FUNDAMENTOS SISTEMA DE GESTION SEGURIDAD EN LA
INFORMACION. NTC ISO/IEC 27001:2013
CRITERIOS DE DESEMPEÑO
IDENTIFICAR LAS HERRAMIENTAS Y/O
TÉCNICAS QUE LE PERMITAN PLANIFICAR
UN SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN DE ACUERDO CON
LOS LINEAMIENTOS DE NTC ISO 27001:2013
OBJETIVO DEL CURSO
COMPRENDER CON UN ENFOQUE DE
GESTIÓN BASADA EN PROCESOS, LA
ESTRUCTURA DE LA NTC ISO/IEC 27001 A
TRAVÉS DE UN RECORRIDO POR LOS
NUMERALES DE LA NORMA
DURACIÓN MATERIAL A ENTREGAR
16 HORAS Memorias, cuaderno de
apuntes, NTC ISO 27002 y
NTC ISO/IEC 27001: 2013
111P01-V3
UNIDADES DE APRENDIZAJE
CONOCER LOS FUNDAMENTOS DE LA
SEGURIDAD DE LA INFORMACIÓN
COMPRENDER LA ESTRUCTURA GENERAL DE
LA ISO 27001
RECONOCER LA ESTRUCTURA DEL CÓDIGO
DE PRÁCTICA PARA LA GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN (ISO/IEC
27002)
CONTENIDO DEL CURSO
ANTECEDENTES Y DESARROLLO DE LAS
NORMAS DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN.
ENFOQUE HACIA LOS PROCESOS.
SISTEMAS DE GESTIÓN Y MODELO PHVA.
CONCEPTOS DE SEGURIDAD DE LA
INFORMACIÓN.
ANÁLISIS DE LA ISO/IEC 27001.
 FUNDAMENTOS DE UN SISTEMA DE
GESTION DE LA SEGURIDAD DE LA
INFORMACION

111P01-V3

111P01-V3
 MARCO GENERAL

111P01-V3

111P01-V3
INFORMACIÓN

Comunicación o adquisición de conocimientos que

permiten ampliar o precisar los que se poseen sobre
una materia determinada.

Puede ser privilegiada: que por referirse a hechos o

circunstancias que otros desconocen, puede
generar ventajas a quien dispone de ella.

Real Academia española de la lengua

111P01-V3
La información consiste en un conjunto de
datos que poseen un significado, de modo tal
que reducen la incertidumbre y aumentan el
conocimiento de quien se acerca a
contemplarlos.

Estos datos se encuentran disponibles para su

uso inmediato y sirven para clarificar
incertidumbres sobre determinados temas.

Idalberto Chiavenato

111P01-V3
 INFORMACIÓN EN LA EMPRESA
Información contable
y financiera
Datos de productividad

Informes de Página web

operaciones
Procedimientos

Bases de datos
Personal
y aplicativos

111P01-V3
Qué pasaría si la información se filtra para la competencia?

Qué sucedería si se dañan los medios donde se almacena la información?

Qué pasaría si no podemos operar por causa de un evento natural?

Cual es nuestra mayor debilidad?

Qué información nos interesa proteger?

A qué estamos expuestos?

111P01-V3
Necesidad de la Seguridad
SPAM Virus
Ingeniería social
Incendio
Espionaje
Inundación
Sabotaje
usuario

internet
Robo físico
información
Intrusión

Fallas eléctricas
Hacking

Fraude asistido por

Phishing o DDS
computador
suplantación

111P01-V3
 SEGURIDAD DE LA INFORMACIÓN

Preservar la integridad, confidencialidad y

disponibilidad de la información
2,30 ISO 27000

111P01-V3
 SEGURIDAD DE LA INFORMACIÓN

• Disponibilidad Propiedad que la información sea accesible

y utilizable por solicitud de los autorizados 2.10 ISO 27000

• Confidencialidad Propiedad que determina que la

información está disponible ni sea revelada a quien no
esté autorizado 2.13 ISO 27000

• Integridad Propiedad de salvaguardar la exactitud y el

estado completo de los activos 2.36 ISO 27000

111P01-V3
SISTEMA DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN (SGSI)

Parte del sistema de gestión global, basada en un

enfoque hacia los riesgos de un negocio, para
establecer, implementar, operar, hacer seguimiento,
revisar, mantener y mejorar la seguridad de la
información

Incluye estructura organizacional, políticas, planes,

responsabilidades, procedimientos, procesos y recursos

ISO 27000
2,34 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)

111P01-V3
 BS 7799
Estándar

1995
Británico

BS 7799-2
Certificable

1998
ISO/IEC 17799 Código de
prácticas

2000
BS 7799-2 Revisión

2002
ISO/IEC 17799 Revisión

2005
ISO/IEC 27001

111P01-V3
2007 ISO/IEC 27002 Código de práctica

ISO/IEC 27000 Vocabulario

2009
EVOLUCION DE LAS NORMAS

ISO/IEC 27001 Requerimientos

2013

ISO/IEC 27002 Código de práctica

 CONFIGURACION DE LA NORMA

111P01-V3

111P01-V3
COMPOSICION DE LA FAMILIA DE NORMAS ISO 27000

ISO IEC
27002
Código
ISO IEC ISO IEC
Práctica
27001 27003 Guía
Requisitos Implementar

ISO IEC ISO IEC

TR 27008
FAMILIA 27004
Controles ISO IEC 27000 Métricas
técnicos

ISO IEC ISO IEC

27007 27005
Auditorías Riesgos
internos ISO IEC
27006
Acreditación

111P01-V3
ISO 27001

Administrativo Estructura de alto nivel

Requisitos
4 al 10

Controles
ANEXO A ISO 27002
técnicos Código de práctica
Controles
A5. - A.18

111P01-V3
 CONCEPTO DE PROCESO

111P01-V3

111P01-V3
¿Qué es un
Enfoque Basado en Procesos?

ENFOQUE FUNCIONAL ENFOQUE POR PROCESOS

PROCESO 1

ADMINISTRATIVA
PRODUCCIÓN
PROCESO 2
COMERCIAL

ÁREA 1

ÁREA 2
CALIDAD

ÁREA 3
PROCESO 3

Compromisos adquiridos

111P01-V3
Mapa de Procesos

PROCESOS DE DIRECCIÓN

CLIENTES/ Entradas Salidas CLIENTES/

PARTES
INTERESADAS
PROCESOS DE REALIZACIÓN PARTES
INTERESADAS

PROCESOS DE SOPORTE

111P01-V3
PROCESO

OBJETIVO:

ENTRADAS SALIDA
ACTIVIDADES

Conjunto de actividades mutuamente relacionadas o que

interactúan, las cuales transforman elementos de entrada en
resultados.

111P01-V3
Descripción de procesos

CÓDIGO:

Nombre Responsable
Que es lo que se
Objetivo Asegurar …( verbo en infinitivo ) Alcance trasforma en el
proceso

Requisitos Leyes, reglamentos, códigos, normas, clientes, ISO 27001 Requisitos

Aplicables
organización.
Proceso Medidas de Salidas Proceso
Proveedor Entradas Actividades Realizadas control cliente

AMBIENTE DE
COMPETENCIAS DOCUMENTOS INFRAESTRUCTURA TRABAJO

EVIDENCIA E INDICADORES DEL PROCESO

REGISTROS QUE SE MANTIENEN INDICADORES QUE SE EVALÚAN

ELABORADO POR: REVISADO POR:

111P01-V3
Ciclo PHVA

PLANEAR ¿Qué hacer?

¿Cómo hacerlo?

P
ACTUAR
¿Cómo mejorar la
próxima vez?
A H HACER Ejecutar lo
planificado

V
VERIFICAR
¿Las cosas pasaron según
lo planificado?

111P01-V3
SGSI
Ciclo de desarrollo, implementación
mantenimiento y mejora

Requisitos y expectativas de seguridad

Seguridad de la información gestionada.

Partes Interesadas

Partes Interesadas
Establecer
el SGSI

,
Mantener y Implementar
A H
de la información.

mejorar el y operar el
SGSI SGSI

Hacer
V seguimiento y
revisar el SGSI
Entrada Salida

Documentación

111P01-V3
 CAPITULOS

111P01-V3

111P01-V3
Estructura de la norma
1. OBJETO Y CAMPO DE APLICACIÓN
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4 CONTEXTO DE LA ORGANIZACIÓN
5 LIDERAZGO
6 PLANIFICACIÓN
7 SOPORTE
8 OPERACIÓN
9 EVALUACIÓN DEL DESEMPEÑO
10 MEJORA

111P01-V3
4. CONTEXTO DE 4.1 Conocimiento de la organización

LA ORGANIZACIÓN
4.2 Comprensión de necesidades
de las partes interesadas

4.3 Alcance

4.4 SGSI

111P01-V3
 5. LIDERAZGO Y COMPROMISO

Promover Mejora Continua

Apoyando roles para demostrar

liderazgo en sus áreas

Dirigiendo y apoyando a las personas

Roles y responsabilidades

Integración con los procesos

Recursos

Política y objetivos
de Seguridad de la
información

111P01-V3
 6.1 Riesgos y Oportunidades

6. PLANIFICACIÓN

6.2 Objetivos y Planes

111P01-V3
 6. PLANIFICACIÓN

6.1 Riesgos y Oportunidades

• Asegurarse de que el SGSI pueda lograr sus resultados previstos

• Prevenir o reducir efectos indeseados

• Lograr la mejora continua.

• Integrar e implementar acciones en sus procesos del sistema de

gestión de la seguridad de la información,

• Evaluar la eficacia de estas acciones

111P01-V3
 ESTABLECER EL CONTEXTO
•El contexto interno
•El contexto externo
•El contexto de la gestión del riesgo
•Criterios de desarrollo

IDENTIFICAR EL RIESGO
•¿Qué puede suceder?
•¿Dónde y cuándo?
•¿Cómo y porqué?
COMUNICACIÓN Y CONSULTA

MONITOREO Y REVISION
ANALIZAR LOS RIESGOS
Identificación de los controles existentes
Determinar Determinar
las
consecuencias
la
posibilidad
ISO 31000
Determinar el nivel del riesgo

EVALUAR LOS RIESGOS

Evaluar los riesgos
Comparación contra criterios
Establecer prioridades
No

Tratamiento de los Riesgos

Si

TRATAR EL RIESGO
•Identificar opciones
•Evaluar opciones
•Preparar e implementar planes de tratamiento
•Analizar y evaluar el riesgo residual

111P01-V3
Análisis y tratamiento del riesgo

• Plan de tratamiento
• Declaración de aplicabilidad
• Aprobación Riesgos y aceptación Dueños de los riesgos

• Aceptación del riesgo residual

Documentación
• . del tratamiento
de los riesgos

111P01-V3
 6. PLANIFICACIÓN

• Deben ser: coherentes con la política de SI, medibles (si

es posible), comunicados y actualizados..

• Deben tener en cuenta los requisitos de la SI y los

resultados de la evaluación y del tratamiento de los
6.2 Objetivos riesgos;
y Planes

• Actividades
• Recursos
• Responsables
• Planes
• Tiempos
• Evaluación de resultados

111P01-V3
7.2 Competencia y toma de conciencia

Competencia del personal con

responsabilidades en el SGSI

Mantener registros

Evaluar eficacia de las acciones

Suministrar formación o contratación

Determinar necesidades de competencia (educación, formación,

Experiencia o habilidades)

Asegurar la conciencia del personal: pertinencia e

importancia de las actividades y su contribución a los objetivos

111P01-V3
Contenido

Cuando comunicar

Receptor

Emisor

Medio

111P01-V3
7.5.3 Control información documentada

POLÍTICA Y OBJETIVOS
DEL SGSI
PLAN DE
TRATAMIENTO
DE RIESGOS

Análisis, valoración y
ALCANCE
tratamiento riesgos

PROCEDIMIENTOS DECLARACIÓN DE
Y CONTROLES APLICABILIDAD
REGISTROS
Procedimientos EXIGIDOS
documentados que necesite
la organización

111P01-V3
7.5. Control información documentada
• la identificación y descripción (título, fecha, autor

Creación y o número de referencia);

actualización • el formato (papel o electrónico);

• la revisión y aprobación (idoneidad y adecuación)

• Disponible y adecuada para su uso, donde y cuando se

necesite
• Protegida adecuadamente (uso inadecuado, pérdida de la

Control confiabilidad o integridad).

• Distribución, acceso, recuperación y uso;
• Almacenamiento y preservación (incluida la legibilidad)
• Control de cambios
• Retención y disposición.
• Control de información de origen externo

111P01-V3
8 OPERACIÓN

8.1 PLANIFICACIÓN Y CONTROL OPERACIONAL

Mantener información documentada para tener la confianza en

que los procesos se han llevado a cabo según lo planificado.

Controlar los cambios planificados y revisar las consecuencias de

los cambios no previstos, tomando acciones para mitigar los
efectos adversos, cuando sea necesario.

Asegurar el control de los procesos contratados.

111P01-V3
8.2 Evaluación de los Riesgos

Evaluaciones de riesgos a intervalos

planificados o cuando se presenten cambios
significativos

8.3 Tratamiento de los riesgos

Implementar el plan de tratamiento de

riesgos de la seguridad de la información.

111P01-V3
9 EVALUACIÓN DEL DESEMPEÑO

9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

9.2 AUDITORÍA INTERNA

9.3 REVISIÓN POR LA DIRECCIÓN

111P01-V3
 Procesos,
actividades,
procedimientos y Métodos
controles a medir (Comparables y
reproducibles)
9.1 Seguimiento,
medición,
análisis y
evaluación

Momentos Responsables

Registros de
los resultados

111P01-V3
9.2 Auditorías internas

P Establecimiento del programa de

auditorías (alcance, criterios, frecuencia,
métodos, etc.)

H Implementar el programa (Competencia de

auditores, actividades de auditoría).

Cumplimiento de requisitos:

V Organización (SGSI)
Norma
Legales
Reglamentarios

(implementados y mantenidos
eficazmente)

A
Acciones
Correctivas
y Mejora

111P01-V3
9.3. Revisión del SGSI por la dirección

Asegurar: conveniencia, adecuación y eficacia continuas del SGSI

• Resultados de Revisiones anteriores.

SALIDA
• Retroalimentación de las partes
interesadas. Decisiones de la Mejora continua y
cualquier decisión de cambio.
• Cambios externos e internos
ENTRADA

• Desempeño procesos
• No conformidades y acciones
correctivas
• Seguimiento y resultados de mediciones
• Resultados de Auditorías.
REGISTROS
• Cumplimiento de objetivos
Desarrollo, análisis,
• Resultados de evaluación de riesgos y conclusiones, planes de acción
estado del plan de tratamiento.
• Oportunidades de mejora

111P01-V3
 CRITERIOS REALIDAD

- ESPECIFICACIONES Conveniencia
-- REGLAMENTOS PROCESOS
- MANUALES
- NORMAS
LO QUE SE HACE
LO QUE SE DEBE HACER

OBJETIVO

CUMPLIR SISTEMÁTICAMENTE
REQUISITOS DEL SISTEMA DE LA
SEGURIDAD DE LA INFORMACIÓN
ESPECIFICADOS

LO QUE SE QUIERE
HACER

111P01-V3
10. Mantener y mejorar el SGSI

La organización debe mejorar

continuamente la conveniencia,
adecuación y eficacia del SGSI

111P01-V3
 ANEXO A CONTROLES

111P01-V3

111P01-V3
Anexo A. Objetivos y controles

14
CLÁUSULAS
DE CONTROL

35 OBJETIVOS DE
CONTROL

114 CONTROLES

111P01-V3
 Anexo A. Objetivos y controles

14
CLÁUSULAS DE
CONTROL

A.5 Políticas de la seguridad de la información

A.5.1 Orientación de la dirección para la gestión de seguridad de la información

35 OBJETIVOS
DE CONTROL Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad
de la información de acuerdo con los requisitos del negocio y con las leyes y
reglamentos pertinentes.

A.5.1.1 Políticas para la seguridad Control

de la información Se debe definir un
conjunto de políticas para
114 la seguridad de la
información, aprobada por
CONTROLES la dirección, publicada y
comunicada a los
empleados y partes
externas pertinentes.

111P01-V3
Cláusulas de control

Documentada y comunicada.
Conjunto de políticas. A.5 Política de seguridad Revisada periódicamente.

Coordinación Seguridad (Roles y responsabilidades).

Separación de deberes
A.6.1
SI en gestión de proyectos * Organización A.6 Organización
Contactos autoridades y grupos de interés Interna de la Seguridad
Revisión independiente
de la Información

A.6.21 Dispositivos móviles *

A.6.2.2 Teletrabajo *

111P01-V3
Cláusulas de control
A. 7 SEGURIDAD DE LOS RECURSOS HUMANOS

ANTES CONDICIONES DESPUÉS

SELECCIÓN

• Retiro de
TERMINOS Y

privilegios

• Exigir aplicación de criterios SI

• Concientización
• Proceso disciplinario

111P01-V3
Cláusulas de control
A.8. Gestión de ACTIVOS
• Inventario de activos. • USO Aceptable de los activos

A.8.1 Responsabilidad por los activos • Propiedad Activos • Devolución

• Clasificación
A.8.2 Clasificación de la Información • Etiquetado
• Manejo de acuerdo con la clasificación

• Removibles
A.8.3 Manejo de los medios de soporte* • Disposición
• Transferencia o transporte.

111P01-V3
Cláusulas de control

•Política de control de Acceso

•ACCESO A USUARIOS Registro, ajuste y cancelación; autenticación

• *Responsabilidad de los usuarios (uso de información de autenticación secreta)

A.9 CONTROL
DE ACCESO • Gestión de contraseñas

•* Uso de programas utilitarios privilegiados

• Control de acceso a códigos fuente

111P01-V3
Cláusulas de control
A.10 CONTROLES CRIPTOGRAFICOS

Política sobre controles

criptográficos

Gestión de claves

Política sobre el uso, protección y tiempo de vida de

claves criptográficas, durante todo su ciclo de vida .

111P01-V3
 Cláusulas de control
A.11 Seguridad
física y Ambiental
Seguridad de los equipos
• Perímetro
• Control de acceso físico
Áreas seguras. . • Seguridad física de oficinas
• Protección contra amenazas
externas y ambientales
• Áreas seguras
• Áreas de carga y despacho y acceso
público .
• Ubicación y protección
• Servicios de suministro
• Seguridad del cableado
• Mantenimiento de los equipos
• Seguridad fuera instalaciones
• Seguridad en la reutilización o eliminación
• usuario desatendido, escritorio y pantalla despejada
111P01-V3
Cláusulas de control
A 12 SEGURIDAD EN LAS OPERACIONES

•Procedimientos operacionales

A.12.1 GESTIÓN DE OPERACIONES •Gestión del cambio

Y COMUNICACIONES •Gestión de capacidad
•Separación de ambientes

A.12.2 Protección contra códigos maliciosos

A.12.3 Copias de Respaldo

111P01-V3
Cláusulas de control
• Registro de eventos
•
A 12 .4 REGISTRO •
Protección de la información de registro
Registros del administrador y del operador
Y SEGUIMIENTO • Sincronización de relojes

A 12 .5 Controlar la instalación de
SOFTWARE Software en sistemas operativos.

OPERACIONAL

A 12.6 GESTION DE LA
VULNERABILIDAD TÉCNICA
A 12.7 CONTROLES SOBRE
AUDITORIAS
111P01-V3
Cláusulas de control
A.13.1 Gestión de la seguridad en redes:
• Controles de redes
• Seguridad de los servicios de red
• Separación en las redes
A.13 Gestión
de
A.13.2 Transferencia de la información
comunicacio • Acuerdos de transferencia de la
nes información y confidencialidad
• Mensajes electrónicos

111P01-V3
 Análisis y especificación de requisitos de
seguridad de la información
A.14.1 Requisitos de
Seguridad de servicios de las aplicaciones en
seguridad de los sistemas
redes públicas
de información
Protección de transacciones de servicios de
aplicaciones

Política de desarrollo seguro

Procedimientos de control de cambios en
sistemas
A.14 Adquisición, desarrollo y Revisión técnica de aplicaciones después de
mantenimiento de sistemas cambios en la plataforma de operaciones
A.14.2 Seguridad en los Restricciones sobre cambios en los paquetes
procesos de desarrollo y de software
de soporte Principios de organización de sistemas
seguros
Ambiente de desarrollo seguro
Desarrollo contratado externamente
Ensayos de seguridad de sistemas
Ensayo de aceptación de sistemas

A.14.3 Datos de ensayo Protección de datos de ensayo

111P01-V3
 A.15 RELACIONES CON LOS PROVEEDORES

Acuerdos de SI con proveedores,

Análisis de riesgos

• Seguimiento y revisión de
los servicios
• Gestión de cambios

111P01-V3
Cláusulas de control

A.16 Gestión de Incidentes Reporte de eventos y debilidades.

de Seguridad de Procedimientos.
Aprendizaje.
la Información
Recolección de evidencia.

111P01-V3
Cláusulas de control

Gestión de la Inclusión de la seguridad de la información en los BCP.

Planificación de la continuidad del negocio.
Continuidad
Prueba de los planes de continuidad.
del negocio Mantenimiento y actualización de los BCP.

Identificación de la legislación aplicable.

Propiedad intelectual.
Protección de los registros de la organización. Cumplimiento
Protección de datos y privacidad.
Reglamentación de controles criptográficos.

111P01-V3
111P01-V3