ISO 27001

Seguridad de la información

04/08/2024
 PRESENTACIÓN

• Laboratorios Carval
• Alcaldia de cali
• Decorceramica
• Coomeva EPS
• CEM
Fernando Alberto Velasquez Aguilera • Cenicaña
| CSFPC | LCSPC | I27001IA | 11.S198x | SFPC | OWASP |
• Tucompra
• ARKA
[Link]
DESCRIPCION • ISO 27001 es una norma internacional que
proporciona un marco para implementar y
gestionar un Sistema de Gestión de Seguridad
de la Información (SGSI) en una
organización. Desarrollada por la
Organización Internacional de Normalización
(ISO) y la Comisión Electrotécnica
Internacional (IEC), establece requisitos para
identificar, analizar y abordar riesgos de
seguridad de la información. La certificación
ISO 27001 demuestra el compromiso de una
organización con la protección de datos y la
privacidad, mejorando la confianza de
clientes y socios. Además, facilita el
cumplimiento de leyes y regulaciones
aplicables, mejorando la resiliencia y la
continuidad del negocio.

04/08/2024
SGSI • Un SGSI, o Sistema de Gestión de
Seguridad de la Información, es un enfoque
estructurado y sistemático para proteger y
gestionar la información confidencial de una
organización. Está diseñado para identificar,
evaluar y minimizar los riesgos de seguridad
de la información, garantizando la
confidencialidad, integridad y disponibilidad
de los datos. El SGSI se basa en políticas,
procesos, procedimientos y controles de
seguridad, tanto técnicos como no técnicos,
que se adaptan a las necesidades y objetivos
específicos de cada organización. La
implementación de un SGSI ayuda a
prevenir brechas de seguridad, asegura la
continuidad del negocio y mejora la
reputación de la organización en cuanto a la
protección de datos.

04/08/2024
LA SEGURIDAD DE • La seguridad de la información es la protección
LA INFORMACIÓN de datos digitales y no digitales contra accesos
no autorizados, divulgación, modificación,
destrucción o interrupción. Se centra en
garantizar la confidencialidad, integridad y
disponibilidad de la información. La
confidencialidad implica que solo personas
autorizadas puedan acceder a los datos; la
integridad se refiere a la precisión y
consistencia de la información a lo largo del
tiempo; y la disponibilidad asegura que los
datos estén accesibles cuando sean requeridos.
La seguridad de la información abarca
políticas, procesos, procedimientos y medidas
técnicas para proteger y gestionar activos de
información, previniendo pérdidas financieras,
legales y reputacionales.

04/08/2024
ANEXO A • El Anexo A de la norma
ISO 27001 es un conjunto
de 114 controles de
seguridad, organizados en
14 dominios y
categorizados en 35
categorías. Estos controles
sirven como directrices
para abordar los riesgos
identificados en el proceso
de evaluación de riesgos.

04/08/2024
ANEXO A •

•
Los 14 dominios son:
Política de seguridad (2)
• Organización de la información (7)
• Seguridad en los recursos humanos (6)
• Gestión de activos (10)
• Control de acceso (14)
• Criptografía (2)
• Seguridad física y del entorno (15)
• Gestión de comunicaciones y operaciones (7)
• Adquisición, desarrollo y mantenimiento de
sistemas (13)
• Gestión de incidentes de seguridad (7)
• Aspectos de continuidad del negocio (4)
• Cumplimiento (8)
• Relaciones con proveedores y Seguridad en el
desarrollo y soporte de sistemas. (5)
• Estos controles son adaptables según las
necesidades específicas de cada organización.

04/08/2024
ANEXO A • Distribución de los 14
dominios.

04/08/2024
A5. POLÍTICA 2 Controles
Este dominio establece la importancia de
DE SEGURIDAD una política de seguridad de la
información que refleje los objetivos y el
enfoque de la organización. La política
debe ser aprobada por la alta dirección,
comunicada a todas las partes interesadas
y revisada periódicamente. Incluye la
definición de roles y responsabilidades, y
proporciona un marco de referencia para
la toma de decisiones en relación con la
seguridad de la información. La política
también debe ser fácilmente
comprensible y accesible, y debe ser
compatible con los requisitos legales,
regulatorios y contractuales aplicables.

04/08/2024
A6. ORGANIZACIÓN 7 Controles

DE LA Este dominio se centra en la estructura

organizativa y la asignación de

INFORMACIÓN responsabilidades para gestionar la

seguridad de la información. Incluye la
definición de roles y responsabilidades, la
segregación de funciones y la coordinación
entre las partes interesadas. También aborda
la importancia de establecer mecanismos
para proteger la información durante el
intercambio con terceros, como acuerdos de
confidencialidad y la evaluación de riesgos
en las relaciones con terceros. Se enfatiza la
necesidad de establecer un foro de
seguridad de la información y un enfoque
proactivo para identificar y tratar las
cuestiones de seguridad.
04/08/2024
A7. SEGURIDAD 6 Controles

EN LOS RECURSOS El dominio de seguridad en los recursos

humanos destaca la importancia de
HUMANOS garantizar que los empleados, contratistas y
terceros entiendan sus responsabilidades en
materia de seguridad de la información. Esto
incluye la realización de controles previos al
empleo, la capacitación y concientización en
seguridad de la información, y la
implementación de procedimientos
disciplinarios en caso de incumplimiento de
las políticas y procedimientos de seguridad.
También aborda la importancia de gestionar
las cuestiones de seguridad relacionadas con
la terminación o cambio de empleo, como la
devolución de activos y la revocación de
privilegios de acceso.

04/08/2024
A8. GESTIÓN DE 10 Controles
Este dominio se refiere a la identificación,
ACTIVOS clasificación y protección adecuada de los
activos de información. Los activos de
información deben ser inventariados y
clasificados según su importancia,
sensibilidad y valor para la organización.
La clasificación debe ser coherente y
comprensible, y debe ser revisada
periódicamente. Además, se deben
establecer responsabilidades de gestión y
protección para cada activo. El dominio
también aborda el uso adecuado de activos,
como dispositivos móviles y medios
extraíbles, y la importancia de la gestión y
protección de la información durante todo
su ciclo de vida.
04/08/2024
A9. CONTROL 14 Controles
El control de acceso es esencial para
DE ACCESO garantizar que solo personas autorizadas
puedan acceder a información y recursos
sensibles. Este dominio aborda la necesidad
de establecer políticas y procedimientos de
control de acceso basados en el principio de
mínimo privilegio, que limita el acceso a lo
estrictamente necesario para desempeñar las
funciones laborales. También cubre la
autenticación de usuarios, la gestión de
contraseñas, la autorización y la
monitorización del acceso a la información.
Además, se consideran aspectos de control
de acceso en redes, aplicaciones y sistemas
operativos, así como la prevención y
detección de accesos no autorizados.

04/08/2024
A 1 0 . C R I P TO G R A F Í A 2 Controles
La criptografía es esencial para proteger la
confidencialidad, integridad y autenticidad
de la información. Este dominio aborda la
necesidad de utilizar técnicas criptográficas
adecuadas para proteger los datos, tanto en
reposo como en tránsito. Las
organizaciones deben establecer políticas y
procedimientos para la selección y uso de
algoritmos criptográficos, la gestión de
claves criptográficas y la protección de los
dispositivos y sistemas que implementan la
criptografía. También se incluyen aspectos
relacionados con la firma digital y el
cifrado de correo electrónico, garantizando
que se utilicen métodos seguros y
actualizados.
04/08/2024
A11. SEGURIDAD 15 Controles

FÍSICA Y DEL Este dominio se centra en proteger los

recursos físicos y el entorno en el que se

ENTORNO encuentra la información. Incluye medidas

para prevenir el acceso no autorizado a
instalaciones y áreas sensibles, como
sistemas de control de acceso, vigilancia y
alarmas. También aborda la protección
contra desastres naturales, incendios,
inundaciones y otros riesgos ambientales.
Las organizaciones deben garantizar la
seguridad de equipos y dispositivos de TI,
como servidores, estaciones de trabajo y
dispositivos móviles, y considerar la
disposición y protección de los centros de
datos y las áreas de trabajo, incluida la
protección contra robos y daños.
04/08/2024
A12. GESTIÓN 15 Controles
Este dominio aborda la necesidad de
DE establecer procedimientos y controles
operacionales para garantizar la seguridad,
OPERACIONES disponibilidad e integridad de los sistemas y
servicios de TI. Incluye la gestión de redes,
servidores, aplicaciones, bases de datos y
servicios en la nube, así como la
monitorización y revisión de eventos de
seguridad y registros de auditoría. También se
consideran aspectos como la gestión de
parches, las copias de seguridad, la
protección contra malware y la seguridad en
la transmisión de datos. Las organizaciones
deben establecer políticas y procedimientos
para abordar las vulnerabilidades y amenazas
emergentes, y garantizar la continuidad y
recuperación ante desastres.
04/08/2024
A13. SEGURIDAD DE
7 Controles
LAS COMUNICACIONES
La seguridad de las comunicaciones es
un aspecto fundamental de la
ciberseguridad y la protección de la
información, que se enfoca en
salvaguardar los datos transmitidos
entre dispositivos, sistemas o personas,
contra interceptaciones, manipulaciones
o accesos no autorizados. Este dominio
abarca una amplia gama de tecnologías,
protocolos, prácticas y medidas de
seguridad diseñadas para proteger la
integridad, confidencialidad y
disponibilidad de la información
mientras se encuentra en tránsito.

04/08/2024
A14. ADQUISICIÓN, 15 Controles
DESARROLLO Y Este dominio se enfoca en garantizar que los
sistemas de información y aplicaciones se
MANTENIMIENTO DE diseñen, desarrollen, implementen y
mantengan de manera segura. Incluye la
SISTEMAS evaluación de la seguridad en todas las
etapas del ciclo de vida del desarrollo, desde
los requisitos hasta la implementación y el
mantenimiento. También aborda la
importancia de aplicar controles de seguridad
en la adquisición de productos y servicios de
TI, y de realizar pruebas de seguridad y
evaluaciones de riesgos antes de su
implementación. Además, se deben
establecer procedimientos para el
mantenimiento de sistemas y aplicaciones,
incluida la gestión de parches y
actualizaciones.
04/08/2024
A15. RELACIONES 5 Controles
Este dominio se enfoca en la gestión de
CON PROVEEDORES riesgos de seguridad de la información
asociados con proveedores y terceros. Las
organizaciones deben establecer políticas y
procedimientos para evaluar y tratar los
riesgos de seguridad en sus relaciones con
proveedores, incluida la selección,
contratación y monitoreo de proveedores.
Los acuerdos con proveedores deben incluir
requisitos de seguridad de la información y
responsabilidades compartidas. Además, las
organizaciones deben garantizar la
continuidad y recuperación de los servicios
provistos por terceros y abordar los riesgos
asociados con la subcontratación y el uso de
servicios en la nube.

04/08/2024
A16. GESTIÓN DE 12 Controles

INCIDENTES DE El dominio de gestión de incidentes de

seguridad aborda la necesidad de
SEGURIDAD detectar, informar, responder y
aprender de los incidentes de
seguridad de la información. Las
organizaciones deben establecer
políticas y procedimientos para la
identificación y clasificación de
incidentes, la notificación y
comunicación a las partes interesadas,
y la investigación y resolución de
incidentes. También se deben
implementar procesos de análisis y
aprendizaje para mejorar.
04/08/2024
A17. ASPECTOS 4 Controles

DE CONTINUIDAD Este dominio se centra en garantizar que las

organizaciones estén preparadas para

DEL NEGOCIO mantener la continuidad del negocio y

recuperarse de eventos adversos, como
desastres naturales, fallos técnicos o ataques
cibernéticos. Incluye la identificación de
funciones críticas y procesos esenciales, la
evaluación de riesgos y la implementación de
medidas de prevención y recuperación. Las
organizaciones deben establecer y mantener
planes de continuidad del negocio y
recuperación ante desastres, que incluyan
roles, responsabilidades y procedimientos de
respuesta. También es importante realizar
pruebas y revisiones periódicas de los planes
para garantizar su efectividad y actualizarlos
según sea necesario.
04/08/2024
A18. CUMPLIMIENTO 4 Controles
El dominio de cumplimiento aborda la
necesidad de garantizar que las organizaciones
cumplan con las leyes, regulaciones y
requisitos contractuales aplicables en materia
de seguridad de la información. Esto incluye la
identificación y evaluación de los requisitos
legales y regulatorios, la implementación de
controles para cumplir con estos requisitos y la
realización de auditorías y revisiones para
garantizar el cumplimiento continuo. También
se consideran aspectos relacionados con la
protección de la propiedad intelectual, la
privacidad de los datos y la protección de
registros. Las organizaciones deben estar
preparadas para demostrar su cumplimiento
ante autoridades, clientes y otras partes
interesadas

04/08/2024
CONCLUSIONES La norma ISO 27001 es un estándar
internacional que proporciona un marco para la
implementación y gestión de un Sistema de
Gestión de Seguridad de la Información (SGSI).
Los 14 dominios del Anexo A abarcan una
amplia gama de controles de seguridad que
ayudan a las organizaciones a proteger su
información y gestionar los riesgos relacionados
con la seguridad de la información. Estos
dominios incluyen políticas, procesos y medidas
técnicas que garantizan la confidencialidad,
integridad y disponibilidad de los datos. Al
adoptar y mantener un enfoque estructurado y
sistemático en la seguridad de la información,
las organizaciones pueden mejorar su resiliencia
frente a las amenazas cibernéticas, cumplir con
los requisitos legales y regulatorios, y proteger
tanto sus activos de información como su
reputación.

04/08/2024