Taller ISO 27001

Autores:
Israel Pulido Montes
Brayam Francisco Maldonado Ortega

Corporación Universitaria Minuto de Dios

Facultad de ingeniería
Tecnología en Gestión de Seguridad en Redes de Computadores
Seguridad en Redes NRC 20513
Bogotá, noviembre de 2018
 Implementación ISO 27001

Contenido

1. Obtener el apoyo de la dirección

2. Tomarlo como un proyecto
3. Definir el alcance
4. Redactar una Política de SGSI
5. Definir la metodología de Evaluación de riesgos
6. Realizar la evaluación y el tratamiento de riesgos
7. Redactar la Declaración de aplicabilidad
8. Redactar el Plan de tratamiento del riesgo
9. Determinar cómo medir la eficacia de los controles
10. Implementación de controles y procedimientos obligatorios
11. Implementar programas de capacitación y concienciación
12. Hacer funcionar el SGSI
13. Supervisión del SGSI
14. Auditoría interna
15. Revisión por parte de la dirección
16. Medidas correctivas y preventivas

1) Obtener el apoyo de la dirección

Al momento de presentar el proyecto de la implementación de la norma casi siempre

se obtiene un rechazo por parte de la dirección ya sea por falta de dinero y personal
para realizar la implementación en la empresa.
Se debe tener en cuenta ciertos factores para poder tener éxito en el momento de
pasar la propuesta con el área encargada.
 Cumplimiento: si la empresa donde se desea implementar hay que demostrar el
retorno de la inversión, si una organización debe cumplir con varias regulaciones
relacionadas con la protección de datos, la privacidad y el gobierno de TI la
norma seria ejemplar.
 ventaja de marketing: En un mercado cada vez más competitivo, a veces es muy
difícil encontrar algo que lo diferencie a los ojos de sus clientes. ISO 27001
podría ser un punto de venta único, especialmente si maneja la información
confidencial de los clientes
 Bajar los gastos: La seguridad de la información generalmente se considera
como un costo sin una ganancia financiera evidente. Sin embargo, hay una
ganancia financiera si reduce sus gastos causados por incidentes. Es probable
que tenga una interrupción en el servicio, una fuga de datos ocasional o
empleados descontentos
 Poner en orden tu negocio: una empresa que ha experimentado un fuerte
crecimiento durante los últimos años, podría tener problemas como: quién tiene
que decidir qué, quién es responsable de ciertos activos de información, quién
 tiene que autorizar el acceso a sistemas de información etc. ISO 27001 es
particularmente bueno para clasificar estas cosas: lo obligará a definir con
precisión tanto las responsabilidades como los deberes y, por lo tanto,
fortalecerá su organización interna.

2. Tomarlo como un proyecto

la implementación de la norma ISO 27001 es un tema complejo que involucra

diversas actividades, a muchas personas y puede demandar varios meses Si no
define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo
es probable que nunca termine el trabajo

3. Definir el alcance

el primer paso en la implementación de ISO 27001 es definir el alcance

. probablemente este paso puede causarle muchos problemas. muchas empresas
están tratando de disminuir sus costos de implementación reduciendo el alcance,
pero a menudo se encuentran en una situación en la que tal alcance les causa dolor
de cabeza. cuando el ámbito de la norma ISO 27001 no es la organización completa
es que el Sistema de gestión de la seguridad de la información (SGSI) debe tener
interfaces con el mundo "externo"; en ese contexto, el mundo exterior no son solo
los clientes, socios, proveedores, [Link] departamentos de la organización que no
están dentro del alcance, debe ser tratado de la misma manera que un proveedor
externo.
Por ejemplo, si elige que solo su departamento de TI está dentro de su alcance, y
este departamento está utilizando los servicios del departamento de compras, el
departamento de TI debe realizar una evaluación de riesgos de su departamento de
compras para identificar si existe algún riesgo para la información para que el
departamento de TI es responsable; además, esos dos departamentos deben firmar
los términos y condiciones de los servicios prestados.
certificar que, dentro de su alcance, usted puede manejar la información de manera
segura, mientras que no puede verificar ninguno de sus departamentos fuera del
alcance. La única manera de manejar esta situación es tratar a los departamentos
fuera del alcance como si fueran un cliente externo

4. Redactar una Política de SGSI

ISO 27001 requiere que la Política del Sistema de Gestión de Seguridad de la

Información (SGSI), ya que el documento de mayor rango contiene lo siguiente: el
marco para establecer objetivos, teniendo en cuenta diversos requisitos y
obligaciones, se alinea con el contexto de gestión de riesgos estratégicos de la
organización y establece la evaluación de riesgos criterios. Las políticas detalladas
deben estar destinadas al uso operativo y centrarse en un campo más estrecho de
las actividades de seguridad. Ejemplos de tales políticas son: Política de
clasificación, Política de uso aceptable de activos de información, Política de
respaldo, Política de control de acceso, Política de contraseña, Política de escritorio
y pantalla transparente, Política de uso de servicios de red, Política de informática
móvil, Política de uso de controles criptográficos, etc. Nota: ISO 27001 no requiere
que todas estas políticas se implementen y / o documenten, ya que la decisión de
si dichos controles son aplicables y en qué medida, depende de los resultados de
la evaluación de riesgos. Dicha política debería ser realmente muy corta (tal vez una
o dos páginas) porque su objetivo principal es que la alta gerencia pueda controlar
su SGSI.

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es un proceso durante el cual una organización debe

identificar los riesgos de seguridad de la información que determinan su probabilidad
e impacto,
la organización debe reconocer todos los problemas potenciales con su información,
la probabilidad de que ocurran y las consecuencias. El propósito de la evaluación
de riesgos es descubrir qué controles son necesarios para disminuir el riesgo: la
selección de controles se denomina proceso de tratamiento de riesgos, y en ISO
27001 especifica 133 controles.
La evaluación de riesgos se lleva a cabo mediante la identificación y evaluación de
activos, vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor
para la organización: hardware, software, personas, infraestructura, datos (en
diversas formas y medios), proveedores y socios, etc. Una vulnerabilidad es una
debilidad en un activo, proceso, control, etc. que podría ser explotado por una
amenaza; una amenaza es cualquier causa que puede causar daño a un sistema u
organización. Un ejemplo de una vulnerabilidad es la falta de software antivirus; Una
amenaza relacionada es el virus informático.

6. Realizar la evaluación y el tratamiento de riesgos

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no

aceptables, se debe redactar un Informe sobre la evaluación de riesgos que
documente todos los pasos tomados durante el proceso de evaluación y tratamiento
de riesgos. También es necesario conseguir la aprobación de los riesgos residuales;
ya sea en un documento separado o como parte de la Declaración de aplicabilidad.
Dependiendo lo grande que sea la empresa puede tomar tiempo de varios meses,
por lo cual es aconsejable planificar y destinar los recursos adecuadamente.

7. Redactar la Declaración de aplicabilidad

Al finalizar el proceso de tratamiento de riesgos, sabrá exactamente qué controles

del Anexo necesita (hay un total de 114 controles, pero, probablemente, no los
necesite a todos). El objetivo de este documento (generalmente denominado DdA)
es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir
los motivos de esa decisión, los objetivos que se lograrán con los controles y
describir cómo se implementarán.
La Declaración de aplicabilidad también es el documento más apropiado para
obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Este documento es un plan de implementación enfocado sobre los controles; sin el

cual, no se podría coordinar los pasos siguientes del proyecto.
El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se
implementarán los controles de la Declaración de Aplicabilidad (DdA), quién lo hará,
cuándo, con qué presupuesto, etc.

9. Determinar cómo medir la eficacia de los controles

El tema es si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de
que ha logrado el objetivo? debe asegurarse de que cada uno de los objetivos
planteados de toda el área de SGSI(Sistema de Gestión de Seguridad de la
Información) se hayan cumplido al pie de la letra de cuando se plantearon
garantizando su cumplimiento y que si se están desarrollando sea bajo los
parámetros determinados.

10. Implementación de controles y procedimientos obligatorios

Es la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación

de nuevas tecnologías, pero, sobre todo, la implementación de nuevas conductas
en su organización. en la ISO/IEC 27001 de 2013 hay unos documentos obligatorios
y otros no como:

Documentos obligatorios y registros requeridos por ISO 27001:2013

 El alcance del sistema de gestión de seguridad de la información (cláusula 4.3)
 Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2)
 Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2)
 Declaración de aplicabilidad (cláusula 6.1.3 d)
 Plan de tratamiento de riesgo (cláusula 6.1.3 e y 6.2)
 Informe sobre evaluación de riesgos (cláusula 8.2)
 Definición de roles y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4)
 Inventario de activos (cláusula A.8.1.1)
 Uso aceptable de los activos (cláusula A.8.1.3)
 Política de control de acceso (cláusula A.9.1.1)
 Procedimientos de operación para gestión de TI (cláusula A.12.1.1)
 Principios de ingeniería de sistemas seguros (cláusula A.14.2.5)
 Política de seguridad para proveedores (cláusula A.15.1.1)
  Procedimiento para gestión de incidentes (cláusula A.16.1.5)
 Procedimientos de Continuidad de negocio (cláusula A.17.1.2)
 Requerimientos legales, regulatorios y contractuales (cláusula A.18.1.1)
Y aquí están los registros obligatorios:
 Registros de formación, habilidades, experiencia y calificaciones (cláusula 7.2)
 Seguimiento y resultados de medición (cláusula 9.1)
 Programa de auditoria interna (cláusula 9.2)
 Resultados de auditorías internas (cláusula 9.2)
 Resultados de la Revisión por Dirección (cláusula 9.3)
 Resultados de acciones correctivas (cláusula 10.1)
 Registros de las actividades de usuario, excepciones y eventos de seguridad
(cláusulas A.12.4.1 y A.12.4.3)

Documentos no obligatorios

 Procedimiento para control de documentos (cláusula 7.5)

 Controles para la gestión de registros (cláusula 7.5)
 Procedimiento para auditoría interna (cláusula 9.2)
 Procedimiento para acciones correctivas (cláusula 10.1)
 Política BYOD (Bring Your Own Device = Trae tu propio dispositivo) (cláusula A.6.2.1)
 Política de dispositivo sobre dispositivos móviles y tele-trabajo (cláusula A.6.2.1)
 Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3)
 Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3)
 Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7)
 Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5)
 Política de pantalla y escritorio limpios (cláusula A.11.2.9)
 Política de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4)
 Política de Copias de seguridad (cláusula A.12.3.1)
 Política de transferencia de información (cláusulas A.13.2.1, A.13.2.2, y A.13.2.3)
 Análisis de impacto en el negocio (BIA) (cláusula A.17.1.1)
 Plan de pruebas y verificación (cláusula A.17.1.3)
 Plan de mantenimiento y revisión (cláusula 17.1.3)
 Estrategia de continuidad de negocio (cláusula A.17.2.1)

11. Implementar programas de capacitación y concienciación

primero se les debe explicar a los empleados por qué son necesarias las políticas y
procedimientos y posteriormente se les debe capacitar para que puedan actuar
según lo esperado. ya que la falta de estas actividades son el segundo motivo
principal por el fracaso del proyecto para la implementación de la norma ISO 27001

12. Hacer funcionar el SGSI

la ISO 27001 es una rutina diaria es una rutina diaria dentro de su organización. La
palabra más importante aquí es: “registros”. donde usted puede supervisar qué está
sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando
sus tareas según lo requerido. ya que las auditorías siempre se fijan en los registros
donde se ve si realmente se están haciendo las actividades realmente, pero sobre
todo permite a una organización poder tener la garantía que los procesos se hacen
tal y como se tienen presupuestados y hacer un mejor rendimiento en su
organización.

13. Supervisión del SGSI

En este paso es donde se cruzan los objetivos de los controles con la metodología
de medición; se debe verificar si los resultados que obtiene cumplen con lo que se
estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe
aplicar medidas correctivas y/o preventivas que permitan que se cumplan todas las
metas planteadas.

14. Auditoría interna

Las auditorías internas nos ayudarán a verificar si algún miembro de nuestra

organización está incumpliendo con las normas establecidas dentro de las políticas
de implementación de la ISO 27001, la idea con las auditorías internas es poder
descubrir problemas que se están presentando antes que nos perjudique la
operatividad de la organización.

15. Revisión por parte de la dirección

La dirección no debe realizar la configuración del cortafuego de la organización, pero sí

debe estar plenamente al tanto de lo que está pasando en el SGSI si se tienen todos los
controles y procesos y se están ejecutando adecuadamente en cumplimiento a la norma.
La dirección si debe tomar decisiones importantes cuando se van a llevar acabo

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las
denominadas “no conformidades”) sea corregido o, evitado. Por lo tanto, la norma
ISO 27001 requiere que las medidas correctivas y preventivas se apliquen
sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se
solucione y se controle.