CQSI - CONSULTORA EN GESTIN DE

SEGURIDAD DE LA INFORMACIN

UNIT ISO
SEMINRIO INTERNACIONAL
La Normalizacin y las TIC:
El Camino a Seguir
Las nuevas versiones de las normas de la
Familia UNIT ISO IEC 27000
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Expositor: ARIOSTO FARIAS JR

Agosto de 2015

OBJETIVO DE LA CONFERENCIA

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Presentar los Trminos y Conceptos

Fundamentales de Sistemas de Gestin, de
Riesgos y de Seguridad de la Informacin

Presentar una descripcin general de los

controles de la norma ISO/IEC 27002:2013

Presentar los requisitos de la norma

ISO/IEC 27001:2013

MOTIVOS PARA ADOTAR LAS

NORMAS DE LA FAMILIA ISO IEC 27000
~

Todos los das en cada rincn del mundo, millares de

sistemas de informacin y de datos confidenciales son
accedidos por personas no autorizadas, sean personas
que trabajan en la organizcin o personas externas a la
organizacin.

Los principales motivos son:

Polticos
Monetarios
Robo de secretos
industriales

~
~
~

hackers

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

VATILEAKS

MOTIVOS PARA ADOTAR LAS

NORMAS DE LA FAMILIA ISO IEC 27000
~

Los principales tipos de personas que

ponen en riesgo los activos de informacin
de una organizacin son:

Criminales cibernticos
Servicios extranjeros de inteligencia
Funcionarios de la organizacin
Competidores internacionales
Hackers
Prestadores de servicios

~
~
~
~
~

hackers

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

VATILEAKS

the WHITE HOUSE PRESIDENT BARACK

OBAMA:Foreign Policy
~

Cybersecurity Executive Order

13636

Americas economic prosperity, national security, and

our individual liberties depend on our commitment to
securing cyberspace and maintaining an open,
interoperable, secure, and reliable Internet. Our critical
infrastructure continues to be at risk from threats in
cyberspace, and our economy is harmed by the theft of
our intellectual property. Although the threats are serious
and they constantly evolve, I believe that if we address
them effectively, we can ensure that the Internet remains
an engine for economic growth and a platform for the free
exchange of ideas.
President Obama

CQSI
Proibida Reproduo

~
Copyright CQSI
Proibida Reproduo

February 12, 2013

ISO IEC NWIP :Information security code of

practice for the aviation industry (May, 2015)
Contributions for this Study Period are
particularly requested in the following areas:
~

CQSI

Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Civil aviation regulations and standards that apply to

the aircraft and in-flight security management
NOTE: The security management of airports,
passengers, crew members and baggage are out of
scope of the present study period.
Risks and concerns that relate to the aircraft and inflight security management
Flight data management processes (i.e. generation,
transmission, collection, monitoring and storage),
their security and privacy
Technical guidance, tools and critical information
involved in flight data management.

Pequeas y Mdias empresas son ms

vulnerables a crimen online

Pesquisa realizada pela FIESP

Federao das Indstrias do Estado
de So Paulo, revela que mais de
60% dos ataques cibernticos so
contra empresas de pequeno e mdio
porte.

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Agosto 10, 2015

MOTIVOS PARA ADOTAR LAS

NORMAS DE LA FAMILIA ISO IEC 27000
~

ISO IEC 27002:Mejor Cdigo de Prtica en

Seguridad de la Informacin que existe en el
mercado

Aplicable a todos los sectores de la economa

Adoptado por la mayora de los pases

Requisito del Cliente

Supervivencia de la empresa

Proteccin de la Infraestructura de un pas

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

TRMINOS Y DEFINICIONES RELACIONADOS

CON SEGURIDAD DE LA INFORMACIN

CQSI

SEGURIDAD DE LA INFORMACIN: preservacin de la

confidencialidad, integridad y disponibilidad de la
informacin

CONFIDENCIALIDAD: propriedad que determina que la

informacin no est disponible ni sea revelada a
individuos, entidades o procesos no autorizados

INTEGRIDAD: propriedad de salvaguardar la exactitud y

completitud de los activos

DISPONIBILIDAD: propriedad de ser accesible y

utilizable por solicitud de una entidad autorizada

ACTIVO: Aquello que tenga valor para la organizacion

Proibida Reproduo

Copyright CQSI
Proibida Reproduo

TRMINOS Y DEFINICIONES RELACIONADOS

CON SEGURIDAD DE LA INFORMACIN
~

Existen basicamente dos tipos de activos:

Activos primarios:
- Procesos y actividades del negocio
- Informacin

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Activos de soporte e infraestructura (sobre

los cuales los elementos primarios del
alcance se apoyan):
- Hardware / Software
- Redes
- Recursos Humanos
- Instalaciones fsicas
- Estrutura de la organizacin

TERMINOS Y DEFINICIONES RELACIONADOS

CON SEGURIDAD DE LA INFORMACIN
~

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

RIESGO: combinacin de la probabilidad de un evento y de

sus consecuencias
AMENAZA: causa potencial de un incidente no deseado,
que puede dar lugar a daos en un sistema o en una
organizacin
VULNERABILIDAD: debilidad de un activo o control que
puede ser explotada por una o ms amenazas

TRATAMIENTO DE RIESGO: proceso de seleccin e

implementacin de medidas (controles) para modificar
un riesgo
CONTROL: medio de gestionar el riesgo, incluyendo
polticas, procedimientos, guas, prcticas o estructuras
organizativas, que pueden ser de naturaleza administrativa,
tcnica, de gestin, o legal .

Protegiendo la Informacin de la
Organizacin
~
~
~
~
~
~
~
~

CQSI
Proibida Reproduo

~
Copyright CQSI
Proibida Reproduo

Activos
Informacin crtica y sensible
Amenazas
Vulnerabilidades
Riesgos
Valoracin y tratamiento de riesgo
Implementacin de controles
Monitoreo (seguimiento) de los controles
implementados
Valoracin de la eficacia de los controles
implementados

Protegiendo la Informacin de la
Organizacin
INFORMACIN QUE DEBE SER
PROTEGIDA
~Almacenadas

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

en computadoras
~Transmitida por medios electrnicos
~Impresa o escrita en papel
~Enviada por fax
~Almacenadas en cintas o discos
~Almacenadas en dispositivos mviles
~Habladas en conversaciones

Protegiendo la Informacin de la
Organizacin
RAZONES PARA IMPLANTAR UN SGSI
~Garantizar

la continuidad del negocio de

una organizacin, a travs de la
preservacin de las tres propiedades
bsicas de la informacin:

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

- Confidencialidad
- Integridad
- Disponibilidad

Protegiendo la Informacin de la
Organizacin
PRINCIPALES TIPOS DE AMENAZAS
~Acceso

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

no autorizado
~Usuarios desleales
~Espionaje industrial
~Acciones de Hackers
~Fraude
~Fuego
~Robo de documentos confidenciales
~Robo de notebooks

Protegiendo la Informacin de la
Organizacin
CASO 1: ACCESO INDEBIDO A LOS REGISTROS
MDICOS DE UN PACIENTE
~En

Los Angeles, en abril de este ao, 13 empleados de la UCLA

Medical Center pasaron por un proceso disciplinario y casi fueron
despedidos luego que la empresa descubriera que accedieron, de
forma indebida, a los registros mdicos de la cantante Britney
Spears, que estaban almacenados en una computadora. Por violar
las polticas de seguridad de la informacin de la UCLA y las leyes
de privacidad mdica, los empleados pasaran por un proceso
disciplinario y casi fueron despedidos. Seis personas fueron
suspendidas.
~Controles

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

de la Norma ISO/IEC 27002:

~Diretrices para clasificacin de la informacin (8.2.1).
~Etiquetado y tratamiento de la informacin (8.2.2)
~Manejo de activos (8.2.3)
~Proceso disciplinario (7.2.3)

Protegiendo la Informacin de la
Organizacin
CASO 2: Un notebook de un miembro del Consejo de
Administracin de una importante empresa,
conteniendo informacin altamente confidencial, fue
robado

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Acuerdos de confidencialidad o no divulgacin (13.2.4)
~Trminos y condiciones de empleo (7.1.2)
~Concientizacin, educacin y formacin en seguridad de la
informacin (7.2.2)
~Proceso disciplinario (7.2.3)
~Seguridad del equipamiento y de los activos fuera de las
instalaciones (11.2.6)
~Poltica de dispositivos mviles (6.2.1)

Protegiendo la Informacin de la
Organizacin
CASO 3: Documentos sensibles conteniendo los planes
de negocio de una empresa, tales como fusiones y
adquisiciones, fueron robados por un proveedor y
enviados para un competidor

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Acuerdos de confidencialidad o no divulgacin (13.2.4)
~Concientizacin, educacin y formacin en seguridad de
la informacin (7.2.2)
~Proceso disciplinario (7.2.3)
~reas de Seguridad (11.1.1/11.1.2/11.1.3)
~Poltica de escritorio y pantalla limpios (11.2.9)

Protegiendo la Informacin de la
Organizacin
CASO 4: En las ciudades de Hanoi o Ho Chi Minh
cualquier persona interesada puede comprar los ltimos
estudios de viabilidad econmica de grandes empresas
extrangeras

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Acuerdos de confidencialidad o no divulgacin
(13.2.4)
~Concientizacin, educacin y formacin en seguridad
de la informacin (7.2.2)
~Proceso disciplinario (7.2.3)
~reas Seguras (11.1.1/11.1.2/11.1.3)
~Poltica de escritorio y pantalla limpios (11.2.9)

Protegiendo la Informacin de la
Organizacin
CASO 5: En una reciente investigacin, se constat que
cerca del 80% de los empleados divulgan informacin
sensible de la empresa o de los clientes por medio de
telefono o de e-mail

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Controles de acceso fsico (11.1.2)
~Clasificacin de informacin (8.2.1)
~Acuerdos de confidencialidad o no divulgacin
(13.2.4)
~Proceso disciplinario (7.2.3)
~Polticas y procedimientos de intercambio de
informacin (13.2.1)

Protegiendo la Informacin de la
Organizacin
CAS0 6: DEUTSCHE BANK

El Banco tena 2 oficinas funcionando en el

World Trade Center y ya estaba operando sus
sistemas casi con normalidad el da siguiente
al atentado terrorista de 11 de Setiembre.

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Respaldo de informacin (12.3.1).
~Aspectos de seguridad de la informacin en la
gestin de continuidad del negocio (17):
~Resultado: atendido
~Propiedad preservada: disponibilidad

MDULO IV: Protegiendo la

Informacin de la Organizacin
CASO 7: USO NO AUTORIZADO DE DISPOSITIVOS
DE GRABACIN
Los principales archivos y procesos de los clientes
de una oficina en So Paulo fueron copiados
usando-se o Pen-drive/Flash Memory, en el
momento en que el usuario estaba lejos de su
computadora, sin ninguma proteccin de su
pantalla

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Controles de acceso fsico (11.1.2)
~Poltica de escritorio y pantalla limpios (11.2.9)
~Propiedad no preservada:confidencialidad

MDULO IV: Protegiendo la

Informacin de la Organizacin
CASO 8: VANDALISMO
El brazo femenino del MST destruye laboratorio con ms de
una dcada de investigaciones.
Dos mil militantes del llamado Movimiento de Mujeres
Campesinas (MMC) invadieron y destruyeron un centro de
investigaciones de Aracruz en Rio Grande do Sul - Brasil.
Las computadoras, los archivos(conteniendo informaciones
sobre los valiosos resultados de diez aos de investigacin) ,
asi como la instalaciones fueron destruidas.

Controles de la Norma ISO/IEC 27002 :

CQSI
Proibida Reproduo

~Respaldo

de Informacin (12.3.1)
~Permetro de Seguridad Fsica (11.1.1)
~Proteccin contra amenazas externas y del ambiente (11.1.4)

Copyright CQSI
Proibida Reproduo

Fuente: Revista Veja, 15 de marzo 2006

MDULO IV: Protegiendo la

Informacin de la Organizacin
CASO 9: ROBO DE DATOS ESTRATGICOS
PRESENTACIN DEL CONFERENCISTA
El robo ocorri el da 15 de febrero de 2008, cuando un
empleado subcontratado de la Empresa realizaba el
transporte de notebooks en un contenedor.

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Seguridad del equipamiento y de los activos fuera de
las instalaciones (11.2.6)
~Remocin de los activos (11.2.5)
~Poltica de dispositivos mviles (6.2.1)

MDULO IV: Protegiendo la

Informacin de la Organizacin
CASO 10: OPERACIONES FRAUDULENTAS
Un operador de mesa del SOCIT GENRALE, el
segundo mayor banco de Francia, realiz operaciones
ficticias y caus un perjuicio de ms US$ 7 billones al
banco.
Este episodio fue considerado como el MAYOR fraude
del mundo financiero del que se tenga noticia.
El hecho fue descubierto, por casualidad, el da 19 de
enero de 2008 y comunicado al CEO del Banco.

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Controles de la Norma ISO/IEC 27002 :

~Seleccin

(7.1.1)
~Registro de eventos (12.4.1)
~Registros del administrador y operador (12.4.3)
~Revisin de cumplimiento tcnico (18.2.3)

MDULO IV: Protegiendo la

Informacin de la Organizacin
RESULTADOS DE INVESTIGACIN SOBRE
INCIDENTES DE SEGURIDAD DE LA
INFORMACIN
Ms del 50% de las organizaciones que sufrieron
violaciones de su informacion, coinciden en que
podran haber hecho algo para evitarlas.
~90%

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

de las organizaciones investigadas reportaron algun tipo de

fraude o abuso.
~El nmero de organizaciones que presentaron incidentes con
hackers se triplic en los ltimos aos.
~El personal gerencial, pratica cerca de 25% de los fraudes.
~50% de todos los fraudes detectados, fueron descubiertos por
casualidad.
Fuentes: DTI/BISS

Mdulo V: LA NUEVA NORMA

ISO/IEC 27002:2013
CONTENIDO

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

5. Polticas de seguridad de la informacin

6. Organizacin de la seguridad de la informacin
7. Seguridad ligada a los recursos humanos
8. Gestin de activos
9. Control de acceso
10. Criptografa
11. Seguridad fsica y del ambiente
12.Seguridad de las operaciones
13. Seguridad de las comunicaciones
14. Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin
15. Relaciones con los proveedores
16. Gestin de incidentes de seguridad de la informacin
17. Aspectos de seguridad de la informacin en la gestin de
continuidad del negocio
18. Cumplimiento

5 POLTICAS DE SEGURIDAD DE LA
INFORMACIN
5.1 Orientacin de la direccin para la
seguridad de la informacin
5.1.1 Polticas para la seguridad de la informacin
~Polticas

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

orientadas a los usuarios:

a) uso aceptable de activos
b) escritorio y pantalla limpios
c) transferencia de informacin
d) dispositivos mviles y teletrabajo
e) restricciones a las instalaciones y uso de
software

6 ORGANIZACIN DE LA
SEGURIDAD DE LA INFORMACIN
6.1 Organizacin Interna
6.1.2 Segregacin de funciones
~Debera

tenerse cuidado de que ninguna persona pueda acceder,

modificar o utilizar activos sin autorizacin o deteccin.

6.2 Dispositivos mviles y teletrabajo

6.2.1 Poltica de dispositivos mviles
los requisitos de proteccin fsica
~ la restriccin de instalacin de software
~ los controles de acceso
~ tcnicas criptogrficas
~ proteccin contra software malicioso
~ desactivacin, eliminacin y bloqueo a distancia
~ respaldo de la informacin (back up)
~

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

6.2.2 Teletrabajo

7 SEGURIDAD LIGADA A LOS

RECURSOS HUMANOS
7.1 Previo al empleo
7.1.1 Seleccin
~Verificacin

de control de todos los candidatos al empleo,

deberian ser realizadas con base en las leyes, reglamentaciones y
ticas, y compatibles con la informacin a ser accedidas y los
riesgos percibidos.

7.2.2 Concientizacin, educacin y formacin en

seguridad de la informacin
7.2.3 Proceso disciplinario

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Debera existir un proceso disciplinario formal para empleados y

comunicado a los mismos, para tomar medidas contra los
empleados que han perpetrado una violacin a la seguridad de la
informacin

8 GESTIN DE ACTIVOS
8.1 RESPONSABILIDAD POR LOS ACTIVOS
8.1.1 Inventario de activos
8.1.2 Propriedad de los activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolucin de activos
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

8.2 CLASIFICACIN DE LA INFORMACIN

9 CONTROL DE ACCESO
9.1 Requisitos de negocios del control de
acceso
9.2 Gestin de acceso del usuarios
9.2.3 Gestin de derechos de acceso privilegiados
9.2.5 Revisin de los derechos de acceso de los
usuarios
9.2.6 Remocin o ajuste de los derechos de acceso
~

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Los derechos de acceso de todo empleado, contratista o

usuario de tercera parte a la informacin y a las
instalaciones de procesamiento de informacin deberan
ser removidos luego de la finalizacin del empleo,
contrato o acuerdo, o ser ajustados al cambio.

9 CONTROL DE ACCESO
9.3 Responsabilidades del usuario
9.3.1 Uso de la informacin de autenticacin
secreta

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Los usuarios deberan ser orientados a seguir las

prcticas de la organizacin en cuanto al uso de la
informacin de autenticacin secreta.

Los usuarios deben ser orientados a mantener

confidencial la informacin de autenticacin secreta.

11 SEGURIDAD FSICA Y DEL

AMBIENTE
11.1 reas Seguras
11.1.1 Permetro de Seguridad fsica
11.1.2 Controles de acceso fsico
11.1.3 Seguridad de oficinas, despacho e instalaciones
11.1.4 Proteccin contra amenazas externas y del
ambiente
11.1.5 El trabajo en las reas seguras

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

11.1.6 reas de entrega y de carga

11 SEGURIDAD FSICA Y DEL

AMBIENTE :EL pequeo Nicols
Francisco Nicols Gmez Iglesias apodado
por la prensa espaola como El pequeo
Nicols, es un estudiante espaol de
Derecho, que tom notoriedad y se hizo
clebre cuando fue detenido en octubre de
2014 acusado de falsedad documental,
estafa en grado de tentativa y usurpacin
de funciones pblicas

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

11 SEGURIDAD FSICA Y DEL

AMBIENTE
11.2 Equipamiento
11.2.1 Ubicacin y proteccin del
equipamiento
11.2.4 Mantenimiento del equipamiento
11.2.5 Remocin de los activos
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

11.2.9 Poltica de escritorio y pantalla limpios

12 SEGURIDAD DE LAS
OPERACIONES
12.2 Proteccin contra software malicioso
12.2.1 Controles contra el malware
~
Deberan implantarse controles de deteccin, prevencin y
recuperacin para protegerse contra software malicioso, junto
con procedimientos adecuados para concientizar a los
usuarios

12.3 Respaldo
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

12.3.1 Respaldo de la informacin

Deberan hacerse regularmente copias de seguridad de la
informacin y del software y probarse regularmente
acorde con la poltica de respaldo.

12 SEGURIDAD DE LAS
OPERACIONES
12.4 Registro y seguimiento
12.4.1 Registro de Eventos
12.4.2 Proteccin de la informacin de
registros (LOGS)
12.4.3 Registros del administrador y del operador

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

12.4.4 Sincronizacin de relojes

13 SEGURIDAD DE LAS
COMUNICACIONES
13.1 Gestin de seguridad de la red
13.1.1 Controles de la red
13.1.2 Seguridad de los servicios de red
13.1.3 Segregacin en las redes

13.2.4 Acuerdos de confidencialidad o no

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

divulgacin
Deberan identifcarse, revisarse y documentarse
con regularidad los requisitos para los acuerdos
de confidencialidad o de no divulgacin, que
reflejan las necesidades de la organizacin para la
proteccion de la informacin.

14 ADQUISICIN, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
14.1 Requisitos de seguridad de los sistemas
de informacin
14.1.1 Anlisis y especificacin de los requisitos
de seguridad de la informacin
14.1.2 Servicios de aplicacin de seguridad en las
redes pblicas

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

14.2 Seguridad en los procesos de desarrollo y

soporte
14.2.1 Poltica de desarrollo seguro
14.2.2 Procedimientos de control de cambios del
sistema

15 RELACIONES CON LOS

PROVEEDORES
15.1 Seguridad de la informacin en las
relaciones con los proveedores
15.1.1 Poltica de seguridad de la informacin para
las relaciones con los proveedores

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

15.2 Gestin de la prestacin de servicios del

proveedor
15.2.1 Seguimiento y revisin de los servicios
de los proveedores
~ La organizacin debera realizar un
seguimiento, revisar y auditar regularmente la
prestacin de servicios de los proveedores.

16 GESTIN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIN
16.1 Gestin de incidentes y mejoras de
seguridad de la informacin
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la informacin
~
Los eventos de seguridad de la informacin deberan ser
reportados a travs de los canales apropiados de gestin tan
pronto como sea posible.

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

16.1.3 Reporte de las debilidades de seguridad de la

informacin
~ Los empleados y contratistas que utilizan los sistemas o
servicios de informacin de la organizacin, deberan ser
instrudos para el registro y notificacin de cualquier debilidad
en la seguridad de sistemas o servicios, observada o que se
sospeche.

17 ASPECTOS DE SEGURIDAD DE LA
INFORMACIN EN LA GESTIN DE CONTINUIDAD
DEL NEGOCIO

17.1 Continuidad de la seguridad de la

informacin
17.1.1 Planificacin de la continuidad de la seguridad
de la informacin
17.1.2 Implementacin de la continuidad de seguridad
de la informacin
17.1.3 Verificar, revisar y evaluar la continuidad de la
seguridad de la informacin

CQSI
Proibida Reproduo

17.2 Redundancia
Copyright CQSI
Proibida Reproduo

17.2.1 Disponibilidad de las instalaciones de

procesamiento de informacin

18 CUMPLIMIENTO
18.1 Cumplimiento de los requisitos legales y
contractuales
18.1.1 identificacin de la legislacin aplicable y de los
requisitos contractuales
18.1.2 Derechos de propiedad intelectual
18.1.3 Proteccin de los registros
18.1.4 Privacidad y proteccin de datos personales

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

18.1.5 Regulacin de los controles criptogrficos

NORMA UNIT-ISO/IEC 27001:2013

SISTEMAS DE GESTIN DE LA
SEGURIDAD DE LA INFORMACIN:
REQUISITOS
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

MDULO V: NORMA UNIT-ISO/IEC

27001:2013
ESTRUCTURA DE LA NORMA:
~0

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Introduccin
~1 Objeto
~2 Referencias Normativas
~3 Trminos y definiciones
~4 Contexto de la Organizacin
~5 Liderazgo
~6 Planificacin
~7 Soporte
~8 Operacin
~9 Evaluacin de desempeo
~10 Mejora

MDULO V: NORMA UNIT-ISO/IEC

27001:2013
4 Contexto de la organizacin
4.1 Comprender la organizacin y su contexto
4.2 Comprender las necesidades y expectativas de las
partes interesadas
4.3 Determinar el alcance del sistema de gestin de
seguridad de la informacin
4.4 Sistemas de gestin de seguridad de la
informacin

5 Liderazgo
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

5.1 Liderazgo y compromiso

5.2 Poltica
5.3 Roles, responsabilidades y autoridades organizacionales

MDULO V: NORMA UNIT-ISO/IEC

27001:2013
6 Planificacin
6.1 Acciones para hacer frente a los riesgos y
oportunidades
6.1.1 Generalidades
6.1.2 Evaluacin de riesgos de seguridad de
la informacin
6.1.3 Tratamiento de riesgos de seguridad de
la informacin
CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

6.2 Objetivos de seguridad de la informacin y

planificacin para alcanzarlos

MDULO V: NORMA UNIT- ISO/IEC

27001:2013
7 Soporte

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

7.1 Recursos
7.2 Competencia
7.3 Toma de conciencia
7.4 Comunicacin
7.5 Informacin documentada
7.5.1 Generalidades
7.5.2 Creacin y actualizacin
7.5.3 Control de informacin documentada

MDULO V: NORMA UNIT-ISO/IEC

27001:2013
8 Operacin
8.1 Planificacin y control operacional
8.2 Evaluacin de riesgos de seguridad de la informacin
8.3 Tratamiento de riesgos de seguridad de la
informacin
9 Evaluacin de desempeo
9.1 Seguimiento, medicin, anlisis y evaluacin
9.2 Auditora interna
9.3 Revisin por la direccin

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

10 Mejora
10.1 No conformidades y acciones correctivas
10.2 Mejora continua

MDULO V: NORMA UNIT- ISO/IEC

27001:2013
Plan
Estabelecer
el SGSI

Partes
Interesadas

Implementar

Do

y Operar
el SGSI

CQSI
Proibida Reproduo

Expectativas
Y
Requisitos de
Seguridad de la
Informacin

Ciclo de
Desarrollo
Mantenim.
Y Mejora

Seguimiento y
Anlisis
del SGSI

Check

Partes
Interesadas

Manter y
Mejorar

Act

O SGSI

Seguridad
De la
Informacin
Gestionada

Copyright CQSI
Proibida Reproduo

Figura 1 Modelo PDCA aplicado a los procesos del SGSI

CUIDADO CON LA FALSA

SENSACIN DE SEGURIDAD

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

GENERADOR DE EMERGENCIA
RESPALDO
CONTROL DE ACCESO FISICO

EJEMPLOS DE BENEFICIOS QUE PUEDEN SER

OBTENIDOS DESPUS DE LA IMPLANTACIN
DE UN SGSI
~

Reduccin de los incidentes de seguridad de la

informacin

Garanta de cumplimiento con las polticas y

procedimientos de seguridad de la informacin en
las auditoras realizadas junto a los usuarios

Drstica reduccin del uso de los recursos de

procesamiento de la informacin para propsitos no
relacionados con las actividades de la organizacin

The Top Ten: Los diez sitios ms accedidos estarn

vinculados con el negocio de la organizacin

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

EJEMPLOS DE BENEFICIOS QUE PUEDEN SER

OBTENIDOS DESPUS DE LA IMPLANTACIN
DE UN SGSI

CQSI
Proibida Reproduo

Copyright CQSI
Proibida Reproduo

Reduccin de el nmero de mensajes internos

indeseables (chistes, mensajes con contenido
pornogrfico)

Mayor confianza con los clientes, socios y

autoridades relevantes

Reduccin de prdidas de Notebooks,

pendrives
como
consecuencia
de
la
implementacin de controles

Prevencin de la empresa cuanto a las

eventuales situaciones de riesgo que surgen de
amenazas externas

MUCHAS GRACIAS POR SU

ATENCIN

CQSI
Proibida Reproduo

Derechos de autor de CQSI.

Copyright CQSI
Proibida Reproduo

ariosto@cqsi.com.br