FACULTAD DE INGENIERA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

Titulo:
ISO 27001

Asignatura: Seguridad Y Control De Tecnologas De La

Informacin
Docente: Ing. Sota Orellana Luis Alberto
Presentado por:
Marocho Lecaros, Franks Deyvis
Mercado Baca, Carlos

Cusco 2017

Contenido
1. Introduccin.............................................................................................. 3
2. Cmo funciona la ISO 27001?..................................................................4
3. Por qu ISO 27001 es importante para la empresa?...................................4
4. Dnde interviene la gestin de seguridad de la informacin en una
empresa?........................................................................................................ 5
5. Cmo es realmente ISO 27001?................................................................5
6. Cmo implementar ISO 27001?................................................................7
7. Documentacin obligatoria........................................................................7
8. Cmo obtener la certificacin?.................................................................8
9. Revisiones 2005 y 2013 de ISO 27001.........................................................9
10. Otras normas relacionadas con seguridad de la informacin..................10
11. Conclusiones....................................................................................... 11
12. Referencias...................................................................................... 11

1. Introduccin

ISO 27001 es una norma internacional emitida por la Organizacin Internacional de

Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en
una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y

pg. 2
 ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public
en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin
fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa para
implementar la gestin de la seguridad de la informacin en una organizacin.
Tambin permite que una empresa sea certificada; esto significa que una entidad
de certificacin independiente confirma que la seguridad de la informacin ha sido
implementada en esa organizacin en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad
de la informacin y muchas empresas han certificado su cumplimiento.

2. Cmo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y
disponibilidad de la informacin en una empresa. Esto lo hace investigando cules
son los potenciales problemas que podran afectar la informacin (es decir, la
evaluacin de riesgos) y luego definiendo lo que es necesario hacer para evitar
que estos problemas se produzcan (es decir, mitigacin o tratamiento del riesgo).
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin de
riesgos: investigar dnde estn los riesgos y luego tratarlos sistemticamente.

pg. 3
 Las medidas de seguridad (o controles) que se van a implementar se presentan,
por lo general, bajo la forma de polticas, procedimientos e implementacin tcnica
(por ejemplo, software y equipos). Sin embargo, en la mayora de los casos, las
empresas ya tienen todo el hardware y software pero utilizan de una forma no
segura; por lo tanto, la mayor parte de la implementacin de ISO 27001 estar
relacionada con determinar las reglas organizacionales (por ejemplo, redaccin de
documentos) necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementacin demandar la gestin de mltiples polticas,

procedimientos, personas, bienes, etc., ISO 27001 ha detallado cmo amalgamar
todos estos elementos dentro del sistema de gestin de seguridad de la
informacin (SGSI).

Por eso, la gestin de la seguridad de la informacin no se acota solamente a la

seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que tambin tiene
que ver con la gestin de procesos, de los recursos humanos, con la proteccin
jurdica, la proteccin fsica, etc.

3. Por qu ISO 27001 es importante para la empresa?

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementacin de esta norma para la seguridad de la informacin:

Cumplir con los requerimientos legales cada vez hay ms y ms leyes,

normativas y requerimientos contractuales relacionados con la seguridad de
la informacin. La buena noticia es que la mayora de ellos se pueden
resolver implementando ISO 27001 ya que esta norma le proporciona una
metodologa perfecta para cumplir con todos ellos.

Obtener una ventaja comercial si su empresa obtiene la certificacin y sus

competidores no, es posible que usted obtenga una ventaja sobre ellos
ante los ojos de los clientes a los que les interesa mantener en forma
segura su informacin.

Menores costos la filosofa principal de ISO 27001 es evitar que se

produzcan incidentes de seguridad, y cada incidente, ya sea grande o
pequeo, cuesta dinero; por lo tanto, evitndolos su empresa va a ahorrar
mucho dinero. Y lo mejor de todo es que la inversin en ISO 27001 es
mucho menor que el ahorro que obtendr.

pg. 4
 Una mejor organizacin en general, las empresas de rpido crecimiento
no tienen tiempo para hacer una pausa y definir sus procesos y
procedimientos; como consecuencia, muchas veces los empleados no
saben qu hay que hacer, cundo y quin debe hacerlo. La implementacin
de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las
empresas a escribir sus principales procesos (incluso los que no estn
relacionados con la seguridad), lo que les permite reducir el tiempo perdido
de sus empleados.

4. Dnde interviene la gestin de seguridad de la informacin en una

empresa?
Bsicamente, la seguridad de la informacin es parte de la gestin global del
riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad,
con la gestin de la continuidad del negocio y con la tecnologa de la informacin:

5. Cmo es realmente ISO 27001?

ISO/IEC 27001 se divide en 11 secciones ms el anexo A; las secciones 0 a 3 son
introductorias (y no son obligatorias para la implementacin), mientras que las
secciones 4 a 10 son obligatorias, lo que implica que una organizacin debe
implementar todos sus requerimientos si quiere cumplir con la norma. Los
controles del Anexo A deben implementarse slo si se determina que corresponden
en la Declaracin de aplicabilidad.

pg. 5
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organizacin
Internacional para la Normalizacin, los ttulos de las secciones de ISO 27001 son
los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas
de gestin, lo que permite integrar ms fcilmente estas normas.

Seccin 0 Introduccin explica el objetivo de ISO 27001 y su compatibilidad

con otras normas de gestin.

Seccin 1 Alcance explica que esta norma es aplicable a cualquier tipo de

organizacin.

Seccin 2 Referencias normativas hace referencia a la norma ISO/IEC

27000 como estndar en el que se proporcionan trminos y definiciones.

Seccin 3 Trminos y definiciones de nuevo, hacen referencia a la norma

ISO/IEC 27000.

Seccin 4 Contexto de la organizacin esta seccin es parte de la fase de

Planificacin del ciclo PDCA y define los requerimientos para comprender
cuestiones externas e internas, tambin define las partes interesadas, sus
requisitos y el alcance del SGSI.

Seccin 5 Liderazgo esta seccin es parte de la fase de Planificacin del

ciclo PDCA y define las responsabilidades de la direccin, el establecimiento de
roles y responsabilidades y el contenido de la poltica de alto nivel sobre
seguridad de la informacin.

Seccin 6 Planificacin esta seccin es parte de la fase de Planificacin del

ciclo PDCA y define los requerimientos para la evaluacin de riesgos, el
tratamiento de riesgos, la Declaracin de aplicabilidad, el plan de tratamiento
de riesgos y la determinacin de los objetivos de seguridad de la informacin.

Seccin 7 Apoyo esta seccin es parte de la fase de Planificacin del ciclo

PDCA y define los requerimientos sobre disponibilidad de recursos,
competencias, concienciacin, comunicacin y control de documentos y
registros.

Seccin 8 Funcionamiento esta seccin es parte de la fase de Planificacin

del ciclo PDCA y define la implementacin de la evaluacin y el tratamiento de
riesgos, como tambin los controles y dems procesos necesarios para cumplir
los objetivos de seguridad de la informacin.

Seccin 9 Evaluacin del desempeo esta seccin forma parte de la fase

de Revisin del ciclo PDCA y define los requerimientos para monitoreo,
medicin, anlisis, evaluacin, auditora interna y revisin por parte de la
direccin.

Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.

pg. 6
 Anexo A este anexo proporciona un catlogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

6. Cmo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, se tiene que seguir
estos 16 pasos:

1) Obtener el apoyo de la direccin

2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitacin y concienciacin
12) Realizar todas las operaciones diarias establecidas en la documentacin de
su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas

7. Documentacin obligatoria
ISO 27001 requiere que se confeccione la siguiente documentacin:

Alcance del SGSI (punto 4.3)

Objetivos y poltica de seguridad de la informacin (puntos 5.2 y 6.2)
Metodologa de evaluacin y tratamiento de riesgos (punto 6.1.2)
Declaracin de aplicabilidad (punto 6.1.3 d)
Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
Informe de evaluacin de riesgos (punto 8.2)
Definicin de roles y responsabilidades de seguridad (puntos A.7.1.2 y
A.13.2.4)
Inventario de activos (punto A.8.1.1)
Uso aceptable de los activos (punto A.8.1.3)
Poltica de control de acceso (punto A.9.1.1)
Procedimientos operativos para gestin de TI (punto A.12.1.1)
Principios de ingeniera para sistema seguro (punto A.14.2.5)
Poltica de seguridad para proveedores (punto A.15.1.1)
Procedimiento para gestin de incidentes (punto A.16.1.5)
Procedimientos para continuidad del negocio (punto A.17.1.2)
Requisitos legales, normativos y contractuales (punto A.18.1.1)
Y estos son los registros obligatorios:
Registros de capacitacin, habilidades, experiencia y calificaciones (punto 7.2)
Monitoreo y resultados de medicin (punto 9.1)
Programa de auditora interna (punto 9.2)
Resultados de auditoras internas (punto 9.2)
Resultados de la revisin por parte de la direccin (punto 9.3)
Resultados de medidas correctivas (punto 10.1)

pg. 7
 Registros sobre actividades de los usuarios, excepciones y eventos de
seguridad (puntos A.12.4.1 y A.12.4.3)

Por supuesto que una empresa puede decidir confeccionar otros documentos
de seguridad adicionales si lo considera necesario.

8. Cmo obtener la certificacin?

Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b)
para las personas. Las organizaciones pueden obtener la certificacin para
demostrar que cumplen con todos los puntos obligatorios de la norma; las
personas pueden hacer el curso y aprobar el examen para obtener el
certificado.
Para obtener la certificacin como organizacin, se debe implementar la norma
tal como se explic en las secciones anteriores y luego se debe aprobar la
auditora que realiza la entidad de certificacin. La auditora de certificacin se
realiza siguiendo estos pasos:

1 paso de la auditora (revisin de documentacin): los auditores revisarn

toda la documentacin.
2 paso de la auditora (auditora principal): los auditores realizarn la
auditora in situ para comprobar si todas las actividades de una empresa
cumplen con ISO 27001 y con la documentacin del SGSI.
Visitas de supervisin: despus de que se emiti el certificado, y durante su
vigencia de 3 aos, los auditores verificarn si la empresa mantiene su
SGSI.

Las personas pueden asistir a diversos cursos para obtener certificados. Los
ms populares son:
Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear
cmo realizar auditoras de certificacin y est orientado a auditores y
consultores.
Curso de Implementador Principal de ISO 27001: este curso de 5 das le
ensear cmo implementar la norma y est orientado a profesionales y
consultores en seguridad de la informacin.

pg. 8
 Curso de auditor interno en ISO 27001: este curso de 2 o 3 das le
ensear los conceptos bsicos de la norma y cmo llevar a cabo una
auditora interna; est orientado a principiantes en este tema y a auditores
internos.

9. Revisiones

2005 y 2013 de ISO 27001

Como se mencion

anteriormente, la norma ISO 27001 fue publicada por primera vez en 2005 y
luego fue revisada en 2013; por lo tanto, la versin vlida actual es la ISO/IEC
27001:2013.
Los cambios ms importantes de la revisin 2013 estn relacionados con la
estructura de la parte principal de la norma, las partes interesadas, los
objetivos, el monitoreo y la medicin; asimismo, el Anexo A ha disminuido la
cantidad de controles (de 133 a 114) y ha incrementado la cantidad de
secciones (de 11 a 14). En la revisin 2013 se eliminaron algunos
requerimientos como las medidas preventivas y la necesidad de documentar
determinados procedimientos.
Sin embargo, todos estos cambios en realidad no modificaron mucho la norma
en su conjunto, su filosofa principal sigue centrndose en la evaluacin y
tratamiento de riesgos y se mantienen las mismas fases del ciclo de
Planificacin, Implementacin, Revisin y Mantenimiento (PDCA, por sus siglas
en ingls). Esta nueva revisin de la norma es ms fcil de leer y comprender y
es mucho ms sencilla de integrar con otras normas de gestin como ISO
9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer
la transicin a la nueva revisin 2013 hasta septiembre de 2015 si quieren
mantener la validez de su certificacin.

10. Otras normas relacionadas con seguridad de la informacin

ISO/IEC 27002 proporciona directrices para la implementacin de los controles
indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser
utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede
ser bastante til ya que proporciona ms informacin sobre cmo implementar

pg. 9
 esos controles. A la ISO 27002 anteriormente se la conoca como ISO/IEC
17799 y surgi de la norma britnica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medicin de la seguridad de la
informacin; se acopla bien con ISO 27001 ya que explica cmo determinar si
el SGSI ha alcanzado los objetivos.

ISO/IEC 27005 proporciona directrices para la gestin de riesgos de seguridad

de informacin. Es un muy buen complemento para ISO 27001 ya que brinda
ms informacin sobre cmo llevar a cabo la evaluacin y el tratamiento de
riesgos, probablemente la etapa ms difcil de la implementacin. ISO 27005
ha surgido de la norma britnica BS 7799-3.

ISO 22301 define los requerimientos para los sistemas de gestin de

continuidad del negocio, se adapta muy bien con ISO 27001 porque el punto
A.17 de esta ltima requiere la implementacin de la continuidad del negocio
aunque no proporciona demasiada informacin.

ISO 9001 define los requerimientos para los sistemas de gestin de calidad.
Aunque a primera vista la gestin de calidad y la gestin de seguridad de la
informacin no tienen mucho en comn, lo cierto es que aproximadamente el
25% de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de
documentos, auditora interna, revisin por parte de la direccin, medidas
correctivas, definicin de objetivos y gestin de competencias. Esto quiere
decir que si una empresa ha implementado ISO 9001 le resultar mucho ms
sencillo implementar ISO 27001.

11. Conclusiones

La ISO 27001 puede ser aplicada a varios tipos de organizacin ya sea

pblica o privada, y hay normativas que exigen que las organizaciones
tengan polticas para el manejo de la informacin y esta ISO puede resolver
los requerimientos de las normas, adems de que si una organizacin
implementa la ISO sera ms competitiva ya que los clientes siempre van a
preferir que su informacin sea asegurada correctamente.
Esta ISO se centra principalmente en proteger la confidencialidad,
integridad y disponibilidad de cualquier organizacin y lo hace
implementando polticas o procedimientos en base a los posibles riesgos
que pueden hacer que la organizacin pueda sufrir.
La ISO 27001 ofrece proteccin ante cualquier amenaza a una empresa y
para un servidor de red gracias a la implantacin de un Sistema de Gestin
de Seguridad de la Informacin (SGSI) se pueden realizar controles de
direccionamiento que se utilizan para confirmar cuales son las direcciones
de origen y de destino dentro de las conexiones en las redes. Segn la ISO
27001 los controles que se deben implantar en los diferentes dominios de
red deben cumplir con la poltica de control de acceso que la organizacin
ha definido.

pg. 10
12. Referencias

27001Academy. (2017). Qu es norma ISO 27001? [online] Available at:

https://advisera.com/27001academy/es/que-es-iso-27001/ [Accessed 3 May
2017].

Busquedas.elperuano.com.pe. (2017). Aprueban el uso obligatorio de la Norma

Tcnica Peruana "NTP ISO/IEC 27001:2014 Tecnologa de la Informacin.
Tcnicas de Seguridad. Sistemas de Gestin de Seguridad de la Informacin.
Requisitos. 2a Edicin", en todas las entidades integrantes del Sistema
Nacional de Informtica-RESOLUCION MINISTERIAL-N 004-2016-PCM.
[online] Available at:
http://busquedas.elperuano.com.pe/normaslegales/aprueban-el-uso-obligatorio-
de-la-norma-tecnica-peruana-ntp-resolucion-ministerial-no-004-2016-pcm-
1333015-1/ [Accessed 3 May 2017].

pg. 11