ófl2' Estándar y rn¡j rco rQrmatfVO

ISO 27001
• Especifica los requisitos de
gestión de un SGSI
(Cláusula 4 a 10)

• Los requisitos (cláusulas) son


escritos utilizando el verbo
"deberán" en imperativo
---
------
---
• Anexo A: 14 cláusulas que
contienen 35 objetivos de
control y 114 controles
• La organización puede ser
certificada en esta norma
,--
"'''
1$027001 ;
Un co'1un1O de reqUISitos normativos para el estat>leclmlE!f'llo, implementaclOO, Opefactón, SuperVISión
y rellisión para actuahza r y meJOrar un Sistema de Gestu:'n de Seguridad de la rnorma<;Kln (SGSI);
Un conJUnto de requisitos para seleccIOnar oontro les de seguridad a la medida de las r.ecesldades de
cada orgaruzación, tesado en las mejme5 prácticas de la Industria.
Un sIstema de gesti6n que se Imegra en el ma rco de riesgo globa l asoc iado a la actividad de la
org<IflIzaCIÓll,
Un proceso reconocido irtemaciona lmenle , der",1do y estru::tlJ"ado para gestIOna r segundad de la
InformaCIón;
Un estándar Inte rnaciona l para ada p(arse a todo tI po de organizaciones (por ejemplo, em..-esas
c:ornerciales, agen:::las guberna mentales, orgal1ll'aciones SIn fi nes de ILCro. ), de tOCIOS los lamal'los en
todas as industnas

ISO 27001 , clausula a 1: Generalidades


Esta Nonna IntemoclOrlaJ ha SIOO preparada para proveer req"'SJ1OS para la creocÓ'l, ImplamentocÓ'l
~1Ó'l, wpeoors&l, revrSH7i mantenrmlento y ms¡cra da !Xl Sistema de GestlÓ'l de la $egr.JfJdad 00 la
Información (SGSI) La adopciórt de !Xl sisl8ma de gestión de sagutidad de la la infonnación es lila
dacisiórt ~tratégka de !#la c;ganiladón El disello y la rmplemen/ac1én del SGSJ de lXl8 c;gar; zaciórt
dependen de las noc~1dades y objetivos de cada aganzac¡ón, asl como de =
req...·SJtos de se>glJlldad
sus procesos u/iliz<rios y 91 IMlallo y asl1lL1ura de la agarlización Es prENistJle qua lorbs estos
factrxes cambien con e/llempo,

El sis/ama de gasliórt de sagurdad de la Información man/ien9 la cmfid9n:;ialid&:J, integridad y


dlsporif>lltdad de la Informa:;KrI mediante la apllCoción de un p r = da g~tJón de nesgos y d¡¡ la
c:onfianza a las parI~ mteresadols de que /os nesgos son mane¡a:Jos adecuadamente,

Es ,mpor1anle que el Sistema de gestión de se>gllldad de la ",fonna:;IÓrl sea parle de, y esté In/agrado (;0"1,
los procesos la e5fnxtl.Xa da gestlÓ'l 6f1 general de la c;gafl/zaciórt y que la se>gurrdad da la ¡nforma:;/Órl

,- "
sea cmsiderolda sn el dse.'lo de los procesos, los SJslemas de ,r(00TI~¡ór¡ Y controles Es de
esperar que la aplic~ión de IX! SJSlama de gestión de segundad de la ¡nfoon~1Óf1 ser.'! escalaOO
de acuerdo con las nfJCesid3:ies da la organizaa6n.

Esta Norma InternaclQllal pll8de ser lililizada pa pa¡tes ,nternas y a>:lemas para (Na!uar la
capacidad de la txganzación para salisfi'JCt3t' los requisitos propios de seguridad da la infoonación
de la organización.

,',
Secc1Ófl2' Estándar y rn¡j rco rQrmatfVO

ISO 27002
• Gula para el código de
practicas para los controles de
la seguridad de la información
(Documento de referencia)
• Clausulas escritas utilizando el
verbo "deberla"
=-_.,;.:::::
---
==--_.
• Compuesto de 14 clausulas, 35
objetivos de control y 114
controles
• Una organización no puede ser
certificada en esta norma
• También conocida com o ISO
17799
-=
--
"'''
ISO 27002:
Revisada en 2005, ISO 17799 es ..,a gula de las mejores pr;lJctJcas de gestión de &egLXldad de la
Ino'ormaclÓfl En 2007 se COI1\IIrti6 en la norma ISO 27002 par¡! Integrarse a la lamo lla de la norma ISO
27000. En 2013 se p.bIIca la seguro:la ediclO!l de la norma ISO 27002
Esta norma Internacional proporcoona una lista de bs objetNOS y controles de seguridad genera lmente
pra¡;tk:ados en la Industria
En part icular las cláusulas 5 a 18 presta n.., asesor¡!miento espec ffi co y una gula par¡! la aplICaCIÓn de
las meJOres pr;ktlcas para apoyar los cont roles especifICados en el MeKO A de la norma ISO 27001
(cláusula A 5 aA 18)

ISO 27002 , dáusul .. 1: Ámbito de .. plicació n


Esta Norma InlernaclOnal PFOpOlC1Of"S las paurns para los estándares de segl..f"Kia::I 00 la mlormoc/Ón 00 la
CI'!l'~laclÓ"l y liJS prácticiJS de gestl6n de la segundad 00 la mfamaclÓ"l, 1~luyen::Jo la selección la
eja:;I.I:JÓfl y la gest!Ó'1 de controles lenJer>do en cuenta el entomo(s) de nesgos para la segundad de la
irlamaclÓ1 de la CI'!l'atYIOCIÓ"1

Esta Nama JntemocKXIal está desl9nada a ser utilizada pcr las CI'!l'anizaaooes qua intentan

a) seleccionar control8s en 91 proceso de implementación de l..f"I &slema de GesliÓ'1 da Segllidad de la


InlormaciÓ'1 basado en la norma ISOIIEe 27001,
b) apllCaf controles de segllidoo de la jnlormocJÓfl CWllTlmente acepla±>s;
e) desarrollar sus propoas dlleclrlces de gesliOrl de la segundad de la información

36
Secc1Ófl2' Estándar y rn¡j rco rQrmatfVO

ISO 27003
• Gula para el código de
prácticas para la
implementación de un
SGSI
=
• Documento de referencia
para ser utilizado con las
normas ISO 27001 e ISO
----
---
--=--=-----
---
27002
• Consta de 9 cláusulas que
definen 28 etapas para
implementar un SGSI
-=
• La certificación con esta

"'''
norma no es posible -
1$0 27003, c lá us ula 1: Ambito de aplicació n

Esta Norma Inlemacoonal se centra en los aspeclOS crlr>cos necesanos para dJseIIar y ejeCutar can éxito
IIJ Sistema de GelitÜl de Seq¡ndaJ de la mlotmoc:iOn (SGSI) 00 C<Xllotmidad can la fUma tSOlfEC
27001 2005_ En él se desctibe el proceso de las especificociones y el diseño del SGSJ desde el ¡xincipio
Mta la proci»;ión de los planes de accIÓn Descnoo ei proceso de dXener aut,~izacl&! de la dirección
para Implementar un SGS/. define un proyu;to paro Implementar un SGSI (referido en la presente Norma
Inrarnaaonal CGY1IO el proyecto de SGSJ), y proporciona Otiantaci<'in sobra c6mo planificar el proyecto de
SGSJ lo que resulta en 111 plan final de la eracucl&! del proyacto de SGSI

Esta Norma IntemocionaJ asrJ, desbnada a 581' ublir.na fJOf las orgarizaclona5 que Implementan IIJ SGSt
Es aplICable a todo ti¡x; de orga"lOzoc:l&! (¡xx e¡emplo empresas comerciales agero:;las gubernamentales.
orgar>;zoc:lOf'I8S sm fines de /IJ(;IO) da todos los tamallos La CGY1Iple¡Jdad de cada organwxl&! y los n~
5úIl QtlICOS, Y SI./S reqUisitas aspaclficos Impulsartln la aplicación del SGSI Las orgar>;z3C1ctl9S más
¡;e:¡l.-'E!I'Ias encomrarán que las oc:rJvWde$ que se seIlalan en es1a fUma son aplICables a e/las y pueden
-S1ffIplificarse Las organJZ<I(;I01eS a gran escala o complejas pua:i8fl enoontrar qua 5úIl nooesarios LXJa
orgarización an Gapas o lJI1 sistema de gesb&1 pwa gestionar las oclillidadell de as/a tnmIa inlBmacional
en forma eiioal Sin embargo. en ambos casos, las ;xtlVidades relevantes se pIXKietl planificar mediante la
aplicacl&! de esta Norma In/emaci<XlaJ Es/a Norma tntemaclOflal ~roce rf.'lC()trleridacJOnes y
at.plicocionos, 00 especifica ringUn reqUiSItO

Es/a Norma intemOC:lOfIaI es/á destlflada a ser ublilada en oon¡urx:JÓfl con las romas ISOlfEC 27001 2005
elSOAEC 27002.2005, paro no tiene la intBt"Ci<'in de modificar y/oredu::.ir 105 raql./Jsi~05 especificados en la
norma ISOIfEC 27001-2005 o las r8C<ftleridaclO1es formuladas en ISOAEC 27002:2005 Reivmdicar
rxrlormldad con esta Norma Inlernacl<Xl<ll 00 es aptopaoo.

,-
SeccIÓn 2' Estándar y rn¡j rco rormatfVO

ISO 27009+
Dentro de la serie 27000, la ISO 27009 Y los numeros
siguientes están reservados para la creación de
normas enfocadas a dominios especfficos:
~ Para las industrias:
- Telecomunicaciones
- Salud
- Finanzas y seguros...
!"!' Para sectores específicos relacionados
con la seguridad de la información :
- Seguridad de las aplicaciones
- Seguridad Cibernética
- Gestión de incidentes de seguridad
- Protección de la Privacidad ...
,,,.
~tas so n algJnas 00 las rormas ya p...t>hcadas o en preparacIÓn

ISO 27010: O< rectnces soto-e gestión de seguridad de la informaCIÓn pa ra I ~s oomurocaC>OfIeS entre
seaores;
ISO 27011 : Directrices sobre gestión de segu- idad de la informaCIÓn para las organizaciones de
tele<:omunicaclOfles basadas en la IS027002,
ISO 27013: G ui ~ sobre la ~ phcao6n i nlegrad~ de las rorrTlaS ISO 2COOO·l e ISO 27001,
ISO 27014: Marco de gestión seguridad de la información
ISO 2701ó: Di rectriCes para la geslJOn de la segYrklad de la información pa ra los secto res
fina nc ieros y 00 los '!e9'-'"os
ISO 27018: Directrices sobre gestión de segu-klad de la informaCIÓn pa la la econornla de la
orgarizaclÓn ,
ISO 27017: Directrices sotM"e gestión de la segundad de la InformacIÓ n sobre la segundad de la
rUle informática y el sJsterM de gesUón de la privaCldad;
ISO 2701 8: Código de buenas ,.-ácbcas para los controtes de protec<;IÓfl 00 datos para los ser\HC IOS
de la 00 00 irlorrnática
ISO 27001 : Gula de preparación de la nc para la conlrnu idad del negocio (esero:::lalrnenle el
comp<Jnenle de oontlnuldad de la TIC dentro de I~ gestIÓn de la contlrudad de la empresa 1,
ISO 27032: tJ; rectr>ce5 I"'ra la segundad cibernética ,
ISO 27003: Seguridad de redes de TI (ISO 27033-1 a ISO 27033-7),
ISO 27034: Di rectrices para la seguridad de las aplicaclOf1eS ,
ISO ZToo!>: GestJ6n de Incidentes de seguridad
ISO 27038: Directrices para la seguridad de la conlratact6n externa
ISO 27037: Q;rectrices para la identifICacIÓn, recoleccIÓn y/o la adquisicIÓn y preservación de
evKlencra dtgrta l,
ISO 27038: EspecifICaCIÓn para la Redacció n DIgital.
ISO 27039: Gula para la selección. la IITlplementaClÓn y las operaCIOnes ele SIstemas de delecclón
de in!llJslOfleS,
ISO 27040: Directrices para la segLlfidad de almacenam iento

,- "
ISO 27041 : Orienladórl para asego.rar lE! sufideoc18 '118 acte<;wd6 n de los métodos de
u-...estlgaclÓn
ISO 27042: Dlrectooes pa ra ei anélisis y la interpretacoón de pfl.oeblos digita les.
ISO 27043: Gula para los p1flClplCS y procesos de la mvestJgac lÓn;
ISO 29100 : Marco de privacidad de la tecrologTa de la información
Secc1Ófl2' Estándar y rn¡j rco rQrmatfVO

¿PREGUNTAS?

.., ? ?
, ..,- f'
?
- ;"- -
..,.
~ I
' ? / - \?I ?
• L! j 1J
"",

39
,
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Capacitación Implementador lider Certificado


en la norma ISO 27001
Sección 3
Sistema de Gestión de Seguridad de la Información (SGSI)

a. rklflnlclón dal SGSI

b. Enfoqu8 8nl08 procesos


c . Visión general ~ Cláusulas 4 a 10
d. AnexoA

"",
SeoclÓ n 3 Sistema de Gesbón de Segun<j<ld de la Información (SGSt)

Definición del SGSI


ISO 27000. clausula 3.2.1
Un SGSi es un enfoque sistemático para establecer, implementar,
operar, monitore ar, revis ar, mantener y mejorar la seguridad de la
información de una organización para conseguir los objetivos de
negocio. Se basa en una evaluación del riesgo y de los niveles de
aceptación del riesgo de la organización diserlados para tratar y
gestionar los riesgos de manera eficaz. Analizar los requisitos para
la protección de los activos de información y aplicar controles
adecuados para garantizar la protección de estos activos de
información, según sea necesario, contribuye a la aplicación

Un Slsterro de geStlÓfl es '" sistema que perm ite a orgarua clOnl's de establecer po lklCas y ob¡ etrvos y
apllCa l los po ~teriormef'lle_ El s i~t ema de gestión de Lona orgar.zaclÓ n puede incllJjr diferentes Sistemas de
gestión , tales corro un slsterro de gestlÓfl de la ca lidad, la seguridad de la Información mec1tO Bmblente,
,"
Las orgarlzaclOnes lJdizan slstema~ de gesti6 n para desarrollar sus po l filCa~ y po nerlas en práctICa
mediante objet ivos o..tIliza ndo
Una estruct ura orgalUatNa
Prooesos SistemátICOS y recuroo~ asocl3dos;
Una metaoologla efectNa de eva luadó n;
Un proceso de rel'i~lÓ n pa ra asegua r que los problem a~ estén debidarnerte correg idos y que il'l ~
opollunidades de mejora sean reOOllOCldas y aplicadas cuando ese sea el CaIóC

Nota: Lo que es im plementado debe ser controlado y medido. lo que es controlado y medido debe
ser administrado. La nolTTl3 lndIoa que la organizaCión debe eva lua r el desempeno segundad de la
Wotormacl6n y la elicacl3 del sistema de ge~tI6n de seguridad de la Iriormad6n (clausula 9 1) Esta
clausula es .., COf1llO/1ente esencial de.., sistema de gestión ya que sin la eva lua Ción de il'l eficacia de los
procesos y cor4 roles que se llevan a caoo es imposlt:Ie validar SI la orgarlzaoo n ha logrado sus objetivos

,-
Seoci6n 3 SIstema de G~ti6n de Sego.¡ndild de la Información (SGSI)

Las definiciones relacionadas con el concepto de "SGS I"


ISO 9000 e ISO 27000

Sistema : CoriunlO de elementos interrelaCIOnados o que inleractúa n ( ISO 9<XXJ, 3.2 1)

Gestión : Ac:IIVidadE!5 coordinadas para dirigir V controla r una organización (ISO 9000, 3.26)

Sistema de gestió n : Sistema par3 establecer la poI l~ca y ol:1ellVOS, y pa ra alcanza r dichos
oqetrvos ( ISO 0000, 32.2).

Seguridad de la inforfTlilción: PreseJVaclÓn de la confidenc lahdad, Inlegndad y


dislx mibilidad de la Información (ISO 27000, 2.19)

HOlas sobre la lermlnologia

1 El térm lro gestión se refiere a todas las actIVidades que se LAlhzan para coordln3 r, dirigi r y
cortrolar una organtzación En este contexto el térmIno gestión no se rellere a personas. Se
refiere a actividades. la ISO 9()(X) lAiIiza eltérmno aila di leccIÓn pa ra a llrlr a personas.

2. El sistema de gestIÓn de lI:1a orgalllZac lón puede incluir d iferentes 5istema5 de gestión, ta les
como sistema de gestl6n de ca lidad (ISO 9(01), el SlSlema de gestión de seguridad de la
Informac ión (ISO 27001), \Xl sistema de gestión mediamblenta l (ISO 14001 , etc)
SeoclÓ n 3 Sistema de Gesbón de Segun<j<ld de la Información (SGSI)

Enfoque a Procesos

~ ,i

"'''
Est~ norm~ internaclOIlal ~dopta el m:xIelo de ,,"ooeso ''P1alllf,car·H acer· Verificar· Actll/lr'' (PHVA) o la
''rueda de Demll"{l", que se aplica a la estructura de lOOOs los procesos de un sistema de gestión La r¡gu ra
muestra cómo un sistema de gestión ul iliza oomo entrada los reqllSltos y las expectatMls de las partes
¡meresadas, y cOrro se proclucen , con las acciones y procesos necesa rios, los resuttados de seguridad de
la inlOl mación ql.'f! cumplan con los requisitos y expectalIVas

P!,,"ifi<:ilr (estable<:er el sistema de ges tión): Establecer la poI ltica, los oqellV05, los procesos y
procedimientos relacionados con la geslión de riesgos y la mejora de la seguridad de la infOlm aclOn para
poporcíonar resultados en linea con las po llbcas m-.ndiales y los of:1etlVOS de la OIgaruaci6n

Hacer (imptementar y operar el sistema de gestión): Im¡jernentar y operar la polltica, contro les,
procesos y ,,"ocedimientos del sistema de gestIÓn

Verificar (monltorear y revisar el sistema de gestión): E~a l uar y, sJ ,,"ocede, medir las ac:tuaclOl'les del
¡:meese frente a la polluca, íos oqetivos y la experrerv;ia práclJca e informar íos resiJIados a la gererv; <a
Pilra su revisió n

Actuar (mantener y mejora. el sistema de gestión): Llevar a cabo las acclOOes correc1M1s y
¡:reventIVas, seto-e la base de los resuRados de la audno rla Interna y revisió n PO' la di reooOrl, u olra
Informaa On releva nte pala la mejora c:ontlnua de dicho sistema

,-
Seocí6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Enfoq ue a Procesos

• La aplicación del enfoque de proceso variara de


una organización a otra en función de su
tamaño, complejidad y actividades
• A menudo las organizaciones identifican
demasiados procesos

,., . Control

Entrada ..
• Actividades ..
• Salida

"'''
Los procesos se pueden definir como un grupo lógico de ta reas relaCIOnadas entre si, pera al ca~r lX1
obtetNo definido Un proceso es lX1a 5eCuIH"Cla de ac:li\lidades estrlJctlJ'adas y med idas disenado para
crear un producto O un se"'"., para un mercado es~rflCO o de (J'1 cliente en partu;u lar

Para que una organización flllCione de ma nera eficaz, debe Impiementa ry gestionar I"O.Imerosos procesos
ínter rel aCIOnados e WlteractIVOS A rnen..do el elemento de sakla de un proceso constituye dlf~amente e l
elemento de entrada del sigu iente proceso La ide rMicaclÓn y gestIÓn o rdenada de los prooeS05 dentro de
lJ'la organización y, en especial la interaccIÓn de estos procesos se denom illa n " enlo~ basado en
procesos"

Los controles se utilizan plIf3 gatanttzar que el compoltamiento de los procesos de negocio se
realice de forlTlil segura en términos de Intercambio de inloln'liiI ci6n. Estos procesos y contro les de
segundad dependen de los procesos de negoc." ya que forman parte de ellos

Por ejemplo las medklas de segundad relativas a los rec....sos humaros deberlan ~tar Integradas en los
procesos actuales de gestión de fl.'ClJ'SOS tunaros de lJ'la Ofgarjzaci6n, haCiendo ~tos procesos mas
seguros si.
Está n dellfldas las responsabo li<Jades de tooo el personal en térrri nos de seglridad de la inlormacTÓn
(c láusu la 5 3)
Los connales de an1ecederi!es de los solicitantes se realicen de acuerdo a la cntic idad de la
Información que se bene que procesar (cláusula A 7 1 1) ,
La orgaruad6n tiene lX1 prooeso dlSClpl lr.ario forma l en caso de violació n a la seglJ'ldad de 13
u-tormaclÓn (cláusula A.7 23) ,
U, orgaro'zaclÓn fiene un proceso forma l para ehfTllna r el acceso de empleados que dejaron la
orgaruaclÓn (c láusu a A.9 2 6)

,-
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Estructura de la norma ISO 27001


Clliusula 4
Conle><to de la

Olíu""".
F" """"'""'10"'0

Cléusul17 Clausula 5
So""" Uderal'!JO

"'''
Una orga nizac ió n que rosca la cert~ica<:1Ón ISO 27001 debe cumpl ir con todos los térmloos defi nidos en
las d;lJusulas <1 a 10 de la oorma, derllli r, en la declaracIÓn de apr~bi lidad, los cortroles apl icables y
JUStificar la mapllCab lldad de los coriroles del Ane~o A

,-
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Contexto de la organización
ISO 27001 . clausulas 4.1-4.4


_.... - ---
.... '-,
' l C<> ...""', .....
,
. . . .y ....
',' .r U"."'
~~
... ._oo-
_oo
...._,.

"'''
ISO 27(1)1, C/át.i$J11I4.1: Conoce<' la org:mizlICión y su mlomo.

La agarlzación dabar.'i detetmirar las cuestiGrlM ¡nlemas y e~l8mas qliB SO') pertmen/es a SIJ propósito y
qlle a(oclan su c:apocldad de aicanzar los resullados BSperados de su SJslama de gestÓ'l de se;¡tIidad de
la ¡l'1fCI'mación

Naa' Determmar eslos aSlKllos se refiere a estab/et:er el CO'ltallo alterno e ¡ntemo de la agantz6!;1Ó'!
C«ISJdetados en la clAusula 5.3 de la norma ISO 31000'2Q()g

ISO 27(1)1. C/átJsula4.2: CompIOOsJÓfI do las necosidlldos y expectativas de/as partes interesadas

La aganiza:"ión debet:'i deIemlinar-


a) los Intet'esackl:s qlle SQ'l relevantes para el sistema de gesti&l de se<Jundad de la mformaclÓn, y
b) los raquisitQlS de estas partes interesadas perlmen/es a la S8f}!lida1 de la información

Nota' Los requiSJtos de las ()<IIfflS m(eresa:ias pua1en incllJlf 10:5 reqwSltos ieqaJes y las oollgsclOfles
contraduales

,-
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

ISO 27001, Cláusula 4.3: Determinar el ámbito de aplicación del sistema de gestIón de
srJgUridad de lB ;nfOf1fla{;iÓI!

la organización determ ina ra los lim~ ~ y la aplicabilidad del sjstema de ~t i6n de seguridad de
la InformacIÓn p¡lra estable..er su alcance

Al derermir'la'eI alcance. la organización rerKi1.l en cuenta


a) kJs problemas miemos y aliemos a los que se hace referencia en el punlo 4 1
b) los reqUisitos contampl~ ene! ptIllO 4 2. Y
c) las ¡n/e(face:s y /aS depef1r1encia5 anll"ft las aclJVK1ades l&3IJzaclaS por la orgarVz<x:i6n. y
aquellas qua se llevatl a cabo (XX atras OtgarlJzaclOf"l/itS

El alcance deber.'i estar disponible cano inform<x:i6n cn::umenrada

ISO 27001, Clfiusu/a 4.4: Sistema de gestJón de seguridad de la Infonnaclón

La orgatlizaclÓn debe establocet', Implementar, man/ene.- y mejorar cOfl~nuamerte un Sistema de


ges/1Ón de seguridoo de la mlorm<x:i6n, de cootormided con los requisitos de es/a Norma
InrernacKXllll
Sección 3 Slsterm de GestIÓn de 13 ContllUldad del NegocIO (SGCN)

Liderazgo y Compromiso de la Dirección


ISO 27001 . cláusula 5 1

Oncntoclón nlr.llOgln

• l.DO _ _ ' _ _ y~

los _ _ _ ... ~.".... el SG$I

Comun'coetOn
• lID<e«:ü> _ t _ _ ~_....,.

do """ t>ueno Geolilln <le la ~ do ~


iIlI<ImIooctOn Y el 00ImpIi'ni0InIc de los procesoo
~=,

,,,e
ISO 27(1)1, e1i1usulB " ', Li denugo ycompromiso

La alta d",~ooJÓn deberá demostrar su liderazgo y rxmprC..,HSO r;IXl respocto a los Slsta"l1as de gestJÓn de
segundad de la mlormacJÓn
a) garantizando que 58 establezcan la poIltica da segundad de la inlormacJÓn y kJs objetrvos de segfrid<s:J
de la rr(ormaoJÓn y qua sean ccmpatibles con la dlre<XlÓf¡ estratéqlCa de la organizacIÓn;
b) aseglJando la InlegtaCl6n de /os requisitos de /os SIstemas de gesbón de segundad de la informacIÓn en
kJs procesos dala organización
e) garantizando que están dlspc.tllo!es tos roclXSOS necesarios para el SIstema de gestión de seguridad de
la rr(ormaoJÓn
d) COOlunicando la Impatanc;a de lX1d oUilfla gestión de la segurida:J de la rn(Offll<r:i6n y de oonformidad
C<X1tos reqwSltos del Slsta"l1a de geslJÓn de seglXldad de la Información
e) aseglJanOC> que el SlS1ema de gesri&l de segundad de la informacIÓn alcar-,;:e el resultaOOs(s) pre'lIstos,
f) dlll9iendo Y apoyand:> a las pe!'S(n3s para con/nOOlf a la 81icac¡a de! SIstema de gestIÓn de segw da:J de
la ,r(ormaoJÓn,
g) JYOffIO'Ien<b Ja me¡ora eOfl/rnua, y
h) prastanoo a/Xl'l0 a airas furr:i0n8s de gestión p9I1tnerles para demosJrar su liderazgo, ya qua eslO
aplica a sus áre<l'!; de resp<YlS<l/!IJo:iad,

,-
Sección 3 5,sterm de GestIÓn de 13 ContllUldad del NegocIO (SGCN)

A través de SU li derazgo y acCIOnes, la ,jrecclÓn de I ~ empresa f".IeÓe crear un entorno en el que


difeff!nles actores partlClpoln plenamen!e y en el que el sistema de gesb6n puede flJl'lCiona r de forma efICaz
en Sinergia con los objeli\los de 13 organIZaCIÓn. La gestIÓn puede usar los prl r.::I~S de gestIÓn de ISO
polra defim su pol pel. lo que Indv¡e
a) Estat>ecer las direclnces y objet iVOS de la orgaf\lZaClÓn,
b) Promo\ll'r poHlJoas y obJetIVOs en todos los rYveles de 13 orgariz3C1Ón pol ra aumenta r la corciencla, la
motivación y 13 polrUeipación.
e) Asegurarse de que los reqli!i ilos de I3s partes im.eresaclas (c lientes. socios. accionistas. legisladores;
etc.) &OIl una prioridad en t0d05tos r"iveles de la orgarlZaó6n,
d) Garantiza r que los procesos y oontroles son implementados para ayt..da r a satisface r 105 requlSlt05 de
los clie nte5 y otras partes Interesadas.
e) Ga rant izar que un sistema de gestión eficrente y eficaz es establecido, Implementado y rmntenrdo
f) Ga rant izar la dísponbilidad de recursos adecuados ;
g) Ga rantla de que se llevan a caro I3s aootorlas internas
h) Rea lizar el examen de la gestión por lo menos l.If1<j vez al ano
i) Decidi r sot:re las aoc lones relat .... as a 13 pofltica Y los objetl\los
j) DecIdi r sob"e las aoc iones para mejorar el sistema de gestIÓn
Sección 3 Slsterm de GestIÓn de 13 Co ntllUldad del NegocIO (SGCN)

Polítíca de Segurídad de la Información


ISO 27001 , cláusula 5.2
• la alta dirección debe establecer una política de
seguridad de la infonnación que:
- Sea apropiada para los fines de la organización
_ Proporcione un marco para establecer ob}etivos de seguridad
de la infonn ación
~ Incluya un compromiso de cumplir los requis~os aplicables
Incluya un compromiso de mejora continua del SGSI

• La política del SGSI deberá:


Estar disponible como informaci6n documentada
~ Ser comunicada dentro de la organ~aci6n
- Estar a disposici6n de todas las partes interesadas, según
corresponda

50
Sección 3 Slsterm de GestIÓn de 13 ContllUldad del NegocIO (SGCN)

Funciones, Responsabilidades y
Autoridades
ISO 27001 , cláusula 5.3
• La alta dirección deberá asegurarse de que las
responsabilidades y autoridades para funciones
pertinentes sean asignadas y comunicadas dentro
de la organización
• La alta gerencia deberá asignar la responsabilidad
y autoridad para :
~ Garantizar que el sistema de gestión
se establece y ejecuta en conformidad
con los requisitos de la norma ISO 27001
"!" Informar sobre la eficacia de la gestión
del SGSI a la alta dirección

"".
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Planificación
ISO 27001 , clausula 6

---
--"""" ---
---
.........-
" '-""'-

---_.-
"'- ,- -_. ._
--
""'-""'-
-
_ _o
_ -.....-.
" -,,-,,,

.. _,lo
-.-
..--,
r,_
•• ••
' " .....
[-,-
-""--
0 _ _ '"..-. .. ..

... .......... -
,--
_ _ _, _ o n " " " , "

'--
_10.-"'_,

--_-
-
--", 1 0 0 _ . . . - - __

-,---
---
_ _o

.........
.....
---,--
............-........
_...... .....-
" -......
..-
""'"'-..
......".

"'''
La empresa que qUIere pla nificar un SGSI debe considerar las cuestIOnes a que se hace referenc ia en el
p.1I1IO 4.1 (Comprel1Sl6n de la orgar'Wzaoon y su contexto) y 105 requ isitos contemplados en el pullo 4.2.
(Comprensión de las necesodade1; y e~pecta t"'as de las partes lrIleresadas) y determ inar los riesgos y las
oportlJf"oidacJes que se deben abordar

52
,-
Sección 3 S lsterm de GestIÓn de 13 ContllUldad del NegocIO (SGCN)

Apoyo
ISO 27001 , cláusula 7

"--... _.
--
,..........,,-""
_on . -...
_........._....
--
--
'-,....,.,..--
1o
""'* ~ ......
..
_00 __'"
. .
,.-...
ElSGSO",,.
..... -, , _o

---
,

-c-_
"'''_'''1o~,_ "",10=21'001>
= ........,... .... OOSI,,,. .. _ ... S<lIi>

-- COo,+' ,," c-m" ' ,

---
--
"-
-_
---
.... ;
=
. ......
......

"'''
ISO 27(1)1, cl""sula 7; Apoyo

7.1 Recursos
La orgarllZaclÓI'l debe rá deterrmre r y proporcoonar los re.;'-'sos ne<:esanos p¡l ra el establec:rmento
implementación, ma ntenim ien to y lT!eJOra continua del SGS I

7.2 Competoncia
La organización debef;'i
a) CX>tenmnar la ~<;mperenda necesana de Ia(s) persona(s) que realizan un lrabajo baJO SU oonIroI qua
afee/a el ren::iJmlenlo de la seg...,ood de la inlormacw.
b) AsegI.f'a'SEI de que astas perscnas SOI1 compelan/es sobra la basa de LIJa ed.caci6n apropiada,
oapadla<;Ó'! y e~penert:la,
~) Cuand:> rorresponda l<;mar madldas para amwnr la comrxAert:la necesaria. y evaluar la ef!ca<;la de
las medidas 3:iop1.nas, y
d) M¡lfltEfief adecuada IrleymacÓ'! documa'lWda como wJden;Ja de su competencIa
NO TA Ao:;/OOOs apiJoables pooden IndUlr (XX e¡emplo, el s.minstro de lormaclÓfl, la tilia/a 00, o la
raasignaci6n de los Irabaj3:ioras. o la OO'1tr<i /aclÓfl o subccrlratación de petSOil<JS competentes

7.3 Conciem;ia~ión
Las pet'SONs que realizan trabajos en el ero/rol de la orgarización deb8rán lenat BIl euenla
a) La potltlca de seguridocl de la mforma<;/Ófl,
b) Su oonlrilJucJÓfl a la elJCa<;;a del SGS/. incluyendo los beneliGlQS de una mejor gestÓ'! de la SUJuridad
de la informacw,
e) Las ~Ias de no CCrlfr:rmJdocl CCrl los requIsitos del SGSJ

53
,-
Sección 3 Slsterm de GestIÓn de 13 ContllUldad del NegocIO (SGCN)

1,4 ComUllksc;ón
La orgdl1lZaclÓfl OObera de/erminar la necesidad de las CCtnUnO:aclorl9S mternas y 9.<lemas releva'lles
paro el SGSI Ifldi.J/OOs
a) Lo qve re va a ccmr.r>lCóIf"
IJ) CuáI'Uocomr.r>.catS8.
a) Con qUIén comUrJlCarre,
d) Qien deberá oomUfIIC¡j(", y
e) Los proce5OSpa los cuales S8debedJ oomuocar

1.' Infomt8c;ón docum<Jlltada

1." 1 G_ralidat:kJs
El SGSI de la organlza;!iY1 debero .nclUlr
InfOtmaclÓfl dxum6t1lada requerida por es/a NOtma Inlern&::lOflaJ. e
- Información dxumen/ada determrna::la por la orgaruac!iY1 ccmo necesaria para la efICacIa det SGSI

NOTA El gratX> de infotmaaón rxx::umerllada para un SGSI puede dife/J' de una o.garimclÓt1 a O/ra
debido a
El/amaro de la organIZación y eI/lpo de ac/lvJdades. prooesos. prcxJuc/os y servJCJOS
La complejidad de los procesos Y sus inlwacclOO8S, y
La competencia de las personas

"
Sección 3 Slsterm de GestIÓn de 13 ContllUldad del NegocIO (SGCN)

Información documentada
ISO 2700 1, cláusula 7.5

2. lcenbfic.><:iOn 3 ClasilicaciOn

--7. Uso

Se debe establecer un procedimiento para geslionarel ciclo de vida de los


documentos
"'''
ISO 27001, cláuS41la 7.'; Información documentada
7.$.2 Cre<Ir yacrualllar
AJ erwr y a;tualizar InfamocJÓrl docl.lTlemada, la organ¡z:~;16n deberé garan/lzar la adewad<l
a) IdetltrfJcacl6n y descripciOn (por ejemplo, lXl 1If1M;>. (echa. ",,/or o rúnero de referencIa),
b) Fama/o (pa ajampJo. 61 idoma, la V8<SlÓ'1 del sohwara grtJficos) y /os medios de comunicación (por
e¡emplo, papal. eIoctró'llco),
e) y la rewsión y la aprcbaclÓrl de Jdonefdad Y suli:;e'l(:;¡a

7.$.3 Control de la infom18CiÓfl documentada


La ",fa'macJÓrl r.kt;1.ITlen/ada requerida pa el SGSI y pcr esta Nama IntemacJQr'ra! deberá ser cr:ntrolada para
a58gllat que
a) Esté dls(Xrible y a()/a para su U50 cutJndo y d&de.sea na::esafJO,
b) Elilé prd~lda adecuadolmen/¡t (pa e¡empJo, de ¡Xirdlda de la confidencIalidad, uso ",debido. o ta pérdida
de mtegndad)

Para el con/m de la mformacJón documen/ocI<J. la orgarllOlCJón debertJ alxxdai" las s¡gU'entes actiVidades.
.seg.:n COffasporr:Ja'
- OIstn'bucJÓrl, acceso, recuperacIÓn y uso.
- AJmacenamJa'lto y oonservaclÓ'l, looUlda la consetVOCJÓrl de la leglollldad.
• Control de los camokls (p. aj., ron/m de \'8t'sialas),
- RetencIÓn Y dlSfXJ'>/C1Ón

La IrWxmacJÓrl documentada da exigen ax/em:; 03/8tl11Jnada por la orgarización como necasana para la
planificacIÓn y al flllClonamianto del SGSJ debertJ ser iOOnIillcada. .segun COfr85pooda. y croIro/3:JiJ
NOTA Acre:so Jmp¡'ca lila decISIÓn 5dxe el permIso para ver la Infama;JÓrl OocI.lTl6'ltada o el permIso y la
atJlondad para var y cambia/' la InfamacJÓrl doclll18r11ad<1. etc

,-
Sección 3 Slsterm de GestIÓn de 13 Co ntllUldad del NegocIO (SGCN)

Planificación operativa y control


ISO 27001 , cláusula 8.1
• La organización deberá planificar. ejecutar y conlrolar los procesos
necesarios para cumplir con los requis~os de seguridad de la
informací6rl, y aplicar las medidas determinadas para hacer frente
a los riesgos y oportunidades. La organtzación también deberli
implementar planes para alcanzar objetivos de seguridad de la
infcrmacl6n establecidos y los planes para alcanzarlos
• La organtzaclón deberá mantener información documentada en la
medida en que sea necesario para tener confianza en que los
procesos se han llevado a caoo como estaba previsto.
• La organización deberá controlar los cambios programados, y
analizar las consecuencias de los cambios fortuitos, tomando
medidas para mitigar los posibles efectos adversos. según sea
necesario.
• La organ llaci6n deberá asegurarse de que los procesos
tercerizados son determinados y controlados.

56
Sección 3 Slsterm de GestIÓn de 13 CortlfUd<ld del NegocIO (SGCN)

Evaluación y tratamiento del riesgo en


seguridad de la información
ISO 27001 . cláusulas 8.2 y 8.3

..
De_a reahzal'Sfl
la evaluadOO ""

""""
"'-
rie$QO$en 13
oegulidoo "" la
a.pIic.ado el plan
Tratamiento de trat&miento
de Riesgos del Msgc "",a la
segundad (fe la
!----"- " "
.

,,,e
ISO 27(1)1, clilusulB 8.2: EVB/uaciÓt> 00 riesgos 00 seguridad 00 la informaciÓt>
La organizacIÓn d8bedJ realizar /as evallJiJClOl1l9S de nasgos da seguridad de la infamacIÓn a mtarvalos
planficados o cuando se pr<:fX)flen o se prod/.X:erl CiIfflblOS importantes. tenten:X> en cuenl<t los criterios
eslabJocidos en /) 1.2a)
La organtzaci6n d8b8rtl retaner infamacIÓn d:Jcumel'1lada de los rasultarbs de las e.-aluacionas de nasgos
en seglXldad de la mfamaclÓn

ISO 27(1)1 , clausula 8.3: Trntamlenro de rlesgog de seguridad de la InforrTIaClón


La orgaruac/&l deber.tJ aplicar el plan de IralamJeflto de riesgos de la seguridad de la mfr;rmao&1 l.8
organiZOCJÓfl deberá reI~ ,r¡fonnaclÓn d<xume/llada de los resultados del tratamiento de nesgos de la
segundad de la informacIÓn.

57
,.
SeoclÓ n 3 Sistema de Gesbón de Segun<j<ld de la InformacIÓn (SGSI)

Monitoreo y Revisión del SGSt


ISO 27001, c láusula 9

1. .._y_do","
<M<lo ' _ _ do ___ ,

-
... __ ,do .»d*_do

6. R_"", . 3. _dolo_
~. "".•'....., do
"'_do_
-
do ......' '__ y

- -
4...._dolM~
_ . _ _ do

Noto: C&diI una de estas &e<:iones debe ser documenlad~ V registrada.

"'"
ISO 2100f . clilusu/s 9; Evaluación del de$omp<Jilo
9.1 Seguimiento, medición. oo8/i$;$ y evmusción
La aganizac/Ó/1 deI:>edJ €NaJuar 81 ran:1lm/8nlO de la segl.rld31 de la mformacil'rl y la eficacJd del
SJSlet7la de ges//Ó/1 de la segul'ldad de la Información
La or¡¡aniza<;/Ó/1 deOOrtJ defermmsr
a) Lo qua do9be S8I' 00jat0 da seguimiento y medición, incluidos procesos y con/roles de seguridad de
101 ¡nlamacil'rl
b) Los métodos de v"JilancJa. medicl&1 análisis y evaluacIÓn M Su caso. para aseglrolr resr.itados
válidos,

NOTA Los méla:Jos reloocar<dos dewlan prodv:¡r reSiJItaOOs oanparables y reprcdu<;ibies- para
oonskJ8ratse va/idos

e) ~uár>::tl se deberá llevar a cabo el segUlmtenlo y la medicIÓn


d) quien deberá cm/rolar y medir;
e) cuándo deberán ser ana/lzaOOs y evalu<dos los reslJit<dos del m<:ri/croo y medlClÓfl . y
f) qlAén deberá encargarse da analizar y evaluar Jos Te5!t/a:kJs
La aganiza<;ión debertl cons6f\1ar la in(Oo'lllación apropiada documenuna como !'N!d8rr;ia del
segUlf1lienlo y medlClÓIl de los resurados

,- "
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Auditorías Internas del SGSI


ISO 27001 . clausula 9,2

• La organización deberá llevar a cabo auditarlas


internas del SGSI a intervalos regulares

• Debe planificarse un programa de auditoría


teniendo en cuenta la importancia de los
procesos y alcances de auditoría , así como tos
resultados de auditorías anteriores

"'''
Las auditooas mtem/ls se ~Ihza n pe ra eva luar el nI"el de cumphm e nlo de los reqUisnos de la norma
relallVa a la gestión ~ SlSlema Las aCllVidades de audilOl'la Interna regulares perrmten eva luar
OOnllll.Jamenle la e/reaCIa del sistema de gestión Y la Ident ificaCIón de oportunoodes de mejora

La organi2ación debe implementar un programa de auditorla Interna para determinar si e l sistema de


gestIÓn alcanza los objetivos deliniOOs de la Org.l nIzaCIÓll, se mantiene COOJ,;ta1lt:1e oon la norma , asl con
los requosllos internos, lega les, reglamentanos y oontractwles y se mallteng<r ac:tw lizado de manef1l
e/iclente

El progf1lma de audrtOl'la, como m ln mo, deberá COl'l1ener'


1 Oefif1lClÓn de los criterIOS, el a!caree, la rrecuer'k::la, los métodos y los proced.rruentos de aoo itorla,
2 DefinicIÓn de las fr..o;lOnes y responsabilidades de los auditores Internos:
3. Doc<.menta<:r6n aseguar la objetIVidad e Imparcialidad del proceso de aooltorla (e¡emplos gf1lflCo de
audil<lfla, cortralO de Ira!)ajo, c6dIgo de é~ca de 106 auditores inlerros, ele,);
4 Pla nificacIÓn de las actividades de aoorto rla ,
5. Las acbVldades de seguimento para BUdrta r las aoc lOrJes de negocIO cuando se han delectado no
conIormidades,
5 Procedim iento para malltene r los regoSIIW de las ac:tividades de awtorla y custodia de regrSlros

Nota, la p.Jesta en marcha y la gesbón de lJIl programa de auditorla il"llerna ser'" expl icado oof1lnle el Ola
4 de la capacRa<:ión

59
,-
SeoclÓ n 3 Sistema de Gesbón de Segun<j<ld de la InformacIÓn (SGSI)

Revisión del SGSI por la Dirección

n por la ¡rocel n do os

,
_"n_. t..m .. nt do n
La • .ooonotI <11 oeguIm_ de 1..

2. Loo <ambIoo en lito cuestiones .,_as 1


• ~ q ..... "'" _.010. para 111 SGSI
I..m ..ntos d.. salida

.....
laS <Iecis_ _ as a la.
oponunldades de me¡orn

3. NQ Con!Qrmoda<lo. 1 a<:<><>nft~_
La neaSldad de cambios ""
~ s.<J"_O 1 ... ",,,"<100 de lo _ elSGSI
5 R _ <11 lo .<.odi_
e El ~IO Mios objetIVOS de
oegurido<l <lo lo inf"""",,*,
7 Loo <Omef1\arloo de lo. p;o_ .,""", .....
& R_lI&<Ios <11 lo e.~ <11 riesgoa 1
01 .. ta<Io <!el plan <11 .... _ .. 01<> <lo
' ""'I!O"
g Oportu_ p.,.1o moj<Q conIinua

"'''
las r<!V1SIones po r la di recc ioo pem1tten que la dirección de la orga .... zación revise periódicamente el
nIVe l de rerdl m"~·nto (pertinencia adecUOOIÓn, efo:;acla y eocleflC\3) del SIstema de gesllón Estas
reVISiones permrten a la orgarllZación adaptar o reorientar de manera rápida y efICaz el SISlema de
gestión de ca ra a los cambios internos o eldernos Una fevlslón por la dlrll!Cclón se organizan!; al
meIlOS "n a vez al ano.

Las revistaRes poi la OIrección deben Se! documeRtadas. A contiruac ioo. deberlan ser distnbUdas a
10d061os partICipantes

60
,-
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Mejora del SGSI


ISO 27001 . clausula 10
• La organización deberá mejorar continuamente la
conveniencia, adecuación y eficacia del SGSI

• Cuando la disconformidad se produce, la


organización deberá
• Reaccionar a la no conform idad
• Evaluar la necesidad de adoptar medidas para eliminar las
causas de no conformidades, a fin de que no se repita o se
produzca en otros Jugares
• Aplicar las medidas necesañas
• Revisar la eficacia de la s medidas
correctivas adoptadas
• Realizar cambios en el SGSI
"'''
ISO 270Q1 , cláusula fO: Mejora
10.1 No conformidad y acción cofTodiva
CuólOOO se prodl.UJ uro 00 conIClmidad, la organizacIÓn deberá.
a) re~ a la no (XJlforrmdad JI en su caso
1) TOfTlar medidas para OOflfroIar JI oorre<Jlf. JI
2) Hacer frente a las OCIISOCuerlClas
b) waluar la ~ de a::k;ptar medKfas para eI,mmar las causas de no conIrxmldades, a fin de que no
se repitan o se produzr;a(l en elros fugares. med!arta
1) RWlsar las 00 canfrxmJdades
2) Determmar las causas de la no conforrmdoo y
3) Determinar si eXIsten no confr:nnlda::1es S1m"-ares. o que podrlan rxurrir:
c) aplicar las mocJyjas necasari-as.
<f) w.am/flaf la eficacIa de cualquier accJón CClreclrva, y
e) roalizar cambios en el sistema de gesti&l de seguridad de la 1r{r:nnaclÓn. SI es necesario

Las OCCICI"IeS ccrreclrvas deOOrI su apFCfJiadas en relac/&l a los efectos de las no ca>lorrmoodes
En:OfJIrac;Ias.

La agariZaclÓn deberá cmservar la 'nfrxmacJÓn cbcl..l'1len/adl como wlder/cla de


f) la naturaleza de las no confonmdades JI de cuaiq~ accIÓn posteri<:Y JI
g) los resullados da las posibles medidas COff6(;foras.

ISO 27000 - Oefinidones

2. 13. Eficacia: GroOO en que se concretan las aclrvJdades previsfas JI se alcanzall los resulfad:;os
plilflificaOOs
2. 14. EficiOllc;a: RelacIÓn entre los resullaOOs oblellKbs y Jo bien que los reclXSOS se han uf¡llzaOO

2 f9. Acción preventiva: Jla;/&l para elImInar la causa da ur>a no confr:nndaj potencIal u otra situacIÓn
rxtlT(;lalmerne IfXiesoo/)/e

,-
2.12. Acción corroctiva- Aoclál para eI,mlnar la causa de...nl 00 IX)flfom¡k/ad detocta:la 1.1 olra
situaclál ,nd9SaabIe
SeoclÓ n 3 Sistema de Gesbón de Segun<j<ld de la InformacIÓn (SGSI)

Objetivos y controles de seguridad


ISO 27001 , Anexo A
ISO 27002

Objellv"" Y conlfOl&s ~

R. comendKlones pa,~
la Implement.acl6n

Infonnaei6n
Com lem, nt¡¡rla

Nota Impo rtante: En leorla, no es un requ isilo tener en cuenta las mejores
pr¡k:licas de la nolTl'la 27002 para obleoer la certificaci6n 27001

"'"
Los ol:1etl\loo y los cont roles de seguridad que figuran en " ".,xo A estan ali ".,,,dos con los ob¡ et rvos de
6egJridad y controles de seg undad que figJfan en las distintas clausulas de la norma ISO 27002, clausulas
5 a 18

las listas de objetivos y controles de seguridad que r.guran en la ISO 27001 , anexo A no son ex haust ivo~
Una orga nlZ<lCión p.JeOe considerar Inclur ol:1etivoo adiCIOnales de seguridad Y controles de Sl'gtXldad

62
,-
Seoci6n 5 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

ISO 27002, Cláusulas


ISO 2700 1. Anexo A
PoIltica" de seguridad de la infO<1r\ltdón
OrganiJ:aco:ln de seguridad de la inlormaciOl1
Sequndad de los recunI<>S MUIIIól<lOS
Ge.tlóo de lIdivos
ConlrOlde~

Criptografl3
Seguridad ~sica Y medioambiental
Segundad de la. o~
Se<¡uri(Iad de las COII'IIri:&cior
A.dt~.u\lo6n (le O)g 6>$tema6, de6$"* ~ mao\&f1l<'rl<errto
ReI~ oon los Pf'O'o'ee<Iores
Gestión de inci<IeoIes de segOOdad de la in_
~:::' ' ' '_ _' . " inlormaciOn de la gestión de cootiflUld¡wj del

Cu~o

63
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

Ejercicio 1
Razones para adoptar la ISO 27001

"'''
Por l avor, lea las slQUlentes partes del eSlwic de caso dado pa ra este curso-

• Historia de la emf""l'Sa comerC ial


• a-garuzaclÓn de la emp"eSil comercia l

BasáróJse en esta Irlormacró n. deterrri nar y explica r las Ir~ grandes ventajas para la aplicacIÓn de la
rvrma ISO 27001 para esta orgaruación y cómo se pueden med ir estas ventajas graCiaS a las métncas

DJ raclÓ n del ejercIcio 30 minutos


Comentarios 15 mi nLAos

,-
,.
SeoclÓ n 3 Sistema de Gesbón de Segun<j<ld de la InformacIÓn (SGSI)

Ventajas de la ISO 27001

1. Mejora de la seguridad

2. Buena gobernanza

VENTAJAS

Mejora de la seguridad :
La mejora genera l de I ~ eflC~ci~ la 5egU"ldad de la InforrreCl6n;
La ro'Jm1a cwe tanto los aspecto\; tecnológicos de la seguridld corro otros aspectos seguridad
corporativa , segiXldad Jisoca, etc.
RevlSIÓIl irdeper.Jienle de su Slsterre de gesllÓn de segurJd<ld de la Infolmac:l6n
MeJor concienc iacIÓn sobre la seglXldad de la InformacIÓn,
Mecar1lsmos pera evalwr 18 ellCaciadel sisterre de gesll6n

Buena go bernanza:
Concll'ncl~ y potenclao;i6n del person~1 respecto ala seguridld de la informacIÓn
Dism irJJClÓn de los roesgos de demar.Jas lega les en contra de I~ aHa direccIÓn en ,,1fIuj los
pno::iplOs de ' d il '9l'o::ia detoc!a' y 'buena fe"
La oportunodad de identrfocar los ~ntos détoles del SGS I y ,..oporclOfla r correcclOfleS
AlXllenio de la rendlClÓIl de cuentas de la a lb d lrec<;1ÓIl en lo que respecta a seglSldad de ia
informacIÓn.

Conformidad :
A otras normas ISO
Con la OCDE (Orga nlZao; ión para la CooperacIÓn y el Desarrollo Eoonórrico) (véase la norma ISO
27001 , Ane~08);
Con los estj,.jares de la Industna del sector, por eJempl(r PC I· DSS (Payment Gard Industry Dala
Security Stardard, Estj,.jar de Segundad de Datos de la Industna de Tar¡etas de Pag;.), B<ls llea 11
(para la industna bancaria);
Con las leyes nao;JOOa les y regiona les

Reducción de costos:
Los tomadores de dec15k>nes a meo..do ,..eguntan para i~doca r I ~ rt'flÚll:Mhdad de los proyectos y
exigen benefICIOS de retorro concretos y mensurat>es. Un r>uevo coo::e~o de eva lwci6 n fina nciera
ha emergido para tralar especlllCamente el campo de segundad de la informaCIÓn El Retorro de la
InverSIÓn en Segundad (ROSI) ROS I es un concepto derivado de Retorm de I ~ InversIÓn (ROl) . Se
puede interpreta r como 18 ganaooa fina ooera del ,..oyecto de seguridad teniendo en cuenta su
costo tota l en un periodo determifl3do de tiempo

65
,-
La diferenciacIÓn propo rciona Un8 ventelja competitiva para I~ o rganIZacIÓn.
SatisfacCIÓn de las necesidades de 105 clientes y/u otras partes inleresadas.
Conso~dación de la cortianza de los c li enles, proveedores y asociados de la orgarWzaclÓ!1
Seoci6n 3 Sistema de G~ti6n de Sego.¡ndild de la InformacIÓn (SGSI)

¿PREGUNTAS?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",


SeocIÓn 4 Pnnc'pios furdamenta les de la seg.sidad de la In/OfTT\ac,ó n

Capacitación Implementador Lrder Certificado


en la norma ISO 27001
Sección 4
Principios fundamentales de la seguridad de la información

a. Activo y acUvo do Información

b. Seguridad do la Informació n

c. Confidencialida d, ¡ nlegrld~d ~
disponibilid ad

d. Vulnerabilidad . amenaza , I mpacto

e. Riesgo para la seguridad de la Informació n

f. Objetivos y controles de segur idad

g. Cl asificación da controlas de $egurlda

"'''
-

67
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la ' nlOfTT\ac ,6 n

Información y activo
ISO 9000, clausula 7.3.1 ; ISO 27000, cláusula 2.4
• Información: Datos significativos
• Activo : Cualquier bien que tiene valor para la
organización
NOTA hay muchos tipos de bienes, entre los que se incluyen:
InfonnilCión;
Software , lal como un programa de ordenador:

Fls.ico. tal como un ordenador:


Servicios:
Las perSOrlaS. ,,",~"¡; f" , ,",", , . <.",~,,;
y e xperiencia
Activos intangibles. tales como la reputación y
~ imagen
1'1'"

Sisterm da Información; CoIecclÓrl de materla!es, software y formas de orga n'za~6n que ~milen
recibir, almacenar y procesa r la información
La ClaUSl.Ja 8 del AAe~O A define los ogetlVOS del comrol de segufldad VlfJ:ulados a la gestión de los
adivos

ISO 270Q1 , ,11 .8. 1 - Responsabilidad de los activos


ObJetivo: ldenfificar los acr ....os de la empresa y definir las ras¡xx¡sabilidades de protección apropi31a

A.8.1.1/nVWltllrio do los activO$


CotIrrol: Deberan ser 1de ... lflCados los aclillos ra/acialados oon la ;nformacl«l y las insta/aciones da
prrxesamJefllo de Ja ¡r/crmac/Ón y deberá su elabcra<:b y manlemdo un Invertano de es/os bienes

,11.8.1.2 Propiedad de los activos


Conrrol: Los bienoo marrfenKbs en ellmertano de/.la<án ser profl'edad

,11. 8.1.3 Uso aceptable de 10$ acrlvos


Control: Se de ben !deri ,licar, doo\.mentar e Implantar las reglas pera el uso areptatoe de la IriorrreclÓn y
de los actwas asociados oon la in'o rmaclÓn y las InstalacIOnes de proceslJmiento de InformacIÓn

,11.8.1.4 Oovolución de activos


COIItrol: ToOOs los e~ados y usuarios exteriores deben devo",er todos activos de la organlzao6n que
estén en su pode r al fina r.zar su errpeo. cont rato o acuerdo

,-
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la InlOfTT\acI6n

Documento - Registro
ISO 9000, cláusula 3.7

• Información y su medio de soporte

Re ¡stro
• Documento que indique los resu"ados ol>lenidos o proporcione;
evidencia de las actividades desempeMdas

"'"
Nru
El medio de un oo.:umento puede ser papel, magnético, disco de Su ordenador
6plloo o electrónoco, <..nalotografi3 o L..Oa combnaclÓn de estos
Al CO~ UnlO de oc.:urnentos (p::>r ejemplo espec ificaciones y regIstros) oon frecuencia
se lo denom ina documenta ción

Es imp:l rtanle hacer la dderenc ia entre dooosnentos y reglstrQ5. En los dioolOnarios, ~


regIstro es un IIP:¡ de doctJToento, pero e n e l mundo ISO, son corce¡:ios distIntos Un
regIstro es el resul\¡!oo de un poee&> o control Por ejemplo
1 Un ,,"ocedu'1lIenlo de auditorla es un documenlQ. Elite procedlmtenlo geroefa
nO/mes de alXlilo ria y los informes de aLditorla se convierten en los registros
2 Un plDCeSO documentado para las rev isiones por la dirección es un docurnenlO
Este proceso genera regJstros tales com;>
mln~ as de la rev isión por la direccIÓn

3 Un procedimiento OOCLmentado para la mejOra oorrt irllJ¡l es un documento. Un


formularIO de acc,oo correctiva completado es un registro

69
,-
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InfOfTT\ac ló n

Seguridad de la Información
ISO 27002. clausula 0.1

La seguridad de la información eficaz reduce los


riesgos [de SI] protegiendo a la organización
contra amenazas y vulnerabilidades y, a
continuación, reduce los impactos a sus bienes .

"'''
ISO 27002, c1auwla 0.2: Cómo estableceHequlsifOs de seguridad

Es esencia l que la o rganIZaCIÓn identifIQue s us requisitos de segundad Hay tres fuentes


priro:::lpa les de reqU:sltos de segundad .
a) eva luación de los riesgos para la organización. teniendo en cuerta la estrateg ia del negocio Y
ot;elJVos de la organizacIÓn A través de una evawclÓ n de los r1esgos, se ldent~ica n las
amenazas a los activos. se evalúa la vulnerabilidad y probabilidad de ocurrero:::la y se esllma el
posible impacto,
b) los requisit06 !<:ga les, estatutarIOs, reglamentarios y contractua les necesalÍ06 que la
organ izacloo, sus socios comerciales, contrat istas y prCNeeOOres de serl/K:105 ha n de cumpli r, y
su entorno sodo-.::ulural
el oonjOO1O de prlflCipIos, otlet""os y requisit06 de la empresa para el manejo , procesamento,
almacenamiento, comunicación y archivo de la información que una orgaraación ha desa rrollado
para apoya r sus operaciones

Los recursos empleados en la aplfcaC16n de controles deben ser equl ll b'ados contra los darios a
los negocios que PJedan resultar de las c uestiones de seguridad en la ausero:::ia de dichos
controles Los resultados de la eva luaCIÓn de fJes90s ayt..dará n a 9.... ar y detelTTllna r las medidas
de gestIÓn apropiadas y las pooridades de gestión de los riesgos de la segl.X1dad de la
Información y la puesta en prActica de los cont roles seleccIOnados para proteger oontra ios
riesgos

La ISanEe 27005 projX)rclOna una gura para la gesMn de riesgos de segundad de la


Información , inclUIdo el asesoramler1O sobre la evaluación de nesgos, tratamento de riesgos,
ace~a<:ión de r>esgos, la comun icacIÓn de nesgos, cont~ de riesgos y análisIS de l nesgo

70
,-
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la InlOfTT\ac ,6n

Seguridad de la Información
ISO 27000, cláusula 2.30

• Preservación de la confidencialidad, integridad


y disponibilidad de la información
• Nota : Por otra parte , también pueden participar
otras propiedades, como la autenticidad , la
responsabilidad , el no-repudio , y la fiabilid ~

-
'- .

Otras definiciones de 1.. ISO 21000

2.9. Aurentlcldad: Propi8:iad d8 que la enrid<KJ as la que dice ser

2.49. No repudio; Capa<;lI:iad p;ya demostrarla ex.istert:J<l de (fi evento o aoxlÓ'l y sus en/tdaOOs
oogmanas
256. Fiobi/idad; Propiedad 00 oompottamJeflto y resuttock:>s prW IStos

71
SeoclÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac l6n

Seguridad de la Información
Abarca todo lipa de Información

• Impresa o escrita a mano


• Grabada con asistencia técnica
• Transmitida por correo electrónico o
electrónicamente
• Incluida en un sitio web
• Mostrada en videos corporativos
• Mencionada durante las conversaciones
• Etc.

"'''
ISO 27001 es una rJOfma de segundad de la ,riorma<:1Ón Esto significa que se aplica a la protección de
la Informacl6n cualquiera que sea su tipo, ya sea numéflco. papel o IIUm:loo .

8 Anexo A 1nC1-.ye OCjeullos de control relaoonados con ~ cl<!~Jica<:!Órl de la ,riormaclOn

ISO 27001 , ,118.2· Clasificación dota información


Objetivo: Garanllzar que la WifOOllac¡Óf¡ r""ibe (.I'l nivel adecuado de protección, de rxrlcnrJ/dad 00fl 5U
impalanc.a para la orgal1lzaaón.

,118.2.1 Clasificación 00 la información


Cotlfro/: La mfOOllación deber:'i 58f c/asific<ria Bf1 furr:ión de los requenmientos legales. el "ala la
impo1arrcla y sensibilidad para 51.1 divulgación o m<XiificaclÓrl 00 au/orlzada
,118.2.2 Etiquetado de Información
COlllro/: Se deber{¡ desarrollar e ""plantar I.'l ~l.Into ada";;i»:X> de procedImientos para eI¡qvelar la
IrlormaclCr!. de acuerdo C<Xl el esquema de clasificación de la InformacIÓn <KJopIado por fa orgal1lzación

,11 8.2.3 Manojo dolos activos


Cootrol: Se deberán desarrollar e Implanlar procedimlertos para mwre¡ar los activos, de acuerdo C<Xl el
esquema de clasificación de la información <KJopIado por" la organiz.rión

72
,-
SeocIÓn 4 Pnnclpios furdamenta les de la seg.sidad de la InlOfTT\ac I6 n

Confidencialidad:
ISO 27000. clausula 2.13

La propiedad por la que la información no se


pone a disposición o se revela a individuos,
entidades o procesos no autorizados

"'''
Confid encialidad : Asegoxa que la InformacIÓn sólo es ao:;eSlble a las personas a<Aonzadas (las personas
oon una necesidad real)

Por ejemplo. los datos pe rsonales de los empleados deben ser aoce5!bles sOlo B persona l autorizado de l
Departamento de Recu rsos Hurnaoos

VarIOs tipos de control de acceso pueden garantizar la conlidencla lidad de la InfO rmacIÓn El Cifrado es L.n
ejemplo de este tipo de cortrol de acceso Se puede usar para proteger la co...-ldellCla lidad de la
InformacIÓn Pueden ser aplicados controles de acceso a diferentes rlVeles de L.n sistema de gesti6n de
seguridad de la InlOfTT\3CI6n
En el ntveI físICO (por ej emplo cerraduras en las puertas. armarios que tOoquear, caja fuerte, etc. 1
, En L.n nrvel lOgico (por ejemplo controles de acceso a la InfOfTT\3CIÓr'I)

73
,-
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la InlOfTT\ac ,6 n

Integridad
ISO 27000 , clausula 2.36

La propiedad de proteger la exactitud y


completitud de los activos

,,,.
Integridad: Los datos debe n esta r completos e Inlactos

Por ejemplo Los datos de contabi lidad deben Cl..rTlpl Ir con la realidad (completa y e~ acta) La e~act it <..d se
traMe por la ausern la de alteraciones en la Inl00000ilclÓn.

M-.cnos dlspos ibvos que manipu lan ootos, como las lridades de risco Y otros meQos de comunICa<:lÓII,
asl como los sistemas de teleoomJllicacl/Xles, conllenen dispositivos de vl'ldica<:i6n de ta Integndad de los
datos La Integridad de los datos es eserc,a l en los s istelms operatIVos, las aplicaciones y el sdtwa re
Permite t'ViIarla corrup:;1Ón de li berada o 'll\IoIuntaria de programas y datos

Los contro les de integridad deben ser mclUlOOS en los proced imientos Estos contribuyen a la reducclÓr1 del
riesgo de error, robo o fraude Los controles de vaidaclÓn de datos la capacrtación de los usuario!; , as l
oorno CiertOS controles a nIVel operaclOIlal son buenos ejemplos de ello

,-
,.
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\acI6 n

Disponibilidad
ISO 27000 , clausula 210

La propiedad de ser accesible y utilizable


por una entidad autorizada

,,,.
Oisponibilidad : La InlOrmllCi6n debe ser lácllmente accesible para las personas que la neceSIta n.

Por ejemplo, los datos relatNOS a los clie ntes deben ser acceSibles para el departamento de marl<e~ ng

En la práctica, la disponibi lidad de Irtor mación requ iere un sistema de corno!, ta l como, por ejenl>lo, la
copia de segundad de datos, panificació n de la capjcldad, asl como los pIOcedimlentos V cntenos para la
aproooClÓll de los sl ste~, la gestión de Incidencias, la gestIÓn de medios el<.lra lt:<es, los ¡;<ocedimien!os
de procesam iento de la información, el marienmierio y las pr uebas de equipos, los proced imeri05 del
concep;o de contInUidad as! como los proced imientos para oontrola r el LISO de los sistemas

75
,-
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac I6 n

Vulnerabilidad
ISO 27000 . clausula 2.8 1
la debilidad de un activo o de un control que puede ser
explotada por una o mas amenazas

"'''
La evaluación de la vu nerablhdad puede ser comphcaoo p:> r una ~rcep:>1ÓIl errónea de que las
debilidades o defICiencias slemiXe se asocian con caracterlst.:as negatIVas. Muchas vulnerabi lidades en
rea lidad son caracterisucas negalMls como el caso de un sistema de InlormadÓ<1 donde los "pa¡ches" ro
se actua lizan

Pero, en el caso de otras vul nerablhdades, la deb lldad puede esta r as.cdada con caracte rlsticas posrtMlS
que pod rla tener electos secundanos indeseat:les Por ejemplo. la movIlidad de los portát~es es un
benefICIO ~able p:lr el que usted paga un precio más a lto, pero es una >'entaja que los hace m;'Js
popensos a ser robados

Las vulnerabilidades pueden ser inlrlnsecas O eldrlnsecas Las vu lnerablklades inlr lnsecas !!'SUm
relacionadas oon las cara<;ter isticas Intrlnsecas de los actIVos. Las vu lnerab lldades extrlnsecas esum
rela<:lOnaoos con las caracterlsbcas de las clrcunslanaas esped ticas 001 actrvo Por e¡emplo, un servidor
que ro tiene capacidad para ¡:mcesar los datos es una vlctima de la vulnerabi lidad intrl nseca y sJ este
servido r est¡\ e n un sótano en una zona Inundab e, se somete a la vulnerab lldad e~lrlnseca

76
,-
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac I6 n

Tipos de Vulnerabilidades
ISO 27005. Anexo D

Tipo de vulnerabilidad Ejemplos


t Hardw<l rE!

2 Software

3 Red

4 Personal

S Sitio ti a

6 Estructura de la

"'''
B Anexo D de la norma ISO 27005 prOp:l rclOfla u,", IIpo1ogl a para 13 clasJflCaCKln de las vul nerabilidades
que podrla ser lJ~izada en pr lrclpio. Sin emba rgo, esta lisia de 'lU lnerabi lldades debe ser ul ilizaoa con
p-eca'-'Ol6n Esta lista no es oompleta ya que nuevas vulnerabi lidades se producen regularmente debido a,
enlre otras cosas, la e\loIució n y los cambios en la tecnologla

Debe usar e l Anexo D corro u,", guia o recordalOflO pera ayudar a orgaro'zar V estructurar la reoop"""lÓn y
coteJO de los datos pertinentes sobre las vulnerabilidades en lL..ga r de ISla lista p3ra segui r ciegamente

77
,-
SeocIÓn 4 Pnnclpios furdamenta les de la seg.sidad de la InlOfTT\ac I6 n

Am enazas
ISO 27000 . clausula 2.77
Causa potencial de un incidente no deseado, que puede
resultar en daño a un sistema u organización

,,,.
Por defi nICIÓn. una amenaza tiene el potencial de hacer dar\o a los actIVOS, tales como IrlIormación,
procesos y sistemas y el consigUiente per¡uicio a la orgamzaclÓn Se asocia con el aspecto negat .... o de
riesgo La natl.l'a leza de la amenaza es siemp-e irdeseat>e

En las enlre~istas, se debe l.till2:ar un lenguaje sencillO para facilitar la co ....... ersación sobre las amenazas
Por ejemplo, uno puede pedr a los interesados que indiquen hasta qué punto desea n preseNar los recursos
de la OrgaruzaCIÓn y proporct0n3 r a (¡j I efecto una lista de ejemplos

76
,-
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac I6 n

Tipos de Amenazas
ISO 27005. Anexo e
Tipo de amenaza Ejemplo
1 Oaoo Ilsico

2 Cesast ..... natural

3 Pérdida de servOcios esenciales

4 Trastornos causados por la

5 inlormaci6rl comprometida

6 f anas técnicas

7 Acción no autonzada

B Anexo e de la norma ISO 27005 prOp:l rclO<la l.fJa ttp:¡togla para 13 clasdioaclÓI1 de las amenazas
Debemos ut ilizar la Itsla de amenazas con precaución Esta Itsta 00 es completa, y no puede pretender ser
exhaLlStrva , ya que las roevas amenazas se prodlxen regularmente debdo que, entre OIroo, la s
tecnolog laS y capacidades de los agentes de amenaza está n ellOlucionando

Debemos utili za r el Arlexo e corno una gula o hSla de com,xoOO ClÓn pera ayudar a organizar y eSln,d...-ar
la reooPlIa0i6 n Y cOlejO de los datos pertinentes sobre las amenazas y no corro l.fJa Itsta de oontrol paf3
seguir ciegamE!!1te

79
,-
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac I6 n

Relación : Vulnerabilidad y Amenaza


Ejemplos

Vulnerabilidades Amenazas
Almacén desprolegido 1 sin vigilancia ''''''
Compro::ado$ procedimientos de Error de entrada Ile !latos por parte
proceso de datos Ilel personat
Fraude. uso no autorizado de un
No segregaciOO de tareas
sistema
Los !lalos no cifredos Robo de InforrnaciOO
Uso de software pirata Oeman!la . virus

Acceso no autofizado a las personas


No levisJ6n de los derechos de acceso
que han abandonado la l.H¡)iInilaclÓn

Procedimlen'os de backup Pérdida de Información

"'''
En si mismo, la presenc ia de una vulnerabmdad no produce dai'io, debe e~istir una amenaza para
explotarla. Una ~LJlne rabi lidad que ro se corresponde con lX\a amenaza p.Jede no requenr la puesta en
ma rcha de lI"I control pero debe ser identifICada y oontrolada e n caso de que se ¡:roduzca n cambios

Tener en cuerta que la apOcaclón Inco rrecta . et uso o el mal luncionamienlo de un control. por si mismo,
podria n representar una amenaza Un oont~ p.Jede ser eficaz o me/leaz en l uncTÓn de l entomo en el que
opera Po r otro lado, una amenaza que no es ~utnerat:le no puede re¡:resenlar U"l nesgo

80
,-
SeocIÓn <1 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac l6n

Impacto
ISO 27005. clausula 3.1

Cambio adverso importante en el nivel de


los objetivos de negocios logrados
f¡amplos <lO los ,m""clos DO 11•• mpaclOlI "" ElompIDs d. "'" .mpoctos
sobro ~ contlOonclallllall .1"teg~<Ia<I en 13 IIlSponlbl"dad

• InvasIÓn de la • Cambkl accidental • Degradación del


privacidad de k>s • Ca mbio deliberado rendimiento
usuarios o clientes • InlerNpción de
• Resul!ados
• Invasión de la Incorrectos servicio
privacldad de k>s • Fal!a de aervicio
em pleados • Resultados
Incompletos • InlerNpctÓI1 de las
• Fugas de Infonnación operaciones
confidencial • P&rdida de datos

"'''
Aqul hay una lista de vanos Impactos potenciales (véase la rrJrrna ISO 27005, en el Anexo B. 2) que
p..eden afectar ya sea la dlsp:lnibi lidad. Integndad, conlidenciahdad, o una combinación de ellas.

01 Las pérdidas fi na rc leras


02 Pérdida de bienes o de su valor
03 La pé rdída de cltentes. la pérdida de los proveedores,
04 Las demandas y sancIOnes,
05 La pé rdida de la ventaja oompetltiva,
00 La pérdida de la ventaja te<;noIóglCa
07 Pérdida de elicac la y eflC lerc la
08 VIOlación de la ,,""'acldad de los usuarios o clientes;
09 InterrupcIOneS de l servICio
10 Incapacidad para ,,"op:lfclOnar el servido,
11 Pérdida de la ma rca o la rePlAación
12 InterrupcIÓn de operacIOnes
13 InterrupcIÓn de operaclOres de terceros (proveedores, clientes, elc l ,
14 Incapacidad para cumpl ir con sus obl igacIOnes legales,
15 Incapacidad para cumpl ir con las obhgaclOlles contractua les.
16 Pehgro a la segoridad del perwna l y los USuarIOS

,-
Riesgo para la Seguridad de la
Información
ISO 27000. clausula 2.61

Potencialidad de que una amenaza explote una


vulnerabilidad en un activo o grupo de activos y
por lo tanto causará daño a fa organización
Nota: Se mide en términos de una combinación de la probabilidad de
un evento y sus consecuencias

--
"'''
ISO 27000 - Oefini<:iones

2$1. Riesgos residuBles : R.esgo ram;y¡enfe que el(Jste después da que se hayan tomado las medidas
de SS91Jf1dad

2.62 Aceptación de riesgos; OecIS/&1 de oceptar un riesqo

2.63. Análisis de riesgos: Proceso para comprender la natllalela del nesgo y para delatmiMf eI.we/
de nesgo

2.64. Evaluación de riesgos: Proceso general de dentificaciOn. antllisis y evaluación de riesgos

267. Estimación de riesgos: Proooso de rxmparocJÓn de los resultados da! anáilSJs de nesgas can k>s
emenos de nesgo para defermmar si el riesgo y/o su magnitud SCK1 ac9pIables (] rDlerables.

269. Gestión do riesgos: Aclivlda<:Jes coordmocJas {!aTa dmglr y controlar una orgaruoc/OO con respecto
al riesgo

2. 71. Tratamiento de riesgos; Proceso de seIe<x/Órl e 'mplemefllacÓl de I<lB med.ws ero:;a,n/rOOa5 a


modificar los riesgos

,-
Objetivo de Control y Control
ISO 27000. clausula 2.16-17

Oblativo de Control
• Dedaración de deoaib;' lo que se
qo.riere logra, como r e su ~ 3do de
1M contmies de aplicad6n

Control
• M"Gdot para gestionar a ,oesgo
• Incluye las poI lticas,
p<e<:edim>emos, dir~ y
~s o estructura .
organiutivas
• Sinónimo: me<:looa, contra medida.
disp<>Wy<> o. uguriOad

"'''
1, Co ntro l técnico: Controles relacicnados con el uso de medidas técllCaS o tecnologlas tales C<Xm
cortafuegos, s istemas de alarma, ~maras de ~lQi laro:::la, SIStemas de detección de irtrusos (lOS ), etc

2. Contro l ad minis trativo ; Los OOnlroles relaclOOados con la estructufa mgaruatlva, tales como la
&eparac,ón de funciones, rotación de p.JeSlOS de trabaj o, descripCIOnes de puestos, proceso de
aproteci6n, etc

3. Cont roles de ges tión: Los controles relacionados con la gestión del persona l, incluyendo la
formaci6rl y entrenamiento de l personól l, examenes de la gestlórJ y aud ltorlas .

4. Co ntro l legal : Controles relacionados con la apl icaCIón de una leg.slaclÓr'l, requosttos reglamentarIOs
o las obhgadones contractua les.

Nota:
Un contro l oomnostratrvo está más relac lo'1ado con la estru<:tura de la orgarozadÓ<1 como un 1000, &m
que se apllC<l a una persona en partic\Jar, moentras que un cont rol de la gestión se va a aplo:;ar p:¡r los
admInistradores
Las diferencIas ent re los distintos l Ipes de controles de seguridad s6kl se descnbe n para el
entendimIento. Una organ iza<:lÓn ro neceSKa caldica r la rell.I'3 leza de 101; con1ro1es de seguridad que
Implementa

83
,-
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la InlOfTT\ac ,6n

Relación entre los Objetivos y los


Controles de la Seguridad
Ejemplo

ObJatlvos do Sogurldad Controles do S"IJU

ISO 27000, c1i1usulB 2.11.

.,-'"
Control objeflvo: Declaraci6n de describir /o qua se qlJle(8 lograr como resl.ft~ de los C«llro/es de

ISO 27000, c1ausu/a2.16.


eonfroJ: Los medios de gesbón del nesgo, incll«ias las poIltJcas proca:1imiOO/os. dJroctnces, práclJCas y
estn.cl'.1a5 organzatrva&, que pueden ser de carácter oom/flJslralivo, tocnlCO de gesbón o de carácler
jurldico.
No!¡r El oontrol también IX' J.Aitiza como 5JfÓ117l0 00 salvaguardia o de oontramecid<J

,- "
Controles
Clasificación

Control correctivo

"'''
La norma ISO/lEC 27001 clasJfica a los controles de 5egosidad en tres catego ri al> p-evenuvos, de detección y
corredIVos VarIOs marCOG de referenc ia de la segurJdalJ de I¡j Irformaci6 n definen una clasificacIÓn con más
categor ial>.

Nota importante: Por lavor tenga en cuema que los diferentes lIpos de CO<1Iro les estan vlflCulaws entre si Por
ejemplo, el estableCl1m ierrto de ..... a soIucl6 n anl .... " us es un control ..-evenllVo de ","oteoclÓn contra el softwa re
malICIOso Al mismo tlemp:l, el WU5 es ooa medida detectiVe cw ndo se detecta un pos ible Virus Además,
proporciona una medida correctIVa cuando un archvo ''oospe<;oow' está en cuarentena o es e hm nado

1. Co ntro l preventivo
ObJetivo : des 3lent3r o evitar la aparición de problema s
Detectar problemas antes de que ocurran,
• Controlas las operaciones,
• Evitar un error, una omsu'¡n o actos dolosos.

Eje mplos
PublicaciOO de la pomlCa de segtlidad de la inlormaclÓr1,
Hacer que socios y empleados firmen un acuerdo de confKleooa lidad
Establecer y mantene r contactos aproPIados con los gupos de especiahstas en seglXid3d de la
información.
Col"llrata r sólo persona l ca lificado,
Idertificacl6n de los nesgos por terceros,
Segregaci6n de ta reas
Sepa racIÓn del desa rro llo, ensayo y p.JeSta en funcionamlerto de equi pos,
RestringIr el acceso a los sistemas dorarte las horas de oficina
Seguridad de ofICInas, despachos y eqLlpoS
ut iliza r proced irT'iff!rtos claramerte defini dos (para ev itar error es)
Utiliza r procedim iertos claramente defirodos (para evitar errores),
Util izaclOO de Cnptografla
Uso de un softwall'! de control de acceso que penn ite sólo al persona l autorizado accede r a los archivos

,-
oonfklenc18les.
Seoclón 4 Pnnclpios furdamenta les de la seg.sidad de la InlOfTT\ac l6n

Control de investigación

ObJetivo: Buscare Identlllcar anoma!!as


• Usa r lo!; controles que detectan e informan la OC1Jrrencla de un error. omisión o acto doloso

Ejemplos
• CoftrOIeS en trabajOS de fKOducci6n
• cont r~ de eros en las telecomlOCaclOnes
• Rerdci6n de Cuentas (capacdad pa ra aSOCIar usuarIOS y prooesos con sus acCIOneS)
• Alarmas pa ra detecta r el ca lor, huno, fuego o nesgos relacionados con el agua
• Verificación de los dobles cálrulos
, Informe perIÓdIco de estado con las variacIOnes OOISf\d¡!S
• Funciones de aLditorla interna
, Cámaras de \I1deo
, S~tema de detección de Intn .lGlOf1eS (roS)

Control correctivo

Objetivo: evitar la repetic ióIl de allomallas


• MlIlimiza r ellmpa<:to de una amenaza
• Remeaa r protXernas descooertos por los controles de detección
• ldellldlCar las causas del problema
• Corregir los errores def1\fados de un problema
• Moofica r el sistema de proceso para redo:::lf a un mlnimo la presencill de problemas en el
M~

Ejemplos
• Impememar planes de emergencia con la formación, concienciación, pruebas,
prooedimientos y acI""oodes de mantenll1llenlo necesarios
• Procedimientos de emergencia, ta les corro copias de seglj'idad periódicas, el
almacenarnento en un lugar seguro y la recuperación de las transacciones
• procedim ientos re· elecUlados
SeocIÓn 4 Pnnclpios lurdamenta les de la seg.sidad de la InlOfTT\ac l6n

Clasificación de Controles de Seguridad


Ejemplos

Controlos Provent,vos
Conlrol" de Conltolos COrreCIIYOS

• Publicar una poIllica de • Supervlsat y f9Visat • Inwstj¡¡ación tknic:a y

--
seguridad de la s""";cios <le le<cefOS j....tdlca (análisis) Ira.
Inf(HYl'ladót! un tncidente de
• Supervisar los recursos
• Hacer f,.,-nar UfI usadot por sistemas

,,-
• Habilflar el plan de
acuerdo de eont... uidad del negocio
confk!encialidad • Activadór> de la alarma después de la
al detectar por ejemplo, ocurrencia de un
• Contra ..... .okI person;ol desas!fe
calificado • Aplicación <le parches
• Revlsióo de los !fas la identólieaci6n de

-=
• ldemificar los ';"ogo. deredlos de aa:eso de vu!nerabilid&des
ptoeeóentes de ~cnica.

• Análisis de los reglS!fos


• Seg,egaci6n de tareas de al.lditoria

"'''
2. Control de investigac ió n

Objetivo: Busc al e identificar anomallas


• Usar los controles que detecta n e inlorman la oclITenda de 00 error, om isión O a<;to doloso,

ejemplos

Realizar un eKamen penódico inoependiente de la seguridad de la informacIÓn.


Superv isar y rellisa r servICIOS de terceros;
Vigi lar los recursos l.tlbzados por los Sistemas,
Am lisis de los reg;stros de auditar la
Integració n de los puestos de cot1rol en las apllCa<; iones en prodl.CC1ÓIl
Control de ecos en las te lecom unlOa(; iones;
Alarmas para la detección de ca"r, hllllO, ircendio o riesgos p::!r agua
VerifICacIÓn de duplicar los c3k;ulos en el >,"ocesarriento de datos,
Dete<;ta r intrusiones con e<\maras de video
Detección de posibles intrusiones en las ,edes con un sistema de detecCt6n de ~ l.SOS (lOS)
Rev isión de los derectJJs de acceso de los usuanos,
Revuói6n técruca de las apllCaclCnes despJés de una rmdilicaCtÓn del sistema operatIVO

,-
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la ' nlOfTT\ac ,6 n

3. Control correctivo

Objetivo: Stlperar problemas erlcootrados y preveflir la recuHerlcia de problemas


Mln mlZa r eI ,mpacto de l.IfIa amenaza ;
Superar problemas desclbertos p:lI" los controles de deteccIÓn,
ldenldica r las causas de l problema
Correg ir los erro.-es derivados de un ","oblema ,
ModifICa r el sistema de proceso pa ra reducH a un mln; mo la presencia de problemas en el
l uturo

EjefTlJllos
InvesUg<lci6n técrlca y jurjoj;ca (Iorense) a ralz de un InCidente de segundad
Para que e l pla n de cont inUidad del negocio después de la ocurren:ia de un desastre
Revisió n de la po llooa de seguridad desjXJés de la integración de una nueva o;h'islÓn de la
orga nlzaCKln ;
Llamado a las autoridades para de~lar un deltto inlorm;lo!lCo.
Cambiar todas las cortf3set'l<ls de lodos los SlSlemas cuando se ha detectado uroa intrusión
eXitosa ,
Reouperar las transacciones con el p-ocedimiento de copia desp..és del descut.'imiento de
ql>e algunos datos se han dat'l<ldo,
Des cone~ ió n aLAom;lot1Ca de las seSioneS inactrvas.
Aplicac i6n de parches Iras la lderi il icación de vulnerabilidades léc l'lCas

88
SeocIÓn 4 Pnnc'pios lurdamenta les de la seg.sidad de la InlOfTT\ac ,6 n

Las rela ciones entre Conceptos de


Seguridad de la Información
Información general

-
"'''
, Los activos y los conIro les pueden ¡:(esenlar vulne rabdldaoes que puede n ser e~pIotadas ~ las
amenazas
2. Es 18 combnaClÓn de las amenazas y V\J lnerab lic!aoes que pueden aumenta r el efecto p::¡ten::ia l del
riesgo
3. Los COnl~ permiten redudr las vul nerabilidades Una orgarnzación tiene pocas alternativas pera
al;tuar frente a 1310 amenazas Po r ejemplo, ~den se r aphcados contro les pilra la protecCIÓn contra
tntrusiones en e l sistema , pero es dif icil de toma r medidas pa ra recU:::II et nú:nf!ro de 105 piratas
Inlormábcos enlrrtemet

89
,-
SeocIÓn 4 Pnnc'pios lurdamentales de la seg.sidad de la InlOfTT\ac ,6n

¿PREGUNTAS?

, .,? I

? ;]j · ~ 1
? ? ¡? h ', ? I
. _[~ ~

"'''

90
,
SecclÓll5 IrlIClando la m pementaci6n del SGS I

Capacitación Implementador Uder Certificado


en la norma ISO 27001
Sección 5
Iniciando la implementación del SGSI

a. Enloque pata la Implementacl6n del SGSI


b. Metodologla de Implemantaclón del SGSI
c. Mejore.. pr~cticas en la gesti6n da proy&ctoa
d. Utilizando el eslllndar ISO 21003
e. Alineaci6n con las mejores prácticas

"'''
Principales objetivos al iniciar la aplicación del 50S!

1. Determ ina r el enfcq.¡e metodológiCO para la ge5116n de ,""oyectos en la aplCación del SGS I
2. Selecdonar una melodolog ia de proyecto para la implementació n del SGS I

,-
SeOOIÓll 5 InICiando la m pementaci6n del SGS I

Oefiniciones relacionadas con la gestión de proyectos


ISO 27003 e ISO 10006

Proyecto: Proceso urico, que oonslste en un ~unlo de actividades coord inadas y


conlroladas oon fecnas de in K:1O y fina llZa<:t6n, n ev~do ~ caoo para logra r un O!:jetIVO
cortorme a reqursrtos espeo:; ll icos, loouyerdo las limita ciones de tiempo, COSle y
recursos (ISO 1CXXl6, 3.5)

Actividad: El ltem de trabajo más pequeno ident~lCado en e l proceso del proyecto


(ISO lCXXl6. 3.1)

Gestió n de proyectos: PlanrfK:aClÓrr, organrza,:;t6n segUImiento, OOl1\rol y


presentaCIón de rnformes de todos los aspeo:;los de lI1 proyecto, ~ la motlVa<:i6n de
taoos los involucrados para lograr los o!:jellVos del proyecto (ISO 10006, 3 5)

Proyecto SGSI: Las actividades eslrlduradas llevadas a cabo ¡xlr una organ ización
para impementa r un SGSI (ISO 27003, 3.1)

Notas sobre la terminologla

1 La organrzación del proyecto es normalmente temporal y establecida para la vld~ ufil


del proyecto.
2. Un proyeclo irdrvrOUaI puede formar pane de una estnx:trxa de proyecto más
",-
:3 La complejidad de las inter1lccrones erllre las actividades del proyedo no está
necesarramenle relaCIOnada oon el tama~o del proyecto
4 Debemos drstingUlr entre el proyecto de SGS I y la gesbón de las operacIOnes de un
SGS I La rea lizacIÓn de un proyecto de SGSI l lene oomo o~etiVO Impernentar un
sIstema de geslión de 5egLJ"ldad de la informacIÓn La gesllÓl1 de les operaciorles
del SGS I es la gestIÓn dl81\3 y el m.mtenimierrto del SGS I

Nota Importante: El objetrvo pnncipal de eSle curso es explica r la rnetcdologla para la


gesllÓn del proyecto SGSI y no el cortrol de la ges:lÓn de las operaciones drarias Sin
emba rgo, <..na seccIÓn esu\ dedicada a la gestIÓn de las operaclOI'1es de SGSI a l fina l de l
dia 3.

92
SeOOlón 5 InICia ndo la m pementaci6n del SGS I

Iniciando la implementación del SGSI


lista de actividades

-
1. 1. 1 ~""
-~,

"'''
Lista de las actividades in<::luidas en la melo<lologlalMS2 de PECe <::on la <::oITespondienteentrada
y salida

Entrada
• Intención de la organización para Implementar e l SGS I

Actividad es
1 Definic ión del enfoque pa ra la aplCsción del SGS I
2 EleccIÓn de un maroo metodológioo para gestionar e l proyecto de IfTIpementaclÓn del SGS t
3. Ali neación con las mejores práctIcas (lea la documentació n sobre lB s mejore» prá<;tlcas lJIIIZa<t¡¡s en
et mercado y compre copias de las normas)

Salida
• SeleccIÓn de uroa metodologTa de gestión de prClfedos

93
,-
SeOOIÓll 5 InICiando la Impeme ntaci6n del SGSI

1.1 .1 Definición del enfoque para la


implementación del SGSI
Posibles Enfoques

"'''
Una organIZaC ió n que quiera cump ir con 13 norma ISO 2700 1 ,...ooe considerar vanos enloques solYe la
"'~ '"1.3 veloCIdad de ImplementacIÓn
El alcance
El nivel de madurez del rroceso y los contro les de segurida d buscados (en co~ raci6n con e l
SOSI rllcla l · erioques d llere ntes)

ut il izando Lfl enlcque raciona l, es razonable considerar Lfl pe rlOOo de 6 a 12 me~ pa ra e l proyecto
desde la OOfICepolÓn hasta la IinalizaclOn del pnmer CIClo de audllO rlas y el seguirnenlo del sistema

Seg iJl una encLrlta ('SO 27001 Encuesra Mundial de 2008, Cerlific«<:i6n Europea'") de 312 empresas
cert~lCadas oon 13 norma ISO 27 001 en e l
60% de eUas, 13 prop..oeSla de eJe<:l..'Olón del SGSllOfflÓ menos
de 12 meses y en el 2O'lIo, menos de 6 meses Es de destacar que todas las empresas que ha n tomado
menos de seis meses para IInplemertar un SGSI te nlan otro sistema de ge!lIlÓll ya existenle en la
organtZaci6n

9'
,-
SeCCIón 5 IrlIClando la mpeme ntaci6n del SGSI

En el caso de las PYME, la encuesla revel ~ qo.>e la duración media de un p"oyecto de SGSI es de 6 a 12
meses y que esllJ\llefOll involucradas 3-4 personas a tiemp:l parcial (esluerzo de 35 a 60 d las por
persona) Para las grandes errp'e&as, e l plazo medio es de 12 a 18 meses con un promedio de dos
personas dedicadas a tiempo compIeIo al p"oyecto (además de mIXhos colaboradores de vez en
cuando) Este promedio deber.'J aplicar a cualquier l ipo de OigalllZilción ya raZDMblemenle segura Es
decir, las otgal'JlZaciones q..oe han Im pa ntado medídas de seg.xidad de uso com.ln en la U"idUWia,
particularmente en el rwvel lécnico cortafuegos, antlVirus, etc,

Cuando se considera un aicance IImnado para e l SGS I al il"llClO del proyecto tal corno el enroque de
"Goblerm de T I vla rápoda" (enroque para alcanzar la meta muy rápidamente en un contexto comercia l
determ inado), UM orga~aci6n de tamal'lo medio podr la complelar este l ipo de proyeclos enl re 4 a 7
m~,

95
SeCCIón 5 IrlIClando la mpementaci6n del SGSI

Enfoque Propuesto
Directrices
1. Enloque emprn;orlal 2. Enroque de Ilslemas
/ la aplicao6n gener31 <le!
Se oruegra "" '" CO<1te.<to de
~5~.~a~. prnce'" <le SGSI. no
a ~ . de L!I oryaJ\ÍUCI6rl medi.nte el , ..1IImierTIo de
lo. procesM

5. Enloque ~ . ratiyo 3. Enloque . iSI"," i ~co

U. ,ápoda ApIócar las me¡ore$


implementaciOn del p<ococ.a5"" ge5!i6n de
SGSI ,aspetar.do lo. ...~~
requisitos mlnimos y
camb1ar • mejora
contll1ua a pallh" de
~,~
...
~:~!'!...~ _~~t~'"do
1ntegrad6<1 del SGSI o lllmonizatIo con
lo. demás ""IUlsitos <le la e>r!t.nizació<1
"'''
TradicIOnalmente, la aplICacIÓn de los enloq.¡es ~tos para un SGSI es secuerx:lal El p'a n
de l proyecto de la organ lzaclÓl1 se ha competaoo con anterioridad al establecimiento de un
","oyecto dedicado al SGSI, as! corro 1<110 fase\; de segum lento y mejora se BClIVan sólo cuando la
Lbcaoon de los componentes 001 sIStema se ha fin<l lizaoo En cada fase, no es raro que los
controles de seguridad tambén se apliquen de forma secuero:::la l (por ejerflllo, la polltica antiv irus
está elab'Jrada y aprobada antes de que se h<lya n escrito y ejecutado los prooedimientos e
instn.,lC:QlOrles de trabajO re lanvoo a la gestIÓn de este control)

El ¡:rinc'pa l Irconvenoente de este métoxb es que es ~ de los pnnc ipales consumdores de


tiempo y recursos, ~ sea en la plamflCadón, a¡:rotaclÓn o aplicacIÓn del sistema ''pieza po r
PIeza " Este enr<X1lJe també n eli mina el interés ilYnedíato de l sistema de gestión de controlar, ya
que tendrá que esperar hasta que todas kls PIezas del rompecalX'zas se monten, antes de que se
,...eda sentir óertro de la orgarUaclÓn , cu~ lqutef ele<:lo benefiCIOSO d lre<:to ESle método tiene la
desventaja de "agotar" a los partICipantes dura nte el proceso de eJE!ClX:IÓn y I:or lo tanto un mayor
'leS9O de aoondero durante el proyecto

,-
SeCCIón 5 IrlIClando la mpementaci6n del SGS I

El enfoque p<UpJeslo en esle CU<l5O lrata de eludir esta dilicuft~d medianle la p"opuesla de llla l ilosofla
basada en anco Pri rapios pa ra irWciar un sIStema en un plazo razonatlle para la orga nizacIÓn
1 Enfoque de Negocios - integrado en ej enlomo empresaria l de la organización, elegir un dominio de
8picaclÓn relacionado oon el CQr3zó n de l negocIO
2 Enloque de Sistemas - En general, la 00 aphcaclÓn de procesos aislados
3 Enloqoe Sistematico - la aprlCaCión de las mejores pr<klocas de gestlÓr'l del Pf'C1ieclO (c:orno por
ejemplo, ISO 10006)
4 Enloque Irtegrado - un sistema de gestrón de la adm irustraclÓn genera l de la seguridad y no una
pa ra SOx, uno de Basilea 11, uno para 2700 1, etc. Ademés, ainear o integrar el SGSI con otros
sIstemas de gestIÓn ya e~lstentes en la orgarll.Zllcr6n (ejemplo' ISO 90( 1)
5 Enloque iteratrvo - raprdo establecim iento de un proceso mlni = ~ su mejora a partJr de entonces,
en un cIorrl nio de ap icaa 6n In icial en el que 105 actores se ident ifican ~ participa n y son derrnidos
los procesos

97
SeCCIón 5 IrlIClando la mpeme ntaci6n del SGSI

Aplicación de Directrices
Recomendaciones

1. Evitar la integración de nuevas tecnologías


2. Integrar el SGSI en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organización
5. Obtener el apoyo de la Dirección
6. Identificar y formalmente nombrar a un Director del
proyecto SGSI

"'''
Algunas reoornendaclOnt's pe ra aoordar adecuadamente estos priOC IPlOS en el camp:>
1 Evna r la lrlIegraclÓn de nuevas lecnolog las - (!;sella r el sJslerna IOIClal con la tecnolog ía qlR ya eXISte
en la orgarWzackm la mayor la de las orgarMZaciones ya ha n establecido la tecnologla m ln ma
necesaria para implementar un SGS I. La optill1lZación del SGS I con tecnologlas más efiaentes se
p...oede hacer en la lase de meJora con\lrua y de ahl en mas.
2 Integra r el SGS I en los procesos exislenl.es - reurilizando todo lo que se puede relJlj lizar y ya esta
Iormalzado y pueslo en slfllo nla oon lo!; reQl.m.ilos del ma rco del SGSI E\IIIe crear cw!qUe r nUmero
de procesos que no se ajusta n a la realidad de la orga nización.
3. APlC<l r los prirclplOS de mejora oontlnw - la aplCaCJÓn de los pnrcípios de mejOra COfl1ln ua, teniendo

-
en cuenta las sugerencias y mejoras Sl(leridas por las partes inleresadas en el proyecto Adem"'s.
deberi an prever...e metas modestas en el inicio y se debe eslablece r la mejora progresl\la en el la rgo

4 Invo!u<;ra r a los partICIpantes en la orga rmdó n -dcllrJlerdo las flTCiones y resporlSabi lidades de
todos los interesados en el proyecto al comIenzo del proceso de implementación ga ranuzaf"ldo su
panicipeclÓn y motrvación, estudia r sus re laclooes y mante nerlas en el sJstema una vez lI"Iic iado.
5 ODIener el apoyo de la dirección - asegurán<bse de que la arección ent iende y apoya el proyecto, le
otorga r'" la ImponallCla y 106 medios necesarios en su detodo tiempo, asegura ndose que la gestión
cLmpe co n sus re5p:>nsabil idades en las Po lftlC<l s del SGS I, gesl lÓn de riesgos y la rev iSión perJ6dica
del SIstema de ges~ón a lo la rgo del tiempo
6. Norrt>rar a un d"eclor del prcryecto SGS I - idenl if,car y deSIgna r UI\3 persona responsable y que nnda
cuentas de la ejecución del proyecto. Este no es neoesaflamenle el dlreclor de SGS I. pero este
nombram iento gaflmt iza el buen lunciooamenlo de las operacio nes de eslablecifl1lenlo. el liemp:> y el
apoyo (presupuesto, aproooclones, ele.)

HO!:a Importanle: No es obIigatono m necesario i ~lemertar sistemas para hace r Iren!e a CuestIoneS
complejas En la mayo ri a de los casos, el sert ido comÚl y la gestIÓn del proyeclo Indicar"'n que el CISSO

98
,-
de acció n sea eficaz y que lo siga siendo
SeCCIón 5 IrlIClando la mpeme ntaci6n del SGSI

1.1.2. Elegir un Marco Metodológico para Gestionar


el Proyecto de Implementación del SGSI

1. Planificar 2. Hacer 3. Verificar . Actuar

..--
,.....

, .~"

,,,e
SigU iendo '-'1a metOOologla esl nxl urada y eficaz. un a orgalllZaclÓll ~ eslar segura de Clbtlr todos los
requ isitos mll"lltTlOS para la Impementacoo de '-'1 sIStema de gestlÓl't

Notas importantes:

1 C ualq..Jlera sea la melodoIogla o.J il izada . la o rganIZació n debe adapta rla a 5U co nte~lo particular
(requlsnos. lamano de 13 orgal"lllaclÓn. alcance oti elrvos. elc) y I"IIJ se dete ap icar como l.J1 Ilixo de
=M
2 La secuencia de pesos se puede cambta r (InversIÓn. fusIÓn .) Por ejemplo. la aplICaCión de l
procedImiento de la gest ión de la docLmentaclÓn puede rea lIZarse antes de 13 comprensIÓn de la
organizacIÓn
3. Muchos procesos son nerat rvos debido a la necesidad de un desarrollo progresIVO a lo largo de lodo el
proyecto de Implementación, po r ejemplo , la comUf1lcaclÓn y la formacIÓn

99
,-
SeCCIón 5 IrlIClando la mpeme ntaci6n del SGSt

Metodologla de Implementación Integrada para los


Sistemas de Gestión y las Normas (IMS2 )
Metodologla de PECB para la aplicación del SGSI
2' P• • ". '0,..,,,,....<100 T._.I~_k
o
o
<>
o
o
o
oo _ .. ~

o
O
O
O
O
O
-O
O --
O
O
O --
O
"'''
PEce ha desarrollado un enfoque y urJ<I melOdolog la pe ra Implementar un sistema de gestIÓn. Se llama
"Metodologta Integrada de ImplementaCIÓn para los Sistemas de GestIÓn V Es~ndares (IM S2)" y se basa
en las me¡ores práctICas Esta metodologla se basa en las dlrectnces de las normas de la ISO V co..mple
con los reqtJlsrtoS de la norma ISO 27001

IMS2 se resa en el ciclo PINA dividido en cuatro fases Pl3 niflCa r, H30er Ver~ icar y Actuar Cada fase
tiene entre 2 y a pesos A su vez. estos pasos se dl'llden en activid3des, las aclMdades en ta reas Du<l nte
la capaatac lÓn, los pasos V las actl\lldades se presenta""n e ilustrará n en el orden cronológic:o del curso de
un P"oye<;to de Implemenla<;ión

Las tareas no se rán deta lladas ya que son espec lro::as para cada proyecto y dependen del c:onte)(!Q de la
orgaruación Por eJerrplo, las aclividades 1 4_2 (E stablecer el Equipo de Proyecto del SGSI) ITlpllC3""n
lJfl<j sene de ta reas como la deSCflp:;i6n del traoojo, entrev istar a los canddatos, la fifTml de 1Xl cont rato,

"'

,- ""
SeCCIón 5 IrlIClando la mpementaci6n del SGS I

Enfoque y Metodología
Basados en las mejores prácticas

~ p~; l. ~. ...

_.
ISO ' 000II
Dlracll'l:es 1*010 -""'" do

,_o
!'Maol<
Goolibndo_
~ do "" """ .... """
-
1$01100)
~","-"O do ~
do _ _ do lo _

"'''
ISO 10006: Slslemas de geslión de la ca lidad · Di rectn<:es para la gesl lÓn de la calidad efI
proyeclos. la ISO 10006 proporcIOna orientacIÓn sobre la aplicación de gesUón de la calidad en
proyectos Es aplICable a proyectos de diversa complelldad, graooeti o pequer"los, de corta o
larga duracIÓn, en diferentes ambientes, y con lndependerK)l¡j de l bpo de produclo o proceso en
cuestión Esto puede requef if algllla adaptaCIÓn de la gula para ada¡Xarse a un proyecto efI
partICula r
Refefenc ia: WNW jso om

Project M<lnagement IIlstitute (PMI): Con más de 240 000 mtembr06 en rres de 160 paises,
PMI es la <lSOCfSCIÓn mtembro rres grarde de profesiona les en gestIÓn de proyectos. El PM I está
activamente comprometoo con la proIeSlÓn, estableciendo estar"ldafes profeslOmles, rear.zando
~sfigaciones y prop:>fClOnando acceso a una amplia g¡lfT13 de i!'formaclÓ n y recurws El PMI
también promueve el desa rTO~O profesIOna l y la cread6 n de redes proIeslonales y ofreoe
cert ificación , fed de contactos y opoItll:1 idades de mejora para la cornll:lK!ad , La oeniflCacoo
más col"O'JClda ofrecJda por el PM I es el PrOJecl Management Professlona l (PMP)

El PM I también pu~ ica la G ula PMBQK (Project Management Body 01 l<rIov.1edge). Esta
referencia Ident ifica y descrite 106 conoom ientos y practICas aplCables a la mayoria de 106
proyectos, y los recoleda de un amplIO consenso sot:re los valores y LAlhd3des La gula
reconoce 5 grupos de proceros báSICOS , Imciaci6n, pla nificación, aplicacIÓn, sUpe!Visión y
veflli<;aclÓn , y el Clene de un proyecto L06 procesos se descnben en térmiros de ent radas
(dlxumenlos, plaros, d iser"los, etc 1, henarmentas y téc nICaS (me<;a risrros aplICados a las
ertradas) y sa lidas (documentos proOLclOS, etc) T arTt>ién se definen 9 áreas de conocimiento
Gestión de IntegracIÓn de Proyectos, GestIÓn de Alcance de Proyectos, Gest ión del T JefTlpo de
Proyectos, Gestión de Costos de Proyectos, GestIÓn de la Calidad de Proyectos, GesUón de
Recll'sos Humanos de Proyectos, GestIÓn de Conllncaciones de Proyectos, Gesti6n de
Rtes,gos de Proyect06 y
Gestión de Compras de Proyectos
Releren cla: ww 001 1org

,- '"
SeCCIón 5 IrlIClando la mpeme ntación del SGSI

Metodología basada en la ISO 27003

ISO 27003

-_ _.
" . 1<><I~1II d. PECB

....
• o.oc.'h..,. .. .-...-.g!.
_ . . , 1 0 _ .... ISO

-
v.,
• 1n<:V,o.......,. y _ _ ..

_ _ _ .,_ .. ~, '

'" .._.. .....


c· _ ........ _ ... · ... _ · _

"'"
ISO 27003 descri be los pasos prlflOlpa les en la ap 'cac ión de lX1 SGSI G ula a l usua rIO y proporCIOna
asisleocia pa ra implementar el sistema con eficacia La rorma contie ne las Slgutenles secciones

1 Introd\.l<xió n
2 Ámblo de apicaci6 n
3. Térm irosydefi rllClOnes
4. EstruotU1'3 de es\<l Norma IllIernaclOn¡!1
5 Oblener la aprobación de la gestIÓn para ir'llClar un proyecto de SGSI
6. Defi r-.clÓn del alcance de l SGSt, los Ilmnes y 13 potitica del SGSI
7. Llevar ~ cato el aná lisIS de lo,. reQUIsitos de ia sef:llJldad de 13 ir10rmaclÓn
8 Llevar a cato la evaluación del riesgo ~ parwflCa r el trata miento de los riesgos
9 El diser.o del 5GS I

B marco metodológico ¡:fopuesto por la ISO 27003 es genénco y a ¡jlcable a todo llpo de orgar'llzac lones
Sin emba rgo, nQ es......a refereocia e>thólust'va y ro pretende ser ....,....ersa l Adem.!s, eSle marco ro es una
melodolog ia lorma l, ~a que na cori iene lX1 erioque ope radooo l eqU1paOO. Cabe ser"lalar que ~u USO ro es
un requisilo en 51mismo que p..eda oondt.eir a la certificacIÓn de ia norma ISO 27001

La metodologla propJesta por PECB se basa en parte en el enfoque descmo en la norma ISO 27003, pero
no eYpres3 que la susl itl.'ja EJ obJetNO de esta rnetodologla es hacer Un¡! apl icación operaciona l paso a
paso de lX1 SGS I Es decir, e~ p\lcar con ejerrplos ~ herrarnelllas, el ''cómo'' a ""rtir del 'qué" lal como se
describe e n la norma ISO 27003.

No ta importante: Téngase en cuenta que dlsante esta capac i\<lclÓIl, todos los lemas no se dls<; uten en
deta lie Pm lo \<1 1110, los lemas que se mencionan brevemente aqu l \<I les como la presentac ión de los 133
oontroles de segu'md en el anexo A. no deben considerarse como poco importanles

>O,
,-
SecclÓll5 IrlIClando la m pementaci6n del SGS t

1.1.3. Alineación con las Mejores


Practicas
Uso de las normas ISO

"'''
B nücleo de las mejores práctICas Inc luloos en dlsu ntas normas ISO proporCIOn<l acceso ~ los
conocimientos que tienen un ampio consenso entre ios expertos en el cam¡:o de la segundad de la
IriormaclÓn Estas nOCIOneS de buenas práctICas no deben OOnfundlrse con los requl1>itos de las normas
Una buena práctica es una recomendació n no es un reqohito ESlo signifICa que cada organIZación es li bre
de usa~a como referencia o no, o lf1duso, aplCarla o no.

En esta capacnaclÓn, fue un a ele<;clÓll consciente ,.-esenIar las buenas prácticas publi<;aoos en las
diversas normas ISO Sin emba rgo, hay \fiI rias otras fuertes de llUeflas prácticas, tales como ANSI o la
bi blioteca de ITIL Una organi zacIÓn también puede referuse ~ la norma ISO 18044 para desa rrolla r su
,.--oceso de gest'6n de Irddenclas Esto tambtén bien podrla esta r oosado en ITIL o en gulas de CERT en
ese dorrllrWo

Nota sobre la termino logla

1 ''Buenas práctICas" signrlica que es genera lmente reoortOOldo que la aplCac l6n de las
recomendaciones relacIOnadas con las p-ácticas descritas corresp:lflde a las actNldades,
herramientas y técricas LJilizados ampliamente por ios especialistas
2 'Genera lrnen(e reconocido" SIgflIfICil que el COf"OXlmlento y/o las práct icaS presentadas son
generahlente aplCables a la mayorla de las orgamzaciones, asl como su valor y util idad están s~tos
a un consenso bastante amplio

,-
SeCCIón 5 IrlIClanOO la Impeme ntaci6n del SGSI

¿PREGUNTAS?

, n ?' ? ? f'
- { ~~ . ~ I
? ? I? 1?', ?
• L! j 1J

"",

, "4
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓll de los objetivos de seguidad de I~
informacIÓn

Capacitación Implementador líder Certificado


en la norma ISO 27001
Sección 6
Comprensión de la organización y clarificación de los
objetivos de seguridad de la informacjón

a. Comprensión da la orGanización
b. Identificac l6n y an~l ; s l s de las par1es InterHadas

c. Id..ntifi cac lón y,",.""" " ",. "...""',''',,'' ,u,._",~,,~


d. Oetermi naclón da los objeti vO!;
a. ~f i nleión prelim inar da' aleanca

"'''

""
Secció n 6 Descnpci6n de la o rg~ruad6n y clanriCaclÓll de los objetivos de seguidad de I~
informacIÓn

1.2. Comprensión de la organización y


clarificación de los objetivos
1. Planificar 2. Hacer 3. Verificar . Actua r

Objetivos principales de este pno

1, Conoce r la organiz~CI6n y su entom:J


2. ReurJlf la lflformaCloo necesa ria para planifiCar la IIT~ementaco6n del SGS I
3 AsegCJrese de que 105 ObjetIVOS del SGSI es!.'l n a li neados con los objetivos de negocio de la
organtZacr6n

La ~enslÓn de la organizacIÓn es esencial antes de IniCl3 r un proyecto para Irrplemerrtar U'l SGSI l.3
dificutad de esta etapa es compreooer oo n el<a<:tJIud cómo está esl ructurada la organizaclÓll ifltemamerte
y la forma en que se sitúa en su amNente externo. Reúne loda la inlormaci6l1 necesaria, que es lJI1
requ iSito prevIO para la rea lizacIÓn del ana'sil; de brecha (gap a na~) entre el GIStefT13 actua l y el
deseado

,- ".
Secció n 6 Descnpclón de la o rg~ruad6n y clanfiCaclÓn de los objetivos de seguidad de I~
información

Requisitos de la Norma ISO 27001


ISO 27001 , clausula 4 1

Conocer la organización 'j su entorno.


" La organización debera determinar las cuestiones
internas y externas que son pertinentes a su propósito y
que afectan a su capacidad para lograr el resultado
esperado(s) de su sistema de gestión de seguridad de la
información"

NOTA: Determinar estos asuntos se reliere a establecer el conteJdO externo e


Interno de la organilaciOn conslde<aOOs en la cltlusula 53 ele la norma ISO
31000;2009

"'''
_.,
Una orgarua<:ión que qUIera cumplir con la rorrna ISO 27001, deberá como mll'lmlY
1 Ser ca¡:ez de demostrar que su SGSI se alinea con su mlSlÓl1 y sus obfetr.os y eslrateglas de

2. Ident~iCa r y document~r las a<:t lvidades de la orgaruaci6n, las fuOCione\;, los sefViClOS, prodo.r:tos,
asociaCIOnes, cadenas de suministro y las re laciones con las partes interesadas,
3 Definir los factores Internos y externos que p.ieden In/luir en el SGSI ,
<1 Corocer y tener en cuenta cuestl~ re lacIOnadas oon la seglSidad de la InformaclÓll dentro de su
sectOl industria l, tales como el ~o las o~ i gaciones lega les y reglamentar ias y los requ isitos del
d iente
S. Esta~ecer y OOcumentar los obj etivos del SGSI

.- '"
Secció n 6 Descnpci6n de la orgaruad6n y c13nfiC3cIÓIl de los obj etivos de segu ida d de la
informacIÓn

Requisitos de la Norma ISO 27001


ISO 2700 1, clausula 4.2

Comprensión de las necesidades y expectativas de las


partes interesadas
l a organización deberá determinar:
a) los interesados que son relevantes para el sistema de
gestión de seguridad de la información; y
b) los requisitos de estas partes interesadas pertinentes a
la seguridad de la información.

NOTA: Lo~ requisitos de las parles Interesadas pueden IneJu;, los ¡equfsjtos
Ieg¡r ~s y las obligaciones contractuales

"'''

>O,
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓll de los objetivos de seguridad de I~
informacIÓn

Las definiciones relacionadas con el concepto de


"organización"
ISO 9000

Organización : G""PO de personas e I riraest ructlSa~ con Un<! estructura de


responsab lidades, autoridades y relaciones ( ISO 9000, 3 .3 1)

Estructura o rganizativa: EstructlSa de responsatoliwdes, autoridades y re laclOIll'S entre


las personas (ISO 9<XXJ, 3.3.2)

Infraestructura: ~temas de WlstalaclOl1es, equIpoS y sef\liCios necesarios p3ra el


r..1CIOn<!mlenlo de lJI'\a organ ización ( ISO 0000. 3 .3.3)

Requisito: Ne;:;esldad o expedan... a establedda generalmente mpl lClIa u obl igatoria (ISO
9000, 3.12)

Nolas sobre la termlrootogla

1 Una OIga nizació n esta estructurada y por lo general reglstraw en un organIsmo


gr.bernamental Esta ,...ede ser por e¡emplo una empresa, rnstrtu<;i6n, obra de caildad, por
cuenta propra, una asociacIÓn o un<! combrn<!clÓn de éstas Un<! orga nizaCión p..oede ser
pública o privada,
2 No hay que cortundir la organización y la est ructura de la organización . la organización es
Un<! tnstltUClÓn, rnren! ras q.re la estructura de la organizacIÓn es lTEI relacIÓn más o 1TIl'fJ'JS
forma l entre las personas. Por ejemplo, lJI'\a estructlSa organizaciona l se estatoeoerá dentro
de lJI'\a orga nización pa ra im¡:lementar el SGS I
3 "I rtraestructura" se p.Jede utiliza r como sin'rnimo de ' aclrvo de apoyo· como se define en la
norma ISO 27005 (véase la sección 1 1, d ia 2)
4 No se de be confundir el uso del término "requlsno· en el conte)(jo de las espec if icacIOnes
establec idas en una norma y "los reqursitos de la orga=acIÓll' Los reqUIsitos de la
orgarwzacr6n pueden vel'lr de diferentes p3 rtes Interesadas. Pueden se r expl tcrtos (deflnrdos
por contrato acuerdo , reglamento) o rmpl tCltos (no doc umentados)
Secció n 6 Descnpci6n de la org~ruad6" y clanfiCBclÓll de los objetivos de seguidad de I~
informaclÓll

1.2. Comprensión de la organización y


clarificación de los objetivos
Lista de actividades

-
, """"" deO SGS'

--
U " MItO>o.
oIJÍolNos, . _.

,-
1.2.' Prootrooo
t- 1,251ntr_1/I.o:IU'. - ·
r '''- l
'*'-'" -

,,,e
-
'.2.9 ....,.,.,.

Lista de las actividades inc luidas en la metodologlalMS2 de PECe con la correspondiente entrada
y salida

Entrada
InlormaclÓll genera l acerca de la organ=1ÓIl (S IOO Web. lrlforme anua l, catá logo de productos y
serviCIOS, ele
cqetrvos estra tégICOS de la orga niZ<lció n
Usta de lBs leyes, contratos y acue rdos firmados ~pbcables

Actividad es
, ComprensIÓn de la misIÓ n, objetivos. valores y estrategias de la organlZaciÓl'l
2 Aná lisis del entoroo eKlemo
3 Aná lISis del entoroo Interno
4 Ider1:lfocaci6rl de los prir.::;,pa les procesos y actIVidades
5 Ide rMicaciórl de la Irlfraestructu ra
S. ldentdicación y anallSls de la s partes Interesadas
7 Ider1:lfiCaci6n y aná liSis de los requ i5itos del rwegocio
e DeteminaClÓl'l de los obJellvos del SGSI
9 Defink:fÓI'l ,.-ell mona r del aJcan<:e

Salida
Descnpci6 n breve de la organización y su entorno
Usta de I<Is partes interesadas y sus requ lsilos
Usta de las obligacIOnes legales, regla mentariaS y contract ua les aplicables
cqelrvos y prioridades relaCIOnados con el SGSI
Alca nce preli mina r

'' 0
,-
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓIl de los objetivos de seguridad de I~
informacIÓn

1.2.1. Comprensión de la Misión ,


Objetivos , Valores y Estrategias

PoIlIlClI <le segundad dll ¡"


PoI ll"'" COIllD'suva
Informaco()o1

Es roecesano ol;(ener una VISIÓIl general de I ~ o rgaruaclÓ n pera entender los desaflos de segundad de la
orgalllZac lOO y e l nesgo inherente a e!lte segmento de mercado Deberla recogefse inlormación genera l
acerca de la orga ..¡:aCIÓll en cuesu6n con el 1111 de ap--eclar mejOr su miSión, estra teglal;, oqelo ""l1<: lpe l,
va lores ele Esto ayooa e asegu-ar la consistencia y coherencia entre los oDjelovos estratégiCos para la
gestión de riesgs y la rnsión de la orga nización

Misión: L.¡j misIÓn es la r3 z6 n para que e~lsta la emp-esa Esto es lo que justdica que la organIZaCIÓn haga
lo que hace Por ejemp;o la mISión de una organización puede ser ofrecer a sus clientes el mejor valo r en
térrT\ll"O'JG de motoll<l rio. superar el cáncer o l abrica r vehicUos de motor económiCOS
Impl/CaI1Cl<IS ~ra la gestión da riesgos. L.¡j seguridad de la InlormaclÓn tiene como O~ellVO a~ya r a la
orgal1ll'aci6n e n ~ cLmpl imenlo de su I11ISIOO de proteger sus ac:livos de Inlormaci6n La segundad de la
informaCIÓn ~ r lo tanlo debe esta r a llrll'aoo co n la mISIÓn corporatrva

Valo res : Los va lores son las creencIas IlI'ldamentales y ruraderas que son compartldas por los miemtros
de una organi¡:aClÓll y que Inltuyen en el com~rtamJento de los Indrvlduos Impl'ocanc las pe ra la gestJ6n de
riesgos Los valores de la organ.¡:ació n inlluyen en las decISIOnes tornadas por los proleSlOna les e n la
gestión de riesgos de la T I Por ejemplo, los valores pueden Inllui r las prioridades y las poIlticas en
materia de evaluaci6n de riesgos

,-
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓIl de los objetivos de seguridad de I~
informacIÓn

Objetivos : El objetr.o es el res-.uado que la o rgaruacl6n dese~ ~1c3n;z~ r Estos objetIVos suelen
ser claros y c ua riificados y con plazos (5% de aumento en la cuota de mercado en 24 meses,
a..nerno de 20 000000 dólares en ventas en Francia 12 meses .)
ImpllCaf1:Jas para la g6'Stión de nesgas En cuanto a la estrateg~ , la gestión de nesg:;>s debe
conocer y estar ahneada con los objetIVOS de negocIO pa ra alcanzar sus ObjetIVOS mediante la
ldenbfiCaclÓn de riesgos de la informaci6rl que la orgar.zaci6rl debe ma nejar

Estrategias: La estrategia consiste en la deflOiCi6rl de acciOnes que ocooen en una secuero;l~


lógica para lograr lrIO o mAs objetIVOS
ImpllCaf1:Jas para la gesti&> de nesgoo. La elecdÓll del tratamiento y las accklnes resu ltanles
ta ml:oén depero::lerán de I~ estrategr~ delirJda por la orga niza<:i6n
Secció n 6 Descnpclón de la o rg~ruad6n y clanfiCaclÓn de los objetivos de segu idad de I~
información

1.2.2. Análisis del Entorno Externo

Consejos Practicos
• u ISO 27QO!1 no oIrO<>!l enfoque.
prl<1>CO$ ""ro .n.~" """1<1><10
<le LInO orvanizaci(>n

• E.Io .......... mo!OCloli>gllK ""ro


..,_ como fLJn<:iona " fIO
Ofgo"'-
c:or~nle
• Lo _ _es i<len\illcllr
de.,.. _ ~.

_ n ~1H in...,.,... I . ""'moa


"'" inll<Iyen en ta lI"' ion de
riotogos: misiOn, a d - .
pmc;p.1M. orvanilaciOn interna
p&<IK O1l&reoada$, el<...

Hay V~rJ()S modelos que se han desarrollado para an~llZa r y com>yender el conte~to estratégico de una
org¡IllIZac lón Tenga en cueria que este paso no se corl\l lerta en lI:1 proyecto en si m slTIO , En la mayorla
de las organizacIOneS, se ha n rea lIZado estudios de 10fTTI¡j inlema o mediante la consulta a las empresas
soto"e su posiciorJarTllerto eSlratéglCO Deberla se r S\J'iClente reooger sólo estos estudios, analizarlos, V
entrevistar a algunas personas claves pa ra garantizar una adecuada comprensión de la organización

Se debe prestar especial "tellCión " la identifICación y análisis de ~rnefl"zas conocidas y los
requisitos de segurld3d e~tern3 relaclon 3dos con e l sector Industrial d e la o rganización. Adem~s,
lI:1 aná lisIs de la comerc iallZa<:ió n p:xJ ria llevarse a ca bo para verificar SI la Implementación de lI:1 SGS I va
a generar una ventaja com~m"'a para la organlZaci6n o SI >"Rde corrvertlr~e en una CondicIÓn del
mercado pa ra ¡:erma necer en el negocIO Por ejemplo, \ili rias organizaciones esta n considerando oo licita r
cen~ iCación de la ISO 27001 de sus proveedores de seMeIOS de T I

,-
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓIl de los objetivos de seguidad de I~
informaclÓll

Aquf hay algunos rrodelos LJili2:ados Irecuelllemente

1. An;!Ollsls FOOA (Fortalezas, Oportllnld3des , Oebllldades, Amenazas) : Este modelO es para


hacer un diagnóstico de la organización mediante el aM lis is de sus forta lezas, DIXIrturidades,
debilidades ~ amenazas a fin de rormu lar OpcIOneS de poI ltica Y determ ina r s i la organozaclÓll
debe inverllr sus recursos. Las prir.:ipa les pregulllas que hacer en un analisis FOOA son
A. Fortalezas:
¿0Jé ~eriaJas tiene Sil organozaciórl?
¿0Jé puede su empresa hacer mejOr que nadie?
¿En qlJé recursos ca rader lstic05 o de baj o coste puede basarse que otros no pueden?
¿Qué ve la gerie en Sil mercado corro fortalezas de su empresa?
¿CiuélaC1Ores slQnifican gue"se consIguió la venta''?
¿C~ I es la ProposiclÓll Única de Venta de su organizaclÓll (USP)?

B. Debilidades:
¿Giur'! se podría mejorar?
¿Qué se deter la ev itar?
¿Qué ve la gente en Sil mercado corro debil idades?
¿Qué faC10 res le hacen perder ventas?

C.Oportunld3des:
¿0Jé buenas op:lItunrdades puede ven
¿Qué tendencias interesantes conxe usted?

O. Amenazas :
¿Qué obst;!oculos ertreria?
¿Qué estAn hacrendo sus competloores?
¿Estan cambiando las normas de ca lidad o especlfrcaclOnes pa ra s u trabajo, o productos
o servicios?
¿Esta la tecrologla de cambro amenazando s u posició n?
¿Usted llene un ma l créd ito o problemas de Rujo de efectrvo?
¿Podria a lguna de sus debilidades amenazar ser iamerie su negocio?

2. Amms ls PEST (Po litko , Ec0ll6 mlco, Social, Tecno I6glco): El AMIisIS PEST permite a la
organizacr6n ana hzar las lue rzas y las oportunidades del mercado clasificadas en cuatro areas
poIltrca. económica socia l, ~ tecnol6g\Ca. Algunos arJ.ores ha n al"ladído otras dos categor1as
legal ~ medioa rrt>iellla l
Forta lezas : Garacterlsltcas de la empresa, o de un eqJipo de proyecto que le dan lI1a
velllaja sobre los demas
Oebllldades (o lImi tac iones ): Son ca racte rTsticas que colocan al eqUIpo en lJI1a posICión de
desventaja con respecto a otros_
Opo rtllnldades : Op:xtunrdades externas pa ra metorar el rendimrento (p_ ej. ,lOgra r mayores
beneficios) en e l eriomo
Amenazas: E\emelllos exterro5 en e l entorno, que podrlan causa r problema5 para la
empresa o proyecto

3. Análisis de las Cinco FlIerzas : Este ert~ue consISte en modelar el entorno compet itivo de
las empresas en lorma de cinco lactore5 que rnnuven las acciones dentro de una indu5tría. Estas
cinco fuerzas consISten en la intensidad de la rivaliclad entre los competidores. el poder de
negoclaclÓll de los c lientes, la amenaza de competrdores potenciales en el mercado. el poder de
negocIación de los proveeólres, las amenazas de los proo..rC1OS alternatM:ls_

'"
Sección 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguidad de I~
informacIÓn

1.2.3. Análisis del Entorno Interno


Estructura organizativa 'i actores claves
Comprender la estructura y
los prinCipaleS actores de ~
organización relacionados
con el ámbito dt! aplicaci60
en los planos:
(JEstratégico (¿ Ouién
est~blece las
orientaciones
eSlfalégicas?)
(JGobierno (¿Quién
coordina y gestiona las
operaciones?)
(JOperacional (¿Quién
participa e n las
actividades de producción
_ _ ,t....~ L-

"'''
Al ~ n abz~ r el entorno Interr1O, es necesarIO tóentili<;ar las eslIuctlxas que componen los dls~ n tos 6rganos y
las relaclOI"Ies erire ellos Oera rqu ica y functona l). Estos ireluve n la separaclÓll de funco:)l1es,
resp:lf1sabllid ~des, aLAondad y comoflCaClÓn dentro de la orgarozacl6n que deben ser estLdladas Se
deben también identifica r las flTCiones elctefTlil liradas a los subcontratlstas
la estructura de la Organi2aClOO puede ser de diferentes tipos

1 la estructura dMslOnal cada división se ereuentra ooJO la ~ utoridad de lJIl arector de la div isión
resp::lf'Isable de las decisiones estratégicas, adm ifllstratrvas y operat ivas dentro de esta u,."dad
2 la estfl.ctura furelOna l la autondad fuo::iona l ejercida sobre los pro::ed imientos, la natlJlaleza de l
trabajo y a veces las deciSIOnes o la pla nlfH;a<:lÓn (por ejem>*:> produo::i6n, tecroog la de la
iIlformaClÓll, recul'S06 humaoos markeung .. )

Notas :
Una dIVISIÓn dentro de la estn,.;t...-a dlvlslOI1al de la organtZaci6n puede ser organizada e n IlTClOfJeS, y
YlCeversa .
Decimos que una organización llene una estrudlJla matriCia l 00rde toda la organización est.'J basada
en los dos llpos de estru::tur~.
Cua lqUler3 que sea la esl n.dura, se distinguen los s'gLllentes riveles
1 El ooel de dec isión (responsable de la polltica y las estrategias)
2 EI ...... eI de dlfecclÓn (responsaDte de las actMdades de coord inación y de gestión)
3 Et ...... eI operativo (res>'Jnsable de las actividades de p--oduooi6n Y apoyo)

El organtgrama es una herramienta excelente para llega r a entender el arntlie me intemo Muestra ,
rnedanle lJIl esquema, la estructura de la orgaruaclÓll Esta representacIÓn m.Jestra no sólo los vlnculos
de s ubordinaCIÓn y delegació n de autoridad, Sino también depeooencias Irduso s i el grafico rroJe!Itra que
no ex~te una aLJIondad lorm~ I , bas<!mdor>:$ en los v lncl..los, se pueden deduc ir los I IUJos de iriormaclÓf\

,- '"
Secció n 6 Descnpci6n de la o rg~ruadón y clanfiCaclÓll de los objetivos de seguidad de I~
informacIÓn

1.2.4. Identificación de los Principales


Procesos y Actividades

Ofertas de Productos y
I Sel'\licios
Inform~ción de 10$ (,Cuáles son los brenes y
activos servicIos producidos por la
organización?
¿ CUéles;_,.¡.o;.".~.:;,;,.~
aCllvos de ¡,
Prcx:esos de
cla ve de la
Negocios
organización?
¿Cuáles son los
procesos claves que
permiten a la
organi;!aclón cumplir
con su misión?
Not.: En esto etapa, "" es nece5llrJO completar en IIU totalklad el ma¡¡a eje los procesos.
pero si. solamente. esUlI>Iece<...,. ~SUl ¡¡eneml de .......

"'''
Es esencl~1 para el di recto r de l proye<:to SGS I conocer la gama de productos y sefViClOS de la
org¡Irnzac lÓIl. De hecho, el upo de bienes y servICIOS producidos por la orgarozsción tendrá un gran
ImpactO en su modelo de nego;:: lO y rorro la orgarozaclÓrl lleva a caoo sus negOCIOS Además, los
prod<.lOlos y seMcios puede n permitir que la orga nizaCIÓn pueda esta r expuesta a riesgos especiales, tales
oomo 105 riesgos ambienta les o el et"!ulCl3m iento

También es esencial para el d"ecto r del proyecto SGS I e ntender 105 procesos de negocio de la
orgal1lZac i6n porque es la rea lizacI6n del proceso que exp:>ne a la organ izacIÓn a tkJmerosos riesgos de
seguidad de ir10rmaóón El ~to r de riesgos deberla analiza r y comprender la nahsa leza de eSlOS
procesos y deterrnma r los rJeSgOs d"ectos e indirectos a los que está expuesta la orgaruación du-a nte I<.ls
operscoones tal corno se hIZO dutarte el aná lis is de riesgos.

La idenlfficadón de los activos de información de la orgaruaci6n es cr""a l en el desarrollo de un


SGSI. De !"lecho, los enloroos de gestión técnica cada ~ez m"'s comptejos tienden a hacer más y mas
d ificil protege r los activos que están en constante evolliCión, pues se combinan oon otros actNos para
forma r nuevos a<:tivos Por lo tanto, el dlre<:tor del proyecto SGSI debe prestar especial a t~6n a
ldert ificar de forma IneqJivoca los duer'oos de los actIVos.
Ped ir a los proptetarios comprender, consistenteroonte y Sin amblgJedades los oontomos de los actIVOS
de los que son responsat:les,
Defirir pata cada actrvo un c:or"!unto c:ompleto de requs itos relacionados con la seglSldad.
Descnbi r de forma tnequlvoca dónde se alma cenan los OICtivOS, se trasladan y se utiliza n (ya sea de
manera fl&lOa o lóg ica) ,
Determ ina r e l valor que la organización concede a los actIVOS evaluados. Ese ~alor puede ser a~lJIO
(por ejemplo, un pre<:1o de c:ompra o suSlnliClÓrl) o re twvo (costo di recto o ~ lfectO causado por la
pérd ida de este actIVO)

.- '"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguidad de I~
informacIÓn

1.2.5. Identificación de la Infraestructura

Categoria I OefiniClón I EJemptos

P8f~ conectar ftSlC8m<ffit..


t "" ..., ."tema ""

Sitios

A pesa r de que la ram ilia de nom1~S ISO 270C10 se refiere ~ la pr01eoclÓ n de todos los actl\lOS de
Irtormac .... n, y no sólo a los relacIOnados con tecnologlas de la información, e l directo r del ~yecto SGSl
debe enlerder el ,""oceso y I~ inlraestn.1Ct1Sa de TI de la organlzacKm debido a que estos procesos Juegan
lSl pa pel vital en el p¡ocesarruerrto, translerer,:;13 y ma ntenimiento de la irtolTTlaclOn orgarlZaciorJ<I l

En la norm3 ISO27005, I~ inlraestnxlu'a de TI pertenece a la categorla de los activos de apoyo en el


Ane~o B 1 2, las su o.categorlas se derioen para cad! catego ría de activos con ejemplos Dl.rante el
5egurm d la de la capacitaCión, veremos con más deta lle lo que es la ideri ilicacloo y aMl i si~ de los
riesgos asociados a los activos

,-
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓIl de los objetivos de seguidad de I~
informacIÓn

1.2.6. Identificación y Análisis de las


Partes Interesadas

AWo<>ista.

La norma ISO 27001 ~ merliJOO pI~rrte~ el tema de I~s p3rtes Interesadas, que en este conteKlo
deoota I3s p3rtes interesad3s, tanto Intern~s como eKlemas de I~ org~riz~clÓll con inlereses en el
proceso de gestión de seguridad de la ",rorma<;1Ón
La norm~ ISO :27001 estal>lece tambu~n ql.le el SGSI tiene por objeto ga rantIZar la selección de
controles de seguridad ~prop~dos Y prop:HQona~ para proteger los ~ctr'>Ioo Y dar comanza ~ I~s
p3rtes Interesadas

Nota sobre 101 terminologlil: La ISO :27005 también ubliza el lérmll".'J "lnteres~dos" sin m~\lces
AIg.nos e~pertos las definen corro """" SIJb..c~tego rl~ de las p3rtes Interesadas lo5 ir1eresados so n
los que toman la accIÓn di recta en relaCIÓ n con el SGS I (tales corro e~ados, clientes o
plOI/eedores) Los medios de comufllCa<:lÓ n o los legisladores 0010 serian partes intereS<ldas, ya que
no suelen traOOjar directamente relacionados con el SGS I

Oefinidonfi
LB pBrta interesada; persona o grupo que tenga 111 ¡ntetés en el desempe!b o el eXlto da una
agooiZOOlÓfl EJemplo- los ciJenles, prop¡eIarios, persmas de lT1<I OIga~z~á> , prwearJ:;ros,
banqueros SIndicatOS, sa:;/OS o la sa:;iedad
Nela Un grufX,l puede ccmpren1er una organizacIÓn, lXla de sus partes O más de lXlóI OIganlzocJón
Refe,-ent:Ja ISO 9000 cláu.sw 3. 3, ?

eliema; <7gilfllzaa&1 o persOfIa que recibe 1.81 prodv;:1o EJemplO- COflSIJTlIdor el_re USuariO final
mlOCJnsta, bena(¡';,ano y ccm¡xador
Nela. el clieflle {)!.Jede se\' Ifllamo o extamo a la OIga~zOClÓn
Refe,-ert:Ja ISO 9000. cláusula 3.3. 5

Proveedor; <7ganizaclÓfl o pen;Ofla que proporcKXla un producto EJefT'plo prrx!IXtOf distnol.lldOf


mlnOOsta O ven1<ldor de 1.81 prodv;:lo, el proveedor de 1.81 servICIO O ,nformacKr1
Nela 1 el proveedor puOOe S« mlerro O al /amo a la <7ganizaclÓfl
Nela 2: en lT1<I siluoolÓn conIraclual, un prQ./eedor a voces se llama un 'contratista"
Referfn:Ja ISO 9000_cláusula 3.3.6

,- ",
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguridad de I~
informacIÓn

Identificación y Análisis de las Partes


Interesadas
Ami lisis de sus necesidades y expectativas

1, Idontlflctr las
necesIdades y
expectatIvas

~a s
_.,
• kIerTIil'lca< las

<le toda5 la.


........ Ilz.ar laS necesidades
de segu<ldad y conlilmAr
"'r~ala.
• Deflror k:> que se ~a
<le las diferl¡rnes parle.
interesadas "" el
pa nes inlere.a<!as preocupaáooes <le la proyedo; las Iunáones.
orll"rMZaciOo1 "" _ las r espOl1~y
• Las " " " " ' _ y
1osr<_<Ie
e;<peaalivas puotden ser ~" par!IciJl""';" que se
Irn¡¡llcitaa o explicitas • Se pueIIIIl1acer
~e el ,,"vio de un necesita
• c¡empblatasallll
disponillolidad 0eI se<Vicio """.!ÍOII&IiO.realizar.:lo • E5tab1ecer un consenso
delOO,S% ""t,e"tstas o Iac:ilitar con ellos durante la
'""'¡JOS rl6 fN>Ior¡UfJ etapa l1li planificación l1li
&ti ~rtidPaCiOn

"'''
En una pnmera etapa. el eqUl¡;O del ,,"oyec\o SGSI debe ldemd lca r todas las partes Interesadas y sus
requ isitos y expectatIVas sobre seguridad de la Inlormaci"Jn Es im¡xescindible identificar a las partes
Interesadas para que pued¡ln onvolocrarse e n ell-"'"oceso de e\l3luación de riesgos y la omplement~cl6n del
SGSI Un requlsl\o pod rl a ser que cualqUier violaclÓll a la segosidad de la WlIormaclÓll no oar"il luga r a
dificultades r.naro:::ieras y/o Il:) afectara a la organizaclÓll. La expectatIVa podr la ser que SI ocurre lJI1
Incidente grave, por ejempkJ , <..ll falkl del sIStema informatice, suficlemes peroonas está n capacnadas en
¡:rocedimlentos ~decuados para redu:lr el ImpactO de este incidente y reSl~ura r rápodamente los sef\llClOs

En UIl segundo paso, el equopo del proyecto SGSI debe areiza r las necesidades de seguridad de las
partes onteresadas y confirma r que la orgaruación responde a sus PfeocupaC lones Est~ a<:tividad se
PJE!de hacer medla nte el el"l'V lo de un cuestoona rio, ent rev istas o Ia<: ilitando gru¡x>S de enloque Tamt:iérJ
hay que tener en cuenta los acuerdos de servICIOS ce lebrados y ana lizar los reqUsltos de segundad,
expllc<ta o I mpllcn~ , que contienen

En <..ll tercer peso, el equIPO del ¡:myecto SGSI debe deli"" kl que se espera de los dderentes actores
dentro de las funciones del proyecto, las responsat:ihdades y nrveles de partiCipacIÓn requeridos Se
deber la llegar a un consenso SODre :su particlpaci6l1 con las partes interesadas durante la fase de
planWca<;ión

Debemos prever e l toerrpo requerido en el proyecto para apc1jo de los gru¡x>S de irterés en sus tareas
asignadas (res¡;ondlerdo a las pregunta\>, I ~ conso lidacIÓn de kls Iflformes, la ,,"eserrtación de la m¡¡rdla
del proyecto, etc ),

"'ota importante: Uo organIZación tiene lo obligacIÓn de Informa r a todos los Interesados las aooones y
meJOras relacoonadas con la segundad de la InformacIÓn que podrlan tener UIl Impacto sobre el kls con el
rivel de deta lle adecuado a las clfCunstaro:::las El tema sera arordado en e l apartado de capacnación,
coro:::lenc laClÓn y comUllocación (Oia 3 de la capee ilacIÓn). (ver ISO 27001, CI~usula 7 2·7 4)

,- '"
Secció n 6 Descnpci6n de la org~ruad6" y clanfiCaclÓll de los objetivos de segu idad de I~
informaclÓll

Partes Interesadas
Influencia Posittva y Negaltva

-
• " ' ........ OOSlpoooú_..,,_
._
• Los """ .. _ .. <101 SGSl
"'_00 .... ....,....00
_<IO n

-~''-----'''-''''-'
_ _ '''''''''''"'''-
"" _ _ _ ... 0CJI<a<>:\n <101 SGCN

Es recesano torna r en cuen!a las necesidades y expectativas de las pa rtes Inte resadaS para una
IITlplementaclÓll exItosa dej proyecto SGS I Sus necesidades y expectatlYas deben ser plenamente
ccmpreo:Hdas para ga rantizar que los prooesos y controleti de seg¡.Jfldad son los adecuados a estas
necesidades. Poderros cl<!SlflCar las partes interesadas en dos categorlas aquellos que apoya n el
provecto y los que se oponen a éi

Las partes interesadas p:lsü",as ayuda n a l SGSI a tener éxito porque Sirve a sus intereses
Por ejemplo, el C IO de una OrganizaCIÓn poala OOflSlderar rorro un hech;) pos iti\o'O que el SGSI traerá
rr.Jevas dimensiones de acción pa ra el eqwp:;l de gestió n para eva luar los IflCIdentes de seguidad de una
fTliInera más detallada que antes, dentro de un fT13rco de gestión estanda rizado, con ellin de mejOrar 13

=
ootiflCólción a la direcci6 n
Estrategia actIVa participación como actor

Pa ra las partes Inleresadas neg3liYas, la lógica negatIVa obstaculiza ra el buen clesarrolo de l proyecto y
tra tar.! de descamtarlo
Por e¡emplo, el ¡ele de un departamento encargado de gestIOnar los derechos de acceso de los usuaoos
no estarla contento de ver que se están creando controles de segurida d adiciona les, ya que podrlan
socavar la eficacIa de su equipO pa ra conceder deredlos de acceso allempo o porque pod ri an provoca r el
aumento de las ho ras e)(ffilS de su eqlJIp:l, lo que es difiCI l de ir.-;:orporar e n el trabajO dlaflO
Estt3tegia = contactarlo sobre los ObjeW06, destaca r e!lllIerés de la organización, negocIa r compromisos
o neutral iza r su InfluencIa corro Ulti mo rec...-so

,- '"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguridad de I~
informacIÓn

Otros e jemplos p?S~IVos


El di rector finarcJero Cre(' que el SGSI es lila buena herrafTllent~ parn e\l3 luar el ""Ior
(muso relativo) de los actMJS I ~arlfllbles de la organizaci6rl ,
El ge reme de ca lidad esttl mol/Vado por el hechQ de que el cumplimiento de lo norma ISO
27001 ayudará a reactiva r el proceso de gesbón de ca lidad que se habla deso;u ldado un ?Xo
desde la .. tima certifICaCIÓn ISO 9<Xl1 La comblnaclÓll de ambas normas también parece ser
una toe"" op:;lÓn para el desarrollo econ6mco de bl.lenas prácticas a "",el mterro;
Los cliemes de la empresa percibe n el cumpl imierto de la rorma ISO 27001 como "'" meJor

,ro.
gararila de que sus dalOS personales serán rms efectrvamenle protegidos p:¡r el proveedor;

siente al SGSI como un vector de cierta pesadez. un cierto impa<:to


en el l unclO""mlCnto elica¡ de su departamento,
El jefe de seguridad física (gestionado por una empresa f!)(tema) recibe el SGSI como un
elemento perturbador en su l unclÓll \'3 que el slste"", SGSI distribuye las lurclOrJes y
responsabi lidades más delaladamente que ames y que le pa rece va a reduci r la carga de
Irataj o,
Los técnicos de mantenmíento se resisten a apl icar conlroles de seguridad para el control
aulomatI¡aOO de los servidores, porque temen que eSlO genere el segUmiento de las

,ro.
pérdidas de rendimiento en máqulOas de produccIÓn,

Una posible forma de hacer frente a las act itudes negatIVas en relaclÓll con el establec imerio
del SGSI puede ser la de f"I'JfTIt>r3 r un " Paladín del SGSt" Esta persa"" , genera lmente un
mlCfTlb.-o del equipo Ilder o una peroona con resp:>nSabllidades suficientemente altas en la
orgarizaclón , pcxi'la desempefla r el papel del "caba Dero tOanco" protector del proyecto SGSI y
garant iudor de su é ~ no

Esta persona se s~ e~oro:::es, que encarna la volultad de la gest ión para liderar la
ImPementaclÓll del sistema Como ta l, uene Peros ~eres y aLAoridad deiegada a él para
apoya r y p¡l ra ayu:la r a 1"", lIzar el pro~o, En contraste ron el pape l de protector, a veces
desarrollamos lila especie de " antH~ampeón" o "1lder negativo· que ~mboliza los intereses en
oonflk;to para rea lIZa r el proyecto, por cualqUiera sea la razón El papel de pa ladln por lo tar10,
es muy iJ\~ para 1ud1~r contra las acclOfleS host iles contra el proyecto que pod rl ~ n prOlleOlf de
partes interesadas negatIVas representadas por uno o mas lideres

,- '"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓIl de los objetivos de seguidad de I~
informacIÓn

1.2.7. Identificación y Análisis de los


Requisitos del Negocio

-_
Legal y
RegulllMio
'_,._"",1>0_
--
_ "'1ol'fI'O 1
.

Mercado

__
PollliclS Internas

....
...-~­
........, . . -.
.... ...
_,,"0lI<0, _
~,,_

""
La Org<l.-.zaCIÓrl debe tere r en cuert~ las rJeCesldades del negcx:1O y los requsilos lega les o
reglamelll800s, y las ODIigaClooeS cOIlIractua les de segLJ'Klad que se acordaron con las dist irtas
partes Interesadas Pa ra ello, debeíros ident ificar y toma r en cuenta toOOs los requ isitos rel<l UVlJs a la
organizacIÓn que ,wr1an lnllui r en la oo entació n p¡l ra el manejo de la segLridad de la IrlormaclÓrl
Por úlUmo, ellos debe n ir.:::lui rse en el proceso de eva lua ción de riesgos mediante el aM lis~ de los
nesgos de incl.mpl imlento

Cabe sel'la lar que pa ra la idemifieaci6r1 y ané l,sis de los requisitos legales y cont ra cruales, es
necesario Involucra r a los asesores- jlS íd icos o a~ cal~,cados en el campo Un e~perto en
segundad de la ,nlormación 00 es por lo genera l la p" rsona ,ro 'eada , p:> r ejemplo para anahzar los
irn¡::j lCaroas de las leyes de segu ridad

,-
Secció n 6 Descnpclón de la o rg~ruad6n y clanfiCaclÓn de los objetivos de seguidad de I~
información

Los requn>itos de seglSldad pBril todas I~s organizaciones, pequer'las O grande\;, se derIVa n
priCl:Ip¡j lmente de cuatro fuentes

1. Leyes y Aeg l~ me"'os: ver las dlaposrtlVas s igUIentes

2. Normas: Las organizacIOnes deben CUl1¡jir con una sene de normas ln!emaclOnales y
c6digos de ,.-ácuC<ls relaCIOnadas con el sector de la Industna que ha n II"I1pIementado de
fOrrTl<I volUlltaria A pesar de ql.le la adhesión pBril ap'ica r los marcos de reglament3ClOn es
una e lección voluntaria, desde ~ purto de vISta de la &egLWidad de la Inlormacl6n, se
convierten en obhgaciones p¡jril cumpl ir (COfl er riesgo de perder su cert ificacIÓn en C<lSO de
lIlCumptlrmento grave)

3. Mercado: Los reqUlSrtos de l mercado Inc luye n todas las obhgaclOnes conlractwles que la
organizacIÓn ha fi rmado oo n sus grupos de Interés El lnCumphrfoien!o de las obI¡gaclOrles
cortraclua les puede da r lugar a sanciones (c ua ndo se lreluyen en los contratos) o
demandas CivileS por daf'los y perjlkioo Además, las e~igenc ias de l me rcado son todas las
reglas 1mp!K: itas que una orgari.:aclÓn debe cl.mphr p¡jril hace r rlegoclOS Por ejemplo
au:-que la orgarizaclÓn no llene la obligación cortractua l de entregar sus productos de
acuerdo a la planf\cacl6n, ro hace l alta dec", que se tr ata de una oose de pollt ica comercia l
cumpl ir con los plazos de eri rega programados

4. Potlticas ¡ntem as: Las poI looas mtemas iCl:luye n 1Or±>s los reqo.i1>itos definidos en el seno
de la organIZaCIÓn las poIlticas internas (recursos hl.lfNlnos, la segLWidad de la nformaclÓn,
cadena de slXTli nistro, etc) los códigos de éllca, norm as de trabajo, etc . En el caso de fallo,
poxIernos considerar que se trata de violacIOneS de las poI lbcas internas sin necesariamente
la part i<: ipaclÓn de consideraCIones legales.
Secció n 6 Descnpclón de la o rg~ruad6n y clanfiCaclÓn de los objetivos de seguidad de I~
información

Cumplimiento de los Requisitos Legales


• La organización debe cumplif
con las leyes y reglamentos
aplicables La ISO 27001
puede ser utilizada
• En la mayorfa de los pafses,
para cumplir con
la aplicación de una norma varias leyes y
ISO es una decisión regulaciones
voluntaria de la organización .
no una condición jurídica

• En lodos los casos, las leyes


tienen precedencia sobre las
normas

"'''
ISO 27002

IMPORTANTE _ Esra publK;aC1&! no pretende 1rl;IUJr todas las dJsfXJSICJOneS nooesanas paro un contrato
Los U5W1lOS sal responsables de su aplo;;acÓl en las oondJcJOfflOS adecuadas El cumpllmienlo de LXl
as (~ndar ISOAEC 110 ola¡¡a una exooción a la satisfacción de las ooligacion65 /legales

ISO 27002, dominio 18 _ Cumpllmlen!o

18.1 ; El cumplimiento do 10$ requisitO$legales y contnoctuales


ObJetivo: EVJ1ar al incumplimientos de las leyas o ele las oollgaciorres legaJ8s, /6f}1amen/anas o
I.XXtraduales y de los r~wsitoo de seguridad de la irioonacÓl

18.1.1Identlffcac/6n de la normativa aplicable y requIsitos contractlUJles


Control; TOOos los reqUlSJtos perimen/es leqales reg!amen/i.IfI05, OO'll1acliJaIes y el enfoque de la
crganizacJÓfl para cumplir con es/os reqUISitOS deben ser expl/cJlamente JdenlJficados da;umen/ados, y
manlerOOos aclualizabs para cada sislema de IlYamación y la aganización.

Guia do implemontadÓfl: Los callroles espoclficos y las responsabilidades Indhlldua/es para cl.#Tlpl" C<Xl
asros requisitos deberlan 58f de/ir«Jo:o; Y documenta6:Js
Los OOm"."stra:kxes deberlan ldentrficar looas las leys<s ap¡'cables a su organización a fin ele cumplf con
los reqlJsif05 para su hpo de ~IO Sr la crganilacÓl roaIil<l negocIOS en aros paIses, los
admmislraooras elebeflan COIJSJderar el cumplrmielllD en /I:xbs Jos paises en CtJaSlÓl

,- '"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCación de los objetivos de seguridad de I~
información

Aspectos Legales
Principales temas a ser monitoreados

Protección de Datos I
Privacidad I
Delitos Informáticos

Firma Digital
J
Propiedad Intelectual I
Pagos Electrónicos

Gestión de Registros

"'''
Es generalmeme deseat>le ~ el experto en seguridad de la Información tr~baJe con ~sesores legales
para ldertlfiCa r los temas para ana lIZa r y explica r los problemas de segundad implicados Por O!JeIl1p1o, se
debe expl icar al ab:>gado lrJ\tolu::rado en este arlá hsls, el m:xJo de r...,Clonamoento de la red de
seguimiento, de modo que ~ eva lua r mejor si se -.1ola ISla ley de pr",acidad o cualq~er regu aclÓn
Irterna de la organización
Por otra parte, las n uevas leyes relacionadas con Cl)l'l;t ~s de pm.actd<ld, las oblogaciones financieras y
gobierno corporativo requie ren hacer un segull'lliento de su Infraestructura de T I más ágol y eficaz que
artes Va nas orgaraaaones públicas y prt~adas que se ocup'ln de estas empresas tiene n la obligación de
garantIZar un rivel mlnimo de segu rtd<ld. A falta de una segLSklad proadiva, los ejecutivos de negocIOS
pueden estar ex ~t os a demandas- judicia les (en materia c",~ o Inc luoo a ~eces pena l) por
mcumpl imierto de sus responsabi li dades fKluciarias y legales En las grandes empresas, la sohcitud de
asesoramiento JLSldico,...ede centrarse en

1. Pro tección de Datos


En los pa ises donde ex~ten leyes espec ificas que c<.bren la protección de la confidencialidad e Integridad
de datC6, a menudo se li mita BI control de los datos persona les De la mIsma manera que los incK:lentes de
seguridad deben estar relacionados con los IOdivldoos ~ los causan, la Información pe rsona l también
debe est<l r sujela a la gestión Y el reg¡stro adecuado Un enfoque estn.c turado pa ra la gesu6n de
Incidentes re lootonados con la seguidad de la in'ormOOIÓfl, por tanto, gesllOI1a las medidas más
adecuadas para protege r la privacldad

2. Respeto d e la pri vacidad


En cc.mpli moento con las leyes, ml.d"las organizaciones opta n por esta~ecer c.na poIih:::a para la potecclÓll
de lB privacKlad, a meflJdo d'sel'laoo para alcanzar los sigUIentes objetrvos
· Aumenta r la conclencoa de tos revtsnos reg lamenta rios lega les y de negocIOs con respecto ~ I
tratamiento y protección de datos personales,
· Estabiecer una poI lbca e mpresa ria l clara y comp!tlta pa ra e l tratamoento de datos pe rSOl13Ies;
· Estatlecer la responsabi lidad de todas las personas que trata n con datos perso na les, y;

,- '"
· Perm ltu- a la orga nizacIÓn oomplir su responsablhdad comerCial, obhgaciones legales y
reglamentarias en materia de ,rtormaci6n persona l
Secció n 6 Descnpci6n de la org~ruad6" y clanfiCación de los objetivos de seguidad de I~
información

3. La identifICación y el enjuiciamiento de los delitos inforrrn\ticos


la ciber deli neuercla represenlil una amenaza sgn ificauva a uavk de Internet para los sistemas
de lr10rmación de una organtzación El dal'lo puede ser muy graroe, ~ puede resullilr en
pérdidas flOaooeras directas, I~ pé rdid~ de repl..laci6 n o t iem~ perdido para la orgaruaci6 n
Tiene muchas caras y no conoce rronter as. EJ ca~cter genético e lneslilble requiere a la cabeZ2!
de la orgarUación (con caSi cua lqu ier estructura que esta conectada a lJIla red externa) tener la
corc lencta necesaria ~ ha ber ~plicado las contramedídas adecuadas en C\..fflpl lmento con las
leyes aplicables Aseguarse de que la reCOleCCión de pruebas respeta la legislación Las
medidas de protección 00 pueden ser de litos (po r ejert'{llo, responde r a los mensajes spam con
coriramedidas tales como lJIl ataque de desbord~mlento de bufler, etc )

4. El uso de ",ma digital


Hoy en dla, la ley reoonoce la va lidez de los acuerdos po r la evldercia como y~ loo el C3SO
basado en las no rmas no obligatorias sobre la fMdercla . lJI elaooraci6rl de estos acuerdos no se
puede hacer 00 imporlil cómo, la redaccIÓn debe ser procedente en relaCIÓn con el contexto en
el que estll , para ser considerada válida en caso de Irttgio En alglJllOS paises, los reg!Str06
electrónicos deben garanl izar la preservación de los "rastros" como prueba de 106
procedimientos de integndad Y segurldad desarrollados sobre la b<!se de rormas reconocidas
pa ra los regtstr06 electrónicos (~r e¡emplo, en Frarcla, la AFNOR NF Z -<:2 ·013 o a nivel más
inte macrona l, la norma ISO 1472 1 para la '1ransfererclll de sistemas y la informaci6n espa cia l ·
Sistema Open Archiva l Information - Modelo de Refereoo a',

5. Pro piedad intelectual


los resultados del esfuerzo mte iectual son a menudo reconocidos en los convenios naciona les e
tnternaciona les como U"l derech::l de propiedad intelectua l para proteger CIenos activ06
irrtangib'es Para las pequel"la S y media nas empresas, el uso eflCoente de la propiedad lIl!electua l
nlmana puede ayudar a competir con empresas mas grandes La propedad intelectua l tiene lJIl
gran potenc ial para las P'( ME en matena de proteccIÓ n JlSldica , tecnolog la de la Inlormacloo y la
ventaja compebtlVa, la meta aquT es re/orza r la posiCIÓn cornpe1~iva de la empresa

6. Comercio y pagos electrónicos


Desde lJIl punto de vista jurid ico, en la mayorla de 106 pa ises es fundamenta l demostrar en el
JUICio que lJ1 cfienle compró el prodL.do o servicio vendió;) po r la empresa . También deberla ser
pos ible convercer a las autoridades fisca les moSlrar en qué perfodo la lransaoclÓn ind iv idua l se
llevó a callo. La gran d iferercia entre el c:omercio eiectr6rnc:o V el c:omerclO por el papel, es el
medio en el que las transacciones se almacenan Con la prueba en papel !Xl cambio f lsico es
ddlc ll , moent ras que un cambio en lJIl archivo electr6nioo es mas fáed Otro aspecto es la
posibilidad de que lJIl competidor pijede o/recer ios mismo!; plOOLX:toS desde lJIl seMdo r situaOO
en un parafso r.sca l Por últi mo cuando lJIl COI1SlXl1Idor compra un prodo:;to en un SitIO web, 00
siempre es fácil determ inar qué legislación nacional se aplica

7. La admlnislraciÓll de registro s está gar3n1lzada


Algunas leyes naCio na les e~tge n a las empresas mantener registros actualizados sob"e SI.lS
actividades pa ra su revlSÍ()n a través de un proceso de aW ltorla anua l RequisItOs SIfTllla res
eKisten a nive l gubernamen1a1 En algunos paises, las organtzaciones están obligadas por ley a
emit ir ta les lflIo rmes o proporcIOna r los regtstros pa ra los efectos lega l~ (p:Jf ejemplo en cada
caso en que podrla ser e l resu ltado de lJIl de lito relacIOnado con la penetracIÓn de lJIl sistema
sensible del Gobteroo)

'"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguridad de I~
informacIÓn

ISO 27001 Y los Marcos Regulatorio s


Ejemplo - Estados Unidos
Ley Sarbanes .QKley (2002)
La Ley Sa rbanes-Ox ley o SOX fue int roducida tras d iferentes escárd<llos financieros revelados
en los Estados UniOOs a pnncip!Os de los al'IOS 2íXXl, como el de Enron o el affaire WotIdCom
T rae cru::la les cambios legislativos re latIVOS a la gestlÓll financiera y admin istrativa de las
empresas para protege r a los aocooslas SOX se basa en e l establec imiento de conlroles
basados en e l marco conceptua l como OOSO (Com ité de OrgarUaciones Patroclt12l00ras de la
T readway), por ejemplo

HIPAA (1996 )
HIPAA (Hea lth Insurance P ona~ ity am Accourtabi lity Act) es 11:101 ley que tiene 1:1Or objeto
proteger la Información personal relallVa B ias acuv!dade1; de la " eh.lStrla de la salud Las normas
establecidas en cuanto 8 la adrntmltraclÓn y las tra nsaccIOnes rll\ancteras, la segundad de la
Información persona l e idert""cadores e)(C llJ5ivos de sa lud (p. ej., rú'nero de aflhación,
rn-ntdicador de enfermedades)

GLBA ( 1999)
La 1~i6n de la Ley Gramm-Leacr..8hley es hacer mas competnl\las a las instrtuciones
finar1Cleras estadolXliden&es. Algunas cl;lJusulas de esta ley obliga n a las instituciones
financteras a asegurar lJI1 nive l mlnllTlO de proteccIÓn de la irlormaclÓn ql.'f! cor-.::terne a sus
clientes y apliCa r controles pa ra protege r la segundad de la irlormaclÓn

Ley Federal de Gestió n de Segurid ad d e la IntOl' maclón (2002)


FISMA (Ieg~Cl6n sotM-e la geStIÓn de seguridad de la InfO<maCl6 n) im¡:one una 5erre de
procesos que deben segwse para cua lquoer sistema de irlormación ul il izado por el Gobierno
Federal Amellcaoo, sus oonlratlstas o pro~eedores

SB 1386 (2002)
La Ley del Senado de Cal~orria 1386 obliga, a las organizac iones que hacen negocIos en
Ca l ~oml3 y que tienen ltlIormaclÓn personal, a Informa r a cualquier reslder1e de Catrroma de
cualquter ~IOIaClón de segl6idad que pueda arecta r a su información personal

HIST 800-63 (2006)


El NIST 800-53 (InsullÍo Naciona l de Est.'indares y Tecnotog la) proporciona directrice~ para
IndUlr a ios Sistemas de informaGIÓn dentro de l goblerro federa l e ligtendo y especifICando
controleti de seg.ndad Estas d~ect nces se aplica n a todas las partes de un sistema de
inrormación que procesa, almacena o transmte irtormaclÓn federa l. Es erruMo por el
Departamento de ComercIO de EEUU.

'"
Secció n 6 Descnpci6n de la o rg~ruadón y clanfiCsclÓIl de los objetivos de seguidad de I~
informacIÓn

ISO 27001 Y los Marcos Regulatorios


Ejemplo. Europa
El Pa~~memo E...-opw y el Consejo E...-opeo han erntido van~s d'rectr>ces reglamen!os y deciSiones
relactonados co n la seg...-idad de la InformacIÓn Estas d,rectrl<:es se basan fuenemente en la
proteccIÓn de los derechos de los c,udadaros-COIlSurllldor es eu'opeos T odas las di rectrices se han
incorporado en las legislaClO,"""s naciona les de los Estados moemlYos

Directriz 95/46IEC
o;rectriz relativa a la protección de las personas respecto al tratamoemo de datos persona les y a la lilYe
c irculacIÓ n de estos datos La presente D1rectnz se aplica a los datos Iratados p:l r medIOS
al.l.ornalizados (por ejem¡::W, una base de datos de c lientes) y los dalos conIeniOOs en o desti nados a
ser parte de un fiChero no automatIZado (fl<:herO& en papel tradiCIOna les)

Directriz 2OO2I58IEC
o;rectriz relatIVa al trata mento de datos personales y a la protecclÓll de la ,nt imidad en el sector de las
comunICaCIOneS e lectrónICas (DirectrIZ sobre privacidad y coFTlUfllCaClOIles electrónicas) La presenle
Di rectrIZ aborda una serie de temas de diferentes grados de sens ibilidad, tales como el mantenimiento
de la co nex,ó n de datos por los Estados m 'embros a efectos de vigo larr; ia potK; 'al (retención de datos) ,
e l erwlo de mensajes electr6n1COS no soIiCI1ados, el uso de c:t:d< les y la n: luso6n de dalos persona tes
e n las gulas públicas

Reglamento (C E) NO4612001
Reglamento relatIVO a la protección de las personas respecto al trata mento de datos persona les p:lr las
inslltuclones comunitarias y los organis=s cornun;tarlos y a la libre circulación de estos datos El texto
Inc lllYe disp:;>SOclones que garantIZa n un rwel elevado de protección de datos persor>ales tratados por
las Inst,tucooneS y órganos oomurutaoos. Tambén prevé la creación de 111 organ'5= de vigilarr;ia
independ iente para Vigilar la ap icaclÓll de estas dispoSICIOnes

Decisió n 921242/CEE
Dec isión relativa a los ataques contra los s istemas de mformacÍÓl1. Los estados miembl'os recorocieron
las deI,mcoones y la apiC<lción de sanciones a varios actos c rlfTlInales : ac<;eso Ilega l a los Sistemas de
informacIÓn. e Introm isión Ilegal en el s istema Intromisión Ilega l en los datos Los ESlados miembros
tendll'i n que prever qL.e ta les del~os sean castigados con sarr;lones pena les efectivas proporCIOnadas
y d'suasonas.

Directriz 19991931EC
La presente Directriz establece e l ma rco JlSidlco a rive l europeo para la fi rma elect córlca y serviCios de
certifocaci6n El oqetIVo es hacer qL.e la firma electr6nlCa sea fk il de ut~izar y ayudarla a ser
reconocida lega lmente en los Estados rnoembros, y ga rantoza r el reconoc imoento trans fronterizo de las
fir mas y los cert ificados de terceros pa ises. La prUle,pal diSposICIÓn de la DirectrIZ establece que <.na
firma eledrór»ca avanzada basada en 111 cert ificado reconocido cumpla los m,SlT'OS requoMos legales
que <.na firma mantJ6Cfita T amboé-n es admis ible como prueba en proced irnentos ¡udiciale5

Directriz 2001f291EC
Esta DIrectriz tiene p:lr oqeto ada¡::tar la legislación SODre derecho de al.l.or y derechos afines a los
avances tecnológiCos y en particUlar a la soc iedad de la tnformaclÓn La o; rectiva se refiere a tres areas
pnncipales . los derechos de reproducción, ooorurICación y distribución

Fue nte: wwweyroooey

,- ",
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguidad de I~
informacIÓn

ISO 27001 Y los Marcos Regulatorios


Ejemplos - Repositorios Internacionales y de la industria

P rinc ipios de la ocoe (2002)


LA OCOE (Or<p nizaclÓll para la Cooperac ió n y el Desarrollo Económco) ha elaborado
dIrectrices relatIVas a 105 sistemas de segundad de la informaclÓ!1 y rede5 basadas en roeve
pm1Clp!OS COOClercla , responsabi lidad, la respuesta, la éti<:a, la democrac ia, la eva luacIÓn de
riesgos, ImplememaaOny aset'lo de segundad. gesllOn de la segu-idad V la re eva luaclÓll.

Estándar de Seguridad de Oatos para la Industria de las Taljetas de Pago (2004)


E l estánda r PC I· DSS (estánda r de seguridad de dalos para la Industria de las ta~etas de pago)
consiste en lXla serie de cont roles técnicos y operatil'Os cuyo oqetivo es proteger a las
Orga nizaCIOneS contra las amenazas de fraude y otros pel'9l"OS re lacIOnados con las tarjetas de
crédrto Esta rorm¡j se apl ica a cwlqUler or<p nlzaclÓn que almace na, procesa o transm ite
U1Iormaci6l1 sobre los tnula res de tarjeta de cré<:f~o

Sasilea 11 (2004)
Seg..nda Comisión de cortrol de la banca, los acuerros de Basdea, que formulan
recomendac.,nes SObre las IegIs lac.,nes y regulacIOnes barca rias. E l objet","o de este comjté es
la creaci6l1 de normas irnemaciona les para la regulación de las instnu<:1QOeS y SlSlemas
bancarios Basílea 11 elabora 10 prircipios en materia de seguridad que aparece n en la norma
ISO 27001, como la identifICación evaluaciórl y gesti6l1 de riesgos, la 8udrtorla irterna o aun el
pla n de emergencia

C081T (1994 +)
Desarro ll ..oo por la ISACA y e l ITG t, COBIT (Objetivos de Cont rot para empresas y lecnologlas
re lacionadas) es lXl marco de referencia para gestIOnar la gobemabdidad de los SIstemas de
Informaci6l1 COBlT provee a los adrmnistradores de tecnología de la información , a los auditores
y a los uSIJ~nos los Indicadores, procesos y mejOres práCtiCas para aYlKi<lrtes a maxlI'Tl izar las
~enta¡as derIVadaS de los recursos de la tecoolog la de la irtormaclÓn V la e laooración del
gobierno y el contro l de Lna empresa

ITIL(1980+)
Promutgada por la crlClM de Comercio Gubernamenta l (OGC) la InformatlO!1 Technolog(
InfrastructlXe Ubrary es un COrljunto de lIstado de obras de las melOres práctICas para la Gesvó n
de Servicios TI (GSTI)
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de segu idad de I~
informacIÓn

1.2.8. Determinación los Objetivos


ISO 27003, cláusula 5.2

Oeterminar los objetivos

I
o
.
M .~

¿~ . I
do la lI"otio.. de
riü~""
SGSI mejow la
¡¡e>1i6n do riosgoo?
o
Gft' lón
.......
-'.e,"'. de la

¿P...,. 01 50SI mejor", la


. . nl."
· ¿Uo~ <Ie
<181

"" SGSI ~
_lo

propoIcionot .. nlaJa
efíeocio do la ¡1"1iO<! ""
oeg.uricII<! de la .,fom1oc1On? oompelilio..?

Los objeul/Os de ~ progr~ma de gestl6I1 de segundild de I~ Inlormact6rt son la e~preslÓn de I ~ IntenclÓll


de la otgaruación pa ra tratar los riesgos tdenlticados ylo para cumpli r con los reqLljMos de seguridad de
la orga nizacIÓn . In O:ialmente, es necesario est~blecer los ol:1ettvos de l SGS I en consulta con las pa rtes
¡¡,jeresadils

Los oqetivos del SGS I so n necesanos para determnar el alcance y deben ser ~a l idados en el nf\Ie l más
alto de la orga niza.:: i6n Los ot:jet",os "",,",,den ser rehnados en et proyecto , soto-e todo deI>,..,és de la
rea lización del an.Johsis de riesgos. Está claro q.Je los ot:jelMlS deben ser formalmenle documenlados

,- n"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCsclÓIl de los objetivos de seguidad de I~
informacIÓn

Determinar los objetivos


Ejemplos
Ejemplos de fo rmulaciones de los objetivos relacionados
con la implementación del SGSI:
~ Velar f>O' '" cump¡imieru" ele las OO/iga<>one5Ieg3le" reg~mentarias y
ccotracWale$ de li (>I'~
DemOSb'..r dili9')noa (IeI)oda (due~)
"" e re .. "" ambiente !le controle. ",ternos
Inspirar contianza en los 1tCtOr... de ~ or~
Validar el cump¡im.enlo de Obngadones 1"\I31ft e5¡leCÓficas, comractuale."
''''9 lamentallu
La p'OIecdón de los &CtiVM cr~ de ~ organización
Estructur .. la gesliOn elica.z de ..... UIIdad ele la 1n1c<maciOn de aaHlfOO a ~s
mejore'~$
"" Mejomt 111 "'''P''"'''tlI B On<:lden! ... de seguridad de la informatión
Re<!ucir los costes ",Iadonados con los inddente. de segundad di! ~
Intom>atión
Fdtar la contirll.oldaddel ~
Velar fMY '" c~ di! la ..... llI'Idad de la Inl"""""",,,, par.! "" prn)'ecto, la
entrega de un serviciCl" producto, ele
"'''
La deterrnnadón de los ob¡euvos deberla tomar en CollSlóeraClÓn_
EvelllOS de nesgo Ilistóncos dentro de la organ izacIÓn,
Actw!es y nue""s exposl(;iCnes al nesgo
Tendencias de problemas operativos e ir.:;ldenles ameriores
Alrnento de los C06tes y las pérdidas de Ingresos derivadas de pos il>les Irlterru¡xiones,
Costos del f'f\ar.:;,am ierrto del nesgo
Pasivos,
las resp:lI1sal>i lidades sociales_
El ~~ltO y el fracaso de otros proyectos y programas segu ridad de la informacIÓn

,- '"
Secció n 6 Descnpci6n de la o rg~ruad6n y clanfiCaclÓll de los objetivos de seguridad de I~
informacIÓn

1.2.9. Definición Preliminar del Al cance


ISO 27003. c lausula 5 3 1
El alc¡mce preliminar del SGSI tiene que incluir:
a) Un resumen de los mandatos para la gestión de seguridad de la
InfO<mación
b) Una descripción de cómo eIIlas á ,ea(s) en el ám bito de aplicación
Inter actua{n) con otros sistemas de gestión:
el Una lista de los objetivos de negocio de la gestión de seguridad de
la Infoo'maci6n
d) Una lista de los procesos Cfilicos de negocio. sistemas . actiyos de
información. estructures organizativas y ubicaciones geograrlCaS a
las que se les aplicará 61 SGSI.
el u. relación de los sistemas de gestión existentes (e,g. ISO 9000)
1) Las caracterlsticas del negocio, la organización, su ubicación, sus
act¡Yos y la tecnologia que utiliza.

Algunos de los temas que deberlan tenerse en eueflkl al toma r las deCISIoneS inida les soIxe el alcance
inc luyen
a ) ¿Cuá les son los mandatos de gesu6n de segUf1dad de la Inlormaclón establecidos por la dirección
de la organzaco6n y tas obligaciones impuestas e><lemamente a la organlZilclÓn?
b) ¿Está la responsabilidad de los sistemas propuestos en ellimbllo de aplicación en poder tle mas
de UI'l eqUipo de gestión (por ejemplo, personas e n diferentes fihales o depa rtamentos diferenle s)?
el ¿Cómo se coml.fllCará n los documemos relacIOnados con el SOS I a través de la orgarUaco6n (por
ejemplo , en papel o a través de la intranet de la empresa)?
d) ¿Pueden tos sIstemas de gestIÓn actuales sostener las necesidades de la orga rizaclÓn? ¿Son
plenamente o perativos, están bien mantenldoG y funciona ndo según lo ¡:reVIsto ?

Pa ra ejecutar el ¡:rovecto de SGSI, deberla ser defiflldl la esm.,ctura de la orga nizaCió n El alcance
lric ial del SOS I deberla definirse en este momento paro ¡:restar asesoramiento a los di rectivos para
que puedan adertar las decISIOnes e¡eC<Jlrvas. U. defirición pre li mina r del alcance es necesana para
crear UI'l "caso de negOCIO" Y lXl pla n de proyecto para ¡:resentarlo a la aprobación por la OIrecci6n. El
resultado de esle paso es un doc umento que def ina el alcance del SGS I. que InclU'¡'e

a) Un reslXTJen de los mandatos para la gestión de segu1da<J de la IriormacoOn estableco:tJs por la


d ireccIÓ n de la orga niza<:i6n. asl como las ot> igaclOnes rnpuestas e><lernarnente sobre la
orgarllZación,
b) Una descnpclÓll de cómo etnas área(s) en el ámb to de aplicacIÓn interactúa(n) con otros sls:emas
de gesll6rl;
el Una lIsta de los objetivos de negocoo de gestión de seguridad de la infO<maci6n (ta l eomo se
desprende del arti culo 5 2 );
d) Una lista de los procesos CrltlCOS de negocio , sistemas. actrvos de informacIÓn, estn.,cturas
o rga nozallvas y ubicaciones geoQlMlCas a las que se les apl ica~ e l SOS I
e) La relacl6n de los sIStemas de gestión eXIstentes. e~ l iflllerto de normas, y otJtelrvos de la
o rganIZaCión;
f) Las earacterlllticas del negoc io, la orgarozaClÓn, su tDicaci6n, sus actNOS y la tecnologla.

,-
Deberlan ser identIfICados los elementos corno.x1el> 'f las dilere~as 00 funcionamiento entre los
procesos de cualquier s istema(s) de gestIÓn existente(s) y el SGSI propuesto
Secció n 6 Descnpci6n de la o rg~ruad6n y c lanfiCsclÓll de los objetivos de segu idad de I~
informacIÓn

Ejercicio 2
Establecer el contexto de la gestión del SGSI

"'''
Establecer el COIlteXlo de I~ gestión del SGSI

Orgul losos del c recm lerrto de su negocio, los ge rentes de Extreme Adventure TolSS re pemln~mente se
preocupan p:>r los aspect06 de control V la seguridad, especialmente p::nque rec iertemenle ha n haDido
~ Igunos inCIdentes de seguridad Debido B que e llos lo oono:;:en bien a ustedes y saben que son expertos
en segufiWd de I~ tnforrnacKm, e llos les coriiará n la mSlÓn a ustedes para aSlsmlos en la mplementa ClÓll
de !Xl sistema de gestIÓn de seg uridad de la irlormación y pa ra prepararse para la ceruficación ISO 27001

El pri mer pa50 de su mISión es eslablecer el ma rco de la gestIÓn de seguridad de la informacIÓn dentro de
la orgarKzaclÓn Para el directivo, esto pertenece a la jerga de los especia li stas. É l qtM!re que usted
propong~ una versió n que é l aprobará más tarde

Para lograr esto, por favor, ideri lfique, en base a la IrlorlTlaCIÓn contenida en e l caso de estudio, lo que
potendalmente serian la\; tres fuentes de los reqOlSllOS de c umpl imiento para la orga nizaCl6n que
oofltildere más Imponartes. También, ldentlf¡que c uales son dos activos de lIlformaclÓn y dos procesos de
negocio que USled cons idera m'ls lInpOrIames para la organización

DJrac ión del ejercicio . 30 mirutos


Comertarios 15 mm. os

,- '"
Sección 6 Descnpci6n de la orgaruad6n y clanfiCsclÓIl de los obj etivos de segu ida d de la
informacIÓn

¿PREGUNTAS?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

, '"
Sección 7 Aná lisis del sistema de gestió n e~istente

Capacitación Implementador lider Certificado


en la norma ISO 27001
Sección 7
Análisis del sistema de gestión existente

a. Recopilació n da la Información

b. Realización de una Ent. evlala


c. Anális is de B.echas

"",

'"
Sección 7 Aná lisis del sistema de gestió n e~istente

1.3. Análisis del Sistema de Gesti ón


Existente
1. Planificar 2. Hacer 3. Verificar . Actua r

.-
- -
, ._.)
f • .....,.,.,
• I '""""..."'''10

, .~"

,,,e
Objetivos pr indpales de este pno

1 identIficar los procesos. procedimIentos. planes y medodas rmplementadose n la actwhdad dentro de


la orgarlzaclÓn
2 Ideri iflear el ni\leI rea l de rumplim erio con e l req•.lIsito de la norma y ana lizar la brecha
3. E~a l uar el rivel de efICac ia y mado.rez de los procesos ~igeries dentro de la orgamzaclÓn

HO!:as im portantes:
No nay ningún reqUlsno de rea lizar U1 análiSIS de brecha en la norma ISO 27001
Deberla Ile\Iarse a cabo e l aná li5js del sIStema de gestlOO existente para evl\a r el traoojo o gastos
mnecesarios, por ejemplo, la ~icaclÓ!1 de procesos o la aplicación de med idas mnecesanas Esta
medida oontnbo..ortl a esta~ecer U1 dlagrlÓStk:O erire el sistema de gestIÓn existente y los requisitOti de
la norJmI ISO 27001

.- '"
Sección 7 Aná lisis del siste ma de gestió n e~istente

1.3. Análisis del Sistema de Gestión


Existente
lisia de la s actividades

.- }--
2. AntoIiIlt

"'''
Lista de las actividades in<: luidas en la metodoioglalMS2 de PECe <:on la <:orrespond iente entrada
y salida

Entrada
InformacIÓn genera l sobre la organ¡¡:¡,clÓn
la documerta<:ión existente sobre el sistema de gestIÓn
Previa eva lwCl6n de los temas de iSegtJ"ldad de la InformacIÓn (informe de consllltor ia, Informe de
aL.dilo ri a, reviSIÓn por la d1recclÓn, etc.)

Actividades
Recopilación de Irto rmaci6n sobre ~ prácticas de continUIdad del negocio de la orgaraación
exi stentes con sus procesos, planes, prooedimientos y medidas apllCad ~s e n la actwlldad
2 Ha<:ere l aná lisis de brechas del cu rrphmierto y la eficada ~ua~ del sistema de gestIÓn ron el
requisito de la norma y documel"tar la d iferercia
3 Esta~lmlento de ol:1etivos y la p!..tlIlCaclÓn de un intwne de anáisls de brechas

Salida
Usta de las prácticas de COIltinlJldad del negocio de la orgaraaci6n existentes con sus procesos,
planes, pnxed imiertos y medidas apl icadas en la actua lidad
Informe del AnáliSIS de Brechas

,-
Sección 7 Aná lisis del siste ma de gestió n e~istente

1.3.1. Recopilación de la Información

Cuestionarlos El envio de cuestionarios a una muestra de personas


Encuestas que representan a las partes inleresadas

Las entrevistas con personasdaves en diferentes


Entrevistas niveles jer~ r q uK:o s defltro de la OIg a nizacoo

LectUla y an~l~ de la doeumentación pertJne.nte. las


Revisión de
pollticas intemas, proced imientos, Inlormes de
la documentación auditorlas previas, dictámenes jur ldiCO$, contratos, etc.

Utilizar las herramientas tecnlcas para la detecci6n de


Herramientas vulnerabil idades técflIC3S, asl como una lista de los
de análisis activos presentes en una red. llevar a cabo una revisión
del <»:ligo, etc.•

El equ ipo de l proyecto del SGSI debena oonstnJlr un conocimiento deta llado de l s istema de gestIÓn
e~ istenle a par~ r de la recolección de la irtormación obIentda de múllflles partes inle resaoas, Urt anárlSls
de la snuaclÓn eXistente hecno el<du"",amente con expert05 en los dom inIOS (expertos internos o
oonsuno res elctemos) se ria ta n parw l como s i éstos hubieran sido e~ c I U4dos ,

Pa ra determ nar un eswd<J particular, besándose en lll a SituaCIÓn e n '-ll momento dado, la elección del
métoxlo de recoleccIÓn depende a mem.do del llpo de datos que deben recogerse, el pUblICO a entrevistar,
las hal::i lidades de eodiftcaci6n y aná lis is de los elatos disponibles dentro del eQUIpo que lleva a caoo las
er1rt'VISlas Y, por Supt..teSl0, loG rt'C\.IfSOS dlspontbles (l tempo, pre5UpueSlO, etc) Estan disponibles
rrudlos métodos de r~ laci6n de 00105

Pa ra reoopdar la informaCIÓ n adecwda en la organIZaCión, puede ser úbl lleva r a caoo I3S s iguientes
acclOfles
El e><a men de bs documentos qLJe contlt'nen IrtormaclÓn sobre los controles de segu ridad (proceso de
gestIÓn de la segundad, ¡:mcedtmerios, descriP:;lÓn de bs controles de segund~d, Informes de
segundad , etc,)
Las enl reo.- istas con los responsables de seguridad de la informacIÓn y las personas que manejan las
OperaClOfles cotldl~nas reta<; ionadas con los cori roles de 5egL6tdad
La observacIÓn de controles de la segundad l islCa in s itu
ReVls8r los resultados de las 8udilor l8S internas
Erl:Ut'SUI por c LJeSlklna rios (semta utomáttcos)

Nota importanle: Aunque algtra s personas dentro de la organización puede n afirmar que no ex iste lJI1
sistema vigente, este c~si fU1Ca es el caso Aunque pueden se r muy Informa les , s ie mpre h~y llla sene de
controles de segundad vigentes y de alguna mane ra son más o menos eficazmente gestlOfl<.lOOS

,- '"
Sección 7 Aná lisis del siste ma de gestió n e~istente

Entrevista Individual y Grupal

Lao _""otao individuales s uelen


propo<cion:;Jr información mM
precioa y permiten lene, """
evaluación del ries¡¡o mh correcta

\ Grupal - '~
-V
Las entrevistas \lrupales 500 más
ef.caces para estableceJ c:i\e!iol
b ~'ieos pala 1I0IlI3r a un COI1MnIlO
sobre la .,valua 06n de riesgos, lao
opciones de tratamiento. etc.

"'''
Algunas personas poalan cuestionar el valor de preguntas detaUac1as pe ra personas Sin e¡q;>eflerola
profesional en materia de nesgos asoctados a la proteccIÓn de la irtormaclÓn. la e¡q;>eriercla dem.Jestra .
Sin embergo, que es esen; Ia l conocer la op n\6n de 101; part.H::ipantes, e ~per:os o no acerca de su
e~ poSldó n B los re<: Ur&lS que gestio nan . Los responsables de los procesos de neg<Xl1O Irc llJiré n una VISIÓn
onertada mlM:OO rrés "empresar iar sobre 106 riesgos, por ejerrplo, el oficial de re laciones p.Jbicas
Indicará SU preooupaclÓn po r e l f\esgo de dar'la r la Image n y la re,..rtaci6n, etc

entrev istas individuales


las entreVIstas indivtdt.l3les se prefieren debido a que el aOOitor puede ooroentrarse en la ev3 luactOn de l
riesgo de una sol<.l persona En genera l es posjble o-bIener tn'ormaclÓn m;)s deta l ada (a ófererc 'a de Ufl¡j
ertrevlsta g~ 1 donde cada moembro da su oplllÓ n resumida) y I<.ls entrev istas mNidua les eVIta n que un
m e mbro dom nante del grupo IntI\I¡a en la resPJes1a de tos demás (efecto "O\Iela')

la entreVISta individua l permite más féc il mente


Leer e l lenguaJe corpora l de I<.l persona ent revIStada
ldemdoca r los. elementos se~lbles de la diSCUSión
Ga rari.iza r la cortldenClalidad de las cornersaciones con el entrev ista do
Ajusta r las preguntas de seguimento
ObI:ener in'ormaCl6n detallada
EVlla r la IftllJercia de miembros domonantes sobre 106 demés,

Entfev ista gll..pal

UlS ent revistas grupa les son más eficaces pera establecer crlteflOS téSlOOS pera llega r a un oonsenso
sobre la eva luaCIÓ n de fJeSogo'S , las opotones de trata mento, etc entre 106 dde rentes mtembros de un
grupo

,- '"
Sección 7 Aná lisis del siste ma de gestió n e~istente

Realización de una Entrevista

¡y{ Utilice preguntas abiertas y evite las preguntas


cerradas o guiadas

lif Asegúrese de cub ri r todos los temas, mientras


controla el tiempo

¡y{ Tome notas durante la entrevista


I
lif Realice preguntas para clarificar una respuesta o
situación

~rn
~
La expertencia demuestra que cuanto más usted prepara una entre"'Sla , más prOO,-","'a será la relX1i6n.
Una estrategia es cOIl6trlJjr una lista de venficación para asegura rse de que las entreo. istas se rea lizan en
lX1a f0<m3 sistemátbl y globa l y que se obtJenen pruebas a,.-opIadas Una lista de verificación puede ,ncl.... r
una lista de defi nICIOneS para asegurar la ufllformidad de las respuestas Una I'sta de verifICacIÓn debe
ofrece r espacio adecuado para las respuestas, comel'tarios y observaciones. Los elementos que se
inc luyen en la lISta de verificación deberlan Inclui r la rere rencla a la norma pertno nte La persona
entrevistada puede redblr la lISta de verdicao;ión antes de la reufllÓn La lista de venllCaci6 n le permrte estar
prep'lredo adecuadamente pa ra la ertrevista

Duo"a nte la ertrevlsta, puede ser de ublldad traduc ir la termlrlologla especia lizada relacIOnada con la
conbnuidad del negocio como ''amenazas'' y "v ulnerabilidades" en lX1 idioma más SigrnflCatlVO pa ra los
trabajadores no espec ializados Por eJerrplo, se,....ooe <-(lliza r la sigUlenle reda<:ci6n " ¿QI.lé está tratando
usted de e\lllar? ' O · ¿Qué teme usted le pueda oClJm r al recurso?

La entrevIsta se puede graoor SI la persona está de acuerdo Si n embargo, la práctica mas oom(.n es
slmpemenle tOOlar rotas La grabación de la ertrevlSta se puede inlerpretar como inllfTlldatOfia por la
pe rsona erirev istada y eso podrTa irtluir en la entrevista Además, no se suele tener tiempo para reprOOlJCH
una e nlrevlSla graooda

Las notas de las entlev lstas deberlan comener:


Furo::ió n del entrevistado (por lo general, sin nomto-arlo, exce>to pa ra los miembros de la doreoció n
E¡emplo ConversacIÓn co n los empleados del departamento de tecnologlas de la información, 3 de
Septiembre, 2'01 1

Objetivos de la entrevista:
Ejemplo : Va lidar la conformidad del pan de capacitación de la orga nlzacoo.

Resumen de la evidencia reu nida:


La información documentada debe &er recogida en l>'1 leflJua)e claro, corw:iso y preciso Sólo se
deberian escritor hechos, no JUICIOS, e tdenllllCar deto li dacles A oonIlllJaCIÓn, las detolidades que se

,- ''''
haya n iden! lficado, ser~ n 1n<: IUldas en el a n~ II Sls de t>rechas La refere ncia exacta H la rorma
debe rla aparecer con el nUm!!ro de c~ usula
Sección 7 Aná lisis del sistema de gestió n e~istente

1.3.2. Análisis de Brechas

Anallsls do Brochas
• Té<:r1ica para determina.. 101 pasos
para pasar rIe ~ situaciOn act",,1a
un estado Muro deseado
Compamción del rendimie!1lo actual
del sislema de gestión de la
seguridad ron lo. requisitos de la
ISO 27001
2 ldem~icaclón de la. necesidades
de mejora
J . Bases pa<a la elat>oraciOn del ~an
del pro)Iecto SGSI

B ~ n áhslS de b"echa es una té<:f"K'~ para determ inar los pesos pal3 pesar del estado ~ctual a un estado
futuro deseado. E~te es uM respuesta a tres preglJ"ltas.

¿cual es nuestl3 situació n actua l?


¿Cuál es ei objelivo?
¿Cuál es 13 diferencia entre 13 srtuaclÓn actual y e l ol'letOlo?

Un anál i si~ de brechas se I e'\'a a cabo e-n tres etapas.


1. Determina r el e5laoo actual A fin de ldemilicar, en la orga nizacIÓn, los procesos y controles de
seguridad VIgentes con sus caracterlsticas
2 Ident ificación de objetivos poi compa racIÓn con otras organizacklnes (o de oIras divisiones de la
organización) determrre r el grado de madure~ recesano para cada control de seguridad (por ejemplo,
a través de la técflICa de ''benchmarkl ng'') .
3 ~ I isis de brechas el aná lisis de la disparidad es Idenllfocar las d iferercras que p..oedan eXlsur entre
los controles de segl .."oJad en la actualidad y a los requISitos de la ro<m3 ISQlIEC 2700' Esto permrte
a la empresa a determna r cWles son Jos procesos Bctua lesque necesita n rTleJora(s)

La pIl rcrpal utildad de 111 análJliIS de brechas es proporcIOnar una base par1l la Identdicaci6rJ y meckr6n
de las inversIOnes necesanas e n tiempo, di nero , recursos hl.manos y recursos matenales p"ra Iogl3 r la
a¡jicacioo plopJesta del SGS l

,- '"
Sección 7 Aná lisis del sistema de gestión e~istente

A. Determinar el Estado Actual


An alisis de brechas y el nivel de madurez
las preguntas típicas:
1 ¿ El proceso está presente en la orga nización ? ¿Está
estandarizado?
2 ¿Es el proceso seguido por los usuarios relevantes ?
3, ¿Está el proceso d ocumentado?
4, ¿ Hay un responsable designado para la eficacia del proceso?
¿Están determinadas las fun ciones y responsabilidades?
5 ¿Se h a comunicado a todas las personas en cuestión ? ¿Hay
capac~ación d isponible?
6 ¿ El proceso se contro la? ¿Es medido?
1, ¿El proceso está automatizado? ¿ Se utilizan herramientas?
B ¿ Existe un proceso para actualizar el proceso?
9, ¿ El rendimiento del proceso se compara con las p rácticas de la
industria ?
"'''
La determ ina cIÓn del estaoo actUilI del proceso sobre la elicaCla y los comrcles de segundad
Implementados puede ser realIZa da por e l equipo de l ¡:foyec\o o suDCortra tada a consultores eKte fra; a la
org<IntZación La ventaja de confiar el aná lisis a los actores externos eKlStentes es que se va a rec iblr un
Woforme que e n teo ria ser¡) más neutra l V oosa do en la venllCilclOn con las me iores pract icas de la
Indusl ria Para recoge r los datos durante la lase de aná lisis, el equipo feSpYlsatJe de eSla ac:c ión eSlá
obhgado a coroxer bien la srtUilCIÓn. En la mayo rla de los casos, gran parte de esle antll's's se realizará
sobre ta base de tas respuestas a los cuestio na riOS estructurados y semi estruolurados que, dependiendo
de la elec:c,ón de los invest,gadores o q ue co rres¡::orda n a las condicione!; contextua les, se erMa rán por
esento (o electrónica mente) o se ha rá durante las e ntrevIStas, lo q ue se denom na "semi d!rectrli'

OJando se utili cen CUest tonaflOS, las preguntas piRden ser


Cerradas, es decir, que ofrecen un fÚrerO hmtado de resp.¡eslas de la s cuales el entrevistado ma rca
Ia [s) de su eleCCIón.
Nota las ¡:f19,ml as cefraoas toenen la posibi li ClaCl de sugenr respuestas q ue no son espont.1neas Son
especialmente ~ bles para el estOOIO del comportamoento (naturaleza, Ir~uer.:;la , etc) Las esca l ~s de
opifJÓ n representa n UI'llormato pa rtICUla r pa ra las ¡:fegUl'llas cerrada s Proporciona n intormactón sobre
e l g racto de apoyo a una ¡:fopuesta La gente debe Mua f'Se en uM esca la de "acuerdo Clesacue roo" de
varios nrveles.
Abiertas , es decir, que el entrev\SlaClo tiene la II ix'rtld completa de resp.¡esta
Nota oon pregUl'lla s atiertas se p.¡ede recoger la informaclOn de lorm:! más fTl3tizada, más rICa, tre s
oompleta Pero son a menudo mas dd iclles de aM lizar debido a que generan oonlef1ldo im portante pa ra
se r explotaClos por "antllisis Cle cortenicto" La lasa de respuesta a esta s preguntas es a menuCio mera;
Importame Son especialmente adecUildas pa ra el anábsls de las opinio nes y actnude\¡

,- '"
Sección 7 Aná lisis del sistema de gestió n e~istente

AIguros oonseJOS para la elaooración de su ClJestul,,¡nio


Asegúrese de crea r cuestionanos cortos Un documerto muy largo puede hacer que los
encuestados se canse n Puede n asr sa lta~ las preguntas, responder mal, etc
Tenga en cue.--:a la utilidad de cada pregunta ¿Es necesana? ¿0Jé uso tencM la res¡x¡esta?
Considere la codifICaCión cuando escribe pregurtas prevea un luga r pa ra reg istra r la
tdentdlCac lÓfl del cuestlonano (para t:MJsca r el archrvo Inforrnéboo corresp:;>ndlente), numere
SIJ6 pregultas y códigos de respuesta que ull~za pa ra la codificaci6n, etc
Mezcle las preg.Ji'ltas atl¡enas y preglJ"1tas cerradas,
Ames pr iJetle el cuestionario co n uno o más miembros del p:bIiCO ol:1etlvo

Una vez qoo 106 cuestionarios son responódos, será necesano ana lizar los resuttados Algunos
métOOos de aná hsls de conterodo son cwnt itatlVos (descomposlCi6n, codlflCación, conteo, las
comparaciones, correlaciones, etc.) O ros son cua litatIVos (aré lisls estructural, la
conteKluarlZaciór\ el aná lisis forma l) T cxDs son bastante compejos Esté la mliarizado coo eDos
antes de cO<lSIru ir sus herramientas de reooprlaclÓn de datos

'"
Sección 7 Aná lisis del sistema de gestió n e~istente

ISO 21827 Y CMM


Matriz de evaluación de los niveles de madurez

• ISO 21827 es un estándar para mejorar el proceso


de desarrollo de software basado en el Modelo de
Capacidad de Madurez, CMM (Capability Malurity
Model )
• Modelo de evaluación y evolución de las
capacidades en una cuadrícula de madurez en
cinco niveles jerárquicos
• Modelo en gran medida reproducido por los
expertos para llevar a cabo un anatisis de brechas
con los estándares ISO 27001 e ISO 27002.

"'''
ISO 2 1827 es '""'" nom1~ pera mejor~ r el proceso de desarrollo de software. Perm ite a una OfgalllzaclÓn
meó r su nivel de madurez y capaCIdad para desa rrollar su desarrollo de software. Esta norma se basa en
el CMM ® (Capal:o li\y Man...,\y Model) desarrollado orig lr13 lmente p:>r el Softwa re Englneering I rrsl~ute de
la Carneg¡e Mellon Unrw rslly El CMM fue diseflado para medir la calidad de los selViclOS p-estados "'"
los proveedores de software de l Departamento de Defensa (000) de los Estados UnKlo5 Este modelo de
eva lwclÓn y desarrollo de la capacidad iSe oosa en lX\il red Jer.lrqUca de CIfl:O ";"'e les de madurez (ver
diaposltrva slglJlente)

El mode lo p-o¡:o.¡esto p:>r la ISO 21827 es amphamente ut iliZado p:;>r las emp-esas de 1-0 Y selV loios
n'ormátlCOS y los .,.-oveedores de software para e'0'3 luar y mejOrar el des~ rrollo de prodlictos ¡:ropas Este
modelo na decli na do y se ha adaptado posteriormente a ot ros sectores de la mgemer la de software.
~ I uyendo

CMM i (Capal:olrty Matuflty Model lntegration), que determina el desa rrollo prActICO y mantenmiento de
sistemas y apl ICacIOnes
CMM -TSP (Team Software Process), que especdlCa las práct fCaS normall;:adas de lSl p-oyecto de
equpo.
CMM·PSP (Personal Software Prooess). que espec ifICa las .,.-Acticas estándar de lSl desarrollo de los
recursos indMd w lel; .
SSE-CMM (Ingenierla de Sistemas de Segurida d Capa bdrty Maturity Mode l) que determina las
prácticas de segurida d relaCIOnadas con los sistemas de informaclOn

MLX:hos otros m;:ojelos y marcos ha n adoptado la esca la de maduez CMM El más conocido es,
probablemente, COBIT expedido por ISACA (Asoc iacIÓn de Audítoria 'f Control de los sistemas de
InformacIÓn )

,- '"
Sección 7 Aná lisis del sistema de gestió n e~istente

Para medir en forma precisa, no sOlo la mepra del proceso de segurnlad durante la eje<;;uc:i6 n
inicia l del SGS I siro tamboén durante el cIClo de vida del sjstema , es inte resante alX"larse en
metod:lloglas oomo CM MI Este modelo permRe, de acuerdo con las practicaS clave vigentes
alcanzar un eSlaoo activo para las actividades de segu-idad pa ra gara ntiza r el seMcio Si n
embargo, es inStliciente en si mIsmo, ya que debe comprerder la cu~ u ra de la organrzación y
debe dar un bempo slgnrflCativo para que la o rganazación alcance la madurez necesana

Mapeo de b norma ISO 27001 frente a Olr3S referencl3s de mejores práctic as y méto dos
SI bien m.rchas empresas han tomado re<:rentememe medidas para apilcar las referenciaS pa ra
el gobierno de T I· los eRados más a menudo son CMM I ~T e ITIL· esto plantea la cuestió n
de la coherencia V el mapeo de estos con la norma ISO 27000

Sin entrar en competencia, estas normas diferentes pueden complementar y permibr econornlas
de esca la. Por ejemplo, la implantaci6n de procesos rTll y CMM I facil~a la aplicacr6n de los
controles de la norma ISO 27002 COBIT, con su enfoque de la gestJ(ln de los nesgos es tambléfl
una poSIt>e opcIÓn para Iratar de Implanta r la ISO 2700 1 Se consideran más tIpos de nesgas
que en la rorma ISO/ lEC 27001 (rresgos que afectan a la eficiencIa, la fiabil idad y la eficiencIa de
los sistemas de IrlOfl'Tlaci6n, además de los cntenos más orientados roc ia la segundad, ta les
como la confrderotahdad, Integridad o ósponrbrlldad del cumphmento) pero los métodos so n
MSlCarl1ef1le similares.

En geroeral, podernos considerar que la norma ISO 27000 está prolundrzando en el tema de la
segundad de la irtormacr6n y gestión del nesgo, los que se debaten de forma más sucinta en las
otras refe rencIas També n vale la pena senala r que la norma ISO 200;)0, la soluci6n ITIL ahora
apuma directamente a la norma ISO 27001, en lo que respecta a l proceso de gestIÓn de
sel7<Xrdad de la información

'"
Sección 7 Aná lisis del sistema de gestió n e~istente

I
Publicación de un Informe de
Breehas

o ,

Situación actual Objetivo

"'''
B lrio rme deberá contener al menos
1_ U:1a I:fe.-e descn¡x:t6n de la slluaelón existente obselVada
2. El objetivo de l proyecto;
3 La descripo=ión de las diferencias ertre la sit uació n ta l como se presenta actualmente y el objetivo a
lograr,
4 Va rias recomendacIOnes sobre cómo llegar aUI

,- '"
Sección 7 Aná lisis del sistema de gestió n e~istente

Establecer los Objetivos


Ami lisis de brechas y el nivel de madurez
Ud. puede establecer los objetivos de los procesos y controles de
seguridad según el nivel de madurez:

--
-- ~
.~

••
No e>rlslenle InICIal
,
GestionildO

"'''
O, Ha ellistente Ausenc ia rot~ 1 de les ¡:(OCl'SOS de identifICacIÓn, La emp-es~ no es consclefl1e de qLll' se
trala de c.n pro~rm ~ estudiar
1. Inicial: Es obvIO que la compa nla tiene conocirnento de la existencia de l problema y la neceSIdad ele
estudiarlo, Sin emba rgo, no ex iste un proceso estandanzaoo, pero hay enfoques en este sentido que
tie nden a apli<;arse de l orma IndIv.wal o en una base de caso por caso No existe un ertoque globa l
organizaoo por la direccIÓn
2. Gestionado: Los procesos Ilan sioo desarrollados hasta lr\a etapa donde dfererrtes persorns realiza n
la misma tarea lJihzanOO les mismos proced lrnent06 No hay capacrtoci6n forma l o com,..'¡caOlÓn de
procedimientos estándar y la responsab lidad se deja a la persona Se oos~ en gran medida en el
conocimiento persona l oonde existe probab lidad de erro r
3. Definido: Los procedimientos han sido estandar iZ3oos, documentados y comc.n icaoos a lIa~k de
seSIOneS de capacitacIÓn & n embargo, su uso se deja a la InIC iatIVa IndIVIdua l, y es probable que se
puedan detecta r fa llas En cua nto a ¡:(ocedmientos, ro son sofish:;:aoos pero form¡¡ hz~ n las práctICaS
ex istentes
4. Gestionado cuantitativ amente: Es posible monitorear y medir el cumplimiento de los procedimientos y
toma r medidas cuardo los ¡:(0C>eS0S ro pa recen IlJflClOnar correctamente Loo procesos está n en
constante mepra y se corresponden con las buenas p··áctICaS , La aLAomatlzaclÓl'l y el uso de herramientas
son todav ía I"n tados o parciales
S. Opllmlzado: El proceso ha alcanzado el ni ve l de las mejores prácticas. a ralz de lJf1a mejrna oonsIante
en COTlparaclOn con otras organizaciones (Modelo de MadJ rez) El ordenadorlcomplAadora se u\l liz~
como una manera de aUlomaVZ<lr el ~ de trabaje IflIeglldo, proporCIOnando herrarnentas que mejoren
la calidad y la efICIencia y hacen que la empresa se ada~e rápidamente

,- '"
Sección 7 Aná lisis del sistema de gestió n e~istente

Análisis de Brechas
Ejemplo

, 4
l.o _ _ _

- - ......
"";:"..:;:..,_-
--
=

_-
.............
. -
.... __
"_._~~ªª;
-_.-
~.­ '-..
-.-
-Oj ... ,

Para la ldentdicación de los controles de segundad e~lslentes y en proye<:to. se puede "'llaza r la lista de
controles de segundad de la norrm ISO 27002 (o del anexo A de la norma ISO 27001) . Esto ayuda a
otcener una ~ISIÓn genera l de la situacIÓn eXlSlente en re l ~oon con las melores prácticas de seguridad

Este doec.merto resume el aná lisis de brechas que se hizo dertro de la empresa, poniendo de relieve las
acciones que deben rea lizarse en primer luga r Su ot:;elNo a oorto plazo es promover la a~icaClÓn de
medidas oorrectl\las o prevent .... as para los a<:trvos con ~ elevado prJtenc lal de rtesgo En el mediano y
largo plazo la plartilla de la presertación de irlormes realiza 00 segUlm.ento de las meodas preVIStas y del
aná li sIs de varJa<:lÓ n reabzado, hac.endo hInca"é en la mepra contlrJJ<j Implementada en la orgaruaci6rl

.- '"
Sección 7 Aná lisis del sistema de gestió n e~istente

Informe del Análisis de Brechas


Ejemplo de una representación gráfica
A. la ~
"-17 ,,-<,os de lo _ _ 00 lo lrIIooNciOn

-
. . lo 11"'_ <lo lo <:OflIhoO"""," ""'11""1<>
"" ~ Pol~<:M 00 Seg\.mod 00 ..

"-6. arvanao<iO,ulo lo

-
_ _ "" de .. inlarmadOO
"" 15.
-~~ ,,".7 ~<Io

,~~

__
A . '~~"_~
~,m_o
"" 8 Ge>IiOOde _

"'.13. So<,JuniII>dde In ~
10.'0 c.-.>togro/l.
"-' 2 . ~""' __ 10..11 Sevom«I l i>i<-o
y..--ul

"'''
Una forma mo.ry visual de presenta r las diferenciaS que se han medido (y también muy reve laoora para los
IT\iembros de la direcCIÓn) es agregar datos de vanas pruebas V presenta r, a l menos, aquellos que
prodL.Cen los valores rn.mérlCOS basados en las escalas cualrtativas, en una forma que indICa de un VIstazo
cuáles son los elementos poSItIVOS y los meJOrables

En el grtIlico "Radar" (también llamado 'Tabla de arar'la ' ), hay tantos eJeS corno rey categorfas

las categor las que represertan los d iferentes térmioos y objetIVOS de los cont~ de seglj"idad de la
oorma 2700 1, dejan todo el ¡:urto central en una secuencla tempora l cl~ica Ellos se rnJestra n alrededor
del gráfico (eje X) Los valores de la serie (en este caso, los v~ l o res aSignados por el aná lisis de madurez
de los procesos) se rrue-stran en el li enzo (eje Y) en una escala de 1 a 5

la presentacIÓn en cl rcUos concéntrICOs que se rnJeStra aqu l puede vana r en f<SICión de Silos segmentos
de lInea (lineas) conectan la serie de datos, formando una ',ejara r'la ", cuya forma va ria en flJl1Cl6n del
.....rnero de serle1ó y va lores aSIgnados a cada calegarla de la tabia

la ventaja de esta represertación


Puede h3ber \I1Iri~s sefles en un solo gráfico
Se ubllza en d istl nlos ámbnos para comparar una serie frente a otra , la Supe-rp051<:1Ón de "telaral'las" da
una buena vISIÓn genera l de la srtuación

,- '"
Sección 7 Aná lisis del siste ma de gestió n e~istente

Ejercicio 3
Ami lisis de brechas

"'''
De la Iftormación p-oporcicnada en el est wo de caso sotM-e el furotonamento del proceso de gestión del
cambio, por favor ca lifique el llIIIel de madu rez de este proceso. Aderms. la gestión de la organizacIÓn
gusta rla reclb r recomerdaClOrleS suyas para meJOrar los p-ocesos en marcha para cumplir con los
requ isitos de la norma ISO 27001 sot:re gestió n del cambio

Duració n del eJercIc IO 30 mll"JJ1OS


ComentaMos· 15 m nulos

,- ''0
Sección 7 Aná lisis del sistema de gestión e~istente

¿PREGUNTAS?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

, '"
Pagina para Tomar Notas

'"
Pagina para Tomar Notas

'"
Implementador Llder
Certificado en la ISO 27001

"'''
Programa para el Día 2

Sección 8 : Liderazgo y aprobación del proyecto SGSI


Sección 9 : Alcance del SGSI
Sección 10: Políticas de seguridad de la Información
Sección 11 : Evaluación de riesgos
Sección 12: Declaración de Aplicabilidad y autorización de la Dirección para aplicar el SGSI
Sección 13: Definición de la estructura organizatlva de Seguridad de la Inform:lción

Cl20:J6 PECB
Versión 4 7
Eri<: Lach<lpelle (Editor)
Número de <ixumento' ISMSUD2V4 7

los documentos prOV istos a los p<l rbcipames estln estrictamerne reservados p<lra su uso en el presente
curso y son marca reglstraoo de PEca A meros que se especifique lo corot r~rio, nlfl9UlJa p<lrte de esl~
plbhcación podrt\ ser repr~lda o ut ilizada en cualquier manera o fo rmato por cualqui er medio que fuera,
electrónico o mecáni<:o, incluyendo fotocopia o microf il me sin el consem lrTllemo por esento de PEC B

Cl PECe_ ... _ · _ _ , . ' .. , , .. . _ ;0"


1
Secció n 8 Liderazgo y 3p"oOOClÓn del P"OI'e<:to SGS I

Capacitación Implementador Uder Certificado


en la norma ISO 27001
Sección 8
liderazgo y aprobación del proyecto SGSI

a. Caso de Nogoc lo

b. Equipo del proyecto

c . Plan dar proylK:to


d. Autorización de la Dirección

"'''
Principales objetivos del proceso de fO' lTIiIlizilCión y aprobació n del $OSI:
1_ OIXenef la a¡;robactón de la gestión med iante la a¡::robaclÓl1 de l.I:la carta formal del p"oyecto, que
rroesl r¡¡ . por ejemplo. que el proyecto de SGS I es p<lrte de l.I:la cartera de proyedos ya a¡;robados
2. Dar autoridad y crediblUdad al Jefede proyecto para que puew ter.er éxrto
3 Leg~ima r el SGS I en la medida en que una carta formal lo autorIZa a ex isllr° a COnl,ooar

Cl PECe _... _ __ .... . .. , , .. . _ ; s " 2


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

1.4. Liderazgo y Aprobación del proyecto


SGSI
1. Planificar 2. Hacer 3. Verificar . Actuar

..
--
.,,"""....-

Objetivos p,indpales de este p¡oso

1 ctJtener la aprobacIÓn de la gestIÓn mediante la aprobacIÓn de una c¡jrta formal del proyecto, que
rrueSlra, por eJemplo, que el proyeclo de SGS I es p¡l rle de una cartera de proye<:los ya aprobados.
2 Dar alJloridad y credibi lidad al jefe de proyecto para que pueda lene! éx~o
3. Legrtimar e l proyecto SGS I a las p¡lrtes ,nteresaws de la OI"gilnlZOOlÓn

El trabajo rea lizado durante esta etapa permitir.! a la organi zación comprender la importancla del proyecto
de SGS I y aclara r las lurclOl"les y responsabilidades rela<:JOOadas con la segurKlad de 13 Informad6 n que
son necesanas para que el proyecto SGS I tenga éx ito

3
Cl PECe _... _ ·_ .... . .. , , . . . _ ; 0 "
Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGSI

Requisitos de la Norma ISO 27001

4.4 Sistema de gestión de seguridad de la información


la organización deberá establecer. implementar, mantener
y mejorar continuamente un sistema de gestión de
seguridad de la informa ción. de conformidad con los
requisitos de esta Norma Internacional.

"'''
Una orgarua<:ión que qUIera cumplir con la rrJrrna ISO 27001, deberá como mll'lmo·
, . ObIener un comprOITllSO de la dirección y la aulorizaclÓI1 pa ra Implementa r ei SGSI
2. CUener los recursos reqo.oendos para implementar y mantener el SGSI

Cl PECe _... _ _ _ .... . .. , , . . . _ ; 0 "


Secció n 8 Liderazgo y ap"oOOclÓn del P"OI'e<:to SGS I

1.4. Liderazgo y Aprobación del Proyecto


SGSI
lista de las Actividades

}-o
__
<1/1 .. _
,
' .~
- o
-
, 5 AJc.onco
<"" SG51

"'''
Lista de las actividades in<::luidas en la melodologlalMS2 de PECe con la <::oITespondienteentrada
y salida

Entrada
• Toda la informacIÓn re lativa ala o.-gamzaclÓn y neoesaria para la api<::aclÓn 00 SGS I
• Anális is de to-e<:has

Actividades
1 Crear y p"esenta r l.rl caso de negocio
2 Establecer el eq.JJ¡Xl de trabajo de l p"oyecto SGS I
3, Determi nacIÓn de los recursos necesarios para la ejecución del SGS I
4 , Presentadón de un "an de proyecto
5 ottene r la ap"obaClÓll de la DIrección

Salida

.'-
Gaso de Negocio
DescrIpCió n de las fl.rlClOnes V las responsab lldaoe$ de los p"lrlC'pa les acto res implicados en el

Plan del p"oyecto


Ap-obaci6n o/lelal del SGS I por la DlreOOlÓn

Cl PECe _... _ __ _ , . ' .. , , .. . _ ; 0 " 5


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

1.4.1. Crear y Presentar


"'______ _ _~
un Caso de Ne "o.c".i'o
ISO 27003 . clausul a 5.4
Un caso de negocios:
2. Ufl documeflto
1. Una herramieflla para apoyar la toma
que se utiliza
de decisiofles para la gesliófl
P'ffi
promover el
proyecto del
SGSI

3, ESll'\JCIUraciófl inicial
del proyecto
"'''
¿Qu é es un caso de negado?

U1 caso de negocIOS es UOiI herra rnenta que eyl.lda a planifica r y lom ar deciSIOnes. n::IUldon; las
decisiones sotKe las oportun ioocJe¡;, opciones y el momenlo adecuado para inICiar una sene (serie de)
acci6n(es), El caso de negocio generamente puede resp:mder a la siguiente pregunta ¿cl.á les son las
consecuencias flrlilnci eras si eleg imos X o Y?

U1 bue!1 caso de negocio debe derroslrar qué benefic ios se pueden espera r como consecuencia de una
deciSIÓn a lo la rgo de un periOOo detemunado Más omportante alÍl, también IrlCh.'1e los métodos y la
lógica que Pevaron a la cuantdtcaeión de los benefic iOS Este (;tImo p.JnIO es enJc lal, ya que cualqu ier
modeio de negocio requ iere, en un enlomo c::oIll'Ieio, suf:OSiciones, JUICios arbitra rios y el desa rrolio de
rl.leWS dalos En otras palabras, el caso se desarro lla a traves de InformacIÓn más allá del alcance de los
presup.reslos eXlSlenles y los pla nes l inanaeros , Asi dos personas que traooJan de lorma Indeperdente
p..oeden evaluar el mismo escer.arro, uti lizando correctamente los cálculos financieros y aun asl logra r el
desarrol o de un modelo de negOCIO mlJf diferente Para evalua r el desempeno los lectores deben ser
OOr1SClentes de ios métodos que llevaron B estos casos de negocIOS,

La coh,r nna vertebral de l proyecto del SGSI se encuentra en un ca lerdaoo que podria toma r varios meses
Esto proporcIOna un ma rco que mUl'lOtra al equ ipo de geSliÓll cómo trabajar para desarro ll al tácboas
eficaces, El caso de negoCIO también describe el impacto global de la aplicación en términos fácilmente
compr-ensibles por las perso r.as que ro son ~pecia l ~tas en el área estud iada Se ocupa de los facto res
crltlCos de éx ito Y los 1mpre'V~tos Esto le dice al te<;tor la metodologla ~ra otltener los r~ultados
esperados También debe IdenlIflCa r los nesgas sign ificatIVOS que podrlan ocurrir y las sefoa les ql.'f!
podrlan indica r cua lquier cam bio en los resultados

Cl PECe _... _ · _ _ ,. ' .. , , .. . _ ; 0 "


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGSI

El caso de negocio responde a las preglXtas de los administradores y usuarios


¿Cual es el prop6stto del proyecto? ¿Sobre qué necesiaad va a responder el usuario?
¿Cuales son las soI uaones que se ha n estudiado?
¿Por qué se ha or:tadO por la soIu::i6n elegida? ¿Cl<'l les son los nesgos, limitaciones?
¿Coo nto cuesta? ¿Cómo saber si el proyecto sera un hIlO? ¿Cómo explicar a los
empleados, che nles, SOCIOS ? ¿Quién es responsable de este proyecto? ¿Será afectado m
trabajO po r este proyecto en el futuro?

Para responder a esta s pregurtas, un Caso de NegoxlO debe con!e ner por lo mer>:lS 5 partes las
metas u ot:;et .... os del proyecto y su IOCOrpo ració n a la estrategia de la organIZacIÓn, las diversas
opciones qoo se consideraro n, la soILClÓn eleg ida , cómo se ejec utara el proyecto, y las
necesidades de recursos del proyecto

los tres prirl::lpales usos de l caso de negocios como parte de un Gestió n de Proyecto son los
siguientes
1 A<.4onzar el proyecto · con marcos de gestión comp<Irables· los proyectos se ~ eSllmar
con nla)'Ol precisIÓn y se r ali.orizados basados en el retorno de la UlIiersiÓll que pueden
generar ;
2 Serv1 r como ¡:tlmer argumento / "documento de venta" del proyecto;
3 Serv ir como PJnlO de refererl::1II en tOdO el cicio de Vida del proyecto,

7
Cl PECe_ ... _ · _ .... ' .. , , .. • _ ; s .
Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

Contenido del Caso de Negocios


ISO 27003, clausula 5.4 y PMBOK

2 . Finalidad y 3 Resumen 4 . Benaficios


objetivos del proyecto esperados

6 Factores
5. Alcance 7 Ante- 6 Plazos e
críbcos de
prelimínar proyecto hitos
é Xllo

9 . FunCIOnes y
Responsaboiodad
10. Recursos 11 12.
necesarios Presupuesto Reslricciones
"
"'''
1 Medio Amboente: LIsta de los hechos (InventarlO) ~ Justifica n la eXlsteí1C1<l de l proyecto, la
econ6lT'11ca. ambientes comerciales. cornpelttMls, las olxmurndades,
2. Pro pósito y objetivos La VISIÓI1 del proyocto, obj etivos generales y estratégICOS y objelN'os
especlft<:os y tácticos, los objeti\los operatIVOS (té\: nk:os, econOmlcos y temporales)
3. Resumen del Proyecto: Nombre , Referencia del proyecto, origen. medioambiente, la situación
actua l Este resumen da el conterldo 00 proyecto, en pocas pa lab"as: 1o que se propone hacer
4 . Beneficios E5 perados : los ingresos esperad05, pla n de nabaj<l para otcener resultados, los
beneficios financieros (seg.Xi e l resullado), el va lor de los benefo::ios cuant ificados escenarlOs
fnanc ie ros, costes y nesgos de refomo de la Inversi6nlcostes de la no actua<:ió n, los riesgos de l
pro~ (p<l ra el proyecto en si, por los ooneficros y para la empresa) .
5. Alc ance Preliminar : Marco de accl"m. e l perlmetro y los IlrTVIes, pre reqUlsttos
6. Facto res criticos de éxito recursos materia les y hurrenos, conte)<\o
7. Antepro yecto 00 ertoque del proyecto , las defi nICIOnes de las tases, los inlormes y los resultados
~n8l es
8. PtalOS e Hitos: Actividades y moddlCaCJOneS de las acwodades del pl"oyecto la distritx.o::lÓn técn tca, el
plan y ia plan~icad6 n del proyecto
9. Funciones y Res po nsabilidades : Funciones, rotes, y los recursos para cubr ir la carga de trabaj o
lO. Recursos: Los recursos del equ iPO los fondos
, 1. Pres upuesto: Los controles del proyecto. planl'li finartCleros, etc.
12 Limitaciones : problemas y soluciones esperados, las hp6tesis, opciones identrflCadas y evaluadas,
escala de magn itud, complejidad y clasdicoció n
A estos 12 e lementos del plan de desarrolo de l proyecto se pueden ar"lad ir, los dos po..rtos que sigue n,
para ser considerados como parte de una espeCIE! de ''plan de facllttación" del proyecto.
13. Comunic;tCió n : Ya sea operaciona l (selecció n de medios. medios de oom<SllcaCIÓn, p:bflco, etc 1 o
promoclOna l (interna ylo extern a)
14. Monlto reo del Pro yecto: Indicadores. cuad rCJoS de mando. informes. rev iSiones de proyectos, la
trazabdldad

8
Cl PECe_ ... _ · _ . , . ' .. , , . . . _ ; 0 "
Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

1.4.2. Establecer el Equipo de Trabajo del


Proyecto SGSI

"'''
Por lo genera l, el eqUIpo del proye<:to de l SGS I consisle en lo slgUente
1, El PaladlnIDefen sor del proyecto: Una persona , generalmente cerca elel nvel de toma de deC isiones
en la org<l nizac.'m, que asegura, mediante el uso de la innuencla dada por su mandato dentro de la
organizacIÓn , que e l proye, lo pueda ser esta blecido y que dete recibir los recursos adecuados. ~r lo
ta nto él act Ú<.l interna mente como una especie de patroclflador o ''patrón'' del proyecto
2 Directo r del Proyecto: El d irector de l proyecto es la persona que lleva 8 cabo un proyecto y lo neva a l
éxtto. Se trata de lI:1 papel central dej que el éKIIO del proyecto depende prirclpa lmenle. Por lo general,
dirige o lide ra un eqUIpo pa ra la durac ión del proyecto o pa ra los disttnlos proyectos de los que es
responsable . Pa lece que los raclores de h ilo pnno::jpales se relaciona n con el llde r del proyecto. Él es
responsable de
la estru:tura de l proyecto para llega r al plazo de tres meses para lI:1Ir a los equtpos en lI:1a meta a
corto plazo,
Asegura r la comunicación con ios lide res de los eqJ ipos para que SIga n trabajando y para ga ranl iza r
su apo)\) dtrante la totalidad del periodo,
Tratarar co n el patroci nador (o pe ladln) pa ra aclarar y rormatizar los ob¡el lvos.
organizar talle res de usuario o involucra r a los usuanos e n la s pr imeras etapas del proyeclo pa ra
conocer sus necesidades
3. equipo de Gestió n del Pro yecto : Todas las personas que actúe n bajo la responsa bi lidad del d ire<:tor
del proyecto y responsables de ayuda r e n las decisiones estratégicas, poI lticas y rija r los objetivos
4, Equipo del Pro yecto : Todas las personas que acrue n bajo la responsabihdad de l dllector del proyecto
y so n responsables de aSlstlf e n la gestión de las operacrooes dej proyecto
6, Partes interesadas: Indv iduos o gr\Jp05 de personas que se ven afe<:ta dos por las decislores
adopladas en el proyecto ylo tie nen un Interés e n su resu~ado Este enfcque asume qlR la
Ofgaruza\: 1Ófl co.xn ple lI:1 cierto equi li brio entre los intereses de las distintas partes, al Igua l que I3s
d'sltrtas pa rtes deoon cumpl ir con CIertos mtereses de la orga nizacIÓn

Pa ra me¡o ra r el rendrlTlJe nto del equ ipo a cargo del proy~ to SGS I deben ser ,""oporClOfladas 13 rormact6n,
las he rram lefllas, técnICas y procoomientos pa ra el personal para permrtlr la gesltón eficaz de la apl icaC1Ón
del SGSI sigwendo I3s mejOres prá, ltcas En el caso de los proyectos de SGSI Implementado en vanos
sitios, es necesario est wa r las im plicacIOneS de la gestión interclAtlS3l
Nota importante : No es necesano qlR todoG los mterTbos de l equi po de l proyecto sea n expertos en

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 " 9


seguridad de I ~ irtormaclÓrl e in, II.ISO probatkmenle no es deseable. La prtondad debe ser el
estableclrI'IIento de.., equIPO mutldlsclpl inario

Cl PECe _... _ _ _ .... ' .. , , . . . _;0" ,' ,


Secció n 8 Liderazgo y ap"oOOclÓn del P"OI'e<:to SGS I

Director del Proyecto SGSI


Competencias requeridas
El director del proyecto SGSI debe tener los conocimientos y
habilidades en las siguientes areas:
1, Conocimiento y habilid ades en Gestión de Proyectos
2. Conocimiento de la organización y su entorno
3. Conocimiento de la gestión basica de la seguridad de la
información
4 . Habilidades interpersonales (comunicación efectiva,
negociación, resolución de problemas, habilidades de
liderazgo, etc.. )

Nota: El director del proyecto SGSI es a menudo el


encargado de la seguridad de la organización,
con el apoyo de un director de proyecto

"'''
Un director del p"oyecto SGS I debe ser nombrado tan p-unto como sea ~l bIe El di rector dej P"OI'ecto
SGS I es una persona que tiene res¡:onsabi l idade~ y aulorirnod para dlnQl r el proyecto y gara ntiza r que e l
Slstema de gestió n de seguridad de la ....ormaclÓ n sea estable<:ldo, rmplememado y ma nlenido La
autOrIdad debe ser delegada e n el dlredor del p"oyecto SGSI en relaci::m con las responsabi lidades
asignadas a él.

A merui::l, el dlre<:tor de l proyecto es el Ol íe! Irtormafion Secunty OHicer (C ISO) de la o rgaruaci6n. Este
puede ser un di rector de proyecto (e l CISC en este escenario es un miembro del equtpo de ~tj 6n del
p-uyecto y será respor15abie de l SGSI en el tnicio de la operacIÓn)

Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

Comité Directivo
Durante el proyecto SGSI

oeI<WlH~y~ _ _ "prO)'O<IOSGSI
~",-y",~--""","

SOI ........ ¡ar .. _ _ (\O ....-.(\0........,.


00>0 ....... y .. _ _ .,.. SOSl (\O*I>UtS(\O .. 01*"'""")
Y~ (\O

-~-
Ge-..,Ios ,..,.....,.
R_ _ """""'- poi' lo DIr&cáoIn

"'''
En genera l, el comné directivo del proyecto consISte en el personal clave de la empresa , que llene los
coroclmienlos técnic06 y eKpenos de alto n",el en e l ;lJrnt:ito del proyecto pa ra ga ranllzar la efICacia y la
aprOpiaCIÓ n de los conoeplos del matena l cubterto

A Ira\'és de la implementación de l SGSI. esta com i~i6n es de pa rllcula r importancia, ya que servir.... de
erjace er4re las OperacIOnes de e¡ec\.lOlÓn del sistem<l y las preocupecoones eSlratég icas de la gestió n A
rlvel táctICO es po r esta razón que al menos e l palad in y el di rwtor del proyecto serán parte del com ité
directivo para inspirar y coordinar

Nota impo rtilnte: El com rté de di reoclÓn de un proyecto de SGS I está a menLdo apoyado por el Com ité
de SegtXKlad de la Información de la organlzación

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 "


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

1.4.3. Determinación
de las Necesidades de Recursos para el SGSI

los tipos de recursos que se considera deberán incluir


pero no se limitan a:
1. las Personas
2. Información y datos
3. las instalaciones. equipos y consumibles
4. Sistemas de tecnología de la información y la
comunicación (TIC)
5. Transporte
6. Finanzas
7. Socios y proveedores

"'''
Los esfuerzos rea llslas requieren de una evaluación a fondo de los recursos necesa rios pe ra reaMar los
procesos de la ITlIsiónldel negocio ta n ~pidamenle como sea posible . Trabajando con la administració n y
oo n ewe rtos Inlemos y e>demos, el Gere nte del proyecto de SGSI deberla ga ranbza r que eslén
klerlll1 icados los reoossos necesarIOS

12
Cl PECe_ ... _ · _ .... . .. , , . . . _ ; s .
Secció n 8 Liderazgo y ap"oOOClÓn del P"OI'e<:to SGS I

1.4.4. Elaboración del Plan del Proyecto


SGSI
ISO 27003, Clausula 5.4 y PMBOK

Un méto do iterati vo

Recu rsos C o s tos

¡ Plan del

Re trasos

"'''
El plan del proyecto util IZa los resullados del proceso de plan~ica<:lÓ n de diversas dlsc lplinas para oIre<:er

".,,-
un documento lógICO y coherenle que se puede LtilLZa r para gua r ta nlo la rea lIZación corno la di recció n del

Este proceso siempre requiere de varias ileraciones. Por ejemplo, el pr imer paso puede describi r las
formas en general V ro espe;;ificar la d!Ja<;1ÓO de las actrvidades, mrent ras que el últ irro paso delanará los
recursos especlficos y fechas co ncreta s

El plan del p"oyecto se utiliza p<lra


Guia r la ejecuc ió n del p"oyecto
~anlener un registro escr ito de las ni póte6ls lormuladas en la pla nifICació n;
No ~rd er de vista los [¡j zooes para elegrr entre alternatMlS
Fac ilitar la cOIlllXllCación entre las pa rtes Interesadas ;
Plamlica r las revisiones pIlOClpaieS del proyecto, con su alcance, contenido y fecha
ProporCIOna r un ,.."lo de refereoc <a pa ra medir el prog reso y e l cont rol del pruyecto;

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 "


Sección 8 Liderazgo y aproOOclÓn del proye<:to SGS I

Contenido del plan del proyecto SGSI


ISO 27003, clausula 5.4 y PMBOK
Un plan de proyecto general incluye lo siguiente :
1. Carta del Proyecto
2. Descripción del enfoque o eslralegia de geslión de proyectos
3. Formulacion del contenido del proyecto, con resultados y
objetivos del proyecto
4 Estructura Detallada del proyecto (estructura 'WBS")
5. Costos estimados, fecha de inicio prevista , y la asignación de
responsabilidades
6. Referencias; medición de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8 Personal clave o necesario
9. Riesgos claves, con las limitaciones, supuaslos , y las
respuestas propuestas
10. Problemas corrientes y decisiones pendientes

"'''
Corro perte de la tmplementación de "" SGSI, la Integración del puyecto , que es la prtmer ~rea de
coroclmiento estudiada por PMBOK y que prCl¡Xl fclOI1a todas las furclOl1es que pem1tten una coordinación
efectiva de los drversos elementos del puyecto, es "" paso clave para el éx ito

En este sertido, el Plan (gestión) de l proyecto consistira en .., OOcOO1eriO de slntesis, más o menos
deta llado, que p;ede dMdlflie en dile rentes pla nes de proyectos, tentendo cada uno Uf] enfoque más
deta ll ado relaoonado con los sub· proyectos espec lricos Estos pIa~ oompIemeriario5, en el oon1exto
especIfico de la implementación de l SGS I, identificaran, entre otros a
La Carta de l proyecto (PMBOK, $eoción 5 1 3 1);
Las entradas a oIros procesos (PMOOK, SeccIÓn 8 1 34) ,
El organigrama (PMBOK. SeccIÓn 9 1,3 3);
El plan de geslIón de riesgos (PMBOK, Seoción 11 1 3 1),

Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "


Secció n 8 Liderazgo y ap"OOOClÓn del p"oye<:to SGS I

Presentación y Revisi ón del Plan del


Proyecto SGSI
ISO 27003, clausula 5.4 y PMBOK

incertidumbres inherentes en el

de la planificaci6n y sucesivas fases de ejecuci6n

deben proveerse

"'''
Du ra nte la l ase de Inrc"" llZaclÓn del p-oyecto, las f'-"Clones y res~sabi li dades de cada parte interesada
en ~ proyecto est~n clara mente definidas, es m ¡:ortante estructurar las cosas pa ra asegurar una
ImplementacIÓn ex itosa Esm fase es relat"'ameme cort¡¡ y gene ra lmente se hmta a ~rse de a<;uerdo
sobre una serie de elementos clave que ronforman el pla n de p-oyecto
RevISión de 105 objetIVOS del proyecto y los factores de éxito,
RevIsa r el métooo propuesto ,
ldenllficaClón de los nesgas e IrCertl(1,Hnbres Inherentes en el p"oyecto,
Esumar la fa lta de recursos internos,
Derlflk:lÓ n de ta plari rlCación y sl.IOesivas fases de ejecoolÓn,
ReVISIÓn de las p"estaciones que deDen p"oveerse;
Reovlsar las fu r.:::iones de todos 105 Il1IIOlucrados ,
ReVIsa r los doc\Xflefl(os del p"oyecto (Iisms de ta reas, las actas de las reU'1iones, notas de ent rega,
"o)
Defimción de la frecuer.:::la y ~ contenido de las retJ:1iones de fKogreso.

El plan del proyecto que se define COrnl.na 'm ja de ruta", será, a conllnUIICIÓn. formalmente presenlado
y ap-obado po r la adrru~traclÓn, dado que lomenta la OrgllfllZllCIÓn en térmlrlos de recursos materia les y
humanos y también en témunos fmar.:::l9fOS, oomo ya se lfiormó anteriormente

La aclaracIÓn Inte rpuesta ¡:or ellorma bsrnl del pla n del proye<:1O permite que el equi po del p-oyecto refIne
V doc\Xflefl1e los requiSItos lunaonales necesarios pa ra alcarlZOl r los obretrvos de la orgamzaclÓfl En otras
palabras, los elemenlOS antes mencio na dos pueden permtll' prepa rar las tareas que resulten necesanas
oorno consecuencla, alS1qUe solos no serian su/relentes para el SGS ll rroral
DefimclÓll de prooesos y lo..rro:;:lOnes para e¡ecLAa r el proyecto;
ModeladoJDoc umentaclÓll de e!ltos procesos,
DelrnrelÓn de entrada y salida gesuonadas ¡:or el p-oyecto
ldenllficaoo n de los impactos de orgarlZaci6n que e l proyecto ca usarla,
ldentrrrcación de los elementos reuti li zables cii!! proyectos anteriores pa ra optim iza r el proyecto actual

Cl PECe _... _ __ _ , . ' .. , , . . . _ ; 0 "


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

1.4.5. Aprobación de la Dirección del


Proyecto SGSI
ISO 27003, clausula 5.4

Bon~liolo~ Clavos d<tl


CompromISo do la Ol .... cclon

_.
• MaYQ< conodmienlo de la. ~.
• Óptima asigrladOn ~ recursos
• ldenlmcaciOn de loa activos

• Proce.o <le &egUrK!ad


controlado y medido

"'''
B compromiSO y la partIC ipaCIÓn activa de la d,recc,oo de la orgaruaoon detrás del proyeclo SGS I es
esencia l para desa rro llar y ma ntener un SGS I efectIVO en el bempo. La dirección de la organazaClÓn ayl.da
a crear una cultu ra de segundad de la inlorma<;!Ó n y educar a 1000s 101; moembros de la organizaCIÓn para
esle propós ilo La ado11 irlistrac06n debe aproba r el modelo de nego<:lO Y p'a n de proyecto de l SGSI Las
declaraciones de apoyo y la aUlonzación de la geSli6 n deben ser doec.menladas formalmenle

Los benelidos esperados de un compromiso de la direOOK)Il para implemenlar un SGS I sOIlIol; s>guoenles
1 Un mejor conocllnenlo y lenoda en CUI!!1Ia de las leyes, regulac iones, obligaciones contractuales y
normas reladoredas co n la segurklad de la InformacIÓn , el otietivo de 101; cua les es eVItar la
responsabilidad (ciVil o penal) y posibles sartciones po r lfICl.mp imien1o
2 Una asignación óptima de recursos dedicados a la SBgtI" idad de la irtorrnación
3, lk1a idenllflcaci6n de los actl\lQS cr lt lCQS de la orgaruzaclÓn y una pr01ecci6 n adecwda pa ra ellos
4, Procesoo y medidas de segundad controlados y medidos
5 El acceso a informacoo nable sobre el nrve l de expos.elÓn al riesgo de la orgalllZac lón para que ésta
pueda tomar las deCISIOlleS adecuadas

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 "


Secció n 8 Liderazgo y aproOOclÓn del proye<:to SGS I

Funciones de la Dirección
Durante el proyecto SGSI

Validar las fundooe. y respoosabilidOOes de les principa¡",.


Intwesadoo .... el proyvctc
Validar las poIllicas de seguOOad del SGSI
A¡)<obar lo. cmenos para la acep1:aOOn (lel nesgo Ydel Ilesgo
res.idual
A¡)<obar el plan de 1ratan\le1ltO del fle5¡;¡O Y perrnnir la apIicect6cI
del SGSI
Proveer de rew<$O$ .... ftClentes para la unpIeme!1tadón del
SGSI

"'''
ISO 27(1)1, C~III , : Lid.8zgo

' .1Liderazgo y compromioo


La aira di/'8iXión GIabet"a demostrar su liderazgo y ccmpromiso CGtl raspacto a los sistemas de gestión da
segulldixi de la inlormoclÓn
a) gatallbzan:Jo que se establezcan la ¡x;ill/Ca de segundad de la mlormoci&1 y los ob¡elIVOS de segund4d
de la información y qua S8arr ccmpa~bles conla ai/'8iXi6n 8Strat~lCa da la organiz.rión '
b) QSe9lTancb la integracJÓrl 00 los r~wsilos de los Sistemas da gesbón de segulldixi da la InformOCIÓfl en
los p«XeSQS de la organ'zaclÓn,
e) garanlizardo qua están dispooiblas los ractrSOS llaCEIsa/ios pata al sistema da gastión de segllid4d 00
la ,r(ormacJÓrl
<:ti cornUnICan<b la impxf<n:ra de (I1a bU6l'la gestIÓn de la segunda:! de la IflformocJÓrl y de eadormlda:!
CGtlIos r~wSltos d8I slsrema da gestión de segundad de la Información
e) aseglTando que el Sistema de gest!Ó'1 de segundad de la mlorma;ión air;aroe el resultados(s) prevIstos;
/) dmgleftio y apoyand:> a las perS01<JS para oootribuu a la efICacia del SJstOO'la de gesllón de segundad de
la información
g) promCNiendo la mejora OCIlIlflua, y
h) prestando apoyo a otras f!l1OlúOeS de gestión pertinentes para demostrar su liderazgo ya qua esto
aplica a sus áleas de responsabilidad,

Cl PECe...,.." ... _ _ _ _ , . ' .. , , .. . _ ;0"


Secció n 8 Liderazgo y ap"oOOClÓn del P"OI'e<:to SGSI

¿Preguntas?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 "


"
SeccIÓn 9 Alcance del SGSI

Capacitación Implementador líder Certificado


en la norma ISO 27001
Sección 9
Alcance del SGSI

a. Dallnlr los IImlUts de la of1lanlzaelón


b. OfIfinlr los limites de los sistemas de Inlormaclón
c. Definir el ~mbilo y limites l isicos
d. Definir el alcance dal SGSI
e. Cambios an el ale~ncs

1. E~tenslón del imbllo de aplicación

"'''

Cl PECe _... _ __ .... . .. , , .. . _ ; 0 "


SeccIÓn 9 Alcance del SGSI

1.5. Definir el Alcance del SGSI

1. Planificar 2. Hacer 3. Verificar . Actua r

,,"-"'
~.-
.
, .~"

,,,e
Objetivos prindpales de este pno

1. Defin ~ el alcarl<:e del $OS I de la organIZacIÓn


2. Defln óolÓll de los Ilmrtes del alcarl<:e e n térmInos orgarualNos, lecno lOgloos y flslCOS.

Cl PECe _... _ ·_ .... . .. , , .. . _ ; 0 "


SeccIÓn 9 Alcance del SGSI

Requisitos de la Norma ISO 27001

4.3 Determinar el alcance del SGSI

La organización delerminar¡j los !lmiles ~ la aplicabilidad del


sistema de gestión de la seguridad de la información para
establecer su alcance
Al determinar el alcance, la organización deber¡j tener en cuenta:
a} los problemas inlernos ~ externos a los que se hace referencia
en el punto 4.1.
b) los requisitos contemplados en el punto 4.2 : ~
c) las interfaces ~ las dependencias entre las actividades realizadas
por la organización, ~ aquellas que se llevan a cabo por airas
organizaciones.

El alcance deberá estar disponible como in formación documentada.

"'''
Una orga rua<:i6n que qUIera cumplir con la norma ISO 27001, deberá como mlmflO
1 Documentar el alcance del 5GSI,
2 Defino. los lim iteti del sistema de gestlÓ<l ;
3 Jl.IStiflCar y documerltar las e~c l uslOnes

Nota: Dllranle el est-.d1O de l Anexo A, y de la Decla ra cIÓn de Aplicabi lidad, vamos a ver los coflt roleti que
pueden ser exclUidos porque no ledos los CO lllroles pueden ser excluidos.

Cl PECe _... _ ·_ .... . .. , , .. . _ ; 0 "


SeccIÓn 9 Alcance del SGSI

Ámbito de Aplicación
Importancia
Una clara definición del alcance, centrándose en
actividades clave de la organización, es un factor de
éxito importante para la implementación del SGSI.
Esto hará que sea más fácil :
1. Conseguir el apoyo de la dirección
2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas

Nota importante : el tamaño del ámbito de aplicación


es el primer factor que determina
la cantidad de esfuerzo requerido por el proyecto.

"'''
Una definicIÓn clara del alcame es un laclor Imputall1e para el éxrto de la ImplementacIÓn del SGSI Al
defini r un a lcance que sea una cori iroaclÓIl de la misIÓn de la orgarozaci6n. es m~s filociI oIXener apoyo de
la dirección y e l comprormso de las partes interesadas en el proyecto y Justificar un valor afladloo para las
p¡¡rtes lrieresadas

De ben evrtarse las áreas de apllcaciórJ qLIl' ro proporcIOnan ningún valor a las partes Interesaoos ylo no
coimlde n con sus expe<;lativas Po r ejemplo, un banco cLlYo centro de formacIÓ n eS1á sierdo certificado
con la norma ISO 27001 puede no crea ! valor para sus clientes o alrJ1enlar su percepcIÓn de la segLJ'idaCI
SI entra en la corIuslÓ n la percepcIÓn de que el t>anco está SIeOOo cert lti<;ado por su banca, eslo podrJa
w.cluso ser cof15lde rado por ellos corro un engat\o.

U, eXleflSlÓn del ámbno de aplicacIÓn será el facto r princIpa l que determine la cant idad de esfuerzo
requerido po r el proyecto ctMamell1e, pa ra una empresa de 20 OCO empleados con 30 d'v lsio nes
repartidas en seIS pa ises, sera milos f;'jcil, más rapido y menos costoso certrro:::ar sólo una div isIÓn o un
proceso clave en lug ar de toda la orgarozaclÓfl

Si ya ex iste un sistema de gestión implementado dentro de la organización ta l como un sistema de gestión


de ca lidad, el a lcaoce del SGSI puede curor la misma área , superpoflléndose en parte al sIStema orig lfJa I o
ser lotl lmente w.deperdlente de él

Cl PECe...,.." ... _ · __ , .. .. , , .. . _;0"


SeccIÓn 9 Alcance del SGSI

1,5. Definir el Alcance del SGS I


lista de actividades

-'- ,
""''''',,'''''
""' ~m\",,"o
J
I

-
15.J l " , , - '
-. 1 ,~ ' _
00 ..,..,.-. -.
~

o """" _ .. ' S<,SI

"'''
Lista de las actividades in<::luidas en la melodologlalMS2 de PECe <::on la <::oITespondienteentrada
y salida

Entrada
Breve descripción de ~ orgarWzadoo
lista de las partes Irneresadas y sus requ isitos
lista de las obl igacIOnes legales, reglarnentanas y COnlra\:t wles
Informe del ané lis is de Nechas
ct>¡etrvos de la orga nizacIÓ n
ct>jetrvos del SGSI
Alcance pr elllTli nar del SGS I

Actividades
l . Defiroendo los IImttes orgall1Zaciona les del MnbllO de aplicacIÓn
2. Defi ntendo los IImJtes del sIstema de Iriormac l6n del ámbito de apl lC3ClÓl1
3 Defl ",endo los Ilm tes f lsk:os de l amblto de aplICacIÓ n
4 Redacc ió n de la decla racIÓn de l ámbito de aplicoción del SGS I y del alcance

Salida
Ámbito de aplicadón documentado y aprobado
• Declarac ión det ámbrto de apl icacIÓn

Cl PECe _... _ _ _ _ , . . . ., , .. __ ;s"

"
SeccIÓn 9 Alcance del SGSI

Limites del SGSI


Las 3 dimensiones a considerar

"'''
" Limites de la o rganimdo n
Una comumdad es una red el'tramam de las relaciones soaales regidas por un orden normalNo a¡:ilcat:<e
a los panlClpantes que están obhgados por esla red Pero a menudo es m.ry dificil definir los IImnes de una
orgafllZaaOn, ya CJ.Ie a menudo es a la vez amplia y dlnáfTl103

Dos enloques para la definICIÓn de '1imite" son comiXlmente vlflCu lanlas El enroque rea lista coos iste en
ado~ar la deflni<:i6n de los llmiles ut j rzados por los propios USWrlO5. Por el conIrarlo, U'l erloq.¡e corm:,n
es que el d irector del programa elegu"a U'l llmile que a lcanza sus objel ivos de an:li li sis En cada enfoque,
los pa r!Jclpantes del proyecto se centrar¡) n en los aclores, las relaCIOnes o act",1dades

A trallés de estudios sobre e l !uo;::ronamrento de las orgari.zacrolleS, los teóricos de la red a menudo
observan l.f\a frecuencia da "'tet'aCCJQo1 Y establece n claramente los Ilmnes donde esa mISma frecuencia
de InleracclÓn dlsmll'J..lYe.

Los Ilmlles geográfICOS (ofIC ina de la empresa , ele.) Y los IImnes temporales (Irampo, los programas de
e&:ntono) son lambién oIros métodos práctiws para defi nir los IImrtes de la orgaruaci6n la dellnld6n de
IImiles basada en las a.:lNidades operaciona les, sin emba rgo, puede llega r a ser compleja cuando las
organtZacrooes esta n InvotUCfadaS en las actividades de otras OrgafUacroOl'S

Los Ilmnes de orgalllZaclÓn de l.f\a orgari.zac i6n también se pueden delerm ina l med iante la observaci6n
de los CIClos de las transaociorres de irlorma<;lÓn que Circula n a través de ras entradas, sa lidas e
ln'ormaci6n de reoomranto que eslo genera Lo que está fuera de estos ck;los estarla de hecho .res a ll ~
del limite.

Cl PECe _... _ __ _ , . . .. , , .. . _ ; 0 "


,.
SeccIÓn 9 Alcance del SGSI

2. Limites de 10$ Sistemas de Información

La aSlgnaci6n de recursos de iriormaclÓn en un SIStema de irioonaclón define el limle de


seguridad para esle sistema Las orga nlZactones llenen de hecho LnI considerable fle~ l btl idad
en la determlnaoon de lo que consl ituye lXl sislema de inlormación (por eJE!!11PlO. una apl icación
pnrlClpal o el sIStema de apoyo general) Sl lXl COf"jl.rtO de recl.JlSO$ de Iriormact6n se tde rlllfi ca
corro lXl sIStema de triormaclÓn, estos recursos por lo genera l debe esta r bajo la mrsma
alJoridad de gesllón directa También es poSible que un sistema de Irtormactc'm compleja pueda
contener varios subsislemas, cada UO"J con sus ,..opiOs Ilmiles

Aderms de considerar el <'>rgano de gesl ión d!recta, p.Jede ser út i SI las orgarllzac lones
considera n si los recursos de inlormaclÓn que se ident,llcan en lXl sIstema de información llenen
la mstna flXlClón O el msma objetIVO genera l y eser.:;la lmente las mismas caracter1slTcas y
operacIÓn de seguridad Y residen en el msmo SlSlema ope rativO genera l (o en el caso de lXl
sIstema de Iriorm aclÓn ristnbutdo, con domic ilio en ~ a nos luga res oon ertornos operall\los
SlfllI lares)

Notas sobt"e la lerm nolog la


1 Los recursos de infoonacón consIste n en la Información que contie nen y los teC\.J rsos
asoaados. ta les corro persona l, equopo , presupuesto y tecnolog la de la información
dedicada que se ut iliza n en apoyo del recurw
2. La autoridad de gesMn suele tene r responsabilidades ,..esupuestanas u operativas dorectas
y otras responsabi lK1ade5 asodadas. Como parte de lXl proyecto de im¡jemertaciÓll del
SGS I la autoridad de geStl6n ,""""de considerarse oon autoridad y res¡:onsabl lidad para el
presupuesto de deS<lrrollo y despliegue del flUe'JO sistema de geStiÓll de segurJdOO de la
Irtormación

3. Limites Flsleos

Como p¡jrte de un proyecto p¡jra ITTIPlernenta r el SGSI, la ident ificacIÓn de los Ilmnes flslCOS es a
menudo lo rntIs fácil p¡j ra el equ ipo del proyecto. El IImne l lsico de lXl sistema p..oede ser tan
Slmple como un enchile en la pared, un f).Ierto en Ufl cormutador o el pe rlmetro de lXl servidor
de seg <S1dad.

Por ejemplo, en sIstema metropolnano. los Ilmrtes fistcos pod rlan se r de1lndos por el edificio
Ufl
en particular en Ufl<l CIWad donde se ut iliza este SIStema de torma e~c l lJSMI . De ma nera ml!s
sistérnca . un sistema también PJede ser definido por un cOI1jLX1lo de servidores conectados a
estacIOnes de IrabaJO en diferentes lugares geog raf= y donde todos comparten la msma base
de datos Po r lo tanto, Io5l1mnes l ísicos tleflden a se r más concretos que IlIs fronteras lógicas, ya
~ pueden ser ''tocados''

Cl PECe _... _ __ .,.. ' .. , , .. . _ ; 0 " 25


SeccIÓn 9 Alcance del SGSI

1.5. 1 Definir los Limites Organizacionales


del Alcance
ISO 27003 , clausula 6.2

Un proceso
clave

Un departamento

La organización
como un todo
La organización y
sus parles
interesadas

"'''
Los p"mefOS Ilmles del a lcance que se defwen son los Ilmues OfganlZaClOna!es Lo sigUIente llene que ser
considerado

1 UnIdades orga nlza livas: departamento,~, fi lia l, ele


2 ES!rLCIuras de organizaCIÓn y las responsabi lidades de los adrlllAstraoores
3. Procesos de Neg<x:1O gestió n de venta s, el p"oceso de a¡jquiskiones, oonlrataclÓn, etc

Un método efICaz para la definteión de los limites es e~ am i nar las responsabilidades y áreas de influencIa
de los tomado res de decisiones clave en la o rgaruación Por ejemplo, una Ofga~ción que quiere
Implementar un SGSI en su depa rtamento de finanza s Med iante e l análISIS de procesos y servICIOS clave
que se incluyen en el area del CFO, pueden propone rse los l im~es a nivel o rga l1lZaciona L AsI, sj los
beneficIOS de los empleados son gesfionados por el departamento de Recursos Huma nos, p:>drlan ser
docIxnertados como exctlidos del ámbno de apl icacIÓn Sin embarg:>, en este ejemplo, la InfOfl'TlaCIÓn
relativa a las prestacrones/beneflClOs se considera como entrada y sa lida del SGS I y deben ser tel1ldas en
cuenta las interfaces con los sistemas que los gestiona n

Los entrega bies para esta actividad son.

1 DescnpolÓn de los lImites de la orgaflza clÓn con una Justificación documentada de las e~cep:mnes
2 Descnpolón de las estru:turas organrzaclonales incl uidas e n el SGSI
3 ident ificacIÓn de procesos de negocIO y los activos de irlormaclÓn (con sus duel"rJs)
4 IdentificaCIÓn de la ' direcc ión y los procesos de toma de deCISooneS'

Nota: En una o rgamzaClÓn muy descentra lizada, p..rede ser conveniente crear un SGSI dderente para cada
o;WlSlÓn y II.IegJ cert~lCa r cada uno Independ ientemente Por el contral1O, una organ izaCIÓ n altamente
centralizada liende a tener sólo un SGSI dirigido y corl.rolado desde la sede centra l.

Cl PECe_ ... _ _ _ _ , . ' .. , , .. . _ ; 0 "


SeccIÓn 9 Alcance del SGSI

1.5.2 . Definición de los Umites de los Sistemas


Incluidos en el Ámbito de Aplicación
ISO 27003, clausula 6 3
, T_,"", en ",--10; kxIot
1:>0 componentes <!el
oio""". 1 "'" ""iIado
~
•~
dO hardwaf&

• Noto: En l8or",, !ln SGSI

--
.., ",besttuct"'"
18a"*'>gk.o po<II1. _

El segundo niv~ de los limiles del ~lcance que t>erre que defi ni rse son las de los sistemas de
información Todos los corrp:lrrenles del sistema deben ser tenidos en cuenta y no se deben li nita r al
h¡lfdw3re, ta les como servido res y eqUlpo'S de tele<:omlX1icaclOnes so l~mente Las li mitacIOnes
tecnológicas y las obIrgaclOnes contractua les de la orgaru:a<;ión ta mbién deben ser consideradas

Los lim ites de los sistemas de inlormación, en partICula r. se definen en términos de.

1 Redes redes 'nlernas, redes m l;limoocas, etc.


2. SIStemas OperatIVos W iooaws, Unux, etc
3 Aploca<;tones' CRM , soltw~ re de gesll6n de nóm inas, ERP, servk:los púbhcos, base de datos
4. Datos registros de dientes, datos médicos, de imeslIgación y desarrollo, etc.
5. Procesos T ener en cuenta los procesos que tla nsporta n. almacenan o procesan Inlormac,ón
6 Equi po dele lecomunicaclOOes ruleadores, cortafuegos, etc.

Los siSlemas de inlolTTlación re lacionados con los proceros de negocio deberlan al menos estar
InC lUidos en los Itmlles organlzacionales de l alcance Por ejemplo, no seria aproprado exclUIr la
aplicaciÓl1 de las bases de datos del cli ente y el CRM (Customer Retabonsrip Managemert) si ircluye n
la gesUÓI1 de las cuentas p:¡r cobrar yel departamento de servicio al cliente Se deben toma r en cuerta
todas las actrvidades de l.Il proceso y el Intercambro de Información Incluida en el alcance, inc lUyendo
las ertradas y salidas, Por ejemplo una organizacIÓn que tendr;li certifICado el servicio de clleque5.
Internamente, hay un programa ut ilizado pa ra la captura de datos y tra nsferencra de informacIÓn a un
te rcero que em ite los cheques La organrzaclÓn debe garantIZa r la seguridad de la ,nlormaclÓn, no só lo
OIJando se intrcd.o::en los dalos, SUl:l tambrén ruarte el traslado y du'arte el trata rnerto por 18 parte
fr<tern~. Este seguro p..ede adoptar la forma de, por ej emplo, l.Il acuerdo oontraclua l

Nota: En leo rTa , lX1 SGS I sin infraestmctll'a tecnológica podrla ser certifICado ¡:or la no rma ISO 27001
ya que la norma concierne a la seguridad de la información y no de los si~ temas informaticos Se
podrla citar el eJemplo de l.Il arctivo que no tiene (o tiene cast nada de) lecnologla Instalada

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 " 27


SeccIÓn 9 Alcance del SGSI

1.5.3. Definir el Alcance y Límites Físícos


ISO 27003, clausula 6.4

• Deben tomarse en cuenta todos los lugares físicos, tanto


internos como externos, incluidos en el SGSI.
• Los sllios incluyen todos los lugares dentro del alcance o
dentro de parte del alcance y los medios físicos
necesarios para que funcionen.
• En el caso de los sitíos físicos subcontratados, tienen
que ser consideradas las interfaces con el SGSI y los
acuerdos de servicios aplicables

"'''
B tercer nrvel de IImiles es dellnlr los limite\> flsiros Todas los l-.gares flslCOs. tanto Internos C<Xm
exteroos. que estan ircluidos en el SGSI deben &ef cons iderados. Los srtios if1clltyen 10005 los ILga res
dentro del alcance o dentro de parte de l atcarce y los medIOS flSICOs necesar10s pa ra que func ionen

En el caso de los SItios ffsicos sub:;ortratados, deben ser cons ideradas las inlerfaces con el SGSI y los
acuerdos de iSelViclOS aplicables. Se p..¡ede CIta r el ejemplo de lXl oentro de procesam iento de dalos
e~terno La organrza<:i6 n debe tener en cuenta la ~aclÓn geográfica donde se encuentra el cern ro
alJ1ql.le 00 sea la propietaria

Cl PECe..".." ... _ · _ . . . . . .. , , . . . _ ; s .
"
SeccIÓn 9 Alcance del SGSI

1.5.4 . Definir el Al cance del SGSI


ISO 27003, clausula 6,5
El alcance debería íncluir:
1. Las principales características de la organización
2. Los procesos de la organización
3. Las descripciones de las funciones y
responsabilidades relacionadas con el SGSI
4. Lista de los activos de información
5. Usta de los sistemas de información I
6. Mapas de ubicación geográfica 'N
7. Los detalles y motivos para las O
exclusiones O

"'''
Des~ de habe r definido los Ilm tes. los dflereotes corn,.:>neoles del alcance deberfa n ser IntegradOS y
OOcurnentaoos

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; 0 " 29


SeccIÓn 9 Alcance del SGSI

Declaración del Ámbito de Aplicación


Ejemplos

• La declaración del alcance es pública y, en general, está


disponible en el organismo de certificación que haya
expedido el certificado
• Esta declaración resumida estará escrita en el
certificado. Deberia ser:
Tan simple como sea posible
2. Comprensible para algu ien e xtern o a la organización
3 Lo suficientemente precisa para expresar lo que esta
cubierto por la certificación

Ejemplo · edición y alojamiento de sitios web para la gestión


y el desarrollo de los empleados

"'''
Alguros eJem¡;kls:
@!Wales Oigital Media IIlítiative (Reillo UIlido): El SIstema de Gestión de Seguridad de la InformacIÓn en
relao;lÓn oo n la prestaCIÓn de sel\l lCIOS de lni<;io, asesoramienlo empresana l, e insta lao;lOlleS Esto está de
acuerdo CorJ la versIÓn 1 5 de la DeclaraCIÓ n de Aphcabilidad

~2 10M Lid (Reino UIlido): El sum nistro y la instalacIÓn de hardware, software y sel\lICIOS de cableado
de T I, includa la consulta , capacitacIÓn, soporte, mantenimiento y Instalaciones de recuperacIÓn de
desastres para el ~emo de la Isla de Man en conlorrntdad con la uftima versi6n de la DeclaraCIÓn de
AplICabilidad

AAO Co" Lid (Japoll¡: ImpresIÓ n y plarjflCacr6n, producCIÓn y diseno correspond ientes PlarjficaclÓn de
snios web y apllCa~6n de los rTliSmos Dec laraci6n de Aplicabilidad, publICada el 19/JU12011 , versIÓn 3
ara ublcaci6n(s) Pla nta de Kawaguchi

Amalon Web Servius LLC ¡EeuU); Certificado de Alcance 2010-002 - Amazon Web SeMCes, S,R L El
árntorto de aplICación de l SGS I aoo rca los serviCIOS Amazon ElastlC Comp¡..(e Cloud (EC2), Amazon Simple
Storage Sel\llCe (S3), Amazon Virtua l PrNate CIow (VPC), y sus recursos de soporte, OperaclC 'leS de
Infraestruotura, AWS , Segundad y GestIÓn de Act ivos ActIVOS en el ámbito de aplICaCIÓn del SGS I
Inc luyen Los ao;trvos de informao;lÓn, tales oomo los pIa~ del proyecto, código fuente, bases de datos,
documenta ción de l sistema y los proced imientos operaclOflales; los activos de software, ta l~ oorro

r
BpllCa~ones de servidor y escmono, los act ivos de ha rdware incluido p:>rtáll les y eSCrllOflO del cliente,
servidores los archivos de datos, l.I1ióades de cinta y los dIspos~ivos de almacena mento; los recursos
de persona de AWS , Inc luyerd'J" Los propieta rIOS de servICIOS de AWS ' -los di rectores genera les de los
servICIOS u otras personas con responsabil idad en las operaciones especHlCas del sel\licio de las que son
respo nsables y geSllOO de AWS, y edifICIOS de personal y equ ipo de apoyo y el desarro llo de serviCIOS de
AWS, Los lugares de l ámbito so n ' Sede corporativa de AWS Seattte, WashingtorJ - La Siguiente es Ufl3
hsta resUfTlIda de centros de datos que alrergan hardw3re que se ¡..(lllZa para proporcIOna r los sel\l lcios
de: Centros de datos de AWS en el oeste de Washfiglorl, Estados Urroos, centros de datos de AWS en el
rote de Virgnia, Estados Urnoos, centros de datos de AWS en el Norte de C<l llfornia, Estados Urldos,
OX'ntros de datos de AWS en ()'¡ljin , I ~a,.ja. centros de dalos de AWS en Slngapur 8<cluidos del ámbllo
de aplICaCIÓn del SGSI son controles relaCloredos con la segundad IIslca y ambenta l de los recursos de
~orlTl<lClón que se coloca n en centros de datos de terceros, como se Indica en la Declaración de

Cl PECe _... _ · _ _ ,. ' .. , , .. . _ ; 0 "


,o
A;!IIC&CIÓn del SGSI de AWS

<, <
CI'K'_"' ___ "'* '"........_ ..
SeccIÓn 9 Alcance del SGSI

AIRPROOUCTS HVT Ine. (Corea): El sistema de geslión de segLrtdad de la IriormaclÓn en


todas las actIVidades, IflCluyerm la planifICación, el desarrollo, la fabrICacIÓn y e l manlen irriento
de equipo de cal:ina de Gas etlRack. BSGS, GesllÓn de la Entrega de Gas y la insta laCIÓn de
Tuberlas Eslo est.'.o de acuerdo con la versIÓn 1 O de la Dec laració n de ApllCal:i lldad

CIIC HR Management Consulting CO., LId. (Clllna): St.m iristro y el ServICio de Ense/\anza
por la Red y las ImoIa laClones Relacionadas y la InlraeslnJCtura para los Servicios Anteriores
Esto Est.'.o de Acuerdo con la Versión ~as Reciente de la DeClaración de Aplcabrliaad

Infraestructura de la Tecnoiogla de Citigroup (ESTAOOS UNIOOS): Este SGS I se aplica al


Grupo Seguridad de la Info rmación (GS I) de la Inlraestnx:ttra de la Tecnologla de Crtig roop
(ITC), El GSI es ei responsable de la prestac.'¡n de 106 prog ra mas de ITC para la la se[/lJfirnod
de la informaCIÓn que reUne toda la InlormaclÓn rele~ante de controles de segundad. la\; polltlcas
y las Pfáct~ que rigen a la errpesa Citigroep, ya que se refieren a la inlraestn.cttra de
tecnologla y a la gesllón del riesgo o.perabvo en e l entorno de IrtraestrlJctura Esto est'" de
acuerdo con la ven;ión 2 4 de la DeclaracIÓn de ApllC<lbi lidad de lecha 07/03,{lS

cse (EE.UU.): La gestión de la segllidad de la información relac ionada con la preSlación de


servicio\; de gestión de InstalaCIOnes e inlraestruotura de T I seguros y flexlbles,por Centros de
o,stribLclÓn y de Datos de l esc para el de5arrollo de sus actividades. Esto esta de acuerdo con
la verSIÓn maestra 1.7 de la Decla raclÓfl de Apllcal:i lidad

Oeloltte Advlsory s.r.o. (RepolbUca Checa): Gestión de la seguridad de la Irtormact6n en el


departamento de consu/torla induyenjo ~ amplia carpeta que cubre completamente las
necesidades de los clientes en las areas de meJOra en el rendi...-.ento globa l de las empresas y
de las instrtuciones, la gestión de los rerursos hllMnos, SIStemas de triormaclÓn y tecnologla.
gestión financiera y telerntlbca de act.erdo con la últi ma verSIÓn de la declaración de
aplicabilidad

Microsoft. Global Foundatio n Se<vlces Olvislon ¡EEUU): La gesbón de la seguridad de la


lnforma<:ión de MICrosoft Global FoundltlOn Serv>ces Infrastructure que aoo rca centros de datOG
qt.e r¡guran en el presente informe ¡Seanle, OUtney, San Antonio. ToIoo, Singa¡::u, etc.) y equipos
espec lficos de seguridad y cc.mpli l11iE!nto de servICIOS e n linea. Servicios de centro de datos. la
creaCIÓn de redes a nivel fTlIXldla l, Centro de Datos, Servicios de Softwa re OpsCenter ServlCe
Desk, sistemas de operaCIones de Grupo de Apoyo, y Adm imstraclÓn y Despliegue de ActIVOS
de corlormtdad con la Decla raC ión de Aplicabilidad del GFS SGS I de ~lCrosott de fecM
5I15J2006.

McAfee, Ine ¡EE.UU.): Este Sistema de Gestión de Segur idad de la Información (SGS I) se aplica
al equrpo de Operaciones de ProdwclÓn de Seguridad de la Web y de Correo e lectrónICO dent ro
de la O rgar.zación de Seguidad de la Nube y de Contenidos de McAlee. El alcance del equipo
de Operaciones de Produ:::ción dentro de la OrgafllZación de Seguridad de la Nube Y de
Contend06 de McAlee El ámto de aplicaCIÓn de este SGS I es espec ifico de las fUflCiones y
responsal:i lidades asumidas por el persona l de la ubicaCIÓn de Denver, ca y de conlormldad
con la Declaración de Ap icabllidad 10.5 doc.sobre la norma ISO/ lEC 27001 de McAlee

Panasonlc Manufactutlng UK LId (REINO UNIOO): El Sistema de Gestión de Seguridad de la


InformaCIÓn se refiere a toOOs los aspectos de negocIO de Pa nasofllC UK U d. ircluyerdo la
o,vfSiórl de Aparatos Domésbcos, el Centro de DtseI"Io de TeleviSlórl del Remo Un ido, Produ:tos
de CompL(aclÓn de Panasoruc Europa y Sistemas de Proyector de Panas<ric Europa -CS Esto

Cl PECe_iM_· _ _ , . ' .. , , .. . _ ;0.


está de acuerdo con el do<;umento ISMDOC QC(I9I01, N(mero 2, de la Declaf3CIÓn de
AphcatirKlad de fecha 06 de Agosto 2007

Cl PECe _... _ _ _ .... ' .. , , .. • _ ; s . ,' ,


SeccIÓn 9 Alcance del SGSI

Cambios en el Ámbito de Aplicación

Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado

"'''
Es non'T1~ 1 que el alcance varle y cambie co n el tiempo pera que el SGSI siga permltoendo a I~
org¡IllIZaC IÓIl alcanzar sus ot:jelNos de seguridad de la Irtormación. La sollcttud de cambio PJede se r
causada por-
La ampltacKmdel a!caree a otras unidades de la organzaci6n ,
Los cambios e n e l ambente externo (lega les, competilivos. tecnológicos ),
o E~amen de los nuevos escenarios de riesgo ,
o Elc

La sollcrtw de cambio deix' hacerse a través de U!l proceso predefinido que suele ser mediante la
p-esenl<K:1Ón de la so licitoo de cambio CualqUier sollcrtw de cambio debe ser JUstillcada y arepl:ada por el
cornrté de ¡jjrecclÓll del SGS I e n una reviSIÓn de la gesMn

En el caso de un cambio Importanle, debe llevarse a cato un aná liSiS de los ImpactOs del camb+o en el
SGS I antes de la aceptación ~nal. En efecto, un camboo p..oede resulta r en la necesKlad de una nueva
eva luacIÓn de nesgos y la BpllcaclÓn de I'J.levOS controles de segundad que no estaba n p-eV1s1os en el
SGSI ini<: lal.

Cl PECe_ ... _ _ _ . ,.. . .. , , .. . _ ; 0 " 32


SeccIÓn 9 Alcance del SGSI

Extensión del Ámbito de Aplicación


ISO 17021 , clausula 9,5 1

• Varias empresas auditadas prefieren definir un


alcance reducido para una certificación inicial y
completar una solicitud de extensión en los años
siguientes
• La auditoría de extensión se puede realizar durante
una auditoría de control
• Si la certificación de extensión no se concede, la
organización no pierde su certificado actual

"'''
ISO 11021 , c16usuIB 9." 1; Ellfefls;ones del Blcance de 18 cer1ific/K.ión
El orgafllSnlo de cetrificac,,'Jtl óebeI1i. en respuasla a <.na so/iClf.n de ampliación del Aollbito de aplicaci6n
de la cerlificacJÓn ya dorgada. realllar l.Jtl e~am en de la apllCacJÓn y detenn,nar las acwldades de
6I.X111crfa necesanas para dat;/dIr SI la allenSlÓ'! puede oor rx:noedda o no Esto puede se¡; realizado en
forma COtlJ'Utlla con lJt1d aorllcrla de vigil<n:ia

CO PECe .......... _ _ _ . ,.. • .. , , .. . _ ;0" 33


SeccIÓn 9 Alcance del SGSI

Ejercicio 4
Definición del alcance

"'''
De la mformac lÓfl ¡:(op:;>fclOflada en el esl\..Ó<l de caso. slrvase proporcIOnar -.. alcance para el SGSI de la
org¡IllIZaCIÓIl V determine sus Ilmiles. La duecclÓn desea escoger un alcance que sea perciDido como un
va lor afl3ódo a sus clientes y co n IImlles b<en descrilos po r la cert ificacIÓn Ir-..; Ial del SGSI

Duració n del eJercIcIO 20 mll-...tos


Comentarios· 15 m nutos

Cl PECe _... _ __ .... ' .. , , .. • _;0"


"
SeccIÓn 9 Alcance del SGSI

¿Preguntas?

, .., ? '
?
? ;1 . ~I
..,.
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s "


"
SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

Capacitación Implementador líder Certificado


en la norma ISO 27001
Sección 10
PoH!icas de seguridad de la Información

a. Tipos de pollllcas
b. Modelos y estructura de una pollUc.a

c. PoHllca del SGSI


d. Po1itica de Saguridad de la
Información

e. POlltlcas especificas
f. Proceso de Gestión de Políticas

"'''

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s " 36


SeCCIÓn 1o Po lftlC<ls de seguridad de J¡j InformacIÓn

1.6. Politicas de Seguridad de la


Información
1. Planificar 2. Hacer 3. Verificar . Actua r

,,~

~.-
.
,,,e
Objetivos prindpales de esle pno

1 Proveer a J¡j sego.r<dad de la InformaClÓll, OrientacIón y ap:>yo de la di reccIÓn, de acuerdo con los
requenmientos del neg<x:¡o y las leyes y reglamentos aplICables

Los objeti vos secundarios:


1 Cormxucar el COmprom iSO de la aHa órección
2 lderrtifiear a los actores y sus ro les y resp:>nsabi lidades en J¡j gestIÓn de seguridad de la
lflI"ormaclÓn
3 Se nsH:.liza r a la orgaruaclÓn sobl"e los riesgos asodados con el procesamiento de la InformaCIón
4 Prorrover la integración de la gestión de segur<dad de la iriormaclÓn en los procesos de negocio de
lB organizacIÓn
5. Establecer los parámetros que ngen los cont roles de seglSldad especlfi<;os

Cl PECe _... _ ·_ .,.. . .. , , . . . _ ; 0 "


SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

Requisitos de la Norma ISO 27001


5.2 Politica
La alta direco6!1 deber~ establecer una PO¡ltica de seguridad de la inlormaci6n QUI!'
al Ioea ~a para I0Il fines de la ~
b) indIJye oOjeb'OS de seglXidad de la info"nadOn (.éase el purtto 6,2 ) o lIfop<>rd<>l\a el
mareo para estaOlece< objetivos de seguric!ad de la loIormaa6n;
e) incluye un compromiso de rumpllt "'" reqU;Si!M aplicables ,elaaonados CM la
&<>gundad de la informadOn; 1
d ) "'duye un compr<>miso de mej<>rB canl""'" de) o.is!ema <le 9""!i6n <le seguMad <le la
Información,
La poIltica (le seguridad de la 1nIormaci6n debe<i.
el estar d,spooóble como informaci6n documemada'
~ _ comunicaaa dentro ele la <><gani:.ao6n, 1
'J) ~tar a disposidOn <Ie!odas las parle. in!e ,esadas, según corres»OOda

5.1 lid erazgo y compromiso


La atta directi6n ""ber/l <Ierr>.>s!ler .... lldemzgo Y compromiso coo respecto e "'"
. "tema. <le gesti6n <le seguridad <le la inforrr>il'CiOn
di comunicando la lmpo/UInQa <le una buena gesli6n de la segtn;lad <le la Información 1
<lit conformid/ld con los requis~O$ del ofstem¡o <le 9""t;oo <le seguridad <le la información

"'''
Una orgarua<:i6n que qUIera cumplir con J¡j norma ISO 27001 deberá pubI 'car por lo menos

1 Una polit,ca de SGSI ,nclUIdos los tres pontos necesarios PlI ra e~,.-esar las lrI1enoones de la
ao;rn lllislraCKm en la gestoo de l SGSI
2 Una po lHica de segu' idad de la ,rlormación que exprese la oroenladón y que defona las dis)X>Siciones
generales relativas a la segu'lood de la IntonnadOn,
3, Com!XllCar las po1llicas a las PlIrtes interesadas pertlflenles

Cl PECe _... _ ·_ .... ' .. , , .. . _ ; s .


"
Secc IÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

Política
ISO 27000 , clausul a 2.51

~/a intención y orientación general, tal como han


sido expresadas formalmente por la Dirección"

"'''
Nota sobre la telTTlinolog!a:

Es Importante no conIundlr la polltici! con o..na dlrectnz, procedimaento, guja u OIrO tipo de dool.W1'"lentos La
caracterist1ca p" inclpil l de una poHlJca es p"oporC¡on¡j r orientación soto"e ~ tema en pilrtic LJar En varias
&eCCiones del Ola 3 de la capacitación se presenta una expl icación deta llada sobre la elaooraci6n de otros
documentos

39
Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "
SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

Tipos de Políticas
ISO 27003, Anexo O

• ~ _ _ .... 101JOOOÓ'1
<10..,_<10_
"""_ Y_ '"""""'"
~. -.".,.,...,...."'"
0'0IU.<u.... A,O N.... IWO r ......

."'-*"-"-""-
t. "",,,.

---
. E-.","_,,__ _

"'"
La poIlttca de I ~ e"'Vesa se IdenlIlic3 comUnrnente como J¡j expresi6n forma l de las normas de cord.lcta
aplicables dentro de una orgalllZaclÓn Define ¡:era el personal (pero ro las describe de forma si5teiWlbca)
J¡js maneras de actw r de a<:Ul'rdo co n lo que se espera erl ~ r eas dorO: puede ser necesarIO del inlr mejor e l
conteido del lraoojo de J¡j mgaruaci6n

En genera l, eXisten tres riveles de pd ítlCas dentro de '-'la orga niza<:i6 n


1. Las politi<:ils ge nerales de alto nivel delinen un marco gerrera l dentro del cw l será n proporcionados
la seguridad de la inlorma<:1Ón y los objet'-'os genera le5 ¡:era garanllza r la contimm ad del negocio Y
para limitar o ,..eveor el dar"lo potenc lal a los activos de J¡j organIZaCión a un nl\lel aceptable y corro
ta l, li motar las posibles conse<:Uen<:las de incidentes de segu ida d

2. Las politicas de alto nive l rela<:ionados <:00 un tema espedfi<:o definen un suOOonluntO de normas
y práctICas todavla bastante genera les pero que están relaCIOnadas con un ~ rea especHica En su
mayorla son 5UOOrdinada5 a las poI lticas generales de a lto nivel

Hota: Ambos upos de pd ltlC<ls suelen estar suj etos a un proceso de revISIÓn bastante lormal V
re lallvamerte severo deDiOO a su carácter sensit:>e en lo que respecta a la estratega funcional de la
organizaoó n a la que se debe apoyar

3. Las po lltlcas detallada s son las pd lticas detalladas que apoyan la pellto:::a del SGS I (po llbcas de aHo
mve l relacionadas con un tema espec llico) y la PolltlC<l de Seguridad de la Intorma<:i6n (poIlticas de aKo
mve l relaCIOnadas con un tema espec ifico) Permite n espec if><:ar los req'-"sitos de la seguridad interior
Ellas detarrnma n la forma de procede r con el fin de gararrhza r la seguridad de la IrtormaclÓn en areas
de epllCación especRica Ejemplos incluyen les Siguientes pol~icas · le polltica de seg..mdad de los
derechos de acceso a J¡j mlraest ructura de la IntormaClÓ n y la tecnologla , la po lklCa de uso de Internet,
la poI ltlca de archivo y deslrlXlClÓn de documerios. etc

Hota: Algunas de estas poIHlCas detalladas son Indeperdienles, mIentras que otras COrleC1adas a otra
poI llica. so n dependientes POI a¡emplo, una organización puede tener '-'la pom ica de seguridad que se

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; s "


complementa con una poI ll ica de segLndad I IsIC3 y 0lr8 sot:re seguridad de lB inlormaoon A
Su vez, la poI~ica de segLndad ele la WormaCl6n puede se r una relerencia para la
pu t:(~i6n de determnadas pollticas corno la poI ltica de control de acceso

Cl PECe _... _ _ _ .... ' .. , , . . . _;0" ,' ,


SeCCIÓn 10 Po lítlC<lS de seguridad de 13 Intormac>6n

1.6. Politicas de Seguridad de la


Información
lista de actividades

....._.
,
..- ~""


"..- r
~OC<

t

- , I l,,"""""""
0""""9'

"'''
Lista de las actividades in<::luidas en la melo<lologlalMS2 de PECe <::on la <::oITespondienteentrada
y salida

Entrada
Mis ión, objetivos, valores, estrategias de la orga nizacT6 n
Lista de I3s P3rtes interesadas y sus requ is itos
Usta de las obl igaciones legales, reglarrnmtanas y contractua les
ct>¡etIVOS de la orga nizaci6 n
ct>jetlVOS del SGSt
Alcance del SGS I
De~ larad6n de AplicabilIdad

Actividades
1, Crea r modelosdepol lt lCa
2. DefTrJClÓn del p!OCtlso de redao:;:lCIn de la poHltca
3 E1aboraetÓll de la pal luca de SGS I
4 ReYlsión de la política de segundad de la irlormaci6 n
5 Redacci6 n de las poI rt lCaS espec ífi<;as de '>eg LSidad
6 AprobaciÓll de la DIrección
7 PWl icactón Y divUlgación de 13s pot iticas
8, Ent renamiento, comurll~adón y sensitltllzadón
9 Controt, evaluación y revisió n de las pot lticas

Salida
PoI ltb3 del SGS I
Pollt;:;a de Segundad de la informac ión
Col'jurlO de p:lIftlCas espec ifICas (cnptografla , contro l de acceso, etc)

Cl PECe _... _ _ _ _ , . . . ., , . . . _ ; 0 "


SeCCIÓn 1 o Po lftlC<ls de seguridad de 13 IntormaclÓn

1.6.1. Estructura de una Política


ISO 27003, Anexo D

Resumen
I
Introducción
I
Ambito de aplicación
I
Objetivos
I
Principios
I
Responsabilklades
I
Resultados Importantes
I
Pollticas re lacionadas
I
"'''
Antes de el~ oor~r 13s po lftlCas de la organIZacIÓn, es imponante óefln w una est ructura estándar de los
modelos de construcción. Esto es para tener la verta)" de no olvida r un elemento Importante en la
lormulaCl6n de Ufla pol lt lCa ~ que el doco.mento se ocupar¡¡ de tOOos los elementos clave de esta
poI ltica para cubrir una vanedad de entorros en donde los riveles de riesgo son diferentes

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


SeccIÓn 1 o Po lftlC<ls de seguridad de J¡j IntormaclÓn

La ISO 27000 Anexo O propone la S'9U!ente estructl.Xa de la politica

1. Res umen de la polltica • U1"0 VISIÓn genera l de lila o 00s oraclOfles (Esto a veces se
puede combi na r OOn la introduccIÓn .)
2. Introd ucción · una breve explica ción de los temas de la poI lttca Y el conteJCto de la
pUJlicación
3. Alcance - Descnbe e l alcance de la poI ltica indicarm qUé n esUJ oobterto Esto puede ser
una actividad (Inlormátlca , \lemas recossos humanos, etc ,), Un tIpo de ServICIO
(admnlstraclor de la red, ¡x09lamadores, agen!es de servicio a l cliente , etc.) o 1Il status de
USlJaflO (e~ead06, ellltdades, clien!es, proveedores, elc.) o a todos los usuanos de la
organIZacIÓn, Además, en su caso, el alcance tam bién enumera otras poI llIcas ges1io nad~s
por esta po lttlCa ,
4. Objetivos - describe la intención de la po lltica
S. Principios - desenbe las normas relatIVas a las medidas y decisiones para a~nzar los
oqetivos. En algunos casos puede se r útil KIenIdica r los procesos clave relacIOnados con el
tema de la pollti<:a y las rormas para e llunclon¡m";ento de los procesos ,
6. Respons abilidades · descllbe quién es respo nsable de las aociones para cumpl ir los
requisrtos de la po lHlCa
7. Princ ipales fe5 ultildos - describe los resultados de negOCIO si los oqetivos se cl.O'llpe n.
8. Las polltlcas relacionadas - descr ibe otras politicas perttnen!es para e l logro de los
oqetivos, por lo genera l, proporeionallClO detalles acIlCtOna les sobre temas espec lficos

OIros temas PJedl'n ar'ladirse al mOOelo de la poI lttca de una organtZació n. Por lo general, uno
encuentra
9. Definidones: Contiene U1"0 lISta de temas utillZa OOs
lO, Sanciones : Describe la I ~ta de posibles san<:iones si U'l usuario VIOla una poI lttca, o Incluye
una declaración de carácter genera l como . ' Cua lqJler usua rio que viole esta po lHlCa esUJ
su¡eto a acciones djsclplinan3s hasta e incluyendo el despido, U"lcll.OOO el e.1 u1c iarniento
penar

Cl PECe_ ... _ _ _ .... ' .. , , .. . _ ; 0 "


SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

1.6.2. Proceso de Elaboración de una


Política
Proceso General

-
• Eo inporuon .. ~""II"'ar al "l'O)'I> a , 11a COfJ'4'f'InoiOn de una poIiIICa anla. de . u

Después de crear el modelo está ndar pElra la creacIÓn de ISla politica , debe ser defl..,;oo el po-C>OeOO de
elaooraclÓn de la polftica Estos son los pasos tlpicos del ¡:roceso de elalxlfación de ISla po lillca
1. Designar a L1na persona res ponsab le: crl8 pe rsona debe ser designada corro responsable y facultada
por la admi nistración para desarrollar, rev isar y eva luar la poI lbca que se puljicar;lJ. P<Jf lo gene ra l, el
director de segundad de la InformaCIÓn (C ISO), ~ es responsable de J¡j gestión y control de la poI itlCa
del SGS I, de la poI ltlca de seguridad de la Información y las poI ltlCas detalladas relacionadas
directamente con el tema de la seguridad. Por el contra rio, mL>:::IlaS de las poI lticas que pueden ser
irr;:luidas en el SGS I son por lo genera l la responsabilidad de los adrrunistradores de otras, como J¡j
poI ltica de compra de los equopos Iriorm;lJtocos o la polltica de seguridad fisica
2. Idenllficar 10 5 componenles de la pallUca: El eqUJpO enca rgado de redada r la poI lbca proporc iona ISla
lista de tedos los temas que se alxlfdarl!n en la polltica Corro mTnimo, la poI ltlCa debe clbir los temas
necesarioG del SGS I de la Cláusula .<1 2 1 de la norma ISO 27001 P<lra la polltica de seg ..... ldad de la
intormaciór\ es ISla buena práctica referirse 8 las recomendaciones de la norma ISO 27002. cláusula 5.1

3. Escribir las secciones : El equipo enca rgado de redactar la poI~1Ca escrite las tfde rentes SE!O:;lOnes.
Detemos asegosarnos de que las dec laracIOnes se escriba n en crl lenguaje sencillo pero preciso para
que la polltica sea entend!da por todas las partes afectadas por su publicación. Memas, debemos e'litar
la IflClusión de especificaclOfles operatIVas a refereoclas a prodLctos especlflCOS en la pal luca La po lHICa
debe alxlfdar el "Por qué" y, espec ialmente, el ''qué'' y no el ''cOrro" El "cómo" se detallará en los
procedim ientos

Cl PECe _... _ __ _ , . ' .. , , .. . _ ; s "


SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

4. La validacio rl de <::orlte rlido 'f forma: El reSpor1Silble de la p;l IHlCa tiene que va lida r el
cortenido pa ra asegLXaffie de que J¡j pollloca CLmple co n los requositos legales de la norma
ISO 27001 V otras p;l lfilC<ls de la orgarnzaCIÓn Por ejempkl, seria coriradictolÍO publicar ISla
directNa que perm ita e l seguimiento y 13 evaluacIÓn de tod3s I3s com,mi<::aclOrteS de los
empleados si ISla polltica orgal1lZa<::iona l de respeto de la pnvac idad lo proh ibe, larn!jén
puede ser una vlOlaclÓrl a las leyes del pe ls, Erl térmmos de form¡¡lO, se deberá cer<::lorar de
que la poI ltica oumple con 13 poI ltica de doco.merltaclÓn (véase c l<\uslAa 43,) respecto a la
gestión del ciclo de vida
5. Validación por p311e de las partes interesad3s: Para garanlIZar el apoyo 'f la COI'I'pI'ensló n
de J¡j p;l lltica , es oomJn recoger los comemar>Os de los empleaoos, gerentes y otros
imeresados en la po lttlCa La e~perrenc1a dern;estra que la elapa de validaCIÓn de J¡j poIklCa
puede ser larga, dependíellClO cIeItamal'lo de J¡j organizaCIÓn , Su estructln! orgarwzacional y
la diversidad de actores IllVO lucrados, La iro;luslÓIl de estos elementos tie ne lSl impocto
diredo en el rnomerlto de J¡j validacIÓn que puede represen!ar una razOO de ISla a seis veces
el tiempo necesario para el desarrollo de la po lttOC8 misma

Cl PECe_ ... _ · _ .,.. ' .. , , .. . _ ; 0 "


SeccIÓn 1o Po lftlC<ls de seguridad de 13 IntormaclÓn

1.6.3. Publicación de la Política del SGSI

_. _.. ..... _. _--_.- .... _--.-


... ...
--- .___
..-
" , - , , , - , - , -... _ ~ .- .. .. - _ .. .,.rq ... ~ _ ..

·
·,
..,..
... __ . . _
· ~-_._""_.'"'-

.. _
~--._

.... -
.-. _, . _ ....-
_ _
~""_"'OGII

. --.... _---
• , _ _ ..... _ . _ ... _ .. 1*'1 .. _ ..-. .... . - - .. _ .. _ .. _ ..

.... .
--__-. .._____ . __ ... --_. _,. __ . ...
.
. . . _. __
_ '
. . __ . . _h_' . ...-..
_ _ ,," _ _ " _ _ _ 00 00 _ . _ " ' . _ .... _

... ...-

--
F'_ , __ _,•• ' , ...... _ ~

..... -... . ....... ..-..

La poI ltica del SGS I es generalmente defi nida PJI" el alcance de l sIstema de geslIó" mismo Está sobre
IOdo e Irtrlnsecamente vInculada a (xl procesos de negocio que el SGS I debe clbn r
Esta poIlllca Inclr..ye pnnc ipa lmerte
Un marco que permite defiror otJtetiv05 y establecer una direccIÓn y directnces de poI ltica pa ra la
gestí6rJ de seglXldad de la informacIÓn,
Una oonstdera oo n de las obligaciones legales y reg13 mentarias impuestas a la OrganizaCIÓn, as l como
otros co lrpromisos,
l a alineacIÓn de la gestió n de fJeS9O'i de seglSidad de la ,nfo rmación con los objetrvos estratégicos de
la o rganIZacIÓn;
Una lista de criterios pa ra evalua r los nesgos de seguridad de la Irtorrnaci6n;
AprobaCIÓ n ofic ial de los anteriores PJI" la ÓlreC(;!Órl.

Alnque el mcdeio de ¡:oI lbca del SGS I propuesto es a¡jlcable a la mayorla de las orgamzaClones, debe
ada¡;(arse a las condicIOneS es¡;eclficas de cada orgaro'zaClÓn

Nota Importante: La poI ltica de l SGS I puede ser objeto de un documerto Independierte o incorporarse a
la ¡:oIllica de seglSldad de la lriormació n de la organizac;6n

Ejemplo de Ulla Política genérica del SGSI


1. Resumen de 1.. po lltica del SGSI
la poI ilica de 9estién de ~g u,oda d de la info,maClÓn es asegura, un n... el adecuado de seu<J'idad en lérmrnos
de ronfidenaalidad, disponibilidad e .,t ~nda d de los OKt;.ros de .,!onnacoón de [AOC) contra todas las
amenazas que pod,¡a enfrenta'
8 sistema de ¡¡esti6n de segu'idaa de la in/ormadón tiene la rune"'" de establecer, mplementa r, opeta"
rmnrlOrea " ' ,""isa', ma ntener y mejora, los ~ y oontloles ",rac..nados con la seg u'idad de irmI """"ón
basado en un enfoque de nesgo cor,espondiente a la actrIidad

cr PECe_ ... _ · _ _ ,. r .., , ... _ ; 0 "


SeccIÓn 1 o Po lftlC<ls de seguridad de J¡j IntormaclÓn

2, Intloducción
La .,forrnadón ~ los pr<:Gesos, sistemas ~ rMes que perrri t ~ eltrataml~to son elementos imp<>rtan!e5 pa ra (A8C]
en el d e se~ de su misión emplesa ,ial
rABCj, debe garantiza r el respeto de la integridad confidMC .. lidad y disponibifiaa.d de la Informaoión generada o
. Imaoenada den~ o del aleanCft del SGSI
[ABC] ga",nt",ara la proteocoón de sus acWos de .,formac';" """'ra amenazas Inter nas o ,,<ternas &CC>d""tales o
deliberadas
3, Alcance del SOSI
Esta po/Iti<:a apoya la po~tica de seg uridad y la poI ltca de seg uridad de la " formaaOn
Esta poIi~CI se aplica a todas 1..,; """"idades de (AOC] incluid"" ~ el alcance del .. Olema de ¡¡esti6n de s"9 u'ldad
de la inIor mac oo
4 , Objetivos del SGSI
Ga ranll:zar la continu dad de. las ac:Iiv idades a ilicas del ""90<",
A~ra r que toda la inlor rnac.ón pr<:Gesada, almacenada, comercializada o difu ndda por la orga nización ...... de
at>soruta Integ 'idad
Asegurarse de que toda la informadón pertinente a la organllaaOn será objeto de segu imiento y almaoenada de
acuerdo a los pr~ i moentos pa ,a el "", nten""",nto de la confidencoa ld ad.
Proporcionar la seleca6n de los controles de segundad adecuados y proporcionados para proteger los actrvos y da r
con/ianza a las p" rtes i nt eresa d a~ .
Gara ntIZar una geslión eficaz Y una erICiente gestión de segurdad de la informac,;"
S, Princ ipios de la Po litica del SGSI
[ABC] establecer. , implementar', ope,ar', monIt<>rea rA, revISa/ji, mantendrá ~ me¡ora'" un SGSI basado en un
enfoq"" documentado pa ra la actividad de. riesgo y el ",,~imie nto o,,,. todos k>s reqursitos de la norma ISO 27001
[ABC] debe~ a tener en cuenta todos 105 reqursitos legales, reglamentarios y o'''Itr"""uales en la gestoo de SGSI con
el l in de evbr el Incumpllmoento de sus obliga6ones jurld"as legares, reglamenta rias o contractuares ~ ",s r"'lwsrt05
de segur dad,
Los requ.SIIO!; regales ~ 'eg lamenta rOO5 se ou"",,,,'" con prioridad, "ckl.., si son f'lOOmpatibles con la poIIt,,",
desaita aqul
[AOC] deberá estableoer y aplica r un prog rama de gestión del rle59" documentado de ac""rdo con los r"'lu,sitos de
la norma ISO 27001 Los cnterios para la evaluaaórl ~ la """ptac,;" d,,1 rle59" deben"", e.u blecdos, formal izados
~ aprobado:!; por la direcOÓft
Esta poIibCI ha sido aprobada por la dir.-cci6n y est~ sujeta a una revisión onua l
6 , Responsabilidades
La direcaOO tiene la responsabihd.d de ga rantizar ~ u e sea n establ<!>Odoslos DbjeWos y planes pa"" el SGSI Y que
se ios ,ev ise anualmente durante la "",isi6n por la d~ecC>6n, de que se delinan las fu"""",es ~ responsabi ldades
pa ra la seg u'idad de la infor"""'ión, que se "",e a cabo una roncientizaaórl del prog rama de seguridad, que se lie'rle
a cabo una aud itorla in""na al menos una vez a/\o ~ que se p'opor-e.,nen 105 recursos """esar ",s para ma_ , y
""'Jo"" el SGSI
El director de segundad de la información esté facultado pa"" " tel\le"" en todos los aspedOS de seg uridad de la
información .... (AOC] Decide, en gene,al, todo lo que es necesa,", pa,a elllrncionamiento er"az del SGSl. través
de las directrvas ad""nrStratlvas, ~a s previa"",me a la ~dtm'l i stración 5JJpe,""
Cada ei<'<' u,,",o tiene la resp""sat>illdad de garantizar que las personas q"" trabajan bajo su control protejan la
infor"",ción de oonlormidad con las poIltlCas de (ABC]
Los usuarios de [ABC[ ((¡elente5, empleados, contratrstas y leroeros) deben se, conscientes de los rresgos para la
seguridad de l. " formación, sus responsabi lidades y la necesod ad de respeta r las poI lticu para ,," ""nlIlar la
protecc,;" a<lecuada de la infor""",,;,, en el OJ rSO normal de sus actr..ldades

7 , Resultados Esperados
Se lI eva r~ n a cabo controles de se!)O ' ldad de la InI",,,,,,,,,;,, adec uados y propo'<>onados para proteger los &Ctiv05 Y
generar confianza a las partes .meresadas
Las decisiones sobre cuestIOnes de segundad de la informa<:iOn se basará n en un o """lu.<:iOn de los ries9°s que
enfrenta (AOC]
Se c u ~á n los requis<toslegales, reg larnentanos y contractuales por pa rte de [AOC] en t~rmonos de seguridad de
la ;nfor","""","

8. f'o llticas relacionada s


PoIltica de seg uridad
PoIltica de seguridad de la rnformaa6n

Cl PECe_ ... _ · _ _ , . . . . . , . . . _ ; 0 "


· PaitICI."~._....-h
t.. pOI_de lor....:o6ny
..........
_Deo6n" ~

o..e_ _ _ _ _ . ' __ o. . . ,.>


SeCCIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

1.6.4. Publicación de la Política de Seguridad


de la Información

_..
Modelo (extracto)

,- .
~ -

.. _--_.-
_._ _ ,!_.-,-.-- ,
- .. -
_-------~-,_

--_
'

, ._o. .;;a¡¡= .. _.. ... ..--


i".. _:a:.:::"''::'==''':''"-
.. ... _ ... _ .. _-...... _ ..... _.--...
_ _ _ __
~_

_._ -
,-" -~ --,_

..
.. ... .... .. ..
,",_
__o

_._ _-
......
_~-

.. .. .. ....
_._ ~ -,

_.-_ -
_ .:." .=:":". .='- - - -_ .. -
.---.-.
_"_
=-=-..-. ._-_ _-,-_
~, ;:..r.:::::zo,::,::... ,_
........... _. _ _ ... _
.:::c.:.::"'"------.... - .. -_
.. _-_. __ ....__ .... _..
... ...-.
-,'="'.-
.. .. - , ... :;¡:."="-=--:..- .... _ ..

._
......__ ... - .... _ . . _-,
---_ .... _ . .-
.. _
":'

-- ._.._.. _"' _. -.._........_,_


... __
'"'-"-"._--"-'''-----
...._-- .... _
.- ._-- ---''
."
Polilica de Seguridad de la Información (Ejemplo de la norma ISO 27003 , Anexo O)

1. Resumen de la polllica
• La inlormaciÓll siempre debe ser protegida cua lqu.era que sea su lorma y manera de ser
compartiOO , COmunIC~W o almacenada

2. Introducción
-La intormacr6n puede eXistir en mudlas formas Puede ser lfTIpi'esa o escrita en papej,
almacenada electróricamerne , tra nsmnlda por oorreo o por medios electr6rlco!; , rr=trada en
pellculas. o hablada en una conversact6n
-La segundad de la InformacIÓn es J¡j prOlecci6n de la lr10rmaclÓn de -.na amplia gama de
amenazas a jln de garant iza r la contl ..... dad de l negoc"l, mlr' mza r los riesgos empresa na les, y
maximtzar el reto mo de las inversiones y op:lrtu l"ldades de negocio

3. Ámbito de aplicac ió n
>Esta poI lbca apoya la polltK:a ele segundad de la orga~ción en genera l
-Esta poIltlC~ se aplICa ~ toda la OrgaruzaClórt.

4. Objetivos de Seguridad de la Inroflnaclón


-Los riesgos de seglJidad de la InformaclÓll estratégiCOS y operatrvo.. se enllenden y se
oonstdera n aceptables pera la orgaruzaclÓn.
>Est~ protegida la confrdel'lCialidad de; la información del c liente , el desarrol lo de prodcx;!Os y los
planes de marketing .
-Se conserva J¡j mtegndad de los reg<stros contables
'Los servicios públ icos de interne! y redes internas c~plen determlR'lOOs estMldares de
disponi bilidad

Cl PECe _... _ · _ _ , . ' .. , , . . . _ ; 0 "


SeccIÓn 1 o Po lftlC<ls de seguridad de J¡j IntormaelÓn

6. Pl in<:ipios de Seguridad de la Infolmadó n


• Esta organizacIÓn !omenta la asl.W'rión de riesgos y tolera los riesgos ql.'e no pueden ser
tolerados en las orgal1lZaciones de gestión COI1SeIVadora. siempre ql.'e los l iesgoS de la
il1ormad6 n se ellllenda n. sea n oontrolados y tratados cuando sea necesallO Los deta lles del
ertoque ado¡::(ado para la eva luac.6n de riesgos y su !fatamiento se ercuenllan en la poI lbca
del SGSI
• A 1000 el ~rsona l se le llar.! toma r coro:;iercla V hacerse responsable de la segundad de la
irlOlmaclón ql.'e sea pertlllente a su funclÓl'l
• Se adopta rán dfSlXlsk:lOne5 pa ra la financiación de controles de seguridad de la infol mación
en los ¡:mcesos de gesbón operativos y de proyectos.
• Las poslb lidades de I lal..de asooaoo con el atoJsa de los S'stemas de lnIormaC1Ón se tendrá
en cuenta en la gestión global de 106 sistemas de Infol maclón
• Estarán drspoflbles Informes aeer<:a de la situa<;1Ón de seguridad de la Irtormacró n
• Los nesiPS de segundad de la WoformaclÓn selán ot,eto de segu Imiento y se tomará n
medidas cuando los cambios resu lten en liesgos que no son ace~ables
• En la poI ltica del SGSI se ercl.'entra n <:rítelios de elaslfi<:ac1Ón de l iesgos y de ace~aclÓn de
~,
• I\b sera n toleradas srtuaciones q..oe puedan coloca r a la orgaruación en ~ioIaCl6n de las leyas
y reglamentos legales

6. Responsabilidade s
• El equipo de la alta dileccIÓn es responsable de asegurar que se preste alerclÓn
adecuadamente a la segulldad de la lliormación en teda la organIZaCión.
• Cada ge rente es responsable de asegular que las personas ql.'e lraooJan 00)0 su oontlol
protege la información de conformidad con las rormas de la OIganlzación
• El PEP (eSO) asesora a l eqUipo di rectiVO, puporelOfla apoyo espec ia lizado para el ~rsona l
de J¡j o rgaruaclÓn, y asegura ~ los IrtorllleS del estado de seguridad de la Informac I6 n
estén d ispon ibles
• cada mlemtm del persona l bane responsab lidades de seguridad de la Inlormac l6n como
pa rte de su trabajo

7. Prindpales resultados
• Los Incidentes de seguridad de la informaCIÓn no dar.! n lugar a costos oollSlderables e
inesperados o a gra~e pertLXooción de los servicios y actIVidades empresariales
• Las pérdida\> por fra-.de se corooerán y estar.! n delllro de limites a<:t'plables
• La aceptación del cliente de productos o servicios no se verá afectada negatÍ\larnellle po r las
pre~ciones sobre seg.Jfidad de la InlOlrnación

8. Pollti<:as reladonadas
• Las poI lticas deta lladas a oont il"lUa<: l6n proporclOl1an los prlrclpioS y orientaclOI'les sobre
as~os es~cljlcos de la segLXidad de la I!lfOfTT\3CIÓn
• La políti<:a de l Sistema de Gestión de Segundad de la IntormaclÓn (SGS I)
• La poI ltica de control de ac:ceso
• La polit ica de escritorio limpio y parna lia clara
• La polrt l<:a de software no autorizado
• La poI ltica relativa a la ol:(ención de archrvos de software ya sea desde o a tra~és de redes
eKlemas
• La politl<:a re lattva a código móvi l
• La p:¡litica de respa ldo (t:ackup)
• La poli~ca re latIVa al llltercambo de informaCIÓn entre las o rgaruaClones
• La poll!i<;a sobre el uso a<:eplable de los servK:m de eornurllcaclOlleS electrólllC8s
• La polltica de retención de registros
• La poi it ica sotM-e el uso de los sel1l1CIOS de red
• La polit ica re latIVa a la intormanca m6\111 y la oom.mi<:ac:ión

Cl PECe _... _ __ _ , . ' .. , , .. . _ ; 0 "


• La poIlbca de telelfabep
• La polh1ca sobre el uso de COf1IroIes CIl~ficos
• La p::lI1tJc:.a de CUfl'llIlmerto
• La p::lIftlCa de oorcesón de loc:eneIU de &Ofrware
• La polltica de elimnacón de Idtware
• La polltlca de proteociOn de datOS Y de la pnvacidad

<, <
CI'K'_"' ___ "'* '"........_ ..
SeccIÓn 1 o Po lftlC<ls de seguridad de J¡j IntormaclÓn

1.6.5. Publicación de Políticas Específicas


Ejemplo de una política sobre el uso de correo electrónico

"'''
Ejemplo de una polític a sobre el uso de correo electrónico

1. Resumen de ta pollti<:iI
B sIstema de co rreo electrónICO es un recurso qo..e pertenece a la empresa y esta disponit:e pa ra
los usuariOS con fines comerciales
Los co rreos e lectrónloos ocasiQn¡l les y no abusIVos para uso persona l son to!eraoos sólo en J¡j
medida en que se rea licen du rante el tiempo TIbre del usuariO y sólo s i y cuando no afecten el
desempet'lo de su trabaio

2. Int<oducción
de su Imagen
Todo ej correo e!ectrórn:o sa liente de ia compa nia puede se r klent lticado como parte
púbica. por lo que U"Ia geWoo del COITeo electrórooo es necesar¡¡¡ pa ra evna r que los USuarIOS
eventualmente empal'len esta imagen.
Esta poI ltlCa tiene por otjeto regu ar el uso de mensajes de correo electrOnICO pa ra todos los
usua rios corro parte de su trabaJO.

3. Ambito de aplicación
Esta po lttlC<l cubre el uso adeo;;uado de cualquier correo electrónICO erN iado 00fl la direcclOn de
COfreo electrónico de ia empresa
Esta po lttlCa se apica a todos los empead06. los miembros del persona l de admlnistrac loo y
contratado que utIl IZan una dlrecclÓrl de correo ejectrónlCO corporativo proporcionado por la
e~resa .

Cl PECe _... _ __ _ , . ' .. , , .. . _ ; s " 50


Secc IÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

4. Objetivos de Seg uridad de la Información


Prellenir que de la imagen ~lCa de la empresa se vea empal'lada por el uso indetido o
lfIadecuado de direcciones de co rreo eleclrónoco de la empresa a disposICión de los
Interesados
E~ l tar los riesgos de COrreO basura (spam ) qJl! se deriven del uso indeDido del correo
electrooco tanlO a nivel rntemo 'i por terceros relacionados a la empresa o rncIuso a terceros

5. Principios de Segundad de la Informació n


Uso Prohltido La dirección de correo electlónico corporativo no se 1tll lZara con fines
ofensrvos, lI'lSultantes o rac istas Cualquier usuarIO qo..e encuent re este \lp:l de uso en manc
de uno de sus colegas debe Intorma r lrvnedIatamenle a ios responsatles directos
Perrona l El uso razonll tle de reclrsos de la empresa para fines personales es ace¡::table,
pero no se gua rda rán mensajes de correo elearorroo profesKlfla l ni archrvarán en directorios
distintos de los ut ilizados para JlrJeS laba<a les . Tambié n esta prohiOido tra nsmrtlr mensajes de
eorreo electrónico en cadenll o chistes Esla prohibición también se apl ica pa ra retransmit ir
mensajes de correo electr6n1OO que haya recibido de sus eoleg¡ls .
Segu imiento Los usuarIOS sabe n ~e nc tienen p-Nacidad acerca de los correos elearonocos
de trabaJO almacenados o enViados a través de sus sistemas La empresa hara un
segumlento de los mensajes que circulan en su iriraestructura Sin previo avISO, sin esta r
obl igada a hacer esta V1g llaoc la oontln W o Incluso obhgatofla
Sanciones: Cualquier usuarIO que ~Ioie esta poI ltica medianle e l correo electlÓnocO p..oede
esta r sUjeto a accIÓn diSCipl inaria II'"OOluyendo el des¡:ido o la terminacIÓn final de su contrato
en el caso de personal contratado

6. Res po nsabilidades
Es res~bl lida d de la Gestión de Sistemas de IntormaclÓn, en co laooradón con Recursos
Humaros, ga rantizar el cllJ1 p1lm1enlo de esta poI ltica y tomar medidas pa ra hacerlas cumpl ll
Cada uswrlo debe conocer esta polltica y respela~a El uso de mensaJes de correo
etectrónlOO de un uswrio es en si ml&mO una aceptación tácita de la poI llIca

7. Prind pales resultados


DiSminución de los problemas relaCIonados con e l spam
Uso del correo electrónICO p:lr parte de los usuarios con fines la!:orales.
La preservaCIÓn de la rnagen de J¡j empresa

8. Po llllcas relacionadas
PoI ltica de segtXldad de la irlormaclÓn
Las relacIOnes púbhcas y el uso de ma rcas come rcl3 les
PoI ltica de Pnvacidad

Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "


Secc IÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

1.6.6. Aprobación por Parte de la


Dirección
• La politica del SGSI deberá :
- Demostrare! compromiso de la Direcc ión
- Ser aprobada por la Dirección

• La política debe ser firmada por una persona (a


menudo el director general), pero el proceso de
aprobación puede pertenecer a un comité :
Junta de Directores
- Consejo de AdminlstraciM
~ Comité de Gestión de Seguridad

"'''
Un conj UnlO de polft icas pa ra J¡j seg,,"idad de la ,ntorma<:i6n deberla ser definido, B¡:(ObadO por la
admlnistració" publ icado y comunICado a los empeados V las partes extemas. (ISO 27002. 5 1 1 )

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; s . 52


SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

1.6.7. Publicación y Divulgación de la


Politica
Principales medios de comunicación

Intranet Reunión

Du rante la pmnt'ra publicación de I ~ po lftlC3 de segundad de la organazació r1, es una l:oJena .,..áobea
(aunque no necesar ia) que la poI lUca de &egUfidad sea fi rmada por taoos los empleados de la
organazación, .-.::Iuyerldo el equipo de gestión El fc..-rn,¡J¡jrlQ ongll'lill fIrmado se debe mantener er1 el
archivo de cada empleado en el Departamento de Re<:lSSQs HLmaros o cua lqUIer otro Org¡lr1ISrro que sea
responsable.

Conclentiza r a los Il\.IeVOS empleados sobre las politi<;as de OrgaruzatlÓn y hacer que estén de acuerdo, es
por lo general tr1 paso II'ICllJIdo en el proce so de acogida y de la integracIÓn de un TlUe\o'O e""leado

SI ro se .,..acede con la firma de la poIftlCa, lnJ debe esta r seguro de ser capaz de demostrar que los
miembros de la otgarnzaci6n com.,..enden y apl"lCan la poIftlCa Por ejemplo, esto puede lograrse mediante
la partICIpaCIÓn en lila seSIÓn de entrenamiento

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s " 53


SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

1.6.8. Capacitación , Comunicación y


Sensibilización

-- Comunk:a<lIHI

"'''
Estas poIltlCas se deberlan c<Xl"'.Nlicar ~ los e mpleados y las pertes e)(\ema5 de J¡j lorma que sean
pertnenles, acces ibles y comprensIbles ¡:era el lecto r, po r e¡emplo, en el coote~to de un programa de
"concrencraclÓn, educación y lormaclÓn en seguridad de la rnfQfTTl¡jClÓ n, " (ISO 27002-5 )

Para el ~, la organización deberla preparar un pla n de COI'I'IlJI1ICació n antes de p.JbI icar la poI ltica. EJ plan
de comuooació n de la p:JI ltica es asegu-ar la ddusión de la misma a to<±ls los em~ea oos de la
org<IrlIZ3CIÓn Se debe segUIr un método ordenado de la ddusión de la po l klC~ de segundad pe ra llegar con
electividad a lodos los em~ea dos y aseg!n!r que 1000 el mUl'ldo eriienda y aceple sus responsabilidades
en esta poI ltrca

Es prelenble Ulicia r la comunicación de la poIllica medjanle la p.Jbhcación de una carta ofICial de la


admi nistración Esta carta deberla demostrar el aMO 'f el compromISO de la direoción en cua rio a
segunda d de la Inlormación en toda la organIZacIÓn.

La poI itlCil del SGS I deberla tam bfén ser Indurdl como un componente pera crJJri r e l ¡:mgrama de
sensrbrbzaclÓ n de los empleados en seguridad de la Inlormaci6n A este respecto, véase también la
sección sobre la comunoca ción, la educación y la formacIón

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


"
SeccIÓn 1o Po lftlC<ls de seguridad de 13 IntormaclÓn

1.6.9. Control, Evaluación y Revisión

"'''
El paso de la evaluación, de cortrol, y la revisión ele la pollt;ca de seguridad permte ajusta r la pollttca
de seguridad y entrar en LXI p"oceso de meJOra oortJnua Al examnar regularmente la poI lttca de
5egLJ'idad, la organización asegura que sigue soenOO consistente con los requerllllientos del negocio Y
las li mitaciones legales

Contro l: La gesllón de la orgarllzació n debe ga ranhza r el currpli mier10 diario de la politica de SGS I
en la orgamzación. Tambén debe p"Op:l!'Ciona r LXI p"oceso drsc'plinaoo formal para los empleados
que violan 135 rormas de segl.J1dad El proceso discipl ina rkl formal garantiza LXllrato cor re<:to y ¡LISIO
de ios empleados sospechados de 'I'Io lar las normas de seguidad El proceso chcipllnaoo forma l
deberla r:roporciorla r una respuesta gradual que tome en consKlerac06n factores tales como la
natura leza y gravedad de la IntracclÓn y su Irrp<lCto sobre las e mp"esas (ISO 27002 7 23,)

Evaluac ión : la o rgamzación elebe implemerta r mecamsmos pa ra eva luar la eficaCIa y la eJf!cuci6n
de su poI llrca del SGS I Ver más informaclÓr1 en la seo:;rOn de segu imoento y me(jclÓn

Revisió n : A fin de gara nlIzar su adecuación a las necesidades de seguridad de la organización, el


contenido de la poI llIca del 50St debe ser rev Isado con regoJandad Para garar1rzar la pertJnero:;'a, 13
iOOnerdad Y la eficacia de la potitica de segu!idad de la informacIÓ n, la poIlticil debe ser rev'sada a
intervalos predeterminados o cuando se ¡:roducen cambios importartes. (ISO 27002 5.1.2.) 5 ' .2) En
ele<:to, el surg¡moento de nuevas amenazas y vul nerabrlldades, el entorro en constante evol UC ión
le<:noI6gica y las formas de h3cer las cosas so n eJf!m~s no e~haust ivOti de los aoomecimoenlos que
pueda n afecta r en pane o en todo, ei car;lrcter operativo de lX1a poI lttca de segllldad .

Cl PECe _... _ __ _ , . . .. , , .. . _ ; 0 "


SeccIÓn 1o Po lftlC<ls de seguridad de J¡j IntormaclÓn

¿Preguntas?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s " 56


SeccIÓn 11 EvalwclÓn de riesgos

Capacitación Implementador lider Certificado


en la norma ISO 27001
Sección 11
Evaluacl6n de riesgos

a. El eslándar ISO 27005


b. EnfoqU1l para la evaluación de
riesgos
c. Metodologla pafllla evaluación de
riesgos
d. Idenliflcaclón da riasgos
a. Estimación de riesgos
f. Evaluación da rfesgos
g. Tratamiento de riesgos
h. Aceptación de riesgos

"'''

57
Cl PECe_ ... _ · _ . ... . .. , , .. . _ ; s .
SeccIÓn 11 EvalwclÓn de riesgos

1.7. Evaluación de riesgos

1. Planificar 2. Hacer 3. Verificar 4. Actuar

..
--
.,,"""....-

,,~

~-
.
,,,e
Objetivos prindpales de esle pno

1 Seleg 'OrJª r y (jef,ror un enfOQue !?\Ira la eva luaCIÓn de nesgos que esté ahneaoo co n la (jirecc,6n de la
organjzación
2 Se!eq;iona, V !j!efinlf un~ me!9c!oloola de eva lwción de desgQ§ adap!ada a las necesidades de la
org~ ni<:a c.oo

Cl PECe _... _ · _ .... . .. , , .. . _ ; 0 "


"
SeccIÓn 11 EvalwclÓn de riesgos

Requisitos de la Norma ISO 27001


6.1 Acciones para hacer frente a Jos riesg os y
oportunidades
l a organización deberá hacer lo siguiente:
Determinar k>s riesgos Y las ~ que se <leben abordar
E$lab""", y mant<on<;r cntel'lO$ <le "",gos para la SIlQUlodad oa la k1torrn&eiOn
kIe<1tifiea(, anaJiw y e.atuar los l'JG'$9O$ para la seguridad de la lrJIQrmaQón
• Set ::ck..ar Iat opciones de tralarn'enlO <le riesgos para la seg.....oad <le la
in_
Delerm.."" lOdor; los oontroles que son necesarios para implementa/' las opdooes
<le tra tamienlo(l) <le ""~ <:le seguriclad de la inloonaciOn
Comparar k>s oon!rOles oon k>s que ligur"" en el ......."" A Y comprOOar que no han
sido omrtk\o$ controles """",""",,s
EIabo<ar ..... DeclaraOón d& AplIcabilidad q.¡e contiene lOa cont,<)Ies r>ecesarios
(véase 6 t 3 b) Y e) Y las justific:aciones de las ir>ckIsioneo. o.i 000 aplicadas o no, y
la Jusbll:;.aQr)r1 de las exd\J$ione$ de lOa controles del Anexo A
Fonnular "" pIaI1 de tratamie~o de rIe-$9O$ de seguridad de la Inlonnadón
• 01>1""" ~ de lOa propIo!\aflO$ elel ~" <le lr,\3m"",lO del
seguridad de la inI~ Y la a<:epIación de lOa ries9<>S residual&!;
PECB seguridad de la llloomllOOn

Un. ~ iz OCl"" "". ""' .... ournp!ir<"" 1.1 normo ISO 27001 , _ .... como mlfllmo
, Sele<-O""Of y 00",*",..,0 I'I'IoMO<ICIogIl d~ _1<1Cf1 <It 'lO*"
¡ llemoWw ",e lo ..... tOOaIoglo ",1e«"",000 p,opo":,,,no ,..utl. _ <<mpo"-. y 'oproducible.
000l011< los cr~_. PI'" l•• oe~."'Cf1 ". ,It*" Y ,,","'''''nO< _lO. <lO rltsgo ocopt.!>Io.
ISO 27001. c l_ u ~ 1.1 """-'/onu pano lJaaor" tnrrJ .. 0 105 ritsgos f o l'ommldodg
6. 1.f Ge ...,.IId_

PIT. lo PlO"""'l<~ ~ ...Ie". <Ir ge..1Ó'l de ..",'IridM lJe lo ~..",. jO crg.~J:I<<ó<! <It!>e;' t _ ""

que.., h oct! ",,,,.enejo en el 'PI~odo ~., y Jos =lmIiIo. ca••" ",it_ "" el "'If~ 2 yae/efmin. Jos ,;", _
<1,"'Y "1.". <tIt,_••
. <>pa1JJfJi<1it<1e.
que .e .-.J., "..
aei>erJ
ilI ...... _ eI"'''''mo ". ge-.1iÓ1 ". M9"","a /jo lo _mooór_logr. Jos .... _ _ e<f#orJo.lO).
OJ pre"",' 0 _. e'l>CIOI 110 aeM_., y
e) b[¡t-.r me¡oru "",,_n.
L. "'\14'n~l<l6n _ , _ " . " , . ,

,-
~ lO' oce"""" ".,. _ .. to""' • •• 101 rI... _ Y opcrt""i<1_', Y
j) l'>iIO!rf. Y 1>0_ "" I>"e"'• • ,t.. oce",,",$ "n ""' proco.", IHI $<>'tlO/IlI ". ~.~ lJe _ _ d de Jo -""OIÓ'l: r
.., _l> ... lo ,,"".e;'
lJe ... " "",,, .....

Cl PECe_ ... _ _ _ .... ' .. , , .. . _ ; 0 "


59
SeccIÓn 11 Evalua~ón de riesgos

Requisitos de la Norma ISO 27001


6.2 Evaluaclón de riesgos de seguridad de la
informac ión

la organización debera hacer lo siguiente:

Establecer y mantener emerios de r~sgoos para la seguridad de la


inlormaci6n que Incluyen
Asegu rarque evaluaciones de riesgos de seguridad de la Infonnacióo
repetidas plOduceo resutlaOos conststentes. validos y comparables
Idenbficar k:l$ riesgos para ta seguridad de la información
Analizar los riesgos para la segundad de la información
Evaluar k:l$ riesgos para la seguridad de la información

"'''
ISO 27001. cl_u~ 1.1. 2 "'''aoIM t/ug<n "",.Ia __ de la It!IomJac/{m
L. " l1OnlZ""~ del>!r' de..,. Y .pIIt:" ... ¡:roce", de e •• lule,," de '''''!lO' de 11 ... g<t_ de 11 ~n """
oJ .,f."",,,,, 1"'""'lo"'" a,-''' ~ rie'l/OJ 1»" 11 'e<JuOO." de 11 _ _ "",, "",~n
,_~O)/) "" ,.10'110$, ~
1)
2l
0$
1»'' _f,,,
"'~"'.,.
"""'''''.
bJ Wormoci6tI repelido que
.~ .
""

,_Ir.
.....l/oc....... de '"''iI'" _ _ de ... .,""mocO)/)
que 1.. • ~"""'''''. de '''''''''' de .<vuridod ~n r~,uI!odM <"".w""".<, .,ido> Y

= JI /O¡J1ic., el ¡:r"""so de "".1:10000 de ries_ ./0


el - ",..-",. 1o".,.,JO' PIIf' .. "'rP_ de .. .,lormeciM-
¡,Irdid. de 11 ,_"ojo/do". irl "¡,1d",, Y
de " .,,,,,,,,,,ci6tI
~id. "
d~"" <le lo
"¡",,tif>c., lo. riesgos . .oc"'_ con 11
.,""macoo.n
¡»f'
o/ fnt>.., de l(J/iCa<iOn CI<N &1._ de
..... ....... de Se<JfJfido" de /o informoci6tl: e
2) /dern;t;c., los ¡:rupiel/JfJOS del rie_ '
~ A_.. "" rieJ{/O' de <efI<*itJod d. /o .,""mocón,
'/ ¡;; •• I<I.. lo . ,...,.;;,00. eo...ec""""... """ .. _"".i,n
2) E ... I<I.- II pwibi1itJod rNllisI. <le 11 OC"""",. de
"lo""""'"
lo".,,,,,,,, _lfI:odO$ ... ~ , 2 <) ' 1
"'etJik._ en 6 1.2 e) 1/. y
$O _ _ "'111""".
:tl ¡;;_, ... " ' _ ""rieJ{/O
E) ev.1!lt 11
l) C.",.,.-ar los
2l PI",,, .. lO. rieJ{/O'
",,,¡J,._
"" ''''J{/O' t'W' 11 tegU'itJod "" lO """'''''''''''':
,n.iz._ _ ••
deI . n.l/w. de ""_ COi>". al""", de
1U III.,....,'" <le ''''go.o
,ie_ e . ..bloc"¡", "" 6. /.2 oJ• •
L. "'II",IZa<.om ".".... ,el.""" .,Iormocoo OOc""",nto"" ..oore el ¡:mee"" de ~""";oo <le m."",. de /o UOfIU'",. d de l•
.,lI:o"moc iM

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 " 60


SeccIÓn 11 EvalwclÓn de riesgos

Requisitos de la Norma ISO 27001


6.3 Tratamiento d e ries gos de seguridad de la
informac ión
la organización debe hacer lo siguiente:

Seiecoorlar lal opc:iones <Je tralami&nto de loa nes.gos p8IlIIla seg\llldaO <Je la
inToonaciOn. lenH!ndc en CIIe'nta lo. re",,_!Ie la .,.,a luaOón ele rie'l)OS.
Detemlinar toOOlloa contrGles que 5Or\ roeces.arios para Implementa¡ la. 0pCI0I'Ie$ ""
tralarnien!<>(s) <le r>esgo! de segOOdad!le la """,moción
Comparar 106 controles determ"'.dos en 6.1.3 b) <Nos arriba con kIs que fl¡¡uran Ofl ~
Anexo A y mmproCar que no han okIo omO!i<lo. oonIfoles necesar\o.
Elaborar.ma OecI3filOÓrl de Apljcabolid"" que """"""" 106 controle. neceoaoos
10M... 6.1 .3 b) Y el Y Tao ¡USbTicaOones!le la. ~ , si son apilcadas o 110, y la
ju.Tilicaoón <Je Ta. e, ""'''''''''' doe lo. controln!!el Anexo A
Formula< ..... plan <Je tratamiento <Je 0e1;}O$ de segorida<:I <Je la .,1orrn&cI6n; ~
Obtener aprobaci<)n de "'S pre>poetarios del ~an de ¡"'l3mie"'" del riesgo de
&e9U"dad de le k1T",moci6n Yle aceptación de lo. riesgos ret-\(h,",1eS p;lfa la
M!jJundad de la Infarmad6n

"'''
,SO 27001. c,_u~ 6.1.3 Tl2-"'''' do rleogo,o ~ la ugufldiKI do la /tIforJm<;/OO

L. ",~nlZ.ciM ""l>!o' "",.,. ''*'' "" ,¡.,_. n.",'" ""


Y ~n, ~e ~at..
o) .eIo<;<.",.,-Io. opoooe. de ... romienro ~e 1m
r.<e"",. "" ~e,x:,::oi1rI,
poro lo ~'JI1f.,.d de 11
""lO """,,,,,,<.:rtr
Ien_ "" «",,>l••,.,,,,,.,."". de
11 e ...-w<~ "" 'iesg""
OJ del",,,,,,,,,
.,1tJr".,rn
rCl1O> lO< ~o'" _ """ "..;e,,,.,.
(M' """",,,,,/lI. Jo. opc.:m,.. de uro"",nl:>(~ do """",. <le "'9 ... 0»0 do jO

<)~" "'. 00"*0""


"",r;do$ """roJo. """" ....,.
""'''''''''''''0$ en 6.1 J Di molo _ con ". QIIe 1Ig,"" e" e¡ Ano.o'\ y ~ _ no 1>0" ..""

IiOTA , El ,\,,",xo A conI .., . Un' í <lll """",Jo/rI <le Jo. 0I>j0W0. de <""rol ~ COI\roJo•. LO$ u,ur". de e'tell<>_ InIfIm.c.,.,.,
"'" "''''''.,.,. 01 Me.o A P'" ¡HI.orll" que ,., ". po ..n P<' • .., .,..,.arome. """,,,ne. "" <""~
2 l.oI oDie_' "" _ .e Ó'lC1u)\'n in'piki/¡o".."", ." "" <Q'lIT<foo •• eJoct:~. Lcu 04'<:1M» <le """rol Y l:>I con"""•
•IiOTA
"'111"'_' en .Iene,o A,., <OIl e.".",,,,",,,,
pa /O _ ~~ , _..t o"" oJ)jeItWJ do <»<>1'01 y o"" c<W1lfClle4 ""1("" ....
m ... Ione., 11_ .P¡;:_.
tD ejOou., une Dedor.cI6<> do ApJi;_"" Que conllone l:>I
o no, y Jo j<J.I/J'ic.ciM de Jo. e,,-..."""
<"",...
noce..ri:rI IW•• ~ ,. I , ~ y <) y 1.. ju.r/I>o.<cne. de ,..
"e
Jo. con~". "", Anexo A
.,¡ ItJrmulor IJI) pI. n <le ... ..,,,,,,Il10 de '""'\10' de 'evum"" "" lo iIlI'amociM,' Y
r.<esgO$'e,""'/'" P'" Jo ".~_ <le lo ¡"1tJr,,.,IM
.ogwt:!"" de Jo _CIM r Jo """,rocon de l:>I
~ _ _ .,..01>00<16<> "" lO< ",op;erorlo,. "'"' ¡¡/Itn do uro""""", <101 'iesgo do

_"'9I"",oco)"
1.0 _m 0.. ....., 'eleo,,, '*'_crn do<um:om"do ,01>-. el tJtIX ...., <le UUO,,",,"'" de .... ''''110$ Jo "'9""'"" dolo
~e

rO'Nt not. do que Jo ••_IM de ''''''''' . do "'9t1"Whd do Jo _",....,., ~ "'"' ~e.., "" ~.""",,/lIo e" ..... 11<>"",
/mrmKionol ~ . /ir)<,e oon /O. ,..""'",.,. Y <k"", h:e.~. ,........... "" jO namo ISO JtDOO

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

ISO 31000: el Marco Genéri co de Gestión


de Riesgos
• El marco genérico de la
gestión de riesgos de la norma
ISO
.--
• Establece los principios y
directrices generales sobre la
gestión de riesgos
-
----
• Se puede aplicar a cual quier
tipo de riesgo, cualquiera que
sea su naturaleza, ya sea que
tengan consecuencias
positivas o negativas

• No está disenado para los 111 .-


PECB fines de certificación

ISO 31000, cláusula 1.' AroMo de apNcaclÓIl

Esta norma in/emacialal proporciona los prmc ipios y las directrices g~as ~ la gestión del
,",,"

--
Esta nama intemacionaJ pll8de urilJzarse por cualqutef empl9Sa pública, pnvada o SCJC;aI, ascdación,
grupo o individuo, Pa tan/o. esta /lOfflIa internacional no es especifica da fila industria o sector

NOTA Prx comodidad, lIXbs /os diferantas usuanos de esta norma intBm<eional se citan con el término
general de 'bIgar.z3C>6n"

Esta norma intemacialal se puedeaplicat a /o largo da toda la vida de '-'la orgarl'zación. y a '-'la amplia
gama da acbvidades, incluyendi:> esl1ategias y d&:;jsJortes, cperaciones, procasos. flllCiorPes . proyectos,
prod.Jc/os. servicios y activos

Es/a norma Intemacional se puede aplicar a cualqutef fipo da riesgo, cualquiera que sea su na/f.l"aJeza,
y tanto si sus cotlsecuenc;as SO(! positivas o nega/JVa5.
Alinque esta nama internacional proporciona dlil'K:!rices g€lr1é1cas, no liene cano objetivo promm er la
fnformidaden la ges/ión del riasgo €JI'! el seoo da las organizaciones El disetb Y la implementación de
planes y ma= da trabajo de ges/m del riesgo necesi/artJn ta-"l« €JI'! cuan/a las diversas necesidad3s
de una organización especifica, sus objelJvos particula/eS. su contexto, su esll'lXlUra sus operaclOflBIl,
sus procesos, sus fuoc/ones. sus proyectos, sus prodv::tos, sus sefllK:KJS, o sus aclNOS y prácbcas
especificas utilizadas

Se preterrJe q/XI es/a /lOfflIa Internacional se utilICe para armoniza! los procesos de gestión del riesgo
estabJeciebs en las ramas ax.is/8r1/ss o fUlllas Proporciona un enfa¡/XI canll! en el apoyo de las
normas q/XIlratan riesgOll yA:> sectores iJSpeclficos, y no sustituye a dchas ramas

Cl PECe _... _ _ _ _ , . . . ., , . . . _ ; s " 62


Esta nama ,rrtemacJOnai no esta (N6Vlsta para fines de carlrl'icacÓl.

Cl PECe _... _ _ _ .... ' .. , , . . . _;0" ,' ,


SeccIÓn 11 EvalwclÓn de riesgos

ISO 27005
• Adaptación del marco de la
norma ISO 31000 para la
seguridad de la información

----
-
• Alineado con los requisitos
de la norma ISO 27001
• Responde al "Por qué" y
-- -=----
"Qué" de la gestión de
riesgos en seguridad de la
información
• Cada organización debe
elegir una metodología de
evaluación de riesgos. de
acuerdo a su contexto
PECB ("Cómo")

ISO 27M, c1i1usulB 1; Ambíto do aplicación

Esta Norma Internacional apoya los cctlC6(Jlos generai6s especiricados en la rama ISO 27001 Y esta
disef¡ada para ayt.dar a la ejecIXIi7l sabsfactooa de seglriJad de la informacIÓn f)asad¡¡ en un erioqll8 de
gesti&! de nesqos.

El~(XlO;;,mientode los cort:eplos, modeios, p=esos y léfmioos descritos en las ramas ISO 27001 e ISO
27002 es Importante para una oanpremlÓnccmpfeta deesta Norma IntemaclOml

Esla Ncxma ¡ntemaaonai es aplICable a 1000 tipo de crganlzoclOfles (porejemplo_empresas ccmercJaIes,


Sl\!efl('!as gut>amamentaJes, crgarrzacJQ'les Sin ~nes de lucro) que lef1Jan nllefl(;/OO de geSflCtlar los
riesgos que po:Jrian oanpromel/er la segundad de la informacIÓn de la crganizaclÓrl

Cl PECe _... _ __ .,.. ' .. , , . . . _ ; 0 " 63


SeccIÓn 11 EvalwclÓn de riesgos

La Relación entre ISO 27001 e ISO


27005

, •• ISO 31000
,, ISO 27005
,,
~ IMarooGenéOCo
(Marco Genenw
clá:u9ula 6.1,1-6.1 ,3 JObrtIIa gestlórl
de la gestió<1 de oe-s;¡ot de r.esgos)
y 8.2-8.3 ~ala
Seguridad de
,, la InformaclOo)
,,
,,
,
, --' ----- . ~---"

Nota Importante: No se requiere referirse a ~ ISO 27oo5~ la ISO 31000

,,,epara obtene r la certificación ISO 2.7001

Basado en la ISO 3 1000, la norma ISO 27005 expllC3 en detaBa cómo lleva r a cabo una eva luac ión de
nesgos y un tratamlE!f'110 de riesgos, en ~ contexto de segundad de la informaCKln. Esta f!S la
ImplementacIÓn de la me¡ora contl"'-'" del cIclo PHVA (Planfica r Hacer, Verlflc¡j r Actwrj pa ra la gestión
de nesgos, ya que se ut ~iza en 10das las rormas de Slstemasde gestión. En este caso puede ser basta nte
focllmente relacionada con las c láuslAas correspa.rdientf!S a la geslión de riesgos en la norma ISO 27001
(c láusu las 4 2. 1 e a h y 4 2 3 d) , cordJclefldo en últi ma InstaOOI3 9 la cermicaClÓn de la org.l nlzaclÓ n

ISO 27M

introducción
Esta Ncrma InlamaclCl'JaI propcrr;iona dlfectfICe5 para la Gestión de ROe5gO'> da Seg..,;c;oo de la
InformoclÓn en (Tla cx¡¡antzocJÓn apoyando. en pamcular los leqUlSJlos de un SGSi segOn la ncrma
ISOIEC 27001

Cláusula 1: Á.mbito do eplicaciÓl!


El CO'lOCMidrtro de los ca c epros, l"IlCrl9Ios PfCC8SOS Y Iámlirn'i descriptos Sl IaS namas/SOlfEC 27001
e IS O/IEC 27002 es Impcrtanl8 para un¡¡ comprenSIÓn IXITIplda de esta Ncrma InlemaClCYlaI

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 "


,.
SeccIÓn 11 EvalwclÓn de riesgos

Proceso de Gestión de Riesgos de Seguridad


de la Información segú n la Norma ISO 27005

• de01tl.:ao()n da R ..
f
ArtaI,SlS <le R",S9<"
¡
¿Ent... clOn

,,,e
B >,"oceso de gestió n de nesgos de segundad de la rnormaclÓIl COflSISle en eslablecer el conte)(lO
(cI;lJusula 7), evaluaclÓll de nesgos (cl;lJusula 8) , el tratamiento de nesgas (cl;lJusula 9), aceptacu'm de
riesp (cláusula 10) la oomJf1tCaClÓn de nesgas (c l;lJusula 11 ), y control y rev ISión de nesgas (Cláusula

'"
Corro se Ilustra , el proceso de gestIÓn de riesgos de seguridad de la informaclÓll puede ser rterattvo pa ra
la evalua<:1ÓI1 de nesg<:lS ylo actrvid3des de nesgo Si la eva lU3c l6n de rtl'sgos proporciona elementos
stflClEmtes para determinar rea lmente las acciones necesanas para redUCir el nesgo a un nive l ace¡Xable,
se va wectamerrte a la aplicacIÓn de las opciones de tratamiento de nesgos Si no hay sifte iente
n'orma<:lÓn pa ra determinar el .. ve l de riesgo o el nivel de nesgo después que el tratamiento previsto es
Ulacertable, una nueva iteraci6ll de la evaluación de nesgos se lIevar;lJ a cabo en algunos o todos los
elementos del dom inIO de aplicación En cororeto, si el tratamiento de riesgos 00 es satis/aClooo, y e l
estableCimiento del conIe)(lO es correcto , una nueva rteraclÓIl de tratamiento de r>esQOS se Ilevar;lJ a cabo,
de lo contrarIO, se llevara a cabo el eSlablecUlllento de una nueva iteraci6ll de l contexto

La eflC3Cia de l trataITllento puede deperoer e n pane de ta evaluaclOn p"e<l1Sa de nesgos Es posible que el
tratamiento no p..oeda condud r directamente a un rwel aceplatole de riesgo residual En eSle caso, debe
llevaflie a cabo l,niI rueva iteraclÓll de la eva lwclÓn de nesgas

La comunICación de nesgos a las panes interesadas de la organizaclÓll y el segumiento de rie sgos son
actMdaóes en curso

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 " 65


SeccIÓn 11 EvalwclÓn de riesgos

1.7. Evaluación de Riesgos


lista de actividades

o 1 . 7 . 3~
del Riesgo
-. •

i
11.61..--1
"'" Riesgo ro 1 77. _ ¡natiOn
0' .... 0g0S-tL - ..
"'''
Lista de las actividades in<: luidas en la metodologlalMS2 de PECe <:on la <:orrespondiente entrada
y salida

Entrada

TO<IO l. , . , _ . . , """"'OtIlo 00 l. orgoniu<lOf1 sotno lO ,,,,",0><1'> d._\IC'S


""""'0 de oplcttio.
.,formo <>01"",,'"' de brom ..
SGSi ~ l>oI~b. dO te\l>l!<lOO de l....1""".-.

Actividades
1 Selecd6n de un erioque de evaluación de riesgos
2 Selecció n de la rne\o6:llog la pera la eva luaclÓl1 de nesgos
3 identifICació n de nesgos
.<1 Arálosls de nesgos
5 Estl macl6 n de riesgos
6 Tratam iento de riesgos
7 AceptaCIÓn de nesgos

Salida
Descripción del enfoque y metoOOlogla de evalua;:;i6n de riesgos
Inlorme de eva lLJ<K;lÓ n de ri<=sg05
Inlorme de trata miento de nesgos

Cl PECe_ ... _ · _ _ , . . . ., , . . . _ ; s "


SeccIÓn 11 EvalwclÓn de riesgos

1.7.1. Selección de un Enfoque de


Evaluación de Riesg"'o"s_ _ _ _ _ __
ISO 27005, cl áusula 7 21 e 8.3.1 e ISO 31010

ElKclón e ntre un enfoq ue cualitadvo o cua ntitativo (o una combinación)

El aM lisis de riesgos (identficaclÓn 'i eva luacIÓn) puede llevarse a cabo en disllntos niveles de
deta lle en funcl6n de la CIIbcodad de los actwos denlrO de l alcance y la complejidad de los
escenarIOS de riesgo a ~r anahzados Una melodologla pa ra la evaluación pRde ~r cualitatrva o
cuant italiva, o una combinacIÓn de amoos, dependiend;) de las corcunstanclas

En un enfoque cua litalrvo, ~rro llamos escena rios de riesgo mediante la as¡gnaclÓn de un rwel
de Importancoa a las amenazas. vulnerabilidades y el impacto potencia l para lograr un nivel de
1Je~ Al fmal, se calcula el riesgo y recomierda n med idas de OOI1tro l apropraoos Cabe senalar
que los reslJlados de un enoque cua litatrvo son re levantes cuando se pueden compa rar los
escenanos de riesgo entre 51 Es decir que el riesgo desenlO eomo nivel ''med io'' o ''3'' ro signifICa
naoo por si misrro Este valo r de riesgo tiene sertido cuando se oompara oo n otro riesgo namado
nrvel 'bajo, medio o a ~ o- o "1. 2, 3", etc

El aná lisIs cuanl itatl'IQ de l nesgo utrllza e l anáhsis materrotlco y flnancrero mediante la aSlgnaCloo
de un valor moneta rio a caoo componente de ia eva luaco6n de rresgos y a las pérdioos potenciales

67
Cl PECe _... _ ·_ .,.. . .. , , . . . _ ; 0 "
SeccIÓn 11 EvalwclÓn de riesgos

Cuantitativa vs Cualitativa
Ventajas y desventajas

Cuantitativa Cualitativa
Uso de las matemáticas
, Uso de escenarios de riesgo

Datos objetivos (números) Datos subje tivos

Expresada en unidades Expresada como una esca la


monetaria s gradual

Basada en la habilidad de los


Basada en la percepción de riesg o
expertos para estimar el riesgo en
de las partes interesadas
térmi nos fi nancieros

"'''
estimación c ualitativa :
1 Una de las vero!aJas de -.. erioque CI.Ialrtatrvo de la estimacIÓn del rJBSQO es la facilidad de
corn ,.-enslÓn por parte de lodo el personal detxlo a que la eva luación de una la na depende de la
eiecciórl de escalas muy slJb¡etivas.
2 Un enlcqJB cw lltatrvo es adaptable a lodo tIpo de escenarios
3, La esllmaclÓn ClJalitat",a puede ser ut il izada como primera rteraclÓn par1l ldemlfica r los rlBsgos que
requieren un amlislS cuidadoso
4, Cuando los datos cuant itativos (valor de los actrvos, la posibi lidad de ocurrercla , ei valor de
Impacto, etc, ) &OIl If",existero!es o Insúic iero!es, es el ÚnIOO enfoq ue posible
5 El amisis cualitallVO debe ut ilizar la inrormaci6r1 de hechos y datos cuando estén disp:lIlibles. La
a ~kaClÓn rlQlXoss del método que se elqa debe ser lan mpo rtanle como Urlil eva luacIÓn
cuantnal rva del riesgo.

Estimación cuantitativa ;
1 El uso de l.I1 enfoque cua nlJlal rvo suele fac ililar la toma de deCISIOrlBS por la a~a di reoct6n, p:¡rque
um p.Jede compa rar facilmente el rern ilT'OBl1IO de las posibi lidades de inverSIón de diferel1les
escenarios de tratam iento de nesgas
2 La ca lidad de l.I1 informe de eva lwclÓn de IIBsgDs con l.I1 enfoque cua rtrtatrvo depende de la
exaetnud e integndad de los valores ntJ:llér icos y la va lidez de las hir;ótesis utilizadas
3, Cuando los he<;hos o 101; datos m están dispombles o m existen, vamos a asigna r l.I1 va lor
estimado de los s~tos, Por eJBmplo, pa ra esuma r el valor de una aplIcacIÓn desarrollada
IIltemamente, podemos estimar su valor a parti r de datos pUlIicados en clversos estooos de la
industria (X $ por linea de C6d lgo, multiplicado por el número de lineas de c6d lgo)
4, Un enfcq.¡e cWntllatIVO basado en gran medida en las hipóteSIS en lugar de valores rea les. puede
da r !Xla falsa sensacIÓ n de precisjó n.
5, El enfoq ue cuanlllaU\IO en la rnayorla de los casos util iza datos host6ncos sobre los Incidentes y
recla maC Iones (de la organizació n y el sector Ind ust ri al). ofreciendo la vent aja de esta r

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; 0 "


di rectamente vinculados a los oI:1etwos de segundad de la inlormaclÓrl

Cl PECe _... _ _ _ .... ' .. , , . . . _;0" ,' ,


SeccIÓn 11 EvalwclÓn de riesgos

Enfoque Iterativo para la Evaluación de


Riesgos
La evaluación de riesgos es a menudo hecha con dos (o mh) nerac lones:

1 Se lleva a cabo una evaluación de


riesgo de a~o nivel para identificar los
riesgos más a~os para justificar un
análisis más detallado

2. La segunda ileración puede ser una


nueva revisión de los altos riesgos
descubiertos durante la primera
iteración e inlegrar la cuantificación del
riesgo para ciertos escenarios

"'''
Un método IteratlVlJ pa ra la realizacIÓn de la eV3luaclÓn de riesgos puede aumenlar el nrvel de deta ~ e en
cada rteraClÓn. Ofrece un buen equ ili bno enlre redlX:lr al mlnimo el tiempo y e ~fLoerzo para la ide'-'lflCaCión
de los cont roles, asegurando al msmo \lempo que los riesgos de ako n;"'el son ade<:uawmente evaluados
desde el pno:: ipio

En la práctJca, ura eva lw clÓn del nesgo de ako niv~ co n un enfoque cwlnativo es a me rudo utili;2do ¡:or
¡:runera vez pa ra ot>:ener una indicaCIÓ n ge nera l del ""'el de f1esg<l Y reve lar los riesgos más stg ndícallVos

En una segunda iteracIÓn, es acorJSejable llevar a C<lOO una nueva rev isIÓ n de loG a ~os nesgas
descubiertos dosante la p-l me ra AeracIÓn Además, debe 1n<;IUlr e Integr<.l r una cuant il lC<lClÓn del riesgo
para algunos escenarios de riesgo imp:¡rta nte

Co n el enfoque básICO que se ensena en este pe riodo de seSioneS, una orga niza CIÓ n puede realiza r '-'la
eva luaCIÓn in icial de nesgos en un ako llIVel en meros de 10 dlas antes de realizar un aM I;S¡s detaRado de
riesgos co n un método compatible con la norma ISO 27005 como ME HAR I, EBIOS OCTAVE, T RA o
CRAMM

Cl PECe _... _ _ _ .... ' .. , , .. . _ ; 0 " 69


SeccIÓn 11 EvalwclÓn de riesgos

1.7.2. Selección de un Método de


Evaluación de Riesgos
Criterios a tener en cuenta

I Compalibilidad con todos los cmerkls requeridos por la ISO 21001

11 Idioma del método· es eseoc'al domina r el vocabular'.::l utilizado

11 Exisrencla de herramientas de software que faciliten el uso

I Documentooión, lorrnooión, apoyo, personal capacitado d isponibl&

I Facilidad Y uso pragma!ico del método

1 Costo de u~llzaciOO
a Existencia de material de comparaciOO (métricas,estudios de caso, elc _)

"'''
Cedo que la norma ISO 21005 no proporCIOro los métOOos específicos de gestiOO de riesgos y evaluacIÓn
de riesgos de segcxidad de la informaclÓl1, le corresponde a cada orgamzaci6n selecciona r o iderilica r
Uf\3 que COlnctda con su enfoque de la gestlÓrl del riesgo (el alcance del SGS I, el oontexto la gestió n de
riesgos, el sector tOO llStrial, los recursos dIs~ibIes, etc)

Cualquleo- método de gesllón de rl&sgos y evaluació n que cumpla con los criterios mlnlmos de la
norma ISO 27001 es aceptable, incluso un método desarrollado en la empresa (siempre que puedan
demostrar que puede proporcionar resultados comparables y reproducibles),

Cualqu ier an ~ lis ls deberla iX'r lo menos considerar, ios sigu ientes cntenos de evaluaCIÓn establectdos popr
la ISO 2 7001 el valor de los acwos, las amenazas a los activos, las vu lnerab lldades que exponen los
actrvos a las amenazas, la probabi hdad de ocl..-rencia de estas amenazas y las ne<;:e~dades de los actIVos
en lérminos de cortidenc:ialidad, Integridad y dispon.bi lidad_ MerMs, deberla permitir la elección de
criterios objetivos para determ inar un nive l de riesgo ace~able

Metod;)logla _
¿Está n ident ificadas las vu lnerabi lidades y amenazas?
¿Se ha eva luado la p;ot>abi lidad de ocunoocla de l.ro l alla de segIXId<KJ?
¿Puede OIra persona lJiliza r los mISmos datos y Regar a l mISmo resultado?
¿Se puede repettr el proceso y dar resu ltados consistentes en e l tlemiX'?
¿T >ene en cuenta el a~ llSls dellmp¡!cto de los camboos?

Cl PECe _... _ _ _ . , . ' .. , , . . . _ ; 0 " 70


SeccIÓn 11 EvalwclÓn de riesgos

Metodologías de Gestión de Riesgos

-- _
Lista de las herramientas dlsponibles mas utlhzadas

.- --
oc'"'''. aw __
.......---
..._, . ......
....... ,....""-_.,--
...-- ..... . ',
........... --.... -
,"'. '

--,..........- ................--
,,~

~_
""' .
..,..- _,
I~' 1-0_" _ _ ... -... .., ..
a!.W ,
~.~

--_ -
-' AA

.. _
~-

... __ ...
-~
" .1. __ .. _ ... _ .... .:-.. _

. _,
..... ~ .. c.._ IESCI¡ , .. C'
_ _ "c-i}I(:"'¡ _ .... ~ ...

,-
' '''' _,
a~

_ --
0..10 .. _

.- ""'" !I_.-" ,. . . ___ . _ . _


. .... " ...... ,

..... .
.. _ _ _ .. ' - " ....

.............
.--, .
Ir _"""_"_
• , _ ....... _ .......... EEW
.....-
,

- .. _ _ .. _.Ir--. ..... _ ..
f ,_
~~ I

~u

Cualquier metodologla de eva luacIÓn de los riesgJs que cumpla con los Criterios mlnuTlos de la norma ISO
27OO1e5 aceptable, irduso una metodología desarrollada inlemamente la sogu iente es una lista de
a lguros metodologlas de aná lisis de riesgos reconocidas

OCTAv e (EvaluaclÓfl de las Amen<:!zas y VlAnerabl lidades Cr iticas pera la OperaCIón) perm~ e eva luar los
va lores amert3zados, los Mesgos más formidables, asl come la vulnerabl lldad de lu de/ensa tesada en Urt3
base de COnocImientos estandanzados (catálogo estándar de InlorrnaclÓn) jrd",das en el método. A partIr
de estos resuRados, el método permne desarrol la r y aplica r Urt3 estratega de reduo:::lÓn de nesgos
OCTAVE est¡\ estructurado en tres fases perlil de las necesidades en matería de seglSldad en le que
respecta a los va lores de la empresa, estudío de la vulne rab li dad, y e l desarrolle de la estrategia y plan de
seguridad

CRAMM (CCTA Risk Arolys's aro Method Marogemenl) ' fue creado e n 1967 p:lI' la Agenda Central de
Proces3mrento de Datos y TelecomlOC301Qnes del Got>it'rno del Re ino Unido La metoó:Jlog l~ CRAMM
para es una eslructura de tres fases la definición de los valo res amenazaoos, ana lisJs de nesgos V
vu lnerabi lidades, deflf'li<;lÓfl y selecclÓfl de las medklas de segundad

MICROSOFT tamb!én h<I lanzado una gula pera gesllort3r los nesgos de segu'ldad , sot:re la tese de
variaS normas reconocidas de la índJstrla , que es aoomper'lada de herramrentas pera realIZa r un~
E!'ialuacl6n comp.eta del nesgo, El proceso general de la gestión del nesgo tiene cuatro fases pnncipales
la ev~ l uacIOn de riesgos, el soporte a la loma de deciSIOnes, la apllcaCl6n de cont roles de seglJl'ldad Y la
medicIÓn de la e/ieacla del programa

Cl PECe _... _ __ _ , . ' ... , .. . _ ; 0 " 71


SeccIÓn 11 EvalwclÓn de riesgos

TRA (Metodologia Harmonizada de Eva luacIÓn de RIeSgOs y Amenazas) es ~ putlbcaclÓn


editada baJo la autoridad del Jefe del Órgano de Segundad de las ComJricactoneS el Canadá
(ESC I) VeI ComISlOll300 de la Rea l F'o lic la Montada de Ca nadá (RCMP) . Esta meloOOlogla tIene
cuatro pasos. Establecer el alcance de la evaluacI6n e identrflCar los emp'eaoos y acwas a ser
prOlegidos determna r las amenazas a laG trabajadores V a laG brenes de la organ~t6n V
e"",lIJar la probabrlldad y el impacto de su oourrenclll , e"",tuar las vlAnerabl lrdades en base a la
suficiencIa de las gararlllas y calcliar el nesgo, ap1 icar salvaguardias adicronales, si es
ne<:esa no, para reduc ir el riesgo a un rjvel ace~able

Publicado en el ano 2002, el NIST 800-30 ha sido desarrollado P'X el NIST en C1J~lmrenlo de
las responsabihdades establecidas por la ley en virtud de la Ley sobre Segl.Xldad InformátICa de
1987, Y la Reforma de la GestIÓn de la Tecnologla de la InlormadÓl1 de 1996_ Estas di reClnces
son para uso de las organizaciones federal es de los EE UU que procesan Inlorma<;i6n
conlldeflOa l Fáci l de ul ll iza r, el NlST 800-30 propo rcrona una base para el desa rrollo de un
programa eficaz de gestr6n de ~esgos, que contiene tanto las definiciones como las
orientacIOnes práctrcas necesanas para estima r y m~rgar los riesgos ldent ~icados en los
sIStemas de TI

ESIOS (8cpross!<TJ des Besons st lderil!licabon des Ob¡acrrts de $é:;l.f"rlé) perrme e"",luar V
actuar soto-e los fJesgos ~awos a la seguridad inlorm(\lIc¡j, V prop:Jne una poIltrca de seguridad
adaptada a las necesidades de una organrzaci6n Este método ha sido creado jXlI ANSSI
(Agen;e Nalrcnale (XlUf la $é.;;unlé des Sys1emes d1r1ormabon (e>: DCSS I) Esta agenc ia se
coloca ooJo la aulofJdad de l Pnmer Ministro, y es dependiente de la Secretaria Genera l de la
Defensa Naciona l Los 5 pasos de la metodolog la EBIOS son estudio circlJ:1stancial, los
req,JISIIOs de seguKlad, estudio de riesgos, la identifICacIÓn de obtetivos de 5ego.x ldad, V la
determ inadÓl1 de las neceSIdades en matena de seguridao;!

MEMA fI,l (Mét rodeHarmonsee d'Ana lyse de Rlsqoes . "Método armonlzado de 8n¡j I ~is de
riesgos") es c!esarroUado jXlI el CWS IF srn:e1995, se deriva de los métodos Melissa y Marion.
El paso genera l del MEHARI consiste en el aM lisis de los retos de segl.Xldad Y en la clasificación
prehmlnar de la las entidades de la SI en funcIÓn de Ires (3) cmerlos básICOS de seguridad
(corlidencra lidad, U1tegrKlad, dispon it.TKlad) Los retos eKpresan las dis fu ro:::iones que benen un
Impacto directo sobre la ad",i(!ad de la empresa Las audrlorias identifICan las vul nerabilidades
de SI V el aná lisis de rtesgo se rea ll.., posteriormente.

Hota: EN ISA (AgencIa Europea para la Segl.Xldad de las Redes y la I riorma~6n) ha


establecidoun inventa rio de vallOs métodos de gestIÓn de nesgos/eva luaclÓn de riesgos Y
álSponibles en el mercado, inc ll/¡lerdo una comparación de 22 atr ibutos Ver hnp /trm -
Inv erisa eur900 eu'rrn ra logis btm!

Cl PECe _... _ __ _ , . ' .. , , .. . _ ; s " 72


SeccIÓn 11 EvalwclÓn de riesgos

1.7.3. Identificación de riesgos

_
.- -
....
.
.-....
-
- --
... -
-
._... .
o- ~OOo

Comunl ..... Ó" CoooullO d& R",,, .,.

"'''
En la fase de ldemficactón de riesgos , todos los riesgos potero:;lales deberla n aparecer en forma de
e1lCerlaflOS El re5ultado e5 el "Catálogo 00 Rle5QCs", COfnlnnente conocido como la ¡'sta de riesgos

Pa rece que e l punto de partida de este enfoque se caracteriza por I ~ identificación de los actIVos de
InformacIÓn que pueden se r afectados por lo que se refiere a su Integridad, oonfidero:;la ltdad V
disponil:ohdad Un activo puede ser una máqUlfla, software, base de datos, ~oceso, o bien un dooumento
oomo 1Xl contrato y báSICamente todo lo que tlelle va lor para la empresa Es a partir de esta lISta de los
actrvos de que et anábsls de l rle5QC debena ser rea hzado para establecer 1Xl plan de tratamento de
riesgos que está en oonformldad con lo diSpuesto en la poI itlCa de SGSI, V alineado con las expectawas
00 negocio 00 la empresa

El paso de ider1lfIcaci6 n de amenazas perm~irá a la orgarizaclÓ n determ ina r tas amenazas q ue enfrenta
la seguridad de la informació n. En esta etapa, I ~ orgafllZilción seleoc iona y clasifica las amenazas que se
cree que son rele""ntes dentro de su con1e>:1o

El aná lisis de los controles que ya eXisten dentro de la orgarozaclÓn delx>r1a consistir en eva lw r toda la
gama de posibles controles y perm itir COro:;!u1f si las estrategias que se recomiendan son ver1ajcsas para
la orgarnaclÓn

La idert\lficaclÓn de vul neral:oltdade5 es la fase en ta que las aromatlas o errores (Ult rl nsecos a la
COfltitllXC1Ó11 o durante las operaclOfles) se Ma detectado que p:><i"la n ser """O\techados por las amenazas
a la orgafllZilclÓn

NOTA · Las ...u nerabdldades son deficiencias de constn.wlÓn o errores en el ósef'¡Q o elalxnadÓfl de un
prodL.cto o servICio, o 1Xl sIStema Las \/Ulr.erato ltdades en !¡¡s operacIOnes son las deb lldade5 o erro re5
dlIante la p..Ie5ta en sef\llclo o LISO del prod-..oto o servicio , o sistema
En esta etapa, el aná lisis de los factore5 de v"nera b lidad ~e estar hmitado a los factores de nesgo y
elementos de rJesgo

Por úklrTIQ. es Imp:;>rtante tener en cuenta cua l es el efecto de las amenazas que se Ciernen sobre tos
acttvos potero:;lalmente vulnerables, 00 sólo en términos de ,,"otabtlidad o frecuencia de ocurrenaa, SlOO
tarntié n med iante la determinación de sus p:os ibles efe<;tos Estas coosecuenci ~s , en funcIÓn de las

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; 0 " 73


Circ'-'1Stanc18S y el momer10 en que se producen, pueden ser l~gnlflCantes o cataslrólicas en
té rmlros ele Impacto en la orgarnzación
la secuencia y la vinculaCión de estas actJvKlade5 permiti r~ a la org¡Irnzac lÓIl eva lua r mejor los
nesgos a los que está ex,...esta

Cl PECe _... _ _ _ .... ' .. , , .. • _;0" ,' ,


SeccIÓn 11 EvalwclÓn de riesgos

1.7.3. 1 . Identificación de los Activos


27005, cláusula 8_2.1 2

DefinicIón de Activo
Cualquier cosa que tenga valor para la
organtzación

_.
--_. -
(ISO 27000. 2.3)

---- -
"'''
Un acINo es cualqUIer cosa que sea de valor para la orga nizaCIÓ n y por lo tanto necesna ser ","oleglda
Para la idenbflCaoon de los actIVos, se debe tener en cuenla que un sistema de Info rmación c o nsiste en
mucho más q ue sólo el equ ipo nsico y el software.

la ideri ificaci6n de los activos debe hacerse en Ln nive l de deta lle que proporcione la información
so.liclenle para la evatwción de riesgos. Sm emba rgo, la identific ació n de los activos deberla limital"5e
a aque llos con el valor más importante poI"" la o rganización . En algunas metodo-logfas como
OCTAVE. se sugiere ro tomar mas de 5 a 10 priro::ipales actIVOs en considerac ión

El nivel de deta ll e utlllzaoo en la klentlf",aoon de los activos afecta rá e l volumen 91000 1de la in'ormaCJÓn
recopi lada dLJante la eva luacIÓn de riesgos El nivel puede ser refinado en las itelaciones de la evaluación
de nesgos

la ISO 27005 divide 105 actIVOS en dos grandes categorlas

1. Los p rincip ales activos consisten en procesos de negocio y activos de Inf0rmact6n Estos son los
principales activos que tienen la mayor imponancia pa ra tener en c:uenla en el aMIIsi1l de nesgos y no
los actIVOS de apoyo corno los sef\ildores, por ejemplo
2. Los activos de apoyo IflC luyen el h3rdwa re, softwa re redes informáticas, el personal, los snlOS y I3s
estructlJ"as organ izativas

Cl PECe...,.." ... _ _ _ _ , . . . ., , . . . _ ; 0 "


,.
SeccIÓn 11 Evaluaoon de riesgos

Identificación de los Procesos de Negocio

• Apoyan la m'5i6n de la Ofll"nizaa6n y son


vilales para ... 1Ogro
• Irw<>luaan ~ manejo de infOtmaCión

~-
• Relaciooados con una obIiga<:i6n • ylo
contraclual

"'''
Al estable<:er una C3rtografla de los p"ocesos de negoCiO, los po-ocesos se rompen e n sLb-p-ucesos ,
actrvldades y I:or IJItIlTlO, en ta reas, NglJ:lOS ejempos relacionados con el proceso contable son '

1. Proceso: Contabi lidad


2. Sub-proc eso: AdmInistrar cuernas p:lr cobrar, nómina, etc
3. Actividild : CreacIÓn de lnI factlSll , liI redaccIÓn de wlormes mensuaie5, etc
4 . Tareas: Com¡:mbaclÓn de la di re<:clÓn actua l de U'l cliente, al'laór ¡mOOllaclÓn en el sistema de
coriabi lldad, etc

Cabe sel'la lar que, para lleva r a C3bo U'l aná lisIs de riesgos de con'ormidad con las re<:ornend!clOrles de la
norma ISO 27005, una orga nizadoo no estli obligada a entra r en U'l rivel granwr de detaRe que incluyera
todas as tareas asocl<ldas con el proceso ana lizado

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ; 0 " 75


SeccIÓn 11 EvalwclÓn de riesgos

Principales Procesos de Negocio


Ejemplo basado en la cadena de valor de Porter
Gn nón do "'n_'ruc'uro
no.U/lndo lIo<u"'''' Kumanos

., f"'.n,.. , contoboll...
Pmd"C~1ÓrI OI"'rlbu~1ón AI. nclón . ,

.- -
Ma"'ellng ~.M

-
cllenle
I
---'1 -,

-Cj )~
._- -
- -- I

... .....-.g L
1

- ~ 0,-_-
"'''
Tal COfTlQ se define en I ~ norma ISO 9001 , <..n ,,"oceso es un COI'lJl.lf1lo de act "ld~des InterrelaCIO na das o
que i llleractO~ n, quetr~ nsrorm~n los insumos e n prodo:::tos

SegCln Michael Poner, uno puede oistinguir ent re los ,,"ocesos que Interviene n en la cadena de valor
1. L os principales procesos. procesos que contnbu¡en dlrectamerie a la creación material y a la ve nta
de productos como la I + D, marketIng , diseno, poduo:::lÓn, dlst nbución y servicio al cliente
2 Los procesos de soporte/apoyo, lo!;¡ procesos para a~y<.l r la actividad pnnclpa l y constitlfYe n la
Inl raest ruchs a de la compan la , tales corro la gesMn de inlraestrl.ctlS3, la gestIÓ n de los reclSSOs
tuna nos, cortab lKlad V fi nanzas

76
Cl PECe_ ... _ · _ .... . .. , , .. . _ ;0"
SeccIÓn 11 EvalwclÓn de riesgos

Identificación de los Activos de


Información

• los que OO<1tienef1 lnfO<Tl'l3dón que


tiene valor económico, admlnistrativo
o jurIdioo para la OIgMItlac:iOn
• Los que es!¡\n IotljetO$. costos POI
oobrn', ~'-o
aImaceoamienlo

"'''
Una o rgarnzaaÓll a mem..do ttene una gran canlldad de activos de InformacIÓn No son ne cesa~ame nte
lOOOs los que se analIZa ran Deberla limitarse a los activos de informacIÓn que Mnen valor econ6miro,
arnmnistratl\fo o jl.ld d ico pa ra la orgarozaclÓn

Pa ra lac ilitar el ana lis is, los activos de Información deben ser consolidados en los (Irup:ls que tienen mas o
menos Ia~ ~ mas cara<; terlsuca~ y e l mismo rwel de clas~lCaci6 n en témmos de seguridad de la
InformacIÓn Por ejemplo, ln? p.;ede Identdicar los datos de contablidad, tal y como un so lo act l\fO e n lugar
de ocuparse de sl.tlconjuntos. los elatos de la nómina de sueldos, cuentas por cobra r, cuentas por pagar,
~tados de clR nta bancarios, etc

Ejem¡jos de activos de irtormaclÓn que puede se r frecuentemente odentificados como imp:¡rtantes para la
orgaruati:>rr
Archrvos con la wlormaclÓn de empleados
Usta de clientes
Plan Estra tégICO de la orga nizacIÓ n
Conflgu"aclÓll de la red
Patentes
Datos contables

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 " 77


SeccIÓn 11 EvalwclÓn de riesgos

Identificación de los Activos de Soporte


Calegorias

"'''
Los a<;tlvos de soporte son genera lmente los más fáciles de ident ificar porq;e son los activos más
tangibles, tales como insta la<;.,oos, mobiliario V material de ofi<: lna, equpos irtormátlcos y softwa re.

En el FvIe~o B 1 2. de la rorma ISO 27005, se pueden encontrar sub<:ategorlas p¡l ra cada clase de act iVOS
de apoyo, con ejem¡jos

Cl PECe_ ... _ _ _ .... ' .. , , .. • _;0" 76


SeccIÓn 11 EvalwclÓn de riesgos

Escala de Valores de los Activos


Ejemplo

I Valor de los
Escala
activos
Insignificante O
Baja 1
Mediana 2
Alta 3
-
Muy alta 4

"'''
Ejemplos de las escalas de va lores de los activos;
Una gama de ano nrve l que va de baJO a medIO y a alto
• Un mvel eros granula r óstlngU!endo enlre lI'lS¡g ndlca nte 0010 medio, a lto y mlJ( ano

Cl PECe _... _ _ _ .... ' .. , , .. . _ ;0" 79


SeccIÓn 11 EvalwclÓn de riesgos

1.7.3.2 . Identificación de Amenazas


ISO 27005. clausula 8.2.3
los elementos de entrada de la identificación de las
amenazas se pueden obtener de las distintas partes
interesadas, tanto internas como externas a la
organización. tales como:
:s' Los propietarios o usuarios de los activos
- Personal de la organización
-"!" Información de los especialistas en seguridad
- Abogados
=r Compañias de seguros

""i" Auloridades del Gobierno

"'''
Por de1intción, Uf\II amenaza tiene el polerolal de hacer 0000 a los actl\lOS, ta les como InformacIÓn,
procesos y Sistemas y el consiguiente perJUiCio eventua l para las propias organizaciones. Se asocia
COI1 el aspecto negatNo de nesgo La natL.O"aleza de la amenaza es Siempre irdeseable

En ias entrevistas, se debería utiliza r un lenguaje sencillo para faa lita r la conversación sobre las
amenazas. Por e¡emplo uno puede pedi r a los Interesados qo.>e irdtqlll'n hasta qué p..<l1O desean
preservar los diferentes recursos de la orgaruación y proporciona r a tal efedo una lista de ejemplos

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; 0 " 80


SeccIÓn 11 EvalwclÓn de riesgos

1.7.3.3. Identificación de los Controle s


Existentes
ISO 27005. clausula 8.2.4

• En la fa se de iniciación del SGSI , si la organiza ción, ha


llevado a cabo un análisis de brechas, ya tiene datos
sobre los controles de seguridad existentes
• Para reunir la informa ción adecuada en la organización,
lo siguiente puede ser útil:
1 E~amen de documentos que contengan información sobre los
con tro~s de segurid ad (prcx:eso de gestión de la seguridad ,
procedimientos . descripción de los controles de seguridad.
informes de seguridad , etc.)
2 Entrevista con los responsable s de seguridad de la ir1formaCión
y las personas que manej an las operaciones diarias
relacionadas con los controles de seguridad
3 Revisar el sitio de los controles de seguridad fisic,¡¡
PECB 4 Revisión de los resultados

Pa ra gara n! lza r la idemlficación de los co rt roles de segundad eXlstenles y previstos, se puede <Albzar la
lISia de cortroles de 5egJndad de la norma ISO 27002 (o en el Anexo A de la ISO 27001 ). Esto ayuda a
esta tkcer la sit ua CIÓn existente en relación co n las melores ,..ácbcas de segt.l" idad

la jdertificación de los contro les de seguridad existen!es debe lDmar meadas pa ra evttar el tra bajo o
gastos inneoesa rios, p<J r eJerrplo, la duplicacIÓn de oontroles o la aplicaCIÓ n de cont roles Inneresanos Por
ot r3 parte mientras se reali za la identlfk;a Cl6n de los controles de segund3d existentes, un a~ lrs's de
estos debe ser llevad;) a cabo pa ra asegurar que estos cortroles estén flrlCronando correctamente
Reset\as de gestión, cuadros de mando e Informes de audItO ría también pueden p-uporClOfl<l r rnformaclÓl1
soto-e la eficacia de los oon!roles de seguridad ex istentes

Además de considerar los controles de seg OOdad ya eJ<lstentes en lB organizació n, tambtén deberán
examina r los con! roIes sobre los cw les está ,..evlsta la ,...esta en práct ICa

D.lando se ana liza n los contro les el<Jstentes y en proyecto eRos pod rla n ser rdentdrcados como Ineficaces
o na propra dos Sr el control ro se jLlStrfrca O no se enfrenta a lSl nesgo, debe volVer a ser evaluado para
determina r si dete ser rem;)"';do, S llSt~ ¡jd;) por elro control más adecuado. o ~ ac.n debe permanecer en
su lugar, por ejem plo ¡:or razones de costes ligados a su elimi naCIÓn

Si los cont roles de segurrdad no so n eficaces o no flrlCKman como se espe ra ba, esto puede ser en si
msmo ~a vul nerabilidad

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 "


SeccIÓn 11 Evaluaoon de riesgos

1.7.3.4. Identificación de Vulnerabilidades


ISO 27005. clausula B 2.5

• Este paso es detenninar las vulnerabitidades especificas


de los bienes incluidos en el ambito de aplicación. El
estudio de la vulnerabilidad se hace generalmente con la
misma gente responsable Que participó en el estudio de
los orlgenes de las amenazas.
• La evaluación de la vulnerabilidad puede ser complicada
por una percepción errónea de que las debilidades o
deficiencias siempre se asocian con caracterlsticas
negativas.
• Las vulnerabilidades pueden ser intrlnsecas o
extrínsecas.

Este paso es determlllar las vLAnera b lidades especTrocas de los bienes ir.:::luoos en el ambrto de
aphcaclÓn El estudio de la vulnerab llclad se ha ce generalmente con la misma genle responsable
que partIC ipó en el eSlLdo de les orlgenes de las amenazas

La eva luación de la vulne ra b lidad ,....acle se r complicada por <..na percePCIÓn err6nea de que las
debdld<ldes o defICieflCl8S sJem","e se 8socoa n co n caracterls\lcas regatlva s Muchas
vu lnerablidades en realidad son ca racter lstcas negahvas como el caso de un sistema de
iriormaQ6n donde los "parcoos" no se actualizan

En el caso de otras veinerablidades. la deb lidad pJede estar asociada oon caractertsticas
poo¡rtivas que sólo p:Jdrla tene r efect05 seCUlda rles IO"Jeseables Por ejemplo, la moVIl idad de los
portátltes es l.<l benefic iO deseable por el que usted paga un p-eclO más ano, pero es una ventaJa
que les hace mas propensos a ser rONdos

Las vu lnerab lidades pueden se r Intrlnsecas o e)(jrlnsecas Las vulne ra b lidades Ifltrl nsecas están
relacionadas con las caraclerlsbcas intrTnsecas de 105 activos Las vu lnerab lldades e)(jrlnsecas
están re laClOf1adas con las caracterlstocas de las Clfc..... star.:::las espec ificas de l actiVO Por
ejemplo , l.<l servidor que no tiene c8¡:eddad para p-ocesar 105 datos es ISla vlctlfTUl de la
vu lnerablidad intr lnseca V si este servido r está en un s6taoo en una zona irundable. se somete a
la vulnerabilidad extrlnseca.

Cl PECe _... _ · _ .... . .. , , . . . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

1.7.3.5. Identificación de los Impactos y


Consecuencias
ISO 27005 , clausula 8.2 .6
las organizaciones deberían identificar los impactos de las
hipótesis de incidente en términos de (pero no limitad os a):
1. Investigación y el tiempo de reparación

2. Pérdida de tiempo (tiempo de trabajo)


3. l a pérdida de oportunidades

4 .Salud y Seguridad en el trabajo


S. Gastos de formación, honorarios,
compra de equipos, etc ...

6. los danos en la reputación

"'''
B Impacto de las hipótesIs de Incldeme se determina ut ilizando los cr itenos de Impacto que se han definido
duranle la fase de e6lat>leclmielllo de contexto. Un im¡:ecto puede arectar a lXKl o rms activos o sólo parte
de lr1 actrvo Los ImpaClOS sobre los activos pueden calcularse soto"e la base de las ga ra ntm I lnan<: leras o
sobre la base de las esca las clJalllativas Estos electos ,....eden ser tempora les o permanemes, corno es el
caso de la destruccIÓn de un act ivo

B uklr1lO paso de la Identlfk;act6n de flesgos es la IdenltK:ación de los I ~ctos que pueden ser causados
por alglll escena rio de incidenles. Un escenano de incidenles es la descripción de lX1a alT\eflaza ql.'e
aprovecha Ufl3 vu neral:oll(!ad o lr1 COrljunto de vulnerabi lidades e n térm iros de segLSklad de la
n'ormaci6n y que crea Ufl3 consecuencia negativa. Las orgarlzaCIOneS de ben klentd"1C8r los I ~ctos de
las hipótesis de incidente en térmlllos de (pero no r.mrtaoos a )
1 Investigació n y el tiempo de reparaci6 n
2. Pérdida de lIe m,.:> (lIem,.:> de tra baJO)
3 La pérd ida de oportunidades
4 5a l00 y Seguridad en el trabajo
$. Gastos de formacIÓn, ronorar>Os, compra de equlPJ'> etc.
S Los danos en la rep.Jtacioo

Las COfIsecuencl8S de la oourren<:13 de un Ircideme pueden ser evaluaoos de manera d~erente


depenchendo de los actores involucrados en la "",aluación del riesgo . Los Impactos sig mflCativos en la
organización deben ser docurnert8dos Se tendr.l en cuenta las diferentes áreas que pueden verse
afectad3sy propo rCIOnar alguna JUStificaCIÓn para las necesidades de seguridad

"'ota sobre la terminologla:


La ISO 27001 ut iliza e l temJlOO "lITlpecto" y la ISO 27005 el térmlOO "consecuenc ia" y descnbe los
escemoos de illCldenles como 'Ta llas de segulldad'

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 " 83


SeccIÓn 11 EvalwclÓn de riesgos

Ejercicio 5
Identificación de amenazas. vulnerabilidades e impactos

"'''
identifique ~I menos dos escenlH1QS de amenazas y vulnerabilidades asociadas a los s¡gulenles actIVOS e
Indique los posit:Oes impactos y si ~ riesgo afecta rla a la COIlf\deIlda IIdad, Integridad ylo dis¡:on ibilldad

Complete la matriz de riesgos y esté dlspueslo a discut ir sus resp..ll'stas después de l e¡erc1C1O

1 Proceso de Contabilidad
2 InformaCIÓn pe rson/l l sobre los clientes
3 8 eqJIPO de gulas lurTsticos

DJ rad6 n del ejerciCio 20 mlt"llJlOS


Comentarios 20 mi nutos

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


"
SeccIÓn 11 EvalwclÓn de riesgos

1.7.4 . Análi sis de Riesgos

_
.- -
....
.
-. ---
--
-
-
....
-
~ ,

: ,-
"-
::::r

Comunl ..... Ó" CoooullO d& R",,, .,.

"'''
ISO 31000, c1i1usulB 5.4,3: ArniIisi3 de riesgos

El análISIS del nesgo Implica desarrollar lila rxmprenSllY1 del ne"'Jo El análISIS del nesqo prqxxcJOfla
e/a7lentos de entrada para la 6Naluaaan del rie"'Jo y {!aTa lomar de<.;¡SKYleS aca'Ca de SI es ~rio
lralar IOB riesgos, as! COOlO sobra /as estrategias y los mál<xbs de Ira/amiento del riesgo más apropi~
El análisis re rie"'Jo también pvede Prop<YCOlar eJw¡en/os de 61Irada para /c.mar de<.;IS/O'JeS C!J3'Id:;> .se
deben hacer elec<:J<XIeS y las 0{JCJCfie!S implICan drferertes /Ipos de niveles de nesgo,

El análiSIs del 00sg0 ImpllCB la IXYISIderocJ()n de las C<l1.I5a5 y las l'uenles de! nesqo, sus ~ias
positivas y ne<Jativas, y la probatlilldad de que eslas CO'lsa:;l..I6I'Uas puedan CXJIjmr Se deberlan identificar
los faeloras que af8clan a las GGt1S8CUE1J1ClaS y a la probabilidad. El nesgo 58 analiza detarminardo las
r.xt1SOCuerJ:!as y su prr:eabibdad, asl rxmo Wos alnbulos del riesgo, Un sweso puede lener miJl/Jples
r.xt1SOCl.Jefl('las y puede afe<;wr a m(4¡ipfes objetivos, Tamb/&l.se deberlan leOOr en cuenta los IXXltroies
9>:lsrantas , as! como su efICacia y su af"IClB/1Cia

La fama de ex.presar las IXIIJSOCUen:;ias y la probabJlldad asl como la manera en que éslas .se IXIITIbJflan
para detal71'11llB1' un nlVal de riesgo, dab«Ia oorraspordar al ~po de riesgo, a la informacJ()n disponible y al
objetivo ~ra el que se uliliza el resultado de la aprOClacJÓn del rie"'Jo Tcxbs eslos datos deberlan ser
ocherentes CQ'1 los cntenos de riesqo, También es Impcrtalle conSJdtT<Jr la Intardepen<:ietxla de los
ditBrBt1tss riesgos y da sus (...enlas.

La ccrlianza en la determinación del nivel de nesgo y su senSJbllldad a las CcaiICJCrIeS previas y a las
hlpólasis se deberla coosidefa> en el análisis y COOlllllCar de manara arlCBZ a las personas qua han da
lomar OOcISJOnl:1S y, cuando r;orresponda, a otras pattes Inleres<das !"ac/eres tales como las drfarerrcias
de opIrIÓn entre expertos, la lncertd.Jmbre, la disponibilidad la calidad, la canlldad y la validez de la
pertInencia da la informaclÓt1, o !as limitaciones f9s,pacto a medalos asta/)/Bd(bS 58 dabarfarl mdlCat y
pueden resaltarse

Cl PECe_ ... _ _ _ _ , . ' .. , , .. . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

1.7.4.1 . Estimación de las Consecuencias


ISO 27005. clausula 8.3.2

• Los impactos estimados se pueden expresar en


términos cualitativos o cuantitativos
• El valor de impacto por lo general depende del valor
y la importancia de los activos afectados por el
escenario de incidentes
• Esta estimación se puede obtener mediante un
analisis de impacto en el negocio

"'''
La esll1-naClÓn del impacto se rea liza regUarmente como parte de I~ ,.-eparaclÓn de pla nes de oonllru lda d
de negocIO o planes de rec~racl6n ante desastres, pero puede ser usado a un nivet mas alto en el
contexto de la esumaClÓn de las consecuencl<lS de la hipóteSiS de incJdente-s desarrollada

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 "


SeccIÓn 11 Evaluaoon de riesgos

Evaluación de las consecuencias -


Factores a ser Considerados
ISO 27005. anexo 8 .3 Evaluación de Impactos

Impactos Directos Impactos Indirectos


• El valor de reposición da (parte • El costo de las oportunidades
da) activos financieros perdidos perdidas
• El COSIO de Ja adquisjción. • El costo de operaciOCles
configuración e instalación del interrumpidas por el Incidente
nuavo actillo o su reserva
• La pérdida da ingresos causada
• El costo de Jas operaciones por un mal uso de Ja infOfTllaciÓ!1
suspendidas hasta que el servjcio obtenida a través de una violación
¡l<es\ado por el activo(s) se de seguridad
restaura
• VIOlación de ¡¡'S obligaciones
• El impacto da lug ar a una lega les o contractuales
violación de Ja seguridad de la
• Violación de los códigos éticos de
información
conducla

,,,e
B va lor determlna oo por el ImpactO en el negrxlO, es genera lmente ml):;ho mayor qlIe el coste s imple de
rep:lsiclÓll del actNO. Para obtene r una estimaclÓll qlIe corre5JXll1da a la realidad , hay qlIe tene r en c uerta
tanlO I3 s consecuenc ias directas oomo las Indi rectas

Cl PECe _... _ _ _ .,.. ' .. , , .. . _ ;0"


SeccIÓn 11 EvalwclÓn de riesgos

Ejemplo de una Matriz de Eva lu ación de


Impacto
ISO 27005. Anexo E.2 1

1 2 3 4 5
2 3 4 5 6
- "3- - 4
5 6 7
4 5 6 7 8

"'''
Se ,..reden desarrollar escalas similares para el Impacto sotte el medio ambiente. la p-opied¡.ld, la
reputactón. etc.

88
Cl PECe_ ... _ · _ .... . .. , , .. • _;0"
SeccIÓn 11 EvalwclÓn de riesgos

1.7.4 .2. Evaluación de la Probabilidad de


Incidentes
ISO 27005. clausula 8.3.3

Escala
Nivel Cualitativa Probabilidad

o Muy raros Menos de cada 100 a/los


1 Raros Una vez cada 10 arios en promedio

2 Posibles Una vez cada 3 a/los en promedio

3 Muy posibles Una vez por ario en promediO


4 Probables Varias veces al a/lo

,
5 Casi com(m
Comun
Varias veces por mes
Varias veces por semana
7 Muy común Varias veces por dla

"'''
Des~s de identifICar las hipóteSiS de Incldemes corresp:;mcbentes y la estimaCIÓn de sus consecuencias,
se debe est imar la probab lidad de ocurrencia de cada escenarIO . Es necesarKl est imar la probabi lidad
realista de lJI"l Incldeme de seguridad de lJI"l actIVO a la \/ISla de las amenazas dommanles y las
vulnerabi lidades, Jos imp¡!ctos asoolaOOs a los actl\iOS y los cont roles de seguridad ya Implementadas p¡!ra
proteger los actIVOS

La probabi lidad se deli ne corro el "grado de prooob lidad para que ocurra lJI"l evento". set\alando que la
prooob lidad es en general (ye n especial en la norma ISO 3534-1 ) definoda como '\.m n(me ro real en el
Intervalo de O a 1, aSOCIado a U1 evento al aza!" y tomando rda de que · se puede ut ilizar la frecuencia
rres ~ la probabi lidad para describir el nesgo' y que "el grado de creencia de la ..-obatolidad se puede
eleglf com::> U1a clase o como un rango, ta l como rara o irTJlfobable I modEtlada I probable I casi segura, o
~ ref ble I improbable I ..-obable I oca~onal' probable I frecuente"

Cl PECS_"' _ _ _ . . . . ' .. , , .. . _ ; 0 "


89
SeccIÓn 11 EvalwclÓn de riesgos

Evaluación de la Probabilidad de
Incidentes
Ejemplo de una expresión cuantitativa

1. El pasado año, la organización ha registrado 730


incidentes relacionados con el restablecimiento de la
contraseña
2. 730 Incidentes /365 días = 2

3. La probabilidad de que la escena de incidente


relacionada con el restablecimiento de contraseñas de
esta organización es:

2 por día

"'''

Cl PECe_ ... _ _ _ .,.. ' .. , , . . . _ ; 0 " 90


SeccIÓn 11 EvalwclÓn de riesgos

1.7.4 .3. Determinación del Nivel de


Riesg os
ISO 27005. clausula 8.3 .4

• Una vez que se establece un registro de todas las


fuentes de riesgo en la forma de una lista genérica
de posibles incidentes, los riesgos asociados con
cada incidente deben ser evaluados, lo que lleva a
un inventario jerarquico de los posibles escenarros
de incidentes
• La estimación del riesgo, asignara entonces un
valor cualitativo o cuantitativo a la probabilidad de
un escenario de incidentes y sus consecuencias

"'''
Estimación puramente nllméficlI
Si se d ispone de estad lsticas de Inddentes deta lladas o sucesos pasados, y es razonablemente seguro
que todos los nc.dentes de l pasado se ha n tendo en cuenta en estas estadlSIJC3S, se puede utilizar
directamente el aumento de la frecuernia como ISla estimación del riesgo f<.JLro Pero esto es SÓlo un
p..oto de partida, y l.OO tene que complementar esta si es posible por otros métodos. De hecho, el Interés
ro sólo será e n las ¡recuerdas de pasado , Siro también en las proOObl lidades futuras.

Estasson dos cosas dferentes, sobre todo si va a reduci r los r i ~ Uno debe saber qLé tamo se redu:::e
el tJesgo y es mej or no esperar vanos meses para las estad lsttCas fiables Si l.OO evalw los nesgos de lJfl3
rI.Ie"<l actIVidad, las eSladlsllC<ls del pasado no le ayudará n Además, Yl.I que lOdos los irctdemes
poteooales genéricos en la lista no se habrán proou::ido, es aUn e l prOpósitO de la evaluación identtrtCa r a
aquellos con un ano nrve l de riesgo, pero, que afortunadamente, a iSt no ha n causado IncK1emeS.

Es posJt>Ie, en blose a las estadisttcas externas, el cA lculo de proOObtTtdades para Ctertos irctdemes
potendales en la hS!a Por e¡emplo, uno puede <.J ll izar las estadlsUC3s de accidentes de itálICO, en
genera ~ para ca lcula r el nesgo del personal de una empresa de venlculos de transporte responsables de
viajar en coche . Otro ejemplo es el uso de la irtormaclón de UM li sta de blose de datos de incidentes
sm ila res en otras organizac4ones del mismo sector o sectores simi lares.

Estas estadlstlCas se utiliza n para calcUla r la probabi li dad de IIlCidentes mas g raves, y también ml1Y raros,
corro un in-cendlo en un centro de datQG Pe ro ese cálc\Jo no stempre es posible

Cl PECe _... _ _ _ _ ,. ' .. , , .. . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

!=jemplo de un Calculo de Determinación de R


lesgos
ISO 27005. Anexo E

,,,e
En el eJempkl antenor, pa ra cada uno de los actf\lOS, son consideradas las vulnerabilidades y amenazas
relevantes. El rango apropiado de la matnz se identifICa con el valor de los actIVos, y la columna
correspondiente se oderl\J1 1C8 con los va lores de la amenaza y la ~ulne",b ll dad Por ejemplo , SI el actIVo
tiene un va lor de 3 Y el "" lar de la amenaza es aRo y el valo r de la \ILI lnerab lldad es bap, el r~sgo es 5 L3
matriz PJede "",iar en furclÓn de l número de niveles de amenaza , los noveles de vulnerabil idad y el
rúne ro de clases de vabraClOn de actIVos, y se p;ede ajusta r con precISIÓn a las necesidades de la
org<IrlIzaCIÓn

Cl PECe_ ... _ _ _ .... ' .. , , .. • _ ;0" 92


SeccIÓn 11 EvalwclÓn de riesgos

1.7.5. Estimación de riesgos

--_.
~ -'

-
~
o- _
~o "'
.

Comunl ..... Ó" CoooullO d& R",,, .,.

"'''
ISO 31000. c1i1usulB 5.4,4 Estimación do riesgolJ
En base a los f9sulta::los del anaJisis del fl85fJO la finalidad de la /Wal¡a;iOO del nesgo as ay<.dar a la toma
de declSro"laS, detennmando los nesgas a tralar y la priandad para Implementar e>I tralamleflto.

La evaJuaciOO del riesgo implica ccmparar el nivel de riesgo encontrado dJranlB el pltX:9S1:J de atláIisis Cal
los cnlenos de nesgo eslablecldos cua<>::b sa CQ'l.S/daI'Ó el CCIlIexkl. En base a esta comparacIÓn, se
puede c<:r<5rdenJr la flfXeS/dad dellralamiento,

Para las dedS!l'Xles se deberla /enef en cl.lellla el ocffleo:lo más amplio del riesgo e irJ;;IUJf la rxrrSlderacIÓn
de la I~Ja del "esgo ¡xr ollas parles diferentes de la orgar'fZOCIÓn, que se benefICian del nesgo Las
decisiones se del:J«lan lemar de acuardo cct1 requisitos legales, laglaman/arios y requiSJIos de otro II{IO.

En algunas WClIl5lanclas. la evalua<:1Ón del fleSlJo puede llevar a la decISIÓn de roolllar III anál,SJs en
mar« profUl'Idid31, La /WaJuación del riesgo lambié'! puade llevar a la OOclsiOO de 00 tratar el nesgo de
"'n¡¡"1IIi3 cita manera que mar>tenla'ldo los IXJfIfroies eXistentes Esta deciSIÓn esralá Influerroada por la
actitw anle fIi riesgo po¡; parle de la organllZlC/Ófl y po- /0$ c'llenos de riesqo que se hayan estab/e<,;/do

Cl PECe _... _ __ .... ' .. , , .. . _ ; 0 " 93


SeccIÓn 11 EvalwclÓn de riesgos

Estimación de Riesgos
ISO 27005. clausula 8.4

• la evaluación de riesgos consiste en comparar el


nivel estimado de riesgos contra los criterios de
evaluación de riesgos y los criterios de aceptación
de riesgos, y luego priorizarlos
• la evaluación de riesgos es necesaria antes de
tomar una decisión sobre las posibles opciones para
el tratamiento de riesgos:
1. Si se tomarán medidas correctivas para reducir el
nivel de riesgo calculado
2. Cuáles riesgos serán tratados con prioridad

"'''
Gu la para la Evalua.::i6n de Roesgos :
1 La naturaleza de las dec lsJoreS relalrvas a la evaluacIÓn del nesgo y los emenos de eva luacIÓn de
nesgos que se Uhlizarán para toma r esas decISIO,"""S, se habrán decidido al establecer el contexto
2. Estas d~ ISIOfll's y el contel<1O debef lan ser rellisados en más detalle en este mome nto cuando más
se sabe sobre los roesgos particulares identificados
3 Para e\l3 luar los nesgos, las OrgilfUaCrones dt'be rlan compara r los ri:veles de riesgo co n los criterios
de eva luacIÓn de nesgas derin.oos en el estable<:llmlento del corrte~to

l.o6 criterios de eva lw ci6n de riesgos utlhzados para toma r declSlOOOS debe rl"" ser compatibleS con el
oontexto para la gesfi6n de riesgos elcterno e ¡¡,jeroo y deben terer en cuenl;¡j los objetrvos de 13
orgal1ll'aci6n Y las opll1iones de las panes Intelesadas, elC. Las dec isiones tornadas en la aC!ividad de la
evaluacIÓn del nesgo se basan pr1llClpa lmenle en el flI\IeI de nesgo aceptable Sin e mba rgo , las
OOrrsecue1lC 18S, la posil:ohdad y el graOO de cor1lanza en la ident ificacIÓn y e l 800bsIS de nesgas deben
también considerarse. La agregación de múltiples nesgas baJos o med ios puede resul!ar en mucoo mayor
riesgo globa l y la ne<:esldad de ser abordados en consecuellC18

Cl PECe _... _ _ _ .,.. ' .. , , . . . _ ; 0 " 9'


SeccIÓn 11 EvalwclÓn de riesgos

Ejemplo de una Evaluación de Riesgos


ISO 27005 . Anexo E, tabla E.2

EscenarioA 5 2 10 2

Escenario B 2 4 8 3

Escenario e 3 5 15 1

Escenario O 1 3 3 5

Escenario E 4 1 4 4

Eocenario F 2 4 8 3

"'"
Las esca las deben aclaptarse a las Clrc<.nStancl3S particulares, pero a pesar de que a veces son
(aparentemente) .., poco confusas. JXlr lo gene ral es ¡:osible ubicar, a tra.-és de una rel\e)clÓn roectrva,
cada incidente genénco en la matrIZ Sin mucha ambgOeda d

Mediante la asignación de un rírnero arbllrario a cada celda de la matrIZ, pero au:neriando la intensidad V
rrecuencla, p:Jdemos deflrl r un Indioe se mi c uantitatillo de rieI;go para cada Inctdente
Sólo resta a cont inuacIÓn, ordena r la lisia de POSIble\¡ incidentes pa ra obtener .., reg istro con más valor

La e~periencla demuestra que 51 bien loG nesgos más graves son a menudo cie n conoctdoG p:x tas
organIZaciones, una evatuació n slStematica y obJetiva de los riesgos traerá a la su~rfi cte aquellos que
previamente no Mb lan sido descubiertos (por ejemplo, JXlrque son rMS ddlciles de controlar, JXlr ejemplo,
el nesgo de trensrntSlÓn de datos a través de los capas irlerio res de l.fI3 red) , y los nesgOti de Ctertos
Inc identes que ha n reClbtoo Un¡! O1enclÓn desproporclOrtada se pondrá n en perspectrva a s u nIVe l de nesgo
'Ot,etIVO"

95
Cl PECe _... _ · _ .,.. ' .. , , . . . _ ; 0 "
SeccIÓn 11 EvalwclÓn de riesgos

Priorización de Riesg os
Presentación de 10$ resulta dos (ejemplo)

Impacto

Muy .ltI>.,> 3

Modl ......,. Valor de riesgo


(probablflda<l X

Probabitldad

"'''
Una vez ql.le se establece de una manera JerárQUICa el rrwenta rto de los escenafXlS de POSibleS ,,,,,!dentes,
es necesarIO definir cnterlOs para una clasificacIÓn simple de los riesgos pa ra su prlOrlZaClórl

El nesgo cero no e~ ISle, pero es posible deflfll r UIl umbra l por debajo del cua l es acepaOle 00 hiK;er nada
para reducir el riesgo

En el otro e>:tremo de la escala h3y U'1 umbra l más all á del cwl e l nesgo es Iflacept.lble, entonces se
debe hacer toctl lo posible para ebmlna r su ruente o reduc ir los nesgos de rorma fiable. El riesgo de un
desastre nuclear es U'1 claro ejemplo de nesgo inace~able, que IIev6 a algunos oposito res a la demanda
de una prohi t>d6n total del uso de la energla roolea r cua lqUiera ql.le sea el costo de las anernatrvas para
la empresa . El riesgo de contaminacIÓn por petróleo (AmQco Cadiz, ElO<on Valdez, etc) es o/ro ejempkl de
U'1 riesgo 00 tolerable

Es evidente que el umbra l de aceptacIÓn de riesgos y la tolerancia reflelan la act~ud de la orgamzación y


de la SOCiedad en rela<;!Ó n con el riesgo Una ve~ establecido, ro se debe carrbla r

El proceso SlSlem.'itlco descr ito anteriormente, sin a¡:orla r soluciones prerabricadas, Ident ifica el debate V
ac lara las eleCCIones que habrá n de formularse Elóte proceso permite, una vez he\:h3s las eleccIOnes,
COfTlUfllCarse de manera electiva y meJOrar la cohererc ia tnterna de las ilCCtoneS de la oompan ía en
relsc:i6n con sus opciones fundamenta les

Se pueden aSIgnar zornIS deflfldas en cualquier matriz de riesgo para olas,f;';ar a cada irlcidente genérico
potenCIal, y derlfli r el tipo de medidas requeridas en cada caso.

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 "


S<!cción 7: An~ lisis de riesgos V e!llImació n de riesgos

Ejemplo de una Evaluación de Riesgos


Consideraciones
El ejemplo que figura a continuación :
1. No es de un metodo particular para la evaluación de
riesgos
2. Sólo sirve para ilustrar la relación entre la lógica y los
conceptos
3. Las herramientas de mélodos comunes utilizan
tablas de resumen similares
4. Los valores de escala se redujeron de forma
voluntaria (a menudo de 1 a 5) para facilitar la
representación de datos

97
Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "
S<!cc ión 7: An~ lisis de riesgos V e!llImació n de riesgos

Ejemplo de una Evaluación de Riesgos


Idenllficaóón de los activos
En primer lugar debemos identificar algunos de los activos en el
ámb~o de aplicación :

Acllvo I Amenaza I Vuln. I Impacto I Probo IRiesgo

e I I I A
Ord ... adQr
portitil
St ..... idord~
""'hi, o.

C\>Iltnllo'
ron eli...,,«
Da,t<¡ de ~
P.d,,"''''

"'''

98
Cl PECe _... _ · _ .... . .. , , . . . _ ; 0 "
S<!cc ión 7: An~ lisis de riesgos V e!llImació n de riesgos

Ejemplo de una Evaluación de Riesgos


Idenllficaóón de Amenazas

A continuación, identificar las amenazas para cada activo:


(Para simpl~ica,. sólo se identifICa una amenaza por activo)

I
Activo A.m1nau l Vuln I Impacto I Prob I Riesgo

""'""'" "
port¡ilil
Servidor <le
..
VilU'!
e 1 I I A

""hi"""

Contrato<
c."n Cli<-nlO< ''''''
Datos do: los Dj ' ulgar
rac Í<'lll....

"'''

Cl PECe _... _ _ _ .... ' ... , . . . _ ; 0 "


99
S<!cción 7: An~ lisis de riesgos V e!llImación de riesgos

Ejemplo de una Evaluación de Riesgos


Idenllficaóón de las Vulnerabilidades

A continu " ci6n, se identifican las ~u lnerabilid ades para cada


amenaza:
(Para la simplifocación , sólo se identifoea una vulr.erabilidad por amenaza)

,- -,-
"'~.

¡>OrIOIil

:>en """ de- ~-


lAme..... I
.~

Vuln

¡ln,iviru<
I
e
Impacto
I I "
I Prob R'cago

....¡" ,,>/! .J<!oil

- ........ .,.,
,'"''"ti
---
No~'

''''' fuo:n<
- . ~ DhuJp-
~'"'"

"'''

Cl PECe_ ... _ _ _ .... ' .. , , .. . _ ; 0 "


""
S<!cc ión 7: An~ lisis de riesgos V e!llImació n de riesgos

Ejemplo de una Evaluación de Riesgos


Eva!uación de Impacto
A continuaci6n. se evalúa el impacto en la Confidencialidad,
Integridad V Disponibilidad (en una escala de 1 a 5):

Acll.o I _""-1 Vuln I ImpaclO I P,ob 1 Rlll${lo

0«",,,,",
,

" .... Ponab i!i· ,


C I
;
I A

¡>OJtát il ,~

s.,,\'i&lr d< VIrUl Anli,· """ , ; ;


"",h iw~ débil

ContratOS
con e l;'nt...
,..... No hay
caja fu"n~
,
Da'", de 106 O.." tgM Acc",," ; ;
..
~.,,,~"t
,.
,tlcontrola

"'''

Cl PECe _... _ · _ .,.. . .. , , . . . _ ; 0 "


'"
S<!cción 7: An~ lisis de riesgos Ve!llImación de riesgos

Ejemplo de una Evaluación de Riesgos


Evaluación de Probabilidad
A continuación, se evalúa la probabilidad de ocurrencia (en
una escala de 1 a S):
Act,vo I Am .. naz Vuln I Imp;lcto I Pmb RlulIO
a e' ,
, , A

""'""'"
J>Of1M il '''" ...
Portabili·

, , ,
..
S<r. idor Viru< A nti.irus
débi l
" ehi"",
, , ,
Cont,...,os
,., '''" No hay
""j~ r""no
e lle"'""
l>ato. de Di,ulWlf ,- , ,
""
Pae¡"", ..
incoouol.
00

"'''

Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "


>O,
S<!cc ión 7: An~ lisis de riesgos V e!llImació n de riesgos

Ejemplo de una Evaluación de Riesgos


Determinación de los riesgos
A continuaci6n, se calcu la el riesgo mediants la adici6n de la
media de los Impactos (C+I +A / 3) a la Probabilidad (en una
escala de 1 a 10):
"'monu. I I '",_1<1 I I ru .. ~a

--
",,,,,ya V"ln PI""
I
,,- _ l<.
c
, ,I I "
,

-
-"
s.".. _ ... "... A"'''' .... , , •
..,10",.

c_~" ..
-.... - ""1>0)'_ • • , ,

-
0_

_. ~

" , • , ,
~- ~-

"'''

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


S<!cción 7: An~ lisis de riesgos V e!llImació n de riesgos

Ejemplo de una Evaluación de Riesgos


Determinación de Riesgos Inaceptables
Si hablamos Identificado que nuestro nivel de aceptabilidad
era de 4, dos de los riesgos ser'ialados son , en tonces,
inaceptables:
Activo I
~-I Vul" I
e ¡
Impacto
¡
I Prob IRiesgo

""'""'"
port¡il il
"
S.. vidor <le
..
VilU'!
P<>rtnbilidad

i\mivi""
, ,
, , ,
I A
,
,
""hi"""
Comrnl""
'''''''
débil
1'0 hay ""j. , , , ,
ron Clk"'d
[)a¡os <le los Dh'lIlgar
fuert.
,,= , , J , •
P.\C;"nl., illro,"roJ:ldo

"'''

Cl PECe_ ... _ _ _ .,.. ' .. , , .. . _ ;0" "4


S<!cción 7: An~ lisis de riesgos V e!llImación de riesgos

Ejemplo de una Evaluación de Riesgos


Tratamiento de Riesgos
Para tratar los riesgos, liamos a implementar controles que
reduzcan el Imp acto o la Probabilidad de ocurrencia :
Acllvo Iomanua VUlol. Imp.acto Prob Rles{lo
e I 1
""',,"'" ,""" I'or\abili- , I
;
A
;
ponalll
Servid", de Virus "'"
I\ m;" i""
"",,,
, ; , ,
...chivos

COI"""'" 00" ,- No ha) Mj . , (i) ,


Oi..,!", fiome

DaJ"" 6t lo< Di"ulgar A_


CE (;) ; , •
r admt•• inconlmll!do

"'''

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; s "


""
S<!cción 7: An~ lisis de riesgos Ve!llImación de riesgos

Ejemplo de una Evaluación de Riesgos


Tratamiento de Riesgos
Una vez que los con troles han modificado el Impacto y/o
Probabilidad, el riesgo es re calculado:
Act'vo 1.............. Vuln . I 'mp¡lcto I Prob RioSIIO

,
e
," A
,
""'""'"
J>Of1M i' '''" ...
Portabili·

, , , ,
..
S. .... idor

,,,,hi,,,,,
VirIl< Anti.irus
débi l

Cón,,,,,os 1'<.> hay , ,


,., '''" ""j~ r",,"O ('
e lle"'""
[>ato. de
""
Pae¡"", ..
Di,u'WIf ,-
incoouo[a
00
, -, ,
"'''

Cl PECe_ ... _ · _ .... . .. , , .. . _ ; 0 " ".


SeccIÓn 11 EvalwclÓn de riesgos

1.7.6 . Tratamiento de Riesgos

---_.
--
._.
-
o- ~OOo

Comunl ..... Ó" CoooullO d& R",,, .,.

"'''
ISO 31000, c1i1usulB " ,; Tratamiento. de riesgos
,.,. 1 GeneroNdades
El tratamleo'o de< ne:;go ""pll(:a la seleccIÓn y la Implemen1a;1Ón de 1.11<1 o vanas opGJOfles para mOOlflcgr

"" "'"""'
Una va<' raeJizadi'lla imp/ool9l1lación, /05 tratamietltos proporcionatl o. mooirican /os con/roles

El Ira/armenio del nesgo SUp<Tre !Xl procetn c!ol= de


- 6'laJuar IXl lralamianlo del ri8sg0,
- decidir SI los rweles de ne:;go residual S(Yl rolerables,
- si no sal tolerables, generar (TI ntJe'IO tralamienlo del riesgo. Y
- 6'la/uar la efICacia de esl8/ralam/enlo

Las OPCJOfles de lralamlerllO del nesgo no 5e excluyen nocesafJamenre!Xlas a clras, ,. son apropiadas en
/odas las CJfrunsrar/Clas. Las cpc.oones pueden Incluir /o SIgUIente.
a) fiNltar el nesgo decldoen<;b no inICIar o contiroar con la actividad qve causa el fIe:;go,
b) acaptar o aumentar el ne:;go a fin de ~w lXliI oporIur.dad,
e) aliminar la fuente del OO!iJo.
q¡ mooikar la prOOabJlJdad,
e) moo/hoar las C«lOOCl.JeflOlas.
f) comp<M1ir el riesgo con OfraS parles (incluyendo /os con/ratos y la financJa:;i6n del riesgo) y
g) re/el'ler el rmgo en basa a 1.11<1 OO;/S/Or! irformada

Cl PECe...,.." ... _ _ _ _ , . . . ., , . . . _ ; 0 "


'"
SeccIÓn 11 Evaluaoon de riesgos

de Tratamiento de Riesgos y Aceptación

,,,e
Las opcIOneS de tratamtento del riesgo deberla n ser seleccIOnadas sol:te la base de los resu ltados de la
eo.aluación del nesgo, el coste esperado de la aplicacIón de <:!Itas opclOl'leS y los beneficios <:!Iperados de
estas opcIOneS

CUando se pueden obtener grandes reducciones en los riesgos con rejat",amefte baj o nivel de gastos, se
deberían aplICa r tates opciones. Otras opciones para las meJOras pueden no ser rentables y debe ser
ejercido el sano JUICIO en decidir si son jum~icalJles O no

En general, las consecuencias negatrvas de los nesgos deber lan ser ta n bajas como sea razonablemente
posrble, independ ientemente de los cmenos aOOolutos Los admllllStradores deberlan considerar los
riesgos que son poco comunes, pero graves En tales casos, se detlen nevar a catlO controles q.Je 00
esttl n jUStll'cados por motIVOS estncta mente ecor6m~os (p:>r ejemplo, los controles sotre la continUIdad
del negocIO par1l c-al! altos nesgos espec lflCos),

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 " "a


SeccIÓn 11 EvalwclÓn de riesgos

1.7.6.1. Opciones para el Tratamiento de


Riesgos
ISO 27005. cláusula 9

.. _- -.._""""-
ModIficación dol Rles
,.,._._0,.-. ...
.......
_00 __
o

EII!rt
~. ~<Ie """ aotMal<l .
"'"

-
",....,..., <lO odIYId-.,~ ""'9'>'

Istrtbuclón dol Riesgo


~• _ <le """-'"'
__ rie>goo "'" "'" partes
O~

,,,e
B métoOO de evaluaclÓI1 de nesgos deberla permrtir la gestIÓn de nesgos de acueroo a las sog ... emes
cuatro opciones

1. Modificació n : El nrve l de rJesgO deberla ser a<iToinostrado mediante la In1rOOJoclOn, extracción o


modificación de los coriroles de rn;:xjo que el r.esgo reSIdual se puede re eva luar como algo aceptable
Deterlan ser seleccionaóos y Ju5m~ados cori roles aproprados p¡!ra satisface r Ia~ ne<:esldadl's
Iderrtificad3s por la eva luación de nesgos y el tratamiento de riesgos Esta seie<;:()1Ó!l deberla tene r en
cuenta los cr iterios de aceptacIÓn de riesgos asl como los requ isitos 1ega1e5, reglamentarios y
coriractuales Esta seleca6n también deberla tener en cuenta 105 ooste~ y los plazos para la
aptlcaclÓn de los controles, O a~pecW~ té<:rocos, ambieriales y cult...-a les.

2. Retenció n: es p:lSlbIe que haya ciertos rJesgOs ~uyos controles la orga nización no será capaz de
identificar o que el costo de eSlOS cori roles sea mayor que la pérdida poter>::lal det>da a la
matenahzación del riesgo . En e5te caso, la OrgarllZlCIÓn puede decid ir que es mej or m lr con las
consecuercias del nesgo si es qoe se materI3 ILza La organlZ1lCIÓn tencr~ que documentar esta
deciSIÓn pa ra que la direccIÓn sea Inlormada de los r.esgos y acepte las conse<:uerlClas

3. Evitar riesgos: Cua ndo los nesgos Ident ifocados se consideran demasiado akos, o los costes de la
aplicacIÓn de otras opcIOnes de tratarmento de rtesgos e~ceden los teneliclOS, se p.iede toma r una
decisIÓn para !!\l itar rIeSgos por c:orrpeto, reti rándose de una activida d e ~lsten!e o prevista, o un
cor'!unto de actividades, o cambiando las condicoones e n las qoR es operada la actIVidad .

4. Compaltlr : ColTf"lrl,r nesgas implica '-'la decisIÓn de c::orTf"IrI,r determinados r.esgos con las partes
externas Compartir nesg::os ,...ede crear nuevos nesgos o modifi ca r los rJeSgOS ident ificados ya
eXIStentes Por lo tanto p.iede se r necesarIO un tratamiento de nesgos adicIOnal La dlstnbuclÓn dej
riesgo e5 lJI'la eliminación "ro absollla" del nesgo (ej llllización de terceros para el tral1SJXlrle y la
maropulaClÓn de algunas de las ta reas)

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

1.7.6.2. Plan de Tratamien to de Riesgos


ISO 27005. clausula 9.1 e ISO 31000. clausula 5.5.3

• Identificar y planificar el tratamiento de


nesgas
• Las actividades deberían clasificarse en
orden de prioridad
• Se deben asignar los recursos necesarios
al plan de tratamiento
,

"''' -
Una vez que han sido ac10ptadas las dec is iones sotre el lratamlento de nesgos, deben ser ident ificadas y
planirlcadas las actl\lidades para Ixmer en pnkt lCa estas deCISIoneS

Las accIones pnOflta rias son genera lmente tomadas para asegurar que las actrvldades se centren en el
mayo r riesgo. auroque 0005 procesos pueden IrtlUH e n las prioridades ¡:omicas. como la necesidad de
demostrar resulados a la " na dlrec<:1Órl de la orgaro'zaclÓll o para obtener gananoas rápidas

ISO 31000, clausula 5.5.3: Preparación e Imp/emenrac/ón de los planes de tratamiento del riesgo
La frnalJd<>d de los planes de tratamiento del riesgQ ~cn>¡ste en d<xWlenlar la mane'<! en que se
implantarán las opcicTles de lratam!eflto elegJdas La ¡n/rxma;w profXYClCJflOOa en los planes de
ITatamiento deberla Incllir lo Slguien/e
- las razones qve Jus/¡f¡~an la seloocw de las opcKXle!"> de tralam!efllo incluren:t> los beneficIOS
{YWJslos.
- las personas respoosables de la aprOOacJa1 del pian y las personas respoosabJes de la Implemenlac/Ól1
del plan
- las a:::c1O"leS propuestas,
- las nac-esKJades de recursos induyerdo las contin;}ancias,
- las medidas del desempello Y las resl1lccU1eS,
- los requisitos en materia de InfcrmOC/Ól1 y de seg¡,omienlo; y
- el caIerc1ario Y la program<r:!6n

Los pianes de tratamiento d<iiberlan mte-,¡rarse en los pro:;esos de gesbón de la CYga/llz<r:!Ófl y discu~rse
CCflIaS partas mlaresa:1as aprop¡aaas

Las pt;IfSIX13s que Teman declSKrJeS y las otras panes lflIeresa:1<lS deberlen estar enteradas de la
natll'aleza y amplmn del riesgo residual después del rratamJ8nto del nesgo. El rJ8sgo residual se deberla
d;;(;Wlet11ar y someter a S8}l"m¡en1O rev¡SoÓ'! Y cuando sea aprepado. a lTaI<Imt6'l1o ooJ<;JOfla/

Cl PECe_ ... _ _ _ _ , . . . ., , .. . _ ; 0 " '' 0


SeccIÓn 11 Evaluaoon de riesgos

Plan de Tratamiento de Riesgos


Ejemplo

-=- I = I - I = ' =I= I ··-I~I-=:



---
-~
--
---
-- ---
---
-
--
.-~

-'

"'''
Al igua l que e n el cuadro anteno r, ej p'an de tratamoento es pobable que adopte un en oque rms o menos
ejaborado, pero al menos deberla ad arar los Slguienles puntos :
Las acciones a lomar,
Los rec\SSOs a aSIgna r
Las responsab lidades a loma r
Las prioridades a s er secuenc iadas

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

1.7.6.3. Evaluación del Riesgo Residual


ISO 27001 , cláusula 61.3 f" Y ISO 27005, cláusul a 3.8

1. RI •• gos Resld .... I••


RiHlIO rn"'",nte l'IiHgo _ _ n s o l _
1~1oo_..,_ .. ._._.. ~ .. _óoiL ..... _._.
_w~

2. Riesgo Tl'ilbdo
R.-go _ " " " ""'""""'

B nesgo reSidua l es el riesgo que queda después de que ej nesgo ha sido tratado La nocIÓn de nesgo
residual puede se r denrida corno el riesgo que queda aespués de la apl"lCación de los controles con el
oi:1ewo de red ...... r el nesgo Inherente, y puede reSLl11lrse de la slglJIente ma nera

El riesgo residual:: riesgo inherente· riesgo tratado por los controles


Después de la apllCilclÓn de \Xl pla n de tratamiemo de riesgos, siempre existen riesgos resldl..a les El
valor de la reducción del riesgo tras el tratamiento de riesgos debe ser evaluado, calculado y
documentado. El riesgo reSIdua l puede se,- dil1cil de eva lua r, pero iX'r lo meros debe rla hacerse una
estlrnaclÓn para trata r de asegura r que el valor de los fleSgos reSldl.Jales respeta los cnteflOs de acept¡lclÓn
de nesgos de la orgarizaclÓIl Ademas, la organIZació n debe aseg ura rse de poner en ","iKlica meca nfsmos
de vigi lancia del riesgo residua l

Si ej riesgo reSlduat sIgue Slerdo inaceptat:le después del aJusle con los conuoIeti, debe ser tomaw ure
decIsión sobre la rnanera de tratar el riesgo . Una opclÓll es ldef1iflC" r otras opc iones de tratamiento de
riesgo ta les corro compart ir e l nesgo (asegurador'3S O tercenZ3 d6n) para reduc ir el riesgo a un nIVe l
aceplable La ol ra OPOlÓn es <lceptar e l riesgo, a sablend<ls y de ma nera obJeliva Ircluso s i t:ien es una
tlUena pr¡kjica no rolerar ni ngú1 riesgo pa ra los que el flIVel esra po r ero:::lrna de los cr iterios de nesgo
dellnld:Js por la orga nizaCIÓn, no s>empre es posIble reducIr 1000s los nesgos a un nrveI8cepl<lble,

En todas las circ unstancias, los riesgos residuales debe ser entendidos, aceptados y aprobados
por la direcciOn o

Cl PECe _... _ · _ _ ,. ' .. , , .. . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

Ejercicio 6
Opciones de tratamiento de riesgos

"'''
Tras el análisis de nesgos, que ha encontrado que 0,5% de I ~s transaccIOnes electrOntCas (\IOhxnerl de
~ de 10 ml lones) con tarjeta de Clédito en el s,oo web de la empresa son de naturaleza fra lrl.Jlenta
y el 70% de estas o~ac lones proceden de ~ pa ises La gestIÓn de Extreme Adventure Toors qlJlere
toma r una dedsió n sobre el tratamiento de r1eSQOs Por fa\lO r. ,,"ep<l re un reslSTlen ejecutivo que expl ique
la elección de las cuatro p::>S ibles op::;iones para hacer Irente a este riesgo y las acciones a toma, si la
op::;lÓn está aclivada

DJ racl6n del ejercido 20 minutos


Come ntarios 15 mi nLAos

Cl PECe_ ... _ _ _ . ... ' ... , .. . _ ;0"


SeccIÓn 11 EvalwclÓn de riesgos

1.7.7. Aceptación de Riesgos

"

.
_
~
••

---_.--
._.
-
o- ~OOo

Comunl ..... Ó" CoooullO d& R",,, .,.

"'''
Los pI~roes de tratamlefl10 de nesgos deberlan descn blr cómo será n tratados los riesgos pe ra satisfacer los
criterios de aceptactón de riesgos Es importallle que los gestores res¡:onsables deberán examinar y
aproba r planes de tr atamerno del rtesgo proyectados y los CO<1s¡gurentes riesgos reSldwles y regIStra r las
oondj(jones asociadas con dicha aprobactOll,

Cl PECe_ ... _ _ _ .... ' .. , , .. • _ ; s .


'"
SeccIÓn 11 EvalwclÓn de riesgos

1.7.7.1 . Aceptación del Plan de


Tratamiento de Riesgos
Presentación a la alta dirección (ejemplo)

--
-
_.
...,..

-~
~~ .


)¡ ¡ M

""-- a ...--..:-_....
lo ; ' _""_

""
"'''

Cl PECe _... _ _ _ .... ' .., , ... _;0"


'"
SeccIÓn 11 EvalwclÓn de riesgos

1.7.7.2. Aceptación del Riesgo Residual


Aceptac ión del
rtesgo residual
or la Alta dirección
. liI Difecci6n debe estar
cooscienle de lo!; rie'sgos
residua~ y aceptar su
responsabilidad respecto de
elkl$
• Los crilefios de a.ceptación de
riesgos pueden ser más
complejos que sjmplememe
delernlinar si, o no, un riesgo
residual se encuenlra por
encima o por debajo de un
umbral "nOco

,,,e

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 "


'"
SeccIÓn 11 EvalwclÓn de riesgos

¿Aceptación del riesgo de no cumplir


criterios de aceptación de riesgos?
Orientación

• En algunos casos, el nivel de riesgo residual puede no


cumplir con los criterios de aceptación de riesgos debido a
que los criterios que se aplican no toman en cuenta las
circunstancias predominantes

• Por ejemplo, se podría argumentar que es necesario aceptar


riesgos porque los beneficios que acampanan a los riesgos
son muy atractivos , o porque el costo de modificación del
riesgo es demasiado alto

• Tales circunstancias indican los que criterios de aceptación


de riesgos son insuficientes y deben revisarse si es posible

,,,e
No SIempre es POSible revisar los cnteno s de ace plactón de r>esgos de manef1l oportuna En ta les casos ,
bs enca rgados de las decisiones pueden tener que ace plar los riesgos que m cumplen con los cr iter iOS de
scep;aClÓn mrma l Si es ne<:esar lQ. la persona enGa rgada de la toma de declSIOl1eS deberla comentar
e~ pl lclta mente sobre e l tema de los riesgos e inclw una JustlflCaoon de la decisión de anu lar los rormales
criterios de aCeplaoo n de riesgos

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; 0 "


SeccIÓn 11 EvalwclÓn de riesgos

Gestión del Riesgo Residual


En el proceso de seguridad de la información

Gestión de Riesgos Residuales

~
.... 11a oe"...,ncla <lnl
ri05go y 1»]0 impacto
IL . Gestionado por el proces0:' J
gestión de in cidentes

Baja ocurrencia lIel • Ges tionado por el proceso de


t\e$go y alto Impacto gestión de continuidad de l negocio

Des~s de la aceptacIÓn, el riesgo resldua l no desaparece Los riesgos con a ~a Incidenc ia y baJo Impacto
son gesoonados por el proceso de ges:lÓn de incidentes de la organización Los nesgos de baja ircKlencla
y alo Impacto (desastre) se torna n e n c uenta e n el ","oceso de gesttón de contJnlldad del negocIO

Cl PECe _... _ _ _ . ... ' .. , , .. . _ ;s.


'"
SeccIÓn 11 EvalwclÓn de riesgos

¿PREGUNTAS?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 "


'"
SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllcar el SGSI

Capacitación Implementador líder Certificado


en la norma ISO 27001
Sección 12
Declaración de Aplicabilidad y autorización de la Dirección
de aplicar el SGSI

a. Revisión y sslecclón de objetivos y controles

b. Controles de seguridad obligatorios


c. Justillcación dlllos control"" elllgldos
d. Justificación dll conlrole e~cluldO!l

e. Elaboración de la declaración de aplicabilidad

1. Autorización de la Olrecclón para apllcarel

"'''

Cl PECe_ ... _ _ _ . ... . .. , , .. . _ ;s"


'"
SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllcar el SGS I

1.8. Declaración de Aplicabilidad y Decisión de la


Alta Dirección para Aplicar el SGSI

1. Planificar 2. Hacer 3. Verificar 4. Actuar

"' , ., cu~ ....


" ••
. o" .,<~
I
" .
...-~_ ..

""''"-."""' ..
, .~"

,,,e
Objetivos principales de este pno

1. lderltlficar los controles de seg<..Oidad que se inc lUIrá n en el SGS I


2. Justificar la elección de los cont roles de segUliOOd seleccIOnados y no sel«:CiOnados
3 aJlener I~ aprobación lormal de la Dirección antes de la aplicacIÓn ~ SGS I

Cl PECe _ ... _ _ _ .... . .. , , .. . _ ; s .


'"
SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllca r el SGSI

Requisitos de la Norma ISO 27001

6.1.3 Tr atamiento r iesgos para la segu r idad de la Información

d) Una Declaració n de Aplic abilidad deberá Incluir lo siguiente :

1) los controles necesarios (véase 6.1.3 b) Y e» Y


2) Justificación de las inclusiones, si son aplicadas o no, y
3) l a justificación de las e ~clusiones de los controles del Anexo A

"'''
LIrla orgarua<:i6n que qUIera cumplir con la norma ISO 27001, deberá como min lmo
Ser capaz de demostrar que su SGS I está alllleado con la m Sl6n de la orga..wzaclOO y sus obfetlV06 y
estrategias de negOCIO
Conocer y tener en cuenta c uestiones reloolOnadas con la segur1d<ld de la !nfOrma<:lÓn dent ro de sus
Meas de actividades ta les corno el riesgo , las !im taciones legales y reglamentarias y los requisit06 ~
cliente

Cl PECe _... _ · _ .,.. . .. , , . . . _ ; 0 "


SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllCar el SGS I

Definición de Declaración de Aplicabilidad


ISO 27000. clausula 2.75

Declaración documentada que describe los


objetivos de control y los controles que son
pertinentes y aplicables al SGSI de la
organización

"'''
La declaracIÓn de aphc ~bi li dad es más que -.na simple lISta de verifICacIÓn de los contro les de seguridad
del Anexo A que se aplicará en el SGS I Es un doD..mento fu rdame~a l del SGSI que es una referercla
p"ra el a L.d~or externo dura~e la auditarla de certIfICaC ió n Este es uno de los pnmeros documentos que
se anabz¡jr.l n T9 mblén es uro de los olxurnentos que la DireccKm debe va lidar y aprobar a~es del inICIO
de las operac iones del SGSI

HO!:as sobre la lennlnologla:


El prInC ipio de "declaracIÓn de aplicablhdad ' es espec ifico de la rorma ISO 2700 1 No hay un
equwa lente en otras rormas de l sIStema de gestIÓn ta les corno ISO 900 1 o ISO 14001
Incluso e n otros idiomas, rnu::has organizacIOnes l1 ilizan el térm ino e n ""Iés "statemenl. DI applicabl hty '
o su acrón imo el SoA (o SOA)

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


$ecc1Ón1 2 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllca r el SGS I

1.8, Declaración de Aplicabilidad y Decisión de la


Alta Dirección para Aplicar el SGSI
lista de actividades

-
' ¡ ',. •.,,,,,,.,,,
de' "''''1''
--
u., _
....,.-, l e2~

J
1
' , UR~
c1t .. ~
<>0"""'_""

"'''
Lista de las actividades incluidas en la melo<lologlalMS2 de PECe con la correspondiente entrada
y salida

Entrada
Ámbito de aphc~ci6 n
Po!lto:;a del SGS I y OCjelfllos de seguridad
Informe de aM lisis de nesgos
Plan de Trata miento de RleSQOs

Actividades
1 $eleoo'ón de los objetwos y los ce>n1roles de segurida d"
2. JUSt~lcaC!Ón de los controles eleg idos
3 Ju~ti"caclÓl1 de contro le exclUidos
4 La reda<;clÓn de la DeclaracIÓn de Aphcabil idad
5, Ap"obaa6n de la D!rec<;!Ón

Salida
Dec larac ión de ,/\plicablltWd
, Al.torizaclÓn escrita de la DIrección pa ra la aplICación del SGS I

Cl PECe _... _ , _ _ , .. .. , , .. . _ ;s"


'"
SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllcar el SGS I

1.8.1. Revisión y Selección de Objetivos


de Seguridad y Controles de Seguridad
1. La organización debe revisar los 114 controles
de seguridad en el Anexo A para identificar tos
que son aplicables y los que no se consideran
en el contexto del SGSI
2. Se pueden utilizar otros repositorios para
implementar controles de seguridad adicionales
3. La mayoría de las organizaciones informa de
más de 80 controles de seguridad

"'''
In oolalmeme, I~
organIZacIÓn debe revisa r los 114 controles de segundad en el Anexo A para Ident ificar los
que son aprlCa~s y los que no ser"'n cOllSlderados e n e l contexto del SGS I. La eleccIÓn de aplicar o no un
control de sego.n:Jad debe esta r justificada Pf1r.: lpa lmente p:x la evaluación de riesgos Esa es la razón por
la que la dec laración de apl lcablhdad IV debe ser e larorada antes de la presentacIÓn del informe de
an<'i hsis de riesgos y tratam iento de riesgos.

Los cont roles de seguridad ",~estos en e l anexo A, ~den ser so.tic ientes pa ra recer frente a todos los
escenaoos de riesgo que la organizacIÓn re identificado Se pueden ut ilizar e integrar en el SGSI otras
OP:;lOnes para aplicar cont roles de segu ridad aOCiona les (p:x ejemplo , COOfT, PC I etc) C<lbe sella lar
que los oontrolet; adicionales de seg'-'1dad también deOen ser descritos en la declaraC ió n de ~pllcabi ll dad

La mayorla de las organizacIOnes informa más de 80 controles de segundad Se del>e evI1a r ex~rar Un
SGS I que cor1lene sólo los co nuolel:; de segundad obI lgatollOS no puede estar electlV~mente protegido
Por el cont rarIO , la dec iSIÓn de dec larar too06 los COlllro~s pertlt1ellles, sin tomarse el tiempo ¡:era eva luar
las necesidades de la organIZaCIÓn puede ser '9lIalmente Ineficaz. A contlnuao6n podrán eJeCuta rse los
controles de seguridad, sin aterder a una necesidad real, oon lo que ~o.menta COIlSIdera blemenle la carga
del manten irroento del sistema .

Por otra parte, la selecció n de los oofllroles de seguridad debe te ner en cuerna el oostoll::oeneflClO
Teniendo en cuerna que SGSI apoya a la orgal1lZación en e l logro de sus ot; ..t,v06 de negocio. estj sujeto
a Imperativos ecorormcos La lmpIemefllaóón de controles de segundad debe ser '~entable ·' para la
orgaruación

Para corclu r, en la IógIc~ de la norma, los controles de segundad declarados en el SGS I deben estar
~ llneados co n las actrvidades de la orgaruzaclÓIl y no al revés

Cl PECe...,.." ... _ __ _ ,. ' .. , , .. . _;0"


'"
Seoci6n 5 Sistema de G~tión de Sego.¡ndild de la InformacIÓn (SGSI)

1.8.2. Justificación de los Controles


Seleccionados
• La organización deberia justificar las razones para la
selección de cada con trol de seguridad incluido el SGSI
• Esta es la respuesta al "por que" de cada control
• Ejemplo:
_ La seguridad dentro de tos acuerdos con los proveedores
(A.15.1.21: Todos los requisrtos de seguridad de la información
deberán ser esta blecidos y acordados con cada proveedor de
que puede acceder, procesar, almacenar, transmrtir, o proveer
los componentes de la infraestructura de TI para. la información
de la organización .
~ Justif"lCación para la selección: Garantizar la seguridad de la
información y medios de acceso. procesamrento,
alm acenamfento. comunicación o de los componentes de la
infraestructura de TI para la Informaci6n perteneciente a la
organización, que es util102da por los proveedores
"'''
Es CO rNemente pa ra la orgarn a ción lustdicar las razones pa ra la selecci6 n de cada contro l de
segLf idad lncIUd;) en ~ SGS I Esta acti vidad puede parecer Iri\l ial a primera Vista, o incJ uso
Inúl il ¿Por ql.é se jUSldican los cont roles de segurida d se lecclOllados y no 8610 aquellos que son
el<Clu idos? El prop!lsJto de este requ sito de la oorma ISO 27001 es rorzar a la o rga fllZ¡lción a
docume ntar los otJteti\los asociaOOs a cada control . Esta es la respuesta al "por qué" de ca da
corirol

Éstos son algunos ejemplos de las justifICaciones relacionadas con 106 cortroles selecciomOOs.

f. La seguridad dentro do losacuel'"dos CM/OS proveedores (A .I'.1.2)

Todos los requisitos de seguridad de la


información deberán ser establecidos y
acordados con cada proveedor de que puede
acceder, procesar, almacenar, transmitir, o
proveer los componentes de la infraestructura
de TI para, la información de la organización.
Justificación de la selección: Garantizar la seguridad de la

información y medios de acceso ,


Cl PECe _... _ · _ . , . . .. , , . . . _ ; 0 "
'"
procesamiento, almacenamiento,
comunicación o de los componentes de la
infraestructura de TI para la información
perteneciente a la organización , que es
utilizada por los proveedores

2. Geslloo del c ambio (A.12.1.2)


Deberán S8f controlados kls cambios .,.., la agan'zad6n los prrx:esos de naga:;io, las
¡ns/a!oclOfl8S y SJstOOlas para el procesamiento 00 inforrna;w que afoclaf¡ a la segr.ricbd de la
informacil'rr
Justiflcad ón 00 la selección: Gara~lZar la cortidencialidad, Ultegndad y disponibilidad de la
informacIÓn y los medios de p"ocesamlenlo de I ~ Iro'omeclÓn que pertenecen ~ la orga n ¡¡:a~6n
cuando hay cambios en los sistemas y métodos de pocesam¡ento de la inlormaCIÓfl

3. Apllca<:/Ótl de la continuidad de la seguridad de la Información (A.17.1.2)


La organización debef-'i 9Staó/ece(. dorumentar, implementar y man/e(W los procesos,
¡¡rocWmltlfltos y COflrrooS para g<lranblar al nivel nooesano de ocrrlmUldad para 1a!;e<J1TÍdad de
la ir(ormacJán durante l..fJa situacioo desfavorable.
JustlflcaclÓll de la selección: Garan!iza r la disponibilidad de irtormaclÓn en tierrpo y a
tiempo cwndo 1.X18 in!errupci60 o un corte afecta a los procesos crlticos de negocio

Cl PECe_ ... _ · _ . ... ' .. , , .. . _ ;0"


,',
SeccIÓn 12 Dec laración de Aplicabilidad y ~utorizao6n de la DIreccIÓn para ~pllcar el SGS I

1.8.3. Justificación de los Controles


Excluidos
• La organi zación deberla Justificar las ra zones de la exclusión
de cada control de segundad del Anexo A que no está
Incluido en el SGSI

• Los moti ...os de exclusión más frecuentes son:

t. VIOlación de un requis~o legal . estatutario o contractual (ej.


investigación de antecedentes A .7. 1. 1)

2 No hay en esta organización actividad relacionada con este


control (ej : ellelelrabajo. A,6.2.2)

""
La orgaro;zaclÓn deberla justdlCar los motivos de exclusi ón para cada uno de los cont roles de segllidad del
ane~o A no seleccionado Hay mu::has razones ~á li das por las que una orgarllZación p.Jede irNocar la
e~cl usl6n de los controles de seg<sidad. ~stos son a lgunos ejemplos de razones relaoonadas con exclUIr los
controles de segundad:

, . Pruebas (A.l .1.1 }: La comprOOacll71 de los anroceden!es de lodos los c;andidalos al puesto de trab~ se
debertJ llevar a cabo de a:;oorOO con las legisJaca.es rJ<n7Ialll'¿¡s y c6:iigos élJCos que sean de apJJCa:;/OO y
de una manera proporcia1ada a los raql.isiros del negocio. la clasificación de la ¡rtamación a la qua se
acceda y los riesgos 0<XlS1det3d0s.
Ju stificació n de la u c!usió n : En cumpli mento con el acue rdo coIedwo con los traoojadores, no se rerán
controles de seg.xKlad.

2. El tel(, trabajo (A.6.2.2) : Se r:Jeberoll aplICar l..I'1a pdllica y medidas da apoyo a la :;agl.ri:1ad para p~eqer
la información a la que seaccade procesa e almacena Mios sitios detell! trabajo
Justificació n d e la exciusión: El lele trabajo está prohibodo en la orgarUaclÓn

Notas Impo rtanles :


• En la mayorla de los casos, LXla orgaraación p.Jede declara r un control de segundad aplicable ~ explicar 10
que cuI:o'e y cuales son sus IlmtaciOnes Si tomamos el ejemplo de selección de seguridad (A. 7 1 1 ), el
corirol no fuerza a ubllza r todos los medios necesarios para llevar a cabo una Investrgación a fondo de cada
persona 001'1 investigación del créd ito va lidación ele reg istros penales. ~errrlCaci6n de las ca lificacIOneS. etc
Una organizacIÓn podrfa simplemente describi r, que pedtrá mspe<Xl1Ón de los certificados onginales y que,
~a lidará dos referencias para cada canáldato
' En la mayorla de los casos, una organlzaci6n puede dec larar que LXI conIIoI de segundad se aplica meluso
SI ro eJefce esa actrvldad Aqul esté un ejemplo, una org~niOlaClÓn d~o que el contre l sobIe e l teletr~baJO
(A62.2) no es aplicable porque el telelrabaJo está prohibdo El coriro l también poarla ser apl icable ~ la
organizacIÓn pOOrla documentar en la poI ltica ele seguridad de la Información que el teletrabajo esM
prohibido

Cl PECe...,.." ... _ _ _ _ , . ' .. , , . . . _ ; 0 "


'"
Seoci6n 5 Sistema de G~ti6n de Sego.¡ndild de la Información (SGSI)

1.8. Redacción de la Declaración de


Aplicabilidad
Ejemplo
e-

-.. "
._-
_

.. --. _
-_
... _
,_

_._o. . _ - -, .._
...
.. _ .. -
__

...
... -_. . ....
, _ _ ....

_", ..... _..-_.


-- _,..
,.- ",-
........
....
-'"--~"
_
- _
~_

_ ----- ....-_

••

_.
__ o
...._.-
-_
-
...-...,--
_
... _.- .. ---
...
.. _ .. .....-oo-
..
_
.. __ .... _-.
._... .....
--
.-
.
-
~"

-_---
__-_ -..
-,--
•• •
.... ........
........-......
.......... ".
--
_..
-----
",UD
.~-

La ISO 27001 no espe<; ifica la forma de la oo..laraclÓll de aplicabi lidad Simplemente se requere holee¡ ~
lista de contro l~ de seglJr'dad, seleccionados o no, las razo ne s 00 estas declslOfll's y las acciones que se
están implementando para CI.mpIu con los oonIroles de segundad que se han seleccionado en el
documento Los cont roles ac1ic lona les estable<:idos deberán riSPar también en la declaraC ión de
8p1icabi lidad.

Es una !:oJena p--¡\c¡lca ,nc l...r en la declaracIÓn 00 aplICabilidad, el Iltulo o la función de la persona
resp:>nsable de l conIJoI y la hS1a de documentos o registros relac>onados con ésta El modelo propuesto
por PECB ir1(:juye las siguienes seccIOneS.
1, Control de seguridad : IndICa la refereooa del oonIrol de seguridad al Anexo A
2, Aplicable: Indica si el control de la segundad es 8p1ICable o no
3. 3. Breve descripción: Describe t>revemente en unas pxas frases el corirol y cómo se
implementa en la orga rizaclÓll Una manera Simple de hacer esto es ut ilizar el método de "Los seis
6'Ns y U1 ¡..r ' (Quién, Qué, Clándo , Dónde, Cómo Por qué) cabe sei'lalar q.Je el "por qué" se uala en
la colum na de ''justifICación''
Por e¡emplo. Una polltica de seg!l1dad de la informacIÓn (qué), aprotada por la direCCIÓn (qu ién)
est~ en v'90 r desde el 21 de diciembre de 2008 (Cuándo) Una copia rue env iada (cómo) a todos
los empleados y pa rtes In!eresadas (A quiénes) La verslOn 0I1C1a 1está disporible en la Intranet
(Dórxle)
4. Justificación: DescnDe los motivos de la seleCCl6n o excluSlÓIl del control de segur idad
5. Documentación : Indica los documentos (po lftlCas y procedimientOS) o registros relacionados con
este conUol de seguridad
6. Responsable: El propielario del control es la perso na que es responsable. Esta debe ser una
persona cuyo nomto-e y cargo en la orgarizaclÓn se Inc luyen en el documento. Si el control de la
seg..-idad no es apllCat:le, ind ique a la persona capaz de demostra r su no aplteab lldad para faCIl itar el
trabajo de los auditores (internos y externos) y saber a qu ién soliolla r la informac ión durante las

Cl PECe .......... _ · _ . , . ' .. , , . . . _ ; 0 "


'"
<, <
CI'K'_"' ___ "'* '"........_ ..
SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllca r el SGSI

1.8.5. Autorización de la Dirección para


Aplicar el SGSI
ISO 27003, clausula 8.4

PO&lbIO OVldOllClI do
Automaolón por la DI,....clón

• Reooluoón <lel Con"'JO de


AdmW>is_ o del Comité
de DifectOfM
• Carta. o/idaIes
,,.
• R""""", de lanzam<ell1O

"'''
Pa ra obtener la aUlOflZaClÓn de la di reCCIón para Irnplemertar el SGSI, algunos doc...-nentos se preparan
con antelaCIÓn, irclu¡er1do :
lriorme de aná lisIs de riesgos
Pla n de tratamiento de rJesgos (IndU!da la identifICacIÓn de los riesgos reslduale5)
Declaración de aplICabi lidad

Por lo genera l, estos documentos se ¡yesentan durante una revisIÓn por la DireccIÓ n con la presenlaciÓll
de un iriorme sobre la ma rcha del provecto de SGSI DPsPJés de esta re« isión po r la DIrección, ésta
erTllfir~ las resol uciones siguientes
Aprotación de la dec larad6n de aplICabi lidad;
La aceptación de l plan de tratam iento del nesgo (inclUda la aceptao6n por la DIreccIÓn de los riesgos
residuales) y la autonzaoo n para aplicar el SGSI:
F\>rm lso por escrrto de la DIrecCIÓn rel¡nIVo a la aplICación de l SGSI

Tras la autonzacrÓll forma l para aplicar el SGSI, es una buena pr~ct O;a hacer un anuro:;ro of icia l Esto se
p..oede ~acer mediante el e..... lo de una carta ofICIal de la DIrección o mediante lSl<l reunión de lanzamIento

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; s .


SeccIÓn 12 Dec laración de Aplicablhdad y ~utorizao6n de la DIreccIÓn para ~pllca r el SGS I

¿Preguntas?

"",

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s " .o"


Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

Capacitación Implementador Lider ISO


27001
Sección 13
Definición de la estructura organi zativa de Seguridad de la
Información

a. Estructura organlutlva
b. Funcionas y responsabllidadaa do lae
partos interesadas
c. Proceso de gestión de autorización
d. Funclon... y responsabilidades da 105
com ités

"'''

Cl PECe _... _ ·_ .... . .. , , .. . _ ; s "


'"
Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intorma Cl6 n

2.1. Definición de la Estructura Organizativa


de Seguridad de la Información
1. Planificar 2. Hacer 3. Verificar 4. Actuar

Objetivos prindpales de esle p¡oso

1. Garanuza r la gestIÓn de seguridad de la ,nlorma<; !Ó ndentro de la orgaruaci6n


2. Defirtll" las funciones y resPJOsa bolldades de los prmapa les Interesados en la segundad de la
Información

Cl PECe_ ... _ · _ .... . .. , , .. . _ ;s"


Sección 13: De1ir.c1Ón de la est rvetura orga ruatrva de segu ridad de la intormaclÓn

Requisitos de la Norma ISO 27001


5,3 Funciones organizatlvas, responsabl1idades '1
autoridades
La alta dirección deberá asegurarse de que se asignen y se
comuniquen las responsabilidades y autoridades pertinentes para las
funciones de seguridad de la información

La alta gerencia deberá asignar la responsabilidad y autoridad para:


a) asegurar que el sistema de gestión de seguridad de la información
está conforme a los requisitos de esta Norma Intemacional: y
b) la presentación de informes sobre el rendimiento del sistema de
gestión de seguridad de la información a los principales responsables
de la gestión.

NOTA: La alta dirección también puede asignar las responsabilidades y


las autoridades para Informar sobre el rend im iento del sistema de
gestión de seguridad de la información dentro de la organización .

"'''
Una orga rua<:ión que qUIera cumplir con la norma ISO 27001, deberá como mlmTlO
1. De1irn las fLllCio nes y responsabi lidades de 105 actores clave re laCIOnados con el SGSI

Nota importante: No ~av obligación de apl ica r UflO o más coomés de seg urida d de la Inlorma<:!6n dent ro
de la organización para cLmpli r con la norma ISO 27001, con la e:.cep::;i oo del comité de direca6n (el terna
será tratado du rante el dla 4 de esta ca pacitacIÓn) E~ta s son prácticas bastante buenas adaptadas a la
reali dad de lSlij orga rU3 clÓn gra nde En '-'la empreS<! de 10 personas, la crea<:i6n de comnés esped fooos
de segurida d de la información es inadecua da o lr'ICIuso ¡robl

Cl PECe _... _ __ .... . .. , , .. . _ ; s "


'"
Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓ n

2.1. Definición de la Estructura organizativa


de Seguridad de la Información
lista de actividades

...
_
S' " ;
~ "'>0_.'
• ..,. •
/ . "........
_,

.- M:: '_.J-' E
--'J
,- ~
.......",.. ,

"''''_

"'''
Lista de las actividades in<::luidas en la melodologla IMS2 de PECe <::on la <::orrespondienteentrada
y salida

Entrada
Estn..dura jerárqo.ka y I'xlcioro l de la o rgamzaclÓn
CtljetlVOS de la orgarua<:i6n
Alcance del SGS I
Ctljetovos del SGSI
PoIItt<::a de l SGS I y polítiCas de intormaoon
Los ,!"termes sobre an"'IISls de nesgo Ytratamoento de nesgos
De~ laradón de aplicabil idad

Actlvld3des
1, Def,roción de la eSlruaura orgar1lzatwa y gobema nza para gestIOnar la st'gll"ldad de la Inlormaco6n
2. DeStgna<:lÓ n de Uf1 coo rdinado r de l SGS I
3 De1ini<::oo de las funciones y resp:msati lidades de los actores clave
4 De1ink: r6n de las lurciones y responsati lidades de los cormés ~ Iave

Salida
Carta de org¡mozaclOn de segosidad de la InformaCIÓn
Deso:;ripdó n de las funcoones del coordlnador del SGS I
DescflpclÓn de tareas relacIOnadas con el fUflCionarnento del SGS I
Deso:;npció n de los princ ipa les cormés

CO PECe _ ... _ · _ _ •• . . . . , .. . _ ; 0 "


'"
Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

2.1.1 . Definir la Estru ctura Organizativa para


la Gestión de Seguridad de la Informacion

LIn<J de los elementos más Importantes en la defi nición de la aphcación del gobierno de la gestIÓn de
seguridad de la irtormaclÓI1 es el valor jerarquico en la orgarwzaclÓl1 del Chief Irformation Securily Offlcer
(CISO) Antes de defInir una estrvetura de gobierno de segUfJdad de la intormaClÓn, la orgaruació n debe
tener en cuenta vanos factores ' la rruslÓn, el ámbto. las necesidades ele le empresa, liI eSIrl..ctura
organi2atlva y fUrclOl1al, los clientes, el grado de centralización o regiona lización y la ou ltura mlerna.

La organiZación está desarrol lando una estructura de gobierno para 13 seguridad de 13 intOrmaCl6n que
satisfa rá los sigu;enles requrSltOS

La ausenc ia de cont llctos rea les y p;l tenc l ales~


La proKUllldad al mve l de la toma de decISIOnes
Fuerte apoyo de la atta direcció n,
Capecldad de gra n Inttuerx:la,
IntegraclÓI1 de too06 los problemas de segUfJdad .
Cobertura de la mlormaclÓn, independientemente del medio O los medos u! lI lzados pera coml.ricarse

Además , las acbvidades relatIVas a la seguridad de la información deberlan ser coordinadas por un
resp;l nsable de iSeglIridad de la InformacIÓn que establece los la;;:os de COOperacIÓn y colaboracIÓn con
otras ramas de la organoloolÓn

Cl PECe_ ... _ _ _ _ , . . . ., , . . . _ ; 0 "


'"
Sección 13 : De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

Estructura Organizativa Tradicional


Seguridad de la Información y el Departamento de
Informática C"""¡o<lo C"",I~<Io ComM<Io
Adminla_ - ,",dHo<In Geolión <lo
s.g..-<Io _,
10 loIfOmIocióft

TradicIOna lmente, el Jefe de segUfJdad de la InJorma<:i6n y su equ ipo están adjurtados al departamento de
Tecro logJa de la IrformaClÓn de la orgaruación. Más del 50% de las empresas benetl este lT'iOOe\o de
gestl6n de segundad de la intormación Con este mode lo eXlS!e la ventala de que los coroamentos
técnICOS de seguridad se agrupa n en el mismo departamento $m embargo, hay varios imonverJÍenles que
hacen que este modelo sea 00 tipo de estIl.dura que debe ev ~ a(se

1 No ex iste Independencia e n las JlX1CIOnt'S de segllrtd<ld de la informacIÓn relaCIOnados con los


sistemas de TI,
2 La eSC<l5a C3pa<;idad de Influer1Cla debiOO a que el C ISO está en el mismo ni ve l o en 00 ni ve l
jerárq UICO irterior a los adrnlfl'stradores con los que debe lid iar los problemas de seguridad;
3 Dls!ar.::1a a la toma de declSIC lleS,
4. CorrIhctos de Interes potenc iales y reales ,
5 Mala IntegracIÓn de \0005 los asumos de seguridad de la informacIÓn,
B Las preocupaciones se centran principa lmente en la seguridad ope raciona l y la teCllOlogla

ES1e ti po de estru:tura no ofreoe al C ISC las cordlciones slltio lernes para la independeflCla y no le perm ite
ejercer adecuadamente s u mandato Generalmente, la ges\ióIl de los recursos de la irformaclÓl'l pea la
estar en una posición de cortldos de interés rea les o potenc iales. La presencia de un nivel jerá rquico
adICIOnal entre el C ISC y la alta direccIÓn retarda el prooeso de Intercambio de IrlormaclÓll y la toma de
decisiones con respecto a la segUl'ldad de la información También hay 00 lIesgo de ~ erencia de los IRM
en las comulllCaóones e IrlormeS que el C ISC e leva a la aka dlreoci6n Para gestiona r este riesgo de
~erferencl3 , es conveniente que el C ISC e .... le sus n'o rmes di rectamert.e a l com ité de gestión de
seguridad de la Irtormaci6n en lugar de a ia ¡¡esUón de los recursos de la irformaclÓn

Cl PECe _... _ _ _ _ , . ' .. , , .. . _ ; s "


'"
Sección 13 : De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

2.1.2. Designación de un Coordinador de


Seguridad de la Información

• Las actividades relativas a la seguridad de la información


deberían ser coordinadas entre Jos representantes de las
diferentes partes de la organización con sus correspondientes
roles y funciones de trabajo .

• Normalmente, el coordinador de la seguridad de la


información deberla incluir la cooperación y la colaboración
de los directores, los usuarios, los administradores , los
diseñadores de aplicaciones, los auditores y el personal de
seguridad, y las habilidades de los especialistas en areas
tales como los seguros, problemas legales, recursos
humanos, o la gestión de riesgos

"'''

Cl PECe _... _ _ _ .,.. ' .. , , . . . _ ; 0 "


Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la informacIÓn

2.1.3. Funciones y Responsabilidades de


las Partes Interesadas

.... - .".---
.. _--_.-
"'--'"

Las fUr1CIOnt'S y responsabi lidades de las pertes Interesadas, que Ilereo urJ<I fumlón ylo tareas
directamente re lacIOnadas con el SGS I deben esta r claramente definidas. La deSCripción de las flJllClOt'les
de las responsabilidades puede n ser doco.mentaoo en diferentes formas ma nua l de segundad de la
WoformaclOn, lormiJalÍOS de l urc-iones, contrato de trabajo, las condidones de la polltlCa de segundad, etc

El responsable de una tarea puede delega r estas ta reas a otros, pero no las responsa bi lidades Por
ejempo, el jele de recursos runanos por lo general delega actividades ta les corro la corirataclÓn y e l
despioo de su persona l Sin ernt>argo, SIgue SIendo responsable en úluma IIlStanc ia para el buen
f....-clOnam¡ento de los p"ocesos de recursos ~ umaflOS

En el caso de la gestión de un actIVO, un proptetario puede nombra r a un "gwrcllá n", qwen por de legaCIón
debeR! garantizar la segundad de la InformacIÓn de los activos baJO su responsabilidad Po r lo tanto, el

"""'"
1, Autor¡za r y responder de SU u:so¡
2, Asef:llSarse de que f....-clOnan los cont roles de segundad adecuaoos, y que sea n Implementados y
~enrlCados periódicamente,
3, Maneja r los aná lis is de nesgos y garantiza r la gestIÓn de los riesgos residua les después de la
aprobacIÓn de l p"opletano ,
4 Gara ntizar que el l15uaoo terga oonocimiento

Cl PECe...,.." ... _ _ _ _ , . ' .. , , .. . _;0" na


Sección 13: De1ir.c1Ón de la estrvetura orga ruatrva de segu ridad de la intormaclÓn

Responsable de un Proceso o un Control


de seguridad

_
--_ ... _ .... 4_' ,-_.__ . ..
Funciones y responsabilidades principales

_ _,
.... _._.. . -. - -
---,--_ ..... .

~
~-'

-
_ ........
M_,_ _--. _,...
",,,, ___ N,..,., .., .. - """""""
.........
._"_o"", ...-. ..,.,......

-__"'--.... -..__... _---


_""'"""'"'Ioo_ ..... __ .. _ ..
_ . _ _ doM_

... _,,,,_
..~_ ... .... _'10
.. - .......
M "-

- • " ,.. loo...... .. .....

...._. -.........- ... _,"--- .-


--_.
,_o

._
c.....-_ .. _ _ ..... _ .. _ _ ..

--_
_ --.-~-

-"''' ... ........,."'". .. ==. . . . =-:.:--...


,....;;......, ~-_., ••
••

=
En la elal:oraclÓn de la Ded araclÓn de Apl i<;abllldad debe ser IderlldlCaoo un responsat>le de cada con! roI
o grupo de controles de segu ndad

El resp:lflsat>le de un proceso o un contro l de segu ndad partlCiparn en d;slIntas j ases de eJe<; <..<;1Ón del

"""
1
2
En la form ulac ión de los ol'letNos de seguidad de la InformacIÓn
Al escri bu"se la Dec larat lÓn de Apl icabdidad
3 En el diser'lo de los cont roles de seguridad Y la elaboracIón de poI lticas y procedjmie ntos espe::: lricos
4 Durante la transfe rencia del proyecto SGSI a las operaclOlles de l SGSI
5. En el dlser'lo de irQc¡joores
6 ou-ante el segu il11iE!nto de las no conformidades

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


'"
Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la informacIÓn

2.1.4. Definir las Funciones y


Respon sabilidades de los Comités Clave

1. Comlt' Ejecutivo

2. Cornil' de S&gurldad de la
Info nnació n

3. Cornil" Operativos

"'''
Es Importarle senalar que estos cornnés no deben ne<:esanameme ser creados, es com.l n la reut il izacIÓn
de los comités e~isten!es medoallle la ampl iaCIón de su ambllO de aplicación. Deberla prornrNer5e un
enlC01ue moItldiSCIpl lnano de la seguridad de la informa<;t6n en la OOndu:;:ClÓn de los comités. ,ncluidos los
rruembros con habi lidades d ... ersas y de diferentes unodades de la organizaclOll.

Además de las com isiones, es ne<:esano establecer vinculos con expertos externos a la organi zación pera
deslJrrola r 101; contactos, incluÓJS los conIactos con las a-.tondades pertinentes pa ra s~rv lsa r las
terdenclas y las cuestiones relacIOnadas con la seg uridad de la lI"Iformación

Cl PECe_ ... _ _ _ . ,.. . .. , , .. . _ ; 0 "


''''
Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

Comité de Gestión

AseQlrorsolo lncUoiOn <111 los v_ ..... 1o O<JIaflIZACIOlny lUJO ~


... ~M~~ ... ~~ ... ~ ... ~~
=
E,, _ _ OOjoti_anuaiM j lo . ..... ogi.I doI
H..". '1""" "_o c.oo",,-- "'_por las lo di"..c<><)tI
p,_...o.'''''_~oj ....... ...... SGSI
~

~ ~11os",.....,. ... ""90<10=._ ' "


-~
~_P\dH~ ...... ~<IIIIo _

_ _ y 1PfOI>.. umI:óoo. 111 evaklacoOndol riesgo

~ ""' .... portes .-...I<l..

: - ; - - - - ----1

"'''
B Comtté EJeCutrvo es ~ órgano de orienlaci6n. contro l, validación. de toma de decisiones y arbit raje pa ra
~ SGSI Está oompuesto po r representa ntes de la Junta de Directores de la orgaro'zaClÓn

Este com ité determina la estrategia de desa rro llo del SGS I y garantiza su evolución. Decide la asignaCIÓn
de los reC<.lrsos neoesari<Js pa ra a!can¡:ar las metas V desempel\a una función de vig ilancIa. ArbItra las
diswtas y C<.Iida que se respeten los valores de la orgarua<:ión

Es el únooo com ité qoR es un reqUlstto de I¡j norma ISO 27001 Y su fre..uencla mlnlma deberla ser de una
vez al ano Es m..", ra ro que Uf1.a orga niZilC IÓn establezca U"1 oomilé e¡ecUlf,¡o espec ifico para seguridad de
I¡j lrtormaclC'm La mayorla de las veces. esto es U"1 punto en e l orden del dla de I¡j Junta de d irectores que
es la responsable de la rea lizadÓfl de las actividades de lB OrgaruaCl6n

Cl PECe _ ... _ · _ .... . .. , , .. . _ ; s . '"


Sección 13: De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

Comité de Seguridad de la Información

Asegurarse el bue!1 I ~o 00 las ~0CI0fleS 001


SGSI
Promover la cof>e<encia en la segundad 00 la in/orrnaclOn
cIe<1tro 00 la organlu<>On
Mantener la """""""" 00 ""sgos de la orgat1lZa<:IOn
Ser 81 enlBcf! MI ........ "p"""""""1 Y la 91'.!.....
~sllonar los p'obIernas de seguridad de la inloonaci6n Y
p'opoMr oQhJciofH!s " loo casos d<I inctlrnpirnlento
Monitor"" la epIicación de planes de acciOn e
II\1.pjemenl9ClÓ<1 de 8CQOr"I(!' """",""vA' QUft 'Ur¡¡H1 <tel
anál,Sls <te rioesgo
CISO. Oireaor del SGSI, r... pons.abHo <te los servicios dave (11,
audi!orla, legeI. finanuo • • r&CUrSOl hurnanot, seglltldad ll&ice)

Este comné está Integrado por representantes de drversas drvlSlOnes dent ro de la orgalllZaClÓn, por lo
genera l, está presidid;) por el CISO. los representantes de las d iferentes ullIdades SOI1 a menudo lJIl
'Tu rc lona rlO de enlace' para los problemas relaclOIlados con la segLrJdad de la InformaCión El papel de
este comté es garantIZar la coordinaCIÓn y la cooperaCK)Il en materia de segundad de la lfIformaci6n
derrtro de la organización

En con:;reto, el Comoté de SeglJidad de la InformacIÓn prtlfTllJeve la cohere ncia en la segundad de la


Información denlro de la organizac:ión y superviM la direcCión estratég.ca y las prioridades de acción
acordadas por la direc<:lÓn Este com ité es responsable no solo de las operaciones diarias sino que
larrtién garantlza e l t>l.Ien furcionafT'lll'nto de las op: racJOne'S del SGSI y la apl icació n de pJanes de aCCJÓn
e Il"Jl'IementaclÓr1 de acciones cor rectivas derlYadas de ana lisis de nesgas.

Con el fin de evlla r la ¡x-oI lferaci6n de comités dentro de la orgaruac lón, el Com ité de Sego.xJdad de la
Infomnación podr .... en caso de un incidente grave. aSlJll1ir el pape l del comité de emergencia (Véase la
seCCIÓn 22 en la gestión de incidentes)

Cl PECe _... _ __ .,.. ' .. , , .. . _ ; 0 "


'"
Sección 13: De1ir.c16n de la estrvetura orgaruatrva de segu ridad de la intormacl6n

Comités operativos

A~," <le la apicaoón de contr<lies de ~ad


GesIiona< la docwlIenla<)On <loO SGSI
Mejorar $1 SGSI. tratamIenIo de no con!Qnnk!ao:!es

"'''
Dependlendo del tamaoo de la organIZacIÓn y su cutura Intema , deben confiarse ciertas res~sabi li dades
de la segundad de la irtormacoo a los comttés operatIVos. Debe ser e'\I itada la ~li caclÓl1 de las
corroSIOnes y deben ser Integradas la s responsabil idades oon las estructuras ya eX istentes come el Com ité
de GestlOn de l Cambio. Com ité de Gesllón de Recursos HUfTlanos, Comrté de Ga ramla de Ca lidad, etc

Es corrver.ente para el CI SO partic ipar en dIVersos comrtés como miembro o ser rep"esentado por un
ofk;ial de enlace de 5ego.ndad de la in'ormaC1Ón

Cl PECe _... _ _ _ .... . .. , , . . . _ ; 0 "


'"
Sección 13 : De1ir.c1Ón de la estrvetura orgaruatrva de segu ridad de la intormaclÓn

¿Preguntas?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; s "


'"
Página para Tomar Notas

(l f'ECa _ _ _ _ _ • • •
_ _• •, _ • __
,.,
Página para Tomar Notas

(l f'ECa _ _ _ _ _ • • •
_ _• •, _ • __
,.,.
Implementador Llder
Certificado en la ISO 27001

"'''
Programa Dla 3

Sección 14 DefiniCIón del proceso de gestión de docc.mertos


SeccIÓ n 15 Diser'lo de COl"llroles de :seguldad V elaborac ión de poIlbcas y procedimientos espec lrlCOS
Sección 16 Plan de comunicacIÓn
SeccIÓ n 17 Plan de capacttación y sensibilización
SeccIÓ n 18. ImplementaCIón de conlroles de segundad
Sección 19 , Gestión de ,nddentes
SeccIÓn 20: Gesllón de Operaciones

Cl2005 PECB
Versión 4 7
Eric Lachape lle (Editor)
NUmero de documemo ISMSllD3V4 7

Los documentos lacllltados a los pattK:,pantes son estrictamente reservados para fines de capacitaCIón y
son propiedad de PECB A menos que:se espec ifique lo contra'lO, nlrguna parte de esta ,..,bl icaclÓn p:;>drl!
:ser reproducida o l.Í ilizada en cualquie r manera o formato por cua lquier medio que fuera , ele<:tróntco o
mecánico, incluyendo fotocopia o microfil me sin el consent irT'ilf!rto por escrito de PECB

Cl PECe_ ... _ _ _ . , . ' .. , , . . . _ ; 0 "


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

Capacitación Implementador Lider ISO


27001
Sección 14
Definición del proceso de gestión de documentos

a. Creación de plantillas

b. Geatlón de documentos

c. Implemantaclón de un sistema de gestió n de


document""

d. Gestió n de Los regl"tros

e. Lista maG1ltra d e doeumontos

"'''

Cl PECe _... _ _ _ .... . .. , , . . . _ ; 0 " 2


SeCCIÓn 14 Deflrlción del pr<x:eso de gestión de OOclJTlertos

2.2. Definición del Proceso de Gestión de


Documentos
1. Planificar 2. Hacer 3. Verificar 4. Actuar

Objetivos prindpales de esle pno

1 Desarrollar y ma ntener la documentacIÓn necesaria para gara ntiza r ..... slstema eficaz de gestón
adaptado B las necesIdades espec ifICas de 13 orgafllzaClÓn
2 Ga rantizar el conIrol y 13 adecuacIÓn de la OOcLmentadón ~ SGSI
3. Gara ntIZar el cortlrol y la aderuaci6rJ de los registros del SGSI

3
Cl PECe_ ... _ · _ .... ' .. , , .. . _ ; s "
SeCCIÓn 14 Deflrlción de l pr<x:eso de gestión de OOclJTlertos

Requisitos de la Norma ISO 27001


7.5 Informa ción documentada - Generali dades
La organización del sistema de gestión de seguridad de la informacIón
deberá incluir:

al información documentada requerida por esta Norma Internadonal: y


b) informadón documentada determinada por la organización corno
necesaria para la eficacia del sistema de gestión de seguridad de la
información.

NOTA: El grado de informadón documentada para un sistema de


gestión de seguridad de la información puede diferir de una
organización a otra debido a:

a) eltamal'lo de la organización y el tipo de actividades. procesos.


productos y servicios:
bl la complejidad de los procesos y sus interacciones: y
cl la competenda de las personas.

"'''
la co heren<:la entre los prll"lC lpales doc umentos de l SGSI es mpo nante la orgaruzaclÓn deber~ acreditar
mediante documertac.ÓI1 que sus CDlllro ~s de segundad se aplICan sobre la base de escenarIOS de nesgo
Identificados en la evaluación del nesgo

De berla determna r con sentido comUn si la documertaclón es slflCiente V apropiada en el contexto


pal1i<;uIar de la orga raa clÓll

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "


SeCCIÓn 14 Deflrlción de l pr<x:eso de gestión de OOclJTlertos

Requisitos de la norma ISO 27001


7,5,2 Crear y actualizar

Al crear y actualizar información documentada, la organización debe rá


garantizar la ade<:uada:
a) identificación y descripción (por ejemplo, Un titulo, fech a, autor o
número de referencia):
b) formato (por ejemplo, el id ioma, la versión del software , gráfICOS) y
los medios de comunicación (por ejemplo , papel, electrónico): y
cl la revisión y aprobación de idoneidad y suficiencia ,

"'''
a ros documentos requerlOOS expllclta merte por la rrJfl'f)¡l ISO 27001 son

, PlandlCSCIÓn y cont rol operalrvos (8, 1l,


2. Segui miento de SG51Y resu lta dos de la medicIÓn (9 1),
3 Gest ión de documentos (7.5.2 y 7.5.3)
4 Procedimoento Interno de aOOllO rls y resultados de auditarla (9 2) ,
5, Revi sIÓn por la Di reccIÓn (93)
6 No ocnorm idades, acciones correctrv8s y resultados (10,1)

La siguiente documerta ClÓn, sin que se requie ra de lorma explicita , es impl lcrtamente necesa ria pa ra
demostrar el cumpl imiento de l SGSI

1 Tabiero u Olra documentacIÓn que demuestra la eficacIa de los procesos y controles de segundad del
SGSI(9,1)
2. Aan de cormsrrcaclÓn para la comurllCa<:lÓn co n las pa rtes Interesadas (7 " ),
3 Documentación de las fl.OClOrles y responsab li dades relacionada s co n el SGS I (5 3),
4 Presu puesto de funclOflam~o de l SGSI (5 10),
5, Prueba s de co~enda (7 21
6 PoIllrca ylo el ~m iento de mejora coriiru1l (10)

Cl PECe_ ... _ _ _ _ , . . . ., , . . . _ ; 0 " 5


SeCCIÓn 14 Def,rlción del pr<x:eso de gestión de OOclJTlertos

Requisitos de la Norma ISO 27001


7.5.3 Control de la Información doc umentada

La Infonnaaón dOC\Jmentada requerida por el sistema de gestión de


segurid ad de la inform ación por esta Norm a Internacional deberá ser
controlada para asegurar que:
al esta disponible y apta pa ra su uso, cuando y dónde sea necesario; y
b) esta protegida adecu adamente (por ejemplo, de pérdida de la
confidencialidad, uso indebido, o la pérdid a de integrid ad).

"'''
B cont rol de los docIxnentos esté garantIZado a través de una gest ión efICaZ del CIClo de vida de los
registros. desde la creacIÓn hasta la destruccIÓn

Cl PECe_ ... _ _ _ .... . .. , , .. . _ ; 0 "


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

Requisitos de la Norma ISO 27001


7.5.3 Control de la Información documentada
(continuación)
Para el conuoj de la información documentada. ta organización debefá
abordar las siguientes actividades. segun corresponda:
el distribuciÓll. acceso. recuperación y uso:
d) almacenamiento y conservación. incluida la conservación de la
legibilidad;
el control de los cambios (p. ej., controt de versiones) ; y
f} retención y disposición.

La información documentada de origen externo determinada por la


organ~ión como necesaria para ta pianiflC3ción y el funcionamiento del
SGSI deberá ser Identifocada. segun OO1responda . y controlada.

NOTA: Acceso imphca una ciecísiÓll sobre el permiso para s610 ver la
información documentada. o el permiso y la autoridad para ver y cambiar
la información documentada. etc.

"'''

7
Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "
SeCCIÓn 14 Deflrlción de l pr<x:eso de gestión de OOclJTlertos

Requisitos de la Norma ISO 27001


Resumen

"'''
Una orgarua<:i6n que qUIera cumplir con la norma ISO 27001, deberá como minl rno
l . Publ icar toOOs los OOclJTlentos requeridos po r la norma ISO 27001.
2. Desarroll~r Ln procedlm"~1l10 de cortrol de los documertw
3 Desarrollar ~ procedifTllenlo para el control de los reg;slrOS.

En res...-nen, eSIO sigrldica que la orgaraaclÓll det>e aprobar la doc...-nentaclÓn del SGS I para ga rart izar el
clJ:"pllmie lllo de acuerdo con los tres C!IIenos sigwmles

1, El conte nido de los documentos: La organizacIÓn debe asegl."arse de que cada documento
contenga la información requerida por la clausula re lacionada . Por otra parte, el documento puede
contenef solo el mlnimo requerido y no todo lo q ue podla estar HIII

2. El fo onalo de los documentos: La o rgaruaci6n debe asegurarse de que cada docLJl'l1enlO es


coherente en el formato autor fecha de produ;:clÓn, e l ro mero de versl6n, fe;:;ha de aprobacIÓn de la
Ultl m<l revisIÓn, etc

3. El cic lo de vida del documento: La organizacIÓn debe asegurarse de que eXista una gestIÓn de 01C1o
de vida del doclJTlento que cumple ro n 13 norm<l ISO' IEC 27001 2005, clillJSula 7.5 3

Cl PECe_ ... _ _ _ _ , . . . ., , .. . _ ; 0 " 8


SeCCIÓn 14 Deflrlción de l pro:;eso de gestión de OOclJTlertos

Definiciones relacionadas con la gestión de documentos

Información: Datos sign ificatf\lrn\ ( ISO 9000, 3 .7 1)

Oocumenlo : La información y su medio de sop:me (ISO 9000, 3 7,2)

Especificació n : DoclJTlenlo qL.oe itldique los r€'qUlMos (ISO 9<XXl , 3.7 3).

Trazabllldad : Capacidad pa ra segun la hlstOl la, apHcaclÓl1 o bca lizaclÓn de aqL.oe11o que esta
bajo oon~iderac lón (ISO 9CXXJ, 3.5.4).

Registro: Documenlo qL.oe indique los resultados ot:fen idos o proporcione evidencia de las
actividades desempel'ladas ( ISO 9000 3.76)

Notas sobre l a termlno togla:


1 En un ~i~tema de gesllón, hay varkls ti pos de lDcumentos ta les corro las pollticas,
pro:;edimientos, registros, fichas, etc ,
2 L.n oo<:lXTlmto es la combinacIÓn de Irlormacró n con su medio E l medio p.iede ser papel,
cisco magnético (electróni co u ~ico) , lotograflas, etc o uM corntllMción de elos.
3 CofT'ÍJnmente se llama "doc umenlaciórT" a un conj lXlto de docurnenlrn\

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s . 9


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

Documentación del SGSI


Tipos de documentos

Nivel 2
Do~ "'" PI""*"0 do lO
seguridIod. CO<ItroIe. ~
~ienlOO

"'''
La documentaCIÓ n de los procesos claves y los controles de segllldad puede lomar diferentes
formas. diagramas de Vtsio. la descnpd6n de l ambiente de oortrol e n ..., texto cortinLXl, hojas
de Exce l, etc

No hay requisito obl igatorio sobre la manera de documentar los procesos y controles de
seguridad.

Cl PECe_ ... _ _ _ . ... . .. , , .. . _ ;s"


SeCCIÓn 14 Deflrlción del pro:;eso de gestión de OOclJTlertos

Vocabu lario
Directrices ISO, Parle 2

Término Explicación
Los lI>nnIt'Ioo "deber'" V "no <Iebe<i" Indican los requ¡s.os que
Requisito dt'ber1 oegWse u1ndamen\e con el 00 de cumplir con ~ documento
Y <!el cual no se perrn,te ninguna <leslrladon
\.0$ términos "lIeberl." y "00 debert." Irdiean QU8 ....... 00118 varias
posítMIid1lde. , ... reocm ....... a D:IITIO ~men'" propicla, ....
°
fI\eI'ICIOO1ar excluir otras, O "'" ..... <!eIermirlado CIJISO de aociOO ...
pre/erido pelO no IlI!reS<triameme requerido. o que (en la forma
negatIV') una p:;>sl>tlioad CI4rta o curso de a<:<:o::I!l ... té en de .... so
pelD no prohibido

El témlloo "pD<I". Y "no neCflart.mefIt." lfIdica un cono de


Pelmlto

-
acd6n permitida """!ro de los limites del documento
El término "'puede" V "no puede- ondk:a la po$ibiIidad de que algo
Poelbili<lad

"'''
Durante la implementacIÓn de un sistema de gestión, se debe fXestar eSpeclal aterclÓn a la utili zacIÓn
de expresiOnes ~efba les para expresar lo dispuesto en los docunentos re lactOnados con el sistema de
gestión El cuadro adjunlo ,nch",..e una aola ractOn sobre cOmo se deberlan Interpretar las expresIOnes
verOO~ en un doct.trnefllo de las normas ISO eXfXesando requisitos O recomendacio nes

La orgarua<:ión debe aseg.nu5e de que el requlsno de la norfT13 ISO 27001 e~fXesado por el USO del
veroo "deberá" se cumpla estnctamente en el sÍ'iitema de geslión

En el caso de las re<;omero:JaclOfles, la orga nizació n no está obl igada a oonstderarlas un reQlJjsrto Se
pueden lormula r como d lfe<;trJCes que los usuario!; de ben se!1Jlr Sin embargo, si un proceso o un
cortt~ que no es un reQUiSito de la norma esta doclJTlentado por la orga nizacIÓn con el vertú
"deberá ", se corMerte en un requISito del SISlema de gesllÓn Esta obligacIÓn puede ser Impuesta por
e¡em plo, po r ley O por un oonl rato Po r e¡emplo, SI u n ... ocedlmlen!O de la orga .. zaclÓn Ind ica que las
copias de segundad deberán ser revisadas por la maMn8 a la1l 10.00, pero el auditor enconr ró
di.xante la audr,or la que esto no es seguido, ttabrá un inc~ l moento Sin embargo, SI el mismo
pro:;edim lento lue escrito ron e l veroo "deberia", no hatxla ni rgú n incumplimiento porq.te seria \I1Sl0
como una d irectriz emitida por la Oo'gan ización.

Requisito: Ex¡¡res¡&1 en el OOfter.do de ....., d:xllllenf(;l que indica criterios que deben cumplirse 5i el
cumplimienlo CO'l al documento 6;$ expresado y que 00 perrm/a d6s~i<ri6n.
ReferencIa: [J¡recfric65ISo. Palla 2, clausufa 3. 10 j

RecomendaclÓll: Expresión 61'1 el ca1t8rl00 de un d:xumen/O que Indica que. enl!a ,anas
posibIJidad6s una as recomendada ccmo especialmen/a propIC!8. sin manclO'1M o a.cIUl' otras. o que
l.Il deterrnmado CI.Iro de sccJÓn es pretendo pero ro es imprescIndible, (;1 q ue (en la forma ne>'Jaliva)
t.na posJf:lilid<ri cletTa o curso cI9 acción as/á a" cl9suso pero 00 prohibido
ReferencIa: Direcfric6s ISO, Palla 2. c láusula 3.. 10 2

Cl PECe_ ... _ · _ ••• . .. , , . . . _ ; 0 "


SeccIÓn 14 DefIrlci6 n de l pro:;eso de gestión de OOclJTlertos

Valor de la Documentación
Notas importantes

• En muchas organizaciones, la creación de


la documentación está desproporcionada
• La preparación de los dOClJmentos no
deberla ser un objetivo en si mismo, Esta
debe ser una actividad de valor al'iadido,
soporte del SGSI
• La documentación que es demasiado
pesada es dificil de manejar, a menudo no
es comprendida por los usuarios, por lo
tanto, no se utiliza ...
• Cada organización determina la extensión
de la documentación necesaria y los
PECB medios de comunicación a utilizar

Cada orga nIZacIó n determ Ina 13 e~tenslÓn de la documentacIÓn necesana y los tIPOS de medIO a utIlizar
Depende de factores como elupo V el tamallo de la orgar'WzaclÓ!1, la complejidad y la interacclÓ!1 de los
¡:mcesos, sistemas de l~ormaClÓn y tecnologlas disporobles, los requISItoS de las pe rtes Interesad~s.
corno c lIentes y P'OveeOOres, los requ Is itos reglamentarios aplicables, etc

El prioopa l valor de la documentac IÓ n es perrmlr la coITlUfllCaci6 n de la aplicación de l SGSI y la


coherencia de las a""iones Su uoo oontriOOVe a
a) Lograr e l cumpl if1llerto de las ot;jigiIClOIleS legales, reglarnenta rias y contractuales
b) Proporciona r los meoos pera la cornurllc aclÓfl y la formación
e) Asegura r la capaC Idad de su repetICIÓn y trazablhdad
el) Presenta r pruebas pa ra prepararse pa ra la auditoria de cert ificacIÓn
e) eva luar la errca~ ia y la OOnl lr"-la pertlrencla del sIstema de gesti6n de 13 lr1ormaci6n de segurida d
1) Mejorar p-ocesos y cont roles de segundad de l SGS I

Cl PECe _... _ __ .... ' .. , , .. . _ ; 0 " 12


SeCCIÓn 14 Def,rlción de l pro:;eso de gestión de doclJTlertos

2.2. Definición del Proceso de Gestión de


Documentos
lista de actividades

- } . " .. ".ete.-,
'" '' (~o'''' '' '''''

"'''
Lista de las actividades in<::luidas en la melodologlalMS2 de PECe <::on la <::oITespondienteentrada
y salida

Entrada
A!carce y sus lim ites
~Ioca del SOSI V SeglSidad de la Informa<:i6rJ
Estru~lI.1"3 Orgaruallv~ de l SGSI
EstrL.ctura de GestIÓn de Dorumenlos ya impleme ntada en la organización
Otro sistema de gesllOn preserte (Ej documentacIÓn relaclOn3da oon la ISO 90( 1)

Actividades
1 Creació n de plart,ll3s
2. DefinICión de procesos y pro:;ed imlentos para el cortrol de la doco.xnentaclÓn
3 DefinICIÓn de procesos y proced imientos ¡:era el colllrol de los reg.stros
4 Implementaaón de un Sistema de gestIÓn de OOoumerios
5. EIaOOración de la documenlaoió n del SGS I requerida

Salida
Conlrolar el pro:;ed lmento de doxumenlos
Colllrolar el proced imiento de registro
Un co~ u nto de documenl<loiOn gestlOn3da del SGS I

Cl PECe_ ... _ · _ _ , . . . ., , .. . _ ; 0 "


SeCCIÓn 14 Deflrlción de l pro:;eso de gestión de OOclJTlertos

2.2.1. Creación de Plantillas


Tipo de documentos

-- ........ _-_. _"-""---


.... _.~~

... _ .... _.. ..__.


.. un. _ _ . " " _ " " .. ~

--...-- - ..-......-"""':::--......._-.... "..-_.._---_.


~ _0"
_."':.:
......,......

. -""""-
.,,_ .......
_-"~~_

"'--
~ _11 ",.,.."
E...- ... _ ... _ " , , , " _

,-- ._" ,'--'"_,----¡


~

_ . . _-,, . .
NarnoU.. <1ft ~_ ......... , w .. un _ _ .... . . . . . . . - , _
F,.""..,." . . _ . " " _ ....... _ ..... _ _ _ "... .... "'= .... _ .. ~

... _--,,- ...


..,.., . ~_

_,
-,"","1

... -.,"""-."""""_.-...
~- ,-_._~-

f'Ioja <lo dalo. - " ................


""""'-' ... - ,--.
"'''
Po lltlca: Las Int~iones globales V la direccIÓn de lI:1a orgar.zaclÓn ta l corno io expresa forma lmente la
direcCIÓ n (véase la sección 9, Dla 2 para más e><plicaclOnes)

Ploced lmlento: Las Instnx:ciones especificas que explica n cOn c1a rdad los pasos para determinar la
forma en que la poI ltica, las rirectrlCes y las rormas de apo)'IJ se aplICarán rea lmente en un entomo
operatNO. El procedimiento des<:nbe U'1i1 secuencia ordenada de aocrones desunadas a lograr un obJelNo
(véase la seCCIÓn 19. Día 3 para más e~plicaciones)

Oirectrices: DeclaracIÓn genera l para alcanzar ios otietr..oos de la poI llIca proporcionaróJ orie ntación
sobre I2ls buenas práctICaS a seguir Esta es una paLJIa importante que deberla ser respetada, 8lX1QU!! 00
es ot> igatona

Manual de seguridad : ConsolidaCIÓn en e l mISmo volumen de distintos ~pos de documenlOS relacionados


con la segur'dad de la .nrorma¡;lÓ n A dderero::ia de la oorma ISO 9001, que mero::oona la ~1 k:aClÓn de un
manual de ca lidad, la ISO 27001 no eS~lrlCa algo slmla r Sin emba rgo, muc has o rganlZilClOnes prelieren
combinar ~ documentación del SGS I en un manual On ico

Proceso esquemáti<::o : Esquema que Ilustra e l flJlClOrliImtenlo de un pro:;eso.

Proceso narT1ltivo: Exphcación detaUaw del furo::lonarrrlento de U'1 proceso en la forma de una
descnpoOn nanativa

Cl PECe _... _ _ _ _ , . ' .. , , . . . _ ; 0 "


SeCCIÓn 14 Deflrlción de l pr<x:eso de gestión de OOclJTlertos

CalUl : Descn pc ión de los acuerdos en VIgor entre la orga nización y !Xl grl.fJO de actor~ ta les
como usuarios, empleados, ¡roveedores o prestaoores de serviCIOS Una carta define los
derechos y det:eres de las partes,

Gula : Documento pr"'dlCO dando Instrucciones detalladas sotn! el uSO y/o insta lación,
mantenlrlllerto y operacIÓn En la práctICa , a pesar de que denotan ooncepos dllerentes, la gu la
de termlros genéricos y el manual se utilIZan a menJdo de la misma ma nera y ¡:or lo tanto da n
lugar a mLX:MS expre5!Ol"lf!S casi s in6rNmas la gula debería ada¡::tarse a la audierela de destino
(por ej una gu la destinada a taoos los lJSWOOS debe contener terminos s~1es y de ooJo "",el
téc nico)

Fo rmulario: E n pilpel o formato electrónico que esuln di5er'lados pilra ¡ro¡:orclOIlilr o registra r la
Informac ión sotve !.XIa operaOlÓrl (solic it-..J de cambio , la solICItud de a<..torizaclÓn, not ificacIÓn de
oo dentes, elc, .), Aunque la ...e1'Sl6n en papel a menudo es más com.:.n en las empresas, ~
ventaJOSO c rea r formutarios e lectr6nlCos en la mayorla de las Sltua<:lOnes Esto laedna el cort rol
de los registros, el pr<x:eso de aproooció n y la reub lizaclÓn de la irformaclÓ n Irtroducida en
IOrmulaOO5

Hoja de d"tos: Doo...-nento que resume la IrformaClÓn tecnlCa (especdlcaclones) necesarIa


para in!;talar, lJSar, ma ntener, etc. equ ipos, software, etc. Se L.liIiza genera lmente para los
e~pos técnICOS y productos de softwa re en senes y oormas s imples que se encuentran en la
o'g.l niza';;ón Uno puede ern:ortrar, entre otras cosas, lX\il desc ripcIÓn I lslCa y la Inlon' >a<:lÓ n
sobre sus caracterTsticas de luncionarn.ento, cond iCIOnes de insta laclÓ/1 y de su guarda

Cl PECe _... _ _ _ .,.. ' .. , , . . . _ ; 0 "


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

2.2.2. Gestión de la Documentación


El desarrollo de un proceso de gestión de la
documentación y redacción de un procedimiento

2. '''''''II~
3. C""'ificadOn

Se debe establecer un procedimiento para gestionar el ciclo de vida de los


documentos
"'''

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; s .


SeCCIÓn 14 Deflrlción de l pr<x:eso de gestión de OOclJTlerlOS

2.2.3. Implementación de un Sistema de


Gestión de Documentos
• Facilitar el almacenamiento, acceso, consulta, difusión
de documentos y su información
• Custodiar el ciclo de vida completo de los documentos
• Garantizar la trazabilidad
• Garantizar el acceso a los documentos

Optimizar búsqueda y
actualización

"'''
Cuando los documentos electrónICos, <x:~n más espacKl , debe ser mplementado ll'1 sistema eficaz: para
ges:lOnal el CIClo de vida de los documentos

Un sistema de ges:.ón documenta l admm~ st fa las relaciones con OIrOS documentos, garantiza la
lrazabilidad y garantiza e l acceso a los docll'T\el1tos mediante la gestión de 105 Óstlnt05 niveles de
autoriz:¡¡clÓn para et acceso, uso y ddusión de datos.

T ipos de soIUCIOr1eS disponl~

1, Sistema Eledrónico de Gestión de Documentos (SEGO) La gestión electrónICa de documerlOS o


SEGO (EO~ en irl;llé9) es un sistema Irtorm;'JtlCO para la adqlJiSICIÓI1, clasificacIÓn, almacenam iento y
archwo de doclJTlen!os (ejemplo de uso la dignallZación maSl\13 de documentos en pa~ l) Un ejemplo
conocido es el SharePoirl (Mlcrosoh)

2. Sistema de Gestión de Contenidos los sistemas de gestión de contenidos o C~S en Idioma lI1QIés.
son lSIa rami lla de d;ser'lo de software y actua llzaci6 n dinámICa de los slllOs web o apllC3ciones
IllJ ltimedia para gesllonar el conIentdo Un eJ9I11p1o conocido es cua lquie r llpo de aplicación 'W.d"
oorno la encIC lopedia en linea W lki pedia

Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "


SeCCIÓn 14 Deflrlción de l pr<x:eso de gestión de OOclJTlertos

2.2.4 . Control de los Registros


• Los controles para garantizar la identificación ,
almacenamiento, protección , disponibilidad, tiempo de
conservación y eliminación de registros deben estar
documentados e implementados
• Los registros deben ser protegidos, permanecer legibles,
fácilmente identificables y accesibles

"'''
ejemplos de registros : Los registros de los sIStemas de Informa<:1Ón, reg istro de Vls ltames, los lriormes
de aLldaorta y formula nos pa ra autorizar e l acceso, so n ejemplos de registros

Cl PECe _... _ _ _ . ... ' .. , , .. . _ ;0"


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

La inscripción de los registros


Ejemplos

Lb.óo.wtM
-- .- ".-"""""
- - -- -
_.
Hoojo Ot tIb ... "",- , - ~O~

..,--
~o~

--- - ...... --
~
__o
,-~

Ro"*ooon por la- -,- ,~

-~
~

"-~
onoo ~.""

..~

"'''

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ;0"


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

2.2.5 . Lista Maestra de Documentos


Es una buena práctica crear una lista unica de todos los
documentos relacionados con el SGSI con información
básica tal como:
• El identificador único
• Titulo
• El tipo de documento
• Los nombres, funciones y servicios de los autores (y/o los
propietarios)
• El nombre del responsable y la fecha de la aprobación
• Fecha de emisión
• Fecha de la versión y de la revisión
• Numeración de páginas
• La clasificación

"'''
Vanas orgamzaciones IflIegran la lista >""'rlC 'pa l de los docl..menlOS con la DeolaraclÓIl de ApI ,cal:olldad en
un OOclJ:l'lento .neo que ircluye una descnpci6n de los cortroles de segu ridad y la documelllaclÓn
relaOlOnada

Cl PECe _... _ __ .... ' .. , , . . . _ ; 0 "


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

Gestión de la documentación
Problemas mas comunes
Pn:>blem. . eaun po'"ne,a'
CanIidad demasiado ¡¡rancie <111
dooJmemM mal daSmca"M y no
~-~
'ncePacld8<l para e<lra$!" ..... pklamentfl Qocumento ~. """",oiMO
Inlorm&C1On .:.al de 00 documento lIter""o. a meoo<lo con V""".
a"",xos
AcI~ de c:;ricter te<Iiosa loo prtWOe_ de g.esti6n \111 documentas no
ftstan P$I.DI>I..c:IdD$ O po"" e>p4oIados
Dilerenda entre k>s r"9i"1roS y pororesos de los empIea<los retaOonadoo con ¡g,¡
negoo6o real" operaciones no t\an par1iclp&do $f\ ~
redacco:ln de documemos
TeJ<tos e gr.~OO$ am~ I No fI8y valldaciót1 con k>s "",anos. la falta
"""'-"- de !ormacitIn Y sensibdizaólln. editor
-~.
ProIfl er&ei6n de ""'....,.,.,. <le lOS NIIIgÚt' ..!!....na <le ges110n de _ "ntos
~,~ ~ ~

"'''

Cl PECe_ ... _ _ _ .... . .. , , .. . _ ;s"


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

¿Preguntas?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe _... _ _ _ . ... ' .. , , .. . _ ;0"


SeCCIÓn 14 Def,rlción de l pr<x:eso de gestión de OOclJTlertos

Ejercicio 7
lista maestra de documentos

"'''
La DIrección de Extreme Advenlure Tours h3 de<:ldldo irolUlf todos los controles de segulldad en la gestIÓn
de la cort,nu idad (Clausula A.14) de su orgarUaclÓn . Para prepararse para la apllcaciól'\, se le pKle
completar la lista maestra de doc umentos para este Mea

Propor1er una ~sta de documerllOS y registros q~ se debe rlan genera r para cumphr 001'1 los reqUIsitos de
los cont roles de seguridad en la seccIÓn A 14

Ou r<K:ió n del ejerCIcio 30 m i ~


Gomerltarios 15 mi nlAOS

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 "


"
Secció n 15 Diser'lo de controles de segund~d Y e l~ooración de po lftlCas y proced irTl/entos
I!'Spec lficos

Capacitación Implementador Lider ISO


27001
Sección 15
Diseño de controles de seguridad y elaboraci6n de
poHticas y procedimientos especificos

a. Olseno de los procesos y tORlrol&8


b. Oescrlpción d" los procesos y controles
c. Redacción de polit>eas especificas
d. Procedimientos de escritura
e. Oefintción da los RegiSlros

"'''

Cl PECe_ ... _ _ _ .... . .. , , .. . _ ; 0 "


,.
Secció n 15 Diser'lo de controles de segund~d Y el~ooració n de po lftlCas y proced irTl/entos
I!'Spec lficos

elaboración de politicas y

1. Planificar 2. Hacer 4. Actuar

.,"--
- •..

,,~

~-
..
""S
Objetivos principales de este p¡oso
,
2.

3.
4.

5.
6.

7
8.

"
""
""
""

Cl PECe_ ... _ · _ _ , . ' .. , , . . . _ ; 0 "


25
Secció n 15 Diser'lo de controles de segund~d Y el~ooració n de po lftlCas y proced irTl/entos
I!'Spec lficos

Procedimientos
ISO 9000. clausula 3.4.5
Oefinición de
rocedrmlento
• Forma espeo;;ificada P<lra
llevar a cabo una actividad o
un proceso
o Nora 1: los proa¡dimientos
pueden esl3t óocumenrados O
00
o Nota 2: Cuando UI1
procedimienlo esr~
<Iocurnerrtado se ut i~u con
Iferuencia el término
"prooe<I;mlenro esenIo" o
"proootdimiflnto óocum80tado"

Notas sobre la termlnologla


1 Un documento que contiene un procedimento puede ser llamado lX1 "documento de
proced imiento"

Cl PECe _... _ __ .... ' ... , . . . _ ; 0 "


Secció n 15 Diser'lo de controles de segund~d Y el~oo ració n de po lftlCas y proced irTl/entos
I!'Speclficos

2.3. Diseflo de controles de seguridad y elaboración


de políticas y procedimientos específicos
lista de actividades

-
" , ... """,,,. a
[lOCL<"""''''oó<
,--
2.3 1 Dioe/\or
~ .­

i
J

"'''
Lista de las actividades incluidas en la melodologlalMS2 de PECe con la correspondiente entrada
y salida

Entrada
Declaración de aplica bil idad
PoHli:;a del SGSI V F'oI II):;as de Segundad de la I nlorm~ci6 n
ESln..ctosa Orgaruzawa de l SGS I
La eslru:tUla de gestión de la cIoclJlTle!1tación
a ro sistema de gestión en \llger>CÍiI

Actividades
1 D ser'lo de procesos y controles de ~.mdad de lB inlormaclÓn
2. Oescnp<:i6 n de los procesos y cont roles de seglSldad de la Irtormación
3 Escritllr jXlI ltlC8S especifICas
4 Procedimientos de escrTtLO<!
5. OefirJClÓn de los reglstros re lacKXlados con los procesos y los controles de segundad

Salida
Descnp<: lÓ n de los procesos y cont roles de segufldad
Politicas I!'Specificas de seglSidad de la irlormación
Procedim ientos y procesos relacionados co n los controles de segu ridad

Cl PECe _... _ _ _ _ , . . . ., , . . . _ ; 0 " 27


Secció n 15 Di ser'lo de controles de segund~d Y el~oo ració n de po lftlCas y procedi rTl/entos
I!'Speclficos

2.3.1. Diseñar los procesos y controles


Antes de describir los procesos y controles, estos deben
ser bien pensados y el diseño debe ser "llevado a cabo~
mediante la identificación de:
1_ Objetivos
2. Los elementos de entrada
3. las fun ciones y responsabilidades de los actores claves
4. Interfaces con otros procesos
5. los recursos necesarios para las operaciones
6, lista de las actividades y tareas a realizar en las
operaciones
7. lista de los registros
8. Indicadores claves de medidas de eficiencia
9. Elementos de salida

"'''

Cl PECe _... _ _ _ .... . .. , , . . . _ ; 0 "


"
Secció n 15 Diser'lo de controles de segund~d Y el~oo ració n de po lftlCas y proced irTl/entos
I!'Spec lficos

2.3.2. Descripción de los Procesos y


Controles
Consejos prácticos

• Deberían ser documentados los diversos controles de


seguridad relacionados con el SGSI
• No hay método prescrito por la norma ISO 27001
• Es una buena práctica documentar los controles de
seguridad en grupos. Por ejemplo, un documento para la
gestión de incidentes y no uno para cada control de
seguridad
• La documentación debe ser lo suficientemente precisa
para ser un reflejo de la realidad , pero no demasiado
compleja para dificultar su monitoreo

"'''

29
Cl PECe _... _ · _ . ... . .. , , .. . _ ;0"
Secció n 15 Diser'lo de controles de segund~d Y el~ooració n de po lftlCas y proced irTl/entos
I!'Spec lficos

Descripción de los Procesos y Controles


Las 6 palabras (W: W/H en inglés)

• Quién
• Que
• Cuando
• Dónde
• Por qué
• Cómo
Ejemplo:
El administrador de la red (quién) se asegura de que las
copias de seguridad (qué) se completan mediante la revisión
de los registros de copia de seguridad (cómo) todas las
marianas (cuando). Tra s la revisiM. llena y firma una lista de
verificación {dónde) que se mantiene para futuras consu!tas
(por qué)
"'''
Nota importante: No eXiste '-'"1 requisito de 13 norm~ ISO 27001 pe ra descotO[ en det~ lle c~oo cont rol de
seguridad en v¡gercla en la Organlza ClOO. Una orgalllZaci6n puede Ilmllat10 a una concisa documentación
que desc ri be el funciona mento de los ,""ocesos y oonIJo les ncl .... dos en el SGSI

Var ias organizaciones incluyen la descnpción de los controles de seguridad en Su Declalación de


Aplicabilidad

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "


,o
Secció n 15 Diser'lo de controles de segund~d Y e l~ooración de po lftlCas y proced irTl/entos
I!'Spec lficos

Descripción de los Procesos y Controles


Tipos de métodos

R~pr..sentaoOn <le
Descnpci:lt1 deta~ada
los prooeoos y
"" f"""" Ilte,ar,. (le
controle. <le
lo.conIroIes y
oegundad en ""
"""""
--~
" formato ........ 1

Oflo'ipoór1 por esquemas de p<QC(\SO$


compIemernada por <lKCfipciooe. <le
,,~

"'''

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ;0"


Secció n 15 Diser'lo de controles de segund~d Y el~ooración de po lftlCas y proced irTl/entos
I!'Spec lficos

Esquema del Proceso


Ejemplo del proceso de una solicitud para un cambio
urgen''''

-
-... .
-=1
I<tI'Cl

-
.-
'eOlIo lo ,""""'"'

--- - '-
._~ ­

--
--- ---
---
---
--- - ._
_.....-
..
-_.~

--_. ....
.,_o.-
_
-,
_,-
--- --
....
. - '
~ ­
. . . 01:<: ~

- ~.

~I

"'''
Los esquern~s de p-uceoo o "dIagramas I6Q1COS" vIsua lizan la secuencIa de accIOnes El
proceso puede ser formalmente documentado en una ficha de datos de proceso. incluyendo un
mapa competo de lOdos los prooesos de la organlZac:t6n No hay..., estándar para representa r
un proceso Todavla es raJesaoo estableoer un simbólico (lolTTla básICa) para representar cada
ca r;'Jcter, el bucle de decisiones y otros Instnrnentos existentes e n el proceso de asignacIón

En resumen , corno regla de oro; piense en fOlma simple y operativa, asegurase que toda
representación es comprensible p:lr3 todos y utilizable por todos.

Cl PECe .......... _ _ _ . ... • .. , , .. . _ ;0" 32


Secció n 15 Diser'lo de controles de segund~d Y el~ooració n de po lftlCas y proced irTl/entos
I!'Speclficos

Descripción Narrativa
. . ,
_.- p
---~
- -
,:---_.
'_._----------,
------_.-
__ ._~-'_ . _-

- --
I ._-
--
. ;:'---
-
-I §j. ---
.

. --
- --=--.. .
1........

."---
."
Un seg-.odo método de OOco.mentar '""' proceso y contro les de segu rJd~d es escnblr narraCIones sobre su
furclOnamiento. El propósito de un fKDCeSO narrativo es el de descnbr el tema de la irtormación y los
controles de seguridad relaC ionados con este p-oce50 La narraCIÓn debe permnlf al lector comfKende r las
diferentes etapas relacionadas con las operaCIones, la identificaCIón de los actores (con la denormraclÓn
del cargo) a ca rgo de la e¡ecl.ClÓn de las Iareas, entradas y sa lida, la fuente de irlormació n l1ilizada,
Indicadores, etc

Consejos pr~cticos :
1. No escnba un proceso genera l de aRo rivel , tal romo ''se rea llZ~ n copias de segundad peflÓ(jcamente
en los sIStemas de t nform~ción según I¡¡s necesiOOdes de cada urroad de negocIO"
2 lJIj lice verbos de acción e n este ejemplo "El d irector del departamento examna, afKueba, va lida. etc "
3. Evrte las expreslQfleS de los verbos tales CQffIO ' poa-Ia' , "deberla", dejando (lujas en cuanto a si la
ejeCl.C1Ón de la accIÓn esl~ relacionada co n '""' r~ ISlto de cLmphmler1to
4 Asegúrese de descnbir los cortroles de sel7Jridad en el contexto de los procesos de negocIO
relaclOf1ados
5. Descnba el proceso y los controles a part ir de res,....esla s a I¡¡s preguntas de las 6 pal¡¡b<ls ("6 W)
6 Cuando hay una referencia a un docu:nento, irdica r la referencia exacta

Nota Importante: Es cofl\te!llente que la descnpolÓll refle¡e I¡¡ realidad actua l de c6rro funclOf1a el proceso
y los cont roles y no el estado deseado por la organización

Cl PECe _... _ _ _ _ . . . ... , .. . _ ; 0 " 33


Secció n 15 Di ser'lo de controles de segund~d Y e l~oo ración de po lftlCas y proced irTl/entos
I!'Spec lficos

2.3.3. Escribir Politicas Especificas


• Publicación de una politica del SGSI y una polilica de
seguridad de la información es necesaria .
• También, dependiendo de los con troles de seguridad, la
organización debe publicar las polílicas específicas
sobre determinados temas como:
1 Polltica sobre disposilivo móvil
2. Polílica sobre tele trabajo
3 Polílica sobre control de acceso
'l . PolUica sobre restricción al acceso a la información (A.l0.5.l )
5 Polltica sobre el uso de controles Cfiptogralicos ~ claves
6. PolUica de escritorio limpio y panlall ao llmpia
7 Politica sobre copiao de seguridad (bacl<up) de la Información
8. PolUica sobre desarrollo seguro
9 Polltica sobre relaciones entre proveedores
"'''

Cl PECe _... _ _ _ .... . .. , , . . . _ ; 0 "


"
Secció n 15 Diser'lo de controles de segund~d Y el~ooració n de po lftlCas y proced irTl/entos
I!'Spec lficos

2. 3.4 . Procedimientos de Escritura

• Es una buena práctica escribir un primer borrador de los


procedimientos antes de implementar los controles
seleccionados
• Los procedimientos garantizan que el desarrollo de los
controles de seguridad estén operacionales día a día
respecto a las especificaciones y potiticas de la
organización
• Los empleados a cargo de las operaciones deben
participar en la elaboración y validación de los
procedimientos

"'''

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ;0"


"
$eoció n 15 [l¡ser'lo de contro les de segund~d Y e laoora<:ión de poIlbc~s y procedimientos
espec lrlCOs

Lista de información documentada


obligatoria
ISO 27001 , clausulas 4 a 10
• Aqul astil una lista <le i11omla<:i6n dowmentada requerida e><PIlcitarmtfll e po< "'
notmB ISO 27001 .
1 Alcanoe del SGSI

,2. PoIit>::a de s&Qutidad de la ",I~


Proceso de evaluación de riesgos de seg<ridad de la lnl~ Y loe
resultaoos ¡e.l.2 y 8 2)
, Proceso de lnltamierno <le nesgo. ""ra la seguridad de la Inlormaaoo y los

,, re:wttaóo$ ¡e. 1.3 y 8.3)


ObjetIvos <le Segundad de la lnt0<mad60 ¡e.2)

, Competeoaa <le las personas (Ud)


C<>ntroI de la iIlform..c:iOr1 docI.one<1tada (J .~)

• PI3/lilK:aalt1 Y coolrol oper3~v"" (B 1 )

• Seguimiento y resuttaOos de la meOic:iO<ll9 1).


Progr3ma y resull9005 de la a udilorla inlelTlll (9.2)

"'" Re\ll!.iones po< la doreocl6n (9.3)

"''' "
No ronIoImidades, acti<M'IH correctivas y!'eS<Jllado5 (10.1)

Ejemplo de los procedJmientos que se puede n 1rn: IUlr en un SGSI documentado


Proceamlentos en el e~qLJetado de la Información (A.8.2.2)
Los ,.-a<:edlmientos de ma neJO de haberes (A 823)
Procedimientos sotM"e la gesl ión de medios e)(\ral bles (A 8. 3 1)
PrOCedirnoent05 para la enajenación de los medios (A.8.3.2)
Procedirruento de registro seguro (A 9 4 2)
Procedimiento para el trabajo en zonas segosas (A l ' 1 5)
Procedmient05 operatil'Os documentados (A.12 1 1)
Proced irnrento para la insl~ l ación de softwa re en sistemas operativos (A 1251 )
Procedimiento para la transfereroa de informacIÓn (A 13 21)
Proceamtenlo para el control de l carr.bkl de SIstema (A. 142.2)
Procedimiento para lOCidentes de seguridad de la inlormaci6 n (A 1611)
Procedtmento para I~ ol;(erx:lÓn de pn.oeoos (A., 6 1 7)
Proceamlento pa ra aplicar la cortinuldM de la segundad de la información (A 17. ' .2)
Procedmtentos sotM-e los derechos de proptedad intelectua l (A 18 1 2)

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; 0 "


"
Secció n 15 Di ser'lo de controles de segund~d Y el~oo ració n de po lftlCas y procedi rTl/entos
I!'Speclficos

2. 3.5. Definición de los Registros

• Cuando se definen los procesos y los controles de


seguridad, debería ser creada una lista de los registros
asociados.
• Cuando se describen los procesos y controles, se
deberla describir cómo se gestionan los registros.
• Cuando se escriben los procedimientos, deberian ser
creados, formularios y otros medios de comunicación
destinados a recoger y conservar la información

"",

Cl PECe _... _ · _ . ,.. . .. , , .. . _ ;0"


Secció n 15 Diser'lo de controles de segund~d Y el~ooración de po lftlCas y proced irTl/entos
I!'Spec lficos

Ejercicio 8
Clasificación de los controles

"'''
Pa ra c~da -.no de los SigUIentes 5 oonIroies, Ind¡que SI se utiliza como un oontrol preventivo, correctivo ylo
de II'M!SI¡gaCIÓIl, e indiqUe, sJ el control es una medida adm llllSlrawa, técnica, de gestión o jurldica.
Explique su respues1~.

Ejemplo. La InstalaclÓII de una cerca alrededor del sitio de la organización.


Se trata de t..rl control (XeYentJ\fO que a)'l.'da'á a proteg~ el $ltlO 00 la cxgarlzar;ión cmtra el acceoo li&ea
ro ootOl'lzaOO
La instalación de una GarC"a de alamore es !lB medida t~';;a qua consista en ura imtalación material

1 La atriboxt6n de responsai:o lidades de seguridad de la iriormación a cada mlemb"o de la org<lrlzadoo


2 Implementació n de un sistema de alarma contra inceOOi06
3, El edrado de las oomuruOIlCiones eleClróntCas
4, Investigar los Inctdernes de segundad
5 IdentificacIÓn de la Iegoslacoo apl icable

Duració n del eJercIcIO 20 mlroJlOS


ComentaMos' 15 m nulos

Cl PECe _ ... _ _ _ _ , . . .. , , .. . _ ; 0 "


"
Secció n 15 Diser'lo de controles de segund~d Y el~ooración de po lftlCas y proced irTl/entos
I!'Spec lficos

¿Preguntas?

"",

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ;0" 39


SecCIÓn 16 Plan de comunICaCIÓn

Capacitación Implementador Lider ISO


27001
Sección 16
Plan de comunicación

a. Princlplos de una estratogla de comunicación eficaz

b. Proceso da comunicación de aeguridad da la In formación


c. Establecerobjotivol de comunicación
d. Identificar las partes inlerll$adas
• • Planificar las actlvldades d" comunicación
1. Resllzar una actividad d& comunicación
g. Evaluar la comuniución

"'''

Cl PECe_ ... _ _ _ . ... . .. , , .. . _ ;0"


SecCIÓn 16 Plan de comunICaCIÓn

2.4. Plan de comunicación

1. Planificar 2. Hacer 3. Verificar 4. Actuar

,,"-"'
~.-
.
, .~"

,,,e
Objetivos prindpales de esle pno

1 Ayt..da r a las partes intere"",das en la COmprenSlOO de problemas de segundada de la InformacIÓn, las


poI lllcas y el desemper'Kl, proporclOn<lndo OpIlOOr.eS y st..gerendas para mejora r e l rerdlmtento del
SGS I,
2 Au-nenta r la Importancia y el nrvel de la sensib lizaclÓn sobre seguridad de la mformact6n pa ra apoyar
las funcIOnes denlro de la orgaruzacKm ,
3 Mejorar las percepciones de las partes interesadas de la orgamzaclÓn. y ~lI11ertar el apoyo a la
errpresa y la confianza de sus ¡W;Óorllstas

U1 programa de segurJdad de la Informacloo no p.leOO lograr sus objetivOti Sin el oomprom"oo de todol; los
Interesados Ya sea ~ esté rrwo ll):;rado un actor Interno (empleados. ejecutivos, el sindicato) o uno
exterro (cbentes. proveedores) , la formaCIÓn , la cOf"CIenUzación y la comunicacIÓn son crll:::lales para la
eX itosa ImplementacIÓn de l SGS I

U1 usuario que ro ha sido debidamente informado. capacitado y concieriizaoo de la IflllOfIancia de la


seguridad de la irlormación es un rle~ p<Jlencia l para la seguridad de la OrgafllzaciórJ y por lo tamo sus
¡:rocesos de negJClO Los incldenles de segund3d de la irlormao;i6n debdos a errores de manlp.JaCIÓn o
comportarnento p..eden ser redociOO al mlnirno o e ... tados mediante la aplicaciÓ!1 de un riguroso programa
de capaOllilción y sensHJlllz¡w;iórJ sobre la seguridad de la lrd'ormaclÓ n

Parece necesario desarro llar y difundi r un programa de capacrtación y sensibilizaciÓ!1 para los interesados.
Este puede contnOO If al éXIto del proceso de gestIÓn de se!1-'idad de la informacIÓn e n la orgarizaclÓn

Cl PECe _... _ · _ _ , . . . ., , . . . _ ; 0 "


SecCIÓn 16 Plan de comunICaCIÓn

Requisitos de la Norma ISO 2700 1

7.4 Comunicación
la organización deberá determinar la necesidad de
comunicación interna y externa pertinente al sistema de
gestión de seguridad de la información incluyendo:
a) qué se comunicará .
b) cuándo se comunicará.
c) con quién comunicarse;
d) quiénes deberán comunicar; y
e) los procesos por los cuales se deberán efectuar las
comunicaciones

"'''
Una o-rgarua<:i6n que qUIera cumplir con la norma ISO 27001. deberá como minl rno
1. Identificar las competero:::.as necesarias pa ra ga rantiza r el correcto funclOl"lallliento del SGS I.
2. Implementa r un p-ugrama de capaclUlción pa ra el persona l que realIZa trabajos que afectan al $OSI
3 Implementar un ,,"ograma de cor,-;:lero:::iac:JOn sobre segundad de la anformación adecuaOO a los
disti ntos particIpantes
4 Implemertar un programa de cornurJcación para Informa r a los Interesados del SGSI sob"e los
cambios que los puedan afectar
5 Eva luar la eficacia de las medidas adoptadas y mantener registros.

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "


SecCIÓn 16 Plan de comunICaCIÓn

2.4. Plan de comunicación


lista de actividades

_
_......,--...
- J

"'''
Lista de las actividades in<::luidas en la melo<lologlalMS2 de PECe <::on la <::oITespondienteentrada
y salida

Entrada
Informe del AIN Y de evaluación de nesgos
Esm.,ctosa organizat .... a
PoIlllca de la continUIdad del negocIO
Pla n de cont inuidad del negocio

Actividades
, Estat:Oecer obje!ivos de comunicaclC'm
2. klenl~lCa r las partes inleresadas
3 Plan~ic ar las actMdades de comJfli<;aclÓn
4 Rea lizar una actrvldad de comunICacIÓ n
5 . Eva"""" la COrn.Jni<::aclÓn

Salida
• Pla n de comUf'lfC<loo n y los procedimientos conexos

Cl PECe_ ... _ · _ . ... . .. , , .. . _ ;s"


SecCIÓn 16 Plan de comun ICaCIÓn

Principios de una Eficaz Estrategia de


Comunicación

~""' .... ~-, .....,. __ . ..,,"- -----._,...- J


Credlb!lldad

_
...... _ "_",,,_.... 00 '''''"-" ,,, '

__
~

~_ _,~,,:
_-""_.-
.. .... ""'.. , .- -,--
........ ..... ,......;.""""".......
Respuesta

Claridad ::J
_
,'..".:;~_,_;;~;'~';"~'~_:_:.:_::.::.::':.:_:::_::_:.:_:*::~:
_ ...."r' , .... _ ,....
"no . . .

"'''

CO PECe_ ... _ _ _ .,.. ' .. , , . . . _;0"


SecCIÓn 16 Plan de comun ICaCIÓn

Proceso de Gestión de Seguridad de la


Información

"".. . .--..¡
-~"
,,,,..,-
" """.

I
l.

"'''

Cl PECe _... _ _ _ .... ' .. , , .. . _ ;s"


SecCIÓn 16 Plan de comunICaCIÓn

2.6.1. Establecer Objeti vos de


Comunicación
Ejemplos

• Mejorar la credibilidad y la reputación de la organización


• Establecer diálogo constante sobre cuestiones de la
seguridad de la información con las partes interesadas
• Cumplir con los requisitos legales aplicables y otros
requisitos que la organización suscriba
• Influir en la pOlítica pública sobre problemas de
seguridad de la información
• Proporcionar información y fomentar la comprensión de
las partes interesadas acerca de las actividades de la
seguridad de la información
• Cumplir con las expectativas de información de las
partes interesadas sobre la seguridad de la ;nf()",,~
"'''
la or(¡3n izacór1 deber ía establecer objet.los de se~ u ,oda.d de al infor maó6n, que son otiles porque pueden proporco:>na ,
la base pa ,a una ...uate<;l'" de c.om u n~ eficaz Al fijar sus ob¡t'lrvos de cM>Jnicacór1 de la seg u,idQd de ..
,nformación, la ",?" niuoión deberla as.eo;l urarse ele que e~n aineados oon 5u poIótrc.rl de oom.rn"",oiOn empre5a 'ial,
romar en c'-"nla las opinIOnes de !)artes I1te' e5adas inteflllS y e>«e, nas. ~ que eoIér1 en consonancra con 105 proncrpios
de la comunicación . Al delino los ob:etrvos de sus actividades de comunicacrón, la organimCi6n <lebetla lMe, sus
pr,or,dades y ,esultados deseados, asegunlondose de que los ob¡elNOS deflllrdos se expresan de tal manera que no son
necesa,ias más .,XplicaCiO""S

la d i,eo::o:>n de la or¡¡anlZacór1 debeNa desarroKa , una estrate~,a pa ra aplica, su plan de comunrcaa6n. l . estrategra
deberla indu" los objetivos de com.rnic""ór1 , la idemir",,,,,,;,, de las pa rtes interesadas, una"';~ de ",ando y q u ~
planea oomun""", y un """'1'''''''''''' de la admon..traci6n de a"9 na, 105 recu,sos adec\J8dos. Una organlZaC>6n debe,ía
aclara. lo que es pos<t>Ie, teniflldo en cue nta sus recursos oon ~ l in <le que ~ cu mplir mejor y <le forma más rea'''''
las e>pectatNas de las pa,tes inte1'esadas

Se deberla tener en consode raco:>n ,.,¡ r.echo que la Cornutl",,,,,oón de la segundad de la inforrnaaón es parte de las
actNodades de la orga nIZación M gene,al y debe esta, alineada con los otros e lementos de los .. :<temas de gest ......
pOIItrcas, eslral eg,as o actividades penll1t!ntes.

Al desan oRa, la ...uategra de <:OmoJnicao6n, las sigurentes l".-g unl8s pueden se, otiles
1 ¿Por ~ue es la orga nización se involl.Cra con la romunrcac.ibn <le la seg u,idad de la rnIotmaco:>n y ruales son sus
prop6s.r!os?
2. , C"'I.". son los l"obIe mas e impactos clave de la seguridad de la Información de la orgaruzac ión?
3. ¿CUáles son las principales ruesTiones que se abOld3tá n, los mensajes que se han de u nsmíl" y técnicas de
com.rnocao6n, enfoques, trenamoentas ~ ca n.1M que .... util"a,án?
4 ¿CulinlO tie "l'O es necesa, io pa,a aplica r la esrrat.-g ,a?
5 ¿Cómo la ...uareg ia .WolllC""li y coo,dinara a los adrnu1ostradores, las p'''l es interesadas, persona (s) te5jlO/1sable
de problemas de seg uridad de la Informaoi6n ~ las persona(s) ,""",,",sables de la comunicacór1 inte<na y externa
de la organlZac""?
6. ¿Cuáles son "S II tMes k>ca",s, , ~rona l es, nac..na les e ínternacronales para la ewategia?

Una vez definida. ta estral.-g ia deberla ...r a probad. por la alta direccón y, a conbnu""ór1, " Uizada cc:mo base pa ra las
aCtNodadM <le romunrcac>:'in de la segundad de la informacór1 de la orga nizac""n

CO PECe _... _ · _ _ , . . . ., , . . . _ ; 0 "


Las actIVIdades de comw'llCación de la seguridad de la irformaci6n de la organ ización dept'nden
de los recursos dislxmi bles. La estrategia de comuoicación de la seg uridad de la informaco6n
deberl~ ind w la ~SlQnación de recursos h\.Jr¡¡j ros, técmoos y fl nanaeros, las responsabr lidades y
la aLJIorrdad, y accIOnes defrrudas. Deberlan tenerse en cuenta las experienc ias y necesidades de
capacitación de sus empleados

Cl PECe _... _ _ _ .... ' .. , , .. • _ ;0" ,' ,


SecCIÓn 16 Plan de comunICaCIÓn

2.6.2. Identificar las Partes Interesadas


y la adaptación del plan de comunicación

Medio s de
c o munic ación Pro veed ores

Empleados ~..., Inve rso res

Comunidade s Clientes

"'''
B COtnp-umso con las partes Interesadas COnstituye una oportunidad para ~ una o rgarnzación pueda
oooocersus problemas e InqUIetudes. puede IIe~ar a que el OOIlOClmienlO sea adquirido por amoos lados y
pueden irllUlf en las Dplf1lOf1eS y percepc>ones Cuardo esu\ b.m hecho, p;ede lener éxno un
p,amearmenlo concreto y sallsfacer las neceSIdades de la orgarúaclÓn y las partes Interesadas

En a lgunos casos, I<Imb;én es importante en las com.ricaclOnes COf"O"Xer el patr6n de com lSllCaciones o el
comportarruento de cada parte WI1eresada (o grupo objetr.o) E l ..-ocesode COfTlUfllCaclÓn ~ efICaz
Impl ica el COt1!acto permanente de la orgar..:zack>n con las partes Interesadas it1!ernas yeldernas. Ccm;)
parte de la estrategia 910001de cormnicack>n la organlzack>n

Al desarrollar la estrategIa de com lSllCación de la segufldad de la lrtormaclÓn y establecer e>qetIVOS. la


organIZación deber la Iderdlcar las partes Interesadas Interres y eJ<Ierrws que han e~p;esado su Interés en
s us actividades, prod-.wJs y servICIOS También deberla ident ificar ouos poSibles IflIeresados con los que
desea comunicarse en el logro de 106 objetIVOS genera les de la est rategia de corruJnlcac lón de la seguridad
de la informacIÓn

Cl PECe _... _ · _ . ... . .. , , .. . _ ;s.


SecCIÓn 16 Plan de comun ICaCIÓn

2.6.3. Planificar las Actividades de


Comunicación
Claves para el é)(ito

• Una organización deberla decidir qué es lo que pretende


conseguir con una actividad de comunicación de seguridad
de la información

• Se deberlan establecer objetivos compatibles con los


objetivos de comunicación de seguridad de la información y
que sean específicos, mensurables, alcanzables, realistas y
con plazos

• Esto permitirá que la organización evalúe la actividad de


comunicación de seguridad de la información y determine si
el objetivo se ha cumplido, o no

• La organización deberla prever problemas de seguridad de la


información de interés para las partes interesadas
"'''
Las organIZacIOnes suelen enc~", r una serie de actrvod~des de comunICación de seg ur od~d de la Inlorrnación en l.
e¡eruci6n de su plan de corrunocacón de la seguridad de lB información. AJ ""a nz.a r M la esllale9ia V Obje!fY05 de
cornu ni<:ación de wgund~d de la onlormadón. deberi ~ n de5arrollarw ~ctrv\dades de COIn.Irucación de seg uridad de la
.,fOl1t'la66n especificas. h>nIendo en cuenta ~ rema de la se~urodad de 11 informaa6n., los ll miles geog ráfICOs V las
partes Inter ..... du

8 desa rrol., o la mejora de la actJvidad de corro.," ""'o:;i6n de segurKla<J de la ioIormaClÓn """",,nza eoo una
comprensiá1 del contexto de la corroJnicaci6n.
En el a n ~ti~ de la &~uacón. loo lema. que la OIya nización deberi a conSIderar Incluyen loo 5Igulentes
a) Identficacón y comprenslOn de los ~ """S de pl eoc upación de las pal teS intere""das:
b) Las expeclillJ\las y las peo-cepciones de las pa rtes onlelesadas """,,:a de la orga nización,
e) Sens<bilizac>6n de las partes interesadas, ta les romo lBs comunodades locales sobre la seg uridad de la
onlOl"""'OO:
d) Los medios de c:oroo nicaci6n y las ""tfYodades que han demostntdo ser moIs elicaces .. n '" comunicacón ron las
¡>a<!esl nteresad •• en s~ u ""rones SI""lares;
e) Idenlilicación de los Hderes de Of>Inión y su onfluencla en cuestIOnes relllllVas a la coroonlCaC6n de seg uridad de
la inlormación;
f) Imagen ~b l ica (o in~ rna) de la orga nización en un tema especilico;
g) (J~I """$ novedades y tendencias en lem;>$ de seguridad de l. inlorrnadón relBCIOIIiIdos con el contexto
......",IIico de la OIgan izaclón

A la hora de eva luar el contexto para una actrn<Iad de comu ncac6n de segundad de la inlormación, tamb.." es
Or.port¡r nte conSIderar los po5ibles costos y coosecuer>das de ,.., comu nicarw Estos pueden ser tangIbles. a Ia r\lO
plazo oostar más que la romunrcaclOn de ~ urid ad de la inlormac6n y t a _ Imponer OI ros costos en la
organlzacrón. por eJemplo. d¡r/ioo; ~ la ... putacrón

Al pl an~;:;a r una actJvldad de cOIIJ.InlCaClÓn de ~unda d de la onlormoclÓn, la OIga nizaci6n deberia odentdicar los
grupos objetivo denlro de lBs partes interesadas. Una buena oomun.,ac>6n Implica una gama de po:<iI>les grupos
de5~ nataoos

No es raro rdl!<1ti6car conlhctos de intereses entre los dder.nes grupoo. de destinatario!;. Como resultado de el." las
am.O::Iades de comun.,,,,,ón de seguridad de la informaCIÓn necesita n abordar y respon<ler a las dilerl!<1tes y a
"",nudo contradk\ooas exigencia~ de los grupos deSDO"ta""". en partrcula r ~ aquelbs que son les más inlluYl!<1te& y
que pueden afectar negal"'a mente bs resultados de una activO::lad de comu nk:ac6n de la seg uri<!.1d de lB informaa6n

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; 0 "


La orgamzaclÓn debería preve r problemas de seguridad 00 la inlormación de Interés para las
partes interesadas Esto le ayu<1ar;lJ a ertoca r la recopilación de U"tormaClÓn de seguridad 00 la
IrtormaclÓn sobre impactos y oosempet'J:l de sus prexluctos, servidos, procesos y ad lvidaoes
83sado en los ~ell\llJS esta blecidos para una actMwd de oom.trlCaci6n de segu-ldad de la
trtormaclÓn, pueden ser seleocronados o generaOOs datos e irtormación cuartilabvos y
cua l i tat i \IIJ~ DIcha Información deberla esta r alineada con los est;lJndar es y directrices actuales
soto"e el rendim iento de seguridad de la informació n y sob"e los IrKkadores de rend lrnrerrlo

Cl PECe _... _ _ _ .... ' .. , , .. • _;0" ,' ,


SecCIÓn 16 Plan de comunICaCIÓn

2.6.4. Realizar una Actividad de


Comunicación
Métodos y helT'llmientu de comunica ción

S~io Web MIoJIos ele prensa E""-"'Sla5


I
,~,
Comunicados ele prenu I Vi5ita5 guiadas
a la organiaci6n
I
Anundo.
I '''M
y Coof...encias
I
Re<JtIIones pUblicas
I Entrevista. oon io5 rne<lloSI

Correose~ Grupo ele e!1foque


I Presentación a io5 ¡¡rupos I
"'''
B enfoque de I ~ organIZaCIÓn par3 la comunrcaCKln de segundad de la InformacIÓn est~rá influenc iado por
SI quiere consulta r, entender, informa r, pers uadir ylo comprometer la partlCiplOCIÓn de los gr~s
des\lnatarlos

Es im¡xlrtante tener en cuenta que la oom..tnicaclÓn de segu ridad de la Información es un plOceso diné rrico
y q ue hay un cambio eonnmo entre los grupos destinatarios y denlro de las orga nizaciones.

A la hora de eleg ir los enfoques de la comun icacIÓn, es imp:xtante considerar las necesidades y el grado
de Interés que los grupos dest wl3w rios que partiCipan e n la actIVidad de como.ncaclÓ n lle nen e n las
eLll'S\lo nes obJeto de la comUfllC¡jCIÓn F'Il r otra parte, es igua lmente ImpOrtante COr15lde rar el nivel de
actIVidad que la organtzación desea en s u comunicaclm Existe n d iferentes ertoques de la oornmicación
en fu0ci6 n de SI la organiZación y los grupos des\lnatarios son actIVOs o paSIVOS, y en ¡"""Ión de los
~etIYOS de corTJJl'l lcaetón de sego..-iOOd de la lriormación de la orga nl;!8ClÓn, los grupos destlnataflOs y
bs recursos de la empresa disponibles para la corrnncaclÓn

Una organIZacIÓn deberia adapta r la Irtorma<:lÓ n que prOp:JrclOfla , e n COfISOflilnclil con la planrflCaclÓn
lrWcial, a los grl.p)S desllnalarios, La tnlormaClÓn deber la
a) oons iderar aspectos de oomponam ienlO y los Intereses sool~les, c<Jto.nt Ies, eóucativos, económICos y
poH\lcos de los grupJS destinatarios,
b) utiliza r e l lenguaj e apropiado,
el hacer uso de Imágenes Visua les o medios electrónocos, en la meojOO de lo posible Y
d) ser compabb1es co n el rr$odo seleCCJQnado y, cuando corresporxia, oon iriormaelÓn sobre otros temas
de seguridad de la irío rmación preViamente comunocados por la orgarllZaci6n

Uoo organtZaclÓn puede desear probar sus medios de Sum iniStro de InformacIÓn antes de realizar
cualquier comunicaCIÓn pUblica La irlYestlQ3Ción de la opmón que se centra en las pruebas de acceso a la
IriormaclÓn puede ayl..da r a lderi ificar las áreas que necesnan más ex plicaCIÓn o aclar3ci6n, cuestklf'les
clave, c uestoones que deben abo rdarse, etc

Cl PECe_ ... _ _ _ _ , . ' .. , , .. . _ ; 0 "


SecCIÓn 16 Plan de comun ICaCIÓn

1. Silio web: ~io de comun.,aaón ~ !rón., a , """"sible en ' nea a todas las partes irrleresadas e.te rn a ~ e
"t~s
enlae~ a srllos _ b donde los usuarios ~e n envlO r
Pueda inc lu n inf0rme5 d.".". r\j8 bles, material educa""", o
5<JSc:.<>menta rios a la 0 '9 a n izac~ n
Ofrecen un gran potencial para liegat a muchas pe,so,,"s en fTIl.'CI>o5 aspectos (~ pa ra ofreoer HIforma<:ón
personalízada)
Fae , de actualiza" con potenc ial de gene,a, como.rn.caa6n de dos "las

2, In fo,m~ P,esentaa6n ccmpleta de e o ~omso y rend imoento en un a se,ie de cuestiones flrndamenta l..... Los
extractos o resli menes de esos informes se pueden ir!elJir en otros med ios de ro,,'.m koa<:i6n de la o'ganizaoOn, por
ejempla los informes financieros
Oportunidad de abordar ,""OS temas en profundidad. Enfoq"" Bás<Xl para conSl r u~ confianL1 y cred,btlidad
Cres n transparenc," rnterna da todos los temas im¡>ortantes de una organlZaco6n
TrabaJo dwo par a produ e~ ~ pueden ser d i fle'~ de actual.. ", con frecuencia .

3. Malerial impreso (folletos, boletines informativos): Un bre,,,, ',,",," me<1 de las rnsta lac"nes o proyectos
espec ifioos de Interés, ios lemas cta." y cómo las personas pueden pa ruapar
Informa y ma ntiene "inculos con las p'''tes interesadas
Puede cutlf ir un solo problema si es neoesan"
Barato y rápido de producir
Informa a gran numero de personas

4. Afiches I Anuncios: Una desaipcón de un proyecto, por"e""" de relie'Ye las cuestiones y ubicados en un luga r
público
Proporcionan informa.::ión gene,,,1a un costo relatrva_nte baJO
Dan onformaa6n., en lugar de recib< r
Ma nbenen los aspectos principales. U...n fOlOS y mapas. Se pueden actualizar de forma ,egul.,

~. Correo electrónico: Método electrónico de emlo de información y mensajes


Ofr Me la oponun <lad de e"" ia' copias eledrón>cas de las publ>oaciones Impresas en papel
Barata y fae. ma nel a de que las personas puedan en" ,", y recibi l mensajes e rnlorrnac m.
Inte",amb" ,apido, la difus.,n es onmM iata
Oportunid ad de llegar a un g,an nu merO de perSOnas lápjda""'nte
Tener en cuenta que es posible que los """'sajes sean e'minados antes de la lectura si la ¡¡ente pre..... q"" es
de poclII l mpo ~ ancia
Al eMra, archivos adjuntos, a""9u,arse de qbe el destonata r., uene ac.ceso a !<OItwa re """"",tibie

6. Medios de comunicación J Aruculos da prensa ; El< pic.a n las caracterl 5licas de una ",sta lación o proyecto
Pueden Ilega l a un afT1'lio pUbf<Xl.
Convenientes pa ra &1 p(rblico
Bu~n vehl culo dodác!JCo.
Probable de ser editado por el pe' iód>co, de taltor"", que sólo se cuenta una patte de la historia
Los medios de como.rn.,atión Iocal~ y nac ooales ~en req""ri' en/oq u..... esbIo y nivel de <letale diferentes

7. Medios de comunicación I Comunicados da prensa : La .,formacm se p,epara y diWibtJye a " 5 med ios de
COIJ1IJ nicaeión pa ra su uso.
Un medio efectNO Y ba rato pa la obtene, publicidad e """rés.
• Los medios de comunlC./lcm no rul>rrin a menos que la hrsto"a sea considerada noI",a

B. Medios de comunicación I Publicidad: Pagada para mater ial promodona l, por e,emplo un anu """, en un
periOd>co y/o pauoonio de una sección (come el "informe espee", l" d&l peliód"" regiona Q
Alcanza a una g,a n aud iencia
Puede ser costoso. Puede ha be, tiempo de vida li m tado
Oportunidad li mrtada para desc libir cuestiones compieJas.

9. Reunrones publicas: Una manera de presenta r ," info"","" """ a """"'arrba, opin"",es. COn!;ta de presentaciones
y sesrones de preg untas y respuestas o un testrmon" tor "",1 con el t iempo ca lcu lado
Aborda una agenda o aspecto de proye<U> concretos.
• Vistooomoconsulta l eg l ~ ma .

" PEC8_"'_·_.,~.~_"., ,... _;0"


50
Inlorm<lcioo p.-ovist~ 3 un nUmero de personas relallVamente grande Los costos son baJos
Las We racciones pueden st'r li mitadas. No ga rantIZa que tooas las Opr1lOnes sean
escUCMdas
Puede convertirse e n una errotiva oorrpeterlCl3 de gritos
La minorJa ql.\f! habla IMS fl.\f!rte p.Jede do mna r
UUliza r un pesidente IndeperKIlente y/o un facilitador/moderador si es posible.

Cl PECe_ ... _ _ _ .... ' .. , , .. • _ ; s " ,',


SecCIÓn 16 Plan de comunICaCIÓn

10. Grupos de enfoque : Re Ufió n con un peq-.el\o grupo de partes ~eresadas con antecedenles
sImila res (por ejemplo, los fUr>OlOrlanos del gotlemo o residentes) pe ra d i....ulr un tema en pertlCoja r
Permrte el li bre intercambio de Ideas. ya que los ¡:erucipanles se sienten a gusto con sus compal'leros
A merodo se ~ede llega r a un consenso sobre las cuestiones mis importa ntes
Ueva ITJ.ICho tiemp:>lievar a caro gflJP'Js de enfoque con las partes interesadas más Imp:>rtantes
A menudo es mejor LJiliza~o desPJés de LnaS ertreVlSlas inicia les con las partes inte resadas a fin de
Ident ificar los p1r>Olpa les problemas que se pueden plantea r

11. Encuestas: Los cuestionarios oj ilizados con las partes interesadas (pueden ser llevados a cabo por
Lna Org<llU<lClÓrl Independiente SI se considera I1l'Ct'sario) para recopilar Irformaci6n demográfica de los
ercuestados e Indica r sus problemas y preocupacIOnes
Muy út il para LJllizar en los casos en q..e la empresa tiene la intención de estal:jecerse en Lna
comunidad o si se considera un cambio importante en las oper3ciones
Suero también para actU<lhza r con cierta frec..enc l8 (por ejemplo, cada 2 anos)
Las encuestas p.Jeden ser intertSNas en cuanto al trabajo que implican en fl.O:)Órl de la complejidad
del CuestlOllaro, la forma que se hacen las preguntas (person<llmente o a través de la web p:> r
eJemplo), el rUnero de personas de la muestra y el número V el tama l\o de las areas geográl lCas
elegidas
Las encuestas PJeden realIZarse de p.Jerta a puerta o por teléfono Tarrbtén pueden hacerse por
escrito o se PJeden rea lizar a través de Internet

12. Visitas guiadas a la o rganizació n : Las visitas ofrecidas a los grupos de des~no a áreas o
Wlstataciones de Interés para la org<l nizaci6 n
Br lrdar la oportunidad de un contacto cara a cara entre el personal de la orgamzaclÓn y los VISitanles
Permrte la oporturidad soIxe e l terrero de mostrar las actividades de la organización
Puede ser Interpretado como un e¡erclCio de relaCIOneS pUbhcas SI sólo se muestra n las cosas toenas
Es li mitado en cuanto al romero de personas a las que llega por e l esfuerzo .
Puede ser costoso requ¡ere mlXhas horas de trabajO de l personal Deberla oonta r co n conxlmenlos
especializados del personal

, 3. Talleres y confe<enc iils: Eventos de d iálogo


So n oportunkl~des p¡!13 una ilmp i~ gama de partes interesadas, ~ fin de exam inar las Ideas,
preocupaciones y problemas
Pueden ser m..y prodlXtMl Y lit ll para llegar a un consenso sobre las CuestIOnes de alta prioridad
Se puede consumir mucho 1IempJ en la orga nizacIÓn para g<lrantizar que Lna buena oombtnaci6n de
partes interesadas esté presente.
Genera lmente es mis eficaz rea lizar un evento de este ti po desPJés de entrevlst~s o gn.1pOS de
diSCUSIó n p¡!13 proporcIOnar Inlorm<lClÓr1 sol:te el tlp:> de CuestlOlleS que se pueda n plarnear

14. Medios de c omunicació n I Entrevistas en la radio: Programas de corta du"aclÓn por lo genera l
destinados a debatir o responder a cueS\lO ne s concretas O eSllechas
Gana l pa ra ll egar a ITJ.IChas person~
No es posible controlar las preguntas que se harán
A mellOS que la estación de 13dio permK~ a los oyentes ll amar por teléfono, es dif ic~ tener cualquier
tipo de intercambio
Conserva n los mensajes claros y n ~idos, y SlITlples
Dar estas ernrevistas- si se considera que alguna decr5lÓn Importante pueda ser de lIl!e rés para 13
comunidad en general

1S, Presentación a los grupos : ConversaclOIles con los grupos Interesados, por lo genera l Lna breve
presenleclÓll que es Sf9JKIa por una sest6n de preguntas y respuestas.
Puede ser uti lizada para grupos rotemos o externos
Los grupos ~den ser objeto de ataques, la oormaci6 n p.Jede ser adaptada pil13 satisfacer
necesidades del grupo, V la informacIÓn puede ser tra l16fe<KIa 11 los demas

Cl PECe_ ... _ _ _ _ , . . . ., , . . . _ ; 0 "


Prop:> cclOflar matena l esenio par3 ser considerado antes de la re uni6 n
Dejar malena l escr~o pa ra llevarse a casa

Cl PECe_ ... _ _ _ .... ' .. , , .. • _;0" ,' ,


SecCIÓn 16 Plan de comunICaCIÓn

2.6.5. Evaluar la Comunicación

• Una organización deberia permitir tiempo suficiente para


que la comunicación de seguridad de la información sea
eficaz
• El tiempo necesario depende de la naturaleza de la
comunicación, el número de partes interesadas y sus
preocupaciones, y el tipo de soporte utilizado

• La organización deberia revisar y


evaluar la eficacia de su comunicación
de seguridad de la información

"'''
Una orgarua<:1Ófl debe rla pennnrtir tiempo S\Jiclerrle pera que la cormncaClÓn de segLfI(jad de la
Irtormaco6n sea eficaz. El tiempo necesario depende de la natura leza de la comunicación, el nllnero de
p<lrtes Interesadas y sus preocupe<;>ones, y el tipo de soporte ul ilizado La orgaro'zaClÓn deberla revisar y
evalwr la efiCacia de su comunicacIÓn de segun<jad de la InlormaCloo

Al evaluar de la eficacia de la comuooació n, la orgaruaciórJ deberla tene re n cuenta lo siguoente


a) Su polltlCa de '>egLSidad de la infonnna<:IÓn,
b) cómo ha aplicad;) los principtOs de la eoI'nlSlicación,
e) s i se han logrado sus objetivos y metas,
d) la cahdad y la perti nencia de la InlormaclÓn proporeioreda a los grupos dest inatarios y la actIVidad de
COlTllnicaClÓn de seguridad de la información ;
el la lorma en que se llevó a cabo la corm.ocaClórl de la segLSidad de la lriorrroción;
f) las respuesta s de las partes Interesadas,
g) si el programa de la comunrcación ha fomentado un di¡ljlogo eficaz y frudl fero con los grupos
destinara 'lOs:
~ ) s i los procedllluentos y el enfoque l ueron transp<l rentes:
1) Si la oomunocaclÓn de la seguridad de la Inlormac;ón abordó las necesidades de los g~
deslll1illa rlos:
J) s i los grupos desllnatarios saren que se les ha escudlado y so n conscientes de o6mo fue utilizada su
opinión;
k) SI grupos dest inatariOS er1endieron el propósito y e l contemdo de la COITllSllCaCión de la segLSodaa de
la lrlform<K:lÓn:
1) si se rroporClOrIÓ un seguimiento adecuado de las cuesltones planteadas por los grLp:ls objetIVO

Cl PECe_ ... _ _ _ . , . ' .. , , . . . _ ; 0 " 52


SecCIÓn 16 Plan de comun ICaCIÓn

Comunicación y Reportes

Ejemplo de un formulario

---
--
-_
NootJltü" , -,

- ....
,' v ' D.. l

"'._,
--
_PI _

,,,s

Cl PECe _... _ _ _ . ... ' .. , , .. . _ ;0" 53


SecCIÓn 16 Plan de comun ICaCIÓn

¿Preguntas?

.,"
., \ ? '
!J
" ;;-.JJ " f~ I
?
?• , '\ p', ?
~
"

"",

Cl PECe _... _ _ _ .... ' .., , ... _;0"


"
SeoclÓn 17 Pla n de capaCllaCló n y sen~,bi lizaCló n

Capacitación Implementador Lider ISO


27001
Sección 17
Pian de capacitación y sensibilización

a. Definic ión de fas compo!onclas y l. capacitación


b. Diferencia antro capacitación. sonelbUlzación y comunicación
c. o..flnir notc&!lidades de capacitación
d. Dise"o y planificación de la capacitación
e. Provisión dala capacitación

1. EVlluaclón de 1011 resultadoll de l. '''':,,'':~'''iJ;~;:::tj:

"'''
Objetivos princ ipales
GarantIzar la competencia de los ir1>'oIlJCrados en las operacIOnes del SGS I
ConClent lzar a los actore'i de la organl¡:¡¡C1Ón sobre los desaflos de seguridad de la informaCIÓn y
garantIZar la adopción de comp:lftam ientos deseaoos en ese camp:>
Irtormar a los lnI.eresad05 de la orgarización acerca de las acciones. mejoras, cambios relacionaros
c()fl la gestIÓ n del SGS I ca n el rfVel de deta lle apopado,

Un programa de seguridad de la informacIÓn ro puede logra r S(J1; obJetNOS sin el compromiso de todos los
Interesados , Ya sea que esté ' r1>'oI=aoo un actor onterno (emplearos. eJecutIvos, el sirdicato) o uno
e~t erro (che ntes. proveedores), la formacIÓn , la cordent izaoon y la OOfnlJ'lOcaclÓn son cn,¡::lales para la
eXllosa ,mplemertación de l SGS I

Un uSUólno que ro ha sido debidamente Informado, capacltaoo y con<:ienlizado de la Importancia de la


seg.Jl"idad de la información es un riesgo potencial pa ra la seguridad de la o rganización y por lo tanto sus
¡:mcesos de negocIO Los Incidentes de segundad de la inlormac¡(ln debidos a errores de man'p.JIaClÓll o
comp:>rtaroento p.Jeden 5ef redo.r;ido al mlnomo o evnados media nte la apllCaCloo de lJI"l riguroso programa
de capacitación y sensibilización sobre la seguridad de la inl'ormación

Pil rece necesario desarro ll ar y ditundir un programa de capacrtació n y sensiblilZaClÓll para los Interesados
Éste puede cortnbu ir al éXIIO del proceso de gesllón de seguridad de la informac:i6n en la orgar..:zaclÓn

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; 0 "


SeoclÓn 17 Pla n de capaCllaCló n y sen~,b lizaCló n

2.5. Plan de Capacitación y


Sensibilización
1. Planificar 2. Hacer 3. Verificar 4. Actuar

,,"-"'
~.-
.
, .~"

,,,e
Objetivos p.indpales de este pno

1 Asegura r de que todo el persona l al que se le hayan asognado responsab lidades defirodas e n e l SGSI
sea competente para Uevar a cabo las tareas requeridas
2 AseglSar de que todo el persona l arectado &ea conscierie de la trascendencia y de la IflllOrtancia de
la seguridad de la irlorm<lclÓn y de su contritu:lÓn a los ot:;etivos del SGS I

56
Cl PECe _... _ · _ .... . .. , , . . . _ ; s "
Secció n 13 Competencia y sen~,b lizaclÓn

Requisitos de la Norma ISO 27001


Clausula 7.2 Y 7.3
7.2 Competen cia
U~_I
al ~I_'" eompolencio - " ' " " <lo talll peroor¡o.(ll q"" ",.kun "" \rlOI>;oJo Dojo 1(.
conIrOI que alecta .. ~ Io <18 .. oeguridad <18 .. infurmati6n:
DI _"''''"'' <18 _ .. tal persor1"" lOIl compele/1lel sobre lo Do. . óe "ni _
apropII<I;1. c.apaci!oci/.>r1 <> "_neio:
el ""andO """"'pOnd~. lomO, medida. p.ara oojquiri<" camp<!l<rncio """". . , ... y ... .... , ..
eIrcodI óe ... medid"" l<IOpIadIoI. ~
~I rnanItI"",
adecuad. inf<>rrrlaciOO ~tado CQm<l .....n..ocur <18 "" camp<!tenci&.

NOTA. \.as aoOoo •• ~. ~ 1r><IuIr. por ejemplo el .......... ~O óerorm_ p¡n"


ILIIOOa do. <> la ...-;¡¡nociOO do los ompIoadoo. <> loo coolrallldón " _ oonlnrtación do
perOOf"W compe\eo11e-O .
7 .3Sanslb lllr.ac IOn

"11_"''' .,_.
UO ~ q"" fllllliun hbajoo en . 1OIlnIrOl "" lo or~.""_ <le~'n ... _ .... cuento:

-
. ) .. poIfbca do
D) "" coo~_ • l. efQcia del . .. ...",. o. !lOolió<> "" M9ulÍtla<l <le .. ir>Iormación.

Los t>eo ..1ic:ioI <18 "" ~ lMjoraoo .... oegurida<l <18 loo informociOO: y
o) la """""","ocias de .. no collfl>",idad con los ""'.-.- del .is!<>ma de \IM- do

,,,e oegunaa<l ao .. ir>!otmadorr

Una o-rgarua<:i6n que qUIera cumplir con la norma ISO 27001, deberá como minlmo
t . Identificar las competero:::oas necesarias para garantizar e l correcto funclOl"lallliento del SGS I.
2. Implementa r un p-ugrama de capaclUlción para el persona l que realIZa trabajos que afectan al $OS I
3 Implementar lS1 ",ograma de con-;:lero:::iaCJOn sobre segundad de la lIlformación adecuaOO a los
dist intos parllclpantes
4 Implemertar un programa de COITll.lllcación para Informa r a los Interesados del SGSI sob"e los
cambios que los puedan afectar
5 Eva luar la eficacia de las medidas adoptadas y mantener registros.

57
Cl PECe_ ... _ · _ .... . .. , , . . . _ ; s .
SeoclÓn 17 Pla n de capaCllaCló n y sen~Ib l izac>6n

Competencia y Sensibilización
ISO 9000 , clausula 3.1.6 y ISO 10015. clausula 3.2
.. ---.. _--
/ "
-
--_ C<mlexlo
Competencia
• Capacidad
demostrada para
aplicar conocimientos
y habilidades
//"
de

Capacitación
-;----Proceso para proporClOf1ar
y desarrollar los
oonoc.imientos, las
habilidades y la cooducta
para cumplir con los
~QS _ __

"',.
Un ¡:(oceso de capacnac lÓfl planificado y slsterrotlco puede hacer una contribJe ,ó n im~ nte en la tarea
de ayudar a una orgaAzaCI6n a mejO rar sus capaCIdades y pa ra cumplir con sus ot:jewos de corionuidad
del negocio

Una adecuada participación del personal cuya competercia est.'J en desarro llo. como parte del ¡:(oceso de
capaCltaclÓn. ,...ede resu lta r en una sensacIÓ n persona l de mayor sentido de propedad del ¡:(OC>eso, co n el
resultado de asum r más responsab lidades p¡lra asegurar su éxno.

Cl PECe_ ... _ _ _ .... . .. , , .. . _ ; 0 " 5.


SeoclÓn 17 Pla n de capaCllaCló n y sen~,b l izaCl ó n

Capacitación, Sensibilización y
Comunicación
Diferencias

Capacitación Sensibilización I Comunicación

Adquis1ci6n de
Cambio de hAb~os ESlar inlormado
habilidades

Dirigida principalmente a
Dirigida al mleleclo las emociones y el Dirigida al intelecto
COIl'IpOrtamiento

¿Qué comportamiento
¿Qué habilidades ¿Qué mensajes
ql!f!<f!ff'IO$ refor:zar o
tienen qut! adquirir? enviamos?
cambiar?

"'''
La g ran diferenc ia entre la loona<:1Ón y la conclenbz¡jcl6n es que la capacRa<:1Ón tiene por ob¡el0
proporcionar los conocUTlie~OS pa ra pefmili r que la perrona ejerza sus funciones mientras que el oqetrvo
de ooncten! iza r es centra r la a!enclÓl1 en un Interés individual o una sene de asuntos sobre la segundad

La comunicación ayuda a ,rtorma r a los ,n!eresados sobre un tema determinado

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; 0 " 59


SeoclÓn 17 Pla n de capaCllaCló n y se n~,b liza Cló n

2.5. Plan de Capacitación y


Sensibilización
lista de actividades

- .-
1_ C ~IOOC
,- IJ
2, s ~ Dose/Io

,,,.
Lista de lu ltCtividades incluidas en la metodologr~ IMS2 de PECa con la correspondiente entrada
y salida

Entrada
E~t rudura orga.uativa
Po l klC~ de segund3d de 13 InformacIÓn
Po lttoca de Recursos Hu:'n ~oos
Informació n sobre la~ poi ~i cas y procedllnielllos
Controles de segundad
Programa actua l de oo rnmicación y formación de la orgar"kzacl6n\lab

Actividades
l . Definir las necesidades de capac itaclÓl1
2. D ser\o y p\<I nificaclÓn de la capacnación
3 ProviSlOn de la capaal30i6 n
4 Eva lua ción de los resultados de la capacitación

Salida
Programa de ent renamiento
Programa de sensib hzación
P1a n de c~pacrt acr6n y sens ibilizació n

Cl PECe_ ... _ _ _ _ , . . .. , , .. . _ ;0" 60


SeoclÓn 17 Pla n de capaCllaCló n y sen~Ib lizaCló n

2.5.1. Definir las Necesidades de


Capacitación
ISO 10015. clausula 4.2

Al\ills
I~$ ",,~s,d~
o anl.

""',
necesidades

"'''
B proceso de capacitación detena ser IllCiado después de que se haya rea li zado un anahSls de las
neceSIdades de la orgarización y que han sido registradas las cuestiones re lacIOnadas con las
competencias

las pomicas de conlmuidad del negocio Y de formació n de la organ izacIÓn, los requisitos de la gestión de
la canllllUldad del negocie, la ges\l6n de los recursos y e l d iseflo del prooeso .:!ererlan ser considerados al
IfKia r la capac itacIÓn para a5eglSa r que la capacrtaclÓn requerida estará orientada a satisfacer 135
necesidades de la orgal1lZaci6n

Los reqUlS~ de competenc ia det:ería n estar doco.mentados Esta documenlad6n puede ser evaluada
peri<ldicamente o cuando sea necesa rio , cuando se realIZa n las asignaciones de trabaj o y es evaluado el
rendimiento

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "


SeoclÓn 17 Pla n de capaCllaCló n y sen~,b l izaCl ó n

Evaluación de las Habilidades Necesarias


Documentar las necesidades de capacitación especificas por

Función A
-
Función B

Función e

Función O

Función E

,,,. Experiencia ConOCImiento

La orgaruación deberla determi nar I ~ competenc ia necesana para cada una de las tareas necesarias en
la ge!lbón de las operacIOnes del sistema de geslión, eva luar la competencia de l pe rsonal para realiza r la
ta rea , y desarrol lar planes para cerrar cualquier bre<:ha en la competencia que ~da e~lSt"

La delin;:;i6n deberla basarse en un analisis de las necesidades de la orgaruación presentes y esperadas


en comparación co n la competenc'a de su personal e~istenle. El obJetIVO de esta fase deberla ser;
a) ~fl nor I3s d~ erencias entre I3s competencias requeridas y existentes,
b) ~fi nu las neces,~ de capac~ ación de los em¡jeados cuya competencia eYisten!e no eoi ncide
oo n las competencias necesarias para rea lizar las tareas. y
el Dxumenta r kls necesidades de capacitaClOn especificas

El ar1i!l lisis de las brechas entre las com petenci as requendas y exIStentes deberla ser llevado a caoo para
determina r SI las d~erencias pueden ser cerradas por la capacnaclÓn o SI ~ rla n ser necesarias otras
acciones. ~berla realizarse lX\a rev isión peOOdica de 105 documentos que Indica n las competencias
necesarias pa ra cada proceso y los regIStros que listan la competencia de cada uno de los empleados La
revISIÓn t'ene que ve r can los reqUlsrtos de la tarea y el desempel"o:l de las tareas

Los métodos utilizados pa ra exami nar la competencia poQ1an Incluir los siguientes
Entrev istask;uestlOllarlo5 con los e~ados, SupervlOOfe5, gerentes,
Otlserva ClOnes ,
DlscUGlOnes grup<l les; y
Las aportacIOnes de expertos en la materia

Cl PECe _... _ __ _ , . . . ., , .. . _ ; 0 " 62


SeoclÓn 17 Pla n de capaCllaCló n y sen~Ib lizaCló n

2.5.2. Diseño y Planificación de la


Capacitación
ISO 10015. clausula 4.3

• Cuarodo se 5IIIe<;ciona Lln.O


50Iudón <le capadtaoOn ~a
cerrar la. brechas ele
<»In;>etenCIa, cIet>et1an ser

-
es.pecrIIc:adn y documenta(lat
las nece$ld.a(lon de

• Deber1an e<lIJfIlOIrar ... los


pO$IbIes métodOI ele
~ 8 fin de S81isf&eer
las necf!O!dades de formación
La 1<>rma ot<!8oJada de
capaataciO<1 depenoofa "" lo.
1'eOJf$O$ eno.neradOll. las
limit&dones y objetivos

"'''
Las solu<:oones pa ra Cerra r las trechas de competerPCia puede n ha ll a",e a través de la capacrtaci6n y ot ras
actrvldades de la orga nizacIÓn. tales como el noJeYO diser'WJ de los procesos. la contratación de perSOn<l 1
totalmente cualil i<;ado, la COIl!rataclÓn eKlema, mej<lra r otros recursos, la rotacIÓn de los pueslos o
modificar los procedimientos de trabaJO, CuanOO se seleccion<l una solució n de CapacrtaclÓn para cerrar
las brechas de competenc13 , deberlan ser especificadas y d<XLmentadas las neoesidadesde capacrtación

La especilicaclÓn de las necesidades de cap.mlaClÓn deberla doco..menla r los objetNOS y los resultados
esperados de la capacnación La entrada a la espec' icaclÓn de las necesidades de capacitacIÓ n deberla
ser propo rcionada por la hsta de requiSItos en matefla de oompetenc la de la organizaCIÓn, los resultados
de la l orrreción reciboda, las b"echas de competenCIa act w les y los pedidos de medidas correctivas Este
OOco..mt'nto deber la ser parte de la espec ificacIÓn del pla n de formaCión y deber ía inc lUIr un registro de los
O;;,elIVOS de la orgarlZaclÓfl que se considerará n corno entradas para el diserto V planifICación de la
lormadÓflY de la vig ilanc Ia de los procesos de l ormaclÓn,

Deberlan esta r en la li sia los posibles métodos de capaC ltaclÓll a fin de sabsl are r las necesidades de
l orrreclÓn La forma adecwda de capaCItación dependerá de los recursos enumerados, las hmnaciones y
los O~t NOS Los métodos de CapaC itacIÓn pxlrlan inclui r
Cursos y ta lleres e n e l rnsmo o en otro luga r
Ap-end izajes,
Eri refl<lmtento y asesora rnento e n el puesto de trabaJO .
La auto-formactOn, y
Ap-end izaje a di1>ta""a

De berlan ser definidos y doco..mentados cmenos pe re la selecdÓfl de los métodos adecwdos, o para la
oombtfl<lción de métodos, Estos puede n irPC lUlr-
Lugar yfecha,
Insta laCIOneS
Costo;
Ctjetrvos de la capacitación
GnJp:l objet iVO de alllTTlfVJS (p eJ p:lSIClÓn profesiona l aet ..... 1 o prev ista y oorocim lentos espec HICOS
ylo la e~pe"encia, nú mero máximo de partlClpentes);
DJ raci6 n de la capacitacIÓn y la secuenc13 de la implementación , y

Cl PECe_ ... _ _ _ ••• ' .. , , .. • _;0" 63


• Las!OITniIS de evah.."ClÓI\ la evall,lllClÓl! y 111 cembaón

<, <
CI'K'_"' ___ "'* '"........_ ..
5eoclÓn 17 Pla n de capaCll8Cló n y sen~Ib lizaCló n

Especificaciones del plan de capac itació n

Deberla ser establoclda una especdica<;1Ón del pla n de capac ilaclÓn con el fin de negoc ia r con ..... pote ..... al
proveedo r de lormaclÓll las disposICiones especllicas de los procesos de capac:rtadón, po r ejemplo, la
entrega de contenidos de rormaci ón especifica.

Ul pla n de cap¡lCna<;1ón espec ifico es apropiado para establecer o..na clara comprensión de I3s
necesidades de la Orga nizaCión, los reqJisrtos de formación y los objetlYOS de la formación que definen lo
que los al......mos seran capaces de logra r como resultado de la capac ~aclón.

Los objetivos de la capac~ ación deberTan basa rse en la competeocia desarrollada en la especifICación de
las necesidades de capacitacIÓn a r.n de asegura r la efICacia en la prestaCIÓn de la capacrtaclón y a c rea r
una comun iCación clara y abierta

La espeCIfICación deberTa tener en c uerta lo soguertte


Los ObjetIVOS Y requisitos de la orgarllZaoon
Espec ificaCIón de las necesidades de capacttación
GtltetMls de la capaCItación,
Los alumros (grupos o persona t de desuno);
Métodos de capac itaCión y esquema del contenido,
Usta de requisitos, como la du ración, las rechas e hitos Im¡x¡rtantes
Ne<:esldades de recursos, como materiales de capacllaC!6n y personal;
Necesidades financieras
Criterios y métodos desarrollados para la eva luacIÓn de los resultados de la formacIÓn

Seleccio nar un proveedo r de capacitació n

Cualquier proveedo r de capacrtildón poterc 'al lnterno o e~terno deberia esta r sUj eto B un e~amen crrlloo
antes de ser se leccionado pa ra proveer la capacitación. Este examen puede Incluir la Inrormaclón esenta
del proveedor (p. ej ., catalogos fo lletos) y loa informes de eva luaCión El examen deberla basarse en las
espec ,licaClOrJes de! pla n de forma(j6n y las hmnaclones que se hub era n lde rtdicado

la selección deber la hacerse consla r en un acuerdo o contrato forma l estableciéndose la propiedad,


rlnllOfleS y responsatohdades del proceso de formació n

Cl PECe _... _ _ _ .,.. ' .. , , . . . _ ; 0 "


,.
SeoclÓn 17 Pla n de capaCllaCló n y sen~,b lizac>6n

Programa de capacitación
Tipos de prog fa m a y sus objetivos

"'''
Los obJetivos básIcos de la ed~aci6n son adQumr com petenc ias gener1.l les. Se of recen en la UrlIVerSldad.
La du ración s~1e ser de 12 a 40 meses

La eduoaoo n conbnua Incluye B todas las BCtMdadeS de cap¡!C ltaclÓll s ofICIales y ofICiOsaS que ayudan a
mantener las habil idades y competencias adquiridas_ La doraClÓl1 es, por lo general, de unos cuantos d las

Ula se\OÍÓI1 de iflIc iaclÓn es una breve sesi6 n de capac itacIÓn que proporcIOna informacIÓn general sobre
los lemas La duración sueje ser de 1 ho ra a 2 d las

Ula formacIÓn a más largo plazo ayuda a desarrolla r Uf\3 ampl,,-, experiencia en o:;eguridad de 13
informacIÓn. En 106 últimos al'los, ml.dlas un i\lersidades ofrece n formación integra l especializada en
segosidad de la irtormaci6rJ

La formacIÓn a la rgo plazo ayuda a proporcIOnar OOOOClmlentos lécnocos y una especia lizacIÓn adiciona l a
Ciertos empleados resp:lf1sables de la segundad de la InlormaclÓn en áreas especificas

La formación a la rgo plazo prevé una elevación de las competencias básicas de segLXidad de la
lriormactón para todos 106 empleados y otras partes inte resadas de la orga nIZac ión, irodependientemente
de su campo de especialtzaclÓrl o ni\lel de res~bl lidad

Las editoras como Mic rosoft, Check Poinl o CISCO han popular~oo ias Uamadas certdlcaCiones
profeSIOna les que genert:l lmente se ot( lenen después de Uf\3 capac itacIÓn y examen En los últimos ar\os,
las certifICaCiones profeSIOnales en segundad de la irío rmaclÓn se desarrollan, mdeperKIlentemente de
cualqlle r edtora . Estas certifICaCIOnes pueden ayudar a mejorar su carrera y a recloi r e l recoflOOlmoento
del merca do

Las pr1f1C1p¡!les certdicac lones independientes de sego.ndad de la informacIÓn son-


1 Para profeSIOnales en la 1$027001 Auditor Llder e n la ISO 27001, Implemenladof Uder en la ISO

Cl PECe _... _ __ _ , . ' .. , , .. • _ ; s " 65


27001 Y Ge rente de Riesgos ceJ1 ificado en lB ISO 27005
2 Para exper>enc,a profesIOnal en Seguridad de la Irlormaci6n. CISSP, CISA, CISM
3 Para los nuevos graduados. Securlty+,SSCP, Furmmentos de SGSI, Fundamelllos de
COO,

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; 0 " ,' ,


SeoclÓn 17 Pla n de capaCllaCló n y sen~,b liza Cló n

Programa de Concientización

El programa de concientización permite:


1. Crear conciencia
2. Garantizar la coherencia en las prácticas de
seguridad de la información
3. Contribuir a la difusión y aplicación de pollticas,
directrices y procedimientos

Un empleado que no ha tomado


conciencia o que no ha tenido formación
repre senta un riesgo potencial

"'''
B l acto r ''humano'' · no sólo I~ tecnoiogla - es un parámetro clave para ¡:o-oporClOOar L..n ~decuado rJVel de
seguridad que se~ a¡:ropiado para una orgarozación. SI los hlJ:l1anos son la clave. son tambén la pr ,rclpa l
debilidad, y se debe ¡:o-estar aterción a este "activo"

En c ua nto a la concentizaclÓn de los Inleresados. el ~Ipal objelivo es relorzar o modl"lCa r Su


oomporlam ienlO y las actitudes y animarles a qo.>e adhoeran a los valores de la organIZaCIÓn

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; 0 "


SeoclÓn 17 Pla n de capaCllaClÓn y se n~,b l izaCl ó n

Programa de Concientización
Áreas principales
.r Politica de Seguridad
., El uSO df! contrase~as
.r Protección conlra virus
.. El uso adecuado de Internet
., Los riesgos asociados con E-mail (correo no deseado, suplantación de
idenlidad. c6d1go maticioso)
.r La coplil de seguooad y almacenamiento de datos
.. Ingenie¡ia social
.. Geshón df! tncidentes de Segundad
.. Uso de cifrado
.. La segurklad de los ordenadores portétiles y PDAs
.r El uso de arch ivos y sistemas privados en ellrabajo
.. El respeto de la propoedad intelectual
.r Problemas r~aciooados con control de acceso
.. El papel y la responMb<lidad irnlividllal
"'''
Los mensaJes de oo rotentJzació n deben centrarse en el comportamtenlo del LISO V del USlJaflO

Cl PECe_ ... _ _ _ . ... . .. , , .. . _ ;0" 67


SeoclÓn 17 Pla n de capacrtaCló n y sen~,b liza Cló n

2.5.3. Provisión de la Capacita ción


ISO 10015. clausula 4.4
• Es responsabilidad del proveedor de la capacltación
llevar a cabo todas las actividades previstas para la
entrega de la misma, de acuerdo al plan de capacitación
• Sin embargo, así como debe proporcionar los recursos
necesarios para garantizar los seNicios del proveedor
de la capacitación, el papel de la organización para
apoyar y facilitar la capacitación podrl a incluir:
~ Apoyar tanto al profesor como al alumno

~ Vigilar la calidad de la capacitación impartida

"'''
Apoyo p,e capiICitadón
B apoyo pre -capacrteclÓll puede inclur actividades tales como
I ~ormar al "'CI\Ieedor de fo rmadón oon i ~ormaOlÓ n rele'\'anle (véase 4 2 );
Inlormacl6n a los alLmoos sotn> la n<!b.ra leza de la capacitación y las t>ri.'Chas de competencia que se
pretendee li m nar, y
Permrtlf el conta cto enlre et formador y e l alu"n oo

Apoyo a la Capacitación
El apoyo a la capacrta<;i6 n puede Incl UIr a<;tividades ta les como
ProporclOOar las herramentas, equipos, documentaCIÓn, softwa re o aIojam¡ento relevantes pa ra los
alurmos ylo el capacrtador ,
Aportación de oporlllnldades adecwclas '1 relevantes para el alumno para aplicar la competencia que
se está desa rrol lardo, y
Dar irtormación sobre la ejeclX:lÓn de las tareas conforme a lo sohcrtado por el capacitador ylo
,.~

Apoyo del final de la capacitación


B apoyo del fina t de la capaCltaci6 n ¡:uede rnc lUlr activlwdes ta les como
Reclb r l~ormaclÓll de las reaocrones de los alurnros
Recib r informacIÓn por parte de l formador; y
• Proporctorlar inlormaOlÓrl a los d irecto.-es y al persona l ¡nvolliCradO en el proceso de forma<;ión

Cl PECe _... _ __ _ , . ' .. , , . . . _ ; 0 .


SeoclÓn 17 Pla n de capaCllaCló n y sen~,b lizaCló n

2.5.4. Evaluación de los Resultados de la


Capacitación
ISO 10015, clau sula 4,5

-
,,,.
B objetrvo de la evaluacIÓn es co rtlrmar que se han coxnphdo los objetrvos, tanto de la orga nizacIÓn corro
de la capacitacoo, esto es, la capac,tación ha sodo eficaz- Las entradas para la eva luacIÓn de los
resultados de la formacIÓn so n las espeodlcaClOrles de las necesidades de capac itaCIÓn y del plan de
formaC1Ón, asl como los registros de I¡¡ ejecl.lOlÓn de programas de capaCltaclÓn. Los resu ltados de la
capacitacIÓn a menudo no PJeden ser completamente ana lizados y va lidados hasta que el alumno pueda
ser observado y probado en el trabajo

Dentro de un perlado de tiempo especifICado después de que el alu mno ha completado la formación, la
gestIÓn de la organización deber ía asegosarse de que tiene lugar ISla eva luacIÓn p9r3 oomprobar el rWe l
de competerlCla alcanzado.

UlS evaluaciones deberla n ser llevadas a cabo ta nto en un corto pla;::o y a largo plazo.
En el corto plaro, deberla obtenerse la InformacIÓn obteOOa del a lurmo sol:te los métodos de
entrenallllento, los reclXsos utilizados, 105 COI'IOCImientos y habilidades aoquindos coroo resu ltado de
la capaCltaoo n
En el largo plaro, deberla ser evaluado el rendlm ienlo en el trabaJO y el mejor3m lento de la
prodLCtMdad del alurnro

La eva luacIÓn deberla rea llZB rse sol:te la oose de los cnterios estat:lecidos . El proceso de eva luacIÓn
deberTa incluir la recopilación de dalOS y la preparación de un informe de eva luación que también
prop:xCIOfl3 ISla se/'la l de ent rada para el proceso de segulmenlo

Un Informe de eva luaCIÓn PJede I.-.::Iuir lo sIgUIente


Espec ificacIÓn de las necesidades de capacnaci6n
Cntenos de eva luación y la descnpcoón de las fuentes, los métodos Y el ca lendano par3 la evaluaC ión;
Arn lisis de 105 datos recop!l ados y la interpretación de los resuitados
Re\l1si6n de los costos de capaollaclÓfl, y
Co.-.::luSlO ne s y recomendaciones para la meJOra

Cl PECe _... _ __ _ , . . . ., , .. . _ ; 0 " 69


La ocurrencia de no conformidades pueden requer ir r:roced lmen!os pa ra la adopció n de medidas
correctivas

La realización de la capac itación tleberra ser tIoctxnentada en los registros de capac itación

Cl PECe _... _ _ _ .... ' .. , , . . . _;0" ,' ,


SeoclÓn 17 Pla n de capaCllaClÓ n y sen~,b l izaCló n

¿Preguntas?

, .., ? '
?
? ;1 . ..,.
~I
' ? / ' \?I ?
• L! j 1J
"",

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ;0" 70


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Capacitación Implementador Lider ISO


27001
Sección 18
Implementación de controles de seguridad

a. Implementación de procasoa y controlas de aegurldad


b. Introducción de loa controlas del Anexo A

"'''
Principales objetivos del proceso do aplicación de los procesos y controles de seguridad

1 Gara nt iza r I¡j p roteccIÓn electiv¡¡ de los actIVOS de la orga .. zaclÓn a través de I~ Bpl icaClÓn de controies
de segUfÍ<jad

Cl PECe _... _ __ .... . .. , , . . . _ ; s . 71


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

2.6. Implementación de Controles de


Se uridad
1. Planificar 2. Hacer 3. Verificar 4. Actuar

..
--
.,,"""....-

,.. ~

,,,e
Objetivos prindpales de este pno

1 GaranllZa r la p roteccIÓn electiv¡¡ de los activos de la organIZacIÓn

72
Cl PECe_ ... _ · _ .... . .. , , . . . _ ; s .
Sección 13 Competencia y se n~Ib lizaclÓn

Requisitos de la Norma ISO 27001


Clausula 8
8.1 Planificación ope rativa '1 control

La "'1Iani2acOón debef~ plan~icar, ejecutar y controlar los Plocesos


necesarios para cumpli r con requ isitos de segurklad de la informaciOn. y
para aplicar las medidas determinadas en 6.1 La organización también
debenl imp~ntar planes para alcanzar objetiVOS de segundad de la
informaCIÓn determInados en el punto 5.2.
La organizaclón debenl mantener Información documentada en la medida
en que sea necesario para tener confianza en que los procesos se han
llevacfo a cabo como estaba previsto.
La organización debe ré controlar los camb'os prog ramados. y aMlizar las
consecuencias de los cambkls fortult05. tomando medidas para mitigar los
posibleS efectos adversos. según sea necesario.
La "'1Iani2acl6n deIlerá asegurarse de que los procesos tercerizados son
deterrntnados y controlados

,,,e
Una organIZación que qUIera cum pltr con la norma ISO 27001, deberá como min lrro

IrnplemeJtar los controleti de segunda d data lados en el plan de tratamIento de nesgos y los que han
SIdo declarados de aplicación en la Decla racIÓn de AplicabWdad

73
Cl PECe_ ... _ · _ . ... . .. , , .. . _ ;0"
Requisitos de la Norma ISO 27001
Cláusula 8
8.2 Eval uación de riesgos de seguridad de la Infonnaclón
La organización deberá re alizar las evalu aciones de riesgos de
seguridad de la información a intervalos planificados o cuando se
proponen o se producen cambios importantes, teniendo en cuenta
los crit9!Íos establecidos en 6. 1.2 a).
La organización deberá retener información documentada de los
resultados de las eva luaciones de riesgos seguridad de la
información.

8,3 Tra tam iento de riesgos de seg u ridad de la información


la organización deberá ap licar el plan de tratamiento de riasgos de
la seguridad de la información
La organización deberá retener información documentada de los
resullados del tralamfenlO de riesgos para la seguridad de la
inform ación.

"'''

Cl PECe _... _ · _ .... ' .. , , . . . _ ; 0 "


,.
SeoclOn 18 I mPement~ct6n de COnlroles de segIri::Iad

2.6. Implementación de Controles de


Seguridad
lista de actividades

"'''
Lista de las actividades in<: luidas en la metodologlalMS2 de PECe <:on la <:orres pondiente entrada
y salida

Entrada
Descripci6rJ de los prooesos y COflIro les de seguridad
• Po lklCas espo:clli<:as de segund3d de I~ InformacIÓn
• Procedimientos y procesos rel~Clonados con los controles de seguridad

Actividades
1 Planifi<:ar la apl icaCIón
2 Aplicadón de los procesos y los controles de segl.lldad
3. Rev isión de la doclXTlt'ntaClÓn
4 AprobaC ión por ¡:ette del responsable de los controles del proceso y la seguridad

Salida
• Procesos y controles de seguridad que están en la orga nización , listos para su puesta en
funcionamiento

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s . 75


Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Dirección de gestión para seguridad de la


información
ISO 27001. A.5. 1

Controles de Seguridad

A.5.1 .1 Politicas de seguridad de la


informacion

A. 5.1.2
RevisiOo de las pollticas de 5e¡jurid ad
de la InforrnaciOn

"'''
A.5.1 Dirección de la gestión para seguridad de la información
ObJetivo: Proporc.,nar indicac.,nes para la gestión y soporte de la seguridad de la Información de
acuerdo con los r~ l sitos empresariales y con la legislaCIÓn y las rormatr,.as apl icables

A.S.1.1 Po lltleas de seguridad de la inlormaclón


Un oonjunlo de po lttlClIS para la segIXidad de la informacIÓn deberá ~ar definido y aprobado por la
gerercl8, publicaOO y cormricado a los empleados y las partes externas .

A. 5.1.2 Revisión de las politiCltS de seguridad de la inlormadon


Las pol itICes de seglXidad de la informaC ió n debe revisarse a interva los planificados o &lem,,"e que se
produzcan cambios significalr.'os, a flll de asegurar q.Je se mantenga su idoneidad, adecuaclOn y eficacia

76
Cl PECe_ ... _ · _ .... ' .. , , . . . _ ; s .
Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Organización interna
ISO 27001. A.5. 1

Controles de

••

"'''
A.6.1 Organización intema
Objetivo : Establecer un marco de gestión pa ra intciar y connotar la ejecucIÓn y operación de la seguridad
de la informacIÓn dentro de la orgaruzaclÓn

A. 6. t.1 Funciones y responsabilidades de seguridad de la Información


Deberán defirm;e y aSJgIl<IfSe clararnen!e todas las responsabi lidades relativas a la seg.¡ridad de la
InformaCIón

A.6.1.2 Segregación de tareas


Las tareas en confhcto y areas de responS<lbi liwd deben segegaroe para redL.Cir la posibiliwd de que se
prodLJZCan roocIifoc3Ciones no ali.orizaws o no u-tencionadas o usos metidos de los act ivos de la
orgaruaci6n

A.6.1.3 Contacto con las autoridades


Deben mante~rse los cortactos adecuados con las autoridades competentes.

A.6.1.4 Contacto con gUlpos de especial Interés


Deben ma ntenerse los contactos ap'opiados con grupos de interés especiales o ot ros loros de segufidad
especia lizados y asoclactorJes profeSIOnales

A. 6.1.S Seguridad de la información en la gntión de proyectos


Se de berá aoo rda r la seguridad de la Información en la gestIÓn de proyectos irdeperdJente~nle del bpo
de proyecto

Cl PECe_ ... _ · _ _ , . . . ., , . . . _ ; s "


77
Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Informática móvil y tele trabajo


ISO 27001 . A.6.2

Controles de

A.6.2.1 Politiea de dfspositivQ móvil

A. 6.2.2 El Tete trabaJO

"'''
A.6.2 Informática móvil y teletrabajo
Objetivo: Garanlazar la seglridad de l tete trabaj o V el uso de dis¡:ositi\los móviles

A. 6.2.1 polltiea de dispositivo móvil


Se deberán ~ r una po lHica ~ medidas de seguridad de soporte para gestionar los riesgos que
Introd<xen los (j¡sposit ivos m6\1i1es

A.8.2.2 El Tele babaJo


Se deberán aplica r una pol itJca y medidas de apoyo a la segl.l!idad para ,..oteger la ,riormaclOn a la que
se ao::ede. pro<:esa o alrmoona en bs sitIOS de !ele trabaio

76
Cl PECe_ ... _ · _ .... . .. , , .. . _ ; s .
Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Previo al empleo
ISO 27001.A.7. 1

Controles de

A. 7.1.1 Detecó6n

A.7 .1.2 Termlnos y condiciones de


rontratadón

"'''
A.7.1 Antes del empleo
Obj etivo : A fin de garanuzar que los emPeados y c:ortrat istas ertiendan SlJ6 responsabilidades y son
afXas para Ion; furoo nes para las que se consideran.

7.1 .10elec<:lÓll
La ccm¡."\'"obaclÓn de los antecedentes de todos los candidatos al p..¡esto de trabajo se debe llevar a 0<100
de acuerdo con las leg is lacIOnes, normativas y códigos étICOS que sean de aplicacIÓn y de lX1 a manera
proporcionada a los reqtrtitos del negocio. la Clas~icaci6n de la inform ación a la que se accede y los
riesgos consideracbs

A.7.1.2 Término s y cond icio nes d e contr3tacl6 n


Los acuerdos contractuales con los emplea do!; y contratistas. de be rán establecer su respoosa bdtdad y la
de la organ~1Ón para la 5eQl.l1dad de la InformaCIÓn

Cl PECe_ ... _ _ _ .... . ... , . . . _ ; 0 " 79


Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Durante el empleo
ISO 27001.A.7.2

Controles de Seguridad

0&..7.2 .1 Responsabilidadesde la Oire<:ci6n

10..7.2. 2
SenslbilizaClÓn . educam6n y capacitadón
en seguridad de la Información.

0&..7.2 .3 Proceso dis.ciplinario

"'''
10..7.2 Durante el empleo
Objetivo : Ga ra ntizar que los empleados ~ contrat,stas son conscienles de V clII1pien con sus
resp:lnsabi lidades en materia 00 segundad de la inlormaClÓ n

A.7.2.1 Responsabilidades de la Ol, ec<:ló n


La Di reccIÓn debe exig ir a todos los empieados y cor4 ratistas que ¡¡piquen la segu-idad de la mformaCIÓn
de acuerdo con las po llticas y .,.-ocedl!Tlie ntos establec idos en la organiza CIón

A.7.2.2 Concienciació n . fo r mación y capacitación en seg uridad de la info rmación


Todos los empleados de la organ~lÓn y C1Jaroo corresponda. los cont ratistas y teroe<os. deberá n recibir
una adecuada sensibilizacIÓ n y capacitacIÓn, con actualizaciones periódicas, sobre las pollt~ s y
p-oceoomentos de lE! orga nizació n. seg én corresponda con su puesto de tra baJO

A.7.2.3 Proceso d lscipllna rto


Deberá haber ..... p"ocl'SO dlsc lpma no formal y oomun~do para lOma r medidas co ntra los empleados que
reyan cometido una IIlfra 0::i6 n a la seguridad .

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; 0 " 80


Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Terminación y cambio de empleo


ISO 27001.A.7.3

Controles de Seguridad

A.7.3.1 Cese del empleo o cambio de


puesto de trabajo

"'''
A.7.3 Cese del empleo o cambio de puesto de trabajo
Objetivo: Proteger los Intereses de la organizaCIÓn como pane del proceso de camoo o cese del empieo

A.7.3.1 Cew o c ambio de las responsabilidades del empleo


las responsabi lidades V deberes de segU'ldad de la InformacIÓn que siguen s ierdo validas después de la
te rmmactón o carrtio de empleo deberá n ser deflntOOs. oornunicados al empleado o contrallsta y hechos
"","'

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s .


Seo::lOn 15 I mPement~ct6n de COnlroles de segIri::Iad

La responsabilidad de los activos


ISO 27001. A.8. 1

Controles de

A.8.1 .1 Inventario de activos

A.8.1.2 Propiedad de los activos

A.S.t .l Uso ilGeptable de los activos

A,S.1.4 Devolución de activos

"'''
A.S.l Antes del empleo
Objetivo: Ident ificar los activos de la empresa y defil"llr las responsabi lidades de prOlecclÓ n apropiada

A.5.1.1 In ventario de activos


Deberán ser idenUfocados los activos relacioMdos con la información V las Insta laciones de procesamiento
de la informacIÓn y deberé ser elaborado V manlen ido l.rl irrventano de eSlOS bienes

A.5.l.2 Propiedad de los activos


lo\; bienes rnantetlldo6 en ellnventa rlQ deberán ser propoedad

A.5.l.3 Uso aceptable de los activos


Se debe n identifICar do<;<..menta r e Implantar les reglas pera el uso aceptable de los activos asoc iados con
la IrlorrnaCloo y las Instalaciones de trata mento de la Iriorrna clÓn

A.5.1.4 Oevoludón de activos


Todos los empeados y tefl:efos deben devolVer tWJs actIVos de la OIg<lnIZaCKm que estén en s u fX>der al
rnali2:ar s u empleo, contrato o acuerdo.

Cl PECe_ ... _ _ _ .... . .. , , .. . _ ; s .


Seo::lOn 18· ImPement~clÓn de COnlroles de segIri::Iad

Clasificación de la información
ISO 27001. A.8.2

Controles de

A.8.2.1
Clasificaci60 dtlla información

A.8.2.2
Etique1ado de información

A.8.2. 3
Manejo de activos

"'''
A.8.2 Clasificación de la información
Objetivo : Ga rartlza r que la informacIÓn reCIbe .., nivel adecuado de proteccIÓn, de conlormldad con su
ImportarlCla pa ra la orga nl¡:aClÓ n

A.8.2.1 Clasificación de la Infonnaeión


La wlormaci6rJ deberá ser clasdlCada en fU Cl:i6n de los requerim iertos legales. el va lor, la Importancia y
sensibilidad para su divulgacIÓn o moct.Iicad On no aulonzaoo

A.B.2.2 Etiquetado de Información


Se debe desarroJ la r e Imp.,nta r un COrjurto adecU<ldo de prOCedImientos para etIqUeta r y ma ne¡ar la
U"iormaClón. de acuerdo con el esquema de clasificacIÓn de la Información aclo?ado por la organización

A.B.2.3 Manejo de activos


Se deberan desarrollar e IIllplanta r ~edlmientos ¡:era ma nejar bs ac1M:l&. de acuerde con el esquema
de claSificaCIÓn de la Información ado~ado por la organIZaCIÓn

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s . 83


Seo::lOn 1S I mPement~ct6n de COnlroles de segIri::Iad

Manejo de los medios de comunicación


ISO 27001. A.8.3

Controles de
A.S.3.1
Gestión de medios
extralbles

A.S.3.2.
Eliminación de medios

A.S.U.
Transferencia de meclloltl$icos

"'''
A.S.3 Manejo de los medio$
Objetivo: E'litar la ,evelaclOn. modific.aclOn. retirada o destrlJCClOn ¡rlormadón a lmacerada en medios

A.S.3.1 Gestión d e medios e>ltr ..lbles


Debe,"'n se, IIe~ados a caro procedimient05 para la gestión de medos e)(!ra lbles en co rlormidad con el
sistema de c las~lCacT6 n ado~aoo pu la organizacIÓn

A.8.3.2 Retirada de soportes


lo\; ~rtes deben ser retirados de forma segura cuando ya ro ~aya n a ser necesa flOS, med iante los
pocedlml9ntos formales establecidos

A.8 .3.3 Tran sferencia de medios flsicos


Du ra nte el transpone, los soportes que contenga n l"'ormaClÓn deben eSl~r protegidos contra a<:cesos no
alAonzados. usos indeoms o deterioro.

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s .


"
SeoclOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Requisitos del negocio para el control de


acceso
ISO 27001. A.S. 1

Controles de

A.9.1 .1 PoIiliea de oontrol de ac<:eso

A.9.1 .2 Acceso ~ redes


V a los servicIOS de red

"'''
A.9.1 Requisitos del negocio para el <:onlrol de a<:<:eso
Objetivo: Para li mitar e l acceso a la Información y las insta laclOl1es de procesamiento de la información

A.9.1.1 POlltica de control de a<:ceso


Se debe establecer, docll'llE!ntar y revisar lila poI ltica de oontrol de acceso basada en los reqli1l itos de
negocio V de segundad de la informaCión

A.9.1.2 El acceso a las redes y los servicios de red


Se de be poporciona r a los usuarIOS locamente el acceso a la red V a los los servICIOS de la red para que
los que haya n sido especHicamente autonZ3dos

Cl PECe_ ... _ · _ .... . .. , , . . . _ ; s .


Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Administración de los accesos de


usuarios
ISO 27001. A.9.2

Controles de
.... 9.2.1 Reg!slIo t ""•.reg1Sb'C de usuario

"'''
A.9.2 Gestión de ilCCeso de usuario
Objetivo : Asegura r el acceso de un lJS<jarlO autorIZado y preveni r el acceso no autorIZado a los sistemas y
servICIOS

A.9.2. 1 Registro y des.feglstro de usuario


De berá ser implemen!ado un prooeoo forma l de reg istro y des· reg istro de USLIario para habi litar la
asigoacrón de derechos de acceso

A.9.2.2 Provisión de ilCCeso de usuario


Deberá se r implementado un prooeso forma l de provrslOn de ao::eso de usuario para a... gnar O revocar
derechos de acceso para todos los llpos de USUa rIO e n todos los sistemas y serviCIOS

A.9.2.3 Gestión de derechos de ac<::eso privilegiado


La asig nació n y el uso de ao::esos de prIVileg io debera n esta r restflr"{llOOs y cortrolados

A.9.2.4 Gestión d e informaaón secreta de autenticación de los usuarios


La asignación de informaCIÓn de a uleriicación secreta debe se r corirolada a través de .., proceso de
geStión lorma l

A.9.2.5 Revisión de los derechos de acceso de usuar io


lo\; propfetaoos de activos deberá n revisar los de rechos de aoceso de usuaoos a Intervalos regula res

A.9.2.6 Eliminación o ajuste de los derechos de acceso


lo\; derechos de acceso a lB rnformac'Ófl ya los recursos de tratarnrerrto de la informacIÓn de todos los
empleados y terceros deben ser retirados a la fina lizacIÓn del empleo, de l contrato o del acuerdo o bren
deben ser adaptados a los cambtos producidos

Cl PECe_ ... _ · _ _ , . ' .. , , . . . _ ; 0 "


SecclOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Responsabilidades del usuario


ISO 27001. A.9.3

Controles de Seguridad

A.9.3.1
Uso de inlonnaclón secreta
de aUlenl~ión

"'''
A.9.3 Rnponsabílidades de us uario
Objetivo: Hacer que los us ua rlO6 se"n res¡:onsables de salYag ua rdar Su inforrnaclOn de aulenticaclOn

A.9.3.1 Uso de inforlTlilción de autenticación secreta


Los usuanos deber;'!n segui r las práct icas de la organización en el uso de irtor mación de autent icaCIÓn
secreta

Cl PECe_ ... _ · _ .... ' .. , , . . . _ ; s .


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Control de acceso a los sistemas y a


las aplicaciones
ISO 27001. A.9.4

Controles de

"'''
A.9A Control del Sistema y /lCceso a las aplic/ICiones
Objetivo: Prevem el acceso no autorizado a bs 5istemas y las apl icaCiones

.-
A.9.4 .1 Rntricclón del/ICceso a la información
Se debe restr irgir el acceso a la información y a las aplicaCIOnes de acuerdo con la poIlbca de controJ de

A.9.4.1 Procedimientos seg uros de Inicio de sesión


Cuando sea necesarIO por la politice de oonIrol de acceso. el 0ICCeS0 a los sIstemas y las aplICaCiones
deber.! ser controlaoo por un procedimiento de reg istro segu ro

A.9.4.3 Sistema de gestión de contrasellas


Los sIstemas de gesllón de cOftrasel'las deben ser Interacbvos y establece r contrasellas seguras y
robustas.

A.9.4 .4 Uso de programas utilitarios privilegiados


Se debe restnng ir y oonltolar rigurosamente el uso de programas y ut lhdades ~e puedan ser capaces de
Invalida r los corrlrotes del sIstema y de la aplicacIÓn

A.9.4.5 Control de acceso al código fuente de los programa s


Se debe restrirglt el acceso al código fuente de los programas .

Cl PECe_ ... _ _ _ _ , . . . ., , . . . _ ; s " 88


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Controles criptográficos
ISO 27001. A.10.1

Controles de Seguridad

A.1o,1.1 PoIi lica de uso de los


c<>otroles cnptogrMlCOs

A.10.1.2 Gestión de claves

"'''
A.tO.1 Controles criptográficos
Objetivo: Gara nllzar un adecuado y eficaz uso de la criptografTa ¡:era proteger la corl"Klercla lidad,
alAenbcldad y/o Integridad de la Informaci6n

A.l0.1 .1 Polltlca de uso de los controles criptográficos


Se debe formula r e imp'anúlr l.Kla poIltil;a ¡:era el uso de los oorlroles criptogfiíficos para proteger la
InformaCIón

A.l 0.1,2 Gestión de claves


Se deberá elaborar e implementar l.Kla po lftlC3 soI:o"e et uso, la proteoclÓn y la duraclOn de las claves de
cifrado a través de todo su cIClo de vida

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s . 89


SecclOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Asegurar las áreas


IS027001.A.11 .1

Controles de
A.I I.I.1 PerJmelfO de segOOdao lloica

A..l '.1.2 Controles rrs.ico>; de emrada

A.. 11. U Zona, de entrega Y de Cil r~

"'''
A.11 .1 Afeas segu ras
Objetivo: Preveni r los accesos flsiros ro autorizados, los da llos y las Irtromisiones en la inlormaclOn V las
Instalac iones de tratamIento de la IfIformaCKln de la organizaCl6n

A.l1.1 . 1 Perimetto de seguridad nsiea


Deberá n se r deflrJidos y u~ hza dos perlmetros de segLridad pa ra p-oteger áreas que contienen mfOrrruCTÓn
°
confidencIal o critica insta loolOnes de p-ooesiIrrlIento de la ¡mormacl6 n

A.11 .1,2 Controles flsicos de entrada


Las áreas seguras deberá n estar p-otegtdas med cart.e oontroret; de ingreso ap-opiaOos para garant izar que
sólo el persona l autorizado tenga permitido el acceso.

A.11 .1.3 Seguridad de oficinllS. despachos e instalaciones


Se deben dlsel'lar y apl icar las medidas de seg.Jl'idad f1slCa para las orlCinas. despacros e insta laciones.

A.11 .1.4 Protecció n contra las amenazas eIIternas y de origen ambiental


Deberá ser dise~ada y aplicada proteccIÓn flsica COnlra los desa stres natlJl"ales. los ataques
lrelmenclOflados o accidentes

A.".1 .5 Tmbajo en .li¡eas seguras


Se debera n disena r e impl3 nta r prooedim ientos para trabajaren áreas seguras

A.".' .6 Zonas de entrega y de c arga


De ben controlarse los puntos de acceso tales como las áreas de carga y descarga y otros puntos, a través
de los que persona l no autorIZado ,""""de acceder a las InstalaCIOf1eS, y SI es p:lSlble, dIC hos puntOs se
deben aislar de los recursos de tratamiento de la Info rmac ión ¡:era f!\Iita r los accesos no aLJIonzaoos.

Cl PECe_ ... _ _ _ _ , . . . ., , . . . _ ; s " 90


Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Equipamiento
ISO 27001.A.11 .2

A. 11.2.2 Instalaclone'S de

"'''
A.11 .2 Equipo
Objetivo : Ev it~r pérdid~s , OOl"los. rooos o circunstarclas que ¡:ongan en pe ligro los actIVos. o que puedan
provocar la InternupclO n de las opera crones de la organl.ZllClÓl"1

A.l1.2.1 Emplazamiento y protección de equipos


Los e~pos deben situarse V protegerse de form a qLre se reduzca n los riesgJs derNadw de las ~rnenazas
y pe\tgros de origen ambiental asl corro las ocasrones de que se produzcan ao::esos no ar..torizados .

A.11 .2.2 Instalaciones de soporte


Los equipos det:erá n ~~r protegloos contra f~ l los de a li mentaCIÓn y otras anomallas causadas po r fallos
en las insta laCIones de sli'l1 iristro

A.11 .2.3 Seguridad del cableado


B cableado eléctrico y de telecomunicaCIones que transm ite datos o que da ooporte a 105 servICIOS de
IriormaClón debe esta r protegrdo frente a Interce placiones, Interferenc ras o danos

A.l1.2.4 Mantenimiento de los equipos


Los equrpos de ben reCIbir un mantenlmoenlo correcto que asegure su .npolllbrlojad y su inlegridad

A. 11.2.5 Remoció n de activos

"".
lo\; equrpos, la Irformaoió n o el software llIl deberán 5a<:arse de las rnSlaIaOlOne5, sin Uf13 ar..torizaclÓn

A.11 .2.6 Seguridad de equipos y activos fuera de las instalaciones


Temendo en cuenta los dlerentes fJesgos que conI leVll trabajar fuera de las Insta lacIOnes de la
org¡IIl\ZaCl6n, debe n aplICarse medidas de &egLXidad a los actIVOs situados fuera dichas instala<: lOI1f!S

A.11 .2.7 Reutilización o retirada segura de equipos

Cl PECe...,.." ... _ _ _ _ , . . . ., , . . . _ ; 0 "


Todos los soportes de almacenamen!o deben ser comprOOaoos para confirmar que todo dato
sensible y todas las lICencIas de softwa re se han eliminado o bien se ha n recargado de manera
segura, antes de su retirada.

A.11.2.8 equipo d e usuafio d esatendido


los usuarios deben asegurarse de que el equ ipo desatendido tiene la proteccIón adecuada

A.11.2.9 Polltlca de puesto de lrabajo despejado y panlalla limpia


Debe adoptarse una polltica de puesto de ¡ratajo despej ado de papeles Y de soportes de
almacena miento ei<lra lbles junto con una po lftrca de parrla ll a Il mpra para los recursos 00
procesamiento de la informac ión

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s . ,' ,


Seo::lOn 18 I mPement~ctón de COnlroles de segIri::Iad

Procedimientos y responsabilidades
operaciona les
ISO 27001. A.12 .1

Controles de Seguridad

A.12.1.2.
Gestión de cambios

A.12.1 .3.
Geslión ele capacidades

A.12 .U .
Separad60 6e los enlomos de desarrollo,

"'''
A.12.1 Responsabilidades y procedimientos de operación
Objetivo : Asegurar el lurclOnam.ento correcto y seguro de las insta lacIOnes de ¡ratamarto de la
IriormaclÓn

A.I2.1 .1 Documentación de los procedimientos de operación


De ben óxurnemarse los prooedomlentos de opera cIÓn y ponerse a d isposiciórJ de toOOs los usua rios que
"~ffi
A.12.1 ,2 Gestión de cambios
Deberán ser contro lados los cambIOS en la organIZac ió n los procesos de negocIO las insta lacIOnes y
sistemas para e l procesamiento de lrior mación que afecta n a la seguridad de la inlormactón

A.12.1.3 Gestió n de capacidades


La LJilización de los recuroos se debes~t\l isar y ajustar asl como raar.za r proyecciones de los requsltos
Muros de capacidad. para garanllZa r el comp:lr\am lerio requerido del sistema

A.I2.1 .4 Separación de las entomas de desarrollo, de prueba y operativos


Las mstalaclOt1eS de desarrollo . prueba y operativaS deberá n estar separados para reducir los riesgJs de
~so no alltonzado o cambios al sistema operativo

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; 0 " 92


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Protección contra programas maliciosos (malware)

ISO 27001 . A.12 .2

Controles de Seguridad

A.12.2.1 .
los CO<ltroles CO<ltra e l malware

"'''
A.12.2 Protecdón contra el malware
Objetivo: GaranllZar que la inlormaclÓ!1 V serv icios de procesamienlo e!lt.'Jn protegidos Conlra el malwa re

A.12.2.1 Los c ontroles c o ntra et malwa.e


Debe"lm lleva rse a cabo controles de detección, prevencIón ~ recuperación P'l.a la protección Conl.a ~
maM-a re, JI..IflO cOfl la debida conc iencIa del usuarIO

Cl PECe_ ... _ _ _ . ... . .. , , .. . _ ;s. 93


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Copia de seguridad

ISO 27001. A.12 .3

Controles de Seguridad

A.12.3.1.
Copia de seguridad ~ la información

"'''
A.12.3 Protecdón contm el malware
Objetivo: Proteger contra la pérdida de datos

A.12.a.1 Copia de seguridad de la Información


Se deberén rea lizar copias de seguridad de la Información y dej softwa re, y se deberan probar
periódicamente en conformidad con la pol it ica de oopas de segundad acordada

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s . 9'


Seo::lOn 18 I mPement~ctón de COnlroles de segIri::Iad

El registro y la supervisión
ISO 27001. A.12.4

Controles de Seguridad
A.12.4.1.
Eventos

A.12.4.2.
ProtecciOn de la Io/Ofmación de los

Registros del admin istrador y

.0..12.4.4 .
SlIlcronlzaciOn del reloj

"'''
.0..12.4 Registro y s llperlisión
Objetivo: Re~stra r los evelllos y generar ev!dercla

A.12.4.1 Registro de eventos


Deber.lm ser prodLcidos, martenidos ~ revISados periódicamente los regrstr06 de eventos de las
actJvldades de los USllaroos, las excepclOnl'S, los la llos y les eve ntos de seguridad de la inlormaclÓn

.0..12.4.2 Protección de la InfoRnación de los registros


lo\; dlsPOSlllvOS de registro y la InlOfmactón de los registros deben est~ r protegidos contra rrlafllpulaclenes
Wdebldas y accesos 1'() alAor izados

.0..12.4.3 Registros del administrador y operador


Las actiVIdades del administrador del Sistema y de l operadOf del Sistema deberán se r registradas y les
registros debe lan ser ~te~dos y re\I1sados penód icamellle.

A.12.4.4 Sincronización del reloj


Los relojes de todo5 los s istemas de procesamierto de la irlormación dentro de una organización o de un
00rn1flO de seguridad deben esta r s lnc r on~dos oon una iSlica l uente de \lempo de referenc ia

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; 0 " 95


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Control del software operativo

ISO 27001. A.12.5

Controles de Seguridad

A.U.5.t .
Instalad6n de software en sistemas
operativos

"'''
A.12.5 Control del software en e~plotac ión
Objetivo: Garanlazar la seglridad de 105 sistemas operativos

A.12.S,1 Instalación de software en sislemils opemtiv05


Deben estar implantados p-ocedimlento5 para controla r la Instalación de liOItware en los sIStemas
operatIVos,

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s .


Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Gestión de vulnerabilidades técnicas


ISO 27001 . A.12 .6

Controles de Seguridad

A.U .6.t ,
Gestión de vulne..abUidades
técnica s

A.U.6.2.
Las reSlrieeiones a la inslalaci6n
de software

"'''
A.12.6 Gestió n de vulnerabilidades técnicas
Objetivo: E'litar la explotaCIÓl'l de vulnerabilidades lécnteas

A.12.6.1 Contro l de las vulnerabilidades técnicas


Se debe obtener inlormaci6n o¡:ortuM acerca de las vulnerabilidades técnicas de los SlSlernas de
lrionnactón que están siendo o.t ili zados, ev¡¡ luar la expook;i6n de la o rganización a dk;has vu lnerabi lidades
y adoptar las medidas ade<:uadas para afro nta r e l ¡¡esgo asool3do

A.12.6.2 Aestric<:iones a la instalación de software


Deberán se r establec idas y aplicadas las rrJlfT\¡IS que "gen la InstalaCl6 n de sot:ware p:l r parte de los
usuarIOS

Cl PECe_ ... _ _ _ . ... ' .. , , .. . _ ;s. 97


SecclOn 18 I mPement~ ct6n de COnlroles de segIri::Iad

Consideraciones de auditoría de los sistema s


de información
ISO 27001. A.12 .7

Objetivo de Controles de Seguridad


Seguridad

A. 12.7
ConS>CIer~coone5 A.12.7.t .
sobre la aud ltona Controles de audno<ia de los sistemas de
de los s<stemas de informaciOn
< n!o""aclO~

"'''
A.12.7 Consideraciones sobre la auditoria de los sistemas de información
Objetivo: Mlnlmzar el impacto de las actIVidades de auditoria en los sistemas operativos.

A. 12.7.1 Contro les de auditorla de los sistemas de información


Los requisitos y las actrvlClades de auditor la que impliquen comprobaciones en los sistemas operativos
deben ser cuidadosame nte plan~icados y acordados pa ra mini mizar la s interrupcIOnes en los procesos de
negocios

Cl PECe _... _ _ _ .... < . . , , .. . _;s.


98
Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Gestión de seguridad en redes

ISO 27001. A.13.1

Controles de

A.13.1.1 .
Controles de red

A.U.1.2.
Seguridad de se<Vocios
do ..,

A.U .1.3.
Segregación en las redel

"'''
A.13.1 Gestió n de I~ seguridad de las redes
Objetivo : Asegu rar la rrotecclOn de la información en las redes y la rroteO::IÓIl de la insta lacIOnes de
soporte de tratamerio de la inlO<maClÓ n

A.13.1 .1 Controles de red


Las redes deberán 'Ser ~lIOnadas y controladas para proteger la InlQl1Tl3C1Ón de los sIstemas y
aphca(jones

A.13.1.2 Seguridad de los servicios de red


Se de berán ~ntlfica r los mecan~ de seguridad, los niveles de servICIO. y los reqUlsnos de gest,ón de
toOCls los servICIOS de red ~ se deberán inclui r en los acuerdos de sel\liclos de red, ta nto SI estos servicios
se presta n dentro de 18 Orga nizaCIón como si 'Se sub Contr8tan

A.13.1.3 Segregación en las redes


Los grupos de servICIOS de inlormación USlJanos y sIstemas de InlormaclÓn deberá n estar seg regados en
las redes

Cl PECe_ ... _ _ _ .... ' .. , , . . . _ ; s . 99


Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Transferen cia de información


ISO 2700 1. A.13.2

Controles de Seguridad

~P:.~":~::~Y,::;;~~~ de transferencia
A..13.2.2.
,
Los acuerdos de transferencia de

A..13.2.3.
Mensajefla e~trónÍCél

A..13 .2.•.
Conlldeoclalldad o acuerdos de no

"'''
A.13.2 Transferencia de infor mación
Objetivo : Ma ntener la seguridad de la información transferida dentro de una orgamzaclÓIl y con Un
te rcero

A.13.2.1 Polltlcas y procedlmienlos de 1ransferencla de Información


Deben estable<:erse poI llJc~s, prooedirnentos y controles forma les que protejan la lranslerencl~ de
InformaCIÓn med iante ei lISO de tOOo tipo de re<;ursoo de cotn l..OlCao;i6n

A.13.2.2 Ac uerdos de transferencia de ;nforlnilción


Los acuerdos deber.l n re50~er la transferencl3 segsa de informacIÓn empresarial entre la orgatJZ3oÓll y
las pa rtes exlemas

A.13.2.3 Mensajeria electrónica


La irtormación que sea objeto de mensajerla eleClr6rica debe esta r adecuadamente protegida .

A.13.2.4 Confidencialidad o acuerdos de no revelación


Debelá determ inarse. reVIsarse periódicamente y doc umentarse la necesidad de establecer acuerdos de
oorfldencl3 lI<Jad o ro revelació n. qlll' reflejen las necesidades de la orgarlz¡jdÓll pa ra la proteccIÓn de la
InformaCIón

Cl PECe _... _ _ _ _ , . . . ., , . . . _ ; s "


""
Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Requisitos de seguridad de los sistemas de


información
ISO 27001. A.14.1

Controles de

Análisis y

A.14.1.2.
- _ _, GarantIZar servicios de a¡¡llcación en redes
publicas

A.14.1.3.
Proteger las transacciones de los seMcios
ele aplicaciones

"'''
A.14.1 Requisitos desegufidad de los sistemas de infofmilción
Objetivo : Ga ranllZa r que la &egLXldad de la informaCIÓn esUJ inleg rada en los SIstemas de irtormac.'¡n a lo
largo de lOdo el CIClo v,tal Esto tamblen 1rv:ll.I(e los req Ulsnos pera los Slstemas de inlormació n que
ofrece n sus servICIOS a través de redes p."Jbltcas.

A.14.1.1 Análisis y especificación de los requi sitos de seguridad de la Información


Los reqUlSrtos relaclOll~dos con la segufJdad de la inlormación deberán ser in:::ludos en los requ is,tos paf3
los nuellOS sistemas de información o mejof3S en los actuales sistem as de información

A.14.1.2 Asegurar servicios de aplicación en rede s públicas


La irtormaClÓn in:::IUda en los servICios de aplicaciones que se transmlla a través de redes ¡:¡iliIicas debera
protege....e corrtra los actIVidades ff3 udulenlas. las d isputas contraclU<l les. y la re~elació n o rrodilicaclÓn 00
aUlonzada de dICha n ormac lÓfl

A.14.1.J Proteger las transacciones de serv icios de aplic aciones


La inlormaci6n contelllda en los seMcios de aplicaciones de berá estar protegida pera evIta r transmiSIO nes
Incompletas, errores de direccKlnam,ento, a ~eraciones no autorizadas de ios mensajes, la revelación. la
duplICacIÓn o la reproducción 00 autorizadas del mensaje

Cl PECe_ ... _ _ _ .... . .. , , . . . _ ; s .


'"
Seo::lOn 18· ImPement~ct6n de COnlroles de segIri::Iad

La seguridad en los procesos de


desarrollo y de soporte
ISO 27001. A.14.2

"'''
A.14.2 Seguridad en los procesos de desarrollo y soporte
Objetivo : Asegurar que la segundad de la trtormac .... n se ha disen1ldo y a plo:::ado en el ciclo de vida del
desa rrol o de sistemas de lnformaCKln

A.14.2. 1 Polltlca de desanollo seguro


Deberán establecerse rormas para el desarro lkJ de softwa re y se deberán estableoer V aplica r sistemas a
los desarrollos dentro de la organIZacIÓn

A.14.2.2 Procedimientos de control de c ambios del sistema


De berán ser controlados los cambos a los sIStemas dentro de l ck;kl vrta l del desarro llo med tanle el uro de
procedimtentos formales de control de cambios

A.14.2.3 Revisió n técnica de las aplicaciones tras efectuar cambios en el sistema operativo
Cuaooa se modifiquen las plata formas operatlYa5, las aplICaCIOnes empresanales crTticas deberán ser
revISadas y probadas pa ra garanliza r que no e~lsten electos adversos en las operacIOnes o en la
seguridad de la orga nización

A.14.2.4 Restricc iones a los c ambios en los paquetes de software


Se deberá n desaconsejar las moddicaciones en kJs paquetes de softwa re, hmrtándose a kJs cam bios
necesanos, y todos los cambIOs deberán se r ~eto de Un control riguroso

A.14.2.6 Pr incipios de ingeniena de Un sistema seguro


Deberán ser eSlat::>ecklos, documentados, ma ntelliOOs y apl icados prlflClpos de ingen ierla de sjstemas,
para cua lqUIer aclivldad de ejecució n de un sistema de Información

A.14.2.6 Entorno de desarrollo seguro


Las orga"zaCIOnt'S det>.:'rá n establece r y asegl.l"a r la ...oteoc l6n adecu8da de los eotorro:>s de desarrollo
para el desarrollo de sIStemas y de los esfuerzos de integ ració n que cubren tooo el ocio vnal del desarroUo

Cl PECe_ ... _ _ _ _ , . ' .. , , . . . _ ; s "


>O,
de sistemas.

A.14.2.7 Desarrollo ~tern3l1zado


La orga nlzac¡6 n de berá supervisar y "'9l1 ar la a<:tl\lldad de desarro llo de SIstemas e"l\erna lizados

A.14.2.8 Pruebas de la seguridad del sistema


Deberán llevarse a cabo pruetas de IUflClonalidad de la seguridad Ó\nInle el desa rrollo

A.14.2.9 Pruebas de aceptación del sistema


Deberán ser eslaDleoldos programas de prueoos de aoeptoción y crltenos conexos para los
nue-ros sistemas de informoclÓn, actua lizaCIOnes y nuevas ~ersiones

Cl PECe _... _ · _ .... . .. , , . . . _ ; 0 "


,' ,
Seo::lOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Datos de las pruebas


ISO 27001. A.14 .3

Controles de Seguridad

A.14.J.1.
Protección de m datos de prueba del
s1$tema

"'''
A.14.3 Datos de prueba
Objetivo: GaranllZilr la fKotecClÓl1 de los datos util izados en las fKLJebas

A.14.3.1 P,otec<::ión de los datos de prueba


Los datos de fKueba se det:eran seleO::lOnar con cuidado V debe ran estar protegidos y controlados

Cl PECe _... _ _ _ .... ' .. , , . . . _ ; s .


Seo::lOn 18· ImPement~ct6n de COnlroles de segIri::Iad

Seguridad de la información en las relaciones con


los proveedores
ISO 27001 . A.15.1

Controles de
~~~~~--,

••
A.15.1.2.
Abordando la seguridad
en los acuerdo$ con los proveedores

0.'

"'''
A.16.1
Objetivo : GarantIZar que la proteo::i6 n de los activos de la org<JrlIZaclOn sea accesible por los
P"U"eedo res

A.15.1 .1 Polltlca de seguridad de la Inlormaclón p.ara las relaciones con los proveedores
Los requisrtos de seQUldad de 13 Información pe ra mrttgar los fJeS90s asociaoos COrJ e l acceso de
¡:roveedores a los actwos de la orgarUaclÓn deberá n ser estable<;ido\i de al:ueroo con el proveedor y
documentados

A.15.1.2 La seg uridad dentro de los acuerdos con los proveedo res
To:Ios los requis itos de segundad de la irtormaClÓn debe~ n ser establecidos y acordados COrJ cada
P"U"eedor de que p..oede acceder, procesar, alrrerena r, transrnrtlf, o proveer los componentes de la
Irtraestructura de TI pera la InformaCIÓ n de la orga niza Ció n

A.15.1.J Cadena de suministro de latecnologla de la Información y la comunicación


Los acuerdos con los proveedores debe~ n lro:;!ul r requiSitos para abordar los riesgos de seguridad de 13
Irtormación asociados con los serv icios de tecnologla de la info rmacIÓn y las corrJ.Jl"lIcaciones y la cade na
de sum inistro de proWaos

Cl PECe_ ... _ _ _ .... . .. , , .. . _ ; 0 " "4


SeoclOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Gestión de suministro de servicios del


proveedor
ISO 27001. A.15.2

Controles de Seguridad

A.15.2.1.
Segulmlento y revisión
de serviclO$ del proveedor

A.15.2.2.
Gestión de cambk>$ a
s«vcioa del proveedo<

"'''
A.15.2 Gestió n de suministro de servidos del proveedor
Objetivo : Mantener el nIVel apropiado de segundad de la informacIÓn en la prOVISión del seMCIO. en
oonsonaroo", con los acuerdos de provISIÓn de seMC;OS por terceros

A.t5.2t Supervisión y revislÓll de los servicios prestados por terceros


Las orgarlzaclOnes deoorá n peri6dic~mente supervisa r. rev isar y aw itar la ~JSt6n de servicios de
tercetoS

A.15.22 Gestión de cambios en los servicios prestados por terceros


Se deoorá n gestiona r los cambos en la provi1i1Óll de los sel\tK; 'OS de proveedores, ircluyen;lo el
mantetllmierto y la mejora de las ¡:.llltlcas. los proced lmentos y los con\IoIes de segu-idad de la
Wil'ormaclÓn e)(Jsten1es, teniendo e n cuenta la Cn11C1dad de los procesos y sistemas del roegocio afectados
asl como la reeva luaclÓn de los nesgos

Cl PECe_ ... _ · _ .... ' .. , , . . . _ ; 0 "


""
Seo::lOn 18 I mPement~clÓn de COnlroles de segIri::Iad

Gestión de incidentes de seguridad de la


información y mejoras
ISO 27001.A.16.1

1..16.1 ,1. Re~~prooe<!imien!O$

-'.16.1.2.

A.16.1 Gestió n de incidentes de seg uridad de la infOormación y mejOoras


ObJetivOo : Gara ntIza r un enloque coherente y efICaz con respecto a la gestió n de la seglXidad de la
InlormaclÓn Incidentes. .-.::IUlda la corm....caclÓn de los eve ntos de seglXidad y los puntos débiles

A.16.I . l Responsabilidades y procedimientos


Se de berán estable<:er las responsabilidades y ,..ooedimerlos de gestió n pa ra ga rartiur lIIl<I res>"Jl'sta
rápida, ele<;\",a y ordenada a los Woc ldertes de segLSidad de la informa<:lÓ n

A.16.1,2 NOotificació n de los eventOos d e segur idad de la informaoción


Los evenlOS de segu'ldad de la informadón se deber.l n ro t~k:ar a través de los ca nales adecuados de
gestlOnlo antes posjble

A.16.1.3 NOotificación de las debilidades de seg uridad de la infOormaoción


Los emPeados y contrallStas que sea n usuarios de los sistemas y se .... icIos de inlormacoo deber~ n esta r
obhgados a arda r y notifica r cualquie r p...ntO débil de seguridad de la InlormoolÓn que obse .... en o que
sospechen eXista, en ojchos SISTemas o se .... iclOS

A. 16.1.4 Evaluación ydecisión sOobre eventOoS de segu ridad de la infOormación


Los eventos de seglXidad de la información deber.l n ser ot:jeto de una evaluatlÓn y se deberá decidir si se
d asil ican como incidentes de seguridad de la inlorma ci ón

A.16.1.S Respuestas a IOoS incidentes d e seguridad de la información


Los lnaclentes de seguridad de la normaClÓn deberá n ser respond idos en conformidad con los
p-oceoomentos documenta dos .

A. 16.1.6 Aprendizaj e de tos Incidentes de seguridad de la infOormaclón


El COtIOClmierio ot:(emdo por el an¡\llSls y la soIUClÓ n de if"lCldenles de seguridad de la informacIÓn deberá
ser L«il izado para reducir la probabi lidad o el Impacto de Incidentes en ellL«LSo

Cl PECe_ ... _ _ _ _ , . . . ., , . . . _ ; s "


".
A.16.1 .7 Recoplbción de evidencias
la organización deber'" definir y aplicar los proced imierios para la identificación. recoleccIÓn,
adqllsició n y mantenImiento de la informacIÓn, ~ ~ selV ir como evidenc Ia

Cl PECe _... _ · _ .... . .. , , . . . _ ; 0 "


,' ,
SeoclOn 18 I mPement~ct6n de COnlroles de segIri::Iad

Continuidad de la seguridad de la información

ISO 27001.A.7. 1

Controles de
A.11.l.l .
PI¡¡nificaci60 De la continuidad de la
S9Quridad o'e I9lnlormación

__-j"'<.",,, '" I~ com,nuidad


,
A.11.l .2.
!"'. "."",. ,,
de la infonnación