UNIVERSIDAD NACIONAL TORIBIO RODRÍGUEZ DE MENDOZA DE

AMAZONAS

FACULTAD DE INGENIERÍA DE SISTEMAS Y MECÁNICA ELÉCTRICA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

CURSO:

Seguridad Informática

TEMA:

NORMAS INTERNACIONALES DE LA SEGURIDAD DE LA INFORMACIÓN (ISO)

INTEGRANTES:

Cerna Albarran, Irvin Felipe

Maldonado Villanueva, Richar

Palacios Calderon, Merly Estefania

DOCENTE:

Sánchez Fernández Luis , Mag.

BAGUA – PERÚ

2018

1
 Dedicatoria

A Dios, por ser nuestro guía para alcanzar nuestras metas.

A nuestros padres por ser la base fundamental de nuestro desarrollo educativo, a lo largo de

nuestras vidas.

A la Universidad Nacional Toribio Rodríguez de Mendosa de Amazonas, la cual abrió sus

puertas para nuestra respectiva formación profesionalmente.

A nuestro docente, Mg. Luis Sánchez Fernández, por el apoyo incondicional, la inculcación

de enseñanzas.

2
 Índice

Dedicatoria ................................................................................................................................. 2

Índice .......................................................................................................................................... 3

Introducción ............................................................................................................................... 5

Normas Internacionales de la seguridad de la información (ISO) ............................................. 6

Ventajas de las normas ISO ................................................................................................... 7

Familias de normas ISO ......................................................................................................... 8

ISO/IEC 27001 ....................................................................................................................... 9

Beneficios de ISO 27001 ................................................................................................. 10

Estructura de la ISO 27001 .............................................................................................. 10

Dominios de seguridad de la ISO 27001.......................................................................... 12

ISO 27002 ............................................................................................................................ 13

ISO/IEC 27004 ..................................................................................................................... 17

Etapas planteadas por ISO-27004 .................................................................................... 18

Modelo y método para las mediciones de seguridad ....................................................... 19

ISO 27005 ............................................................................................................................ 21

Gestión de Riesgos en Tecnologías de la Información con ISO 27005 ........................... 22

ISO 17799 ............................................................................................................................ 25

3
 Dominios de control que cubren por completo la Gestión de la Seguridad de la

Información ........................................................................................................................... 26

Conclusiones ............................................................................................................................ 32

Recomendaciones ..................................................................................................................... 33

Referencias ............................................................................................................................... 34

4
 Introducción

Cuando hablamos de seguridad de la información estamos indicando que dicha información

tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de

interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de

abultados archivadores. Datos de los clientes o proveedores de la organización, o de los

empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su

almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información

reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en

'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de

dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil transportar la

información también hay más posibilidades de que desaparezca 'por el camino'. Si es más fácil

acceder a ella también es más fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo

en red es lo habitual, los problemas derivados de la seguridad de la información han ido también

cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los

nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la

complejidad de la solución, pero la esencia es la misma.

5
 Normas Internacionales de la seguridad de la información (ISO)

Las normas ISO (International Organization for Standardization) son un conjunto de normas

orientadas a ordenar la gestión de una empresa en sus distintos ámbitos. La alta competencia

internacional acentuada por los procesos globalizadores de la economía y el mercado y el poder e

importancia que ha ido tomando la figura y la opinión de los consumidores, ha propiciado que

dichas normas, pese a su carácter voluntario, hayan ido ganando un gran reconocimiento y

aceptación internacional. Las normas ISO son establecidas por el Organismo Internacional de

Estandarización (ISO), y se componen de estándares y guías relacionados con sistemas y

herramientas específicas de gestión aplicables en cualquier tipo de organización.

La organización se encarga de promover los parámetros y normas que deben cumplir la

fabricación, comunicación y comercio de varias ramas industriales y que sirven también para la

calidad de los procesos productivos, control de las empresas y de las organizaciones

internacionales que se dedican al perfeccionamiento de la calidad y seguridad de productos en el

mundo.

Actualmente, la organización está constituida por la unión de 157 instituciones o

colaboradores, además se encuentra ubicada en Suiza específicamente en la ciudad de Ginebra,

donde trabajan conjuntamente tanto delegaciones de varios gobiernos del mundo, así como

entidades privadas que se dedican a la especialización y mejoramiento del control de producción,

normas de calidad y seguridad de las distintas variedades de productos que podemos encontrar en

nuestro universo.

6
Ventajas de las normas ISO

En base a esta finalidad y objetivo inicial y debido al gran prestigio y enorme seguimiento

alcanzado, las normas ISO suponen importantes beneficios para las empresas, compañías y

organizaciones en general.

 Proporcionan elementos para que una organización puede alcanzar y mantener mayores

niveles de calidad en el producto o servicio.

 Ayudan a satisfacer las necesidades de un cliente cada vez más exigente.

 Permite a las empresas reducir costos, conseguir más rentabilidad y aumentar los niveles

de productividad.

 Constituye uno de los medios más eficaces para conseguir ventaja competitiva.

 Reducir rechazos o incidencias en la producción o en la prestación de servicios.

 Implementar procesos de mejora continua.

 Conseguir un mayor y mejor acceso a grandes clientes y administraciones y a los

mercados internacionales.

Los beneficios sobrepasan el ámbito de las empresas y administraciones y sus clientes, que se

ven favorecidos por un mejor servicio, alcanzando también a los gobiernos, que gracias a las

normas ISO pueden:

 Asegurarse de que los bienes y servicios cumplen con los requisitos obligatorios

relacionados con la calidad, la seguridad o el medio ambiente, entre otras cuestiones.

 Controlar el comercio exterior con otros países.

7
Familias de normas ISO

Existen muchas normas ISO y, como hemos indicado, además de actualizarse, periódicamente

aparecen nuevas. Para una mayor clasificación e identificación se agrupan por familias o series,

cada una de ellas con una nomenclatura específica. Las tres categorías fundamentales son:

 Gestión de Calidad (serie ISO 9000)

Normas enfocadas a homogeneizar los estándares de calidad de los productos o servicios de

las organizaciones públicas y privadas, independientemente de su tamaño o actividad.

 Gestión del medio ambiente (serie ISO 14000)

Suponen un instrumento muy clarificador y eficaz para que las compañías puedan organizar

todas sus actividades dentro de unos parámetros de respeto al entorno, cumpliendo con la

legislación vigente y dando respuesta a un mayor concienciación y exigencia de la sociedad.

 Gestión de riesgos y seguridad (norma ISO 22000, OHSAS 18001, ISO 27001, ISO

22301 y otras)

Normas y sistemas desarrollados con la finalidad de evitar o minimizar los distintos riesgos

relativos a las diferentes amenazas originadas por la actividad empresarial.

 Gestión de responsabilidad social (norma ISO 26000)

El enfoque de estas normas es ayudar a la empresa a tener en todo momento un

comportamiento transparente y ético que forme parte indisoluble de su modelo general de

gestión.

8
ISO/IEC 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es

ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la

norma británica BS 7799-2.

Es una norma internacional referente para la gestión de seguridad de la información que cubre

todo tipo de organización incluidas las gubernamentales y entidades sin ánimo de lucro, y

especifica los requisitos para establecer, implementar, supervisar y mejorar un sistema de

seguridad de la información (SGSI). También permite que una empresa sea certificada; esto

significa que una entidad de certificación independiente confirma que la seguridad de la

información ha sido implementada en esa organización en cumplimiento con la norma ISO

27001.

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la

información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que

podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es

necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento

del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:

investigar dónde están los riesgos y luego tratarlos sistemáticamente.

La gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por

ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos,

de los recursos humanos, con la protección jurídica, la protección física, etc.

9
 Beneficios de ISO 27001

Cumplir con los requerimientos legales: Cada vez hay más y más leyes, normativas y

requerimientos contractuales relacionados con la seguridad de la información. La buena noticia

es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le

proporciona una metodología perfecta para cumplir con todos ellos.

Obtener una ventaja comercial: Si su empresa obtiene la certificación y sus competidores

no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les

interesa mantener en forma segura su información.

Menores costos: La filosofía principal de ISO 27001 es evitar que se produzcan incidentes de

seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su

empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es

mucho menor que el ahorro que obtendrá.

Una mejor organización: En general, las empresas de rápido crecimiento no tienen tiempo

para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces

los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de

ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus

principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite

reducir el tiempo perdido de sus empleados.

Estructura de la ISO 27001

ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son

introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10

son obligatorias.

10
 Sección 0 Introducción: Explica el objetivo de ISO 27001 y su compatibilidad con otras

normas de gestión.

Sección 1 Alcance: Explica que esta norma es aplicable a cualquier tipo de organización.

Sección 2 Referencias normativas: Hace referencia a la norma ISO/IEC 27000 como

estándar en el que se proporcionan términos y definiciones.

Sección 3 Términos y definiciones: Hace referencia a la norma ISO/IEC 27000.

Sección 4 Contexto de la organización: Esta sección es parte de la fase de Planificación del

ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también

define las partes interesadas, sus requisitos y el alcance del SGSI.

Sección 5 Liderazgo: Esta sección es parte de la fase de Planificación del ciclo PDCA y

define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el

contenido de la política de alto nivel sobre seguridad de la información.

Sección 6 Planificación: Esta sección es parte de la fase de Planificación del ciclo PDCA y

define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración

de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de

seguridad de la información.

Sección 7 Apoyo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define

los requerimientos sobre disponibilidad de recursos, competencias, concienciación,

comunicación y control de documentos y registros.

Sección 8 Funcionamiento: Esta sección es parte de la fase de Planificación del ciclo PDCA

y define la implementación de la evaluación y el tratamiento de riesgos, como también los

controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

11
 Sección 9 Evaluación del desempeño: Esta sección forma parte de la fase de Revisión del

ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría

interna y revisión por parte de la dirección.

Sección 10 Mejora: Esta sección forma parte de la fase de Mejora del ciclo PDCA y define

los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y

mejora continua.

Anexo A: Este anexo proporciona un catálogo de 114 controles (medidas de seguridad)

distribuidos en 14 secciones (secciones A.5 a A.18).

Dominios de seguridad de la ISO 27001

 Políticas de seguridad de la información.

 Organización de la seguridad de la información.

 Seguridad en los recursos humanos.

 Gestión de activos.

 Control de accesos.

 Criptografía.

 Seguridad física y ambiental.

 Seguridad en las operaciones.

 Seguridad en las comunicaciones.

 Adquisición, desarrollo y mantenimiento de sistemas.

 Relaciones con proveedores.

 Gestión de incidentes de seguridad de la información.

 Aspectos de seguridad de la información dentro de la continuidad del negocio,

 Conformidad.

12
ISO 27002

Esta norma es muy relevante dentro del sector ya que, toma como base todos los riesgos a los

que se enfrenta la organización en su día a día, tiene como objetivo principal establecer,

implantar, mantener y mejorar de forma continua la seguridad de la información de la

organización. Sin embargo, no debemos olvidar el papel que ocupan otras normas. Ya que

establece un catálogo de buenas prácticas que determina, desde la experiencia, una serie de

objetivos de control y controles que se integran dentro de todos los requisitos de la norma ISO

27001 en relación con el tratamiento de los riesgos.

La importancia de disponer de una actualizada, completa y veraz información es la clave para

la correcta realización de todas las actividades de la organización, en todas sus áreas, campos y

actividades. Sin embargo, es todavía mucho más importante mantener dicha información con

seguridad para que no se pierda, se robe o se deteriore de cualquier forma. Al fin y al cabo, la

información y los datos de los que se dispone en la organización y que recopila en su día son uno

de los activos más valiosos que pueden marcar el futuro de la organización.

De esta manera, es fácil comprender la importancia de la norma ISO 27001 como Sistema de

Gestión de Seguridad de la Información. Sin embargo, es igual de importante el papel que ocupa

dentro de todos los requisitos de la norma ISO 27002 como guía de buenas prácticas para

implantar controles y que garantizarán la seguridad de la información gracias a sus

recomendaciones.

La norma ISO 27002 se encuentra estructurada en 14 capítulos que describen las áreas que se

deben considerar para garantizar la seguridad de la información de las que se dispone. El

documento recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que

hay que tenerlos en cuenta y considerar su posible aplicación, además del grado de la misma.

13
Queremos realizar una revisión muy breve de cada uno de los 14 capítulos.

1.- Políticas de Seguridad de la Información.

Dentro de este capítulo se hace hincapié en la importancia que ocupa la disposición de una

adecuada política de seguridad, aprobada por la dirección, comunicada a todo el personal,

revisada de forma periódica y actualizada con los cambios que se producen en el interior y en

el exterior.

2.- Organización de la Seguridad de la Información.

Los controles indicados en este capítulo buscan estructurar un marco de seguridad eficiente

tanto mediante los roles, tareas, seguridad, etc. como en los dispositivos móviles. Tenemos

que tener presente que cada vez es mayor el peso que está ocupando el teletrabajo dentro de

las empresas, y por ello, se deben tener en cuenta todas sus características especiales para que

ningún momento la seguridad de la información de la que se dispone se vea afectada.

3.- Seguridad Relativa a los Recursos Humanos.

Si analizamos los incidentes de seguridad que se producen en una organización nos daremos

cuenta de que la gran mayoría de estos tienen su origen en un error humano. Se debe

concienciar y formar al personal de los términos de empleo de la información en el desarrollo

de sus actividades y la importancia que tiene la información en el desarrollo de sus

actividades, además de la importancia que tiene promover, mantener y mejorar el nivel de

seguridad adecuándolo a las características de los datos y la información que maneja es clave

y uno de los objetivos que se debe perseguir.

14
4.- Gestión de activos.

Se centra en la atención en la información como activo y en cómo se deben establecer las

medidas adecuadas para guardarlos de las incidencias, quiebras en la seguridad y en la

alteración no deseada.

5.- Control de Acceso.

Controlar quien accede a la información dentro de un aspecto relevante. Al fin y al cabo no

todas las personas de una organización necesitan acceder para realizar su actividad diarias a

todos los datos, sino que tendremos roles que necesitan un mayor acceso y otros con un

acceso mucho más limitado. Para poder marcar las diferencias, se deben establecer todos los

controles como registro de los usuarios, gestión de los privilegios de acceso, etc. siendo

algunos de los controles que se incluyen en este apartado.

6.- Criptografía.

En el caso de que estemos tratando la información sensible o crítica puede ser interesante

utilizar diferentes técnicas criptográficas para proteger y garantizar su autenticidad,

confidencialidad e integridad.

7.- Seguridad Física y del Entorno.

La seguridad no es solo a nivel tecnológico sino también físico, es decir, una simple labor de

no dejar las pantallas e impresoras en zonas que sean fácilmente accesibles, por parte del

personal externo los documentos con los que se están trabajando no sólo nos permitirán

gestionar de forma adecuada la seguridad sino que se acabarán convirtiendo en hábitos que

nos aportan eficiencia en la gestión.

15
8.- Seguridad de las Operaciones.

Tiene un marcado componente técnico entrado en todos los aspectos disponibles como la

protección del software malicioso, copias de seguridad, control de software en explotación,

gestión de vulnerabilidad, etc.

9.- Seguridad de las Comunicaciones.

Partiendo de la base de que la gran mayoría de los intercambios de información y de datos en

distintas escalas se llevan a cabo mediante las redes sociales, garantizar la seguridad y

proteger de forma adecuada los medios de transmisión de estos datos clave.

10.- Adquisiciones, Desarrollo y Mantenimiento de los Sistemas de Información.

La seguridad no es un aspecto de un área en concreto, ni de un determinado proceso, no que

es general, abarca toda la organización y tiene que estar presente como elemento transversal

clave dentro del ciclo de vida del sistema de gestión.

11.- Relación de Proveedores.

Cuando se establecen las relaciones con terceras partes, como puede ser proveedores, se

deben establecer medidas de seguridad pudiendo ser muy recomendable e incluso necesario

en determinados casos.

12.- Gestión de Incidentes de Seguridad de la Información.

No podemos hablar de controles de seguridad sin mencionar un elemento clave, los

incidentes en seguridad. Y es que, estar preparados para cuando estos incidentes ocurran,

dando una respuesta rápida y eficiente siendo la calve para prevenirlos en el futuro.

16
 13.- Aspectos de Seguridad de la Información para la Gestión de la Continuidad de

Negocio.

No sabemos lo que necesitábamos un dato hasta que lo hemos perdido. Sufrir una pérdida de

información relevante y no poder recuperarla de laguna forma puede poner en peligro la

continuidad de negocio de la organización.

14.- Cumplimiento

No podemos hablar de seguridad de la información, sin hablar de legislación, normas y

políticas aplicables que se encuentre relacionadas con este campo y con las que conviven en

las organizaciones. Debemos tener presente que ocupan un enorme lugar en cualquier

sistema de gestión y deben garantizar que se cumple y que están actualizados con los últimos

cambios siendo esencial para no llevarnos sorpresas desagradables.

ISO/IEC 27004

La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los

resultados de un Sistema de Gestión de la Seguridad de la Información (SGSI) en ISO 27001.

Este estándar especifica cómo estructurar el sistema de medición, cuáles son los parámetros a

medir, cuándo y cómo medirlos. Además, ayuda a las empresas al establecimiento de objetivos

relacionados con el rendimiento y los criterios de éxito. El tipo de métodos requeridos expuestos

por ISO 27004 dependerán de la complejidad, el tamaño de la organización, del vínculo entre el

coste y el beneficio y el nivel de integración de la seguridad de la información que se haga en los

procedimientos llevados a cabo por la organización. Esta norma especifica cómo se ha de

constituir estos métodos y cómo deben integrarse y documentarse los datos alcanzados en el

SGSI.

17
 Los objetivos de estos procesos de mediciones son:

 Evaluar la efectividad de la implementación de los controles de seguridad.

 Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.

 Proveer estados de seguridad que guíen las revisiones del SGSI, facilitando mejoras a la

seguridad y nuevas entradas para auditar.

 Comunicar valores de seguridad a la organización.

 Servir como entradas al plan de análisis y tratamiento de riesgos.

Etapas planteadas por ISO-27004

 Elección de los objetivos y procesos de medición:

Las organizaciones han de medir el alcance de los métodos. En la medición, sólo se

consideran aquellos procesos que están documentados consistentemente. El rendimiento de los

procedimientos o controles y las actuaciones del personal son algunos de los objetos de

medición.

 Descripción de las líneas principales:

Los valores principales que exponen el punto de referencia han de determinarse para cada

objeto que está siendo medido

 Selección de datos:

Los datos han de ser precisos, oportunos y dimensionales. Se pueden llevar a cabo técnicas

programadas de recogida de datos para conseguir una recopilación normalizada y mostrar

informes.

18
  Desarrollo de un sistema de medición:

La secuencia racional de operaciones según la norma ISO27004 se aplica en diferentes

atributos del objeto escogido para la medición. Se emplean indicadores como surtidor de datos

para una mejora en el rendimiento de programas relacionados con la seguridad de la

información.

 Interpretación de los valores medidos:

Se ha de identificar las grietas entre los valores iniciales y los de medición real a través de la

tecnología y los procedimientos apropiados para la interpretación y el análisis de dichos valores.

 Notificación de los valores de medición:

Los datos que resulten de la medición han de ser notificados a las partes interesadas. Se puede

realizar mediante cuadros de mando operacional, informes, boletines de noticias o en forma de

gráficos.

Modelo y método para las mediciones de seguridad

Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la

información. El éxito de este programa, se basará en la asistencia o ayuda que estas mediciones

aporten para adoptar decisiones, o determinar la eficiencia de los controles de seguridad. Por lo

tanto este programa de mediciones debe estar basado en un "Modelo" de mediciones de

seguridad de la información.

Este Modelo es una estructura que enlaza los atributos medibles con una entidad relevante.

Estas entidades, incluyen procesos, productos, proyectos y recursos. Es decir, este modelo debe

describir cómo estos atributos son cuantificados y convertidos a indicadores que provean bases

para la toma de decisiones, sustentados en necesidades de información específica.

19
 El primer paso para el desarrollo de este modelo, es definir los atributos que se consideran

más relevantes para medir la información que se necesita. Un mismo atributo puede ser

incorporado en múltiples mediciones, soportando diferentes necesidades de información.

Para definir cómo los atributos deben ser medidos, esta norma propone también un Método.

Existen dos tipos de métodos para cuantificar los atributos:

 Subjetivos: Implica el criterio humano.

 Objetivos: Se basan en una regla numérica, que puede ser aplicada por personas o

recursos automatizados.

Los métodos de medición pueden abarcar varios tipos de actividades y un mismo método

puede aplicar a múltiples atributos.

Algunos ejemplos de métodos son:

 Encuestas/indagaciones.

 Observación.

 Cuestionarios.

 Valoración de conocimientos.

 Inspecciones.

 Re-ejecuciones.

 Consulta a sistemas.

 Monitorización ("Testing")

 Muestreo.

Un tema a considerar es la asociación de mediciones con determinadas escalas, de las cuales

se proponen los siguientes tipos:

 Nominal: Los valores son categóricos.

20
  Ordinal: Los valores son ordenados.

 Intervalos: Se poseen máximos y mínimos con distancias entre ellos.

 Ratio: Tienen escalas de distancias, relacionadas a mediciones.

ISO 27005

Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de

información. La norma suministra las directrices para la gestión de riesgos de seguridad de la

información en una empresa, apoyando particularmente los requisitos del sistema de gestión de

seguridad de la información definidos en ISO 27001.

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los

riesgos que puedan complicar la seguridad de la información de su organización. No recomienda

una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema

de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.

Los usuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de

riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto

riesgo.

La norma ISO 27005 reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la

Información y la tecnología de las comunicaciones”. La norma fue publicada por primera vez en

junio de 2008, aunque existe una versión mejorada del año 2011.

El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo

causar daños. El riesgo se encuentra relacionado con el uso, propiedad, operación, distribución y

la adopción de las tecnologías de la información de la empresa. Aunque no existe un método

concreto de cómo gestionar riesgos, se recomienda utilizar un proceso estructurado, sistemático y

riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.

21
 Los indicadores de riesgo muestran si la empresa se encuentra sujeta o tiene alta probabilidad

de ser sometida a un riesgo que excede el riesgo permitido.

Gestión de Riesgos en Tecnologías de la Información con ISO 27005

La gestión del riesgo es una actividad recurrente que se refiere al análisis, a la planificación, la

ejecución, el control y el seguimiento de todas las medidas implantadas y la política de seguridad

que ha sido impuesta.

La actualización del establecimiento, mantenimiento y mejora continua de un SGSI ofrecen

una clara indicación de que una organización está utilizando un enfoque sistemático para la

identificación, evaluación y gestión de riesgos de seguridad de la información.

Identificación de Riegos

Un evento solo es un riesgo si existe un grado de incertidumbre. El valor de un activo puede

cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto pero ¿Cuánto

puede cambiar? No lo sabemos. Por lo tanto es un riesgo que debemos evitar en un proyecto

pequeño. Debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en

varias sucursales de una organización, pero no todas las oficinas poseen la misma capacidad de

almacenamiento o de las últimas actualizaciones de sistemas operativos.

 ¿Es un riesgo la instalación? No, es un requisito.

 ¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto

en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la

aplicación.

 ¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Sí, es incierto,

solo lo sabremos cuando los intentemos.

22
 Ejemplos de riesgos en IT

 Aplicaciones en condiciones vulnerables

 Sistemas operativos, vulnerables y sin actualizaciones

 Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes

 Tecnologías obsoletas

 Mal rendimiento de la infraestructura IT

Evaluación de los Riesgos

Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial

que estaos generarían, para así comprender el efecto de los eventos adversos que se pueden

desencadenar.

La evaluación de riesgos se ejecuta en los puntos discretos de tiempo y hasta que el

rendimiento de la próxima evaluación proporciona una visión temporal de los riesgos evaluados.

La evaluación de riesgos se realiza a menudo en más de una interacción, la primera es una

evaluación de alto nivel para identificar los riesgos altos, mientras que las interacciones

posteriores detallan el análisis de los riesgos principales y tolerables. Varios factores ayudan a

seleccionar eventos con cierto grado de riesgo:

 Probabilidad

 Consecuencias

 Ocurrencia

 Urgencia

 Maleabilidad

 Dependencia

 Proximidad

23
La evaluación de riesgos requiere de los siguientes puntos:

 Un estudio de la vulnerabilidad, amenazas, probabilidad, pérdidas y la eficacia de las

medidas de seguridad. Los directivos de la empresa utilizan los resultados de la

evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones.

 El proceso de evaluación de amenazas y vulnerabilidades, para estimar el efecto

producido en caso de pérdidas y establecer el grado de aceptación y aplicabilidad de las

operaciones del negocio.

 Identificar los activos y las facilidades que pueden ser afectadas por las amenazas y

vulnerabilidades.

 Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de

pérdida esperada en caso de que ocurra ciertos eventos y la probabilidad estimada cuando

ocurra. El propósito de una evaluación del riesgo es determinar si las contramedidas son

adecuadas para reducir la probabilidad de la pérdida o impacto de la pérdida dentro del

nivel aceptable.

 Es una herramienta de gestión que proporciona un enfoque sistemático que determine el

valor relativo a: la sensibilidad al instalar activos informáticos, la evaluación de

vulnerabilidades, la evaluación de la expectativa de pérdidas, la percepción de los niveles

de exposición al riesgo, la evaluación de las características de protección existentes, las

alternativas adicionales de protección, la aceptación de riesgos y la documentación de las

decisiones de gestión.

24
ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de

la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la

seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y

requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es

proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los

daños a la organización y maximizar el retorno de las inversiones y las oportunidades de

negocio.

La seguridad de la información se define como la preservación de:

 Confidencialidad. Aseguramiento de que la información es accesible sólo para

aquellos autorizados a tener acceso.

 Integridad. Garantía de la exactitud y completitud de la información y de los métodos

de su procesamiento.

 Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando

lo requieran a la información y sus activos asociados.

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas

de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a

aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la

Información (SGSI) según la norma UNE 71502, CERTIFICABLE.

25
 Dominios de control que cubren por completo la Gestión de la Seguridad de la

Información

1. Política de seguridad.

2. Aspectos organizativos para la seguridad.

3. Clasificación y control de activos.

4. Seguridad ligada al personal.

5. Seguridad física y del entorno.

6. Gestión de comunicaciones y operaciones.

7. Control de accesos.

8. Desarrollo y mantenimiento de sistemas.

9. Gestión de continuidad del negocio.

10. Conformidad con la legislación.

Política de seguridad

 Dirigir y dar soporte a la gestión de la seguridad de la información.

 La alta dirección debe definir una política que refleje las líneas directrices de la

organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a

todo el personal implicado en la seguridad de la información.

 La política se constituye en la base de todo el sistema de seguridad de la información.

 La alta dirección debe apoyar visiblemente la seguridad de la información en la

compañía.

Aspectos organizativos para la seguridad

 Gestionar la seguridad de la información dentro de la organización.

26
 Mantener la seguridad de los recursos de tratamiento de la información y de los activos

de información de la organización que son accedidos por terceros.

 Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se

ha externalizado a otra organización.

 Debe diseñarse una estructura organizativa dentro de la compañía que defina las

responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo

relacionada con los sistemas de información de cualquier forma.

 Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no

son exclusivamente técnicos.

Clasificación y control de activos

 Mantener una protección adecuada sobre los activos de la organización.

 Asegurar un nivel de protección adecuado a los activos de información.

 Debe definirse una clasificación de los activos relacionados con los sistemas de

información, manteniendo un inventario actualizado que registre estos datos, y

proporcionando a cada activo el nivel de protección adecuado a su criticidad en la

organización.

Seguridad ligada al personal

 Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y

los servicios.

 Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la

seguridad de la información, y que están preparados para sostener la política de seguridad

de la organización en el curso normal de su trabajo.

27
 Minimizar los daños provocados por incidencias de seguridad y por el mal

funcionamiento, controlándolos y aprendiendo de ellos.

 Las implicaciones del factor humano en la seguridad de la información son muy elevadas.

 Todo el personal, tanto interno como externo a la organización, debe conocer tanto las

líneas generales de la política de seguridad corporativa como las implicaciones de su

trabajo en el mantenimiento de la seguridad global.

 Diferentes relaciones con los sistemas de información: operador, administrador, guardia

de seguridad, personal de servicios, etc.

 Procesos de notificación de incidencias claros, ágiles y conocidos por todos.

Seguridad física y del entorno

 Evitar accesos no autorizados, daños e interferencias contra los locales y la información

de la organización.

 Evitar pérdidas, daños o comprometer los activos así como la interrupción de las

actividades de la organización.

 Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de

información.

 Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas

en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo

factible de índole física (robo, inundación, incendio...).

Gestión de comunicaciones y operaciones

 Asegurar la operación correcta y segura de los recursos de tratamiento de información.

 Minimizar el riesgo de fallos en los sistemas.

 Proteger la integridad del software y de la información.

28
 Mantener la integridad y la disponibilidad de los servicios de tratamiento de información

y comunicación.

 Asegurar la salvaguarda de la información en las redes y la protección de su

infraestructura de apoyo.

 Evitar daños a los activos e interrupciones de actividades de la organización.

 Prevenir la pérdida, modificación o mal uso de la información intercambiada entre

organizaciones.

 Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas

críticos para el negocio.

Control de accesos

 Controlar los accesos a la información.

 Evitar accesos no autorizados a los sistemas de información.

 Evitar el acceso de usuarios no autorizados.

 Protección de los servicios en red.

 Evitar accesos no autorizados a ordenadores.

 Evitar el acceso no autorizado a la información contenida en los sistemas.

 Detectar actividades no autorizadas.

 Garantizar la seguridad de la información cuando se usan dispositivos de informática

móvil y teletrabajo.

 Se deben establecer los controles de acceso adecuados para proteger los sistemas de

información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones,

redes, etc.

29
Desarrollo y mantenimiento de sistemas

 Asegurar que la seguridad está incluida dentro de los sistemas de información.

 Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

 Proteger la confidencialidad, autenticidad e integridad de la información.

 Asegurar que los proyectos de Tecnología de la Información y las actividades

complementarias son llevadas a cabo de una forma segura.

 Mantener la seguridad del software y la información de la aplicación del sistema.

 Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida

del software en una organización: especificación de requisitos, desarrollo, explotación,

mantenimiento...

Gestión de continuidad del negocio

 Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos

frente grandes fallos o desastres.

 Todas las situaciones que puedan provocar la interrupción de las actividades del negocio

deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados.

 Los planes de contingencia deben ser probados y revisados periódicamente.

 Se deben definir equipos de recuperación ante contingencias, en los que se identifiquen

claramente las funciones y responsabilidades de cada miembro en caso de desastre.

Conformidad

 Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y

de cualquier requerimiento de seguridad. 9Garantizar la alineación de los sistemas con la

política de seguridad de la organización y con la normativa derivada de la misma.

30
 Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría

de sistemas.

 Se debe identificar convenientemente la legislación aplicable a los sistemas de

información corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrándola en el

sistema de seguridad de la información de la compañía y garantizando su cumplimiento.

 Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para

garantizar la detección de desviaciones con respecto a la política de seguridad de la

información.

31
 Conclusiones

 Se concluye que las normas ISO, tienen una base transcendental dentro de cualquier

organización con intenciones de una mejor gestión.

 Se concluye que la Seguridad de Información en los últimos tiempos es de vital

importancia en las organizaciones, por ende las numerables directrices suministradas por

las normas ISO deben estar acorde a la situación de la empresa.

 Se concluye que el presente trabajo íbamos a exponerlo el 14 (jueves del presente mes),

por que pazo.

 La ISO 27001 permite una operativa basada en la seguridad y la excelencia en el

tratamiento de la información en la organización, que se traducen en un mejor servicio

con una menor inversión

32
Recomendaciones

33
 Referencias

 https://advisera.com/27001academy/es/que-es-iso-27001/

 http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Novedades

%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf

 https://www.isotools.cl/isoiec-27004/

 http://www.monografias.com/trabajos-pdf/iso/iso2.shtml

 https://www.pmg-ssi.com/2016/06/la-norma-iso-27002-complemento-para-la-iso-

27001/

 https://www.pmg-ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/

34