Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Icif J003.iso27001 02 PDF
Icif J003.iso27001 02 PDF
Define responsabilidades
sobre la SI y entrega
Controles para la celebración
disposiciones el uso de
de contratos y realizar
dispositivos móviles y seguimiento a proveedores.
situaciones de teletrabajo.
Reporte de eventos y
debilidades, así como
Controles para las situaciones procedimientos de respuesta.
previas y posteriores a la
contratación y finalización de
contrato de personal. Controles referidos a la
planificación de continuidad
de negocio.
Controles que establecen Controles para garantizar factores Control sobre la seguridad Controles que ayudan a identificar
los requisitos de seguridad externos, seguridad de equipo y de las redes, transmisión de regulaciones asociadas con SI y hacer que se
en desarrollo y soporte. medios físicos variados. información, mensajería. cumplan.
Objetivo
Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del
negocio, las leyes y las regulaciones.
Riesgos
• Daños físicos
• agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,
radiación electromagnética o térmica; por falta de referencias en la
comprobación/observancia en estos activos y/o de comunicación de anomalías.
• Pérdida de servicios esenciales
• agua, energía eléctrica, telecomunicaciones, aire acondicionado; por falta de referencias
en la comprobación/observancia en estos activos y/o de comunicación de anomalías
Riesgos
• Compromiso de información
• intercepción, espionaje en remoto y en proximidad, robo de equipos o documentos,
recuperación desde medios reciclados o desechados, divulgación, datos de fuentes no
fiables, manipulación de hardware y de software, detección de posición; por falta de
entendimiento común de las acciones de protección aplicables.
• Fallos técnicos
• mal funcionamiento de software y equipos, saturación del sistema de información,
exposición de la mantenibilidad del sistema de información; por falta de referencias en la
comprobación/observancia en estos activos y/o de comunicación de anomalías.
• Acciones no autorizadas
• Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o
copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de
datos; por falta de controles y mecanismos de gestión de usuarios e identidades.
• Compromiso de las funciones
• error en el uso, abuso de privilegios, falsificación de privilegios, denegación de acciones,
exposición de la disponibilidad del personal.
Establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la información
dentro de la organización.
Riesgos
Objetivo
Educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situación de actividad,
acerca de las medidas de seguridad relativas a sus funciones y de las expectativas depositadas en ellos en materia
de seguridad y asuntos de confidencialidad.
Riesgos
• Indefinición
• Falta de claridad y especificaciones de las tareas específicas que cada empleado debe
atender en su puesto de trabajo a diario.
• Falsificación
• Presentación de certificados que respaldan competencias que realmente no se garantizan
poniendo en riesgo la operativa y seguridad de la organización.
• Desconocimiento
• Falta de precisión en la forma en que se hará la verificación de que lo firmado
efectivamente está siendo llevado a la práctica en relación a las políticas y obligaciones
aplicables.
Objetivo
Entregar a la organización del conocimiento preciso sobre los activos que posee como parte
importante de la administración de riesgos.
Riesgos
• Activos
• Asignación no explícita o suficientemente clara de los activos, Reducción la comunicación de
situaciones de exposición al riesgo, Medidas de control que no pueden ser aplicadas, Uso
compartido de activos (sin propietario), Falta de inventario de activos y un proceso de
actualización asociado.
• Intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o
documentos, recuperación desde medios reciclados o desechados, divulgación, datos de
fuentes no fiables.
• Uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados,
procesamiento ilegal de datos.
Objetivo
Riesgos
Objetivo
Riesgos
Objetivo
Riesgos
• Daños físicos
• agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación.
• Eventos naturales
• climáticos, sísmicos, volcánicos, meteorológicos, inundaciones.
• Pérdida de servicios esenciales
• energía eléctrica, telecomunicaciones, aire acondicionado/agua.
• Afectaciones por radiación
• electromagnéticas, térmicas.
• Compromiso de información
• espionaje en proximidad, robo de equipos o documentos, divulgación, recuperación desde
medios reciclados o desechados, manipulación de hardware, manipulación de software.
Objetivo
Riesgos
• Compromiso de información
• intercepción, espionaje en remoto, divulgación, manipulación de software.
• Acciones no autorizadas
• uso no autorizado, de equipos, corrupción de datos, comportamientos no autorizados,
procesamiento ilegal de datos.
• Compromiso de las funciones
• error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones,
exposición de la disponibilidad de datos al personal.
Riesgos
• Compromiso de información
• intercepción, espionaje en remoto, , divulgación, datos de fuentes no fiables.
• Fallos técnicos
• falla o mal funcionamiento del equipo, saturación del sistema de información, mal
funcionamiento del software, exposición de la mantenibilidad del sistema de información.
• Acciones no autorizadas
• uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados,
procesamiento ilegal de datos.
• Compromiso de las funciones
• error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones,
exposición de la disponibilidad del personal
Objetivos
Riesgos
• Compromiso de información
• intercepción, espionaje en remoto, recuperación desde medios reciclados o deshechados,
divulgación, datos de fuentes no fiables, manipulación de software, detección de posición.
• Fallos técnicos
• falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento
del software, exposición de la mantenibilidad del sistema de información.
Objetivo
Riesgos
• Acceso
• A instalaciones de procesamiento de la información.
• Cuando se introduce un servicio o producto externo.
• De terceros a los dispositivos de tratamiento de información de la organización.
• Contratos
• Medidas de control de los contratos.
• Acuerdos de confidencialidad efectivos.
Objetivo
Garantizar que los eventos de seguridad de la información y las debilidades asociadas a los sistemas de
información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.
Riesgos
• Incidentes
• fraudes, malversaciones, eventos que trasgreden políticas.
• Impactos
• Desconocimiento del valor de activos afectados por incidentes, acciones no
controladas de terceros y contratistas.
Objetivo
Riesgos
• Planificación
• Falta de planes para enfrentar situaciones críticas.
• Ausencia de procesos organizacionales documentados.
• Ausencia de control de cambios.
• Controles de seguridad.
• Ineficacia de controles de seguridad tradicionales
• Ausencia de revisión de planes que enfrentan situaciones adversas (si exiten).
• Cambios abruptos en los sistemas de información, en los procesos o en los procedimientos.
Objetivo
Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la
organización y/o a los empleados que incurran en responsabilidad civil o penal como resultado de
incumplimientos.
Controles
• Mejor concienciación sobre la seguridad de la información. • Aporta diferenciales competitivos para la conquista de
• Mayor control de activos y de información sensible. clientes que valoran la certificación.
• Implementa políticas de control. • Mejora la organización de los procesos y mecanismos a
• Identifica y corrige puntos débiles. través del buen diseño y la buena gestión.
• Reduce el riesgo de responsabilidad por la no • Promueve reducción de costos a través de la prevención de
implementación de un SGSI o determinación de políticas y incidentes de seguridad de la información.
procedimientos. • Promueve la conformidad con la legislación y otras
reglamentaciones.
Controles
Métricas
1. Resumen: Política Resumen - Visión general de una extensión breve; una o dos frases y que pueden
aparecer fusionadas con la introducción.
2. Introducción: Breve explicación del asunto principal de la política.
3. Ámbito de aplicación: Descripción de los departamentos, áreas o actividades de una organización a
las que afecta/aplica la política. Cuando es relevante en este apartado se mencionan otras políticas
relevantes a las que se pretende dar cobertura desde ésta.
4. Objetivos: Descripción de la intención de la política.
5. Principios: Descripción de las reglas que conciernen a acciones o decisiones para alcanzar los
objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave
asociados con el asunto principal de la política para pasar posteriormente a identificar las reglas de
operación de los procesos.
6. Responsabilidades: Descripción de quién es responsable de qué acciones para cumplie con los
requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos
organizativos, así como las responsabilidades de las personas con roles designados.
7. Resultados clave: Descripción de los resultados relevantes para las actividades de la organización
que se obtienen cuando se cumplen los objetivos.
8. Políticas relacionadas: Descripción de otras políticas relevantes para el cumplimiento de los
objetivos, usualmente se indican detalles adicionales en relación a temas específicos.
Métricas
• Organización Interna.
• Porcentaje de funciones/unidades organizativas con una estrategia global para mantener los riesgos de SI bajo umbrales
aceptados por la dirección.
• Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de SI.
• Estado de la seguridad en entorno portátil / teletrabajo.
• Informe sobre el estado de equipos portátiles (laptops, PDAs, teléfonos móviles, etc.), y de teletrabajo (en casa de los
empleados, fuerza de trabajo móvil).
Controles
Métricas
• Empleados
• Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido
totalmente verificados y aprobados de acuerdo con las políticas de la empresa antes de comenzar a trabajar.
• Concienciación
• Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el número de e-mails y
llamadas relativas a iniciativas de concienciación individuales.
Controles
Controles
Métricas
• Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han
• (a) sido identificados.
• (b) aceptado formalmente sus responsabilidades.
• (c) llevado a cabo revisiones de accesos y seguridad de aplicaciones, basadas en riesgo.
• (d) definido las reglas de control de acceso basadas en roles.
• Tiempos
• Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos.
• Solicitudes
• Número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y
comentarios acerca de cualquier peak/valle (p. ej., "Implantada nueva aplicación financiera este mes").
• Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la
información: (a) totalmente documentadas y (b) formalmente aceptadas.
• Soportes
• Porcentaje de soportes de backup o archivo que están totalmente encriptados.
Controles
Métricas
• Sistemas
• Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente
controles criptográficos apropiados (periodo de reporte de 3 a 12 meses).
Controles Métricas
A.11.1: Areas seguras. • Inspecciones
A.11.1.1: Perímetro de seguridad física. • Informes periódicos de seguridad física de
A.11.1.2: Controles de entrada. instalaciones, con actualización regular del estado de
A.11.1.3: Seguridad de oficinas. las medidas correctivas identificadas en inspecciones
A.11.1.4: Protección contra amenazas ambientales. previas que aún estén pendientes.
A.11.1.5: Trabajo en áreas seguras. • Número de revisiones (a personas a la salida y a
A.11.1.6: Areas de acceso público, carga y descarga. existencias en stock) realizados en el último mes y
A.11.2: Seguridad de los equipos porcentaje de chequeos que evidenciaron
A.11.2.1: Emplazamiento y protección. movimientos no autorizados de equipos o soportes
A.11.2.2: Instalaciones de suministro. informáticos u otras cuestiones de seguridad.
A.11.2.3: Seguridad del cableado. • Informes periódicos a los equipos, incluyendo
A.11.2.4: Mantenimiento de equipos. actividades para la revisión de rendimiento, capacidad,
A.11.2.5: Salida de equipos. eventos de seguridad y limpieza de los diversos
A.11.2.6: Seguridad fuera de las instalaciones. componentes (aplicaciones, almacenamiento, CPU,
A.11.2.7: Reutilización o retiro de equipos. memoria, red, etc).
A.11.2.8: Equipo de usuario desatendido.
A.11.2.9: Política de puesto de trabajo despejado.
Controles
Métricas
• Firewalls
• Porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a
páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en
insignificantes / preocupantes / críticos).
• Incidentes
• Número de incidentes de seguridad de red identificados en el mes anterior, dividido por
categorías (leve, importante, grave)
• A análisis de tendencias de incidentes.
• Enlaces
• Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado
satisfactoriamente los requisitos de SI.
Controles Métricas
Controles
Métricas
• Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo
y estimadas como seguras.
• Costo del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio.
• Evaluación del rendimiento de proveedores incluyendo la calidad de servicio, entrega y costo.
Controles
Métricas
• Número y gravedad de incidentes; evaluaciones de los costos de analizar, detener y reparar los incidentes y
cualquier pérdida tangible o intangible producida.
• Porcentaje de incidentes de seguridad que han causado costos por encima de umbrales aceptables definidos por
la dirección.
• Estadísticas de Mesa de Ayuda de TI, con análisis sobre el número y tipos de llamadas relativas a SI.
Controles
Métricas
• Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida
(requerido/especificado/documentado/probado).
• Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente:
• (a) documentados
• (b) probados de manera apropiada en los últimos 12 meses.
Controles
A.18.1: Cumplimiento de los requisitos legales y contractuales. A.18.2: Revisiones de la seguridad de la información.
A.18.1.1: Identificación de la legislación aplicable. A.18.2.1: Revisión independiente de la seguridad de la información.
A.18.1.2: Derechos de propiedad intelectual (DPI). A.18.2.2: Cumplimiento de las políticas y normas de seguridad.
A.18.1.3: Protección de los registros de la organización. A.18.2.3: Comprobación del cumplimiento.
A.18.1.4: Protección de datos y privacidad de la información personal.
A.18.1.5: Regulación de los controles criptográficos.
Métricas
• Número de recomendaciones de política interna y otros aspectos de cumplimiento, agrupadas y analizadas por
su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
• Porcentaje de revisiones de SI sin incumplimientos sustanciales.
• Número de recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas,
retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
• Porcentaje de hallazgos de auditoría relativos a SI que han sido resueltos y cerrados, respecto al total de
abiertos en el mismo periodo.
• Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección.
How ISO 27001 can help you comply with the GDPR
https://www.itgovernance.co.uk/gdpr-and-iso-27001