Unidad 1 - Implementación de Un SGSI

p.
<< Implementación de un Sistema de

Gestión de Seguridad de la
Información (SGSI). Basado en la
Norma ISO/IEC 27001.
>>
Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

UTN - FRBA. Secretaría de Cultura y Extensión Universitaria
Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148 // e-learning@sceu.frba.utn.edu.ar
www.sceu.frba.utn.edu.ar/e-learning
p. 2
Unidad 1:
Introducción y fundamentos

p. 3
Presentación:
En la medida en que crece y evoluciona la Tecnología de la Información, aumenta
también la necesidad de capacitarse en Seguridad de la Información, las organizaciones
de todo tipo y tamaño deben establecer un compromiso para establecer, mantener, operar
y mejorar la Gestión de la Seguridad de la Información, a través de un enfoque
sistemático y la mejora continua implantando un Sistema de gestión de Seguridad de la
Información. (SGSI).
El estándar internacional de la Seguridad de la Información ISO/IEC 27001 proporciona la

orientación necesaria a aquéllos que deseen implementar, gestionar, mejorar y/o auditar
un sistema de gestión de Seguridad de la Información.

p. 4
Objetivos:
Que los participantes*:
 Se familiaricen con los términos y definiciones propios de una implementación.
 Obtengan los conocimientos teóricos básicos necesarios para realizar

implementaciones de Sistemas de gestión de Seguridad de la Información (SGSI),
según los requisitos de ISO 27001.

p. 5
Bloques temáticos:
1. Introducción y fundamentos.
2. Términos y definiciones aplicables a una Implementación: objetivos, alcance y
criterios, etc.
3. Resumen Resumen de Estándares internacionales. Las normativas ISO, IRAM y
BS, filosofía y requisitos generales. Orígenes e historia.

p. 6
Consignas para el aprendizaje colaborativo
En esta Unidad los participantes se encontrarán con diferentes tipos de actividades que,
en el marco de los fundamentos del MEC*, los referenciarán a tres comunidades de
aprendizaje, que pondremos en funcionamiento en esta instancia de formación, a los
efectos de aprovecharlas pedagógicamente:
● Los foros proactivos asociados a cada una de las unidades.

● La Web 2.0.
● Los contextos de desempeño de los participantes.
Es importante que todos los participantes realicen algunas de las actividades sugeridas y
compartan en los foros los resultados obtenidos.
Además, también se propondrán reflexiones, notas especiales y vinculaciones a

bibliografía y sitios web.
El carácter constructivista y colaborativo del MEC nos exige que todas las actividades
realizadas por los participantes sean compartidas en los foros.
* El MEC es el modelo de E-learning colaborativo de nuestro Centro.

p. 7
Tomen nota*
Las actividades son opcionales y pueden realizarse en forma individual, pero siempre es
deseable que se las realice en equipo, con la finalidad de estimular y favorecer el trabajo
colaborativo y el aprendizaje entre pares. Tenga en cuenta que, si bien las actividades
son opcionales, su realización es de vital importancia para el logro de los objetivos de
aprendizaje de esta instancia de formación. Si su tiempo no le permite realizar todas las
actividades, por lo menos realice alguna, es fundamental que lo haga. Si cada uno de los
participantes realiza alguna, el foro, que es una instancia clave en este tipo de cursos,
tendrá una actividad muy enriquecedora.
Asimismo, también tengan en cuenta cuando trabajen en la Web, que en ella hay de todo,
cosas excelentes, muy buenas, buenas, regulares, malas y muy malas. Por eso, es
necesario aplicar filtros críticos para que las investigaciones y búsquedas se encaminen a
la excelencia. Si tienen dudas con alguno de los datos recolectados, no dejen de consultar
al profesor-tutor. También aprovechen en el foro proactivo las opiniones de sus
compañeros de curso y colegas.

p. 8
1. Introducción y Fundamentos.
La ISO 27001 es la norma ISO que establece los requisitos mínimos para implantar,
operar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información
(SGSI).
Dicho estándar internacional fue publicado como tal por la International Organization for
Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC)
en octubre del año 2005 (actualmente existe una versión de 2013 actualizada) y es el
único estándar aceptado a nivel internacional para la gestión de la Seguridad de la
Información.
La ISO 27001 como se conoce hoy, data de hace casi 20 años, ha sido resultado de la
evolución de otros estándares relacionados con la seguridad de la información.
La ISO 27001 es la norma principal de la serie 27000 y contiene los requisitos del sistema
de gestión de seguridad de la información. Su origen es la BS 7799-2:2002 (que quedó
anulada en su oportunidad) y es la norma con la cual se certifican los SGSI (Sistemas de
Gestión de Sistemas de Información) de las organizaciones a nivel internacional.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles que

desarrolla la norma ISO 27002, para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los
controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la
no aplicabilidad de los controles no implementados.
Dicha norma en varios países se denomina con distintos nombres, está publicada en
España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también
en lengua gallega). Luego, en 2009, se publicó un documento adicional de modificaciones
(UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde está publicada en español son,
por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001),
Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001).
Actualmente, se traducen en los distintos países la última versión. En Argentina, se

publicará la misma este año.

p. 9
Tenga en cuenta que en los últimos años se han modificado distintas ISO/IEC y todas
ellas poseen formato similar en sus últimas versiones.
Revise este video.
https://www.youtube.com/watch?v=vWAV0bdWvtI
1. Amplíe la información presentada en la Unidad con una investigación en la Web

sobre el origen de la norma y su última versión. Comience por Wikipedia. Realice
una muy breve síntesis de sus hallazgos y compártala en el foro.

p. 10
2. Términos, Conceptos y definiciones.

Los términos y definiciones han sido revisados en los últimos años en la ISO/IEC,
originalmente se utilizaba los términos definidos en cada una de las normas a partir de los
últimos años se unificaron en la ISO/IEC 27000.
Los términos y definiciones que son propias al Curso que nos ocupa y que se referencian
en las ISO relacionadas:
 Información: datos que poseen significado.
ISO 9000:2005
 Información (II): La información constituye un importante activo, esencial para las

necesidades empresariales de una organización. La información puede existir de
muchas maneras. Puede estar impresa o escrita en papel, puede estar
almacenada electrónicamente, ser transmitida por correo o por medios
electrónicos, se la puede mostrar en videos, o exponer oralmente en
conversaciones. En muchas organizaciones la información es dependiente de
tecnología de la información y comunicaciones. Esta tecnología es a menudo un
elemento esencial en la organización y ayuda a facilitar la creación, procesamiento,
almacenamiento, transmisión, protección y destrucción de la información.
ISO/IEC 27000:2014
 Confidencialidad: Propiedad por la cual la información no esté disponible ni sea

divulgada a individuos, organismos o procesos no autorizados.
ISO 27000:2014, cláusula 2.12
 Integridad: Propiedad de proteger la precisión y la totalidad de los activos.
ISO 27000:2014, cláusula 2.40
 Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte

de un organismo autorizado
ISO 27000:2014, cláusula 2.9
 Seguridad de la información: Preservación de la confidencialidad, integridad y

disponibilidad de la información; además de otras propiedades, que también

p. 11
pueden estar involucradas como la autenticación, registro de responsabilidad

(accountability), el no repudio y la confiabilidad.
ISO/IEC 27000:2014
 Sistema de gestión de seguridad de la información (SGSI): Consiste en las

políticas, procedimientos, directrices, recursos asociados y actividades,
administradas conjuntamente por una organización, en la búsqueda de la
protección de sus activos de información. Es un enfoque sistemático para
establecer, implementar, operación, monitoreo, revisar, mantener y mejorar la
seguridad de la información de una organización para lograr los objetivos del
negocio. Está basado en una evaluación del riesgo y los niveles de aceptación del
riesgo de la organización diseñados para tratar con eficacia y gestionar los riesgos.
Analizando los requerimientos para la protección de los activos de información y la
aplicación de los controles adecuados para garantizar la protección de estos
activos de información, según sea necesario.

p. 12
Tenga en cuenta que en los últimos años se han unificado los términos a utilizar en las
distintas normas para su mejor compresión.
Revise este video.
https://www.youtube.com/watch?v=i_3z68QGaJs
1. Elabore un breve resumen de no más de media página sobre lo que ha visto.

Comparta su informe en el Foro proactivo
2. Revise los cambios realizados en la norma en los últimos años mediante una
investigación Web. Compare los términos y definiciones en cada una de las normas
y realice una muy breve síntesis de sus hallazgos y compártala en el foro.

p. 13
3. Resumen de Estándares internacionales. Las

normativas ISO, IRAM y BS, filosofía y requisitos
generales. Orígenes e historia.
La norma BS 7799 de BSI aparece en 1995 (precursora de la ISO/IEC 27001), su objeto
era proporcionar a las organizaciones y/o empresas un conjunto de buenas prácticas para
la gestión de la seguridad de su información. La primera parte de la BS 7799-1 es una
guía de buenas prácticas, para la cual no se estableció originalmente un esquema de
certificación. La segunda parte BS 7799-2 fue, publicada en 1998, dicha norma
originalmente es la que estableció los requisitos de lo que originalmente se conoció como
un ISMS, Information Security Management System, en español Sistema de seguridad
de la información, SGSI, para ser certificable por una entidad independiente.
Ambas partes de la BS 7799 se revisaron en 1999 y la primera parte se adoptó por

ISO/IEC, sin cambios sustanciales, como ISO 17799 en el año 2000. Asimismo, en 2002,
se revisó la BS 7799-2 para adecuarla a la filosofía de normas ISO de sistemas de
gestión.
Las Normas “BS” de la British Standards Institution llevan el prefijo “BS” con carácter
internacional. Son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS
18001.
En el año 2005, este esquema se publicó por ISO como estándar ISO 27001, al tiempo
que se revisó y actualizó ISO 17799-2.

p. 14
Historia de ISO 27001 e ISO 17799
1998 1999 2002 2005

Revisión y
Nuevo
Revisión acercamient
estándar Estándar
conjunta de o a:
nacional
■ Certificable las partes 1 Internacional
■certificabl ■y 2 ■• ISO 9001 ■
■ No eBS 7799-2 BS 7799-2 BS 7799-2 ISO/IEC 27001
:1999 • ISO 14001
:2002 :2005
certificable
• OCDE
Centro de
Revisión por:
Seguridad
de
• NCC (Centro Revisión
Informática Estándar
Nacional de Estándar Revisión
Comercial conjunta de
Computación) nacional Internacional periódica
■del Reino •■Consorcio ■ británico ■las partes 1 ■ ■
Código
Unido PD0003
usuarios BS 7799 y 2 7799-1
BS ISO/IEC 17799 ISO/IEC 17799
Código de (Fast Track) (5 años)
de
(CCSC/DTI) :1999 :2000 :2005
prácticas prácticas
para para la
usuarios gestión de
la
seguridad
de la
información
1989 1993 1995 1999 2000 2005

Fuente:. www.iso27000.es
En 2007 la ISO 17799 se renombra es la ISO 27002:2005.
Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la

serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e
implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de
la serie.

p. 15
Posteriormente, se publican nuevas versiones. En el año 2013, finalmente se ha

publicado la última versión de la ISO 27001 que trae cambios significativos en su
estructura, evaluación y tratamiento de los riesgos,
“La ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica

Internacional) forman el sistema especializado para la normalización en todo el mundo.
Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de
Normas Internacionales a través de comités técnicos establecidos por la organización
respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos
de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones
internacionales, gubernamentales de la tecnología de la información, ISO e IEC han
establecido un comité técnico conjunto ISO / IEC JTC 1.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las
Directivas ISO / IEC.

p. 16
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los
Proyectos de Normas Internacionales adoptados por el comité técnico conjunto se
circulan a los organismos nacionales para votación. La publicación como Norma
Internacional requiere la aprobación por al menos el 75 % de los organismos nacionales
con derecho a voto.”
Fuente ISO/IEC
27001.

p. 17
Tenga en cuenta la evolución de las distintas normas que dan

origen a la ISO 27001 en las actividades siguientes:
 Amplíe esta información a través de una investigación en

la Web y bibliográfica sobre de los orígenes e historia de las distintas normas.
Realice un resumen de sus hallazgos de no más de tres páginas y compártala en
el foro.
 Investigue las cláusulas y normas que se utilizan para Implementar un SGSI.
Comparta su investigación en el Foro Proactivo.

p. 18
Bibliografía utilizada y sugerida

Libros y otros manuscritos
 Enciclopedia de la Seguridad Informática – Gomez Vieites, Alvaro – Editorial
Alfaomega.
 Seguridad de la Información – Redes, informática y sistemas de Información –

Javier Areitio Bertolín, Editorial Paraninfo
 Sistemas de telecomunicaciones e informáticos – seguridad en las

telecomunicaciones e informática, Coccera Rueda, Julián, Editorial Thomson.
 La seguridad de la información - Daltabuit Godas, Enrique Hernandez Audelo,

Leobardo mallen Fullerton, Guillermo Vazquez Gomez, Jose de Jesus, Editorial
Limusa.
 Seguridad en Redes Telemáticas, Cariacedo Gallardo, Justo, Editorial McGraw
Hill.
 Técnicas de la auditoria informática, Derrien, Yann, Editorial Marcombo.
 Norma ISO 27001:2013 – Sistema de Gestión de la Seguridad de la Información –

Requisitos. Emitida por International Organization for Standardization.
 Norma ISO 19011:2011 - Directrices para la implementación de los sistemas de

gestión. Emitida por International Organization for Standardization.
Bibliografía complementaria:

p. 19
Knowledgenet Certified Information Systems Security Professionals CISSP Student

Guide – Thomson Net
The CISSP Prep Guide—Mastering the Ten Domains of Computer Security - Ronald L.
Krutz & Russell Dean Vines – Wiley
Role-Based Access Controls - David F. Ferraiolo and D. Richard Kuhn - NIST
ISO/IEC 27002 – Information Technology. Security Techniques. Code of practice for

information security management.
CEH Official Certified Ethical Hacker – Kimberly Graves - Sybex
OWASP – Open Web Application Security Project
COBIT 4.0 – IT Governance Institute
Checklist of Responsible Information-Handling Practices. Privacy Rights Clearing House

- University of San Diego, Center for Public Interest Law.
Guidelines for Establishing Information Security Policies at Organizations Using

Computer-based Patient Record Systems - Computer-based Patient Record Institute
Inc

p. 20
Lo que vimos
En esta primera Unidad hemos revisado los antecedentes históricos, la filosofía, las
definiciones y términos pertinentes como así también los términos de implementación que
aplican en el caso de la ISO/IEC 27001.
Lo que viene:
En la Unidad siguiente analizaremos los pasos de una implementación de un SGSI
(Sistema de Gestión de Seguridad de la Información).


Unidad 1 - Implementación de Un SGSI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 1 - Implementación de Un SGSI

Cargado por

Copyright:

Formatos disponibles

p.

<< Implementación de un Sistema de

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

El estándar internacional de la Seguridad de la Información ISO/IEC 27001 proporciona la

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

 Obtengan los conocimientos teóricos básicos necesarios para realizar

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Consignas para el aprendizaje colaborativo

● Los foros proactivos asociados a cada una de las unidades.

Además, también se propondrán reflexiones, notas especiales y vinculaciones a

* El MEC es el modelo de E-learning colaborativo de nuestro Centro.

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

En su Anexo A, enumera en forma de resumen los objetivos de control y controles que

Actualmente, se traducen en los distintos países la última versión. En Argentina, se

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Revise este video.

1. Amplíe la información presentada en la Unidad con una investigación en la Web

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

2. Términos, Conceptos y definiciones.

 Información: datos que poseen significado.

 Información (II): La información constituye un importante activo, esencial para las

 Confidencialidad: Propiedad por la cual la información no esté disponible ni sea

ISO 27000:2014, cláusula 2.12

 Integridad: Propiedad de proteger la precisión y la totalidad de los activos.

ISO 27000:2014, cláusula 2.40

 Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte

ISO 27000:2014, cláusula 2.9

 Seguridad de la información: Preservación de la confidencialidad, integridad y

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

pueden estar involucradas como la autenticación, registro de responsabilidad

 Sistema de gestión de seguridad de la información (SGSI): Consiste en las

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Revise este video.

1. Elabore un breve resumen de no más de media página sobre lo que ha visto.

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

3. Resumen de Estándares internacionales. Las

Ambas partes de la BS 7799 se revisaron en 1999 y la primera parte se adoptó por

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Historia de ISO 27001 e ISO 17799

1998 1999 2002 2005

1989 1993 1995 1999 2000 2005

En 2007 la ISO 17799 se renombra es la ISO 27002:2005.

Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Posteriormente, se publican nuevas versiones. En el año 2013, finalmente se ha

“La ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Tenga en cuenta la evolución de las distintas normas que dan

 Amplíe esta información a través de una investigación en

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Bibliografía utilizada y sugerida

 Seguridad de la Información – Redes, informática y sistemas de Información –

 Sistemas de telecomunicaciones e informáticos – seguridad en las

 La seguridad de la información - Daltabuit Godas, Enrique Hernandez Audelo,

 Norma ISO 27001:2013 – Sistema de Gestión de la Seguridad de la Información –

 Norma ISO 19011:2011 - Directrices para la implementación de los sistemas de

Centro de Formación, Investigación y Desarrollo de Soluciones de e-Learning.

Knowledgenet Certified Information Systems Security Professionals CISSP Student

Role-Based Access Controls - David F. Ferraiolo and D. Richard Kuhn - NIST