Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normativas Iso 27000
Normativas Iso 27000
Contenido
REFERENCIAS NORMATIVAS ISO 27000 .................................................... 1
INTRODUCCIÓN .......................................................................................... 3
ISO 27000 EXPLICADA PUNTO POR PUNTO ...................................... 3
ISO 27000 TÉRMINOS Y DEFINICIONES ............................................. 3
ISO 27000 ¿QUÉ ES UN SGSI? .............................................................. 69
ISO 27000 ENFOQUE DE PROCESOS................................................. 71
ISO 27000 ¿POR QUÉ ES IMPORTANTE UN SGSI? ...................... 71
ISO 27000 ESTABLECIMIENTO, SEGUIMIENTO,
MANTENIMIENTO Y MEJORA DE UN SGSI. ................................. 72
ISO 27000 FACTORES CRÍTICOS DE ÉXITO DEL SGSI .............. 72
ISO 27000 BENEFICIOS DE LA FAMILIA DE NORMAS 27000 ... 76
ISO 27000 LA FAMILIA DE NORMAS ................................................ 77
INTRODUCCIÓN
Tal como hace referencia el título de este capítulo de la norma, en él se citan las
referencias normativas en las que está basada la norma ISO 27001.
Actualmente se cita como referencia normativa la norma ISO / IEC 27000: 2018
tecnología de la información - Técnicas de seguridad - Sistemas de gestión de
seguridad de la información - Descripción general y vocabulario
ISO / IEC 27000: 2018 nos aporta una perspectiva general de los sistemas de gestión
de seguridad de la información (SGSI). Para ello, nos proporciona los términos y
definiciones que se utilizan comúnmente en la familia de normas sobre seguridad de la
información.
En los sistemas de control de acceso, los usuarios deben presentar las credenciales
antes de que se les pueda otorgar el acceso. En los sistemas físicos, estas credenciales
pueden tener muchas formas, pero las credenciales que no se pueden transferir brindan
la mayor seguridad.
3.2 ATAQUE
"Intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado
o hacer un uso no autorizado de un activo"
Los ataques cibernéticos son los más comunes hoy en día. Un ciber ataque es un ataque
contra un sistema informático, una red o una aplicación o dispositivo habilitado para
Internet. Los piratas informáticos utilizan una variedad de herramientas para lanzar
ataques, incluidos malware, ransomware, kits de explotación y otros métodos.
En la actualidad
Las víctimas de ataques cibernéticos pueden ser aleatorias o dirigidas, dependiendo de
las intenciones de los delincuentes cibernéticos. Durante 2017, hemos sufrido una ola
sin precedentes de ataques ransomware. Las noticias sobre el brote de ransomware
comenzaron en Europa, y el Servicio Nacional de Salud de Gran Bretaña fue uno de
los primeros objetivos del ataque cibernético antes de despegar a nivel mundial. Los
hospitales se cerraron en todo el Reino Unido cuando los archivos se cifraron. Al final,
miles de organizaciones se vieron afectadas en más de 150 países.
Si bien un ataque de ransomware es solo una forma de ataque cibernético, otros ataques
ocurren cuando los piratas informáticos crean un código malicioso conocido como
malware y lo distribuyen a través de campañas de correo electrónico no deseado o
campañas de phishing.
3.3 AUDITORÍA
Proceso sistemático, independiente y documentado para obtener evidencia de auditoría
y evaluarla objetivamente para determinar hasta qué punto se cumplen los criterios de
auditoría.
En cuanto a las auditorías Internas pueden ser realizadas por la misma organización o
por una parte externa en su nombre.
En segundo lugar, se deben revisar las amenazas de activos, tanto las que ya se han
detectado como las posibles o futuras. Para ello deberemos debe mantenerse al tanto
de las nuevas tendencias en el campo de la seguridad de la información, así como de
las medidas de seguridad adoptadas por otras compañías.
En tercer lugar, el equipo de auditoría debe estimar impacto que podría causar la
posible materialización de las amenazas para la seguridad de las informaciones este
momento es cuando hay que evaluar el plan y los controles establecidos para mantener
las operaciones comerciales después de que haya ocurrido una amenaza
3.5 AUTENTICACIÓN
"Garantía de que una característica reivindicada de una entidad es correcta"
3.6 AUTENTICIDAD
Propiedad que una entidad es lo que dice ser.
¿Qué es la autenticidad?
¿Qué entendemos por autenticidad en Seguridad de la Información? La autenticidad
es la seguridad de que un mensaje, una transacción u otro intercambio de información
proviene de la fuente de la que afirma ser. Autenticidad implica prueba de identidad.
Asegurando la autenticidad
Para la interacción del usuario con los sistemas, programas y entre sí, la autenticación
es fundamental. La entrada de ID de usuario y contraseña es el método de
autenticación más frecuente. También parece presentar la mayoría de los
problemas. Las contraseñas pueden ser robadas u olvidadas. Descifrar contraseñas
puede ser simple para los hackers si las contraseñas no son lo suficientemente largas o
no lo suficientemente complejas. Recordar docenas de contraseñas para docenas de
aplicaciones puede ser frustrante para usuarios domésticos y usuarios empresariales
3.7 DISPONIBILIDAD
Propiedad de ser accesible y utilizable a solicitud de una entidad autorizada
Los sistemas de almacenamiento de datos son los que en definitiva nos garantizan la
disponibilidad de la información. El almacenamiento de datos por lo general puede ser
local o en una instalación externa o en la nube. También pueden establecerse planes
para garantizar la disponibilidad de la información en instalaciones externas cuando
fallan los elementos de almacenamiento internos.
El caso es que la información debe estar disponible para en todo momento, pero solo
para aquellos con autorización para acceder a ella.
Los términos "medida", "métrica" e indicador "a menudo se usan indistintamente y sus
definiciones varían según los diferentes documentos y organizaciones. Por lo tanto,
siempre es útil verificar qué significan estos términos en contextos específicos.
Los términos que comúnmente se asocian con las mediciones incluyen:
3.9 COMPETENCIA
Capacidad de aplicar conocimientos y habilidades para lograr los resultados esperados.
Hoy más que nunca, en el mundo interconectado y moderno se revela como algo
absolutamente necesario, establecer requisitos en las competencias para los
profesionales de seguridad de la información. Las peculiaridades del enfoque europeo
para el desarrollo de las competencias profesionales de la seguridad de la información
se discuten utilizando el ejemplo del Marco Europeo de Competencia Electrónica e-
CF 3.0. Sobre esta base, se proponen dos incluso dos marcos específicos, si bien breves
de contenido, como son las nuevas normas internacionales ISO / IEC 27021 e ISO /
IEC 19896.
3.10 CONFIDENCIALIDAD
Propiedad por la que la información no se pone a disposición o se divulga a personas,
entidades o procesos no autorizados
3.11 CONFORMIDAD
Cumplimiento de un requisito
3.12 CONSECUENCIA
Resultado de un evento que afecta a los objetivos
Como vemos las consecuencias son algo relacionado con los eventos y los objetivos de
la seguridad de la información
EVENTOS
Un evento en la seguridad de la información es un cambio en las operaciones diarias
de una red o servicio de tecnología de la información que indica que una política de
seguridad puede haber sido violada o que un control de seguridad puede haber
fallado.
Cuando un evento afecta a los resultados de un proceso o tiene consecuencias no
deseadas como la interrupción de servicios, pérdida de datos o afecta a la
confidencialidad, disponibilidad o integridad de la información entonces decimos que
es un evento con consecuencias.
Los eventos de seguridad son aquellos que pueden tener importancia para la seguridad
de los sistemas o datos. La primera indicación de un evento puede provenir de una
alerta definida por software o de que los usuarios finales notifiquen al departamento
de mantenimiento o al centro de soporte que, por ejemplo, los servicios de red se han
desacelerado.
Como regla general, un evento es una ocurrencia o situación relativamente menor que
se puede resolver con bastante facilidad y los eventos que requieren que un
administrador de TI tome medidas y clasifique los eventos cuando sea necesario como
como incidentes.
Un ticket del departamento de soporte de un solo usuario que informa que cree haber
contraído un virus es un evento de seguridad, ya que podría indicar un problema de
seguridad. Sin embargo, si se encuentra evidencia del virus en el ordenador del usuario,
puede considerarse un incidente de seguridad.
Se trata de ver todos los datos relacionados con la seguridad desde un único punto de
vista para facilitar que las organizaciones de todos los tamaños detecten patrones fuera
de lo común aplicando
OBJETIVOS DE SEGURIDAD
Los sistemas de información son vulnerables a la modificación, intrusión o mal
funcionamiento.
Para definir los objetivos de seguridad podríamos tener en cuenta el siguiente principio
fundamental:
"La protección de los intereses de quienes dependen de la información, y
los sistemas de información y Comunicaciones que entregan la
información, por daños resultantes de fallas de disponibilidad,
confidencialidad e integridad”
El objetivo de seguridad utiliza tres términos.
Si la mejora se define como acciones que se traducen en una mejora de los resultados,
entonces la mejora continua es simplemente identificar y realizar cambios enfocados a
conseguir la mejora del rendimiento y resultados de una organización. La mejora
continua es un concepto que es fundamental para las teorías y programas de gestión
de la calidad y de la seguridad de la información. La mejora continua es clave para la
gestión de la seguridad de la Información
CASO PRACTICO:
Con los cambios casi constantes que ocurren en la red y el panorama dinámico de
amenazas, se requiere una evaluación continua de la seguridad.
Mejorar la seguridad requiere algo más que arreglar lo que está roto. Requiere medir
la efectividad de las operaciones de seguridad; Tecnología, personas y procesos. La
evaluación continua de los controles de seguridad definidos y la medición de los
resultados a lo largo del tiempo crea un marco para medir las operaciones de seguridad.
Los controles están referenciados casi siempre a un aspecto de la seguridad, pero rara
vez se definen.
Los controles también se pueden definir por su propia naturaleza, como controles de
compensación técnicos, administrativos, de personal, preventivos, de detección y
correctivos, así como controles generales.
Esto de los controles de seguridad podría parecer algo extremadamente técnico sin
embargo la experiencia nos dice que el “ambiente de control” establece el tono de una
organización, influyendo en la conciencia de control de su gente. Es la base de todos
los otros componentes del control interno como son la disciplina y la estructura.
En primer lugar, encontramos los controles asociados a las acciones que las personas
toman, llamamos a estos controles administrativos.
CASO PRACTICO:
Veamos unos ejemplos de controles técnicos.
Los Sistemas de protección contra intrusión (IPS) podrían configurarse para ser
tanto preventivos como de detección. Los Sistemas de Detección de intrusiones (IDS)
serán puramente controles de identificación o de detección.
CONTOLES ALTERNATIVOS
Finalmente existen una serie de controles que podemos llamar alternativos o de
compensación
Los controles alternativos están diseñados para acercarse lo más posible al efecto que
de los controles originales, cuando los controles diseñados originalmente no pueden
usarse debido a las limitaciones del entorno.
Estos generalmente se requieren cuando nuestros controles de la fase de actividad no
están disponibles o cuando fallan.
Este concepto hace posible cumplir con la filosofía de la norma ISO 27001 donde la
base de la misma se encuentra el ciclo PDCA (LINK A PDCA EN PUBNRTO LA
REVISION DE LA DIRECCION COMO PARTE DE LA EJORA CONTINUA)
donde se hace imprescindible conocer y averiguar hasta qué punto se alcanzan los
objetivos
En concreto:
Los requisitos de la norma ISO 27001 nos llevan a establecer al menos dos tipos de
objetivos medibles
Esto no quita que podamos definir objetivos a otros niveles como departamentos,
personales etc.
CASO PRACTICO:
Para ello bastaría con medir las incidencias de tráfico no deseado y establecer los
límites de lo que es aceptable. Ahí tenemos nuestro ¡objetivo!
Se necesita, por tanto, más que un análisis ocasional para garantizar una seguridad
efectiva.
Está claro que hay que vencer ciertos obstáculos ya que a menudo se considera como
una sobrecarga, pero esto es debido seguramente a la falta de conocimiento en primer
lugar, ya que las razones prácticas cuando se conocen pueden despejar este primer y
mayor inconveniente.
3.16 CORRECCIÓN
Acción para eliminar una no conformidad detectada
Las medidas o indicadores derivados son aquellos que se establecen en base a otro
indicador existente. Los indicadores derivados normalmente se refieren a:
Nuestra experiencia nos enseña que la mayoría de las veces basta con una buena
asesoría de implementación en Sistemas de Gestión para organizar la información de
acuerdo a lo que la organización necesita y que diseñas un sistema propio de gestión
documental puede resultar costoso y un gasto de tiempo y recursos que no siempre es
necesario.
3.20 EFECTIVIDAD
En qué medida se realizan las actividades planificadas y se logran los resultados
planificados.
3.21 EVENTO
Ocurrencia o cambio de un conjunto particular de circunstancias
Un evento de seguridad es algo que sucede que podría tener implicaciones de seguridad
de la información. Un correo electrónico no deseado es un evento de seguridad porque
puede contener enlaces a malware. Las organizaciones pueden recibir miles o incluso
millones de eventos de seguridad identificables cada día. Estos normalmente se
manejan mediante herramientas automatizadas o simplemente se registran.
Un incidente de seguridad es un evento de seguridad que provoca daños como la
pérdida de datos. Los incidentes también pueden incluir eventos que no implican
daños, pero son riesgos viables. Por ejemplo, un empleado que hace clic en un enlace
en un correo electrónico no deseado que lo hizo a través de los filtros puede ser visto
como un incidente.
El proceso de definición del contexto externo no es un proceso que se realiza una sola
vez y ya hemos terminado, sino que necesitamos controlar en todo momento los
cambios en los entornos externos, y tener en cuenta los puntos de vista de las partes
interesadas.
También podemos investigar el entorno externo de forma sistemática. Un enfoque
simple para realizar esta tarea seria comenzar con una lista de puntos en torno a los
siguientes factores, que luego pueden desarrollarse:
Los factores políticos son la medida en que los gobiernos o las influencias
políticas pueden impactar o impulsar las tendencias o culturas globales,
regionales, nacionales, locales y comunitarias. Pueden incluir estabilidad
política, política exterior, prácticas comerciales y relaciones laborales.
Los factores económicos incluyen tendencias y factores globales, nacionales y
locales, mercados financieros, ciclos crediticios, crecimiento económico, tasas de
interés, tasas de cambio, tasas de inflación y costo de capital.
Los factores sociales incluyen cultura, conciencia de salud, demografía,
educación, crecimiento de la población, actitudes profesionales y énfasis en la
seguridad.
Los factores tecnológicos incluyendo sistemas informáticos, avances o
limitaciones tecnológicas, inteligencia artificial, robótica, automatización,
incentivos tecnológicos, la tasa de cambio tecnológico, investigación y
desarrollo, etc.
Jurídico – Cuestiones legislativas o reglamentarias y sensibilidades.
Los factores ambientales incluyen el clima global, regional y local, el clima
adverso, los peligros naturales, los desechos peligrosos y las tendencias
relacionadas
Este factor es algo que aún no es asumido por muchas empresas donde vemos que ante
los fallos de seguridad producidos en grandes empresas en los últimos años revelan
que menos de la mitad de los directivos de estas empresas están al tanto
verdaderamente de las políticas de seguridad de la información dentro de sus propias
organizaciones.
Es por ello que la norma insiste en dedicar todo un capítulo de LIDERAZGO a dejar
claro que la responsabilidad de impulsar y mantener el sistema de gestión para la
seguridad de la información reside en los órganos rectores de cada organización
3.25 INDICADOR
Medida que proporciona una estimación o evaluación.
Para establecer los objetivos de seguridad de la información que tengan en cuenta los
riesgos y las amenazas deberemos establecer unos criterios de necesidad de
información. Se trata en definitiva de contar con un modelo que defina las actividades
que se requieren para especificar adecuadamente el proceso de medición para obtener
dicha información.
Idealmente los procesos de medición deben ser flexibles, adaptables y adaptables a las
necesidades de los diferentes usuarios.
Un plan de continuidad del negocio sin duda puede ser una gran ayuda para garantizar
que las funciones de seguridad de la información se mantengan, aunque no es un
requisito de la norma ISO 27001 un plan de seguridad integran enfocado a la
continuidad de los servicios en general
Aquí les dejamos una lista con varios ejemplos típicos de incidentes en la seguridad de
la información:
Identificar,
Administrar y registrar,
Analizar las amenazas en tiempo real
Buscar respuestas sólidas y completas a cualquier problema
Mantener una infraestructura que permita realizar estas funciones
Hemos de tener en cuenta que un incidente de seguridad puede ser cualquier cosa,
desde una amenaza activa hasta un intento de intrusión que ha generado un riesgo o
ha conseguido comprometer la seguridad generando una violación de datos. También
debemos considerar las violaciones a las políticas y el acceso no autorizado a datos
como salud, finanzas, números de seguridad social y registros de identificación
personal etc.
A modo de ejemplo podemos tomar como modelo una estrategia sistemática para la
gestión de incidentes de seguridad basado en la norma ISO / IEC 27035 que nos
describe un proceso de cinco pasos para la gestión de incidentes de seguridad, que
incluye:
Es por ello que esta terminología se utiliza para identificar no solo las fuentes de
información sino aquellas organizaciones e individuos con los que vamos a compartir
información
INFORMACION DE SEGURIDAD
Nos interesa tocar el tema de cómo se debe compartir la información sobre la seguridad
de la información
También está regulado los fines para los que se puede utilizar la información sobre la
seguridad de la información, algo que afecta no solo a entidades externas con las que
podemos compartir información sino a nuestra propia organización y sus
departamentos de seguridad de la información
En un sistema de apoyo a las decisiones, los datos se obtienen de varias fuentes y luego
son revisados por los gerentes, quienes toman las determinaciones en función de los
datos compilados. Un sistema de información para ejecutivos es útil para examinar las
tendencias comerciales, ya que permite a los usuarios acceder rápidamente a
información estratégica personalizada en forma de resumen.
3.36 INTEGRIDAD
Propiedad de la exactitud y la integridad
Como regla general para poder mantener y comprobar la integridad de los datos, los
valores de los datos se estandarizan de acuerdo con un modelo o tipo de datos. De esta
forma podremos comprobar que todas las características de los datos se mantienen de
forma correcta y están completos
La integridad de los datos es una función relacionada con la seguridad de forma que
un servicio de integridad tiene la función de mantener la información exactamente
como fue ingresada en operaciones tales como la captura de datos, el almacenamiento,
la recuperación, la actualización o la transferencia.
La integridad de los datos puede una medida del rendimiento de cualquier operación
realizada con la información si tomamos en cuenta la tasa de error detectada en cada
operación.
El concepto de integridad de los datos garantiza que todos los datos de una base de
datos puedan rastrearse y conectarse a otros datos. Esto asegura que todo es
recuperable y se puede buscar.
Tener un sistema de integridad de datos único, bien definido y bien controlado
aumenta la estabilidad, el rendimiento, la reutilización y facilita el mantenimiento. Si
una de estas características no se puede implementar en la estructura de la base de
datos, puede también implementarse a través del software.
Este concepto se refiere a cualquiera de las personas u organizaciones que pueden verse
afectadas por una situación, o que esperan un beneficio económico o de otro tipo de
una situación: Así nos encontramos con los empleados, proveedores, clientes y otros
posibles interesados
El nivel de riesgo es el elemento que nos permite razonar las medidas necesarias para
mitigar o reducir el riesgo y es un elemento fundamental para la toma de decisiones.
Dentro del proceso de análisis de riesgos se acepta como fórmula para el cálculo del
nivel de riesgo
3.40 PROBABILIDAD
Posibilidad de que algo suceda
¿Qué es la probabilidad?
Definimos probabilidad como el grado de probabilidad de que ocurra un evento.
Frecuencia
Otro concepto importante dentro de la probabilidad es la frecuencia como un
parámetro que mide la probabilidad de que ocurra un evento o un resultado dado,
dentro de un intervalo de tiempo en el que ocurrirán eventos similares.
Aunque esto nos deja con una probabilidad subjetiva de amenazas resultantes
podríamos realizar estimaciones con ayuda de los siguientes factores:
Motivo: ¿qué tan motivado está el atacante? ¿El atacante está motivado por
preocupaciones políticas? ¿Es el atacante un empleado descontento? ¿Es un
activo un objetivo especialmente atractivo para los atacantes?
Medios: ¿qué ataques pueden afectar sus activos críticos? ¿Cuán sofisticados
son los ataques? ¿Los posibles atacantes tienen las habilidades para ejecutar los
ataques?
Oportunidad: ¿qué tan vulnerable es su infraestructura informática? ¿Qué tan
vulnerables son los activos críticos específicos?
En general, debe tener cuidado al incorporar la probabilidad en su análisis de riesgo y
tener en cuenta una combinación de datos de frecuencia y estimación subjetiva.
3.42 MEDIDA
Variable a la que se asigna un valor como resultado de la medida
3.43 MEDICIÓN
Proceso para determinar un valor
Se determinará que medir, con que método, cuales son los parámetros y con qué
método o formula realizaremos el análisis y evaluación de lo que hemos medido.
METODOS DE MEDICION
Los métodos deben definir qué actividades son necesarias para garantizar resultados
válidos de monitoreo y mediciones.
Los métodos deben definir las etapas y los intervalos en el proceso cuando deben
realizarse las actividades de monitoreo y mediciones.
Los métodos deben definirse como se deben analizar y evaluar los resultados del
monitoreo y la medición.
Los resultados tienen que ver con la evaluación del desempeño y los objetivos del
SGSI.
Monitoreo: una inspección continua u observación del desempeño del proceso para el
propósito especial, objetivo o alcance definido
Medición: la actividad de entregar datos y un método para definir objetivamente una
medida cuantitativa o cualitativa y capturar una situación sin ninguna referencia a la
importancia.
Análisis: un conjunto de técnicas para examinar tendencias y tendencias de una salida
(proceso o producto)
Evaluación: la acción de comparar un proceso o las mediciones de una salida de un
proceso
OBJETIVO DEL MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
El objetivo del monitoreo, la medición, el análisis y la evaluación son los responsables
de la toma de decisiones un entendimiento a través de un informe de situación sobre
el desempeño de los procesos. Los datos que se incluyen en los controles sugeridos por
la norma, como las evaluaciones de proveedores o el control de productos no
conformes. Esas actividades deben indicar la eficacia del SGSI y la medida en la que el
SGSI cumple con sus objetivos de Seguridad de la Información. Este tipo de informes
proporciona los datos de las diferentes unidades organizativas e información sobre
problemas de calidad.
3.46 MONITOREO
Determinar el estado de un sistema, un proceso o una actividad
3.47 NO CONFORMIDAD
Incumplimiento de un requisito
3.48 NO REPUDIO
Capacidad para demostrar la ocurrencia de un evento o acción reclamada y sus
entidades de origen.
Resumiendo, el no repudio es una forma de demostrar que una información fue enviada
por un origen hacia un destino.
Esta garantía se puede obtener mediante el uso de la función “hash”, que nos da una
prueba de la identificación y auténtico del origen de los datos. Esto se complementa
con la utilización de firmas digitales, así como de claves públicas.
Las claves públicas utilizadas de forma única para garantizar el no repudio, pueden
suponer un problema si el destinatario del mensaje ha expuesto, a sabiendas o sin
saberlo, su clave encriptada o secreta.
Además, es importante tener en cuenta que una firma digital, aunque sea auténtica
puede ser mal utilizada por alguien que tenga o haya obtenido fraudulentamente la
clave privada. Este problema ha sido contrarrestado con las tarjetas inteligentes.
3.49 OBJETIVO
Un objetivo se define como un resultado a lograr
Los objetivos pueden relacionarse con diferentes disciplinas (como los objetivos
financieros, de salud y seguridad, y ambientales) y pueden aplicarse en diferentes
niveles [como estratégico, para toda la organización, proyecto, producto y proceso].
En el contexto de los sistemas de gestión de seguridad de la información, la
organización establece objetivos de seguridad de la información, en consonancia con
la política de seguridad de la información, para lograr los resultados previstos.
3.50 ORGANIZACIÓN
Persona o grupo de personas que tiene sus propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos
El concepto de organización puede ser una persona física, una empresa o corporación,
un organismo público o sociedad privada, una organización benéfica o institución, o
también una parte o combinación de los mismos.
3.51 EXTERNALIZAR
Establecer un acuerdo donde una organización externa realiza parte de la función o el
proceso de una organización
Hemos de tener en cuenta que una organización externa está fuera del alcance del
sistema de gestión, aunque la función o proceso subcontratado está dentro del alcance.
3.52 DESEMPEÑO
Resultado medible
Significativos:
El indicador debe ser capaz de identificar los factores relevantes (por ejemplo, pasos
del proceso, áreas organizativas, recursos, etc.) que necesitan atención. Por ejemplo,
un indicador relacionado con el número de intentos de inicio de sesión fallidos define
explícitamente la eficacia del proceso de inicio de sesión.
3.53 POLÍTICA
Intenciones y dirección de una organización, según lo expresado formalmente por su
alta dirección
3.54 PROCESO
Conjunto de actividades interrelacionadas o interactivas que transforman entradas en
salidas
La norma ISO 27001 está diseñada para gestionar y mejorar los procesos de la
seguridad de la información para ello deberíamos.
3.55 CONFIABILIDAD
Propiedad de la conducta y resultados esperados consistentes
Si una empresa cumple con los requisitos de una norma ISO, se dice que cumple con la
norma ISO. La certificación con ISO 27001 confirma que el negocio sigue las pautas
establecidas por ISO 27001 y se puede utilizar para mejorarla seguridad de la
información de su empresa.
En este punto cada organización debe decidir cuál es su nivel de riesgo aceptable en lo
que suele denominarse perfil de riesgo. La norma ISO 27001 permite que cada empresa
decida si tendrá un perfil de riesgo conservador o por el contrario prefiere operar con
un riesgo moderado o incluso alto
En un entorno de riesgo alto está claro que es mucho más probable que ocurra algo
por lo que la decisión de trabajar en estos perfiles de riesgo suele ser más típico en
empresas en fases de inicio de operaciones mientras que las organizaciones maduras
prefieren niveles de riesgo más moderados o conservadores.
Una vez que se determinan los riesgos residuales ternemos Básicamente tres opciones:
Si el nivel de riesgo está por debajo del nivel de riesgo aceptable, entonces no
hay que hacer nada: simplemente aceptamos el riesgo dejando constancia de ello.
Si el nivel de riesgo está por encima del nivel de riesgo aceptable, entonces
tendremos que investigar cómo establecer controles nuevos y mejores a los
existentes para el riesgo residual para luego reevaluar los riesgos residuales.
Si los costes de mitigar los riesgos residuales son mayores que el impacto que
pueden producir, aunque el nivel de riesgo este por encima del nivel de riesgo
aceptable, se debe evaluar la aceptación de dichos riesgos o establecer medidas
alternativas como la transferencia de dichos riesgos mediante pólizas de
seguros, por ejemplo.
3.58 REVISIÓN
Actividad realizada para determinar la idoneidad, adecuación y eficacia de la materia
para alcanzar los objetivos establecidos
Este término de “revisión“ nos remite a las acciones realizadas para determinar la
eficacia en definitiva de un sistema de gestión de la seguridad de la información SGSI
Objetos de revisión
Normalmente el rendimiento de la seguridad de la información depende
principalmente de las medidas dirigidas a gestionar los riesgos de la información, los
empleados y las fuentes de información, mientras que los factores formales y
ambientales tienen un impacto menor.
Por ejemplo:
3.61 RIESGO
Efecto de la incertidumbre sobre los objetivos
La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el proceso
del tratamiento de riesgo.
Actualmente el posible impacto del riesgo tiene mucho que ver con la comunicación
del riesgo ya que las expectativas de las partes interesadas, el público en general, los
clientes y las entidades regulatorias pueden significar un factor tremendamente
importante en la gestión de una crisis en la seguridad de la información
Lo que está claro es que una buena comunicación es clave en cualquier evento sobre la
seguridad de la información, tanto internamente como, en términos de relacionarse
con aquellos con un interés en su organización, y tener planes de comunicación listos
para enfrentar dificultades.
Una segunda razón es que la buena comunicación es una parte esencial de la buena
formulación de políticas en su sentido más amplio, incluida la implementación y la
planificación operativa.
Los criterios de riesgo pueden derivarse de normas, leyes, políticas y otros requisitos.
La identificación del riesgo implica la identificación de las fuentes de riesgo, los eventos
sus causas y sus posibles consecuencias
La identificación del riesgo puede incluir datos históricos, análisis teóricos, opiniones
informadas y de expertos, y las necesidades de los interesados
ISO / IEC 27005 utiliza el término "proceso" para describir la gestión de riesgos en
general. Los elementos dentro del proceso de gestión de riesgos se conocen como
"actividades".
La norma de referencia y la base de todas las normas ISO 27000 es la norma ISO /
IEC 27001 también conocida como ISO 27001. Esta norma establece los requisitos
para que el sistema de gestión de seguridad de la información (SGSI) de una
organización pueda ser auditado y certificado.
La certificación ISO 27001 permite a las organizaciones demostrar que cumplen con
los requisitos legislativos y reglamentarios relacionados con la seguridad de la
información.
Además, ISO 27001 acredita que una organización ha implementado un sistema para
asegurar y proteger datos confidenciales, personales y confidenciales.
3.74 AMENAZA
Causa potencial de un incidente no deseado, que puede causar daños a un sistema u
organización
Una amenaza, en el contexto de la seguridad de la información, se refiere a cualquier
cosa que pueda causar un daño grave a un sistema de información. Una amenaza es
algo que puede o no puede ocurrir, pero tiene el potencial de causar daños graves. Las
amenazas pueden provocar ataques a sistemas informáticos, redes, instalaciones etc.
Una amenaza potencial siempre está asociada a una vulnerabilidad propia del sistema
de información. Una amenaza por tanto pone en riesgo nuestro sistema de información
debido a una vulnerabilidad del sistema. Como las amenazas no pueden evitarse
nuestra única opción será intentar corregir o disminuir lo más posible nuestras
vulnerabilidades para que los atacantes no puedan infiltrarse en el sistema y causar
daños.
Las amenazas pueden incluir desde virus, troyanos, puertas traseras hasta ataques
directos de piratas informáticos. A menudo, el término amenaza combinada es más
preciso, ya que la mayoría de las amenazas involucran múltiples causas. Por ejemplo,
un pirata informático podría usar un ataque de “phishing - robo de datos para
suplantación de identidad”, para obtener información sobre una red y posteriormente
entrar de forma fraudulenta en dicha red.
Si el alcance del sistema de gestión cubre solo parte de una organización, la alta
gerencia se refiere a aquellos que dirigen y controlan esa parte de la organización.
Esto equivale a decir que un sistema de confianza es aquel cuyo fallo rompería una
política de seguridad (si existe una política en la que el sistema de confianza es
confiable).
3.77 VULNERABILIDAD
Debilidad de un activo o control que puede ser explotado por una o más amenazas
Los usuarios o el personal encargado de una red pueden proteger los sistemas de las
vulnerabilidades manteniendo actualizados los parches de seguridad del software. El
personal mismo puede ser una vulnerabilidad al no mantenerse informado sobre las
amenazas y las políticas para prevenirlas, o no si no las pone en práctica.
ISO 27000 ¿QUÉ ES UN SGSI?
Hoy en día, los activos de información son vitales dentro de una organización para la
consecución de sus objetivos por lo que se deben abordar los riesgos para la seguridad
de la información que afecten a estos activos.
Parea implementar un SGSI deberemos llevar a cabo una serie de pasos que al menos
deben incluir
Este proceso debe sistematizarse y mantenerse a lo largo del tiempo con el objetivo de
mejorar de forma continua la seguridad de la información en una organización
La norma ISO 27000 enumera una serie de factores críticos a la hora de afrontar una
implementación con garantía de éxito de un SGSI.
1 TENER EN CUENTA OBJETIVOS Y POLÍTICAS PARA LA
SEGURIDAD DE LA INFORMACIÓN ESTÉN EN CONSONANCIA CON
LOS OBJETIVOS DE LA ORGANIZACIÓN
Actualmente ya no es suficiente que un responsable de la seguridad de la información
sea un técnico experto en seguridad, ahora este rol debe incorporar una visión y
experiencia empresarial necesarias para tener conversaciones de mayor nivel con sus
juntas directivas y equipos ejecutivos. En nuestra opinión, el responsable de la
seguridad de la información debe tener un lugar en por órganos de dirección y ser
considerado como un cargo confiable por los ejecutivos principales del negocio.
En cuento a la integridad, por ejemplo, si una empresa debe cumplir con requisitos
legales SOX y FCPA de control interno para cumplir con exigencias USA, un
problema menor de integridad en los datos de informes financieros podría tener un
costo enorme. O bien, si una empresa es un servicio de descarga de contenido
multimedia on line y la disponibilidad de los archivos se ve comprometida, podrían
perder suscriptores.
Para ello se deben adoptar las medidas necesarias para este objetivo
Nadie está libre hoy en día de sufrir incidentes contra la seguridad de la información.
Es por ello que la gestión adecuada de los incidentes marcará la diferencia entre un
sistema de gestión bien implantado y responderá a las necesidades del negocio
Su detección
Su adecuada comunicación interna
Su tratamiento
La comunicación externa
El análisis causal
El establecimiento de medidas de mejora para que disminuir su impacto cuando
sea necesario
6 UN ENFOQUE EFECTIVO DE GESTIÓN DE LA CONTINUIDAD
DEL NEGOCIO
La continuidad del negocio es un factor a abordar, ya que los incidentes en la seguridad
de la información pueden causar la indisponibilidad de los servicios o productos
prestados por la organización.
Es por este motivo que la continuidad del negocio debe ser un punto importante a
tener en cuenta en una organización e integrar los requisitos de continuidad del
negocio en la seguridad de la información
Sin embargo, para cumplir con los requisitos de un sistema de gestión para la
seguridad de la información, las actividades para la seguridad de la información deben
integrarse dentro de un sistema de gestión de la continuidad del negocio mejor entre
sí. Cualquier brecha de seguridad que afecte a los sistemas de información es una
amenaza para la continuidad del negocio y la recuperación de desastres. Una brecha
de seguridad que compromete los datos y la información vital de la compañía también
es un evento de continuidad empresarial. Una de las mayores preocupaciones después
de los eventos de seguridad es el daño a la reputación de la organización. Esto también
es una preocupación de continuidad del negocio. Los vínculos entre las disciplinas son
esenciales y deben considerarse dentro
7 EVALUAR EL DESEMPEÑO Y UTILIZAR LA INFORMACION PARA
LA MEJORA
La efectividad del sistema de gestión pasa por tener claro el establecimiento de un
sistema de medición para evaluar el desempeño en la gestión de seguridad de la
información y con ello obtener las ideas y sugerencias de retroalimentación para
mejorar.
Contar con una herramienta sistemática para implantar un SGSI que responda
a las necesidades de cualquier organización o negocio
Permite integrar de forma coherente los objetivos de la seguridad de la
información con los objetivos del negocio, los procesos, la gestión de la
organización, la capacitación y sensibilización de los empleados así la
implantación de una cultura de la seguridad de la información en una
organización
Permite adoptar las mejores prácticas internacionalmente aceptadas para la
seguridad de la información y adaptarlas a las necesidades de cada organización
Establecen un lenguaje común para la seguridad de la información y que además
permite la certificación de un SGSI por entidades de organismos acreditados
Promueve la confianza de las partes interesadas
Mejoras las expectativas de los resultados de la organización y ayuda a
rentabilizar las inversiones en seguridad de la información
ISO 27000 LA FAMILIA DE NORMAS
Se trata de una guía para la implementación de un SGSI de acuerdo con ISO / IEC
27001.
Pautas basadas en ISO / IEC 27002 aplicada a los sistemas de control de procesos
utilizados por la industria de la energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica, gas,
petróleo y calor, y Para el control de los procesos de soporte asociados.
ISO 27019 INCLUYE:
ISO 27019 no es aplicable al sector de la energía nuclear. Este sector está cubierto por
la norma IEC 62645