Está en la página 1de 51

Norma ISO 27000

Jeison Juan Carlos Crdenas


Cristian Camilo Carvajal Losada
Universidad de la Amazonia
Florencia, Caquet, Colombia 1
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Introduccin


2
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Agenda
1. Qu es ISO?
2. Qu es la norma ISO 27000?
3. Serie ISO 27000
4. Beneficios
5. En que tipo de organizaciones se puede aplicar esta
norma.
6. Qu hacer para implantar ISO 27000?
7. Que es ISO 27001?
8. Objetivos y controles ISO 27001-27002
9. Conclusiones


3
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Qu es ISO?

Organizacin Internacional para la Estandarizacin
(International Organization for Standardization)
4
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Qu es la norma ISO 27000?
5
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Serie ISO 27000
ISO 27000: Principios y vocabulario.
ISO 27001: Requisitos del SGSI
ISO 27002: Cdigo de practicas
ISO 27003: Gua de implementacin basado en el modelo
PDCA
ISO 27004: Mtricas de la seguridad de la informacin.
ISO 27005: Gestin de riesgos
ISO 27006: Requisitos para la acreditacin de entidades
de auditora y certificacin
ISO 27007: Gua de auditoria







6
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Beneficios
Revisados
Acceso
Confianza
Establece
7
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
En que tipo de Organizaciones
se puede aplicar esta Norma
8
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Qu hacer para implantar
ISO 27000?
Lograr el compromiso de la gerencia.
Establecer y adiestrar el equipo de implantacin.
Elaborar la documentacin del SGSI.
Auditar el SGSI
9
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
ISO 27001
Sistemas de Gestin de
Seguridad de la informacin
10
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
SGSI.- La parte del Sistema de gestin Global,
basada en una orientacin a riesgo de negocio, para
establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin.
11
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
12
Seguridad de la informacin
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
13
Valoracin de los riesgos sobre la base
de la cual se organiza un SGSI
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Principales claves para implantar
la ISO 27001

Identificar los objetivos de negocio
Seleccionar un alcance adecuado
Determinar el nivel de madurez ISO 27001
Analizar el retorno de inversin





14
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
ndice
1. Introduccin
2. Objeto
3. Referencia Normativa
4. Trminos y Definiciones
5. Sistema de gestin de la seguridad de la
informacin
6. Responsabilidad de la direccin.
7. Auditorias internas del SGSI
8. Revisin del SGSI por la direccin.
9. Mejora del SGSI


15
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
1. Introduccin
1.1 Generalidades
1.2 Enfoque basado en procesos
1.3 Compatibilidad con otros sistemas de gestin
16
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
1. Introduccion
17
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
2. Objeto
2.1 Generalidades



2.2 Aplicacin
18
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
3. Referencia Normativa
19
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
4. Trminos y definiciones
Aceptacin del riesgo
Activo
Anlisis del riesgo
Confidencialidad
Declaracin de aplicabilidad
Disponibilidad
Evaluacin del riesgo
20
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
5. Sistema de gestin de la
seguridad de la informacin
5.1 Requisitos generales

5.2 Establecimiento y gestin del SGSI
5.2.1 Establecimiento y gestin del SGSI
5.2.2 Implementacin y operacin del SGSI
5.2.3 Seguimiento y revisin del SGSI
5.2.4 Mantenimiento y mejora del SGSI

5.3 Requisitos de documentacin
5.3.1 Generalidades
5.3.2 Control de documentos.
5.3.3 Control de registros








21
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
6. Responsabilidad de la
direccin
6.1 Compromiso de la direccin
6.2 Gestin de recursos
6.2.1 Provisin de los recursos
6.2.2 Formacin, toma de conciencia y competencia.




22
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
7. Auditorias internas del SGSI
Determinacin si los objetivos de control, controles,
procesos y procedimientos de su SGSI:

a) Cumple con los requisitos de la norma.
b) Cumple con los requisitos identificados de seguridad de la
informacin.
c) Estn implementados y se mantienen eficazmente.
d) Tienen un desempeo acorde con lo esperado.

23
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
8. Revisin del SGSI por la
direccin
8.1 Generalidades.
8.2 Informacin para la revisin.
8.3 Resultados de la revisin.
24
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
9. Mejora del SGSI
9.1 Mejora continua


9.2 Accin correctiva


9.3 Accin preventiva
25
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
26
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
1. Poltica de seguridad
2. Organizacin de la seguridad de la informacin
3. Gestin de activos
4. Seguridad de los recursos humanos
5. Seguridad fsica y del entorno
6. Gestin de comunicaciones y operaciones
7. Control de acceso
8. Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
9. Gestin de los incidentes de la seguridad de la informacin
10. Gestin de continuidad del negocio
11. Cumplimiento


27
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
1. Poltica de seguridad







1.1 Poltica de seguridad de la informacin
Documento de la poltica de seguridad de la informacin
Revisin de la poltica de seguridad de la informacin.
28
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
2. Organizacin de la seguridad de la informacin





2.1 Organizacin Interna
Compromiso de la direccin con la seguridad de la informacin.
Coordinacin de la seguridad de la informacin.
Asignacin de responsabilidades para la seguridad de la informacin.
Proceso de autorizacin para los servicios de procesamiento de informacin.
Acuerdos sobre confidencialidad
Contacto con las autoridades
Contacto con grupos de inters especiales
Revisin independiente de la seguridad de la informacin.

29
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
2. Organizacin de la seguridad de la informacin







2.2 Partes Externas
Identificacin de los riesgos relacionados con las partes externas.
Consideraciones de la seguridad cuando se trata con los clientes
Consideraciones de la seguridad en los acuerdos con terceras partes
30
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
3. Gestin de activos

3.1 Responsabilidad por los activos
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos


3.2 Clasificacin de la informacin
Directrices de clasificacin
Etiquetado y manejo de informacin.

31
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
4. Seguridad de los recursos humanos

4.1 Antes de la contratacin laboral
Roles y Responsabilidades
Seleccin
Trminos y condiciones laborales

4.2 Durante la vigilancia de la contratacin laboral
Responsabilidades de la direccin
Educacin, formacin y concientizacin sobre seguridad de la informacin.
Proceso disciplinario.

4.3 Terminacin o cambio del contrato laboral
Responsabilidades en la terminacin
Devolucin de activos
Retiro de los derechos de acceso.

32
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
5. Seguridad fsica y del entorno




5.1 reas seguras
Permetro de seguridad fsica.
Controles de acceso fsico.
Seguridad de oficinas, recinto e instalaciones.
Proteccin contra amenazas externas y ambientales.
Trabajo en reas seguras.
reas de carga, despacho y acceso publico

33
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
5.2 Seguridad de los equipos






Ubicacin y proteccin de equipos.
Servicios de suministro.
Seguridad del cableado.
Mantenimiento de los equipos.
Seguridad de los equipos fuera de las instalaciones.
Seguridad en la reutilizacin o eliminacin de los equipos.
Retiro de activos

Objetivos de control y controles
ISO 27001-27002
34
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
6. Gestin de comunicaciones y operaciones

6.1 Procedimientos operacionales y responsabilidades
Documentacin de los procedimientos
Gestin del cambio.
Distribucin de funciones.
Separacin de las instalaciones de desarrollo, ensayo y operacin.

6.2 Gestin de la prestacin del servicio por terceras partes
Prestacin del servicio.
Monitoreo y revisin de los servicios por terceras partes.
Gestin de los cambios en los servicio por terceras partes.

6.3 Planificacin y aceptacin del sistema.
Gestin de la capacidad
Aceptacin del sistema.




35
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
6.4 Proteccin contra cdigos maliciosos
Controles contra cdigos maliciosos
Controles contra cdigos mviles.

6.5 Respaldo
Respaldo de la informacin.

6.6 Gestin de la seguridad de las redes
Controles de las redes.
Seguridad de los servicios de la red



36
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
6.7 Manejo de los medios
Gestin de los medios removibles.
Eliminacin de los medios.
Procedimientos para el manejo de la informacin.
Seguridad de la documentacin del sistema.

6.8 Intercambio de la informacin.
Polticas y procedimientos para el intercambio de informacin.
Acuerdos para el intercambio.
Medios fsicos en transito.
Mensajera electrnica.
Sistemas de informacin del negocio



Rohos Mini Drive
37
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
6.9 Servicios de comercio electrnico.
Comercio electrnico
Transacciones en lnea
Informacin disponible al publico.

6.10 Monitoreo
Registro de incidencias
Monitoreo del uso del sistema
Proteccin de la informacin del registro.
Registros del administrador y del operador.
Registro de fallas.
Sincronizacin de relojes.




Uniblue libre
38
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
7. Control de Acceso

7.1 Requisito del negocio para el control de acceso
Poltica de control de acceso.

7.2 Gestin del acceso de usuarios
Registro de usuarios.
Gestin de privilegios.
Gestin de contraseas para usuarios.
Revisin de los derechos de acceso de los usuarios.

7.3 Responsabilidades de los usuarios
Uso de contraseas
Equipo de usuario desatendidos
Poltica de escritorio despejado y de pantalla despejada.





39
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
7.4 Control de acceso a las redes

Poltica de uso de los servicios de red.
Autenticacin de los usuarios para conexiones externas.
Identificacin de los equipos en las redes.
Proteccin de los puertos de configuracin y diagnostico remoto.
Separacin en las redes.
Control de conexin a las redes.
Control de enrutamiento en la red.




40
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
7.5 Control de acceso al sistema operativo
Procedimientos de ingreso seguros.
Identificacin y autenticacin de usuarios.
Sistemas de gestin de contraseas.
Uso de las utilidades del sistema.
Tiempo de inactividad de la sesin.
Limitacin del tiempo de conexin.

7.6 Control de acceso a las aplicaciones y a la informacin.
Restriccin de acceso a la informacin.
Aislamiento de sistemas sensibles.

7.7 Computacin mvil y trabajo remoto
Computacin y comunicaciones mviles.
Trabajo remoto



Tech Net
41
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
8. Adquisicin, desarrollo y mantenimiento de
sistemas de informacin

8.1 Requisitos de seguridad de los sistemas de
informacin.
Anlisis y especificacin de los requisitos de seguridad.

8.2 Procesamiento correcto en las aplicaciones
Validacin de los datos de entrada.
Control de procesamiento interno.
Integridad del mensaje.
Validacin de los datos de salida

42
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
8.3 Controles criptogrficos.
Poltica sobre el uso de controles criptogrficos.
Gestin de llaves.

8.4 Seguridad de los archivos del sistema
Control del software operativo
Proteccin de los datos de prueba.
Control de acceso al cdigo fuente de los programas.

8.5 Seguridad en los procesos de desarrollo y soporte.
Procedimientos de control de cambios
Revisin tcnica de las aplicaciones despus de los cambios en el sistema
operativo.
Restricciones en los cambios a los paquetes software.
Fuga de informacin.
Desarrollo de software contratado.




43
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
8.6 Gestin de la vulnerabilidad tcnica.
Control de vulnerabilidades tcnicas

44
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
9. Gestin de los incidentes de la seguridad de la
informacin

9.1 Reporte sobre los eventos y las debilidades de la
seguridad de la informacin
Reporte sobre los eventos de seguridad de la informacin.
Reporte sobre las debilidades de la seguridad.

9.2 Gestin de los incidentes y las mejoras en la seguridad
de la informacin.
Responsabilidades y procedimientos
Aprendizaje debido a los incidentes de seguridad de la informacin
Recoleccin de evidencia.


45
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
10. Gestin de la continuidad del negocio

10.1 Aspectos de seguridad de la informacin, de la
gestin la continuidad del negocio.
Inclusin de la seguridad de la informacin en el proceso de gestin de la
continuidad.
Continuidad del negocio y evaluacin de riesgos
Desarrollo e implementacin de planes de continuidad que incluyan la seguridad
Estructura para la planificacin de la continuidad del negocio.
Pruebas, mantenimiento y reevaluacin de los planes de continuidad del negocio.
46
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
11. Cumplimiento

11.1 Cumplimiento de los requisitos legales.
Identificacin de la legislacin aplicable
Derechos de propiedad intelectual(DPI)
Proteccin de los registros de la organizacin.
Proteccin de los datos y privacidad de la informacin personal.
Prevencin del uso inadecuado de los servicios de procesamiento de informacin.
Reglamentacin de los controles criptogrficos.

11.2 Cumplimiento de las polticas y las normas de
seguridad y cumplimiento tcnico.
Cumplimiento con las polticas y normas de seguridad.
Verificacin del cumplimiento.

47
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Objetivos de control y controles
ISO 27001-27002
11.3 Consideraciones de la auditoria de los sistemas de
informacin.
Controles de auditoria de los sistemas de informacin.
Proteccin de las herramientas de auditoria de los sistemas de informacin.
48
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Conclusiones
Una vez que el Sistema de Gestin de la Seguridad de la Informacin
ha sido implementado en una organizacin, se puede optar por su
certificacin, siguiendo el estndar ISO 27001, ante un Organismo
Internacional de Acreditacin.
El propsito de una certificacin le demuestra al mercado que la
organizacin tiene un adecuado Sistema de Gestin que da Seguridad
de la Informacin.
La existencia del certificado no implica que la empresa este libre de
riesgos, sino que la empresa ha implantado un adecuado sistema de
gestin de dichos riesgos y una continuidad de la organizacin.
49
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Bibliografas
http://www.slideshare.net/moRado2/iso-27k-abril-2013?qid=00ba86d3-
e839-4322-b55f-4ed51f4ad195&v=qf1&b=&from_search=23
Norma. NTC-ISO-IEC 27001
http://www.slideshare.net/mariamervi/iso-27000-
estandar?qid=00ba86d3-e839-4322-b55f-
4ed51f4ad195&v=default&b=&from_search=9
http://www.slideshare.net/haroll1/norma-iso-27000?qid=00ba86d3-
e839-4322-b55f-4ed51f4ad195&v=default&b=&from_search=12


50
Universidad de la Amazonia
Construimos regin con tica, inclusin
responsabilidad social y reciprocidad
Auditora
Gracia
s!
51