SEGURIDAD DE LA INFORMACION ( JORGE JURADO)

LA SEGURIDAD DE LA INFORMACION(JORGE ARMANDO JURADO SABOGAL)2DO CORTE Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas. Beneficios Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de continuidad de la actividad comercial. Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación. Fiabilidad de cara al cliente demostrar que la información está segura. Identificación, evaluación y gestión de riesgos. Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras. Se integra con otros sistemas de gestión Reducción de costes y mejora de procesos Aumento de la motivación y satisfacción del personal al contar con unas directrices claras. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

GESTIÓN Y PLANIFICACIÓN DE LAS COMUNICACIONES (DANIEL MÀSMELA ACOSTA 2do CORTE)

GESTIÓN DE LAS COMUNICACIONES

La  Gestión de las  Comunicaciones del  es el  área de conocimiento  que incluye los 

procesos necesarios para asegurar la generación, recogida,  distribución, almacenamiento, 

recuperación y destino final de la información del proyecto en tiempo y forma. Los procesos de 

Gestión de las Comunicaciones  proporcionan los enlaces cruciales entre las personas

y la información, necesarios para unas comunicaciones  exitosas. Los  procesos de Gestión de las 

Comunicaciones  incluyen lo siguiente:

1. Planificación de las Comunicaciones: determinar las necesidades de información y comunicaciones de los interesados en el proyecto.
2. Distribución de la  Información: poner la información necesaria  a disposición de los interesados en el proyecto cuando corresponda. 
3. Informar el Rendimiento: recopilar y  distribuir información sobre el  rendimiento. Esto incluye informes de estado, medición del progreso y proyecciones
4. Gestionar a los Interesados: gestionar las comunicaciones a fin de satisfacer los requisitos de los interesados en el proyecto y resolver polémicas con ellos.

PLANIFICACIÓN DE LAS COMUNICACIONES

El proceso Planificación de las Comunicaciones determina las necesidades de información y 

comunicación de los interesados; por ejemplo, quién  necesita qué  información, cuándo la 

necesitará, cómo  le será suministrada y por quién.  Si bien todos los proyectos  comparten  la 

necesidad de comunicar información del proyecto, las necesidades de información y los métodos 

de distribución varían ampliamente. Identificar las necesidades de información de los interesados y 

determinar una forma adecuada de satisfacer esas necesidades es un factor importante para el éxito 

del proyecto.

Planificación de las Comunicaciones: Entradas

1. Factores Ambientales de la Empresa
2. Activos de los Procesos de la Organización: Se usan como entradas de este proceso, la lecciones  aprendidas y la información histórica  son de particular importancia. Las lecciones aprendidas y la información histórica  pueden proporcionar decisiones y resultados basados en proyectos similares anteriores respecto a cuestiones de las comunicaciones.
3. Enunciado del Alcance del Proyecto: Proporciona una base documentada para futuras decisiones  sobre el proyecto y para confirmar un conocimiento  común del alcance del proyecto entre los interesados. El análisis de los interesados se completa como parte del proceso definición del Alcance.  
4. Plan de Gestión del Proyecto: El plan de gestión del proyecto  proporciona información sobre los antecedentes del proyecto, incluidas las fechas y las restricciones que pueden ser relevantes para la Planificación de las Comunicaciones.

• Restricciones. Las restricciones son factores que pueden limitar las opciones del equipo de dirección del proyecto. Algunos ejemplos de restricciones pueden ser que los miembros del equipo se encuentren en distintas ubicaciones geográficas, incompatibilidad de las versiones del software de comunicación o capacidades técnicas de comunicación limitadas.
• Asunciones. Las asunciones específicas que afectan a la Planificación de las Comunicaciones dependerán del proyecto en particular.

Planificación de las Comunicaciones: Herramientas y Técnicas

1. Análisis de Requisitos de Comunicaciones: El análisis de los requisitos de comunicaciones da como resultado la suma de las necesidades de información de los interesados en el  proyecto. Estos  requisitos se  definen combinando el tipo y formato de la información necesaria con un análisis del valor de esa información. Los recursos del proyecto se utilizan sólo para comunicar información que contribuya al éxito, o cuando una falta de comunicación pueda llevar al fracaso.
2. Tecnología de las Comunicaciones: Las metodologías usadas para transmitir información entre los interesados en el proyecto pueden variar significativamente. Por ejemplo, un equipo de  dirección del  proyecto puede incluir  como métodos de comunicación desde conversaciones  breves hasta reuniones prolongadas, o desde simples documentos escritos hasta material (por ejemplo, crono gramas y bases de datos) al que se pueda acceder en línea.

Planificación de las Comunicaciones: Salidas 

1. Plan de Gestión de las Comunicaciones: El plan de gestión de las comunicaciones está incluido en  el  plan de gestión del proyecto o es un plan subsidiario de  éste.  El plan de gestión de las  comunicaciones proporciona: 

• Requisitos de comunicaciones de los interesados 
•  Información que debe ser comunicada, incluidos formato, contenido y nivel de detalle 
• Persona responsable de comunicar la información 
•  Persona o grupos que recibirán la información 
• Métodos o tecnologías usadas para transmitir la información, como memorandos, correo electrónico y / o comunicados de prensa 
•  Frecuencia de la comunicación, por ejemplo, semanal 
• Proceso de escalamiento, identificando los plazos y la cadena de mando (nombres) para el escalamiento de polémicas que no puedan resolverse a un nivel inferior del personal 
• Método para actualizar y refinar el plan de gestión de las comunicaciones a medida que el proyecto avanza y se desarrolla 
•  Glosario de terminología común. 

VENTAJAS DE LA NORMA ISO 27.000

NORMA DE ASEGURAMIENTO Y CALIDAD DE LA INFORMACIÓN

(ISO 27.000)

La ISO 27000 es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:

1. Preservar la confidencialidad de los datos de la empresa
2. Conservar la integridad de estos datos
3. Hacer que la información protegida se encuentre disponible

Una empresa que tiene implantada la ISO 27000 garantiza, tanto de manera interna como al resto de las empresas, que los riesgos de la seguridad de la información son controlados por la organización de una forma eficiente.

El estándar ISO 27000 es totalmente compatible con otras normas de sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001, …) y puede ser implantado de forma integrada con estas.

¿A qué tipo de empresas se recomienda la ISO 27000?

Aunque la ISO 27000 puede ser implantada en cualquier tipo de organización pública o privada, es especialmente recomendada para aquellas empresas que, debido al tipo de información con la que trabajan (médica, financiera, sanitaria, laboral, software, asegurados, …), desean garantizar la preservación y protección de sus datos

Ventajas del Sistema de gestión ISO 27.00:

• Permite una protección fiable de la información que la empresa u organización recoja de sus clientes.
• Preserva la confidencialidad de los datos.
• Conserva la integridad de los datos.
• Permite una disponibilidad fácil de la información protegida.

1.  

TEMAS DE CADA GRUPO

BLOGS:

1. JASMIN Y YULIAN  :  "SEGURIDAD EN ALIMENTOS"

2. NICOLAS, ANDRES PAEZ Y OMAR: "ISO 10.015"

3. CAROLINA, MIGUEL, CAMILA Y CAMILO: "ISO 9004"

4. FRANCY, ALEJANDRA, LINA, JEISSON Y RAFAEL: "ISO 9MIL"

5. ALEJANDRA, DANIELA Y DIANA: "ISO 14.000"

6. MAURICIO, CARLOS ALARCÒN Y CARLOS MARTINEZ: (PM BOOK)

7. DAVID Y ESTRELLA: "MANUAL DE HERRAMIENTAS BASICAS PARA EL CONTROL DE LA CALIDAD"

8. ANGELA, JUAN DAVID Y DIEGO: "ISO 9001"

9. LINA, MARIA PAZ, JACKELINE Y INGRID: "NORMA ISO 26.000"

• ISO/IEC 27000 - es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente.
• ISO/IEC 27001 - es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estandar internacional en octubre de 2005.
• ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
• ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No esta certificada acualmente.
• ISO/IEC 27004 - son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español actualmente.
• ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008.
• ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación.
• ISO/IEC 27007 - Es una guía para auditar al SGSI. Se encuentra en preparación.
• ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.
• ISO/IEC 27035:2011 - Seguridad de la información – Técnicas de Seguridad – Gestión de Incidentes de Seguridad. Este standard hace foco en las actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades

 Normas ISO 27000: Familia de estándares de ISO (International
Organization for Standardization) e IEC (International Electrotechnical
Commission) que proporciona un marco para la gestión de la seguridad
 Conjunto de normas que especifican los requisitos para establecer,
implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un
SGSI
 Normas base: 20001, 20002
 Normas complementarias: 20003, 20004, 20005, ...
 Seguridad de la información (según ISO 27001): preservación de su confidencialidad, integridad y
disponibilidad, así como la de los sistemas implicados en su tratamiento
 Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o
procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma
por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a
27044.
• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de
2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La
aplicación de cualquier estándar necesita de un vocabulario claramente definido, que
evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está
previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información. Tiene
su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los
objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho anexo,
la organización deberá argumentar sólidamente la no aplicabilidad de los controles
no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada
en España como UNE-ISO/IEC 27001:2007

Otros países donde también está publicada en español son, por ejemplo, Colombia ,
Venezuela y Argentina. El original en inglés y la traducción al francés pueden
adquirirse en ISO.org.
• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad
de la información. No es certificable. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de
ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de
2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007,
en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al
francés pueden adquirirse en ISO.org.
• ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009.
Consistirá en una guía de implementación de SGSI e información acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el
anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo
largo de los años con recomendaciones y guías de implantación.
• ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de
2008. Especificará las métricas y las técnicas de medida aplicables para determinar
la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan
fundamentalmente para la medición de los componentes de la fase “Do”
(Implementar y Utilizar) del ciclo PDCA.
• ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la
gestión del riesgo en la seguridad de la información. Apoya los conceptos generales
especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la
aplicación satisfactoria de la seguridad de la información basada en un enfoque de
gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos
descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un
completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo
tipo de organizaciones (por ejemplo, empresas comerciales, agencias
gubernamentales, organizaciones sin fines de lucro) que tienen la intención de
gestionar los riesgos que puedan comprometer la organización de la seguridad de la
información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y
ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El original
en inglés puede adquirirse en ISO.org.
• ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la
acreditación de entidades de auditoría y certificación de sistemas de gestión de
seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la
acreditación de entidades que operan certificación/registro de SGSIs) que añade a
ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de
sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los
SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021
cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma
de acreditación por sí misma. En España, esta norma aún no está traducida. El
original en inglés puede adquirirse en ISO.org. WWW.ISO27000.ES ©
5
• ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010.
Consistirá en una guía de auditoría de un SGSI.
• ISO 27011: En fase de desarrollo; su fecha prevista de publicación es finales de
2008. Consistirá en una guía de gestión de seguridad de la información específica
para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional
de Telecomunicaciones).
• ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010.
Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la
información y comunicaciones.
• ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de
2009. Consistirá en una guía relativa a la ciberseguridad.
• ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y
2011. Es una norma consistente en 7 partes: gestión de seguridad de redes,
arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e
implementación de seguridad en redes. Provendrá de la revisión, ampliación y
renumeración de ISO 18028.
• ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de
2009. Consistirá en una guía de seguridad en aplicaciones.
• ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de
seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO
27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité
JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para
apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC
27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto
detallado de controles y directrices de buenas prácticas para la gestión de la salud y
la seguridad de la información por organizaciones sanitarias y otros custodios de la
información sanitaria en base a garantizar un mínimo nivel necesario de seguridad
apropiado para la organización y circunstancias que van a mantener la
confidencialidad, integridad y disponibilidad de información personal de salud. ISO
27799:2008 se aplica a la información en salud en todos sus aspectos y en
cualquiera de sus formas, toma la información (palabras y números, grabaciones
sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para
almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento )
y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes
informáticas o por correo), ya que la información siempre debe estar adecuadamente
protegida. El original en inglés o francés puede adquirirse en ISO.org. WWW.ISO27000.ES ©
6
3. Contenido
En esta sección se hace un breve resumen del contenido de las normas ISO 27001,
ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas completas, debe
saber que éstas no son de libre difusión sino que han de ser adquiridas.
Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia
organización:
http://www.iso.org/iso/en/prods-services/ISOstore/store.html
Las normas en español pueden adquirirse en España en AENOR (vea en la sección
Serie 27000 cuáles están ya traducidas):
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp
Las entidades de normalización responsables de la publicación y venta de normas en
cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede
encontrar listadas en nuestra sección de Enlaces, bajo Acreditación y Normalización.
ISO 27001:2005
• Introducción: generalidades e introducción al método PDCA.
• Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el
tratamiento de exclusiones.
• Normas para consulta: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en la
norma.
• Sistema de gestión de la seguridad de la información: cómo crear, implementar,
operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de
documentación y control de la misma.
• Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y
provisión de recursos y concienciación, formación y capacitación del personal.
• Auditorías internas del SGSI: cómo realizar las auditorías internas de control y
cumplimiento.
• Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de
revisión del SGSI por parte de la dirección.
• Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. WWW.ISO27000.ES ©
7
• Objetivos de control y controles: anexo normativo que enumera los objetivos de
control y controles que se encuentran detallados en la norma ISO 27002:2005.
• Relación con los Principios de la OCDE: anexo informativo con la
correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.
• Correspondencia con otras normas: anexo informativo con una tabla de
correspondencia de cláusulas con ISO 9001 e ISO 14001.
• Bibliografía: normas y publicaciones de referencia.
ISO 27002:2005 (anterior ISO 17799:2005)
• Introducción: conceptos generales de seguridad de la información y SGSI.
• Campo de aplicación: se especifica el objetivo de la norma.
• Términos y definiciones: breve descripción de los términos más usados en la
norma.
• Estructura del estándar: descripción de la estructura de la norma.
• Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los
riesgos de seguridad de la información.
• Política de seguridad: documento de política de seguridad y su gestión.
• Aspectos organizativos de la seguridad de la información: organización interna;
terceros.
• Gestión de activos: responsabilidad sobre los activos; clasificación de la
información.
• Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo;
cese del empleo o cambio de puesto de trabajo.
• Seguridad física y ambiental: áreas seguras; seguridad de los equipos.
• Gestión de comunicaciones y operaciones: responsabilidades y procedimientos
de operación; gestión de la provisión de servicios por terceros; planificación y
aceptación del sistema; protección contra código malicioso y descargable; copias de
seguridad; gestión de la seguridad de las redes; manipulación de los soportes;
intercambio de información; servicios de comercio electrónico; supervisión.
• Control de acceso: requisitos de negocio para el control de acceso; gestión de
acceso de usuario; responsabilidades de usuario; control de acceso a la red; control
de acceso al sistema operativo; control de acceso a las aplicaciones y a la
información; ordenadores portátiles y teletrabajo.
• Adquisición, desarrollo y mantenimiento de los sistemas de información:
requisitos de seguridad de los sistemas de información; tratamiento correcto de las WWW.ISO27000.ES ©
8
aplicaciones; controles criptográficos; seguridad de los archivos de sistema;
seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad
técnica.
• Gestión de incidentes de seguridad de la información: notificación de eventos y
puntos débiles de la seguridad de la información; gestión de incidentes de seguridad
de la información y mejoras.
• Gestión de la continuidad del negocio: aspectos de la seguridad de la información
en la gestión de la continuidad del negocio.
• Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas
y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías
de los sistemas de información.


• Aceptación del riesgo
• Comunicación del riesgo
• Monitorización y revisión del riesgo
• Anexo A: Definiendo el ámbito del proceso
• Anexo B: Valoración de activos y evaluación de impacto
• Anexo C: Ejemplos de amenazas más comunes
• Anexo D: Vulnerabilidades y métodos de evaluación
• Anexo E: Aproximación a ISRA
ISO 27006:2007
(Esta norma referencia directamente a muchas cláusulas de ISO 17021 -requisitos de
entidades de auditoría y certificación de sistemas de gestión-, por lo que es
recomendable disponer también de dicha norma, que puede adquirirse en español en
AENOR).
• Preámbulo: presentación de las organizaciones ISO e IEC y sus actividades.
• Introducción: antecedentes de ISO 27006 y guía de uso para la norma.
• Campo de aplicación: a quién aplica este estándar.
• Referencias normativas: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en la
norma.
• Principios: principios que rigen esta norma.
• Requisitos generales: aspectos generales que deben cumplir las entidades de
certificación de SGSIs.
• Requisitos estructurales: estructura organizativa que deben tener las entidades de
certificación de SGSIs.
• Requisitos en cuanto a recursos: competencias requeridas para el personal de
dirección, administración y auditoría de la entidad de certificación, así como para
auditores externos, expertos técnicos externos y subcontratas.
• Requisitos de información: información pública, documentos de certificación,
relación de clientes certificados, referencias a la certificación y marcas,
confidencialidad e intercambio de información entre la entidad de certificación y sus
clientes. WWW.ISO27000.ES ©
10
• Requisitos del proceso: requisitos generales del proceso de certificación, auditoría
inicial y certificación, auditorías de seguimiento, recertificación, auditorías especiales,
suspensión, retirada o modificación de alcance de la certificación, apelaciones,
reclamaciones y registros de solicitantes y clientes.
• Requisitos del sistema de gestión de entidades de certificación: opciones,
opción 1 (requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2
(requisitos del sistema de gestión general).
• Anexo A - Análisis de la complejidad de la organización de un cliente y
aspectos específicos del sector: potencial de riesgo de la organización (tabla
orientativa) y categorías de riesgo de la seguridad de la información específicas del
sector de actividad.
• Anexo B - Áreas de ejemplo de competencia del auditor: consideraciones de
competencia general y consideraciones de competencia específica (conocimiento de
los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs).
• Anexo C - Tiempos de auditoría: introducción, procedimiento para determinar la
duración de la auditoría y tabla de tiempos de auditoría (incluyendo comparativa con
tiempos de auditoría de sistemas de calidad -ISO 9001- y medioambientales -ISO
14001-).
• Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO
27001:2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean
organizativos o técnicos.
ISO 27799:2008
Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la
información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma,
al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité
técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y
aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento
de esa norma.
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de
la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades)
• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía; Acuerdo
de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI;
Planning; Doing; Checking, Auditing) WWW.ISO27000.ES ©
11
• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la
información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones;
Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio;
Cumplimiento legal)
• Anexo A: Amenazas
• Anexo B: Tareas y documentación de un SGSI
• Anexo C: Beneficios potenciales y atributos de herramientas
• Anexo D: Estándares relacionados
4. Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema
y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,
OHSAS 18001L).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad
intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías. WWW.ISO27000.ES ©

5. ¿Cómo adaptarse?
Arranque del proyecto
• Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar
un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la
organización. No sólo por ser un punto contemplado de forma especial por la norma
sino porque el cambio de cultura y concienciación que lleva consigo el proceso
hacen necesario el impulso constante de la Dirección. WWW.ISO27000.ES ©

• Planificación, fechas, responsables: como en todo proyecto de envergadura, el
tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el
resto de fases.
Planificación
• Definir alcance del SGSI: en función de características del negocio, organización,
localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI
no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar
por un alcance limitado.
• Definir política de seguridad: que incluya el marco general y los objetivos de
seguridad de la información de la organización, tenga en cuenta los requisitos de
negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión
de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la
Dirección. La política de seguridad es un documento muy general, una especie de
"declaración de intenciones" de la Dirección, por lo que no pasará de dos o tres
páginas.
• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación
de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar
criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen
muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver
sección de Herramientas); la organización puede optar por una de ellas, hacer una
combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da
indicaciones adicionales sobre cómo definirla (en el futuro, ISO 27005 proporcionará
ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sería rentable
hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún valor
para la organización y que quedan dentro del alcance del SGSI. WWW.ISO27000.ES ©
14
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del
inventario.
• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la
integridad o la disponibilidad de cada uno de los activos.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de
seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad
de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo
es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido
(mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de
forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en función
de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001
(teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles
adicionales si se consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar
el SGSI: hay que recordar que los riesgos de seguridad de la información son
riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o
tratamiento. El riesgo residual es el que queda, aún después de haber aplicado
controles (el "riesgo cero" no existe prácticamente en ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of
Applicability) es una lista de todos los controles seleccionados y la razón de su
selección, los controles actualmente implementados y la justificación de cualquier
control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información. WWW.ISO27000.ES ©

• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de
control identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la
información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e
instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de
seguridad.
Seguimiento
• Ejecutar procedimientos y controles de monitorización y revisión: para detectar
errores en resultados de procesamiento, identificar brechas e incidentes de
seguridad, determinar si las actividades de seguridad de la información están
desarrollándose como estaba planificado, detectar y prevenir incidentes de
seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para
resolver incidentes de seguridad han sido eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías
de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos
los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de
seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en la organización,
tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el
entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el
nivel de riesgo aceptado. WWW.ISO27000.ES ©
16
• Realizar regularmente auditorías internas: para determinar si los controles, procesos
y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO
27001, el entorno legal y los requisitos y objetivos de seguridad de la organización,
están implementados y mantenidos con eficacia y tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el
alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI,
a la política de seguridad o a los objetivos de seguridad de la información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorización y las revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el
rendimiento del SGSI: sirven como evidencia documental de conformidad con los
requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la
fase anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado
de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de
cualquier acción, medida o cambio debe comprobarse siempre. WWW.ISO27000.ES ©
 Aspectos Clave  Fundamentales
• Compromiso y apoyo de la Dirección de la organización.
• Definición clara de un alcance apropiado.
• Concienciación y formación del personal.
• Evaluación de riesgos exhaustiva y adecuada a la organización.
• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicación.
• Integración del SGSI en la organización.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités de dirección con descubrimiento continuo de no
conformidades o acciones de mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones
continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.