Objetivos de control y

controles basados en
anexo A de la norma
ISO 27001
Semana 2
 QUE ES UN SGSI
Un Sistema de Gestión para la Seguridad de la Información se
compone de una serie de procesos para implementar,
mantener y mejorar de forma continua la seguridad de la
información tomando como base los riesgos que afectan a la
seguridad de la información en una empresa u organización
 SGSI

Implementar un SGSI en una empresa supone:

• La adopción de procesos formales.
• La definición de responsabilidades de cara a la
seguridad de la información.
• Establecimiento de políticas, planes y procedimientos
para la seguridad de la información.
• Conservar y mantener información documentada
como respaldo.
 ¿Por qué implantar
un sistema gestión de
seguridad de la
información?
 MEJORA CONTINUA

Gestionar la seguridad de la Desarrollar una cultura de

información supone establecer la seguridad en una
procesos específicos para la empresa
gestión

Garantizar el crecimiento y
la mejora continua de la Implantar de forma gradual el
Seguridad de la control de la seguridad de la
información información
 AJUSTARSE A LAS NECESIDADES DE CADA
EMPRESA

Un sistema de gestión promueve el

establecimiento de procesos de análisis
de riesgos para la seguridad basados en
la situación propia de cada organización
y en la adopción de medidas adecuadas
dentro de las posibilidades de cada
empresa.
 ESTABLECER CONTROLES ADECUADOS PARA LA SEGURIDAD
DE LA INFORMACIÓN

Los controles para la seguridad de la

información que se establezcan mediante la
implantación de un sistema de gestión SGSI
vendrán determinados por un análisis
científico que permita evaluar cómo afectan a
las necesidades de cada empresa las
amenazas y riesgos de la seguridad de la
información.
 INTEGRACIÓN DE SISTEMAS DE GESTIÓN
Un punto no menos importante es la integración del SGSI dentro de la gestión de la
propia empresa.
El estandar ISO 27001 comparte la misma estructura que las normas sobre la gestión de
la Calidad ISO 9001 o Gestión del Medio ambiente ISO 14001, lo que facilita la
integración de distintos sistemas de gestión en una organización.
 Tipos de procesos

En un sistema de gestión de la seguridad de la información nos

encontraremos con dos tipos de processos:
1
Procesos de Gestión:
Propios del sistema de gestión básicamente enfocada a
conseguir la revisión y mejora continua del sistema y que serán SGSI
comunes a los procesos de gestión de calidad, medioambiente
etc.

Procesos sobre la seguridad de la información: 2

Procesos propios de la seguridad de la información que se
integraran dentro de los procesos propios de cada actividad
empresarial en conjunto con las demás dimensiones como la
calidad o el médio ambiente.
 Evaluación y
tratamiento de
Estructura ISO 27001
riesgos

Para alcanzar el objetivo de implementar un

Implementación
de medidas de
sistema de gestión de la seguridad de la
seguridad información la norma ISO 27001 cuenta
con dos cuerpos normativos:

1. ISO 27001 Requisitos para un sistema de

Gestión (SGSI)
2. ISO 27002 Guía de buenas prácticas para
la implantación de un SGSI
Generalidades ISO 27001

ISO 27001 es una norma desarrollada por ISO

(organización internacional de Normalización)
con el propósito de ayudar a gestionar la
Seguridad de la Información en una empresa.
La nomenclatura exacta de la Norma actual es
ISO/IEC 27001 que es la revisión de la norma en
su primera versión que fue publicada en el año
2005 como una adaptación de ISO de la norma
británica BS 7799-2
Generalidades ISO 27001

El sistema de gestión de la seguridad

de la información preserva la
confidencialidad, integridad y la
disponibilidad de la información,
mediante la aplicación de un
proceso de gestión del riesgo, y
brinda confianza a las partes
interesadas.
Generalidades ISO 27001

❑ Parte de procesos de la
organización
❑ Diseño de procesos
❑ Controles
❑ Difundir a las necesidades de
la organización
Generalidades ISO 27001
 Planear Hacer Verificar Actuar
Generalidades
ISO 27001
Implementación de
Definición del Medición de
politicas y
alcance del sistema resultados
procedimientos
Definición de la Asignación de recursos
Análisis de
metodología de (personas, tiempo,
tendencias
riesgos dinero)
Aplicación de
Establecimiento del acciones
Establecimiento del programa de correctivas y de
Realización de
plan de tratamiento sensibilización, mejora
auditorias internas
de riesgos educación,
entrenamiento
Definición de
políticas de Revisión por la
Tratamiento de riesgos
seguridad de dirección
información
 Actividad en clase

• En un documento Excel se va a
identificar y correlacionar:
• Un proceso de una organización
• Asignar 3 activos tecnológicos
• Relacionar los objetivos de controles
del anexo A de la norma ISO 27001
Objetivos de control ISO 27001
5. Controles organizacionales
• 5.1 Políticas de seguridad de la información
• 5.2 Roles y responsabilidades en la seguridad de la información
• 5.3 Segregación de deberes
• 5.4 Responsabilidades de la dirección
• 5.5 Contacto con las autoridades
• 5.6 Contacto con grupos de interés especial
• 5.7 Inteligencia de amenazas
• 5.8 Seguridad de la información en la gestión de proyecto
• 5.9 Inventario de información y otros activos asociados
• 5.10 Uso aceptable de la información y otros activos asociados
Objetivos de control ISO 27001
5. Controles organizacionales
• 5.11 Devolución de activos
• 5.12 Clasificación de la información
• 5.13 Etiquetado de la información
• 5.14 Transferencia de información
• 5.15 Control de acceso
• 5.16 Gestión de identidades
• 5.17 Información de autenticación
• 5.18 Derechos de acceso
• 5.19 Seguridad de la información en las relaciones con proveedores
 Objetivos de control ISO 27001
5. Controles organizacionales
• 5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores
• 5.21 Gestión de seguridad de la información en la cadena de suministro de la tecnología de la información y las
telecomunicaciones (TIC)
• 5.22 Seguimiento, revisión y gestión del cambio de los servicios de los proveedores
• 5.23 Seguridad de la información para el uso de servicios en la nube
• 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información
• 5.25 Evaluación y decisión sobre eventos de seguridad de la información
• 5.26 Respuesta a incidentes de seguridad de la información
• 5.27 Aprender de los incidentes de seguridad de la información
• 5.28 Recopilación de evidencias
• 5.29 Seguridad de la información durante una interrupción
 Objetivos de control ISO 27001
5. Controles organizacionales
• 5.30 Preparación de las TIC para la continuidad de negocio
• 5.31 Requisitos legales, legales reglamentarios y contractuales
• 5.32 Derechos de propiedad intelectual
• 5.33 Protección de registros
• 5.34 Privacidad y protección de la información de identificación personal
• 5.35 Revisión independiente de la seguridad de la información
• 5.36 Cumplimiento de políticas, reglas y estándares de seguridad de la información
• 5.37 Procedimientos operativos documentados
Objetivos de control ISO 27001
6. Controles de personas
• 6.1 Selección
• 6.2 Términos y condiciones de empleo
• 6.3 Conciencia de seguridad de la información, educación y formación
• 6.4 Proceso disciplinario
• 6.5 Responsabilidades después de la terminación o cambio de empleo
• 6.6 Acuerdos de confidencialidad o no divulgación
• 6.7 Trabajo remoto
• 6.8 Informes de eventos de seguridad de la información
Objetivos de control ISO 27001
A7. Controles físicos
• 7.1 Perímetros de seguridad física
• 7.2 Entrada física
• 7.3 Asegurar oficinas, habitaciones e instalaciones
• 7.4 Monitoreo de la seguridad física
• 7.5 Protección contra amenazas físicas y ambientales
• 7.6 Trabajar en áreas seguras
• 7.7 Escritorio y pantalla limpios
• 7.8 Emplazamiento y protección de equipos
• 7.9 Seguridad de los activos fuera de las instalaciones
Objetivos de control ISO 27001
A7. Controles físicos
• 7.10 Medios de almacenamiento
• 7.11 Servicios públicos de apoyo
• 7.12 Seguridad del cableado
• 7.13 Mantenimiento de equipos
• 7.14 Disposición o reutilización segura de los equipos
 Objetivos de control ISO 27001

A8. Controles tecnológicos

• 8.1 Dispositivos de punto final de usuario

• 8.2 Derechos de acceso privilegiado
• 8.3 Restricción de acceso a la información
• 8.4 Acceso al código fuente
• 8.5 Autenticación segura
• 8.6 Gestión de la capacidad
• 8.7 Protección contra el malware
• 8.8 Gestión de vulnerabilidades técnicas
• 8.9 Gestión de la configuración
 Objetivos de control ISO 27001

A8. Controles tecnológicos

• 8.10 Eliminación de información

• 8.11 Enmascaramiento de datos
• 8.12 Prevención de fugas de datos
• 8.13 Copia de seguridad de la información
• 8.14 Redundancia de las instalaciones de procesamiento de información
• 8.15 Registro
• 8.16 Actividades de seguimiento
• 8.17 Sincronización de reloj
• 8.18 Uso de programas de utilidad privilegiados
• 8.19 Instalación de software en sistemas operativos
 Objetivos de control ISO 27001
8. Controles tecnológicos
• 8.20 Seguridad de redes
• 8.21 Seguridad de los servicios de red
• 8.22 Segregación de redes
• 8.23 Filtrado web
• 8.24 Uso de la criptografía
• 8.25 Ciclo de vida de desarrollo seguro
• 8.26 Requisitos de seguridad de las aplicaciones
• 8.27 Arquitectura de sistemas seguros y principios de ingeniería
• 8.28 Codificación segura
• 8.29 Pruebas de seguridad en el desarrollo y aceptación
 Objetivos de control ISO 27001

8. Controles tecnológicos
• 8.30 Desarrollo externalizado
• 8.31 Separación de entornos de desarrollo, evidencia y producción
• 8.32 Gestión del cambio
• 8.33 Información de las pruebas
• 8.34 Protección de los sistemas de información durante las pruebas de
auditoría