CURSO

PLANIFICACIÓN ESTRATÉGICA DE LA
SEGURIDAD DE LA INFORMACIÓN

MAESTRÍA EN SEGURIDAD INFORMÁTICA

ESPOL-FIEC
2022
 TEMA
NORMAS 27000 Y 27001:2017

Seguir un estandar de seguridad aceptado por el mercado

crea una defensa segura a la empresa
Agenda
• Resumen
• ISO 27000
• ISO 27001 - Ventajas
• ISO 27001 – Modelo de mejora continua
• ISO 27001 – 0-1-2-3-4
Análisis de Brecha

El análisis de brecha ofrece un diagnóstico de como esta la empresa

en seguridad de la información, puede ser un tema de trabajo de
titulacion si lo aplican a la empresa donde trabajan.
Este análisis es una previa de lo que se necesita hacer, a partir de la
aplicación de la norma 27001
 Aplicar una estretegia de
defensa a partir de la norma
ISO27001 a través de una SGSI
Normas 27001
Definiciones sobre seguridad
Las definiciones sobre seguridad de la información lo
encontramos en la norma ISO 27000:2018

La NORMA ISO 27000:2018 estan en el canal de Material en la carpeta de normas

Ejemplo
Ejercicio-1

• Ejercicio INDIVIDUAL.
• Revise la Norma ISO 27000
• Redacte con sus propias palabras las definiciones
puestas en la pestaña T-3.1
• Tiempo 20 min
Ventajas de las ISO/IEC 27001:2013
• Asesoramiento en los procesos del negocio con respecto a la seguridad de la
información.
• La seguridad de la información es parte integral de los procesos de negocio.
• Conocimiento y control de riesgos/riesgos residuales
• Prioriza la seguridad de las operaciones de negocio: gestión de la
continuidad del negocio.
• Las estructuras y procesos de la información serán documentados.
• Incremento en la concientización de los empleados con respecto al tema de
la seguridad.
• Ventaja competitiva a través de la certificación
• Norma reconocida a nivel mundial
• Reducción de las primas de seguros
• Estructuras bien definidas – reducción de costos
Para iniciar el trabajo de implementar un SGSI
Se debería tomar en cuenta lo siguiente:
• Legales: Si existen leyes relacionadas a la protección de datos,
manejo de información confidencial, disposición y retención de
información impresa o digital, o uso de una tecnología específica.
• Normativos: Aplicadas por entidades fiscalizadoras o dependientes
que sean de cumplimiento obligatorio para la organización.
• Estratégicos: Cumplimiento de la planificación.
• Contractuales: Si existe requisitos contractuales con los clientes y
los proveedores.
Estructura de la norma: Diferenciación
entre Cláusula/Objetivo/ Control
• Cláusulas de control (Dominio)
• 14 cláusulas disponibles
• Equivalentes a los capítulos
• Ejemplo: A.7 seguridad de recursos humanos
• Objetivos de control
• 35 objetivos de control
• Equivalente a los objetivos de control genéricos
• Ejemplo: A.7.1 antes de la contratación
• Controles 27001:2013 o 27001:2017
• 114 controles disponibles
• Equivalentes a medidas genéricas
• Ejemplo: A.7.1.1 selección
 Modelo de mejora continua
• El modelo PDCA (Plan Do Check Act) de la última
versión no va más, pero la gestión en similar, ahora se
denomina:
• Planificación
• Operación
• Evaluación de desempeño
• Mejora
EJERCICIO-2
• Ejercicio en equipo
• IR A LA PESTAÑA 3.2
• Revisar la norma ISO 27001:2017
• Encontrar que documentación obligatoria solicita
• Tiempo 30 min
SGSI
• El concepto clave de un SGSI es el diseño, implantación y
mantenimiento de un conjunto de procesos para gestionar
eficientemente la accesibilidad de la información, buscando
asegurar la confidencialidad, integridad y disponibilidad de los
activos de información minimizando a la vez los riesgos de
seguridad de la información.
• Como todo proceso de gestión, un SGSI debe seguir siendo
eficiente durante un largo tiempo adaptándose a los cambios
internos de la organización, así como los externos del entorno.
Documentación requerida para el SGSI
DOCUMENTO REQUISITO
MANUAL DEL SGSI 4.2 Compresión de las
necesidades y las
expectativas de las partes
interesadas.
4.3 Alcance del SGSI
5.3 Roles y
responsabilidades
Política de seguridad de la 5.2 Política de la seguridad
información de la información.
6.2 Objetivos de la
seguridad de la
información
OBSERVACIÓN
Este documento no es un
requisito para la norma.
Pero el Alcance debe estar
documentado.
Documento puntual, no es
recomendable agregar
términos técnicos o realizar
un documento extenso.
DOCUMENTO REQUISITO OBSERVACIÓN

Evaluación y tratamiento del 6.1.2 Evaluación del riesgo Procedimiento para la

riesgo respecto a la seguridad de la evaluación y tratamiento de
información. riesgos, se recomienda incluir
6.1.3 Tratamiento de riesgo a registros para cumplir con el
la seguridad de la 6.1.3d y 6.1.3e, y un registro
información. (informe) para cumplir con el
6.1.3 d. Declaración de 8.2 y 8.3
aplicabilidad.
6.1.3 e. Plan de tratamiento
de riesgo
8.2 Evaluación del riesgo a la
seguridad de la información
8.3 Tratamiento de riesgo a la
seguridad de la información.
Competencia 7.2 Competencia Procedimiento para la gestión
7.3 Concientización de capacitación y
concientización

Comunicación 7.4 Comunicación Procedimiento para la gestión

de comunicación interna y
externa
DOCUMENTO REQUISITO OBSERVACIÓN

Procedimientos y registros 7.5.2 Creación y actualización Procedimiento para la gestión

7.5.3 Control de la documental
información documentada

Evaluación y medición 9.1 Seguimiento, medición, Procedimiento para la

análisis y evaluación. medición de procesos y
controles del SGSI

Auditoría interna 9.2 Auditoría interna Procedimiento para la

programación y ejecución de
auditorías internas

Revisión por la dirección 9.3 Revisión por la dirección Procedimiento para la revisión
por la dirección

No conformidades 10.1 No conformidades y Procedimiento para la gestión

acción correctiva de no conformidades y
acciones correctivas
Documentación requerida para el SGSI
Sobre EL Anexo A, los controles que deberán ser implementados
dependerán de la Declaración de Aplicabilidad, existen controles que no
necesitan estar descritos en un procedimiento o evidenciados a través de
registro documental para garantizar su implementación, por ejemplo
A.12.4.4 Sincronización de los relojes, no es necesario la creación de un
procedimiento para describir el proceso de sincronización, una
configuración en los servidores y los dispositivos de red configurados
correctamente, podrían evidenciar el cumplimiento de este control en
particular

El Anexo A es el ISO 27002:2013, pero en este ISO esta detallado.

EJERCICIO-3

• Trabajo en equipo
• Tal como se encontró la documentación de las
claúsulas de la norma, encontrar la documentación
obligtoria de los controles del anexo-a de la norma.
• Ir a la pestaña 3.3
• Tiempo 30 min
COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
• Se debe identificar los roles que participarán en el proceso de
implementación de SGSI encabezado por el representante por la
dirección.
• Los roles y responsabilidades deberán estar descritas en el
Manual del SGSI, se deberían tomar en cuenta aspectos como:
• La periodicidad de reunión del comité, por lo menos 2 veces al año, o
por una reunión en particular.
• La cantidad mínima de personas para que se reúna el comité.
 Ejemplo
Rol
Gerencia General
Tecnología de información
Seguridad de la información
Responsabilidad
• Aprobar la política de seguridad de la
información
• Aprobar los planes de tratamiento de
riesgos
• Aceptar la evaluación y tratamiento de
riesgo de la organización
• Implementación de los controles técnicos
• Realizar pruebas de contingencia
• Crear documentación técnica de apoyo a la
implementación del SGSI
• Redacción de los procedimientos de
seguridad
• Capacitar al personal de su organización
• Evaluar el desempeño de los controles y
procesos del SGSI
• Realizar pruebas técnicas de seguridad
• Realizar presentaciones con toda la
información relacionado a los procesos del
 Ejemplo
Rol Responsabilidad
Recursos humanos • Planificar capacitaciones anuales a todos
sus usuarios en seguridad de la información
• Inducción en seguridad de la información al
nuevo personal
• Establecer perfiles dentro de su
organización
Auditoría interna • Planificar las auditorías internas al SGSI
• Preparar informes de auditoría
• Realizar seguimiento a las no
conformidades u oportunidades de mejora.
Legal • Identificar obligaciones legales que su
organización deberá cumplir.
• Redactar los acuerdos de confidencialidad
para sus usuarios internos y terceros.
Ejercicio-4

• Trabajo en equipo sobre la norma 27001:2013

• Contestar en equipo verdadero o falso y porque
• Son treinta preguntas
• Ir a la pestaña 3.4
Tiempo: 40 min
La norma 27001:2013
 Norma 27001:2013
4. Contexto de la organización.
5. Liderazgo
6. Planeación
7. Soporte
8. Operación
9. Evaluación de desempeño
10. Mejora
 REQUISITOS SGSI
0. INTRODUCCIÓN
0.1 GENERALIDADES

• Brindar un modelo para el establecimiento,

implementación, operación, seguimiento, revisión,
mantenimiento y mejora de un sistema de gestión de la
seguridad de la información (SGSI). 02. COMPATIBILIDAD

• La adopción de un SGSI debería ser una decisión

estratégica para una organización.

• El establecimiento e implementación del SGSI de una

organización están influenciados por las necesidades y
objetivos, los requisitos de seguridad, los procesos
organizacionales empleados y el tamaño y estructura de la
organización.
Se espera que todos estos factores de influencia cambien
con el tiempo.
Compatibilidad
 REQUISITOS SGSI
0. INTRODUCCIÓN
0.1 GENERALIDADES

• Brindar un modelo para el establecimiento,

implementación, operación, seguimiento, revisión,
mantenimiento y mejora de un sistema de gestión de la
seguridad de la información (SGSI). 02. COMPATIBILIDAD

• La adopción de un SGSI debería ser una decisión

estratégica para una organización.

• El establecimiento e implementación del SGSI de una

organización están influenciados por las necesidades y
objetivos, los requisitos de seguridad, los procesos
organizacionales empleados y el tamaño y estructura de la
organización.
Se espera que todos estos factores de influencia cambien
con el tiempo.
1. OBJETO Y CAMPO DE
APLICACIÓN REQUISITOS SGSI

Esta Norma especifica los requisitos para Estableces, implementar, mantener y

mejorar continuamente un SGSI dentro del contexto de la organización.
Incluye requisitos para la valoración y el tratamiento de riesgos de seguridad
de la información, adaptados a las necesidades de la organización. Los
requisitos de esta Norma son genéricos y están previstos para ser aplicables a
todas las organizaciones, independientemente, de su tipo, tamaño o
naturaleza. Cuando una organización declara conformidad con esta Norma, no
es aceptable excluir cualquiera de los requisitos especificados de los
numerales 4 al 10,
 2. REFERENCIA
NORMATIVA
REQUISITOS SGSI

El siguiente documento, en parte o en su totalidad, se referencias normativamente en

este documento y son indispensables para su aplicación. Para referencias fechadas sólo
se aplica la edición citada. Para referencias no fechadas se aplica la edición más
reciente del documento referenciado (incluir cualquier enmienda)
ISO/IEC 27000, Information Technology. Security techniques. Information Security Management
Systems. Overview and Vocabulary.

3. TERMINOS Y
DEFINICIONES

Para los propósitos de este documento se aplican los términos y definiciones

presentados en la norma ISO/IEC 27000:2018
 Test-3
Preguntas de la norma 27000