La familia 27000

Actualmente hay 45 normas publicados en la serie ISO 27000. La ISO 27001 es la única norma
destinada a la certificación.

La actualización más reciente de la norma ISO 27001 en

2013 produjo un cambio significativo con la adopción de la estructura del «Anexo SL». Si está
interesado en implantar un SGSI, estas 3 normas le resultarán de ayuda.

27001:2013 IMPLEMENTATION GUIDE

Técnicas de seguridad – Código para prácticas en materia de controles de seguridad de la

información.

BENEFICIOS DE LA

La seguridad de la información está ganando notoriedad en las organizaciones y la adopción de

la ISO 27001 es cada vez más común. Sin embargo, si se hace de manera efectiva, existen
beneficios significativos para aquellas organizaciones que dependen de la protección de
información valiosa o sensible.

TRANQUILIDAD

Los clientes que están expuestos a riesgos importantes de seguridad de la información están
haciendo cada vez más que la certificación ISO 27001 sea un requisito en la presentación de
ofertas. Si su cliente está certificado en ISO 27001, elegirá trabajar solo con proveedores cuyos
controles de seguridad de la información sean fiables y tengan la capacidad de cumplir con los
requisitos contractuales. Muchas organizaciones tienen información que es crítica para sus
operaciones, vital para mantener su ventaja competitiva o que es parte inherente de su valor
financiero. La economía se basa en el conocimiento, y casi todas las organizaciones dependen
de la seguridad de la información.

La implementación de un SGSI proporciona dicha seguridad.

OPERACIONAL
El enfoque de la ISO 27001 fomenta el desarrollo de una cultura interna que esté alerta a los
riesgos de seguridad de la información y tenga un enfoque coherente para enfrentarlos.

Cuando se pierde o daña el acceso a la

Estos tipos de riesgo de seguridad de la información se conocen comúnmente como «CID». Los
riesgos en la seguridad de la información generalmente surgen debido a la presencia de
amenazas para los activos que procesan, almacenan, mantienen, protegen o controlan el
acceso a la información, lo que da lugar a incidentes. En seguridad de la información, el riesgo
se gestiona mediante el diseño, implementación y mantenimiento de controles como ventanas
bloqueadas, pruebas de software o la ubicación de equipos vulnerables por encima de la
planta baja. Un SGSI que cumple con la ISO 27001 tiene un conjunto interrelacionado de
procesos de mejores prácticas que facilitan y respaldan el diseño, implementación y
mantenimiento de los controles.

Los procesos que forman parte del SGSI suelen ser una combinación de procesos comerciales
centrales existentes y aquellos específicos para mantener y mejorar la seguridad de la
información .

CICLO PHVA

El ciclo PHVA puede aplicarse no solo al sistema de gestión.

Controlar y medir los procesos para establecer el rendimiento de la política, objetivos,

requisitos y actividades planificadas e informar de los resultados.

PHVA es un ejemplo de un sistema cerrado en círculo. En teoría hablamos de un proceso

cíclico.

Auditorías internas

Su propósito es garantizar el cumplimiento de las políticas, procedimientos y procesos según

su organización, y confirmar el cumplimiento de los requisitos de la norma ISO 27001.

Planificación de la auditoría
Dependiendo de la escala y complejidad de sus operaciones, puede programar auditorías
internas mensuales o anuales.

Mentalidad basada en riesgos

La mejor manera de considerar la frecuencia de las auditorías es observar el riesgo del proceso
o área a auditar. ISO 27001 no dicta ningún método particular de evaluación de riesgos o
gestión de riesgos.

2 parte: Auditorías externas

Es posible que tenga poco control sobre el tiempo y la frecuencia de estas auditorías, sin
embargo, el establecimiento de su propio SGSI le asegurará que está preparado.

Las auditorías de 3 parte son llevadas a cabo por organismos externos de certificación
acreditados como

Esto implica la visita de un auditor del organismo de certificación a la organización para evaluar
el sistema relevante y sus procesos.

LA CERTIFICACIÓN GARANTIZA

Una evaluación regular para controlar y mejorar procesos de forma continua. Reducir riesgos e
incertidumbre y aumentar las oportunidades de negocio.

ISO 27001:2013 Fundamentales y vocabulario

El uso del enfoque basado en procesos garantiza que se asignen el tiempo y las habilidades
necesarias para la auditoría. Esto hace de la auditoría una evaluación efectiva del rendimiento
del SGSI. «Los resultados consistentes y predecibles se logran de manera más efectiva y
eficiente cuando las actividades se entienden y gestionan como procesos interrelacionados
que funcionan como un sistema coherente». Comprender cómo los se interrelacionan los
procesos y cómo producen resultados puede ayudarlo a identificar oportunidades de mejora y,
por lo tanto, a optimizar el rendimiento general.
También es aplicable cuando los procesos, o partes de los procesos, se subcontratan. El paso
final del proceso es revisar el resultado de la auditoría y garantizar que la información obtenida
se utilice correctamente.

ANEXO SL

El Anexo SL es utilizado por los autores de las normas ISO para proporcionar una estructura
común para las normas de sistemas de gestión.

La recientemente publicada ISO

Medioambiente, calidad, seguridad y salud laboral y seguridad de la información se

encuentran entre las normas más comunes.

Los términos comunes y las definiciones básicas no se pueden cambiar. Los requisitos no
pueden eliminarse ni modificarse, sin embargo, se pueden agregar requisitos y
recomendaciones específicos de la disciplina. Cuando existen múltiples sistemas de gestión,
muchos de estos elementos se pueden combinar para abordar más de una norma.

La ISO 27001, además de las cláusulas

4.0-10.0, tiene un conjunto adicional de requisitos detallados en una sección llamada Anexo A,
a la que se hace referencia en la Cláusula 6.0. El Anexo A contiene 114 controles de seguridad
de la información a modo de buenas prácticas. 27001, la organización debe implementar estos
controles, o se debe dar una justificación aceptable para no implementar un control en
particular.

DEFINICIONES

Sin embargo, se hacen referencias a la versión más reciente de la ISO 27000 Sistemas de
gestión de seguridad de la información - Resumen y vocabulario.

– Procesos que garantizan que solo las personas que necesitan acceso a ciertosd activos
disponen de dicho acceso yla necesidad se determina acorde a los requisitos del negocio y la
seguridad. – Procesos o acciones que reducen los riesgos indetificados a un nivel tolerable o
aceptable.
Al redactar la documentación de su

SGSI, no tiene que usar estos términos exactos. Sin embargo, definir los términos utilizados
puede esclarecer su significado e intención.

ORGANIZACIÓN

La forma y las áreas específicas de prioridad dependerán del contexto en el que opere su
organización. Un análisis cuidadoso del entorno en el que opera su organización es
fundamental para identificar los riesgos inherentes a la seguridad de sus activos de
información.

Una parte interesada es cualquier persona que sea, pueda ser o se considere afectada por una
acción u omisión de su organización. No tiene que tratar de comprender o satisfacer todos sus
caprichos, pero sí tiene que determinar cuáles de sus necesidades y expectativas son
relevantes para su SGSI. Para cumplir con al ISO 27001, debe documentar el alcance de su
SGSI.

Alcance del sistema de gestión

Si desea priorizar los recursos mediante la creación de un SGSI que no cubra toda su
organización, seleccione un alcance que se limite a la gestión de los intereses clave de las
partes interesadas. Todos los equipos, sistemas, datos e infraestructura en el centro de datos
de la organización.

Un documento específico que identifica problemas internos/ externos y partes interesadas y

sus necesidades y expectativas.

Roles y responsabilidades

Una responsabilidad vital del liderazgo es establecer y documentar una Política de Seguridad
de la Información que esté alineada con los objetivos clave de la organización. Para demostrar
que está alineado con el contexto de su organización y los requisitos de las partes interesadas
clave, se recomienda que haga referencia o contenga un resumen de los principales problemas
y requisitos que debe administrar. Aunque no hay ningún requisito en la norma respecto al
nombramiento de un representante de Seguridad de la Información, puede ser útil para
algunas organizaciones designar a uno para dirigir un equipo de seguridad de la información
que coordine la capacitación, el control de los controles y la presentación de informes sobre el
desempeño del SGSI a la gerencia.

La mejora continua de su SGSI. La política de seguridad de la información puede referirse o

incluir subpolíticas que cubran los controles clave del SGSI de la organización.

Hacer que su cumplimiento y /o soporte sea un requisito contractual para los empleados,
contratistas y proveedores críticos de seguridad de la información.

Evidenciar el liderazgo al auditor

La gerencia será el grupo de personas que establezca la dirección estratégica y apruebe la

asignación de recursos para la organización dentro del alcance del SGSI.

Asignación de recursos y responsabilidades apropiadas. La ISO 27001 es una herramienta de

gestión de riesgos que guía a una organización en la identificación de riesgos de seguridad de
la información.

PLANIFICACIÓN

Responder y se adaptarse automáticamente a los cambios para hacer frente a los nuevos
riesgos y reducir continuamente la exposición a los mismos.

Tomar decisiones estratégicas sobre cómo gestionar los riesgos de seguridad de la información
significativos y lograr así sus objetivos. La mayoría de los marcos de evaluación de riesgos
consisten en una tabla que contiene los resultados de los elementos 1-4 con una tabla
complementaria que cubre el punto 5. El auditor externo esperará ver un registro de su
evaluación de riesgos, un responsble asignado para cada riesgo identificado y los criterios que
ha utilizado. Si completa su evaluación de riesgos evaluando sistemáticamente los riesgos
planteados para cada elemento de esta lista, entonces habrá cumplido dos requisitos dentro
del mismo ejercicio.

Proporcionar aviso para la identificación sistemática de riesgos , verificando la presencia de

amenazas y vulnerabilidades comunes y registrando los controles que actualmente tiene
implementados para administrarlos.
Esto debe ser aprobado por la gerencia. El auditor externo esperará ver un plan de tratamiento
de riesgos que detalle las acciones de tratamiento de riesgos que ha implementado o planea
implementar. El plan debe ser lo suficientemente detallado para permitir que se verifique el
estado de implementación de cada acción. También será necesario que exista evidencia de que
este plan ha sido aprobado por los responsables de los mismos y por la gerencia.

Anexo A y declaración de aplicabilidad

El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la información
de buenas prácticas. La descripción de la mayoría de los controles es bastante vaga, por lo que
se recomienda que revise la ISO 27002, que contiene más información sobre su
implementación.

Basta con una simple tabla con datos sobre el control, aplicabilidad, implementación y
justificación. También es aconsejable registrar cierta información sobre cómo se ha aplicado el
control para ayudarlo a responder más fácilmente cualquier pregunta del auditor externo.

Objetivos de seguridad de la información y planificación

En los niveles relevantes, necesitará tener objetivos documentados y relacionados con la

seguridad de la información.

Cada objetivo establecido debe ser

Considerar los requisitos a nivel de seguridad de la información.

Esto incluye determinar

Qué recursos se asignan. Quién tiene la responsabilidad sobre el objetivo. Si hay una fecha
objetivo para completar el objetivo o es continuo. El método para evaluar el desempeño frente
al objetivo .

Para implementar y mantener un

La implementación de controles efectivos de seguridad de la información depende del

conocimiento y las habilidades de sus empleados, proveedores y contratistas.
Competencia

Su auditor esperará que tenga documentos que detallen sus requisitos de conocimientos y
habilidades. Además de garantizar la competencia del personal clave en relación con la
seguridad de la información, los empleados, proveedores y contratistas deberán conocer los
elementos del SGSI. Esto es fundamental para establecer una cultura de soporte dentro de la
organización.

La existencia de un SGSI y su razón de ser. Que tiene una política de seguridad de la

información y cuáles son sus elementos relevantes. Cómo pueden contribuir a que su
organización proteja la información y lo que deben hacer para ayudar a la organización a lograr
sus objetivos de seguridad de la información. Para permitir que los procesos en su SGSI
funcionen de manera efectiva, deberá asegurarse de tener actividades de comunicación bien
planificadas y gestionadas.

Cuáles son los procesos de comunicación. Si no lo están, debería considerar documentar sus
actividades clave de comunicación en forma de una tabla o procedimiento que incluya los
títulos detallados anteriormente.

Información documentada

Apoyarlo para cumplir los requisitos legales, administrar los riesgos y alcanzar sus objetivos.

Robusto respaldo de datos electrónicos y procesos de archivado/almacenamiento de archivos

impresos.

Evaluación de riesgos de la seguridad de la información

Los métodos de evaluación de riesgos descritos en la cláusula 6 deben aplicarse a todos los
procesos, activos, información y actividades dentro del alcance del SGSI.

2 Identificación sistemática de los riesgos de seguridad de la información relevantes para cada

proceso. Definición clara y comunicación de las actividades requeridas para gestionar los
riesgos de seguridad de la información asociados cuando ocurre un evento .
Tratamiento de riesgos de seguridad de la información

El plan de tratamiento de riesgos que desarrolle no puede permanecer simplemente como una
declaración de intenciones, debe implementarlo. Cuando se necesitan cambios para tener en
cuenta la nueva información sobre los riesgos y los cambios en los criterios de evaluación de
riesgos, el plan debe actualizarse y volver a autorizarse.

Existen 3 formas para evaluar el rendimiento del SGSI

Seguimiento de la efectividad de los controles de SGSI.

Su organización necesitará decidir qué debe controlar para asegurar que el proceso del SGSI y
los controles de seguridad de la información estén funcionando según lo previsto.

Auditorías internas

El propósito de las auditorías internas es evaluar sus deficiencias en los procesos del SGSI e
identificar oportunidades de mejora.

Comprendan los requisitos de la ISO 27001. Debe mantener un plan de auditorías internas.

La gestión de riesgos de seguridad de la información. Los procesos que se auditan con mayor
frecuencia.

Es el punto formal en el que la gerencia revisa la efectividad del

SGSI y asegura su alineación con la dirección estratégica de la organización. Las revisiones por
la dirección deben realizarse a intervalos planificados y el programa de revisión general debe
cubrir como mínimo una lista de áreas básicas especificadas en la cláusula 9.3 de la norma. No
es esencial que realice una sola reunión de revisión por la dirección que abarque la agenda
completa. Deberá conservar información documentada de dichas revisiones por la dirección.

El objetivo de la implementación del SGSI debe ser reducir la probabilidad de que ocurran
eventos de seguridad de la información, así como su impacto. Ningún SGSI es perfecto, sin
embargo, dichos sistemas de gestión mejoran con el tiempo y aumentarán la resistencia frente
a los ataques de seguridad de la información.

La causa raíz del evento . La acción tomada para eliminar la causa raíz . La evaluación de la
efectividad de cualquier acción tomada.

Análisis de causa-raíz

Para identificar acciones correctivas efectivas, es recomendable completar un análisis de causa

raíz del problema.

La organización estba infectada por el virus

La esponsable de formación está de baja por maternidad y la organización no ha cubierto su

baja.

Para priorizar esfuerzos, primero debe considerar completar una evaluación de riesgo simple y
luego realizar un análisis de causa raíz solo para aquellos riesgos de valor medio o alto.

SGSI son claras y están alineadas con su dirección estratégica. Implementar y mantener un
SGSI requiere un compromiso, así que asegúrese de que su alcance sea lo suficientemente
amplio como para cubrir la información crítica que necesita protección, pero no tan amplio
como para carecer de recursos para implementarlo y mantenerlo. Gerentes y empleados con
conocimiento para la evaluación de riesgos, diseño de procesos y procedimientos. Comunique
durante el proceso a las partes interesadas.

La gestión de los riesgos de seguridad de la información a menudo requiere conocimientos

especializados. Mantenga procesos y documentación simples. Algunos lo ayudarán a mejorar
su SGSI, otros aumentarán su riesgo. Es probable que la seguridad de la información sea un
concepto nuevo para sus empleados.

Las amenazas a las que se enfrenta su organización cambiarán constantemente y debe probar
la respuesta a dichas amenazas.

ANÁLISIS DE DEFICIENCIAS INTERNO

Todo el personal relevante debe comprender las operaciones de la organización y desarrollar
un mapa de procesos para las actividades del negocio. Revise la política, los objetivos, los
resultados de la auditoría interna y del desempeño del proceso, los resultados de las quejas, el
cumplimiento legal, la evaluación de riesgos y desarrolle un plan de acción y un acta de
revisión.