ISO 27001 FUNDAMENTOS

y AUDITORIA
PROFESSIONAL CERTIFICATION
I27001F
I27001A
 Instructor

Erick Brais Quiros

• Lic. computer science
• Master Business Administration
• Profesor: UNED, UIA, UCA
• 20 años de Experiencia en administración de
proyectos y del negocio
• email: erick.brais@mapoconsultores.com
• Certificado COBIT5, ISO27001
 Presentación del Curso

• Descripción
• Objetivos
• Material de Trabajo
• Evaluaciones
• Temática
• Expectativas del Curso
 Descripción

• Introducción al estándar internacional de

Gestión de Seguridad de la Información
ISO/IEC 27001.

• Consta de 8 lecciones de 2 horas cada una

• Todas las clases son remotas

• Al inicio de la clase siguiente hay un repaso

de la clase anterior
 Objetivos del Curso

• Comprender que es un ISMS(SGSI)

• Conocer los requerimientos para que un SGSI

cumpla con la Norma 27001.

• Comprender como implementar la ISO 27001

• Comprender como Auditar la ISO 27001

• Certificar su conocimiento en fundamentos y

Auditoría de ISO-27001.
 Material de trabajo
1. Presentaciones en español
2. Grabación de las Clases
3. Norma 27000
4. Norma 27001 sin anexo
5. Cuadro Controles Anexo A
6. Descripción de las normas 27002, 27005,
27007
7. Norma ISO 19011
8. Ejemplos de aplicación de la norma
 Evaluaciones

• Pruebas cortas por clase

• Prueba Finales
• Exámenes de Certificación
• Fundamentos de ISO 27001
• Auditoria de ISO 27001
• 40 preguntas
• 24 aprobar la certificación
• 60 minutos
• Se activa el examen
 Temática

1. Visión General del Curso

2. Introducción a la Norma 27001 (27000)
3. Gestión de Riesgos(27005)
4. Controles o buenas practicas(27002)
5. Requisitos mínimos para un SGSI(27001)
6. Examen de prueba certificación: Fundamentos
7. Auditoría de un SGSI(27007)
8. Examen de Prueba de certificación Auditoría
Introducción a un SGSI:
ISO/IEC 27000”
 Introducción SGSI

1. Términos y definiciones importantes

2. ¿Qué es un SGSI?
3. Familia de normas de 27000
4. Historia 27001
 Gestión y Seguridad
1. Organización:
2. Objetivo
3. Proceso
4. Política
5. Datos
6. Información
7. Confidencialidad
8. Integridad
9. Disponibilidad
10. Seguridad
11. Dirección Superior
12. Órgano de Gobierno
13. Dirección Ejecutiva
14. Sistema de gestión
15. Seguridad de la información
Estructura y Procesos
1. Contexto Interno
2. Contexto Externo
3. Desempeño:
4. Externalización
5. Competencia
6. Mejora Continua
7. Medición
8. Medida
9. Eficacia
10. Supervisión
11. Corrección
12. Acción Correctiva
13. Información Documentada
 Riesgos
1. Evento
2. Consecuencia
3. Probabilidad
4. Incertidumbre
5. Riesgo
6. Riesgo Residual
7. Identificación
8. Evaluación
9. Aceptación
10. Valoración
11. Control
12. Tratamiento
13. Nivel de Riesgo
14. Gestión de Riesgo
15. Propietario del Riesgo
Relación Amenaza-Riesgo-Control
 Temática

1. ¿Qué es un SGSI?
2. Éxito del SGSI
3. Importancia de un SGSI
4. Factores críticos de éxito de un SGSI
5. Beneficios de un SGSI?
6. Estableciendo un SGSI
 Sistema de Gestión de seguridad de
la información

Un enfoque sistemático para gestionar y proteger la

información de la empresa.

Un SGSI representa un conjunto de políticas,

procedimientos y controles que establecen unas
reglas de seguridad de la información en una
organización.
 Sistema de Gestión de seguridad de
la información
Escenario: ud deja su portátil con frecuencia en su auto, así que es probable que se la roben

¿Qué puede hacer para disminuir el riesgo de acceso a su información?

Hay que aplicar algunos controles.

1. Escribir un procedimiento que defina que no puede dejar el portátil en el auto

2. Proteger su portátil con una contraseña y cifrar el disco duro
3. Solicitar a los empleados que firmen una declaración donde obligue a pagar todos los
daños que puedan ocurrir si ocurre un incidente,
4. Concientizar a los empleados de que existen riesgos si dejan su portátil en el auto
 Sistema de Gestión de seguridad de
la información

Proteger una portátil es algo sencillo, pero el problema se

presenta cuando hay cientos de portátiles, decenas de
servidores, diversas bases de datos, muchos empleados, entre
otras.
Gran cantidad de información sensible en diversos activos,
rápidamente produce un gran número de medidas de seguridad
que no están relacionadas y que por lo tanto serían difícil de
administrar
 Sistema de Gestión de seguridad de
la información

La única manera de gestionar todas estas salvaguardas es

establecer responsabilidades y procesos de seguridad. Esto se
denomina “enfoque de procesos”

Un SGSI no es nada más que varios procesos de seguridad

unidos, mientras mejor se definan estos procesos, y mientras
mejor se defina su relación, menos incidentes tendrá.
 Sistema de Gestión de seguridad de
la información

En primer lugar, los controles de seguridad de la información no son

sólo técnicos, o relacionados con TI. Son una combinación de
diferentes tipos de controles:
• Documentar un procedimiento es un control organizacional;
• Implementar una herramienta de software es un control de TI

• La formación de personas es un control de recursos humanos .

 Sistema de Gestión de seguridad de
la información

En segundo lugar, sin el uso de algún tipo de marco de

trabajo, la seguridad de la información se convierte en
inmanejable
Cuando usted construya su SGSI, implica el desarrollo de
un conjunto de reglas de seguridad de la información,
responsabilidades y controles.
ISO 27001 le permitirá, administrar un sistema tan
complejo.
 Obtener la participación de la alta
dirección

Los profesionales de SI destacan una razón principal

como la responsable del fracaso de sus proyectos: la
falta de comprensión de la alta dirección y, en
consecuencia, la falta de su apoyo continuo.
 Obtener la participación de la alta
dirección

Vender la idea de seguridad de la información a su

dirección, a sus empleados y a sus socios,

Usted tendrá que usar todo su poder de persuasión para

convencerlos.

Debe mostrar el valor agregado que conlleva la

implementación de un SGSI y el cumplimiento de la
ISO27001.
 Obtener la participación de la alta
dirección

Cumplimiento de leyes y reglamentos

• Cada vez existen más leyes y reglamentos en casi todos los países
que requieren la implementación de la SI (protección de datos
personales, protección de información clasificada por el gobierno,
etc.);
• Hay un creciente número de clientes (por ejemplo, instituciones
financieras) que requieren a sus proveedores y socios implementar
procedimientos de seguridad de la información.
 Obtener la participación de la alta
dirección

Ventaja competitiva: mayor mercado y mayores ganancias

Si su empresa tiene el certificado ISO 27001 y sus competidores

no, y sus clientes están confiando en su empresa la gestión de
información sensible, usted será capaz de convencer a los
potenciales clientes que puede proteger su información mejor
que sus competidores.
 Obtener la participación de la alta
dirección

Reducción de gastos.
La SI se considera generalmente como un coste con ninguna
ganancia financiera palpable. Sin embargo, hay beneficios
financieros. Si usted reduce sus gastos ocasionados por
sucesos, como interrupciones en el servicio, fugas
ocasionales de datos o empleados descontentos.
 Obtener la participación de la alta
dirección

Optimización de procesos de negocio.

Si una empresa ha crecido considerablemente en los últimos
años, es posible que experimente problemas como quién
tiene que decidir qué, quién es responsable de ciertos activos,
quién tiene que autorizar el acceso a los sistemas de
información.
ISO 27001 es particularmente bueno en solucionar estos
aspectos de organización, ya que le obliga a definir con mucha
precisión los roles y responsabilidades, lo que le puede ayudar
a fortalecer su organización interna.
 Historia y estructura

• ISO/IEC 27001
• Historia de la norma
• Estado actual
• Familia de Normas 27000
• Estructura de la Norma
 Historia
1995
• proporciona un conjunto de buenas prácticas , no se establecía un esquema de certificación
BS 7799 -1
1998
• Publicada por primera vez en 1998, estableció los requisitos certificables de un SGSI
BS 7799-2
1999
• Las dos partes de la norma BS 7799 se revisaron
Revisión
2000
• la primera parte (BS 7799-1) se adoptó por ISO en el 2000
ISO 17799
2002
• se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO
Revisión parte 2
2005
• con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO
ISO 27001.
2005
• ISO 17799 se renombro el 1 de Julio de 2007, manteniendo contenido y año de revisión 2005
ISO 27002:2005

Versiones 2013 • El 25 de septiembre de 2013 fueron publicadas y aprobadas las normas 27001 y 27002 2013
 ISO 27000
Familia de normas
 27001 y normas
complementarias

27004
Mediciones
27003 27005
Implementación Riesgos

27006
27002
Requisitos para
Controles
certificar

27000 Iso27001
Términos Requisitos 2007 Auditoria
Visión General
SGSI
 Estructura de la Norma
0. Introducción y visión general del estándar
1. Alcance del Estándar: aplicable a todas las organizaciones, tipo, tamaño y Naturaleza
2. Referencia Normativas
3. Términos y definiciones: ISO27000 es un estándar donde los términos y definiciones son establecidos
4. Contexto de la organización: problemas internos, problemas externos, partes interesadas internas y
externas
Planear Hacer
5. Liderazgo: responsabilidades de la alta dirección definiendo los roles y responsabilidades del ISMS,
4 a la 7 8
contenido de la política de seguridad Definir y planear Operación
6. Planear lo requerimientos para la valoración y tratamiento de riesgos, la declaración de aplicabilidad, plan
de tratamiento de riesgos. Definiendo los objetivos de seguridad de la información
7. Soporte: disponibilidad de recursos, competencias, concientización, comunicación y control de documentos. Revisar
Actuar 9
8. Operación: requerimientos para la implementación de controles y procesos
10 Monitorear, Medir,,
9. Evaluación del rendimiento: requerimientos para monitorear,medir, analizar, evaluar, auditoría interna y Mejora Continua Auditar y revisar
revisión de la gestión.
10. Mejorar continua: requerimientos par ano conformidades, correcciones, acciones correctivas y mejora
continua.

Anexo A hace referencia a los objetivos de control y controles, un catálogo de 114 controles agrupados en 14
secciones
 Seguridad de la información vs.
Seguridad TI

Seguridad Informática y la Seguridad de la información son

sinónimos ?
No realmente. La cuestión básica es esta – puede tener unas
medidas de seguridad de TI perfectas, pero sólo un acto
indebido hecho por personas, puede derrumbar todo el sistema
de TI. Este riesgo no tiene nada que ver con computadoras,
tiene que ver con personas, procesos, supervisión, entre otros.
 Seguridad de la información vs.
Seguridad TI

La seguridad informática sólo es una parte de la SI.

La SI también incluye la seguridad física, la gestión de recursos

humanos, la protección legal, la organización, los procesos, etc.

El propósito de SI es construir un sistema que tenga en cuenta todos

los posibles riesgos para la seguridad de información (relacionados o
no con TI) e implementar controles que reduzcan riesgos inaceptables.
 Como funciona la IS0 27001

Muchas personas piensan que el estándar describe en detalle todo lo

que necesitan hacer por ejemplo:
1. Con qué frecuencia necesitará realizar los respaldos
2. Qué distancia debe tener su sitio de recuperación ante desastres,
3. Qué tipo de tecnología debe utilizar para la protección de la red
4. Cómo se ha de configurar el router.
 Como funciona la IS027001

¿Por qué la ISO 27001 no es descriptiva?

Vamos a suponer que el estándar describe que debe

realizar una copia de seguridad cada 24 horas

Muchas empresas hoy en día encuentran esta frecuencia

insuficiente necesitan hacer respaldos en tiempo real, o
por lo menos cada hora.
 Como funciona la IS027001

ISO 27001 permite un enfoque integrado de la SI

Es decir la evaluación del riesgo sea realizada sobre

todos los activos de la organización: hardware, software,
documentación, personas, proveedores y elegir los
controles aplicables para disminuir esos riesgos.

El anexo A de la ISO 27001 es un catálogo de controles

de seguridad, del cual sólo son el 37% de los controles
están relacionados con TI.
 Como funciona la IS027001

Implementación de la ISO 27001

Este tipo de proyectos no debe verse como un proyecto de TI,

es probable que no todas las partes de la organización estén
dispuestas a participar en él.

Debe ser visto como un proyecto de toda la empresa, donde

personas relevantes de todas las unidades del negocio deben
participar
 Como funciona la IS027001

Si el estándar se desarrolla para adaptarse a cualquier

tipo de empresa, entonces no es posible un enfoque
descriptivo.
No es posible definir la frecuencia de las copias de
seguridad, la tecnología específica a utilizar, cómo
configurar cada dispositivo, etc.
 Como funciona la IS027001

¿por qué necesito un estándar que no me dice nada

concreto?

ISO 27001 le da un marco de trabajo para decidir

sobre la protección adecuada. Necesita adaptarlo a
sus necesidades específicas.
 Mitos de la norma 27001

“El estándar requiere xyz”

1. Requiere que las contraseñas se cambien cada 3 meses.
2. Requiere que deben existir varios proveedores.
3. Requiere que el sitio de recuperación esté por lo menos a 50 km

Las personas generalmente confunden las mejores prácticas con

requisitos del estándar.
No todas las reglas de seguridad son aplicables a todo tipo de
organizaciones.
 Mitos de la norma 27001

Dejaremos que TI administre la Seguridad de la Información

Los aspectos más importantes de seguridad de la información no
sólo incluyen salvaguardas técnicas, también incluyen cuestiones de
organización y gestión de recursos humanos, que suelen estar fuera
del alcance del departamento de TI.

La implementación de la ISO 27001 es más un proyecto del negocio

que un proyecto de TI.
 Mitos de la norma 27001

Lo implementaremos en un par de meses

Usted podría implementar la ISO 27001 en 2 ó 3 meses, pero
no funcionará, sólo obtendrá un montón de políticas y
procedimientos de las que nadie se preocupará.
La implementación de la SI significa que tiene que
implementar cambios, y toma tiempo que estos cambios sean
aceptados por sus empleados.
 Mitos de la norma 27001

“Este estándar es todo sobre documentación”

La documentación es una parte importante de la implementación del estándar

ISO 27001, pero la documentación no es un fin en sí mismo.
El punto principal del estándar ISO 27001 es que los empleados realicen sus
actividades de forma segura.

La documentación y los registros que se generen le ayudarán a medir si usted

alcanza sus metas de SI y permite corregir aquellas actividades que no se han
realizado.
 Mitos de la norma 27001

“Sólo es necesario un documento – la política de

seguridad de la información”
La política de seguridad de la información realmente
es un documento obligatorio, pero hay más
documentos que también son obligatorios, como el
alcance del SGSI, la evaluación del riesgo, etc.
 Mitos de la norma 27001

“El único beneficio del estándar es marketing”

Estamos haciendo esto sólo para obtener el certificado

Es la manera de pensar del 80 por ciento de las empresas

Se puede obtener otros beneficios muy importantes?

 Mitos de la norma 27001

“Necesitamos una herramienta GRC para implementar ISO 27001”

Las herramientas de gobernanza, riesgo y cumplimiento pueden

ser útiles, sin embargo no son requeridas de ninguna manera para
la implementación de la ISO 27001.
Su documentación puede almacenarse en un servidor existente, o
en la nube o en su computadora;
Gestión de Riesgos
 Gestión de
Riesgos

Aceptación
Visión General Contexto Valoración Tratamiento Comunicación Monitoreo
Gerencia

Consideraciones Factores de
Objeto Criterios básicos Alcance y limites Organización Descripción Análisis Evaluación Descripción
Generales Riesgo

Iterativo Evaluación Identificación Estimación Reducción Mejora Continua

Ciclo PDCA Impacto Introducción Metodologías Retención

Evaluación
Aceptación Activos Evitación
Consecuencias

Evaluación
Amenazas Transferencia
Probabilidad

Nivel de
Controles
estimación

Vulnerabilidades

Consecuencias
 Visión General
Objeto
La norma 27005 proporciona directrices para la gestión del
riesgo en la SI en una organización, dando soporte
particular a los requisitos de un SGSI de acuerdo con la
norma ISO/IEC 27001.

Sin embargo, esta norma no brinda ninguna metodología

específica para la gestión del riesgo en la seguridad de la
información.

Corresponde a la organización definir su enfoque para la

gestión del riesgo, dependiendo por ejemplo del alcance de
su SGSI, del contexto de la gestión del riesgo o del sector
industrial
 Visión General
• Establecer contexto
• Valoración
• Tratamiento
• Aceptación
• Comunicación
• Monitoreo y Revisión
 Anexos A..F

En los anexos se presenta la información adicional para las actividades de la gestión del riesgo
en la seguridad de la información.

El establecimiento del contexto está sustentado por el Anexo A (que define el alcance y los
límites del proceso de gestión del riesgo en la seguridad de la información).
La identificación y evaluación de los activos y las evaluaciones del impacto se discuten en el
Anexo B (ejemplos para activos),

Anexo C (ejemplos de amenazas comunes)

Anexo D (ejemplos de vulnerabilidades comunes).

Los ejemplos de los enfoques para la evaluación del riesgo en la seguridad de la información se
presentan en el Anexo E.

En el Anexo F se presentan las restricciones para la reducción del riesgo.

Controles y buenas practicas ISO/IEC
27002
 Tematica

1. Comparación Contenido Anexo A 27001 vs ISOI27002

2. Objeto
3. Estructura
4. Descripción general de cada Clausula, categorías de seguridad y controles
 Controles
Estructura

• 14 áreas de control(claúsulas)

• Cada área de control se divide en una o más

categorías de seguridad(35), cada una con un
objetivo de control.

• Cada categoría de seguridad se divide en uno o

más controles(114) que tienen un nombre y
descripción.

5. Políticas de seguridad de la información
6. Organización de seguridad de la
información
7. Seguridad de los recursos humanos
8. Gestión del activo
9. Control de acceso
10. Criptografía
11. Seguridad física y ambiental
12. Seguridad de las operaciones
Areas de control
13. Seguridad de las comunicaciones
14. Adquisición, desarrollo y mantenimiento
del sistema
15. Relaciones con los proveedores
16. Gestión de incidentes en la seguridad de
la información
17. Aspectos de la seguridad de la
información de la gestión de la
continuidad del negocio
18. Cumplimiento
 11) Física y Ambiental 13)
5) Políticas Seguridad(1) 6) Organización(2) 7) Recurso Humanos(3) 8) Activo(3) 9) Control de Acceso(4) 10) Criptografía(1) 12) Operaciones(7) 14) Sistemas(3) 15) Proveedores(2) 16) Incidentes(1) 17) Continuidad(2) 18) Cumplimiento(2)
(2) Telecomunicaciones(2)

.1 Orientación en .1 Interna(4) .1 Antes(2) .1 .1 Requisitos de .1 Controles(2) .1 Áreas Seguras(6) .1 .1 Redes(3) .1 Requisitos .1 Relación con .1 Gestión .1 Continuidad de .1 Requisitos
SI(2) • 1 Responsabilidad • 1 Antecedentes Responsabilidad(4) negocio(2) • 1 Política Uso • 1 Perímetros procedimientos(4) • 1 Controles seguridad(3) Proveedores(3) Incidentes(7) la SI (3) legales (5)
• Definición • 2 Segregación • 2 Términos • 1 Inventario • 1 Política • 2 Gestión Claves • 2 Controles Físicos • 1 Documentación • 2 Mecanismos • 1 Especificación • 1 Política • 1 Responsabilidades • 1 Planificación • 1 Legislación
• Revisión • 3 Autoridades Contratación • 2 Propietario • 2 Control • 3 oficinas y recursos • 2 Gestión de • 3 Segregación • 2 Redes Públicas • 2 Tratamiento • 2 Notificación • 2 Implantación Aplicable
• 4 Grupos Interés • 3 Uso • 4 Amenazas Cambios • 3 Protección de Riesgo eventos • 3 Verificación • 2 Derechos
• 5 Proyectos • 4 Devolución Ambientales • 3 Gestión de transacciones • 3 Cadena Suministro • 3 Notificación Revisión Propiedad
.2 Durante(3) • 5 Trabajo Capacidades puntos débiles • 3 Protección de
.2 Gestión acceso .2 Intercambio Registros
• 6 Acceso Público • 4 Separación • 4 Valoración Eventos
• 1 Responsabilidades Usuarios(6) de Entornos Información(4) • 5 Respuesta a • 4 Protección de
• 2 Concienciación • 1 Altas y Bajas • 1 Políticas Incidentes .2 Redundancia(1) Datos
• 3 Disciplinario • 2 Derechos Usuarios • 2 Acuerdos • 6 Aprendizaje • 5 Regulación
• 1 Disponibilidad Criptografía
• 3 Derechos Intercambio Incidentes
.2 Clasificación(3) .2 Prestación de Instalaciones
Especiales .2 Código • 3 Mensajería • 7 Recopilar
• 1 Directrices • 4 Información • 4 Acuerdos
.2 Desarrollo y Servicios de(2) Evidencias
.3 Después(1) .2 Equipos(9) Malicioso(1) soporte(9)
• 2 Etiquetado Confidencial Confidencialidad • 1 Supervisión y
• 1 Cese o Cambio • 3 Manipulación • 5 Revisión • 1 Protección • 1 Controles contra • 1 Política Desarrollo revisión
• 6 Eliminación • 2 Energía • 2 Control de • 2 Gestión de
.2 Móviles y • 3 Cableado Cambios Cambios
teletrabajo(2) • 4 Mantenimiento • 3 Posterior al .2 Revisiones SI (3)
• 5 Salida .3 Copias de Cambio
• 1Política .3 Soportes(3) • 1 Revisión
.3 • 6 Seguridad Afuera Seguridad(1) • 4 Cambios en
• 2Teletrabajo paquetes SW Independiente
• 1 Gestión Responsabilidades( • 7 Reutilización y
• 1 Respaldo • 2 Cumplimiento
• 2 Eliminación retirada • 5 Principios
1) Ingeniería políticas
• 3 Tránsito • 8 Desatendido
• Uso Información • 6 SI ambiente • 3 Comprobación
• 9 Puesto Despejado cumplimiento
Desarrollo
.4 Actividad y • 7 Externalización
.4 Acceso a supervisión(4) • 8 Pruebas
Funcionalidad
Sistemas (5) • 1 Registro Eventos • 9 Pruebas
• 1 Restricción • 2 Protección de Aceptación
• 2 Inicio Sesión registros
• 3 Contraseñas • 3 Registro
• 4 Herramientas Administradores
Administración • 4 Sincronización
• 5 Código fuente Relojes
.3 Datos de
Prueba(1)
• 1 Protección Datos
.5 Software en
producción(1)
• Instalación

.6 Vulnerabilidad
técnica(2)
• 1 Gestión
• 2 Restricción

.7 Auditorías de
Sistemas(1)
• 1 Control
Controles
Anexo A
Controles
27002
 Norma ISO/IEC 27001- 2013
Requisitos e implementación de un SGSI
 Temática

1. Objeto y Campo de aplicación

2. Referencias Normativas
3. Términos y definiciones
4. Contexto Organizacional
5. Liderazgo
6. Planificación
ISO 27001
7. Soporte
8. Operación
9. Evaluación del desempeño
10. Mejora Continua
11. Anexo A: Objetivos de Control y
controles de referencia
 ISO 27001
2013

5 9.0
4 Contexto
6 Planificar 7 Soporte 8. Operación Evaluación 10. Mejora
Organización Liderazgo Desempeño
10.1 No
5.1 Liderazgo 6.1 abordar 6.2 Objetivos 8.1 Control 9.1 Medición 9.2 Auditoría 9.3 Revisar 10.2 Mejora
4.1 Contexto 7.1 Recursos conformidad
Compromiso riesgos de SI Operacional y análisis Interna Gestión Continua
y acciones

6.1.2 Valorar a. 8.2 Valorar

4.2 6.1.1 6.1.3Tratar 7.2 a. Qué se a. Requisito a. Gestiones a. evaluar
5.2 Política Consistente
Necesidad PI General Riesgo Riesgo Competencia Riesgos mide SGSI y norma anteriores acciones
PSI
a. 8.3 Tratar b. Evaluar
5.3 Roles a. Asegurar 6.1.2.a b. Efectivo b. Cambios
4.3 Alcance Autoridad
Seleccionar b. Medible 7.3 Conocer b. Métodos acción
resultados Criterios Riesgos implementar contexto
opciones correctiva
4.4 SGSI b. Prevenir d. Retro. c.
6.1.2.b b. Determina c. Considerar 7.4 c. Cuándo c. Programas
Cumplir efectos no Rendimiento Implementar
Consistencia controles requisitos SI Comunicar mide Auditoría
27001 deseados SI acción
c. Lograr c. Comparar
6.1.2.c d. Ser 7.5 d. Quién d. Criterio y d. Revisar la
mejora d. Retro. PI
Identificar Anexo A comunicados Documentar mide alcance efectividad
continua
e. Cambios al
d. Acciones 6.1.2.d d. Declarar e. Ser e. Cuando e. Auditores e. Resultados
SGSI si es
abordar Análisis aplicabilidad actualizados Analiza objetivos plan tratar
necesario
f.
e. Cómo f.
6.1.2.e e. Formular f. Qué se f. Quién f. Comunicar Documenta
Integrar a Oportunidad
Evaluación plan Tratar hará? Analiza resultados naturaleza y
procesos Mejora
acción NC
e. Cómo f. Aprobar g. g.
g. recursos
evaluar la Documenta Documenta
plan requeridos?
eficacia Información resultado

h.
Responsable

i. Cuándo
terminará?

j. Cómo se
evaluará
Contexto Externo de la
Organización
Contexto Externo de la
Organización
Contexto Externo de la
Organización
 Liderazgo y Compromiso

El liderazgo y el compromiso de dirección son muy

importantes ya que son cruciales para el éxito del SGSI
en una empresa. Sin el liderazgo y el compromiso de la
dirección, el proyecto de implementación del SGSI
fallará.
 Liderazgo y Política
Recomendaciones

Determinar objetivos estratégicos para su SGSI no es una tarea

fácil. Pero, para facilitar este trabajo, usted debe comenzar con
su estrategia de empresa:
• ¿qué trata de alcanzar su empresa?
• ¿Cómo quiere conseguirlo?
• ¿con qué competencias?
• ¿Cómo puede ayudar la seguridad de la información a
ejecutar esta estrategia?
Una vez que encuentre esta relación, será más fácil llegar a los
objetivos del SGSI.
 Planificación
Acciones para abordar los riesgos
Valoración de Riesgos

No debe empezar a evaluar los riesgos con una

metodología en mente, o con alguna hoja que descargo
en Internet, puede ser inadecuada para su empresa.

Debe desarrollar o adaptar la metodología a sus

circunstancias específicas y a sus necesidades
 Planificación
Acciones para abordar los riesgos
Tratamiento del riesgo de la SI

La importancia de la Declaración de Aplicabilidad (a

veces conocida como SoA, por sus iniciales en inglés
de Statement of Applicability) es el documento
central donde define cómo implementará los
elementos principales de la seguridad de la

información.
 Planificación
Acciones para abordar los riesgos
Tratamiento del riesgo de la SI
El propósito del tratamiento de riesgos (o mitigación
de riesgos) parece bastante simple: controlar los
riesgos identificados durante el análisis de riesgos;
en la mayoría de los casos esto significa disminuir el
riesgo reduciendo la probabilidad de un incidente
de los riesgos identificados.
7 Soporte o apoyo

71
 Soporte
Recursos

Con respecto a los recursos, ISO 27001 requiere a las

empresas
• Identificar los recursos necesarios para el SGSI y que
estos estén disponibles para la operación diaria, así
como para la mejora continua del SGSI.
• Sostenibilidad
• Cumplimiento de los procedimientos
 Soporte
Competencia
El estándar requiere realizar los siguientes pasos de manera continua:

1. Definir qué competencias (conocimientos y habilidades)

básicamente, revise cada documento del SGSI y vea lo que se
requiere de cada persona responsable.
2. Realizar capacitaciones para alcanzar el nivel de conocimientos y
habilidades deseado: participación en foros de expertos, cursos
de capacitación internos, etc.

3. Medir si cada individuo ha alcanzado el nivel deseado de

conocimientos y habilidades: Pruebas, entrevistas, etc.
 Soporte
Conocimiento

No basta que sus empleados sepan cómo realizar ciertas

actividades; también es importante que entiendan por qué lo
hacen.

La idea básica es explicar por qué la seguridad de la

información es buena para ellos y para su empresa, y también
debe explicar que regla es aplicable en cada situación.
 Soporte
Comunicación

Es muy frecuente que no se hagan cosas porque la información

no llega a los destinatarios adecuados de una manera correcta.

Esto es por lo que el estándar obliga a las empresas a definir sus

necesidades con respecto a las comunicaciones internas y
externas relevantes para la seguridad de la información.
 Soporte
Información Documentada
Creación y actualización
Este procedimiento debe definir claramente las responsabilidades y
las reglas para el manejo de los documentos:
1. Formato requerido,
2. Medios utilizados para su elaboración,
3. Quién puede aprobarlos,
4. Cómo están distribuidos y archivados,
5. Cómo se mantienen hasta la fecha,
6. Qué sistema de control de versiones está en uso,
7. Cómo controlar la recepción de documentos externos, etc.
8 Operación

77
 Operación
planificación y control
En el funcionamiento diario del SGSI puede
sucederán la mayor parte de los problemas.

Algunos empleados simplemente olvidarán su

procedimiento, otros lo interpretan de manera
incorrecta, otros obstruirán intencionadamente.
 Operación
planificación y control

La gestión de cambios es un aspecto importante

de la seguridad de la información
Debido a las grandes lagunas en seguridad que
pueden presentarse exactamente a la hora de
hacer cambios en su organización, especialmente
si los cambios son involuntarios y no están
planificados.
9 Evaluación del Desempeño

80
 Evaluación del Desempeño
Seguimiento, medición, análisis
y evaluación
Con el fin de aclarar la terminología
• El monitoreo se refiere a observar y examinar
• La medición se refiere a determinar el tamaño o la cantidad de algo mediante el uso de valores concretos.
Ejemplo:
La monitorización de incidentes se refiere a revisar todos los incidentes que han ocurrido,
La medición de los incidentes se refiere a determinar el número de incidentes que se reportan diariamente.
El análisis se refiere a examinar los resultados de la medición, por ejemplo, comparando el número de incidentes
diariamente,
Evaluación significa llegar a conclusiones basadas en el análisis, El número de incidentes el lunes fue más alto que
cualquier otro día, entonces la empresa debe investigar esto con mayor detenimiento.
 Evaluación del Desempeño
Auditoría Interna
A primera vista, la auditoría interna probablemente se vea como
un gasto excesivo. Sin embargo, las auditorías internas permiten
descubrir problemas (es decir, no conformidades) que de otra
manera podrían quedar ocultas, y que por tanto, podrían
perjudicar a su negocio.

Es parte de la naturaleza humana cometer errores, por lo que

es imposible tener un sistema sin errores; sin embargo, es
posible tener un sistema que se mejore a sí mismo, y que
aprenda de sus errores. Las auditorías internas son una parte
crucial de este sistema.
 Evaluación del Desempeño
Revisión de la Gestión
la revisión por dirección es donde el estándar le solicita a la alta
dirección participar activamente en las decisiones que tienen un gran
impacto en el SGSI.
Por ejemplo, la seguridad de la información puede necesitar un
presupuesto más grande, o cambiar los objetivos estratégicos de su
SGSI
Todas estas cuestiones requieren decisiones desde arriba. Y la
revisión de la Gestión es exactamente el lugar para tomar tales
decisiones. Se puede considerar esta revisión de la gestión como una
reunión ordinaria de sus altos ejecutivos con un tema en la agenda: la
seguridad de la información.
Mejora Continua

84
 Mejora
No conformidad y acciones
correctivas

Básicamente, cualquier empresa que intente sobrevivir en el

mercado actual está haciendo mejoras constantemente:
1. Desarrollando nuevos productos
2. Resolviendo problemas de los productos y servicios
existentes
3. Disminuyendo costes, etc.

De lo contrario, no estarían en el negocio mas.

Auditoría de la Norma Norma ISO/IEC
27001- 2013
 Auditoría
1. Introducción
• Definición
• Alcances
• Tipos
• Propósito
• Criterios
• Hallazgos
2. Organización
• Procedimientos
• Programas
• Plan
3. Elementos de Auditoría
• Revisión de documentos
• Creación de Listas de chequeo
• Reporte de AI
• Solicitud de acciones correctivas
 Definiciones de la norma
ISO 19011

• Auditoría • Programa de auditoría

• Auditor • Plan de auditoría
• Evidencia objetiva • Alcance de la auditoría
• Criterios de auditoría • Experto técnico
• Hallazgos de la auditoría
 Auditoría

Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin
de determinar en que grado se cumplen los criterios de la auditoría” ISO 19011.
• Sistemático: No aleatorio, las auditorias usualmente son una actividad planificada y programada.
• Independiente: Los auditores deben ser independientes del área auditada.
• Documentado: El proceso de auditoria ha sido publicado como un procedimiento escrito.
• Evaluarla objetivamente: Comparar la evidencia con los criterios de auditoría, usando hechos antes que
percepciones subjetivas, opiniones, sentimientos.
• Criterios de auditoría: Los requisitos de la auditoría,
• Se cumplen: Ocurren realmente.
Certificación – Auditoría - tipos

• Auditoría de certificación inicial

• Auditoría de recertificación
• Auditoría de vigilancia
• Auditoría interna
• Auditoría de la primera parte
• Auditoría de la segunda parte
• Auditoría de la tercera parte
 ISO 19011

ISO 19011, Directrices para la auditoría de los sistemas de gestión

ofrece orientación sobre la gestión de los programas de auditoría, la
realización de auditorías internas o externas de los sistemas de
gestión, así como sobre la competencia y la evaluación de los auditores
del sistema de gestión
 Norma 27007
Esta Norma Internacional proporciona orientación sobre la gestión de un programa de auditoría del
(SGSI) y la realización de auditorías internas o externas de conformidad con la norma ISO / IEC 27001,
así como orientación sobre la competencia y la evaluación de auditores del SGSI , que debe utilizarse
conjuntamente con la orientación contenida en la ISO 19011.

El texto de esta Norma Internacional sigue la estructura de la ISO 19011 y las directrices adicionales
específicas del SGSI sobre la aplicación de la ISO 19011 para las auditorías del SGSI