UNIVERSIDAD PRIVADA

TELESUP

ESTANDARES Y NORMAS DE
SEGURIDAD
Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestin
competente y efectiva de la seguridad de los recursos y datos que gestionan.

Deben demostrar que identifican y detectan los riesgos a los que est sometida y
adoptan medidas adecuadas y proporcionadas.
Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a
seguir.

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION SGSI

En ingles Information Security Management System (ISMS), proceso sistematice documentado
y conocido por todo la organizacin para garantizar que la seguridad de la informacin es
gestionada correctamente.

FAMILIA DE NORMAS ISO/IEC 27000

NORMAS ISO / IEC 27000
Familia de estndares de ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commissiomn) que proporciona un marco para la gestin de la
seguridad; conjunto de normas que especifican los requisitos para establecer, implantar, poner
en funcionamiento, controlar, revisar, mantener y mejorar un SGSI

Normas Base: 20001, 20002

Normas Complementarias: 20003, 20004, 20005,

ISO 27000
Define el vocabulario estndar empleado en la familia 27000 (definicin de trminos y
conceptos)
ISO/IEC 27001
Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las
normas 27000

Define como es el SGSI, como se gestiona y cules son las responsabilidades de

los participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act)
Puntos clave: gestin de riesgos + mejora continua

Ary Jared Zarate Farias

UNIVERSIDAD PRIVADA
TELESUP

ISO/IEC 27002
Cdigo de buenas prcticas para la gestin de la seguridad

Recomendaciones sobre qu medidas tomar para asegurar los sistemas de

informacin de una organizacin.
Describe los objetivos de control (aspectos a analizar para garantizar la
seguridad de la informacin) y especifica los controles recomendables a
implantar (medidas a tomar).
Antes ISO 17799, basado en estndar BS 7799 (en Espaa Norma UNE-ISO
17799)
ISO/IEC 27003
Gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA (Plan-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de
publicacin)
ISO/IEC 27004
Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de
un SGSI y de los controles relacionados (en desarrollo, pendiente de publicacin)

Medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo

PDCA.

ISO/IEC 27005
Gestin de riesgos de seguridad de la informacin (recomendaciones, mtodos y
tcnicas para evaluacin de riesgos de seguridad)
ISO/IEC 27006
Requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC
27001
Requisitos para la acreditacin de las entidades de auditoria y certificacin
ISO/IEC 27007
Gua de actuacin para auditar los SGSI conforme a las normas 27000
ISO/IEC 27011
Gua de gestin de seguridad de la informacin especfica para telecomunicaciones (en
desarrollo)

Elaborada conjuntamente
Telecomunicaciones)
ISO/IEC 27031

con

la

ITU

(Unin

Internacional

de

Gua de continuidad de negocio en lo relativo a tecnologas de la informacin y

comunicaciones (en desarrollo)
ISO/IEC 27032

Ary Jared Zarate Farias

UNIVERSIDAD PRIVADA
TELESUP

Gua relativa a la ciberseguridad (en desarrollo)

ISO/IEC 27032
Gua de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27799
Gua para implantar ISO/IEC 27002 especfica para entornos mdicos.

ISO/IEC 27001
Norma que especifica los requisitos para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del
contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la
implantacin de los controles de seguridad hechos a medida de las necesidades de
organizaciones individuales o partes de las mismas.
OBJETIVO

Mejora continua
Se adopta el modelos Plan-Do-Check-Act (PDCA o Ciclo de Deming) para todos los
procesos de la organizacin.
Fase Planificacin (Plan) [establecer el SGSI]

Establecer la poltica, objetivos, procesos y procedimientos relativos a la gestin del

riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de
acuerdo con las polticas y objetivos generales de la organizacin.
Fase Ejecucin (Do) [implementar y gestionar el SGSI]
Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y
procedimientos.
Fase Seguimiento (Check) [monitorizar y revisar el SGSI]
Medir y revisar las prestaciones de los procesos del SGSI.
Fase Mejora (Act) [mantener y mejorar el SGSI]
Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas
o en otra informacin relevante a fin de alcanzar la mejora continua del SGSI.

ISO/IEC 27002
Conjunto de recomendaciones sobre qu medidas tomar en la empresa para asegurar los
Sistemas de Informacin.
Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para
conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno
de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que
son los que en definitiva aplicaremos para la gestin del riesgo analizado.

Ary Jared Zarate Farias

UNIVERSIDAD PRIVADA
TELESUP

Objetivo
Definir los aspectos prcticos/operativos de la implantacin del SGSI.
Secciones
Sobre las que actuar:

Poltica de seguridad.
Aspectos organizativos para la seguridad.
Clasificacin y control de activos.
Seguridad ligada al personal.
Seguridad fsica y del entorno.
Gestin de comunicacin y operaciones.
Control de accesos.
Desarrollo y mantenimiento de sistemas.
Gestin de incidentes de seguridad de la informacin.
Gestin de continuidad de negocio.
Conformidad.

Objetivos de control
Aspectos a asegurar dentro de cada seccin.
Controles
Mecanismos para asegurar los distintos objetivos de control (Gua de Buenas
Practicas) para cada control se incluye una gua para su implantacin.

Ary Jared Zarate Farias

UNIVERSIDAD PRIVADA
TELESUP

LEGISLACION
Leyes aplicables en relacin con la seguridad en los sistemas de informacin.
Ley Orgnica de proteccin de datos (LOPD) y Normativas de proteccin de datos.
Ley de Servicios para la Sociedad de la Informacin y el Comercio electrnico (LSSI-CE)
Legislacin de Firma Electrnica
Relacionadas:
Ley de Acceso de los Ciudadanos a los Servicios Pblicos.
Ley de Medidas de Impulso a la Sociedad de la Informacin.

PROTECCION DE DATOS
Todas las organizaciones que tengan ficheros con datos personales han de declararlos a
la agencia Espaola de Proteccin de Datos.
Hay que implantar un documento de seguridad.
Ficheros de datos personales clasificados en 3 niveles:
BASICO: Ficheros con informacin personal.
MEDIO: Ficheros con datos relativos a la comisin de infracciones
administrativas, hacienda Pblica, Servicios Financieros, as como los ficheros
para la prestacin de servicios de informacin sobre solvencia patrimonial y de
crdito.
ALTO: Ficheros con datos sobre ideologa, religin, creencias, origen racial, salud
o vida sexual, as como los datos recabados para fines policiales sin
consentimiento de afectado.
Hay que aplicar medidas de seguridad tcnicas y organizativas en funcin del nivel y
segn establece el reglamento.
Auditorias bienales para ficheros de nivel medio y alto.

PROTECCION DE DATOS PERSONALES

Ley Orgnica 15/1999, de 13 de Diciembre de Proteccin de Datos de Carcter Personal
- LOPD
Real Decreto 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas
de Seguridad de los ficheros automatizados que contengan datos de carcter personal
Real Decreto 1720/2007 de 19 de diciembre por el que se aprueba el Nuevo Reglamento
de Medidas de Seguridad de los ficheros automatizados y fsicos que contengan datos
de carcter personal

Ary Jared Zarate Farias