Video: La familia de las normas ISO/IEC
27000 – SGSI
27001 certificable
Objetivos de la norma:
● Asegurar la continuidad del negocio y de las operaciones de la organización.
● Reducir al mínimo los riesgos y los daños causados por una contingencia.
● Optimizar la inversión en tecnologías de la información.
Bajo tres pilares (CID / CIA) PILARES DEL SGSI:
1. Confidencialidad (Confindentiality).
2. Integridad (Integrity).
3. Disponibilidad (Availability)
+ 27001: contiene los requisitos del sistema de gestión de seguridad de la información.
1. Definir una política de Seguridad de la información, planificar y adoptar
acciones preventivas y correctivas
2. Definir un enfoque sistemático de valoración de riesgo, implementar procesos
y controles
3. Declaración de aplicabilidad: plan de acción, documentos con los controles
cómo se van a implementar, los costos
Estructura de la norma
- Alcance de la norma
- referencias normativas
- términos y definiciones
- Contexto: conocer las necesidades de las partes interesadas, las ventajas y
desventajas de la organización
- Liderazgo: el compromiso, las políticas, las responsabilidades y autoridades
- Planificación: planificar las acciones ante riesgos u oportunidades. Planificar los
objetivos.
- Apoyo/soporte: ver la competencia, los recursos, documentar
- Operación: evaluación y tratamiento de los riesgos
- Evaluación del desempeño: medir, monitorear, revisión de la dirección
- Mejora Continua: acciones correctivas, no conformidad
Riesgos
● definir el enfoque de evaluación de riesgo: una metodología de evaluación de riesgo
identificar niveles de riesgos aceptables
● Identificar los riesgos: activos, amenazas, vulnerabilidades
● Analizar y evaluar riesgos: evaluar el impacto en las actividades del negocio, las
pérdidas, evaluar la posibilidad de que ocurra, determinar si se debe aceptar el
riesgo o buscar un tratamiento para este
● Resultado de la evaluación: los resultados funcionan como guías
● Identificar y evaluar las opciones de tratamiento de riesgo: aplicar controles, aceptar
los riesgos, transferirlos.
● Seleccionar los objetivos de control y los controles para el tratamiento de riesgos.
● Obtener la aprobación de la alta dirección sobre los riesgos residuales.
● Obtener la autorización de la alta dirección para implementación y operar el SGSI.
� ● Confeccionar un SOA (Declaración de Aplicabilidad – Statement of Applicability).
+ 27002 no certificable guia buenas practicas recomendables del SGSI. los dominios
son categorías principales que agrupan los controles de seguridad de la
información. Esta norma proporciona directrices para implementar controles de
seguridad que ayudan a proteger la confidencialidad, integridad y disponibilidad
+ 27003: no certificable, guia para diseño e implementación de un SGSI
+ 27004: no certificable, guía para el desarrollo y utilización de métricas y técnicas
aplicables para determinar la eficacia de un SGSI
+ 27005 no certificable directrices para la gestión de riesgos.
1. establecer el contexto
2. evaluar el riesgo
3. Planificar el tratamiento
4. aceptar el tratamiento
5. implementarlo
6. seguirlo
7. mantenimiento
+ 27006: requisitos para la acreditación de entidades de auditoría
+ 27007: no certificable complemento para la auditoría de SGSI
+ 27008: no certificable, guía de auditoría de los controles seleccionados en el marco
de implantación de un SGSI
+ 27009: no certificable requisitos para el uso de la norma 27001
+ 27010: guia para la gestion de la seguridad de la información cuando se comparte
entre sectores
+ 27011: guia para la implementación de un SGSI para el sector de
telecomunicaciones
+ 27013: guia de implementacion de la 27001 a 5
Seguridad de la información: asegurar todos los activos de información de la organización.
Se encarga de clasificar la información, analizar los riesgos, implementar controles, hacer
un marco normativo, etc
Seguridad informática: almacenada en medios informáticos. Diseña normas y
procedimientos para proteger el sistema de información
Bajo tres pilares (CID / CIA) PILARES DEL SGSI:
1. Confidencialidad (Confindentiality): solo accede el personal autorizado. La
información no puede ser revelada. Privacidad protege la información de individuos
2. Integridad (Integrity): la modificación de la información debe estar regularizada.
Garantiza exactitud y fiabilidad. Debe tener consistencia interna (sector informático)
y externa (vida real).
3. Disponibilidad (Availability): Todo el personal autorizado debe poder acceder a los
datos cuando necesite. Debe poder prevenir pérdidas.
Operación de un SGSI:
�Evaluación de los riesgo en materia de seguridad:
hay que ver el máximo nivel permitido de riesgos y encontrar los controles pertinentes para
proteger los recursos
