ISO/IEC 270000

Arnold Fragozo 
Kevin Acosta
Gustavo García
Leonardo Ortiz
INTRODUCCIÓN
LA INFORMACION EN LAS EMPRESAS
SEGURIDAD DE LA INFORMACION.

 El término seguridad de la información

generalmente se basa en que la
información se considera un activo que
tiene un valor que requiere protección
adecuada, por ejemplo, contra la pérdida
de disponibilidad, confidencialidad e
integridad.
 Acceso y utilización de la información
y los sistemas de tratamiento de la
misma por parte de los individuos,
entidades o procesos autorizados
cuando lo requieran.

 La información no se pone
Integridad a disposición ni se revela
a individuos, entidades o
procesos no autorizados.
 Mantenimiento de la
exactitud y completitud
de la información y sus ad
Confidencialid
métodos de proceso.
 ISO/IEC 27000

ISO/IEC 27000 es un conjunto de

estándares desarrollados -o en fase de
desarrollo por ISO
(International Organization for Standa
rdization) e IEC
(International Electrotechnical Commi
ssion), que proporcionan un marco de
gestión de la seguridad de la
información utilizable por cualquier
tipo de organización, pública
o privada, grande o pequeña.
ISO-27001 

Es la norma principal de la serie y

contiene los requisitos necesarios para
establecer, implantar, mantener y
mejorar un sistema de gestión de la
seguridad de la información, conocido
como el ciclo PHVA.
¿Qué es un SGSI?

Un SGSI o conocido como Sistema

de gestión de la seguridad de la
información consiste en el
conjunto de políticas,
procedimientos y directrices junto
a los recursos y actividades
asociados que son administrados
colectivamente por una
organización, en la búsqueda de
proteger sus activos de información
esenciales.
SGSI - ISO/IEC 27001
• Un SGSI desde la visión de el estándar internacional ISO/IEC 27001 es un
enfoque sistemático para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la información de una
organización y lograr sus objetivos comerciales y/o de servicio (p.ej. en
empresas públicas, organizaciones sin ánimo de lucro, ...).

ALCANCE
• El alcance de un SGSI puede incluir, en función de dónde se identifiquen y
ubiquen los activos de información esenciales, total con sólo un parte de
la organización, funciones específicas e identificadas de la organización,
secciones específicas e identificadas de la organización, o una o más
funciones en un grupo de organizaciones.
 Reducción del riesgo de
Confianza pérdida,derobo
y satisfacción o corrupción
los requisitos de de información
seguridad de la con la
información por
posibilidad de continuar la actividad después de un incidente grave
los clientes y otras partes interesadas (debido
cuidado y diligencia)
BENEFICIOS DEL SGSI
Establecimiento
Gestionarde
losuna
activos
metodología
de información
de gestión
de manera
de la seguridad
organizada
clara
que
y facilite la
estructurada
mejora
cumpliendo
continuacon
y ellos
ajuste
reglamentos,
a los objetivos
la legislación
organizacionales
y las exigencias
en cadademomento
sin una compra la industria
sistemática de productos y tecnologías
EVALUACION DE
RIESGOS

Los auditores esperan un proceso estructurado

y repetible, es decir, un procedimiento
documentado de evaluación de riesgos que
explique cómo se identifican, analizan (p. ej.
en base a posibles consecuencias y
probabilidades de ocurrencia), evalúan (p. ej.
aplicando criterios específicos para la
aceptación del riesgo) y priorizan los riesgos
relacionados con los activos de información más
relevantes del alcance (p.ej. en atención a
niveles de riesgo definidos).
PARA LA EVALUACION DE RIESGOS HAY QUE
TENER EN CUENTA
Las revisiones y actualizaciones periódicas

Los informes de evaluación de riesgos

Métricas de riesgos 

Listas priorizadas de riesgos

Inventarios o catálogos de riesgos de información

TRATAMIENTO DE LOS RIESGOS
AUDITORÍAS INTERNAS Y REVISIÓN POR
LA DIRECCIÓN

Los informes de auditoría interna del

SGSI son la evidencia más directa que
documenta los principales hallazgos,
conclusiones y recomendaciones de la
auditoría con la posibilidad de
comunicar no conformidades y
acciones correctivas, mejoras.
AUDITORÍAS INTERNAS Y REVISIÓN POR
LA DIRECCIÓN
 Los informes de auditoría deben  de tener:

Programación a base de calendarios

Presupuesto

Asignaciones de día de trabajo del auditor

Alcances de cada auditoria

Documentos de trabajo de auditoria

Evidencia

Recomendaciones de auditoria

Planes de acción

Notas de cierre
CONTROLES

 Políticas de seguridad de la información.

 Organización de la seguridad de la información.
 Seguridad de los recursos humanos.
 Gestión de Activos.
 Controles de acceso.
 Criptografía – Cifrado y gestión de claves.
 Seguridad física y ambiental.
 Seguridad operacional.
 Seguridad de las comunicaciones.
 Adquisición, desarrollo y mantenimiento del sistema.
 Gestión de incidentes de seguridad de la información.
 Cumplimiento.
ISO/IEC 27000 SERIES
Las normas ISO 27000 posibilitan que organizaciones de todos los tipos y tamaños
implementen y operen un Sistema de Gestión de Seguridad de la Información (SGSI). Las
normas internacionales, para este fin, se ordenan respetando el orden de numeración, tal
como se elabora a continuación:

ISO/IEC 27000 • Sistema de Gestión de la Seguridad de la Información – Generalidades y

vocabulario

ISO/IEC 27001 • Sistema de Gestión de la Seguridad de la Información – Requisitos

ISO/IEC 27002 • Buenas prácticas para controles de la seguridad de la información

ISO/IEC 27003 • Guía de implementación del sistema de gestión de la seguridad de la

información

ISO/IEC 27004 • Gestión de la seguridad de la información – Medición

ISO/IEC 27005 • Gestión de riesgos de seguridad de la información

ISO/IEC 27006 • Requisitos para empresas de auditoría y certificación de Sistemas de Gestión

de la Seguridad de la Información
ISO/IEC 27000 SERIES
IISO/IEC 27007 Directrices para auditoría en Sistemas de Gestión de la Seguridad de la Información

ISO/IEC TR 27008 Directrices para auditores sobre control de la seguridad de la información

ISO/IEC 27010 Gestión de la seguridad de la información para la comunicación intersectorial e interorganizacional

Directrices para gestión de la seguridad de la información en organizaciones de telecomunicaciones basadas en la ISO/IEC

ISO/IEC 27011 27002

ISO/IEC 27013 Directrices para implementación integrada de la ISO/IEC 27001 e la ISO/IEC 20000-1

ISO/IEC 27014 Gobernanza de la seguridad de la información

ISO/IEC TR 27015 Directrices para gestión de la seguridad de la información en servicios financieros

ISO/IEC TR 27016 Directrices para gestión de la seguridad de la información – Empresas de economía

HERRAMIENTAS
&  UTILIDADES
 ANALISIS DE RIESGOS
1. ENISA
2. MAGERIT
3. EBIOS
4. MEHARI
5. OCTAVE
 AUDITORIA
1. ISO 27007
2. ISO 27008
3. PRISMA
4. The IIA
Referencias
• http://iso27000.es/index.html​
¡GRACIAS!