Академический Документы
Профессиональный Документы
Культура Документы
UOC
Mayo 2014
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Contenido
1.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
Glosario ______________________________________________________________________________________34
Bibliografa __________________________________________________________________________________37
Anexos ________________________________________________________________________________________39
Pgina 2 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
1.
Descripcindel proyecto
Introduccin al Proyecto
Enfoque y seleccin de la empresa que ser objeto de estudio
Definicin de los objetivos del Plan Director de Seguridad y Anlisis diferencial
de la empresa con respecto a la ISO/IEC 27001+ISO/IEC 27002 en su versin
2013
Fase 2
Sistema de Gestin Documental
La fase considera:
Pgina 3 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Fase 3
Anlisis de riesgos
La fase considera:
Fase 4
Propuesta de Proyectos
La fase considera:
Evaluacin de proyectos que debe llevar a cabo la Empresa para alinearse con
los objetivos planteados en el Plan Director.
Propuesta plan de tratamiento de riesgos, proyectos de cara a conseguir una
adecuada gestin de la seguridad de la informacin.
Cuantificacin econmica y temporal de los mismos.
Pgina 4 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 5 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
mejorar el SGSI, esta es la norma certificable por las empresas. En la versin 2005,
esto se implementaba a partir del ciclo PHVA (Planificar, Hacer, Verificar, Actuar).
Para la versin 2013, no se establece este modelo como curso necesario de
implementacin; se da a las organizaciones la libertad de definir el modelo de mejora
continua que quieran utilizar para el SGSI. La norma paso a tener 130 requisitos, la
versin 2005 tena 102.
Por su parte ISO 27002, corresponde a la gua de buenas prcticas en seguridad de la
informacin y guarda correspondencia con los controles definidos en el Anexo A de la
ISO 27001.
Uno de los cambios de ISO 27001 fue que ahora aplica, la estructura de alto nivel
definidos en el Anexo SL de las directivas ISO/IEC, esto con el fin de guardar
correspondencia entre las normas ISO que se han ajustado a este anexo en pro de
ayudar en la implementacin de sistemas integrados; esto implica que se manejan los
mismos apartados y trminos comunes. Los numerales o captulos en los cuales se
divide la norma son los siguientes:
0. Introduccin
1. Alcance
2. Referencias normativas
3. Trminos y definiciones
4. Contexto de la organizacin
5. Liderazgo
6. Planeacin
7. Soporte
8. Operacin
9. Evaluacin del desempeo
10. Mejora
A partir del numeral 4 al 10 se definen de forma especfica los aspectos de cada
norma, en este caso de ISO 27001 es lo siguiente:
4. Contexto de la organizacin: entendimiento de la organizacin y su contexto,
expectativas de las partes interesadas, alcance del SGSI.
5. Liderazgo: Liderazgo y compromiso de la alta direccin, polticas, organizacin de
roles, responsabilidades y autoridades.
6. Planeacin: Como abordar riesgos y oportunidades
7. Soporte: Recursos, competencias, conciencia, comunicacin e informacin
documentada.
8. Operacin: Evaluacin de riesgos de seguridad de la informacin, manejo de
riesgos de seguridad de la informacin.
9. Evaluacin del desempeo: Evaluacin de riesgos de seguridad de la informacin.
10. Mejora: Monitoreo y auditoras internas, revisin de la alta direccin.
Alexandra Ramrez Castro
Pgina 6 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Versin 2013
14
35
114
Controles
Existencia
Control
en norma
27001:2005
anterior
A.5.1.1
SI
A.5.1.1
A.5.1.2
SI
A.5.1.2
A.6
A.6.1
Organizacin interna
A.6.1.1
SI
A.6.1.3
A.8.1.1
A.6.1.2
Separacin de deberes
SI
A.10.1.3
A.6.1.3
SI
A.6.1.6
A.6.1.4
SI
A.6.1.7
A.6.1.5
NO
A.6.2
A.6.2.1
SI
A.11.7.1
A.6.2.2
Teletrabajo
SI
A.11.7.2
A.7
A.7.1
A.7.1.1
Seleccin
SI
A.8.1.2
A.7.1.2
SI
A.8.1.3
A.7.2
A.7.2.1
Responsabilidades de la direccin
SI
A.8.2.1
A.7.2.2
SI
A.8.2.2
A.7.2.3
Proceso disciplinario
SI
A.8.2.3
A.7.3
A.7.3.1
SI
A.8.3.1
A.8
Gestin de activos
A.8.1
A.5.1
Pgina 7 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
A.8.1.1
Inventario de activos
Existencia
Control
en norma
27001:2005
anterior
SI
A.7.1.1
A.8.1.2
SI
A.7.1.2
A.8.1.3
SI
A.7.1.3
A.8.1.4
Devolucin de activos
SI
A.8.3.2
A.8.2
Clasificacin de la informacin
A.8.2.1
Clasificacin de la informacin
SI
A.7.2.1
A.8.2.2
Etiquetado de la informacin
SI
A.7.2.2
A.8.2.3
Manejo de activos
SI
A.7.2.2
A.10.7.3
A.8.3
Manejo de medios
A.8.3.1
SI
A.10.7.1
A.8.3.2
SI
A.10.7.2
A.8.3.3
SI
A.10.8.3
A.9
Control de acceso
A.9.1
A.9.1.1
SI
A.11.1.1
A.9.1.2
SI
A.11.4.1
A.9.2
A.9.2.1
SI
A.11.2.1
A.8.3.3
A.9.2.2
SI
A.11.2.2
A.9.2.3
SI
A.11.2.2
A.9.2.4
SI
A.11.2.3
A.9.2.5
SI
A.11.2.4
A.9.2.6
SI
A.8.3.3
A.9.3
A.9.3.1
SI
A.11.3.1
A.9.4
A.9.4.1
SI
A.11.6.1
A.9.4.2
SI
A. 11.5.1
A. 11.5.5
A. 11.5.6
A.9.4.3
SI
A.11.5.3
A.9.4.4
SI
A.11.5.4
A.9.4.5
SI
A.12.4.3
A.10
Criptografa
A.10.1
Controles criptogrficos
A.10.1.1
SI
A.12.3.1
A.10.1.2
Gestin de llaves
SI
A.12.3.2
A.11
Control
27001:2013
Controles
Pgina 8 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Control
27001:2013
Controles
Existencia
Control
en norma
27001:2005
anterior
A.11.1
reas seguras
A.11.1.1
SI
A.9.1.1
A.11.1.2
SI
A.9.1.2
A.11.1.3
SI
A.9.1.3
A.11.1.4
SI
A.9.1.4
A.11.1.5
SI
A.9.1.5
A.11.1.6
SI
A.9.1.6
A.11.2
Equipos
A.11.2.1
SI
A.9.2.1
A.11.2.2
Servicios de suministro
SI
A.9.2.2
A.11.2.3
SI
A.9.2.3
A.11.2.4
Mantenimiento de equipos
SI
A.9.2.4
A.11.2.5
Retiro de activos
SI
A.9.2.7
A.11.2.6
SI
A.9.2.5
A.11.2.7
SI
A.9.2.6
A.11.2.8
SI
A.11.3.2
A.11.2.9
SI
A.11.3.3
A.12
A.12.1
A.12.1.1
SI
A.10.1.1
A.12.1.2
Gestin de cambios
SI
A.10.1.2
A.12.1.3
Gestin de capacidad
SI
A.10.3.1
A.12.1.4
SI
A.10.1.4
A.12.2
A.12.2.1
SI
A.10.4.1
A.12.3
Copias de respaldo
A.12.3.1
Respaldo de la informacin
SI
A.10.5.1
A.12.4
Registro y seguimiento
A.12.4.1
Registro de eventos
SI
A.10.10.1
A.12.4.2
SI
A.10.10.3
A.12.4.3
SI
A.10.10.3
A.10.10.4
A.12.4.4
Sincronizacin de relojes
SI
A.10.10.6
A.12.5
A.12.5.1
SI
A.12.4.1
A.12.6
A.12.6.1
SI
A.12.6.1
A.12.6.2
NO
Pgina 9 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Control
27001:2013
Controles
A.12.7
A.12.7.1
A.13
A.13.1
A.13.1.1
Existencia
Control
en norma
27001:2005
anterior
SI
A.15.3.1
Controles de redes
SI
A.10.6.1
A.13.1.2
SI
A.10.6.2
A.13.1.3
SI
A.11.4.5
A.13.2
Transferencia de informacin
A.13.2.1
SI
A.10.8.1
A.13.2.2
SI
A.10.8.2
A.13.2.3
Mensajera electrnica
SI
A.10.8.4
A.13.2.4
SI
A.6.1.5
A.14
A.14.1
A.14.1.1
SI
A.12.1.1
A.14.1.2
SI
A.10.9.1
A.10.9.3
A.14.1.3
SI
A.10.9.2
A.14.2
A.14.2.1
NO
A.14.2.2
SI
A.12.5.1
A.14.2.3
SI
A.12.5.2
A.14.2.4
SI
A.12.5.3
A.14.2.5
NO
A.14.2.6
NO
A.14.2.7
SI
A.14.2.8
NO
A.14.2.9
SI
A.10.3.2
A.14.3
Datos de prueba
A.14.3.1
SI
A.12.4.2
A.15
A.15.1
A.15.1.1
SI
A.6.2.3
A.12.5.5
Pgina 10 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Control
27001:2013
A.15.1.2
Controles
Existencia
Control
en norma
27001:2005
anterior
SI
A.6.2.3
A.15.2
A.15.2.1
SI
A.10.2.2
A.15.2.2
SI
A.10.2.3
A.16
A.16.1
A.16.1.1
Responsabilidades y procedimientos
SI
A.13.2.1
A.16.1.2
SI
A.13.1.1
A.16.1.3
SI
A.13.1.2
A.16.1.4
A.16.1.5
A.15.1.3
NO
NO
A.17.1
A.17.1.1
A.17.1.2
A.17.1.3
A.17.2
Redundancias
A.17.2.1
A.18
Cumplimiento
A.18.1
A.16.1.6
A.16.1.7
A.17
SI
A.13.2.2
SI
A.13.2.3
SI
A.14.1.2
SI
A.14.1.5
NO
A.18.1.2
A.18.1.3
Proteccin de registros
SI
A.15.1.3
A.18.1.4
SI
A.15.1.4
A.18.1.5
SI
A.15.1.6
A.18.2
A.18.2.1
SI
A.6.1.8
A.18.2.2
SI
A.15.2.1
A.18.1.1
SI
A.15.1.1
SI
A.15.1.2
Pgina 11 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Existencia
Control
en norma
27001:2005
anterior
Revisin del cumplimiento tcnico
SI
A.15.2.2
Tabla 2. Comparativo objetivos de control ISO 27001: 2005 e ISO 27001:2013
Control
27001:2013
A.18.2.3
Controles
3.
Presentacin de la empresa
Pgina 12 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Ley 23 de 1982
Explicacin
Ley general de delitos informticos que clasifica y
asigna penas para delitos y crmenes relacionado con
tecnologa e informtica
Ley general de archivo de la nacin que dispone
tiempos de retencin y cuidados para documentacin
fsica de tipo pblico
Ley de derechos de autor aplicable a propiedad
intelectual
Pgina 13 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Explicacin
Ley de comercio electrnico que establece
lineamientos y proteccin para acceso y uso de
mensajes de datos, comercio electrnico y firmas
digitales
Por la cual se dictan las disposiciones generales del
Habeas Data y se regula el manejo de informacin
contenida en bases de datos personales, en especial
la financiera, crediticia, comercial, de servicios y la
proveniente de terceros pases y se dictan otras
disposiciones
Ley que establece los requerimientos para la
proteccin de la informacin personal almacenada por
las organizaciones y evitar la divulgacin de la misma.
Mapa de procesos
El mapa de procesos de la empresa est estructurado en 21 procesos, bajo
lineamientos estratgicos, de cadena de valor y soporte.
Pgina 14 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 15 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
De soporte
Se refieren al apoyo en la contratacin y compra de bienes y servicios, la gestin
ambiental y la gestin de la seguridad y salud ocupacional, administracin de los
recursos humanos, fsicos, informticos y financieros y la gestin documental que
brindan las dems reas de la empresa.
Pgina 16 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Nota: Es importante resaltar, que como parte del proyecto de integracin de seguridad
de la informacin en el sistema de gestin integral, se busca integrar esta como uno
de los procesos de soporte. Este es un proyecto en curso actualmente dentro de la
empresa.
Estructura organizacional de la empresa
A continuacin se presenta la estructura organizacional de la empresa en estudio
Pgina 17 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
4.
5.
La norma ISO 27001:2013 en el numeral 4.3 Alcance del SGSI establece los
requisitos para su definicin:
La organizacin debe determinar los lmites y la aplicabilidad del sistema de gestin de
seguridad de la informacin para establecer su alcance. Cuando se determina este
alcance la organizacin debe considerar:
a) Las cuestiones externas e internas (contexto de la organizacin, numeral 4.1)
b) Los requisitos de las partes interesadas (numeral 4.2)
c) las interfaces y dependencias entre las actividades realizadas por la
organizacin, y las que realizan otras organizaciones
El alcance debe estar disponible como informacin documentada.
Pgina 18 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Anlisis
interno
Fortalezas
Cuenta con filiales a nivel nacional
y fuera del pas en Latinoamrica
lo que le da ventaja competitiva
frente a la competencia.
Debilidades
Alta dependencia de terceros para la
contratacin de servicios.
Cerca del XXX % del personal es
contratista.
Pgina 19 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Anlisis
externo
Pgina 20 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Parte interesada
Entes de control
Clientes
(Empresas
distribucin de energa)
Proveedores (Empresas
generacin de energa)
Comunidad aledaa
Filiales
de
de
Competencia
Alta direccin
Accionistas
Colaboradores y contratistas
Control interno
Requerimientos
Cumplimiento de la legislacin y regulacin en temas
relativos a seguridad de la informacin referente a la
actividad de la empresa.
Proteccin de la operacin para que le aseguren servicio
seguro s como informacin.
Continuidad en la contratacin, cumplimiento en pagos,
proteccin de la informacin.
Seguridad fsica al estar cerca a instalaciones de la empresa
Lineamientos y acompaamiento para su propio
implementacin.
Mantenimiento de la operacin
Contar con altos estndares de seguridad para el desarrollo
de la operacin, para poder utilizar esto como una ventaja
frente a su competencia y fortalecer la imagen de la empresa
en el mercado.
Contar con la implementacin de seguridad de la informacin
dentro de la empresa para mejorar sus ganancias.
Contar con condiciones de seguridad fsica y lgica en el
desarrollo de sus funciones dentro de la empresa, sin sentir
vulnerados sus derechos a privacidad.
Cumplimiento y responsabilidad social
Pgina 21 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
6.
lo que se va a hacer
los recursos necesarios
responsables
cundo se finalizar
cmo se evaluarn los resultados
Pgina 22 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
III. Implementar y gestionar las acciones para prevenir, mitigar y remediar los
impactos de los riesgos de seguridad de la informacin.
IV. Dar cumplimiento a los requerimientos de privacidad y de proteccin de datos
establecidos por las leyes Colombianas e internacionales aplicables.
V. Fomentar una cultura organizacional frente a la proteccin de la informacin
donde todos reconozcan sus roles y responsabilidades en la preservacin de
su confidencialidad, integridad y disponibilidad."
Para cada objetivo se ha definido un plan para alcanzarlo e indicadores que permitan
medir su evolucin y cumplimiento. La alineacin entre objetivos y la poltica se
presenta a continuacin:
POLTICA VS. OBJETIVOS DEL SISTEMA DE GESTIN
Poltica
(Resumen o descripcin
principal)
Directriz de poltica
(Principal compromiso extrado de la poltica)
Objetivo
7.
La norma ISO 27001:2013 en el numeral 5.2 Poltica establece los requisitos para su
definicin:
Pgina 23 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 24 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
dar tratamientoa los riesgos sobre esta, garantizando las acciones y recursos
requeridos parallevarlos a los niveles aceptables definidos por la Empresa.
Establecer, implementar y operar un modelo de gestin de seguridad de la
informacin con un enfoque repetible, de mejora continua, sostenible en el
tiempoy dentro de un marco de gestin de riesgos.
Reconocer y dar cumplimiento a todos los requerimientos normativos y legales
aplicables a la informacin empresarial, personal y de terceros;
Establecer mecanismos de concientizacin en temas de seguridad de la
informacin para todos los funcionarios y partes interesadas.
Establecer los roles y responsabilidades frente a la proteccin de la informacin
empresarial.
Pgina 25 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Responsabilidades generales
Gestin de normatividad y cumplimiento
Gestin de riesgos
Revisin y medicin del SGSI
Gestin de activos
Gestin de incidentes
Gestin de la cultura
9.
La norma ISO 27001:2013 en el numeral 9.3 Revisin por la direccin establece los
siguientes requisitos:
1) la revisin debe realizarse a intervalos planificados, para asegurar su conveniencia,
adecuacin y eficacia continuas
2) en las revisiones se deben incluir consideraciones sobre:
Pgina 26 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 27 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 28 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
10.9.1 Comercio electrnico, dado que la empresa no cuenta con este servicio
Pgina 29 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Ahora en la norma ISO 27001:2013 en su anexo A maneja 114 controles de los cuales
todos se deben manejar de acuerdo al anlisis realizado.
En el documento adjunto Excel Declaracin de aplicabilidad se encuentra el detalle de
las inclusiones.
Nota: el archivo se encuentra en la carpeta anexa Gestin de riesgos
52
24
12
3
Pgina 30 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
CMM
SIGNIFICADO
DESCRIPCIN
Carencia completa de cualquier proceso
reconocible.
0%
10%
L0
L1
Inexistente
Inicial /Ad-hoc
50%
L2
Reproducible,
pero intuitivo
90%
L3
Proceso definido
Pgina 31 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
EFECTIVIDAD
CMM
95%
SIGNIFICADO
L4
DESCRIPCIN
Se puede seguir con indicadores numricos y estadsticos
la evolucin de los procesos.
Gestionado y
medible
100%
L5
Optimizado
Inicial / Ad-hoc
37
37
3
21
Reproducible, pero
intuitivo
Proceso definido
Gestionado y medible
Optimizado
No aplica
Nivel de Madurez
Cantidad de
Controles
Porcentaje
L0
Inexistente
4%
L1
L2
L3
L4
Inicial / Ad-hoc
Reproducible, pero intuitivo
Proceso definido
Gestionado y medible
7
37
21
3
6%
32%
18%
3%
Pgina 32 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Nivel de Madurez
L5 Optimizado
N/A No aplica
Total
Cantidad de
Controles
37
5
114
Porcentaje
32%
4%
100%
A nivel de cada uno de los dominios, el nivel esperado por la organizacin en trminos
de efectividad es del 95%. A continuacin se presenta a partir de esta revisin cual es
su nivel de efectividad actual por dominio:
No
A.5
Dominio
Polticas de seguridad de la informacin
A.6
A.7
A.8
A.9
A.10
A.11
A.12
A.13
A.14
A.15
A.16
Efectividad Efectividad
actual
esperada
25%
95%
34%
53%
67%
52%
38%
68%
87%
90%
82%
58%
56%
95%
95%
95%
95%
95%
95%
95%
95%
95%
95%
95%
43%
95%
61%
95%
Pgina 33 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
A.6
A.17
43%
A.16
A.7
61%
25% 34%
53%
67%
56%
52%
58%
A.15
A.8
Efectividad actual
Efectividad esperada
A.9
38%
82%
A.14
90%
87%
A.13
68%
A.10
A.11
A.12
Glosario
Riesgo: El impacto neto considerando (1) la probabilidad de que una fuente de
amenaza particular (explote accidental o intencionalmente) una vulnerabilidad
particular del sistema de informacin y (2) el impacto resultante en caso de que esto
ocurra. El riesgo relacionado con TI se deriva de la responsabilidad legal o perdida de
misin debido a:
a. Divulgacin no autorizada (intencional o accidental), modificacin, o
destruccin de informacin
b. Errores y omisiones no intencionales
c. Interrupciones de TI a causa de desastres naturales o causados por el hombre
d. El no ejercer el debido cuidado y diligencia en la implementacin y operacin
de sistema de TI. [NIST02]
El potencial de que una amenaza especfica explote las vulnerabilidades de un activo
o grupo de activos para ocasionar prdida y/o dao a los activos. Por lo general
se
mide por medio de una combinacin del impacto y la probabilidad de
ocurrencia.
[COB07]
Pgina 34 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 35 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 36 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Bibliografa
[ARTOOL08] AR-TOOLS - Glosario de seguridad informtica. AR-TOOLS, 2008
[CERVERA02] CERVERA, Josep. La transicin a las nuevas ISO 90002000 y su
implantacin: Un plan sencillo y prctico con ejemplos, Publicado por Ediciones Daz
de Santos, 2002, pg. 31
[COB07] Instituto de Gobierno de TI. COBIT 4.1. Marco de Trabajo - Objetivos de
control Directrices Generales Modelos de Madurez, 2007
Pgina 37 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Pgina 38 de 39
Actualizacin del Sistema de Gestin de Seguridad de la Informacin de una empresa a la norma ISO/IEC
27001:2013
Anexos
Anexo 1: Diagrama de red a alto nivel
El detalle del diagrama de red no puede ser entregado por solicitud de la empresa en
estudio. Se presenta el siguiente diagrama general:
Sede principal
Subestaciones
internet
SWs
Telefonia
Centro de datos
MPLS
MPLS
Sede 2
Sede 3
Pgina 39 de 39