ll

Analizar y Revisar la Norma ISO 27001

Avanzamos a través del conocimiento

 ANALIZAR Y REVISAR LA NORMA ISO 27001
Para el desarrollo de esta competencia, será necesario conocer y ser capaz de entender el origen,
evolución y estructura de la Norma ISO 27001:2013.

CONOCIMIENTOS
En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:

Conocer las Normas ISO de Seguridad de la Comprender la Estructura y Filosofía de ISO 27001.
Información.
Distinguir los Objetivos y Controles de ISO 27001.
Aprender el Origen y Evolución de ISO 27001.

Entender la Utilidad de ISO 27001.

HABILIDADES

ACTITUD
En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:

Motivación a la Calidad

AUTOEVALUACIÓN
Normas ISO de Seguridad de la Información. Estructura y Filosofía de ISO 27001
Origen y Evolución de ISO 27001. Objetivos y Controles de ISO 27001
Utilidad de ISO 27001.

TEST DE EVALUACIÓN DE CONOCIMIENTOS

Analizar y Revisar la Norma ISO 27001

2
NORMAS ISO DE SEGURIDAD DE LA INFORMACIÓN
ISO ha asignado a la seguridad de la información la serie 27000, donde se encuadran normas de requisitos
y guías de apoyo.

Quedan configuradas las normas de la siguiente manera:

La Familia ISO 27000

Normas para Construir, Evaluar y Mejorar un SGSI

27000 Descripción general y vocabulario.

27001
Contiene los requisitos del SGSI: es un modelo certificable en seguridad de la
información.

Guía de Buenas prácticas en seguridad de la información que describe los

27002 objetivos de control y los controles recomendables en cuanto a seguridad de la
información.

27003 Guía de implantación de un SGSI.

27004 Guía que determina la métrica y mediciones del SGSI y de sus controles para
asegurar la eficacia del mismo.

27005 Guía para la gestión de riesgos de seguridad de la información.

27006 Requisitos para las entidades que realizan auditorias de certificación de un SGSI

27007 Guía para la realización de auditorías de SGSI

27008
Guía para la realización de las auditorias de los controles de seguridad de la
información.

27035 Guía para la gestión de incidentes de seguridad de la información.

Analizar y Revisar la Norma ISO 27001

3
 La Familia ISO 27000

Principales Normas de Apoyo para Ampliar el Ámbito de un SGSI y adaptarlo a diferentes

sectores

27010 Guía de controles de seguridad adicionales para organizaciones que comparten

información.

27011 Guía para la aplicación de los controles de la ISO en el sector de

telecomunicaciones.

27013 Guía para la implantación integrada de ISO 27001 e ISO 20000-1.

27014 Gobierno de la seguridad de la información.

27015 Guía para la aplicación de los controles de la ISO en servicios financieros.

27019 Guía para la aplicación de los controles de la ISO en el sector de industria

energética.

27031 Guía para la continuidad del negocio en el sector TIC.

27032 Guía para la ciberseguridad.

27036-3 Guía para la seguridad en la cadena de suministro TIC.

27799 Guía para la aplicación de los controles de la ISO en el sector sanitario.

Analizar y Revisar la Norma ISO 27001

4
Principales normas de la familia ISO 272000

Medidas de Seguridad que Deben Adoptar las Empresas en un Sistema de Información

La ISO (Internacional Standarization Organization) es la entidad internacional encargada de favorecer

la normalización a nivel internacional.

Existen oficinas de normalización en distintos países, y concretamente en España esta función la realiza
AENOR.

Una norma es un modelo, patrón o criterio a seguir, que define las principales características y requisitos
exigidos para su utilización a nivel internacional.

La finalidad principal de las normas ISO es coordinar y unificar los diferentes usos y aplicaciones con el
fin de conseguir una mayor eficacia y eficiencia, así como una reducción en los costes.

Analizar y Revisar la Norma ISO 27001

5
Las normas principales son ISO 27001, que contiene los requisitos del sistema de seguridad de la
información e ISO 27002 que es una guía de buenas prácticas.

Otras Normas ISO del Grupo 27000

En el grupo de normas ISO de seguridad de la información, existen también otras que complementan lo
determinado en la 27001 y en la 27002 como es la Norma ISO 27007 que consiste en una guía de auditoría
de un sistema de gestión de la seguridad de la información.

También, la norma ISO 27011 consistente en una guía de gestión de seguridad de la información específica
para telecomunicaciones.

Otras normas dedicadas a la gestión de la seguridad de la información, son la norma ISO 27032 que
consiste en una guía relativa a la ciberseguridad y la norma ISO 27799 para la adaptación de los controles
de la norma ISO 27002 en el sector sanitario.

Analizar y Revisar la Norma ISO 27001

6
APRENDER EL ORIGEN Y EVOLUCIÓN DE ISO 27001
La nueva versión de la norma ISO 27001 fue publicada el 1 de Octubre de 2013, y es la norma que
contiene los requisitos del sistema de seguridad de la información. La anterior versión correspondía al año
2005.

Tiene su origen en la BS 7799-2:2002, y su objetivo es proporcionar una base común para la elaboración
de las normas de seguridad de las organizaciones, configurando un método de gestión eficaz de la
seguridad, y estableciendo informes de confianza en las transacciones y las relaciones entre las empresas.

ISO 27001 es la norma en base a la cual se certifica por auditores externos a la empresa los sistemas de
gestión de seguridad de la información de las organizaciones. Aunque el hecho de estar certificado en
ISO 27001 no prueba que la organización sea 100 % segura.

Analizar y Revisar la Norma ISO 27001

7
ENTENDER LA UTILIDAD DE LA ISO 27001
La autoridad y compromiso decidido de la dirección de la empresa, incluso si el alcance inicialmente es
muy reducido, es uno de los puntos fundamentales de la aplicación de la norma ISO 27001.

La adopción de esta norma internacional proporciona claras ventajas que deben ser valoradas por la
gerencia y la dirección para su implantación en la empresa

Se plantea como principal objetivo la certificación, aunque también es posible alcanzar la conformidad
con la norma sin la certificación; en estos casos el cumplimiento de los requisitos establecidos por la norma
permitirá alcanzar el éxito en la gestión de la seguridad de la información de la empresa.

Beneficios de la ISO 27001

Se genera un importante compromiso: El registro permite garantizar y

En el Ámbito demostrar la eficacia de los esfuerzos desarrollados para asegurar la
Organizacional organización en todos sus niveles, y probar la diligencia razonable de sus
administradores.

Se manifiesta conformidad en el cumplimiento de los requisitos legales: El

En el Cumplimiento
registro permite demostrar a las autoridades competentes que la organización
Legal de las Exigencias
observa todas las leyes y normativas aplicables.

Se desarrolla una adecuada gestión de los riesgos: Permitirá obtener un

mejor conocimiento de los sistemas de información, sus problemas y los medios
En el Ámbito Funcional
de protección, garantizando también una mejor disponibilidad de los materiales y
datos.

Se genera credibilidad y confianza: Por tanto, los socios, los accionistas y los
clientes se tranquilizan al constatar la importancia que la organización concede a
En el Ámbito Comercial la protección de la información. Una certificación también puede brindar una
diferenciación sobre la competencia y en el mercado. Asimismo, algunas
licitaciones internacionales ya comienzan a pedir una gestión ISO 27001.

En el Aspecto Se puede conseguir una reducción de los costes vinculados a los incidentes y
Financiero también la posibilidad de disminuir las primas de seguro.

En la gestión de los recursos humanos de la empresa se produce una mejora de

En el Aspecto Humano la sensibilización del personal en relación a la seguridad y a sus
responsabilidades en la organización.

Analizar y Revisar la Norma ISO 27001

8
Ventajas de la Obtención del Certificado ISO 27001

Certificado expedido por un organismo reconocido oficialmente, en el que se identifica la conformidad del
Sistema de Gestión de Seguridad de la información de la empresa de acuerdo con la Norma ISO, en la
que se basó dicho sistema.

La obtención de un certificado, que asegura de cara al exterior que la organización cumple con el sistema
de gestión implantado, genera prestigio empresarial y es una garantía de competitividad en el mercado.

Aunque quien verdaderamente va a decidir si una organización merece encontrarse y permanecer en el

mercado son los clientes, que son los que realmente van a certificar el sistema de gestión de la seguridad
de la información implantado.

Analizar y Revisar la Norma ISO 27001

9
ESTRUCTURA Y FILOSOFÍA DE LA ISO 27001
La norma ISO 2007 presenta la siguiente estructura:

Estructura de la ISO 27001

Aunque esta norma se puede aplicar a todos los tipos de organización, es

necesario definir el tamaño de las organizaciones a las que va dirigida.
Alcance
También, es conveniente especificar los requisitos adecuados para la
implementación de los controles de seguridad adaptados a las necesidades de
las organizaciones o bien a partes de estas.

En esta Norma es necesaria la utilización de la norma ISO IEC 27002: 2013

Tecnología de la información. Técnicas de seguridad-Código de buenas
Prácticas para la Gestión de Seguridad de la Información.

A lo largo de la norma se hace referencia a otras normas:

Referencias
Normativas
ISO/IEC 27003: Guía implantación del SGSI.

ISO/IEC 27004: Medición.

ISO/IEC 27005: Gestión de Riesgos de Seguridad de la Información.

Son los términos y definiciones utilizados a lo largo de la norma ISO 27001:

Términos y
Definiciones
Se aplica el contenido de la norma ISO / IEC 27000.

Entendimiento de la Organización y su Contexto: requiere identificar todos

los elementos internos y externos con impacto en la consecución de los
objetivos del SGSI.

Expectativas de las partes interesadas: es obligatorio identificar claramente

Contexto de la
los requisitos y expectativas de todas las partes interesadas, incluyendo los
Organización
aspectos legales, contractuales y regulatorios.

Alcance del SGSI: los límites del SGSI estará documentado y estará
condicionado por los puntos anteriores, así como por las dependencias e
interfaces internas y externas con otras organizaciones.

Analizar y Revisar la Norma ISO 27001

10
 Liderazgo y Compromiso de la Alta Dirección: mostrando evidencias como el
establecimiento, implementación, revisión, mantenimiento y mejora del SGSI,
evidenciando que se proveen los recursos necesarios para el desarrollo del
sistema.

Política: diseño, despliegue y comunicación del marco global que incluya el

Liderazgo
compromiso permanente de la dirección en cuanto a su cumplimiento y mejora
continua.

Roles, responsabilidades y autoridades de la organización: las

responsabilidades y autoridades están debidamente asignadas y comunicadas,
así como el reporte del funcionamiento del SGSI a la alta dirección.

Acciones para abordar los riesgos y oportunidades: la organización debe

definir y aplicar un proceso de evaluación de los riesgos de seguridad de la
información, estableciendo los criterios de análisis que permitan identificar,
analizar y evaluar los riesgos resultantes, para posteriormente realizar un
adecuado tratamiento y selección de los controles más adecuados según el
Planificación anexo A.

Objetivos de seguridad de la información: se deben establecer objetivos de

seguridad que deben ser consistentes con la Política, y medibles, basados en
los riesgos del negocio y con un adecuado seguimiento del grado de
cumplimiento.

Recursos: es necesario demostrar que se han determinado y se proveen los

recursos necesarios para el desarrollo del sistema.

Competencia: es fundamental garantizar que todo el personal al que se le han

asignado responsabilidades en el SGSI es competente para desempeñar las
tareas requeridas.

Concienciación: el personal con tareas dentro del SGSI debe conocer la

Soporte política de seguridad, su contribución a la efectividad del SGSI y las
implicaciones del incumplimiento con los requisitos establecidos.

Comunicación: relativo a la identificación de los canales más efectivos de

comunicación internos y externos (quién, cómo, cuándo, cómo y qué).

Información documentada: aplicación de criterios que aseguren un control a lo

largo de todo el ciclo de vida de la documentación sobre la que se construye el
SGSI (creación, actualización, distribución, almacenamiento).

Analizar y Revisar la Norma ISO 27001

11
 Control y control operacionales: planificar, implantar y controlar los procesos
necesarios para cumplir con los requisitos y objetivos de seguridad de la
información.

Evaluaciones de riesgos de seguridad de la información: se deben realizar

Operación evaluaciones documentadas de los riesgos de forma periódica y planificada en
función de los criterios establecidos.

Tratamiento de los riesgos de seguridad de la información: debe

implantarse un plan de tratamiento de los riesgos de la información
documentado.

Medición, análisis y evaluación: el Sistema de Gestión de la Seguridad de la

Información debe asegurar que la organización mejora continuamente su
efectividad, determinando cuáles son las necesidades de medición, los métodos
más adecuados, la frecuencia y los responsables de su aplicación y análisis.

Auditoria Interna: garantizando que la organización realiza auditorías internas

Evaluación del
en los intervalos planificados, por tanto se requiere una formalización del
Desempeño
programa de auditorías, los criterios de auditoria, las competencias necesarias
para los auditores internos y un análisis y tratamiento adecuado de los
resultados obtenidos.

Revisión por la dirección: la alta dirección debe revisar el SGSI a intervalos

planificados, que asegure que continúa siendo idóneo, apropiado y efectivo.

No conformidades y acciones correctivas: cuando se detecte una no

conformidad la organización debe reaccionar, determinando sus causas y
proponiendo acciones correctivas efectivas para eliminar la causa raíz.

Mejora continua: el SGSI debe asegurar que la organización mejora

continuamente su efectividad mediante el uso de:
Mejora
■ La política y los objetivos de seguridad de la información.
■ Los resultados de auditoria.
■ Los análisis de eventos monitorizados.
■ Las acciones correctivas y preventivas.
■ La revisión del sistema por parte de la alta dirección.

Analizar y Revisar la Norma ISO 27001

12
 DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)

Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes

descargar un índice detallado de la Norma ISO 27001:2013.

VIDEO EN LA PLATAFORMA (Acceso a través de la

Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma,
puedes visualizar un vídeo ilustrativo en el que se describe la importancia
de la familia de Normas ISO 27000, que proporcionan un marco de gestión
de la seguridad de la información que puede utilizar cualquier organización
de ámbito público o privado.

Filosofía de la ISO 27002

La norma ISO 27002:2013 es una guía de recomendaciones estructuradas que está reconocida
internacionalmente y dedicada a la seguridad de la información.

Se determina un proceso concreto que permite evaluar, establecer, mantener y administrar la seguridad de
la información.

Es Evidente que ISO 27002: 2013 NO ES

■ Un estándar técnico.
■ Una norma tecnológica orientada al producto.
■ Una metodología de evaluación del equipamiento.
■ Un sistema que permite una certificación de la seguridad, ya que actualmente solo ISO 27001 y sus
derivados nacionales ofrecen un esquema de certificación.
■ Un sistema que no detalla ninguna obligación en cuanto al método de evaluación del riesgo, sino
que bastaría con elegir el que responde a las necesidades.

Analizar y Revisar la Norma ISO 27001

13
¿Para qué Sirve ISO 27002: 2013?
Es una guía que contiene consejos y recomendaciones que permiten asegurar la seguridad de la
información de una empresa.

La norma contiene un conjunto de controles donde se identifican las mejores prácticas para la gestión de
la seguridad de la información, y sirve como consulta al encargado de la seguridad de la información de
una organización.

La ISO 27002:2013 no es un Sistema de Gestión de Seguridad de la Información.

La ISO 27002:2013 no es certificable, únicamente hace recomendaciones sobre el uso de controles de

seguridad, y no establece ningún requisito cuyo cumplimiento pudiera certificarse.

Integración de Normas ISO

Las normas ISO 20000-1 (Gestión de Servicios) e ISO 22301 (Gestión de la Continuidad del Negocio)
establecen requisitos adicionales que permiten establecer un marco más eficaz de gestión de la
seguridad de la información, a partir de la implantación de la ISO 27001.

Las normas ISO 20000-1 e ISO 22301 desarrollan en más detalle controles que aparecen en el anexo A
de ISO 27001, tales como gestión de la capacidad o continuidad del negocio.

La ISO 27001 se puede integrar con otras normas, como por ejemplo la ISO 90001, ISO 20000-1 o ISO
22301 al compartir como principio general la gestión de procesos.

Analizar y Revisar la Norma ISO 27001

14
El cumplimiento de estas normas genera una importante armonización con el grupo de normas de calidad
ISO 9000 ISO 9001 / ISO 20000-1 / ISO 22301 al generar un beneficio común de reducción de esfuerzos y
costes.

Perfil de la Organización Interesada

El perfil de las organizaciones en las que puede ser interesante implantar un sistema de gestión de la
seguridad de la información es muy variado:

Organizaciones a las que Pueden Interesarles Implantar un SGSI

Cualquier tipo de organización o de empresa, privada o pública, en estos casos no importa el tamaño de
esta para proceder a la implantación del sistema.

Es importante también su implantación en aquellas organizaciones que utilizan sistemas internos o

externos que poseen informaciones confidenciales, o que dependen de estos sistemas para el
funcionamiento normal de sus operaciones.

La organización que desea probar su nivel de seguridad de la información conforme a una norma
reconocida internacionalmente.

Cuanto más elevado es el riesgo en la organización, más atención se debe poner a la seguridad de sus
datos. Es el caso particular de los sectores gubernamentales, financieros y de salud.

Analizar y Revisar la Norma ISO 27001

15
VIDEO EN LA PLATAFORMA (Acceso a través de la
Plataforma)
Accediendo a esta Unidad de Competencia a través de la Plataforma,
puedes visualizar un vídeo ilustrativo en el que se describe la importancia
de la familia de Normas ISO 27000, que proporcionan un marco de gestión
de la seguridad de la información que puede utilizar cualquier organización
de ámbito público o privado.

Analizar y Revisar la Norma ISO 27001

16
OBJETIVOS Y CONTROLES DE ISO 27001
Desde el 1 de Octubre de 2013 se cuenta con una nueva versión de la norma ISO 27001, Y en su anexo A
se regulan los objetivos de control y controles, tal y como establece la Norma ISO 27001.

La ISO 27002 no es certificable y es un código de buenas prácticas y recomendaciones, que describe los
objetivos de control y controles recomendables en materia de seguridad de la información.

Contenido de ISO 27002

■ 14 áreas de aplicación.
■ 35 objetivos: que son aquellos resultados que se esperan alcanzar mediante la implantación de
controles.
■ 114 controles: todas aquellas prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo.

Objetivos de Control y Controles

Los objetivos de control y los controles enumerados en la norma se derivan directamente de los
enumerados en ISO 27001: 2013. Pero estas listas no son exhaustivas, y una determinada organización
puede considerar que son necesarios objetivos de control y controles adicionales.

Objetivos de Control y Controles

Objetivo de Control: dirigir y dar soporte a la gestión de la seguridad de la

información de acuerdo con los requisitos del negocio y las leyes y
A.5 Política de regulaciones relevantes:
Seguridad
La alta dirección debe definir un conjunto de políticas que reflejen las líneas
(2 controles)
directrices de la organización en materia de seguridad, aprobarlas y publicarlas
de la forma adecuada a todo el personal implicado en la seguridad de la
organización (empleados y partes interesadas).

Analizar y Revisar la Norma ISO 27001

17
 Objetivo de Control: establecer un marco de trabajo de gestión para iniciar
y controlar la implantación y operación de la seguridad de la información
dentro de la organización:

La organización debe definir cada uno de los roles y responsabilidades

A.6 Organización de la implicados, eliminar los conflictos de intereses por medio de la segregación de
Seguridad de la las tareas incompatibles, mantener contactos con las autoridades relevantes con
Información relación al SGSI, mantener vínculos con grupos de interés y foros profesionales
(7 controles) y tratar los riesgos de seguridad de la información en la gestión de proyectos.

Objetivo de Control: proteger el teletrabajo y uso de dispositivos móviles.

Se deben establecer políticas para gestionar los riesgos derivados del uso de
dispositivos móviles y el acceso, procesamiento o almacenamiento de
información desde ubicaciones externas.

Objetivo de Control: asegurar que los empleados y subcontratados

entienden sus responsabilidades y que son adecuadas para sus funciones:

Es necesario sistematizar un método de verificación de la experiencia y

credenciales de acuerdo con la legislación, necesidades del negocio y nivel de
riesgo en función de la información a la que se tendrá acceso. Las
responsabilidades deberán estar formalizadas en un contrato entre ambas
partes.

Objetivo de Control: asegurar que los empleados y subcontratados

A.7 Seguridad de los
conocen y cumplen con sus responsabilidades en materia de seguridad de
Recursos Humanos la información:

(6 controles) Se debe asegurar que los empleados y subcontratistas cumplen con las políticas
y procedimientos de seguridad vigentes, que reciben la adecuada formación y
que son conocedores del procedimiento disciplinario existente en caso de
incumplimiento.

Objetivo de Control: proteger los intereses de la organización como parte

del proceso de cambio de funciones o finalización de la relación
contractual con el empleado o subcontratado:

Las obligaciones y responsabilidades en materia de seguridad de la información,

una vez finalizada la relación laboral o cambio de puesto y que deban seguir
vigentes, se comunicarán al empleado o subcontratista.

Analizar y Revisar la Norma ISO 27001

18
 Objetivo de Control: identificar los activos de la organización y definir
adecuadas responsabilidades para su protección:

Establecimiento de un inventario de los activos asociados con la información e

infraestructura para su procesamiento, detallando propietarios, así como las
normas de uso aceptable y su devolución en caso de finalización de la relación
contractual entre la organización y el empleado u otra parte interesada.

Objetivo de Control: asegurar que la documentación recibe un adecuado

nivel de protección en función de su importancia para la organización:
A.8 Gestión de Activos
La información se clasificará aplicando diferentes criterios (requisitos legales,
(10 controles)
nivel de riesgo, criticidad…) y se procederá a su marcado o etiquetado en
función de las políticas definidas. Además, será necesario establecer
mecanismos para la manipulación de los activos en función de la clasificación
definida.

Objetivo de Control: prevenir la divulgación no autorizada, modificación,

eliminación o destrucción de información almacenada en los medios de
información:

Los medios que contienen información estarán protegidas contra no autorizado

el acceso, el uso indebido o la corrupción durante su transporte.

Analizar y Revisar la Norma ISO 27001

19
 Objetivo de Control: limitar el acceso a la información e infraestructura de
procesamiento de información:

Los medios que contienen información estarán protegidas contra no

autorizado el acceso, el uso indebido o la corrupción durante su
transporte.

Objetivo de Control: asegurar el acceso autorizado y prevenir los accesos

no autorizados a los sistemas y servicios:

Implantación de un proceso formal de registro, modificación y eliminación de

usuarios, incluyendo los permisos y la revisión periódica de los derechos de
A.9 Control de Acceso acceso.

(14 controles) Objetivo de Control: hacer a los usuarios responsables de proteger su

información de autenticación:

Los usuarios deben aplicar las directrices definidas por la organización con
relación al uso de la información secreta para la autenticación.

Objetivo de Control: prevenir el acceso no autorizado a sistemas y

aplicaciones:

Implantación de métodos para restringir el acceso a la información,

procedimientos seguros de inicio de sesión, contraseñas robustas, acceso al
código fuente de los programas y control exhaustivo de las herramientas que
tengan la capacidad de romper las medidas de seguridad de acceso a sistemas
y aplicaciones.

Objetivo de Control: asegurar el uso adecuado y efectivo de la criptografía

A.10 Criptografía para proteger la confidencialidad, autenticidad y / o integridad de la
información:
(2 controles)

Definir una política de uso de controles criptográficos y uso de claves.

Analizar y Revisar la Norma ISO 27001

20
 Objetivo de Control: prevenir el acceso físico no autorizado, daños e
interferencias en la información e infraestructuras de procesamiento de
información de la organización.

Establecimiento de un perímetro de seguridad con controles físicos de entrada.

A.11 Seguridad Física y Existencia de protección contra amenazas ambientales (fuego, agua,
Ambiental temperatura) en las zonas seguras, oficinas y salas con infraestructura.

(15 controles) Objetivo de Control: evitar la pérdida, daño, robo de los activos y la
interrupción de las operaciones de la organización.

Implantación de políticas para la protección de los equipos, suministro eléctrico y

cableado, así como su mantenimiento, reutilización o eliminación. Además se
requiere la definición de políticas en caso de equipo desatendidos por el usuario
y mesas y escritorio limpios.

Analizar y Revisar la Norma ISO 27001

21
 Objetivo de Control: confirmar que la infraestructura de procesamiento de
la información opera de forma segura y correcta.

Aplicación de documentos que describan los procedimientos operacionales, la

gestión de cambios, gestión de la capacidad y la separación de los entornos de
desarrollo, pruebas y producción.

Objetivo de Control: asegurar que la información y la infraestructura de

procesamiento de la información están protegidas frente a malware.

Objetivo de Control: protección frente a pérdida de datos.

Objetivo de Control: registrar eventos y generar evidencias.

A.12 Seguridad de las Se requiere registrar las actividades de los usuarios y sistemas, así como fallos
Operaciones y eventos que atenten contra la seguridad de la información.
(14 controles)
Objetivo de Control: asegurar la integridad de los sistemas operacionales.

Objetivo de Control: prevenir la explotación de las vulnerabilidades

técnicas.

La organización debe conocer el grado de exposición frente a vulnerabilidades

técnicas de sus sistemas de información, así como implantar políticas para la
instalación restringido de software.

Objetivo de Control: minimizar el impacto de las actividades de auditoría

en los sistemas operacionales.

Las actividades de auditoría de los sistemas de información deben estar

cuidadosamente planificadas y con el objeto de minimizar las interrupciones en
los procesos del negocio.

Analizar y Revisar la Norma ISO 27001

22
 Objetivo de Control: asegurar la protección de la información en redes de
comunicaciones y en sus recursos de procesamiento de soporte.

Se deben aplicar medidas de seguridad en la red para proteger la información

A.13 Seguridad de las en sistemas y aplicaciones. Estos requerimientos se tienen que evidenciar en los
Comunicaciones contratos con las empresas que presten servicios de red.

(7 controles) Objetivo de Control: mantener la seguridad en la información transferida

entre la organización y cualquier entidad externa.

Definición de políticas, procedimientos y controles formales para gestionar la

transferencia con independencia del tipo e infraestructura que se use. Estos
requisitos se deberán plasmar en los contratos y acuerdos de confidencialidad.

A.14 Adquisición,
Desarrollo y
Objetivo de Control: garantizar que la seguridad de la información es parte
Mantenimiento de integral de todo el ciclo de vida de los sistemas de información.
sistemas
Esto también incluye los requisitos para los sistemas de información que
(13 controles) proporcionan servicios sobre de redes públicas.

Objetivo de Control: garantizar que la seguridad de la información forma

parte del diseño e implantación del ciclo de vida de los sistemas de
información.
A.14 Adquisición,
Desarrollo y
Mantenimiento de Formalización de políticas de desarrollo seguro de software y sistemas,
sistemas incluyendo procedimientos de control de cambios, revisión técnica después del
despliegue de los cambios, restricción de cambios en los paquetes de software,
(13 controles) pruebas de seguridad, etc.

Objetivo de Control: asegurar la protección de los datos usados durante

las pruebas.

Objetivo de Control: asegurar la protección de los activos de la

organización que son accesibles por proveedores.

Los requisitos de seguridad para la mitigación de los riesgos asociados por el

A.15 Relaciones con
proveedores acceso de terceros deben estar documentados y acordados con el proveedor,
incluyendo todos los escenarios aplicables (acceso, procesamiento,
(5 controles) almacenamiento, comunicación o suministro de infraestructura TI).

Objetivo de Control: mantener el nivel de seguridad de la información y la

prestación de los servicios de acuerdo con los acuerdos con los
proveedores.

Analizar y Revisar la Norma ISO 27001

23
 Objetivo de Control: garantizar un enfoque coherente y eficaz para la
A.16 Gestión de los
Incidentes de gestión de los incidentes de seguridad de la información, incluyendo la
Seguridad de la comunicación de eventos de seguridad y las debilidades.
Información
Necesidad de establecer responsabilidades y procedimientos para la
(7 controles) notificación, reporte, evaluación, tratamiento, aprendizaje y registro de los
incidentes, debilidades y eventos de seguridad de la información.

Objetivo de Control: la continuidad de la seguridad de la información debe

A.17 Aspectos de estar incluida en los sistemas de gestión de la continuidad del negocio.
Seguridad de la
Información de la La organización debe determinar sus requisitos de seguridad de la información y
Gestión de la continuidad del negocio en situaciones adversas, por ejemplo durante una crisis
Continuidad del o desastre, documentando procedimientos de actuación y definiendo
Negocio
mecanismos para verificar, revisa y evaluar su eficacia.
(4 controles)
Objetivo de Control: asegurar la disponibilidad de las infraestructuras de
procesamiento de la información.

Objetivo de Control: evitar incumplimientos de las obligaciones legales,

estatutarias, reglamentarias o contractuales en materia de seguridad de la
información y cualquier requisito de seguridad.
A.18 Cumplimiento
Se deberán contemplar obligaciones en materia de privacidad y protección de
(8 controles) datos de carácter personal, propiedad intelectual, criptografía, registros, etc.

Objetivo de Control: asegurar que la seguridad de la información se

implanta y opera de acuerdo con las políticas y procedimientos de la
organización.

Analizar y Revisar la Norma ISO 27001

24
HABILIDADES

TRABAJO INDIVIDUAL

Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”

Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.

CASO PRÁCTICO

Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo o temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.

Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.

DEBATE

Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.

Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.

Analizar y Revisar la Norma ISO 27001

25
ACTITUD

CONTROL DE DOCUMENTOS Y ANÁLISIS DE LA INFORMACIÓN

Los documentos deben estar perfectamente identificados, mediante procedimientos que permitan asegurar
la confidencialidad, integridad y disponibilidad de la información.

La mejora continua está directamente relacionada con la implementación de todas aquellas herramientas de
producción necesarias para un mejor aprovechamiento de las tecnologías de la información y la
comunicación.

Si se revisan y actualizan convenientemente los documentos que contienen información valiosa, por
ejemplo la relacionada con clientes o proveedores, se podrá conseguir que esta información esté
permanentemente actualizada y sea veraz, indistintamente de quien la utilice.

Es más fácil resolver cualquier situación o problema, si se analiza paso a paso el problema y se manejan
convenientemente tanto las herramientas informáticas que se requieran como las habilidades mentales que
toda persona posee, en unas personas poco potenciadas y en otras altamente desarrolladas.

No es fácil analizar una situación, y muchas veces pensamos que no seremos capaces de ver claramente y
con detalle cuáles son las causas de por qué se ha producido determinado hecho. En todos los casos, es
conveniente utilizar la información de la que disponemos para preguntarnos el porqué de las cosas, por qué
ha ocurrido tal situación.

Analizar y Revisar la Norma ISO 27001

26
NOTAS

Analizar y Revisar la Norma ISO 27001

27
 902 350 077
formacion@bvbs.es

Analizar y
www.bureauveritasformacion.com Revisar la Norma ISO 27001

 Bureau Veritas Formación, S.A. Unipersonal

Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.

Analizar y Revisar la Norma ISO 27001

28