Universidad de

Guayaquil
Facultad de
Ingeniera
Industrial
Carrera Licenciatura en Sistemas de la Informacin
Auditoria de Sistemas
TEMA:
ISO 27000
Integrantes:
Ricardo Astudillo.
Oscar Castillo.
Anthony Heredero.
Catherine Pezo.
Andrea Velsquez.
Nivel 3
Grupo 1

Que es la ISO 27000

Es una familia de estndares internacionales para Sistemas de Gestin de la
Seguridad de la Informacin (SGSI) que proporcionan un marco de gestin de la
seguridad de la informacin

Esta norma contiene trminos y definiciones que se emplean en toda la serie

27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.
Es la norma principal de la serie y contiene los requisitos del sistema de gestin de
seguridad de la informacin.
Este estndar internacional ha sido preparado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de la Informacin (SGSI).
Este estndar promueve la adopcin de un enfoque del proceso para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una
organizacin.

Gobierno de la ISO 27000

A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estndares
desarrollados -o en fase de desarrollo- por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestin de la seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada, grande o pequea.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cmo puede una organizacin implantar un sistema de gestin
de seguridad de la informacin (SGSI) basado en ISO 27001 en conjunto con
otras normas de la serie 27k pero tambin con otros sistemas de gestin.
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin britnica equivalente a AENOR en Espaa)
es responsable de la publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO 14001
- BS 8800. Publicada en 1996. Origen de OHSAS 18001.
La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas
para la gestin de la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para
la que no se estableca un esquema de certificacin. Es la segunda parte (BS
7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un

sistema de seguridad de la informacin (SGSI) para ser certificable por una

entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se
adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de
sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se
public por ISO, con algunos cambios, como estndar ISO 27001. Al tiempo se
revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO
27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de
publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI
public la BS 7799-3:2006, centrada en la gestin del riesgo de los sistemas de
informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro
de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e
implementacin de ISO/IEC 27001, que es la norma principal y nica certificable
dentro de la serie.
NO SE EXPLICA EN SI QUE ES GOBIERNO DE LA ISO 27000 Y COMO AFECTA
AL GOBIERNO DE TI., REVISAR

Definicin de normas de auditoria de la ISO27000

ISO 27001
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene
los requisitos del sistema de gestin de seguridad de la informacin. Tiene su

origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por

auditores externos los SGSI de las organizaciones.

ISO 27002
Es el nuevo nombre de ISO17799:2005, manteniendo 2005como ao de edicin.
Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO
27002

ISO 27003
Consiste en una gua de implementacin de SGSI e informacin acerca del uso
del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen
en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por
BSI a lo largo de los aos con recomendaciones y guas de implantacin.

ISO 27004
Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan
fundamentalmente para la medicin de los componentes de la fase Do
(Implementar y Utilizar) del ciclo PDCA.

ISO 27005
Establece las directrices para la gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos generales especificados en la norma ISO/IEC
27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de
la informacin basada en un enfoque de gestin de riesgos.

ISO 27006
Especifica los requisitos para la acreditacin de entidades de auditora y
certificacin de sistemas de gestin de seguridad de la informacin.

Es la norma de acreditacin que gua a los organismos de certificacin en los

procesos formales que deben seguir al auditar Sistemas de Informacin de sus
clientes Gestin de la Seguridad (SGSI) en contra de la norma ISO / IEC
27001 para certificar o registrarlos compatible.

ISO 27007
Es un estndar Internacional el cual ha sido creado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema
de Gestin de Seguridad de la Informacin (SGSI).
El diseo e implementacin del SGSI de una organizacin es influenciado por las
necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el
tamao y estructura de la organizacin. Como resultado Se espera que estos y sus
sistemas de apoyo cambien con el transcurso del tiempo. Se espera que la
implementacin de un SGSI se extienda en concordancia con las necesidades de la
organizacin; por ejemplo, una situacin simple requiere una solucin SGSI simple.

ISO 27011
Esta gua de implementacin de SGSI para la industria de Telecomunicaciones fue
desarrollado conjuntamente por la UIT-T e ISO / IEC JTC 1 / SC 27, con el texto
idntico siendo publicado tanto como la UIT-T X.1051 e ISO / IEC 27011.
Esta Recomendacin especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un sistema documentado de gestin de
seguridad de la informacin (SGSI) en el contexto de los riesgos de negocio globales
de la telecomunicacin. Especifica los requisitos para la aplicacin de controles de
seguridad a medida de las necesidades de telecomunicaciones individuales o partes
de los mismos ".

ISO 27031
ISO / IEC 27031 proporciona orientacin sobre los conceptos y principios que
sustentan el papel de la tecnologa de la informacin y las comunicaciones para
asegurar la continuidad del negocio.
El estndar:
Sugiere una estructura o marco (en realidad un conjunto de mtodos y procesos)
para cualquier organizacin - privado, gubernamental y no gubernamental;

Identifica y especifica todos los aspectos pertinentes, incluidos los criterios de

rendimiento, diseo y detalles de implementacin, para mejorar la preparacin de
las TIC como parte del SGSI de la organizacin, ayudando a asegurar la
continuidad del negocio;
Permite una organizacin para medir su continuidad TIC, la seguridad y, por tanto,
dispuestos a sobrevivir a un desastre de una manera coherente y reconocido.

ISO 27032
Oficialmente, la norma ISO / IEC 27032 direcciones "ciber seguridad" o "seguridad
ciberespacio", definida como la "preservacin de la confidencialidad, integridad y
disponibilidad de la informacin en el ciberespacio". A su vez "el ciberespacio"
(completo con artculo definido) se define como "el entorno complejo que resulta
de la interaccin de las personas, software y servicios en Internet a travs de
redes y dispositivos conectados a la misma tecnologa, que no existe en ningn
fsico forma.

ISO 27033
El propsito de la norma ISO / IEC 27033 es proporcionar una gua detallada
sobre los aspectos de seguridad de la gestin, el funcionamiento y el uso de redes
de sistemas de informacin, y sus interconexiones. Aquellos individuos dentro de
una organizacin que son responsables de seguridad de la informacin en
general, y seguridad de la red, en particular, deben ser capaces de adaptar el
material en este estndar para satisfacer sus necesidades especficas. "[Citado de
la FCD de 27033-1].
ISOI / IEC 27033 proporciona orientacin detallada sobre la aplicacin de los
controles de seguridad de red que se introducen en la norma ISO / IEC 27002 . Se
aplica a la seguridad de los dispositivos conectados en red y la gestin de su
seguridad, aplicaciones de redes / servicios y los usuarios de la red, adems de
seguridad de la informacin que se transfiere a travs de enlaces de
comunicaciones.

ISO 27034
ISO / IEC 27034 ofrece una gua sobre seguridad de la informacin a las que
especifican, el diseo y la programacin o la adquisicin, implementacin y uso de
sistemas de aplicacin, es decir, gerentes de negocios y de TI, desarrolladores y

auditores, y en ltima instancia, los usuarios finales de las TIC. El objetivo es

garantizar que las aplicaciones informticas proporcionan el nivel deseado o
necesario de seguridad en apoyo del Sistema de Gestin de Seguridad de la
Informacin de la organizacin, que se aborden adecuadamente muchos riesgos
de seguridad de las TIC.

Definicin de estndares de auditoria de la ISO 27000

La ISO 27000 En fase de desarrollo; es realmente una serie de estndares.
El Sistema de gestin de la seguridad de la informacin o ISMS familia de
estndares consiste en estndares inter relacionados ya publicados o en
desarrollo y contiene un numero significante de componentes
El propsito de la iso 27000 es describir la direccin de los sistemas de
seguridad de la informacin. Esos sistemas estn sujetos a la familia de
estndares ISMS
Estndares de requerimientos especficos
ISO/IEC 27001 sistema de gestin de seguridad de la informacin
Es la norma principal de la serie y contiene los requisitos del sistema de
gestin de seguridad de la informacin. Especifica los requerimientos para
establecer, implementar, operar y monitorear los sistemas de gestin de
seguridad de la informacin. Especifica los requerimientos para la
implementacin de los controles de seguridad de la informacin Personalizada
para las necesidades de la organizacin.
ISO/IEC 27006
Especifica Tcnicas de seguridad Y los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la
informacin.
(Requisitos para las entidades de auditora y certificacin de sistemas de
gestin) los requisitos especficos relacionados con ISO 27001. Es decir, ayuda
a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican
a entidades de certificacin de ISO 27001, pero no es una norma de
acreditacin por s misma.
Estndar que describe las guias generales
ISO/IEC 27002
Es una gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin.

Provee una gua en la implementacin en los controles de seguridad de la

informacin.
ISO/IEC 27003
Gua de implementacin de la gestin de sistemas de seguridad de la
informacin para establecer implementar operar monitorear los requerimientos
de sus diferentes fases.
ISO/IEC 27004
Provee una gua y consejos en el desarrollo y uso de las medidas en orden de
determinar
la eficacia de un SGSI , objetivos de control y controles usados para
implementar y controlar la seguridad de informacion especificadas en la ISO
27001.
ISO/IEC 27005
Establece las guias para la gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos generales especificados en la norma
ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la
seguridad de la informacin basada en un enfoque de gestin de riesgos.
ISO/IEC 27007
Consiste en una Gua de auditoria de un SGSI conocida como gua en la
competencia de los auditores de sistemas de gestin de seguridad de la
informacin.
Provee una gua para conducir una auditoria interna o externa segn las
necesidades de la organizacin.
ISO/IEC 27008
Reporte tcnico que provee una gua para revisar la implementacin y
operaciones de control, incluyendo la comprobacin de la conformidad tcnica
de los controles del sistema de informacin, en cumplimiento con los
estndares de seguridad de informacion establecidos por la organizacin.
ISO/IEC 27013
Provee a las organizaciones con un mejor entendimiento de las caractersticas,
similitudes y diferencias de la (ISO 27001-2005 gestion de seguridad de la
informacin) y de (ISO 20000-1 Gestin de servicios TI)
ISO/IEC 27014
Gua sobre los principios y procedimientos para el gobierno de la seguridad de
informacin, en el cual las organizaciones pueden evaluar dirigir y monitorear
la gestin de seguridad de informacin.
ISO/IEC 27016

Reporte tcnico que proveer una metodologa permitiendo a las

organizaciones un mejor entendimiento econmico y una valoracin de los
aspectos financieros de la seguridad de la informacin, valorara los riesgos
potenciales de los activos de informacin y determina el nivel ptimo de
recursos a ser aplicados en aquellos activos de informacin.
NORMAS QUE DESCRIBEN GUIAS ESPECFICAS DEL SECTOR
ISO/IEC 27010
Consiste en una gua para la gestin de la seguridad de la informacin cuando
se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable
a todas las formas de intercambio y difusin de informacin sensibles, tanto
pblicas como privadas, a nivel nacional e internacional, dentro de la misma
industria o sector de mercado o entre sectores. En particular, puede ser
aplicable a los intercambios de informacin y participacin en relacin con el
suministro, mantenimiento y proteccin de una organizacin o de la
infraestructura crtica de los estados y naciones.
ISO/IEC 27011
Es una gua de interpretacin de la implementacin y gestin de la seguridad
de la informacin en organizaciones del sector de telecomunicaciones basada
en ISO/IEC 27002:2005.
ISO/IEC TR 27015
Es una gua del SISTEMA DE GESTION DE SEGURIDAD DE IINFORMACION
orientada a organizaciones del sector financiero y de seguros y como
complemento a ISO/IEC 27002:2005.

Certificaciones ISO
La seguridad de la informacin tiene asignada la serie 27000 dentro de los
estndares ISO/IEC:

ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y

vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un
entendimiento ms claro de la serie y la relacin entre los diferentes documentos
que la conforman.
UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin
(SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es
la norma principal de requisitos de un Sistema de Gestin de Seguridad de la
Informacin. Los SGSIs debern ser certificados por auditores externos a las
organizaciones. En su Anexo A, contempla una lista con los objetivos de control y
controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).
ISO/IEC 27002: (anteriormente denominada ISO 17799). Gua de buenas
prcticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y
133 controles.
ISO/IEC 27003: En fase de desarrollo; probable publicacin en 2009. Contendr
una gua de implementacin de SGSI e informacin acerca del uso del modelo
PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de
la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de
los aos con recomendaciones y guas de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas
de medida aplicables para determinar la eficiencia y eficacia de la implantacin de
un SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del
riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO
27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para
acreditacin de entidades de auditora y certificacin de sistemas de gestin de
seguridad de la informacin
ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de
2010. Consistir en una gua de auditora de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es finales de
2008. Consistir en una gua de gestin de seguridad de la informacin especfica
para telecomunicaciones, elaborada conjuntamente con la ITU (Unin
Internacional de Telecomunicaciones).
ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de
2010.

Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la

informacin y comunicaciones.
ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de
2009. Consistir en una gua relativa a la ciberseguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y
2011. Es una norma consistente en 7 partes: gestin de seguridad de redes,
arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e
implementacin de seguridad en redes. Provendr de la revisin, ampliacin y
remuneracin de ISO 18028.
ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de
2009. Consistir en una gua de seguridad en aplicaciones.
ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de
seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO
27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit
JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para
apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC
27002 y es un complemento de esa norma. ISO 27799:2008 especifica un
conjunto detallado de controles y directrices de buenas prcticas para la gestin
de la salud y la seguridad de la informacin por organizaciones sanitarias y otros
custodios de la informacin sanitaria en base a garantizar un mnimo nivel
necesario de seguridad apropiado para la organizacin y circunstancias que van a
mantener la confidencialidad, integridad y disponibilidad de informacin personal
de salud. ISO 27799:2008 se aplica a la informacin en salud en todos sus
aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros,
grabaciones sonoras, dibujos, vdeos y imgenes mdicas), sea cual fuere el
medio utilizado para almacenar (de impresin o de escritura en papel o
electrnicos de almacenamiento ) y sea cual fuere el medio utilizado para
transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la
informacin siempre debe estar adecuadamente protegida.

Documentos y mejoras prcticas

Para los documentos generados se debe establecer, documentar, implantar y
mantener un procedimiento que defina las acciones de gestin necesarias para:
Aprobar documentos apropiados antes de su emisin.

 Revisar y actualizar documentos cuando sea necesario y renovar su validez.

Garantizar que los cambios y el estado actual de revisin de los documentos
estn identificados.
Garantizar que las versiones relevantes de documentos vigentes estn
disponibles en los lugares de empleo.
Garantizar que los documentos se mantienen legibles y fcilmente identificables.
Garantizar que los documentos permanecen disponibles para aquellas personas
que los necesiten y que son transmitidos, almacenados y finalmente destruidos
acorde con los procedimientos aplicables segn su clasificacin.
Garantizar que los documentos procedentes del exterior estn identificados.
Garantizar que la distribucin de documentos est controlada.
Prevenir la utilizacin de documentos obsoletos.
Aplicar la identificacin apropiada a documentos que son retenidos con algn
propsito.
La documentacin se debe elaborar de la manera ms sencilla posible.
Piense lo que hace.
Escriba lo que piense.
Haga lo que escribi.
Los manuales deben ser organismos vivos, sujetos a constante modificacin, y
disponibles para todos los que los requieran.
Y en cunto tiempo se hace?
Depende del compromiso, de los recursos empleados, del conocimiento, y de
factores externos que pueden influir.
Qu se debe documentar?

Evaluacin y tratamiento de riesgos

Una vez analizado y cuantificado los riesgos, as como el impacto que tiene en su
plan de negocio el emprendedor debe analizar cul es el nivel de oportunidad en
caso de asumir el riesgo.
El proceso de tratamiento de riesgos consiste en seleccionar y aplicar las medidas
ms adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo

los daos intrnsecos al factor de riesgo, o bien aprovechar las ventajas que pueda
reportarnos.
Estos como mnimo deben tener.
Un funcionamiento efectivo y eficiente de la organizacin.
Controles internos efectivos.
Conformidad con las leyes y reglamentos vigentes.
1. Polticas de Seguridad
La poltica de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la informacin. Contiene la definicin de la
seguridad de la informacin bajo el punto de vista de cierta entidad.
2. Aspectos Organizativos
Este grupo est constituido por dos controles y es justamente el primer caso que
se puede poner de manifiesto sobre el mencionado Des concepto sobre lo que
uno piensa que es un control, pues aqu se puede apreciar claramente la
complejidad que se presenta el diseo, planificacin, preparacin, implementacin
y revisiones de una Poltica de Seguridad (la revisin es justamente el segundo
control que propone).como se mencion un Control es mucho (pero
mucho), mas que eso
Todo aquel que haya sido responsable alguna vez de esta tarea, sabr de lo que
se est hablando.
La Poltica de Seguridad, para ser riguroso, en realidad debera dividirse en dos
documentos:
Poltica de seguridad (Nivel poltico o estratgico de la organizacin):
Es la mayor lnea rectora, la alta direccin. Define las grandes lneas
a seguir y el nivel de compromiso de la direccin con ellas.
Plan de Seguridad (Nivel de planeamiento o tctico): Define el
Cmo. Es decir, baja a un nivel ms de detalle, para dar inicio al
conjunto de acciones o lneas rectoras que se debern cumplir.
3. Gestin de Activos
Se define el grado de responsabilidad que hay hacia los activos y las personas
encargadas, al hablar de responsabilidad de los activos o recursos se hace
hincapi al:
Inventario de activos.
Responsable de los activos.
Acuerdos sobre el uso aceptable de los activos.

Una vez hecho esto se deber clasificar la informacin de la siguiente:

Directrices de clasificacin, marcado y tratamiento de la informacin.

4. Seguridad del Talento Humano (antes y durante contratacin)

Sea segura que los empleados, contratistas y usuarios de terceras partes
entiendan sus responsabilidades y sean aptos para las funciones que
desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y
medios. Asi como:
Inclusin de la seguridad en las responsabilidades laborales.
Seleccin y poltica personal
Trminos y condiciones de la relacin laboral
Se tendr en cuenta la seguridad en el desempeo de las funciones del
empleo y la finalizacin o cambio del puesto del puesto de trabajo.
5. Seguridad fsica y ambiental
Evitar el acceso fsico no autorizado, daos o intromisiones en las instalaciones y
a la informacin de la organizacin.
Los servicios de procesamiento de informacin sensible deberan ubicarse en
reas seguras y protegidas en un permetro de seguridad definido por barreras y
controles de entrada adecuados. Estas reas deberan estar protegidas
fsicamente contra accesos no autorizados, daos e interferencias. Considerando
el permetro de seguridad, los controles fsicos, seguridad de oficinas o despachos
y recursos, proteccin contra amenazas externas y del entorno, el trabajo en reas
segura y reas aisladas de carga y descarga.
La seguridad de equipos busca evitar la prdida, dao, robo o puesta en peligro de
los activos y interrupcin de las actividades de la organizacin.

6. Gestin de comunicaciones y operaciones

Se tiene en cuenta los procedimientos y responsabilidades de operacin, es aqu
donde se realiza la documentacin de procedimientos operativos, control de
cambios operacionales, segregacin de tares y separacin de los recursos para el
desarrollo y produccin.
En la supervisin de los servicios contratados a terceros, se debe especificar la
prestacin del servicio, monitorizacin de los servicios contratados y gestin de los
cambios en los servicios contratados.

La planificacin y aceptacin del sistema es otro punto a tratar en el se revisa la

planificacin de capacidades y aceptacin del sistema
Las protecciones contra software maliciosos y cdigo mvil, teniendo presente
para esto las medidas y controles para los software maliciosos y cdigos mviles.
Gestin interna de soporte y recuperacin que busca Mantener la integridad y la
disponibilidad de los servicios de tratamiento de informacin y comunicacin.
La gestin de redes por otra parte asegurar la proteccin de la informacin en las
redes y la proteccin de su infraestructura de apoyo.
7. Control de accesos
No se debe confundir la actividad de control de accesos con autenticacin, esta
ltima tiene por misin identificar que verdaderamente sea, quien dice ser. El
control de acceso es posterior a la autenticacin y debe regular que el usuario
autenticado, acceda nicamente a los recursos sobre los cuales tenga derecho y a
ningn otro, es decir que tiene dos tareas derivadas:
Encauzar (o enjaular) al usuario debidamente.
Verificar el desvo de cualquier acceso, fuera de lo correcto. Requisitos de
negocio para el control de acceso; gestin de acceso de usuario;
responsabilidades de usuario; control de acceso a la red; control de acceso
al sistema operativo; control de acceso a las aplicaciones y a la
informacin; ordenadores porttiles y teletrabajo.
8. Adquisicin, desarrollo y mantenimiento de S.I.
Requisitos de seguridad de los sistemas de informacin; tratamiento correcto de
las aplicaciones; controles criptogrficos; seguridad de los archivos de sistema;
seguridad en los procesos de desarrollo y soporte; gestin de la vulnerabilidad
tcnica.
9. Gestin de incidentes de seguridad
Notificacin de eventos y puntos dbiles de la seguridad de la informacin; gestin
de incidentes de seguridad de la informacin y mejoras.

Anlisis de casos prcticos de las normas ISO 2700

El valor de negocio de la norma iso 27000

Este caso de estudio toma en consideracin a una empresa que presta servicios
TIC y que ha implantado ISO/IEC 27002:2005, cdigo de buenas prcticas para la
Gestin de la Seguridad de la Informacin, y que fue certificada en ISO/IEC
27001:2005, especificaciones de un Sistema de Gestin de la Seguridad de la
Informacin, obteniendo como resultado ventajas significativas para el negocio. El
caso desvela algunas relaciones sorprendentes entre la gestin de la seguridad de
la informacin y la gestin general de negocio y muchos beneficios de negocio.

Introduccin
Este caso se deriva de la presentacin que el Director General de la empresa
ficticia ServiceCo, una compaa de servicios TIC, realiz a una audiencia
compuesta por especialistas en seguridad de la informacin y de auditoras TI.
El DG explic su satisfaccin de poder hablar sobre esta materia dada la ilusin
por los resultados de negocio generados en la compaa aportados por la
seguridad de la informacin.
Situacin de negocio de serviceco
ServiceCo proporciona servicios TIC, hardware y software a sus clientes. Una vez
ganada la certificacin en ISO 9001 hace ya 10 aos aproximadamente, los
empleados se acostumbraron a trabajar de un modo adecuado y en relacin a los
procedimientos de calidad documentados y a las guas establecidas. Hace un par
de aos, sin embargo, el ambiente laboral empez a cambiar de forma negativa.
Las decisiones de la Gerencia fueron acometidas de manera instintiva y con poca
base de anlisis en datos reales mayoritariamente. Con una rotacin de la plantilla
en aumento, la Gerencia reconoci la necesidad de aplicar cambios y acometer un
anlisis serio de las debilidades y fortalezas de la organizacin.
La Gerencia de ServiceCo decidi implantar un ISO27k (que implica tanto ISO/IEC
27001 como 27002). Segn las palabras del Gerente de ServiceCo, la
implantacin de ISO27k tena sentido en el negocio. La seguridad en la
informacin interna de ServiceCo reducira el riesgo y, en consecuencia, el coste
relacionado con infracciones serias.
ISO27k es un conocido marco de seguridad desarrollado originalmente por
algunas de las compaas lderes a nivel internacional (BT, HSBC, Shell
international y Unilever, entre otras), por tanto nos proporcionara los medios para
implantar los controles de seguridad segn las mejores prcticas..
Beneficios de negocio de iso27k

El DG manifest ISO27k no es nicamente seguridad de la informacin o TIC,

actualmente ayuda a la organizacin a ahorrar y a ganar dinero..
Indic asimismo los siguientes beneficios directos e indirectos de ISO27k en
ServiceCo.
Beneficios directos
Aumento de la fiabilidad y seguridad de los sistemas: Como ocurre en cualquier
otro negocio, ServiceCo depende de sus sistemas de informacin. ISO27k ha
garantizado que nosotros tengamos ahora establecidos controles que mantienen
la disponibilidad de los sistemas y que reducen el riesgo de que las
vulnerabilidades puedan ser aprovechadas. Las visitas de seguimiento tras la
certificacin y las auditoras de recertificacin en ISO/IEC 27001 aseguran que la
organizacin se mantiene actualizada en relacin a las ms recientes
vulnerabilidades y mejoras prcticas..
Aumento de beneficios: Las ventas y los mrgenes han aumentado y las
percepciones de los clientes sobre nuestro negocio han mejorado. Nuestro
certificado en ISO/IEC 27001 demuestra que somos de confianza en relacin a
garantizar los datos de nuestros clientes, adems de los nuestros propios.
Nuestros clientes no slo comprenden que nuestra inversin en ISO27k les aporta
beneficios sino que adems estn preparados para gastar una pequea diferencia
a favor de una infraestructura TI segura. Desde la obtencin de la certificacin
ISO/IEC 27001, hemos visto un incremento importante en nuestra lnea base de
beneficios y algunos nuevos clientes nos indican que prefieren mantener
relaciones con compaas que disponen de una certificacin en seguridad
reconocida. Adicionalmente, estamos viendo ms invitaciones a presentacin de
ofertas desde empresas que incorporan ISO/IEC 27001 como uno de los
prerrequisitos de la lista a cumplir. Y, por cierto, nuestros empleados estn
desperdiciando menos tiempo en Internet navegando por sitios no relevantes para
su trabajo.
Seguridad de la informacin rentable y consistente: Hemos implantado medidas
de seguridad rentables y adaptadas a las necesidades de nuestro negocio.
ServiceCo tena muchas protecciones tcnicas desplegadas por toda la
organizacin pero la valoracin del riesgo descubri que algunas de nuestras
protecciones ofrecan poco o ningn beneficio y proporcionaran un mejor retorno
de la inversin si fueran reconfiguradas para proteger aquellos activos que
requeran un nivel ms alto de proteccin. Todas las divisiones y departamentos
en ServiceCo haban desarrollado previamente sus propias guas de seguridad.
ISO27k nos ayud a desarrollar un enfoque consistente de la seguridad mediante

la creacin de polticas uniformes que incorporasen las mejores prcticas de la

industria.
Racionalizacin de los sistemas: El anlisis adecuado de nuestra informacin y
los requisitos de la seguridad de la informacin indican que gastamos nuestro
dinero de un modo prudente. Fuimos capaces de eliminar el 50% de nuestros
sistemas y datos cuando fuimos conscientes que no aportaban valor y
actualmente hemos reducido loscontroles aplicados en algunos sistemas de riesgo
bajo..
Cumplimiento con la legislacin: Implantar ISO27k nos forz a cumplir con la
legislacin de UK en reas como la proteccin de datos y derechos de autor del
software..
BENEFICIOS INDIRECTOS
Mejora en el Control de la Gerencia: Los Gerentes disponen de un mayor control
sobre la organizacin y una mejor calidad de la informacin con la que gestionarla.
El esfuerzo de la Gerencia ha sido por tanto reducida..
Mejora en las relaciones humanas: Polticas, procedimientos y guas claras
facilitan las cosas a nuestro empleados; la atmosfera ha mejorado y se ha
reducido el cambio negativo iniciado por la plantilla. ISO27k ha diferenciado
ServiceCo de nuestros competidores y ha proporcionado a la compaa de una
marca nica para la venta y que ha llevado a la compaa a un mejor entorno de
trabajo para toda nuestra plantilla. Los empleados reconocen ahora que su
ganancia del potencial depende de cmo los clientes perciben la marca de la
compaa y que cualquier publicidad negativa podra afectarles. El nivel de
profesionalidad ha mejorado en todas la compaa.
Dado que gran parte de la seguridad se basa en los controles internos,
necesitamos comprobar con mayor detenimiento a quin vamos a emplear.
Mediante ISO27k introdujimos procesos de contratacin ms completos con el
objeto de reducir el riesgo de contratar personal no adecuado al puesto o que
potencialmente podra poner nuestro negocio en riesgo. Ahora s sabemos quien
trabaja con nosotros!.
Mejora en la gestin del riesgo y planes de contingencia: Mediante el proceso de
certificacin en ISO/IEC 27001, ServiceCo identific sus vulnerabilidades,
amenazas e impactos potenciales al negocio.
La evaluacin de riesgos identific los activos de informacin que son crticos para
el xito del negocio. Esto nos ha habilitado para producir un plan de continuidad
de negocio que ha priorizado estos activos y reduce nuestro potencial exposicin a
prdidas financieras o publicidad negativa..

Mayor confianza de clientes y de socios comerciales: Con el aumento de la

sensibilidad a las brechas de seguridad, los socios comerciales, clientes y
vendedores buscaban evidencias de seguridad. La certificacin en ISO/IEC 27001
nos ha proporcionado esta garanta. En cualquier industria debes de permanecer
en una posicin destacada en relacin a tus competidores y que gestiona y
considera la confidencialidad, integridad y disponibilidad de su informacin, as
como de la nuestra propia, de forma seria..
COSTES ISO27000
El mayor elemento de coste fue el miedo al cambio cultural (tuvimos que permitir
que un par de nuestros empleados se marcharan por no cumplir con nuestras
polticas y procedimientos). Las revisiones regulares de cumplimiento para
mantener nuestra certificacin slo nos suponen sobre 3.000 libras esterlinas
(aprox. 3.500 EUR) al ao, por tanto, el ISO27k es muy rentable. Estamos ahora
en conversaciones con nuestros asesores sobre la posibilidad de combinar las
auditoras de ISO/IEC 27001 y de ISO 9001 para ahorrar tiempo y dinero..