Módulo

ISO/IEC 27001
Unidad 03
Planificación
Módulo
ISO/IEC 27001
Unidad 03
Planificación
3. PLANIFICACIÓN ................................................................................................... 04
3.1. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANIFICACIÓN PARA
ALCANZARLOS....................................................................................................... 04
3.2. MEDIDAS PARA ABORDAR LOS RIESGOS Y OPORTUNIDADES......................... 05
3.3. PLANIFICACIÓN Y CONTROL OPERACIONAL................................................... 06
3.3.1. INFORMACIÓN DE LA EVALUACIÓN DE RIESGOS DE SEGURIDAD............ 07
3.4. RESUMEN DEL TEMA....................................................................................... 09
CEUPE Módulo. ISO/IEC 27001
Centro Europeo de Postgrado Unidad 03. Planificación
3. Planificación
“La preparación del proyecto de implantación de un SGSI debe ser
lo más objetiva posible y centrarse en los aspectos clave y/o estra-
tégicos de la organización hasta llegar a un resultado positivo en
beneficio sobre el que considerar la implantación del SGSI.”
3.1. Objetivos de seguridad de la información y planificación para
alcanzarlos
La organización debe establecer los objetivos de seguridad de la información en las fun-
ciones y niveles pertinentes. Los objetivos de seguridad de la información deberán:
• Ser coherente con la política de seguridad de la información.
• Ser medibles (si es posible) calculando costes económicos, de personal y tiempo
de ejecución.
• Tener en cuenta los requisitos de seguridad de la información aplicables, los resul-
tados de la evaluación de riesgos y el tratamiento del riesgo.
• Ser comunicados.
• Ser actualizados, según corresponda. Normalmente, los objetivos de seguridad se
definen anualmente tras la reunión del Comité de Seguridad y suelen incluir for-
mación, aplicación de nuevos controles para reducir el nivel de riesgo y mejoras de
los controles ya aplicados.
La organización conservará información documentada sobre los objetivos de seguridad
de la información.
Al planificar cómo alcanzar sus objetivos de seguridad de la información, la organización
debe determinar, tal y como se indica a continuación:
• Qué se hará.
• Qué recursos se necesitarán.
• Quién será el responsable.
04
CEUPE Módulo. ISO/IEC 27001
Centro Europeo de Postgrado Unidad 03. Planificación
• Cuándo se darán por alcanzados los objetivos.
• Cómo se evaluarán los resultados.
A continuación, vamos a aprender algo más sobre los análisis de riesgos, ya que nos ayu-
dará a comprender mejor los objetivos de seguridad de la información.
3.2. Medidas para abordar los riesgos y oportunidades
Al planificar el Sistema de Gestión de Seguridad de la Información, la organización debe
tener en cuenta el contexto, tanto interno como externo, y los problemas que de él se deri-
van y que pueden afectar a su capacidad para lograr los objetivos propuestos.
Además, tendrá en cuenta las partes interesadas y los requerimientos de cada una de ellas
en relación con la seguridad de la información.
En base a esto, podrá determinar los riesgos y oportunidades de su Sistema de Gestión
de Seguridad de la Información, teniendo en cuenta que los objetivos fundamentales a la
hora de abordar los riesgos y oportunidades son:
• Asegurar que el Sistema de Gestión de Seguridad de la Información puede alcan-
zar los objetivos planteados.
• Prevenir o reducir los efectos no deseados.
• Lograr la mejora continua.
Una vez definidos los riesgos y oportunidades del SGSI, se podrán planificar:
• Las acciones para hacer frente a los riesgos y oportunidades.
• La forma de:
• Integrar y poner en práctica las acciones correctivas.
• Evaluar la eficacia de estas acciones.
• Conocer los aspectos fundamentales de la evaluación de riesgos.
A continuación, se muestra un cuadro de los pasos o acciones a realizar para planificar un
SGSI según la norma ISO 27001.
05
CEUPE Módulo. ISO/IEC 27001 CEUPE Módulo. ISO/IEC 27001
Centro Europeo de Postgrado Unidad 03. Planificación Centro Europeo de Postgrado Unidad 03. Planificación

• Tener en cuenta los requisitos de seguridad de la información aplicables y los

resultados de la evaluación de riesgos y el tratamiento del riesgo.

• Ser comunicadas y actualizadas, según corresponda.

La organización conservará información documentada sobre los objetivos de segu-

ridad de la información.

Al planificar cómo alcanzar sus objetivos de seguridad de la información, la orga-

nización debe determinar:
Figura 1. Acciones para planificar un SGSI..
• Lo que se hará.
3.3. Planificación y control operacional • Qué recursos requerirá.
La organización debe:
• Quién será responsable.
• Planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos
• Cuándo se completan.
de seguridad de la información y para poner en práctica las acciones para hacer
frente a los riesgos y oportunidades: • La forma en que se evaluarán los resultados.
• Asegurando que el Sistema de Gestión de Seguridad de la Información puede • Mantener la información documentada en la medida necesaria para tener confian-
lograr su resultado. za en que los procesos se han llevado a cabo según lo previsto.
• Previniendo o reduciendo los efectos no deseados. • Controlar los cambios previstos y revisar las consecuencias de los cambios no de-
seados, la adopción de medidas para mitigar los posibles efectos adversos, según
• Logrando la mejora continua.
sea necesario.
Para ello, la organización debe planificar:
• Asegurarse de que los procesos de seguridad externalizados se determinan y con-
• Las acciones para hacer frente a estos riesgos y oportunidades: trolan.

• Integrando y poniendo en práctica las acciones en sus procesos del Sistema
de Gestión de Seguridad de la Información.
• Evaluando la eficacia de estas acciones.
• Poner en práctica planes para alcanzar los objetivos de seguridad de la informa-
ción.
La organización debe establecer los objetivos de seguridad de la información en
las funciones y niveles pertinentes, que deberán:
• Ser coherentes con la política de seguridad de la información.
• Ser medibles.
3.3.1. Información de la evaluación de riesgos de seguridad
La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de infor-
mación a intervalos planificados o cuando se proponen, o se producen, cambios signi-
ficativos, teniendo en cuenta los criterios establecidos para la evaluación de riesgos de
seguridad.
La organización conservará información documentada de los resultados de las evaluacio-
nes de riesgos de seguridad de información.
Es el momento de determinar si los riesgos son aceptables o si requieren tratamiento,
utilizando los criterios para la aceptación de los riesgos establecidos. Para ello, se dispone
de una lista de riesgos con los niveles de valor asignado y los criterios de análisis de los
riesgos.

06 07
CEUPE Módulo. ISO/IEC 27001 CEUPE Módulo. ISO/IEC 27001
Centro Europeo de Postgrado Unidad 03. Planificación Centro Europeo de Postgrado Unidad 03. Planificación

El nivel de riesgo debe ser comparado con los criterios de evaluación de riesgos y crite-
rios de aceptación del riesgo.
La naturaleza de las decisiones relativas a los criterios de valoración de riesgos y evalua-
ción de los riesgos que se utiliza para tomar esas decisiones se habría decidido previa-
mente con la determinación de la metodología específica.
Estas decisiones y el contexto de aplicación de la metodología de análisis de riesgos de-
ben ser revisados con más detalle en esta etapa, ya que es ahora cuando se conoce más
acerca de los riesgos específicos identificados.
Al evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (median-
te los métodos seleccionados o enfoques comentados) con los criterios de evaluación de
riesgo definidos en el establecimiento de contexto, y en función de la propia sistemática
y las dificultades y resultados obtenidos, decidir si son susceptibles de revisarse para al-
canzar el procedimiento de evaluación más adecuado.
La evaluación de riesgos utiliza el conocimiento en los riesgos obtenido por el análisis de
riesgos para tomar decisiones relevantes sobre las futuras acciones. Las decisiones deben
considerar:
• Las actividades que se llevarán o no a cabo.
• Las prioridades para el tratamiento del riesgo, teniendo en cuenta los niveles de
riesgo estimados.
Durante la etapa de evaluación de riesgos, los requisitos contractuales, legales y regla-
mentarios son factores que se deben tener en cuenta, además de los riesgos estimados.
El resultado de la evaluación de riesgos es una lista de los riesgos priorizados en relación
a los escenarios de incidentes que guían esos riesgos.
3.4. Resumen del tema

Los criterios de evaluación de riesgos utilizados para tomar decisiones deben ser conse-
Apartado Contenido
cuentes con los objetivos de la organización y las aportaciones de los participantes, de
modo que, entre otras consideraciones, se debería observar en esta actividad: La preparación del proyecto de implantación debe ser lo más objetiva po-
sible y centrarse en los aspectos clave y/o estratégicos de la organización
Introducción hasta llegar a un resultado positivo en beneficio sobre el que considerar la
• Las propiedades de seguridad de la información: si un criterio no es relevante implantación del SGSI.
para la organización (por ejemplo, la pérdida de confidencialidad), entonces todos
Planificar un SGSI y sus objetivos.
los riesgos que afectan a este criterio pueden ser no relevantes. Objetivos
Controlar y mantener los procesos del SGSI.
• La importancia de los procesos de negocio o actividad con el apoyo de un acti-
Los objetivos de seguridad de la información deberán:
vo, o un conjunto de activos: si el proceso se determina que es de poca importan-
cia, riesgos asociados a ella se debe dar una baja consideración de los riesgos que Ser coherentes con la política de seguridad de la información.
afectan a los más importantes procesos o actividades. Ser medibles.

Las decisiones adoptadas en la actividad de evaluación de riesgo se centran principal- Tener en cuenta los requisitos de seguridad de la información aplicables, y
los resultados de la evaluación de riesgos y el tratamiento del riesgo.
mente en la aceptación del nivel de riesgo para cada activo analizado. Sin embargo, se Objetivos de
debe considerar que las consecuencias, la probabilidad y el grado de confianza en la iden- seguridad de Ser comunicados.
tificación de los riesgos desarrollado mediante el propio proceso de análisis, puede resul- la
Ser actualizados según corresponda.
tar en una posible agregación de múltiples riesgos bajos o medios que deben abordarse, información
aunque individualmente puedan quedar relegados a un segundo plano por aquellos nive- y Al planificar cómo alcanzar sus objetivos de seguridad de la información, la
planificación organización debe determinar:
les de riesgo más altos.
Lo que se hará.

Los recursos que se necesitarán.

Quién será el responsable.

Cuándo se darán por alcanzados los objetivos.

Cómo se evaluarán los resultados.

08 09
CEUPE Módulo. ISO/IEC 27001
Centro Europeo de Postgrado Unidad 03. Planificación

Apartado Contenido

Los objetivos fundamentales a la hora de abordar los riesgos y oportuni-

dades son:
Medidas para
abordar los Asegurar que el Sistema de Gestión de Seguridad de la Información pue-
de alcanzar los objetivos planteados.
riesgos y
oportunidades Prevenir o reducir los efectos no deseados.

Lograr la mejora continua.

La organización debe:

Planificar, ejecutar y controlar los procesos necesarios para cumplir los

requisitos de seguridad de la información.

Poner en práctica planes para alcanzar los objetivos de seguridad de la

Planificación información.
y control
operacional Mantener la información documentada.

Controlar los cambios previstos y revisar las consecuencias de los cam-

bios no deseados.

Asegurarse de que los procesos de seguridad externalizados se determi-

nan y controlan.

La organización debe llevar a cabo las evaluaciones de riesgos de seguri-

dad de información a intervalos planificados o cuando se proponen, o se
producen, cambios significativos.

Los criterios de evaluación de riesgos utilizados para tomar decisiones

deben ser consecuentes con los objetivos de la organización. Entre otras
consideraciones, se debería observar:
CEUPE
Información Las propiedades de seguridad de la información.
Centro Europeo de Postgrado
de la
La importancia de los procesos de negocio o actividad, con el apoyo de un
evaluación Web
activo o un conjunto de activos.
de riesgos de www.ceupe.com
seguridad La evaluación de riesgos utiliza el conocimiento de los riesgos obtenido
por el análisis de riesgos para tomar decisiones relevantes sobre las futu- E-mail
ras acciones. Las decisiones deben considerar: info@ceupe.com

Las actividades que se llevarán o no a cabo.

Las prioridades para el tratamiento del riesgo teniendo en cuenta los ni-
veles de riesgo estimados.

El resultado de la evaluación de riesgos es una lista de los riesgos priori-

zados en relación a los escenarios de incidentes que guían esos riesgos.

10