Norma ISO-27001:2013

Norma internacional emitida por la Organización Internacional de

Estandarización (ISO) donde describe cómo gestionar la seguridad de la
información en una empresa. La versión revisada mas reciente es ISO-
27001:2013.

Es una norma certificable a través de organizaciones independientes que

validan si una empresa gestiona la seguridad de la información cumpliendo con
la norma.

Está compuesta de 114 controles de seguridad, distribuidos en 14 dominios.

Cada control es explicado en detalle en ISO-27002.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 Norma ISO-27001:2013
Inventario, clasificación de Control del acceso a la información, a
información y manejo de los las aplicaciones y a cualquier otro
medios de almacenamiento. medio que contenga información.
Controles relacionados con gestión
de la protección de malware o
vulnerabilidades.

Controles sobre cómo escribir

y revisar políticas de Controles para gestionar la
seguridad. encriptación de información.

Define responsabilidades
sobre la SI y entrega
Controles para la celebración
disposiciones el uso de
de contratos y realizar
dispositivos móviles y seguimiento a proveedores.
situaciones de teletrabajo.
Reporte de eventos y
debilidades, así como
Controles para las situaciones procedimientos de respuesta.
previas y posteriores a la
contratación y finalización de
contrato de personal. Controles referidos a la
planificación de continuidad
de negocio.

Controles que establecen Controles para garantizar factores Control sobre la seguridad Controles que ayudan a identificar
los requisitos de seguridad externos, seguridad de equipo y de las redes, transmisión de regulaciones asociadas con SI y hacer que se
en desarrollo y soporte. medios físicos variados. información, mensajería. cumplan.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

A5 – Directrices de la Dirección en Seguridad de la información (1)

Objetivo

Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del
negocio, las leyes y las regulaciones.

Riesgos

• Daños físicos
• agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,
radiación electromagnética o térmica; por falta de referencias en la
comprobación/observancia en estos activos y/o de comunicación de anomalías.
• Pérdida de servicios esenciales
• agua, energía eléctrica, telecomunicaciones, aire acondicionado; por falta de referencias
en la comprobación/observancia en estos activos y/o de comunicación de anomalías

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

A5 – Directrices de la Dirección en Seguridad de la información (2)

Riesgos

• Compromiso de información
• intercepción, espionaje en remoto y en proximidad, robo de equipos o documentos,
recuperación desde medios reciclados o desechados, divulgación, datos de fuentes no
fiables, manipulación de hardware y de software, detección de posición; por falta de
entendimiento común de las acciones de protección aplicables.
• Fallos técnicos
• mal funcionamiento de software y equipos, saturación del sistema de información,
exposición de la mantenibilidad del sistema de información; por falta de referencias en la
comprobación/observancia en estos activos y/o de comunicación de anomalías.
• Acciones no autorizadas
• Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o
copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de
datos; por falta de controles y mecanismos de gestión de usuarios e identidades.
• Compromiso de las funciones
• error en el uso, abuso de privilegios, falsificación de privilegios, denegación de acciones,
exposición de la disponibilidad del personal.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A6 – Organización de la Seguridad de la información
Objetivo

Establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la información
dentro de la organización.

Riesgos

• Multiplicación innecesaria de recursos y responsabilidades

• conflictos internos, políticas contrapuestas y/o incompatibles entre sí.
• Errores humanos
• intencionados o involuntarios, explotación de privilegios por terceros, falta de supervisión.
• Información
• no disponer de información relevante para la SI de forma oportuna, rápida y directa para hacer
frente a las incidencias.
• Aislamiento
• pérdida de competencias de roles involucrados en la SI, desactualización de conocimientos para mantener
niveles de sensibilidad y concientización adecuados y para mantener la capacidad de observar riesgos y
establecer posibles estrategias para su gestión.
• Decisiones
• expuestas a vulnerabilidades y ataques.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A7 – Seguridad de RRHH

Objetivo

Educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situación de actividad,
acerca de las medidas de seguridad relativas a sus funciones y de las expectativas depositadas en ellos en materia
de seguridad y asuntos de confidencialidad.

Riesgos

• Indefinición
• Falta de claridad y especificaciones de las tareas específicas que cada empleado debe
atender en su puesto de trabajo a diario.
• Falsificación
• Presentación de certificados que respaldan competencias que realmente no se garantizan
poniendo en riesgo la operativa y seguridad de la organización.
• Desconocimiento
• Falta de precisión en la forma en que se hará la verificación de que lo firmado
efectivamente está siendo llevado a la práctica en relación a las políticas y obligaciones
aplicables.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A8 – Gestión de Activos

Objetivo

Entregar a la organización del conocimiento preciso sobre los activos que posee como parte
importante de la administración de riesgos.

Riesgos

• Activos
• Asignación no explícita o suficientemente clara de los activos, Reducción la comunicación de
situaciones de exposición al riesgo, Medidas de control que no pueden ser aplicadas, Uso
compartido de activos (sin propietario), Falta de inventario de activos y un proceso de
actualización asociado.
• Intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o
documentos, recuperación desde medios reciclados o desechados, divulgación, datos de
fuentes no fiables.
• Uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados,
procesamiento ilegal de datos.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A9 – Control de Acceso

Objetivo

Controlar el acceso por medio de un sistema de restricciones y excepciones a la información contenida

a cualquier sistema de información, redes u otra plataforma.

Riesgos

• Pérdida de servicios esenciales

• energía eléctrica, telecomunicaciones, aire acondicionado/agua en accesos a sistemas IoT o
industriales
• Compromiso de información
• intercepción, divulgación, manipulación de hardware, manipulación de software.
• Compromiso de funciones
• escalamiento de privilegios desde cuentas básicas y genéricas.
• Acciones no autorizadas
• Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o
copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A10 – Cifrado de Datos

Objetivo

Uso de sistemas y técnicas criptográficas para la protección de la información en base al análisis de

riesgo, con el fin de asegurar una adecuada protección de su confidencialidad e integridad.

Riesgos

• Pérdida de servicios esenciales

• Telecomunicaciones.
• Compromiso de información
• intercepción, espionaje en remoto, robo de equipos, recuperación desde medios
reciclados o desechados, divulgación, manipulación de software.
• Acciones no autorizadas
• uso no autorizado de equipos, corrupción de datos, comportamientos no
autorizados, procesamiento ilegal de datos.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A11 – Seguridad Física y Ambiental

Objetivo

Minimizar los riesgos de daños e interferencias a la información y a las operaciones de la organización.

Riesgos

• Daños físicos
• agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación.
• Eventos naturales
• climáticos, sísmicos, volcánicos, meteorológicos, inundaciones.
• Pérdida de servicios esenciales
• energía eléctrica, telecomunicaciones, aire acondicionado/agua.
• Afectaciones por radiación
• electromagnéticas, térmicas.
• Compromiso de información
• espionaje en proximidad, robo de equipos o documentos, divulgación, recuperación desde
medios reciclados o desechados, manipulación de hardware, manipulación de software.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A12 – Seguridad en la Operaciones

Objetivo

Controlar la existencia de los procedimientos de operaciones y el desarrollo y mantenimiento de

documentación actualizada relacionada.

Riesgos

• Compromiso de información
• intercepción, espionaje en remoto, divulgación, manipulación de software.
• Acciones no autorizadas
• uso no autorizado, de equipos, corrupción de datos, comportamientos no autorizados,
procesamiento ilegal de datos.
• Compromiso de las funciones
• error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones,
exposición de la disponibilidad de datos al personal.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A13 – Seguridad en Redes de Comunicación
Objetivo

Asegurar la protección de la información que se comunica por redes telemáticas y la protección de la

infraestructura de soporte.

Riesgos

• Compromiso de información
• intercepción, espionaje en remoto, , divulgación, datos de fuentes no fiables.
• Fallos técnicos
• falla o mal funcionamiento del equipo, saturación del sistema de información, mal
funcionamiento del software, exposición de la mantenibilidad del sistema de información.
• Acciones no autorizadas
• uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados,
procesamiento ilegal de datos.
• Compromiso de las funciones
• error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones,
exposición de la disponibilidad del personal

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A14 – Desarrollo de Software

Objetivos

1. Asegurar la inclusión de controles de seguridad y validación de datos en la adquisición y el desarrollo de los

sistemas de información.
2. Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y
en la infraestructura de base.
3. Definir los métodos de protección de la información crítica o sensible.

Riesgos

• Compromiso de información
• intercepción, espionaje en remoto, recuperación desde medios reciclados o deshechados,
divulgación, datos de fuentes no fiables, manipulación de software, detección de posición.
• Fallos técnicos
• falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento
del software, exposición de la mantenibilidad del sistema de información.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A15 – Gestión de Proveedores

Objetivo

Implementar y mantener el nivel apropiado de seguridad de la información y la entrega de los servicios

contratados, en línea con los acuerdos de entrega de servicios de terceros.

Riesgos

• Acceso
• A instalaciones de procesamiento de la información.
• Cuando se introduce un servicio o producto externo.
• De terceros a los dispositivos de tratamiento de información de la organización.
• Contratos
• Medidas de control de los contratos.
• Acuerdos de confidencialidad efectivos.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A16 – Gestión de Incidentes de Seguridad

Objetivo

Garantizar que los eventos de seguridad de la información y las debilidades asociadas a los sistemas de
información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.

Riesgos

• Incidentes
• fraudes, malversaciones, eventos que trasgreden políticas.
• Impactos
• Desconocimiento del valor de activos afectados por incidentes, acciones no
controladas de terceros y contratistas.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A17 – Gestión de la Continuidad del Negocio

Objetivo

Preservar la seguridad de la información durante las fases de activación, de desarrollo de procesos,

procedimientos y planes para la continuidad de negocio y de vuelta a la normalidad.

Riesgos

• Planificación
• Falta de planes para enfrentar situaciones críticas.
• Ausencia de procesos organizacionales documentados.
• Ausencia de control de cambios.
• Controles de seguridad.
• Ineficacia de controles de seguridad tradicionales
• Ausencia de revisión de planes que enfrentan situaciones adversas (si exiten).
• Cambios abruptos en los sistemas de información, en los procesos o en los procedimientos.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A18 – Gestión del Cumplimiento

Objetivo

Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la
organización y/o a los empleados que incurran en responsabilidad civil o penal como resultado de
incumplimientos.

Controles

• Políticas, regulaciones, leyes.

• Ausencia de revisión de las políticas de seguridad.
• Procesos y Sistemas
• Ausencia de control sobre plataformas técnicas y sistemas de información.
• Ausencia de evaluación de controles de seguridad sobre procesos, sistemas y
plataformas.
• Compromiso de la dirección.
• Auditorías
• Auditorías TI calificadas que utilicen ISO 27001, COBIT, ITIL, CMM y estándares y
métodos de buenas prácticas similares como referencias de comparación.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2


A.17.1.1 Planning Information Security Continuity.
A.17.1.2 Implementing Information Security Continuity.
A.17.1.3 Verify, Review & Evaluate Information Security Continuity.
A.17.2.1 Availability of Information Processing Facilities.
A.16.1.1 Responsibilities & Procedures.
A.16.1.2 Reporting Information Security Events.
A.16.1.3 Reporting Information Security Weaknesses.
A.16.1.4 Assessment of & Decision on Information Security Events.
A.16.1.5 Response to Information Security Incidents.
A.16.1.6 Learning from Information Security Incidents.
A.16.1.7 Collection of Evidence.
A.15.1.1 Information Security Policy for Supplier Relationships.
A.15.1.2 Addressing Security Within Supplier Agreements.
A.15.1.3 Information & Communication Technology Supply Chain.
A.15.2.1 Monitoring & Review of Supplier Services.
A.15.2.2 Managing Changes to Supplier Services.
A.14.1.1 Information Security Requirements Analysis &
Specification.
A.14.1.2 Securing Application Services on Public
Networks.
A.14.1.3 Protecting Application Services Transactions.
A.14.2.1 Secure Development Policy.
A.14.2.2 System Change Control Procedures.
A.14.2.3 Technical Review of Applications After
Operating Platform Changes.
A.14.2.4 Restrictions on Changes to Software Packages.
A.14.2.5 Secure System Engineering Principles.
A.14.2.6 Secure Development Environment.
A.14.2.7 Outsourced Development.
A.14.2.8 System Security Testing.
A.14.2.9 System Acceptance Testing.
A.14.3.1 Protection of Test Data.
A.13.1.1 Network Controls.
A.13.1.2 Security of Network Services.
A.13.1.3 Segregation in Networks.
A.13.2.1 Information Transfer Policies & Procedures.
A.13.2.2 Agreements on Information Transfer.
A.13.2.3 Electronic Messaging.
A.13.2.4 Confidentiality or Non-Disclosure Agreements.
A.18.1.1 Identification of Applicable Legislation & Contractual Requirements.
A.18.1.2 Intellectual Property Rights.
A.18.1.3 Protection of Records.
A.18.1.4 Privacy & Protection of Personally Identifiable Information.
A.5.1.1 Policies for Information Security.
A.5.1.2 Review of the policies for information security.
ISO 27001:2013
A.18.1.5 Regulation of Cryptographic Controls.
A.18.2.1 Independent Review of Information Security.
A.18.2.2 Compliance with Security Policies & Standards.
A.6.1.1 Information Security Roles & Responsibilities.
A.18.2.3 Technical Compliance Review.
A.6.1.2 Segregation of Duties.
A.6.1.3 Contact with Authorities
A.6.1.4 Contact with Special Interest Groups
A.6.1.5 Information Security in Project Management.
A.6.1.1 Screening.
A.6.1.2 Terms & Conditions of Employment
A.6.2.1 Management responsibilities
A.6.2.2 Information Security Awareness, Education & Training
A.6.2.3 Disciplinary Process
A.6.4.1 Termination or change of employment responsibilities.
A.6.1.1 Inventory of Assets.
A.6.1.2 Ownership of Assets.
A.6.1.3 Acceptable Use of Assets.
A.6.1.4 Return of Assets.
A.6.2.1 Classification of Information
A.6.2.2 Labelling of Information
A.6.2.3 Handling of Assets.
A.6.4.1 Management of Removable Media
A.6.4.2 Disposal of Media
A.6.4.3 Physical Media Transfer
A.6.1.1 Access Control Policy
A.6.1.2 Access to Networks and Network Services
A.6.2.1 User Registration and Deregistration
A.6.2.2 User Access Provisioning
A.6.2.3 Management of Privileged Access Rights
A.6.2.4 Management of Secret Authentication Information of Users
A.6.2.5 Review of User Access Rights
A.12.1.1 Documented Operating Procedures. A.6.1.1 Physical Security Perimeter. A.6.2.6 Removal or Adjustment of Access Rights.
A.12.1.2 Change Management. A.6.1.2 Physical Entry Controls. A.6.4.1 Use of Secret Authentication Information.
A.12.1.3 Capacity Management. A.6.1.3 Securing Offices, Rooms and Facilities. A.6.4.1 Information Access Restriction.
A.12.1.4 Separation of Development, Testing & Operational Environments. A.6.1.4 Protecting against External & Environmental Threats. A.6.4.2 Secure log-on Procedures
A.12.2.1 Controls Against Malware. A.6.1.5 Working in Secure Areas. A.6.4.3 Password Management System
A.12.3.1 Information Backup. A.6.1.6 Delivery & Loading Areas. A.6.4.4 Use of Privileged Utility Programmes.
A.12.4.1 Event Logging. A.6.2.1 Equipment Siting & Protection. A.6.4.5 Access Control to Program Source Code.
A.12.4.2 Protection of Log Information. A.6.2.2 Supporting Utilities.
A.12.4.3 Administrator & Operator Logs. A.6.2.3 Cabling Security.
A.12.4.4 Clock Synchronisation. A.6.2.4 Equipment Maintenance.
A.12.5.1 Installation of Software on Operational Systems. A.6.2.5 Removal of Assets. A.6.1.1 Policy on the use of Cryptographic Controls.
A.12.6.1 Management of Technical Vulnerabilities. A.6.2.6 Security of Equipment & Assets Off-Premises. A.6.1.2 Key Management.
A.12.6.2 Restrictions on Software Installation. A.6.2.7 Secure Disposal or Re-Use of Equipment.
A.12.7.1 Information Systems Audit Controls. A 11.2.8 Unattended User Equipment.
A.6.2.9 Clear Desk & Screen Policy.
 Controles ISO-27002
• ISO/IEC 27002 es una norma que establece el código de mejores prácticas para apoyar la implantación del Sistema de
Gestión de Seguridad de la Información (SGSI) en las organizaciones.
• ISO-27002 es un apoyo para la implementación de ISO27001, a través del suministro de una guía que describe cómo se
pueden establecer los controles de cada dominio de ISO27001. Cada control es elegido en base a una evaluación de riesgos de
los activos más importantes de la empresa.
• El objetivo de ISO-27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la
gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y
administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. La certificación es una
decisión que trae varios beneficios:

• Mejor concienciación sobre la seguridad de la información.
• Mayor control de activos y de información sensible.
• Implementa políticas de control.
• Identifica y corrige puntos débiles.
• Reduce el riesgo de responsabilidad por la no
implementación de un SGSI o determinación de políticas y
procedimientos.
• Aporta diferenciales competitivos para la conquista de
clientes que valoran la certificación.
• Mejora la organización de los procesos y mecanismos a
través del buen diseño y la buena gestión.
• Promueve reducción de costos a través de la prevención de
incidentes de seguridad de la información.
• Promueve la conformidad con la legislación y otras
reglamentaciones.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

A5 – Directrices de la Dirección en Seguridad de la información

Controles

A.5.1: Directrices de la Dirección en seguridad de la información

A.5.1.1: Políticas para la seguridad de la información.
A.5.1.2: Revisión de las políticas de seguridad de la información.

Métricas

• Cobertura de las políticas

• porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito,
aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.
• Grado de despliegue y adopción de las políticas en la organización medido por auditoría,
gerencia o auto-evaluación.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

A5 – Directrices de la Dirección en Seguridad de la información

Estructura típica de una política de seguridad

1. Resumen: Política Resumen - Visión general de una extensión breve; una o dos frases y que pueden
aparecer fusionadas con la introducción.
2. Introducción: Breve explicación del asunto principal de la política.
3. Ámbito de aplicación: Descripción de los departamentos, áreas o actividades de una organización a
las que afecta/aplica la política. Cuando es relevante en este apartado se mencionan otras políticas
relevantes a las que se pretende dar cobertura desde ésta.
4. Objetivos: Descripción de la intención de la política.
5. Principios: Descripción de las reglas que conciernen a acciones o decisiones para alcanzar los
objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave
asociados con el asunto principal de la política para pasar posteriormente a identificar las reglas de
operación de los procesos.
6. Responsabilidades: Descripción de quién es responsable de qué acciones para cumplie con los
requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos
organizativos, así como las responsabilidades de las personas con roles designados.
7. Resultados clave: Descripción de los resultados relevantes para las actividades de la organización
que se obtienen cuando se cumplen los objetivos.
8. Políticas relacionadas: Descripción de otras políticas relevantes para el cumplimiento de los
objetivos, usualmente se indican detalles adicionales en relación a temas específicos.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A6 – Organización de la Seguridad de la información
Controles

A.6.1: Organización Interna. A.6.2: Movilidad y Teletrabajo.

A.6.1.1: Asignación de responsabilidades para la SI. A.6.2.1 Política de dispositivo móvil.
A.6.1.2: Segregación de deberes. A.6.2.2 Teletrabajo.
A.6.1.3: Contacto con autoridades.
A.6.1.4: Contacto con grupos de intereses especiales.
A.6.1.5: Seguridad de la información en la gestión de proyectos.

Métricas

• Organización Interna.
• Porcentaje de funciones/unidades organizativas con una estrategia global para mantener los riesgos de SI bajo umbrales
aceptados por la dirección.
• Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de SI.
• Estado de la seguridad en entorno portátil / teletrabajo.
• Informe sobre el estado de equipos portátiles (laptops, PDAs, teléfonos móviles, etc.), y de teletrabajo (en casa de los
empleados, fuerza de trabajo móvil).

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A7 – Seguridad de RRHH

Controles

A.7.1: Antes de la Contratación. A.7.2: Durante la contratación.

A.7.1.1: Investigación de Antecedentes. A.7.2.1: Responsabilidades de Gestión.
A.7.1.2: Términos y Condiciones de contratación. A.7.2.2: Concienciación, educación y capacitación en SI.
A.7.2.3: Proceso disciplinario.
A.7.3: Cese o Cambio.
A.7.3.1: Cese o cambio de puesto de trabajo.

Métricas

• Empleados
• Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido
totalmente verificados y aprobados de acuerdo con las políticas de la empresa antes de comenzar a trabajar.
• Concienciación
• Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el número de e-mails y
llamadas relativas a iniciativas de concienciación individuales.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A8 – Gestión de Activos

Controles

A.8.1: Responsabilidad sobre los activos. A.8.2: Clasificación de la Información

A.8.1.1: Inventario de Activos.
A.8.1.2: Propiedad de los Activos.
A.8.1.3: Uso aceptable de los activos.
A.8.1.4: Devolución de los activos.
Métricas
A.8.2.1: Directrices.
A.8.2.2: Etiquetado y manipulación de la información.
A.8.2.3: Manipulación de Activos.
A.8.3: Soportes de almacenamiento.
A.8.3.1: Gestión de medios de soporte extraíble.
A.8.3.2: Eliminación de medios de soporte.
A.8.3.3: Gestión de medios de soporte físicos.

• Porcentaje de activos de información

• en fase de clasificación (identificado, inventariado, propietario asignado, riesgo evaluado, clasificado, asegurado).
• para los cuales se ha implantado una estrategia global para mitigar riesgos y mantenerlos en niveles aceptables.
• en cada categoría de clasificación (incluida la de "aún sin clasificar").
• Soportes
• Porcentaje de soportes de backup o archivo que están totalmente encriptados.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A9 – Control de Acceso (1)

Controles

A.9.1: Requisitos de negocio.

A.9.1.1: Política de Control de Acceso.
A.9.1.2: Control de Acceso a Redes y Servicios.
A.9.2: Gestión de acceso de usuario.
A.9.2.1: Gestión de Altas y Bajas de usuarios.
A.9.2.2: Gestión de derechos de acceso.
A.9.2.3: Gestión de acceso con privilegios especiales.
A.9.2.4: Gestión de confidencialidad en Autenticación.
A.9.2.5: Revisión de derechos de acceso.
A.9.2.6: Cambio a Retiro de derechos de Acceso.
A.9.3: Responsabilidades del usuario
A.9.3.1: Confidencialidad de la Autenticación.
A.9.4: Acceso a Sistemas y Aplicaciones
A.9.4.1: Restricción de Acceso a Aplicación
A.9.4.2: Procedimiento segur de inicio de sesión.
A.9.4.3: Gestión de contraseñas de usuario.
A.9.4.4: Uso de herramientas de administración.
A.9.4.5: Acceso a código fuente.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A9 – Control de Acceso (2)

Métricas

• Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han
• (a) sido identificados.
• (b) aceptado formalmente sus responsabilidades.
• (c) llevado a cabo revisiones de accesos y seguridad de aplicaciones, basadas en riesgo.
• (d) definido las reglas de control de acceso basadas en roles.
• Tiempos
• Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos.
• Solicitudes
• Número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y
comentarios acerca de cualquier peak/valle (p. ej., "Implantada nueva aplicación financiera este mes").
• Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la
información: (a) totalmente documentadas y (b) formalmente aceptadas.
• Soportes
• Porcentaje de soportes de backup o archivo que están totalmente encriptados.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A10 – Cifrado de Datos

Controles

A.10.1: Controles criptográficos.

A.10.1.1: Política de uso de Criptografía.
A.10.1.2: Gestión de Claves.

Métricas

• Sistemas
• Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente
controles criptográficos apropiados (periodo de reporte de 3 a 12 meses).

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A11 – Seguridad Física y Ambiental
Controles
A.11.1: Areas seguras.
A.11.1.1: Perímetro de seguridad física.
A.11.1.2: Controles de entrada.
A.11.1.3: Seguridad de oficinas.
A.11.1.4: Protección contra amenazas ambientales.
A.11.1.5: Trabajo en áreas seguras.
A.11.1.6: Areas de acceso público, carga y descarga.
A.11.2: Seguridad de los equipos
A.11.2.1: Emplazamiento y protección.
A.11.2.2: Instalaciones de suministro.
A.11.2.3: Seguridad del cableado.
A.11.2.4: Mantenimiento de equipos.
A.11.2.5: Salida de equipos.
A.11.2.6: Seguridad fuera de las instalaciones.
A.11.2.7: Reutilización o retiro de equipos.
A.11.2.8: Equipo de usuario desatendido.
A.11.2.9: Política de puesto de trabajo despejado.
Métricas
• Inspecciones
• Informes periódicos de seguridad física de
instalaciones, con actualización regular del estado de
las medidas correctivas identificadas en inspecciones
previas que aún estén pendientes.
• Número de revisiones (a personas a la salida y a
existencias en stock) realizados en el último mes y
porcentaje de chequeos que evidenciaron
movimientos no autorizados de equipos o soportes
informáticos u otras cuestiones de seguridad.
• Informes periódicos a los equipos, incluyendo
actividades para la revisión de rendimiento, capacidad,
eventos de seguridad y limpieza de los diversos
componentes (aplicaciones, almacenamiento, CPU,
memoria, red, etc).
Rodrigo Canales, Ingeniería Civil Informática, 2020-2
 A12 – Seguridad en la Operaciones (1)

Controles

A.12.1: Responsabilidades en la operación A.12.5: Control de software en explotación.

A.12.1.1: Documentación de procedimientos. A.12.5.1: Instalación de software en producción.
A.12.1.2: Gestión de cambios. A.12.6: Gestión de la vulnerabilidad técnica.
A.12.1.3: Gestión de capacidades. A.12.6.1: Gestión de vulnerabilidades.
A.12.1.4: Separación de entornos (desarrollo, prueba, A.12.6.2: Restricciones a la instalación de software.
producción). A.12.7: Consideraciones de las auditorías.
A.12.2: Protección contra código malicioso A.12.7.1: Controles de auditoría en sistemas de
A.12.2.1: Controles contra código malicioso. información.
A.12.3: Copias de seguridad.
A.12.2.1: Controles de copias de SI.
A.12.4: Registro de Actividad y Supervisión.
A.12.4.1: Registro y gestión de eventos.
A.12.4.2: Protección de registros.
A.12.4.3: Registros de Administrador y Operador.
A.12.4.4: Sincronización de relojes.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A12 – Seguridad en la Operaciones (2)
Métricas

• Madurez de procesos TI relativos a seguridad

• Periodo de aplicación de parches de seguridad (tiempo que ha llevado la aplicación de parches en al menos la mitad
de los sistemas vulnerables)
• Tendencia en el número de virus, gusanos, troyanos o spam detectados y bloqueados.
• Número y costos acumulados de incidentes por software malicioso.
• Respaldos
• Porcentaje de operaciones de respaldo y recuperaciones exitosas.
• Tiempo medio transcurrido desde la recogida de los respaldos fuera de las instalaciones hasta la recuperación
exitosa de los datos en todas las ubicaciones que corresponda.
• Porcentaje de respaldos y archivos con datos sensibles o valiosos que están cifrados.
• Registros
• Porcentaje de sistemas cuyos logs de seguridad (a) están adecuadamente configurados, (b) son transferidos con
seguridad a un sistema de gestión centralizada de logs y c) son monitorizados/revisados/evaluados regularmente.
• Tendencia en el número de entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas
y(c) han conducido a actividades de seguimiento.
• Software
• Número de instalaciones de software realizadas correctamente v/s las incorrectas.
• Estado de cumplimiento de las planificaciones aprobadas para la instalación del software en la organización.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A13 – Seguridad en Redes de Comunicación

Métricas

• Firewalls
• Porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a
páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en
insignificantes / preocupantes / críticos).
• Incidentes
• Número de incidentes de seguridad de red identificados en el mes anterior, dividido por
categorías (leve, importante, grave)
• A análisis de tendencias de incidentes.
• Enlaces
• Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado
satisfactoriamente los requisitos de SI.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A14 – Desarrollo de Software
Controles
A.14.1: Requisitos en Sistemas de Información.
A.14.1.1: Análisis y especificación de requisitos.
A.14.1.2: Servicios accesibles por redes públicas.
A.14.1.3: Protección de Transacciones.
A.14.3: Intercambio de Información con externos.
A.14.3.1: Políticas y procedimientos de intercambio.
A.14.2: Gestión de la seguridad en las redes.
A.14.2.1: Política de desarrollo seguro.
A.14.2.2: Procedimientos de control de cambios.
A.14.2.3: Revisión técnica de aplicaciones.
A.14.2.4: Restricciones a los cambios.
A.14.2.5: Uso de principios de protección de sistemas.
A.14.2.6: Entornos de desarrollo.
A.14.2.7: Externalización del desarrollo.
A.14.2.8: Pruebas de funcionalidad.
A.14.2.9: Pruebas de aceptación.
Métricas
• Porcentaje de sistemas y aplicaciones corporativas
para los que los "propietarios" adecuados han:
• sido identificados,
• aceptado formalmente sus responsabilidades,
• llevado a cabo revisiones de accesos y seguridad de
aplicaciones.
• definido las reglas de control de acceso basadas en
roles.
• Informe sobre el nivel global de confianza de la
dirección, basado en el análisis de los últimos tests
de penetración, incidentes actuales o recientes,
vulnerabilidades actuales conocidas, cambios
planificados, etc.
Rodrigo Canales, Ingeniería Civil Informática, 2020-2
 A15 – Gestión de Proveedores

Controles

A.15.1: Seguridad en la relación con proveedor.

A.15.1.1: Política de Gestión de Proveedores.
A.15.1.2: Tratamiento del riesgo.
A.15.1.3: Cadena de suministro en tecnologías de información y comunicaciones.
A.15.2: Gestión de la presentación de servicios de terceros.
A.15.2.1: Supervisión y revisión de servicios prestados por terceros.
A.15.2.2: Gestión de cambios en servicios prestados.

Métricas

• Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo
y estimadas como seguras.
• Costo del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio.
• Evaluación del rendimiento de proveedores incluyendo la calidad de servicio, entrega y costo.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A16 – Gestión de Incidentes de Seguridad

Controles

A.16.1: Gestión de incidentes de seguridad de la información y mejoras.

A.16.1.1: Responsabilidades y procedimientos.
A.16.1.2: Notificación de los eventos de seguridad de la información.
A.16.1.3: Notificación de puntos débiles de la seguridad.
A.16.1.4: Valoración de eventos de seguridad de la información y toma de decisiones.
A.16.1.5: Respuesta a los incidentes de seguridad.
A.16.1.6: Aprendizaje de los incidentes de seguridad de la información.
A.16.1.7: Recopilación de evidencias.

Métricas

• Número y gravedad de incidentes; evaluaciones de los costos de analizar, detener y reparar los incidentes y
cualquier pérdida tangible o intangible producida.
• Porcentaje de incidentes de seguridad que han causado costos por encima de umbrales aceptables definidos por
la dirección.
• Estadísticas de Mesa de Ayuda de TI, con análisis sobre el número y tipos de llamadas relativas a SI.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A17 – Gestión de la Continuidad del Negocio

Controles

A.17.1: Continuidad de la seguridad de la información.

A.17.1.1: Planificación de la continuidad de la seguridad de la información.
A.17.1.2: Implantación de la continuidad de la seguridad de la información.
A.17.1.3: Verificación, revisión y evaluación de la continuidad de la seguridad de la información.
A.17.2: Redundancias.
A.17.2.1: Disponibilidad de instalaciones para el procesamiento de la información.

Métricas

• Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida
(requerido/especificado/documentado/probado).
• Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente:
• (a) documentados
• (b) probados de manera apropiada en los últimos 12 meses.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 A18 – Gestión del Cumplimiento

Controles

A.18.1: Cumplimiento de los requisitos legales y contractuales.
A.18.1.1: Identificación de la legislación aplicable.
A.18.1.2: Derechos de propiedad intelectual (DPI).
A.18.1.3: Protección de los registros de la organización.
A.18.1.4: Protección de datos y privacidad de la información personal.
A.18.1.5: Regulación de los controles criptográficos.
A.18.2: Revisiones de la seguridad de la información.
A.18.2.1: Revisión independiente de la seguridad de la información.
A.18.2.2: Cumplimiento de las políticas y normas de seguridad.
A.18.2.3: Comprobación del cumplimiento.

Métricas

• Número de recomendaciones de política interna y otros aspectos de cumplimiento, agrupadas y analizadas por
su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
• Porcentaje de revisiones de SI sin incumplimientos sustanciales.
• Número de recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas,
retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
• Porcentaje de hallazgos de auditoría relativos a SI que han sido resueltos y cerrados, respecto al total de
abiertos en el mismo periodo.
• Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección.

Rodrigo Canales, Ingeniería Civil Informática, 2020-2

 Lecturas adicionales

Sitio Oficial de ISO27001, ISO.

https://www.iso.org/isoiec-27001-information-security.html

Checklist of mandatory documentation required by ISO 27001:2013.

https://info.advisera.com/27001academy/free-download/checklist-of-mandatory-documentation-required-by-iso-
27001.

How ISO 27001 can help you comply with the GDPR
https://www.itgovernance.co.uk/gdpr-and-iso-27001

NCh-ISO27001:2013 Análisis de Requisitos e Implementación

http://www.inn.cl/nch-iso270012013-analisis-de-requisitos-e-implementacion

Rodrigo Canales, Ingeniería Civil Informática, 2020-2