28/10/2023

ISO 27000 SERIES

SEMANA 05

ESTÁNDARES DE SEGURIDAD

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Habilitado en Canvas espacio

Para carga de tarea hasta las 8:00am

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

1
 28/10/2023

Agenda
ISO 27001

Familia ISO 27000

ISO 27001:2022

Porque es Necesaria

Como apoya

Controles

La Certificación

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Que es ISO 27000?

Las normas que forman la serie ISO/IEC-27000 son un conjunto de

estándares creados y gestionados por la Organización Internacional
para la Estandarización (ISO) y la Comisión Electrónica
Internacional (IEC). Ambas organizaciones internacionales están
integradas por multitud de países, lo que garantiza su amplia difusión,
implantación y reconocimiento en todo el mundo.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

2
 28/10/2023

ISO 27000
Es parte del sistema de gestión global, basada en un
enfoque hacia los riesgos de un negocio, para establecer,
implementar, operar, hacer seguimiento, revisar,
mantener y mejorar la seguridad de la información, por
medio del Sistema de Gestión de Seguridad de la
Información (SGSI) o por su denominación en
inglés Information Security Management
System (ISMS)”

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Las ISO 27000 tienen como objetivo:

Establecer las mejores prácticas en relación con diferentes aspectos

vinculados a la gestión de la seguridad de la información, con una
fuerte orientación a la mejora continua y la mitigación de riesgos.

Y define tres dimensiones principales:

Confidencialidad
Disponibilidad
Integridad.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

3
 28/10/2023

Familia ISO 27000

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Familia ISO 27000

http://victorsinuco.blogspot.com/2017/06/asegurando-la-informacion-una.html

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

4
 28/10/2023

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Que es la ISO 27001?

Es el conjunto de requerimientos
necesarios para implantar, mantener y https://www.sydle.com/blog/assets/post/ciclo-pdca-

gestionar un SGSI, dentro del proceso de

61ba2a15876cf6271d556be9/ciclo-pdca.png?w=960

mejora continua conocido como Ciclo

Deming o PDCA, en relación con las
fases de Planificar, Hacer, Verificar y
Actuar.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

10

5
 28/10/2023

Historia de la Norma 27001

Certiprof

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

11

ISO/IEC 27001:2022 Estructura

La nueva estructura refleja la estructura de otras normas nuevas de
gestión, tales como ISO 9000, ISO 20000 e ISO 22301, que
ayudan a las organizaciones a cumplir con varias normas.
https://certikit.com/wp-content/uploads/2022/11/Blog-graphics-2-1.png

Los cambios que se presentaron en la industria con la aparición del

Marco de Ciberseguridad del NIST (CSF), las propuestas de
Ciberseguridad de la Unión Europea reflejados en diversos
documentos de la ENISA y las actualizaciones que ocurrieron en
otras mejores prácticas como ITIL y COBIT -durante 2019- y PCI,
por lo que fue necesario la actualización del contenido de la norma.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

12

6
 28/10/2023

ISO/IEC 27001:2022 Estructura

Principales cambios

• Hay 93 controles en 4 grupos o tipos de controles en comparación con los 114

controles en 14 cláusulas en la versión de 2013.
• Se agregaron 11 nuevos controles (Inteligencia de amenazas, Seguridad de la
información en la nube, continuidad del negocio, seguridad física y su supervisión,
configuración, eliminación de la información, encriptación de datos, seguimiento y
monitoreo, filtrado web, codificación segura)
• 1 control se eliminó (eliminación de activos)
• 58 controles se actualizaron
• 24 controles fusionados

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

13

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

14

7
 28/10/2023

ISO/IEC 27001:2022 Estructura

• 4 grupos o tipos de controles, distribuidos de la
siguientes manera:

https://www.cynthus.com.mx/actualizacion-del-estandar-iso-27001/

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

15

Plan-Do-Check-Act

Estructura de ISO/IEC 27001

1. Introducción
2. Alcance
3. Referencias normativas
4. Términos y definiciones
5. Contexto de la organización
6. Liderazgo
7. Planificación
8. Soporte
9. Operación
10. Evaluación del desempeño
11. Mejora

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

16

8
 28/10/2023

Controles de Seguridad de la
Información
Controles Organizacionales – 37 controles

5.1 Políticas de seguridad de la información

5.2 Roles y responsabilidades en seguridad de la información
5.3 Segregación de funciones
5.4 Responsabilidades de gestión
5.5 Contacto con autoridades
5.6 Contacto con grupos de interés
5.7 Inteligencia de amenazas
5.8 Seguridad de la información en la gestión de proyectos
5.9 Inventario de información y otros activos asociados
5.10 Uso aceptable de información y otros activos asociados…

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

17

Controles de Seguridad de la
Información
Controles de Personas – 08 Controles

6.1 Comprobaciones de verificación de antecedentes

6.2 Términos y condiciones para el empleo
6.3 Educación, entrenamiento y conciencia de seguridad de la información
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Confidencialidad y no divulgación de acuerdos
6.7 Trabajo Remoto
6.8 Informes de eventos de seguridad de la información

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

18

9
 28/10/2023

Controles de Seguridad de la
Información
Controles Físicos– 14 Controles
7.1 Perímetros de seguridad física
7.2 Entradas físicas
7.3 Aseguramiento de oficinas, cuartos e instalaciones
7.4 Monitoreo de la seguridad física
7.5 Protección contra amenazas físicas y del entorno
7.6 Trabajo en áreas seguras
7.7 Escritorio y pantalla limpia
7.8 Protección y disposición de equipos
7.9 Seguridad de los activos fuera de las instalaciones
7.10 Medios de almacenamiento
7.11 Utilidades de apoyo
7.12 Seguridad del cableado
7.13 Equipos de mantenimiento
7.14 Eliminación segura o reutilización de equipo

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

19

Controles de Seguridad de la
Información
Controles Tecnológicos– 34 Controles
8.1 Dispositivos de usuario final
8.2 Derechos de acceso privilegiado
8.3 Restricción de acceso a la información
8.4 Acceso a código fuente
8.5 Autenticación segura
8.6 Gestión de la capacidad
8.7 Protección contra malware
8.8 Gestión de las vulnerabilidades técnicas
8.9 Gestión de la configuración
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de fuga de datos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

20

10
 28/10/2023

¿Porque es importante un marco

de referencia para gestionar la
Seguridad de la información?

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

21

Es importante porque…
Cada día son más las amenazas y las variantes de ataques que
pueden generar un riesgo a la información así como a los
sistemas de la organización.

“El escenario nos obliga a contar con un sistema que nos

permita que se puedan gestionar los riesgos de una manera
controlada, con esto se puede garantizar que se está protegiendo
de forma correcta todos los activos de la empresa.

Este aspecto, y muchos más, se encuentran conformados en

el Sistema de Gestión de Seguridad de la Información (SGSI)

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

22

11
 28/10/2023

Algunos de los riesgos a los que nos enfrentamos:

Posibles pérdidas financieras

Reducción de la productividad

Daños a la reputación de la empresa

Pérdida de oportunidad y competitividad en el mercado

Penalizaciones económicas por incumplimiento de legislación

vigente

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

23

Para poder gestionar la Seguridad de la Información

se deben tomar en cuenta los siguientes aspectos:
Identificación y clasificación de la
información de acuerdo a: -Criterios de
Sensibilidad -Criticidad

Roles y responsabilidades para la

gestión de la seguridad de la “Cada uno de estos
información
elementos se ven
abordados dentro de la
Monitoreo de la Seguridad de la
Información ISO 27001”.

Seguridad física

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

24

12
 28/10/2023

Fases de Diseño del SGSI

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

25

Etapas de Implementación de un SGSI

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

26

13
 28/10/2023

Actividad
De acuerdo a los controles identificados de la ISO
27001:2022 identifique algunos procesos de su
organización en los que pueda aplicar 4 de los
controles (1 de cada grupo visto en clase), e
identifique como puede ayudar a mitigar los riesgos.

Organizacionales
Personas
Físicos
Tecnológicos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

27

Gracias!

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

28

14