Seguridad informàtica (ETSE – UV)| Ximo Casanova

Actividad EC: ISO/IEC 27000

Reto 1.
Normativa actual 27001 y antecedentes.
Actualmente, la versión del estándar UNE-EN ISO/IEC 27001 es la del 2017, respectiva a
tecnología de la información, técnicas de seguridad y SGSI (Sistemas de Gestión de la Seguridad
de la Información).

Esta norma anula y sustituye a las Normas UNE-ISO/IEC 27001:2007, UNE-ISO/IEC

27001:2007/1M:2009, UNE-ISO/IEC 27001:2014 y UNE-ISO/IEC 27001:2014/COR 1:2015.

Documentación.
La información se ha obtenido de la página oficial de AENORmás.

Reto 2.
Cumplimiento de la normativa 27000 por parte de Microsoft Office 365.
Microsoft 365 cumple con toda la normativa ISO/IEC 27000, tal y como afirma la multinacional
tecnológica en una de sus páginas web (“los servicios de nube de Office 365 se auditan al menos
anualmente para certificar que cumplen la norma ISO 27001:2013”).

Poseen las certificaciones:

• ISO 27001, especifica formalmente un sistema de administración de la seguridad de la

información (ISMS) diseñado para mantener la seguridad de la información bajo un
control de administración explícito.
• ISO 27017, está diseñado para que las organizaciones lo usen como referencia para
seleccionar controles de seguridad de la información de servicios en la nube al
implementar un sistema de administración de seguridad de la información de
informática en la nube basado en la norma ISO/IEC 27002:2013.
• ISO 27018, requiere una política que permita la devolución, transferencia y eliminación
segura de información personal en un período de tiempo razonable. Garantiza a los
clientes que sus datos no se usarán nunca para estos propósitos sin consentimiento
explícito y dicho consentimiento no puede ser una condición para usar el servicio.
• ISO 27701, es una extensión de los estándares ISO/IEC 27001 e ISO/IEC 27002
ampliamente utilizados para la gestión de la seguridad de la información. Especifica los
requisitos y brinda orientación para un Sistema de gestión de información de privacidad
(PIMS), lo que hace que la implementación de PIMS sea una extensión de cumplimiento
útil para las muchas organizaciones que confían en ISO/IEC 27001, además de crear un
punto de integración sólido para alinear la seguridad y la privacidad.

Documentación.
Toda la información se puede consultar en la siguiente página web de Microsoft.

1
 Seguridad informàtica (ETSE – UV)| Ximo Casanova

Reto 3.
Buenas prácticas relacionadas con la gestión de vulnerabilidades técnicas.
El control relacional con la Gestión de las vulnerabilidades técnicas tiene el número A.12.6.1.
Define como se debe obtener información oportuna acerca de las vulnerabilidades, técnicas de
los sistemas de información utilizados, evaluar la exposición de la organización a dichas
vulnerabilidades y adoptar las medidas adecuadas para afrontar el riesgo asociado.

Deberían adoptarse medidas adecuadas y oportunas en respuesta a la identificación de posibles

vulnerabilidades técnicas. Deberían seguirse las siguientes directrices con el fin de establecer un
proceso efectivo de gestión de las vulnerabilidades técnicas:

a) La organización debería definir y establecer las funciones y responsabilidades asociadas

con la gestión de las vulnerabilidades técnicas, incluyendo la supervisión de
vulnerabilidades, la evaluación de riesgos de la vulnerabilidad, el parcheo, el
seguimiento de activos y cualquier responsabilidad de coordinación necesaria.
b) Deberían identificarse los recursos de información que se utilizarán para identificar las
vulnerabilidades técnicas pertinentes y para mantener la alerta sobre ellas, tanto para
el software como para otras tecnologías (en función del inventario de activos); estos
recursos de información deberían actualizarse según se modifique el inventario o
cuando se encuentren otros recursos nuevos o que sean de utilidad.
c) Debería definirse una escala temporal para reaccionar a las notificaciones de
vulnerabilidades técnicas que puedan resultar relevantes.
d) Una vez identificada la vulnerabilidad técnica, la organización debería identificar los
riesgos asociados y las medidas que deberían adoptarse, las cuales podrían incluir el
parcheo de sistemas vulnerables o la aplicación de otros controles.
e) Dependiendo de la urgencia con que deba tratarse la vulnerabilidad técnica, la medida
adoptada debería ser llevada a cabo de acuerdo con los controles relativos a la gestión
de cambios o siguiendo los procedimientos de respuesta a incidentes de seguridad de
la información.
f) Si existe un parche disponible de una fuente legítima, deberían evaluarse los riesgos
asociados con la instalación del mismo (deberían compararse los riesgos planteados por
la vulnerabilidad con los riesgos de instalar el parche).
g) Los parches deberían ser probados y evaluados antes de su instalación para garantizar
que son efectivos y que no tienen efectos secundarios que no puedan ser aceptados. Si
no hay ningún parche disponible, deberían considerarse otros controles, como:
1) La desactivación de servicios o capacidades relacionadas con la vulnerabilidad,
2) La adaptación o la inclusión de controles de acceso, como por ejemplo, cortafuegos,
en los límites de la red.
3) El incremento de la supervisión para detectar o evitar ataques reales.
4) El aumento de la concienciación sobre la vulnerabilidad.
h) Debería mantenerse un registro de auditoría de todos los procedimientos adoptados.

2
 Seguridad informàtica (ETSE – UV)| Ximo Casanova

i) El proceso de gestión de las vulnerabilidades técnicas debería supervisarse y evaluarse

periódicamente para garantizar su efectividad y su eficacia.
j) Los sistemas con elevado riesgo deberían ser los primeros en tratarse.
k) Un proceso eficaz de gestión de las vulnerabilidades técnicas debería estar alineado con
las actividades de gestión de incidentes, para comunicar datos sobre las
vulnerabilidades relativas a la función de respuesta a incidentes y proporcionar
procedimientos técnicos a desarrollar cuando ocurra un incidente.
l) Definir un procedimiento para considerar la situación donde una vulnerabilidad ha sido
identificada pero no es posible adoptar una contramedida. En esta situación, la
organización debería evaluar los riesgos relativos a la vulnerabilidad conocida y definir
acciones de detección y corrección adecuadas.

Condiciones relativas a la instalación de parches y alternativas.

Los proveedores tienen una fuerte presión de los usuarios y el mercado para publicar lo antes
posible parches, por lo que habitualmente no suelen cubrir el problema de forma correcta
teniendo graves consecuencias. Además, en determinados casos, es difícil desinstalarlos.

En los casos en que no se pueden probar de forma adecuada los parches (ya se por motivo de
costes, falta de recursos técnicos o personales…), se debe considerar retrasar el máximo posible
la instalación de los parches hasta que se tenga constancia de la seguridad de dicho parche o en
su caso, los riesgos que llevan asociados, habitualmente por la experiencia de otros usuarios.

Documentación.
La información se ha obtenido del documento de la norma UNE-EN ISO/IEC 27002:2017,
concretamente de su apartado 12.6 (Gestión de la vulnerabilidad técnica), concretamente
16.6.1, en lo referente a Guía de implementación e Información adicional. Se puede encontrar
en AENORmás.