Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:
Conocer las Normas ISO de Seguridad de la Comprender la Estructura y Filosofía de ISO 27001.
Información.
Distinguir los Objetivos y Controles de ISO 27001.
Aprender el Origen y Evolución de ISO 27001.
HABILIDADES
ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:
Motivación a la Calidad
AUTOEVALUACIÓN
Normas ISO de Seguridad de la Información. Estructura y Filosofía de ISO 27001
Origen y Evolución de ISO 27001. Objetivos y Controles de ISO 27001
Utilidad de ISO 27001.
2
NORMAS ISO DE SEGURIDAD DE LA INFORMACIÓN
ISO ha asignado a la seguridad de la información la serie 27000, donde se encuadran normas de requisitos
y guías de apoyo.
27001
Contiene los requisitos del SGSI: es un modelo certificable en seguridad de la
información.
27004 Guía que determina la métrica y mediciones del SGSI y de sus controles para
asegurar la eficacia del mismo.
27006 Requisitos para las entidades que realizan auditorias de certificación de un SGSI
27008
Guía para la realización de las auditorias de los controles de seguridad de la
información.
3
La Familia ISO 27000
4
Principales normas de la familia ISO 272000
Existen oficinas de normalización en distintos países, y concretamente en España esta función la realiza
AENOR.
Una norma es un modelo, patrón o criterio a seguir, que define las principales características y requisitos
exigidos para su utilización a nivel internacional.
La finalidad principal de las normas ISO es coordinar y unificar los diferentes usos y aplicaciones con el
fin de conseguir una mayor eficacia y eficiencia, así como una reducción en los costes.
5
Las normas principales son ISO 27001, que contiene los requisitos del sistema de seguridad de la
información e ISO 27002 que es una guía de buenas prácticas.
También, la norma ISO 27011 consistente en una guía de gestión de seguridad de la información específica
para telecomunicaciones.
Otras normas dedicadas a la gestión de la seguridad de la información, son la norma ISO 27032 que
consiste en una guía relativa a la ciberseguridad y la norma ISO 27799 para la adaptación de los controles
de la norma ISO 27002 en el sector sanitario.
6
APRENDER EL ORIGEN Y EVOLUCIÓN DE ISO 27001
La nueva versión de la norma ISO 27001 fue publicada el 1 de Octubre de 2013, y es la norma que
contiene los requisitos del sistema de seguridad de la información. La anterior versión correspondía al año
2005.
Tiene su origen en la BS 7799-2:2002, y su objetivo es proporcionar una base común para la elaboración
de las normas de seguridad de las organizaciones, configurando un método de gestión eficaz de la
seguridad, y estableciendo informes de confianza en las transacciones y las relaciones entre las empresas.
ISO 27001 es la norma en base a la cual se certifica por auditores externos a la empresa los sistemas de
gestión de seguridad de la información de las organizaciones. Aunque el hecho de estar certificado en
ISO 27001 no prueba que la organización sea 100 % segura.
7
ENTENDER LA UTILIDAD DE LA ISO 27001
La autoridad y compromiso decidido de la dirección de la empresa, incluso si el alcance inicialmente es
muy reducido, es uno de los puntos fundamentales de la aplicación de la norma ISO 27001.
La adopción de esta norma internacional proporciona claras ventajas que deben ser valoradas por la
gerencia y la dirección para su implantación en la empresa
Se plantea como principal objetivo la certificación, aunque también es posible alcanzar la conformidad
con la norma sin la certificación; en estos casos el cumplimiento de los requisitos establecidos por la norma
permitirá alcanzar el éxito en la gestión de la seguridad de la información de la empresa.
Se genera credibilidad y confianza: Por tanto, los socios, los accionistas y los
clientes se tranquilizan al constatar la importancia que la organización concede a
En el Ámbito Comercial la protección de la información. Una certificación también puede brindar una
diferenciación sobre la competencia y en el mercado. Asimismo, algunas
licitaciones internacionales ya comienzan a pedir una gestión ISO 27001.
En el Aspecto Se puede conseguir una reducción de los costes vinculados a los incidentes y
Financiero también la posibilidad de disminuir las primas de seguro.
8
Ventajas de la Obtención del Certificado ISO 27001
Certificado expedido por un organismo reconocido oficialmente, en el que se identifica la conformidad del
Sistema de Gestión de Seguridad de la información de la empresa de acuerdo con la Norma ISO, en la
que se basó dicho sistema.
La obtención de un certificado, que asegura de cara al exterior que la organización cumple con el sistema
de gestión implantado, genera prestigio empresarial y es una garantía de competitividad en el mercado.
9
ESTRUCTURA Y FILOSOFÍA DE LA ISO 27001
La norma ISO 2007 presenta la siguiente estructura:
Alcance del SGSI: los límites del SGSI estará documentado y estará
condicionado por los puntos anteriores, así como por las dependencias e
interfaces internas y externas con otras organizaciones.
10
Liderazgo y Compromiso de la Alta Dirección: mostrando evidencias como el
establecimiento, implementación, revisión, mantenimiento y mejora del SGSI,
evidenciando que se proveen los recursos necesarios para el desarrollo del
sistema.
11
Control y control operacionales: planificar, implantar y controlar los procesos
necesarios para cumplir con los requisitos y objetivos de seguridad de la
información.
12
DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)
Se determina un proceso concreto que permite evaluar, establecer, mantener y administrar la seguridad de
la información.
■ Un estándar técnico.
■ Una norma tecnológica orientada al producto.
■ Una metodología de evaluación del equipamiento.
■ Un sistema que permite una certificación de la seguridad, ya que actualmente solo ISO 27001 y sus
derivados nacionales ofrecen un esquema de certificación.
■ Un sistema que no detalla ninguna obligación en cuanto al método de evaluación del riesgo, sino
que bastaría con elegir el que responde a las necesidades.
13
¿Para qué Sirve ISO 27002: 2013?
Es una guía que contiene consejos y recomendaciones que permiten asegurar la seguridad de la
información de una empresa.
La norma contiene un conjunto de controles donde se identifican las mejores prácticas para la gestión de
la seguridad de la información, y sirve como consulta al encargado de la seguridad de la información de
una organización.
Las normas ISO 20000-1 (Gestión de Servicios) e ISO 22301 (Gestión de la Continuidad del Negocio)
establecen requisitos adicionales que permiten establecer un marco más eficaz de gestión de la
seguridad de la información, a partir de la implantación de la ISO 27001.
Las normas ISO 20000-1 e ISO 22301 desarrollan en más detalle controles que aparecen en el anexo A
de ISO 27001, tales como gestión de la capacidad o continuidad del negocio.
La ISO 27001 se puede integrar con otras normas, como por ejemplo la ISO 90001, ISO 20000-1 o ISO
22301 al compartir como principio general la gestión de procesos.
14
El cumplimiento de estas normas genera una importante armonización con el grupo de normas de calidad
ISO 9000 ISO 9001 / ISO 20000-1 / ISO 22301 al generar un beneficio común de reducción de esfuerzos y
costes.
Cualquier tipo de organización o de empresa, privada o pública, en estos casos no importa el tamaño de
esta para proceder a la implantación del sistema.
La organización que desea probar su nivel de seguridad de la información conforme a una norma
reconocida internacionalmente.
Cuanto más elevado es el riesgo en la organización, más atención se debe poner a la seguridad de sus
datos. Es el caso particular de los sectores gubernamentales, financieros y de salud.
15
VIDEO EN LA PLATAFORMA (Acceso a través de la
Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma,
puedes visualizar un vídeo ilustrativo en el que se describe la importancia
de la familia de Normas ISO 27000, que proporcionan un marco de gestión
de la seguridad de la información que puede utilizar cualquier organización
de ámbito público o privado.
16
OBJETIVOS Y CONTROLES DE ISO 27001
Desde el 1 de Octubre de 2013 se cuenta con una nueva versión de la norma ISO 27001, Y en su anexo A
se regulan los objetivos de control y controles, tal y como establece la Norma ISO 27001.
La ISO 27002 no es certificable y es un código de buenas prácticas y recomendaciones, que describe los
objetivos de control y controles recomendables en materia de seguridad de la información.
■ 14 áreas de aplicación.
■ 35 objetivos: que son aquellos resultados que se esperan alcanzar mediante la implantación de
controles.
■ 114 controles: todas aquellas prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo.
17
Objetivo de Control: establecer un marco de trabajo de gestión para iniciar
y controlar la implantación y operación de la seguridad de la información
dentro de la organización:
Se deben establecer políticas para gestionar los riesgos derivados del uso de
dispositivos móviles y el acceso, procesamiento o almacenamiento de
información desde ubicaciones externas.
(6 controles) Se debe asegurar que los empleados y subcontratistas cumplen con las políticas
y procedimientos de seguridad vigentes, que reciben la adecuada formación y
que son conocedores del procedimiento disciplinario existente en caso de
incumplimiento.
18
Objetivo de Control: identificar los activos de la organización y definir
adecuadas responsabilidades para su protección:
19
Objetivo de Control: limitar el acceso a la información e infraestructura de
procesamiento de información:
Los usuarios deben aplicar las directrices definidas por la organización con
relación al uso de la información secreta para la autenticación.
20
Objetivo de Control: prevenir el acceso físico no autorizado, daños e
interferencias en la información e infraestructuras de procesamiento de
información de la organización.
(15 controles) Objetivo de Control: evitar la pérdida, daño, robo de los activos y la
interrupción de las operaciones de la organización.
21
Objetivo de Control: confirmar que la infraestructura de procesamiento de
la información opera de forma segura y correcta.
A.12 Seguridad de las Se requiere registrar las actividades de los usuarios y sistemas, así como fallos
Operaciones y eventos que atenten contra la seguridad de la información.
(14 controles)
Objetivo de Control: asegurar la integridad de los sistemas operacionales.
22
Objetivo de Control: asegurar la protección de la información en redes de
comunicaciones y en sus recursos de procesamiento de soporte.
A.14 Adquisición,
Desarrollo y
Objetivo de Control: garantizar que la seguridad de la información es parte
Mantenimiento de integral de todo el ciclo de vida de los sistemas de información.
sistemas
Esto también incluye los requisitos para los sistemas de información que
(13 controles) proporcionan servicios sobre de redes públicas.
23
Objetivo de Control: garantizar un enfoque coherente y eficaz para la
A.16 Gestión de los
Incidentes de gestión de los incidentes de seguridad de la información, incluyendo la
Seguridad de la comunicación de eventos de seguridad y las debilidades.
Información
Necesidad de establecer responsabilidades y procedimientos para la
(7 controles) notificación, reporte, evaluación, tratamiento, aprendizaje y registro de los
incidentes, debilidades y eventos de seguridad de la información.
24
HABILIDADES
TRABAJO INDIVIDUAL
Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
CASO PRÁCTICO
Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.
Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.
DEBATE
Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.
Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.
25
ACTITUD
Los documentos deben estar perfectamente identificados, mediante procedimientos que permitan asegurar
la confidencialidad, integridad y disponibilidad de la información.
La mejora continua está directamente relacionada con la implementación de todas aquellas herramientas de
producción necesarias para un mejor aprovechamiento de las tecnologías de la información y la
comunicación.
Si se revisan y actualizan convenientemente los documentos que contienen información valiosa, por
ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información esté
permanentemente actualizada y sea veraz, indistintamente de quien la utilice.
Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se manejan
convenientemente tanto las herramientas informáticas que se requieran como las habilidades mentales que
toda persona posee, en unas personas poco potenciadas y en otras altamente desarrolladas.
No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver claramente y
con detalle cuáles son las causas de por qué se ha producido determinado hecho. En todos los casos, es
conveniente utilizar la información de la que disponemos para preguntarnos el porqué de las cosas, por qué
ha ocurrido tal situación.
26
NOTAS
27
902 350 077
formacion@bvbs.es
Analizar y
www.bureauveritasformacion.com Revisar la Norma ISO 27001
28