RESUMEN DE LOS ISOS

RESUMEN ISO 270001

Las empresas publicas y privadas manejan una gran cantidad de datos importantes y
confidenciales por lo que es necesario contar con un sistema de seguridad.
El SGSI basada en las normas del ISO 27001 permite evaluar todo tipo de riesgos o amenazas
que puedan poner en peligro a una organización. También permite establecer el control y
estrategias adecuadas para minimizar los posibles riesgos. A través de los siguientes pasos
cada una con diversas acciones.
Planificar: definir políticas de seguridad, establecer el alcance del sistema de gestión de la
seguridad.
Hacer: Implantar el plan de gestión de riesgos, implantar el SGSI, implantar los controles.
Controlar: Revisar internamente el SGSI, poner en marcha indicadores y métricas.
Actuar: Adoptar acciones correctas y acciones de mejora.
Las normas del ISO 27001 establecen una serie de fases para elaborar un SGSI.
1. Análisis y evaluación de riesgo.
2. Implementación de controles.
3. Definición de un plan de tratamiento de los riesgos o esquemas de mejora.
4. Alcance de la gestión.
5. Contexto de la organización.
6. Partes interesadas.
7. Fijación y medición de objetivos.
8. Proceso documental.
9. Autorías internas y externas.
Análisis y evaluación de riesgos
Para poder establecer una evaluación y planificación de riesgos es necesario comenzar
identificar y analizar las posibles amenazas que pongan en riesgo los activos de la entidad ya
sea recursos humanos y material.
A pesar de las medidas de seguridad implementadas, no es posible eliminar totalmente el
riego debido a diferentes motivos que se presentan en la organización ya sea presupuestal o
algún descuido del personal que labora en esa área. Por lo que es necesario definir una
estructura organizacional seleccionando al personal idóneo que se responsabilice de sus actos.
Implementación de controles
Cada empresa u organización es libres de implementar más puntos de control según sea
necesario, pero siempre alineándose a lo que realmente pide las normas del ISO 27001.
Definición de un plan de tratamiento de los riesgos o esquema de mejor
Luego de haber realizado un análisis, es necesario definir un esquema de mejora para
permitirle a la empresa eliminar, mitigar o trasladar el riesgo. Es necesario establecer un
rango para cada control, el proceso de cambio y mejora continua hace posible comprobar la
eficacia de los controles y si es necesario realizar modificaciones necesarias.
El alcance de la gestión
Para la implementación de un SGSI es importante definir el alcance que tendrá, porque no
todas las organizaciones cuentan con igual número de personal o áreas de suma importancia.
Por lo general, las áreas que se deben considerar son las que en primera instancia ayudan a
cumplir su objetivo principal.
Contexto de organización
El contexto organización es importante analizarlo ya que nos ayudara a identificar los
posibles problemas internos y externos, así como sus debilidades, fortalezas, oportunidades y
amenazas.
Partes interesadas
Fijación y medición de objetivos
En importante fijarnos un objetivo para la gestión de riesgos que debe ser medible y ser
comunicados a todo el personal que labora en la organización además cada objetivo debe estar
asociado a indicadores que permitan realizar un seguimiento del cumplimiento de las
actividades.
El proceso documental
El proceso documental es muy estricto exigiendo a las organizaciones que cuenten con un
procedimiento documentado para gestionar la información. Este documento puede ser
presentado en diversos formatos y pueda ser consultado en cualquier momento
Auditorías internas y revisión por la dirección
Las auditorías internas se llevan a cabo cada cierto tiempo para poder determinar si se
encuentra en un estado idóneo. Se pueden realizar dos tipos de auditorías internas de gestión y
controles, en el que se supervisan el liderazgo y el entorno y en el que se auditan los 113
controles.
RESUMEN ISO 27002
La norma ISO 27002 proporciona recomendaciones de las mejores prácticas en la gestión de
la seguridad de la información para poder preservar la confidencialidad, integridad y
disponibilidad. Describe 14 dominios principales cada uno con métricas exactas que deben ser
observadas para su correcta implantación.
1. Políticas de seguridad.
2. Organización de la seguridad de la información.
3. Seguridad de los recursos humanos.
4. Gestión de los activos.
5. Control de accesos.
6. Cifrado.
7. Seguridad física y ambiental.
8. Seguridad en las operaciones.
 9. Seguridad de las telecomunicaciones.
10. Adquisición de los sistemas, desarrollo y mantenimiento.
11. Relaciones con los proveedores.
12. Gestión de los incidentes que afectan a la seguridad de la información.
13. Aspectos de seguridad de la información para la gestión de la continuidad del negocio.
14. Cumplimiento.
RESUMEN ISO 27003
Las normas del ISO 27003 tiene como objeto y campo de aplicación los aspectos críticos
necesarios para el diseño e implementación exitosa de un sistema de gestión de la seguridad
de la seguridad de acuerdo al ISO 27001.
La estructura general del ISO 27003, explica la implementación de un SGSI enfocado en la
iniciación, planificación y definición del proyecto que contiene 5 fases:
a. Obtener la aprobación gerencial para iniciar un proyecto SGSI.
b. Definir el acceso del SGSI y la política del SGSI.
c. Realizar un análisis de la organización.
d. Planificar el tratamiento del riego.
e. Diseñar el SGSI.
Fases para la implantación del SGSI son 4:
 Definir el alcance, límites y políticas del SGSI
 Realizar un análisis de requerimientos de seguridad de la información
 Realizar una evaluación del riesgo y planificar el tratamiento del riesgo
 Diseñar el SGSI
Como paso final realizar un análisis de la organización identificando los activos de la
organización dentro del alcance de SGSI y evaluando la seguridad de la implementación en
relación a los recursos humanos.
RESUMEN ISO 27004
Las normas del ISO se basan sobre el modelo PDCA que es un ciclo continuo. Una
organización debe describir como se interrelacionan e interactúan el SGSI y las mediciones
desarrollando guías que aseguran, aclaren y documenten esta relación con todos los detalles
posibles.
Los objetivos de estos procesos son:
 Evaluar el proceso de la implementación de los controles de seguridad.
 Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
 Proveer estados de seguridad que guíen las revisiones del SGSI facilitando mejoras a
la seguridad y nuevas entradas para auditar.
 Comunicar valores de seguridad a la organización.
 Servir como entradas al plan de análisis y tratamiento de riesgos.
El modelo y métodos para las mediciones de la seguridad
Se debe desarrollas un programa de como ejecutar las mediciones de la seguridad de la
información las mediciones que aporten decisiones, o determina la eficiencia de la seguridad
será el éxito de este programa. Este modelo debe describir como estos atributos son
cuantificados y convertidos a indicadores que prevean bases para la toma de decisiones, como
primer paso es definir los atributos más relevantes y para definir como los atributos deben ser
medidos se utilizan dos métodos. Subjetivos que indican el recurso humano y objetivos
basada en una regla numérica.
Podemos asociar la medición con determinadas escalas:
Nominal: Los valores son categóricos.
Ordinal: los valores son ordenados.
Intervalos: Se poseen máximos y mínimos con distancias entre ellos.
Ratio: Tienen escalas de distancias, relacionadas a mediciones.
Definición y selección de las mediciones en un SGSI
La norma específica también, como desarrollar las mediciones para poder cuantificar la
eficiencia de un SGSI, sus procesos y controles. Ya que podrían ser requeridos para.
 Mejora de procesos, certificación de un SGSI, mejoras en la implementación,
operaciones o gestión organizacional, etc.
Los pasos a seguir para el establecimiento y operación de un programa de mediciones son:
 Definición de los procesos
 El desarrollo de mediciones aplicables
 La implementación del programa
 Revisión de mediciones
Operaciones de las mediciones del SGSI
Las mediciones deben encontrarse totalmente integradas al SGSI incluyendo:
 Definición y documentación de roles y responsabilidades que