¿QUE ES UN SGSI?

Un sistema de Gestión para la seguridad de la información consta de una serie de

políticas, procedimientos e instrucciones o directrices específicas para cada actividad o
sistema de información que persiguen como objetivo la protección de los activos de
información en una organización
SGSI PROCESO SISTEMATICO

 Establece o planifica la Seguridad de la información estableciendo los procesos

y objetivos a conseguir
 Se implementa la Seguridad de la información dentro de los procesos de la
organización
 Se opera y mantienen los procesos establecidos para la seguridad de la
información
 Se miden los resultados (Monitoreo) e indicadores de los distintos procesos de la
seguridad de la información
 Se evalúa (Revisión) la efectividad de los procesos de la seguridad en base a los
objetivos establecidos
 Se analizan los resultados y se establecen nuevos objetivos (Mejora)
SGSI ENFOQUE BASADO EN EL RIESGO

La planificación de la Seguridad de la información se debe realizar con un enfoque

basado en el riesgo de modo que se fundamenta en una evaluación de riesgos y en los
niveles de aceptación de riesgos definidos por la organización para posteriormente tratar
y gestionar los riesgos de manera efectiva.

La evaluación de riesgos se debe realizar mediante un análisis de los requisitos para la

protección de los activos de información de una organización para poder seleccionar y
aplicar Los controles apropiados para garantizar la protección de estos activos de
información.

 Exceso de tiempos de Implantación.

 Temor ante el cambio: resistencia de las personas.
 Discrepancias en los comités de dirección.
 Delegación de todas las responsabilidades en departamentos técnicos.
 No asumir que la seguridad de la información es inherente a los procesos de
negocio.
 Planes de formación y concienciación inadecuados.
 Calendario de revisiones que no se puedan cumplir.
 Definición poco clara del alcance.
 Falta de comunicación de los progresos al personal de la organización.

SGSI PRINCIPIOS FUNDAMENTALES

Implantar con éxito un SGSI deberíamos tener en cuenta apoyarnos en los siguientes
principios fundamentales:

 Tomar conciencia de la necesidad de seguridad de la información

 Asignar responsabilidades y roles en las tareas de la seguridad de la
información;
 Temer el compromiso e implicación de la dirección de la organización y de las
partes interesadas
 Realizar las evaluaciones de riesgo para determinar los controles apropiados
para conseguir niveles aceptables de riesgo
 Incorporar los criterios de seguridad como un elemento esencial de las redes y
sistemas de información
  Promover la anticipación y la detección de incidentes de seguridad de la
información;
 Evaluación continua de la seguridad de la información para realizar
modificaciones cuando corresponda.

ISO 27000 enfoque de procesos

Dentro de una organización se establecen y gestionan una serie de tareas relacionadas

entre sí y que necesitan estar coordinadas entre sí de forma eficiente para conseguir el
propósito de la organización.

Una tarea normalmente se compone de varias actividades ejecutadas en un orden

determinado y necesita de una serie de recursos (personal, equipos e instalaciones)
además de una serie de entradas para obtener un resultado final o salidas. Esto es lo que
normalmente denominamos un proceso en una organización

La aplicación de un sistema de procesos dentro de una organización, junto con la

identificación e interacciones de estos procesos, y su gestión, se puede denominar como
un "enfoque de proceso".

ISO 27000 ¿Por qué es importante el SGSI?

Hoy en día, los activos de información son vitales dentro de una organización para la
consecución de sus objetivos por lo que se deben abordar los riesgos para la seguridad
de la información que afecten a estos activos.

Para conseguir la seguridad de la información se requiere la gestionar los riesgos para la

seguridad de la información, lo que incluye:

 Los riesgos de amenazas físicas y humanas

 Riesgos relacionados con las tecnologías asociadas con todas las formas de
información utilizadas por la organización.

Se de esperar que la implementación de un SGSI debería ser una decisión estratégica

para una organización ya que es necesario integrar los criterios para la seguridad de la
información en todas las necesidades de la organización y sus procesos.

Aunque la seguridad de la información es importante para cualquier empresa u

organización, resultando de vital importancia en empresas que basan su actividad en
comercio electrónico, banca, intercambio de datos o que manejan información
confidencial de miles de clientes. También resulta de vital importancia en empresas que
necesitan demostrar a sus clientes su capacidad de aplicar principios de seguridad de la
información con reconocimiento internacional y acreditado por una entidad
independiente en el caso de optar la certificación de su SGSI

ISO 27000 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI

Parea implementar un SGSI deberemos llevar a cabo una serie de pasos que al menos
deben incluir

 1. Una identificación y clasificación de los activos de información de la

organización según sus requisitos para la seguridad de la información que van
asociados al activo o al tipo de información que manejan
 2. Realizare una evaluación de riesgos para la seguridad de la información
identificados para cada activo de información
 3. Implementar un plan de tratamiento de riesgos de forma ponderada teniendo
en cuenta los resultados de la evaluación de riesgos
 4. implementar los controles seleccionados para minimizar los riesgos
inaceptables
 5. Medir los resultados de la implantación de los controles
 6. Evaluar la efectividad de los controles implementados asociados a los activos
de información
 7. Proponer planes de mejora para nuevos activos o riesgos identificados, así
como para los controles que lo necesiten

Este proceso debe sistematizarse y mantenerse a lo largo del tiempo con el objetivo de
mejorar de forma continua la seguridad de la información en una organización.

ISO 27000 Factores críticos de éxito del SGSI

La norma ISO 27000 enumera una serie de factores críticos a la hora de afrontar una
implementación con garantía de éxito de un SGSI.

1. TENER EN CUENTA OBJETIVOS Y POLÍTICAS PARA LA

SEGURIDAD DE LA INFORMACIÓN ESTEN EN CONSONANCIA
CON LOS OBJETIVOS DE LA ORGANIZACIÓN
Actualmente ya no es suficiente que un responsable de la seguridad de la información
sea un técnico experto en seguridad, ahora este rol debe incorporar una visión y
experiencia empresarial necesarias para tener conversaciones de mayor nivel con sus
juntas directivas y equipos ejecutivos. En nuestra opinión, el responsable de la
seguridad de la información debe tener un lugar en por órganos de dirección y ser
considerado como un cargo confiable por los ejecutivos principales del negocio.

2. INTEGRAR LA SEGURIDAD DE LA INFORMACION EN LA

CULTURA DE LA ORGANIZACIÓN

La cultura de la organización debe integrar no solo los procesos de la seguridad de la

información sino también la filosofía de un sistema de gestión que tiene en cuenta la
seguridad de la información tanto en el diseño de procesos, en la operación del sistema
y su mantenimiento, así como en la evaluación de sus procesos y decisiones de mejora

3. OBTENER EL APOYO Y COMPROMISO DE TODOS LOS NIVELES

DE GESTIÓN, ESPECIALMENTE DE LA ALTA DIRECCIÓN
4. REALIZAR UNA EVALUACIÓN DE RIESGOS QUE GARANTICE UNA
ADECUADA COMPRENSIÓN DE LOS REQUISITOS DE
PROTECCIÓN DE ACTIVOS DE INFORMACIÓN

La identificación de activos pasa por determinar qué datos, sistemas u otros activos se
considerarían las "joyas de la corona" de su organización. Por ejemplo, ¿qué activos
tendrían el impacto más significativo en su organización si se comprometiera su
confidencialidad, integridad o disponibilidad?

En particular no es difícil identificar la importancia de la confidencialidad en datos que

contengan información como los números de seguridad social, datos salud o que
involucren propiedad intelectual de la información.

En cuento a la integridad, por ejemplo, si una empresa debe cumplir con requisitos
legales SOX y FCPA de control interno para cumplir con exigencias USA, un problema
menor de integridad en los datos de informes financieros podría tener un costo enorme.
O bien, si una empresa es un servicio de descarga de contenido multimedia on line y la
disponibilidad de los archivos se ve comprometida, podrían perder suscriptores.

5. LA CAPACITACIÓN Y CONCIENCIACIÓN SOBRE LA SEGURIDAD

DE LA INFORMACIÓN DEBE INVOLUCRAR A TODOS LOS
EMPLEADOS

El éxito de un SGSI depende en gran medida o podríamos decir que pasa por implicar
de forma efectiva a todos los empleados y directivos en la realización de las tareas y
responsabilidades sobre la seguridad de forma activa y comprometida.

Para ello se deben adoptar las medidas necesarias para este objetivo

6. UN PROCESO EFECTIVO DE GESTIÓN DE INCIDENTES DE

SEGURIDAD DE LA INFORMACIÓN

Por mucho que queramos evitarlos los incidentes en la seguridad de la información se

producirán con mayor o menor frecuencia y es por ello que deberemos estar preparados
para ello.

Nadie está libre hoy en día de sufrir incidentes contra la seguridad de la información. Es
por ello que la gestión adecuada de los incidentes marcara la diferencia entre un sistema
de gestión bien implantado y responderá a las necesidades del negocio

Los incidentes deben tratarse desde

 Su detección
 Su adecuada comunicación interna
 Su tratamiento
 La comunicación externa
 El análisis causal
 El establecimiento de medidas de mejora para que disminuir su impacto cuando
sea necesario

7. UN ENFOQUE EFECTIVO DE GESTIÓN DE LA CONTINUIDAD DEL

NEGOCIO
La continuidad del negocio es un factor a abordar, ya que los incidentes en la seguridad
de la información pueden causar la indisponibilidad de los servicios o productos
prestados por la organización.

Es por este motivo que la continuidad del negocio debe ser un punto importante a tener
en cuenta en una organización e integrar los requisitos de continuidad del negocio en la
seguridad de la información

Normalmente en las organizaciones puede que las actividades de la seguridad de la

información estén separadas de la continuidad del negocio o la recuperación de
desastres. Esto sucede normalmente porque que la seguridad de la información suele
tener su propio conjunto de actividades centradas en la tecnología: proteger los
perímetros de la red, evitar el robo de información y neutralizar los virus y otros
programas maliciosos y la continuidad del negocio por el contrario, se centra más en la
organización en su conjunto y en las personas, los procesos, las instalaciones y las
tecnologías que la respaldan etc.

Sin embargo, para cumplir con los requisitos de un sistema de gestión para la seguridad
de la información, las actividades para la seguridad de la información deben integrarse
dentro de un sistema de gestión de la continuidad del negocio mejor entre sí. Cualquier
brecha de seguridad que afecte a los sistemas de información es una amenaza para la
continuidad del negocio y la recuperación de desastres. Una brecha de seguridad que
compromete los datos y la información vital de la compañía también es un evento de
continuidad empresarial. Una de las mayores preocupaciones después de los eventos de
seguridad es el daño a la reputación de la organización. Esto también es una
preocupación de continuidad del negocio. Los vínculos entre las disciplinas son
esenciales y deben considerarse dentro.

8. EVALUAR EL DESEMPEÑO Y UTILIZAR LA INFORMACION PARA

LA MEJORA

La efectividad del sistema de gestión pasa por tener claro el establecimiento de un

sistema de medición para evaluar el desempeño en la gestión de seguridad de la
información y con ello obtener las ideas y sugerencias de retroalimentación para
mejorar.

ISO 27000 BENEFICIOS DE LA FAMILIA DE NORMAS 27000

EL primer beneficio de implantar un SGSI es la reducción de los riesgos de seguridad

de la información o lo que es lo mismo la disminución de la probabilidad de ser
afectado por los incidentes en la de seguridad de la información

Otros beneficios de acogerse a las normas de la Serie ISO 27001 son

 Contar con una herramienta sistemática para implantar un SGSI que responda a
las necesidades de cualquier organización o negocio
 Permite integrar de forma coherente los objetivos de la seguridad de la
información con los objetivos del negocio, los procesos, la gestión de la
organización, la capacitación y sensibilización de los empleados así la
implantación de una cultura de la seguridad de la información en una
organización
 Permite adoptar las mejores prácticas internacionalmente aceptadas para la
seguridad de la información y adaptarlas a las necesidades de cada organización
 Establecen un lenguaje común para la seguridad de la información y que además
permite la certificación de un SGSI por entidades de organismos acreditados
 Promueve la confianza de las partes interesadas
 Mejoras las expectativas de los resultados de la organización y ayuda a
rentabilizar las inversiones en seguridad de la información

ISO 27000 LA FAMILIA DE NORMAS

ISO / IEC 27001

ISO 27001 es el buque insignia de las normas ISO 27001 y establece los requisitos para
implementar y certificar un sistema de la seguridad de la información

ISO / IEC 27006

Esta norma establece los requisitos para seguir un proceso de auditoría y certificación
de acuerdo a la norma ISO 27001 y afecta a los organismos y entidades de certificación

ISO / IEC 27009

Esta norma establece los requisitos para incluir controles para la seguridad de la
información distintos de los incluidos en el anexo A (ISO 27002) de la norma ISO
27001 y se aplica si es necesario en sectores específicos que lo requieran,

ISO / IEC 27002

Guía sobre Controles de Seguridad de la Información

Esta guía nos ofrece una serie de controles que se utilizan como como guía de
implementación para lograr los objetivos de la seguridad de la información

ISO / IEC 27003

Documento de ayuda para la implementación de ISO 27001

Se trata de una guía para la implementación de un SGSI de acuerdo con ISO / IEC
27001.

ISO / IEC 27004

Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación

Documento de ayuda para implementar un SGSI en cuanto a

 El monitoreo y la medición del desempeño de la seguridad de la información;

 El seguimiento y la medición de la eficacia de un sistema de gestión de
seguridad de la información (SGSI), incluidos sus procesos y controles;
 El análisis y la evaluación de los resultados de monitoreo y medición.

ISO / IEC 27005

Gestión de riesgos de seguridad de la información.

Documento de ayuda para implementar la gestión de riesgos de seguridad de la

información cumpliendo con los conceptos generales especificados en ISO / IEC 27001.

ISO / IEC 27007

Auditoría de sistemas de gestión de seguridad de la información

Documento de ayuda para la realización de auditorías de SGSI donde además se nos

proporcionan consejos para la selección de auditores y el establecimiento de programas
de auditorias

ISO / IEC TR 27008

Directrices para auditores sobre controles de seguridad de la información

Documento de ayuda para la selección e implementación de los controles de seguridad

además de:

 La operación de los controles

 La verificación del cumplimiento técnico de los controles

ISO / IEC 27013

Orientación sobre la implementación integrada de ISO / IEC 27001 e ISO / IEC 20000
Documento de ayuda para la implementación integrada de ISO / IEC 27001 e ISO / IEC
20000-1 para las organizaciones que tienen la intención de:

 Implementar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya esté implementado,
o viceversa;
 Implementar conjuntamente ISO / IEC 27001 e ISO / IEC 20000-1;
 Integrar sistemas de gestión existentes basados en ISO / IEC 27001 e ISO / IEC
20000-1.

ISO / IEC TR 27016

Economía organizacional

Documento de ayuda sobre métodos para la valoración de activos de información

identificados, así como sus riesgos potenciales, valoración de controles de protección de
información para determinar el nivel óptimo de recursos a aplicar.

ISO / IEC 27021

Requisitos de competencia para profesionales de sistemas de gestión de la seguridad de

la información

Especifican de requisitos de competencia para los profesionales responsables del SGSI

o involucrados en el establecimiento, implementación, mantenimiento y mejora
continua de uno o más procesos del sistema de gestión de seguridad de la información
según la norma ISO / IEC 27001

¿A quién le interesa la norma ISO 27021?

 A quienes deseen demostrar su competencia como profesionales del sistema de

gestión de la seguridad de la información (SGSI), o que deseen comprender y
cumplir la competencia requerida para trabajar en esta área, y que deseen
ampliar sus conocimientos,
 Organizaciones que buscan posibles candidatos profesionales del SGSI para
definir la competencia requerida para los puestos en roles relacionados con el
SGSI,
 Organismos para desarrollar la certificación para profesionales del SGSI que
necesitan un cuerpo de conocimiento (BOK) para las fuentes de examen, y
  Organizaciones de capacitación, como universidades e instituciones
vocacionales, para alinear sus programas de estudio y cursos con los requisitos
de competencia para los profesionales de SGSI.

ISO / IEC 27010

Gestión de la seguridad de la información para comunicaciones intersectoriales e

interorganizacionales

Documento de ayuda para implementar la gestión de la seguridad de la información en

las comunidades que comparten información.

En este documento se proporcionan controles e instrucciones para su implementación

específicamente relacionados la seguridad de la información en las comunicaciones
entre organizaciones y entre sectores.

ISO / IEC 27011

Controles de seguridad de la información basados en ISO / IEC 27002 para

organizaciones de telecomunicaciones

Documento de ayuda con pautas que respaldan la implementación de los controles de

seguridad de la información en las organizaciones de telecomunicaciones.

Ayuda para las empresas de telecomunicaciones para cumplir con los requisitos básicos
de administración de seguridad de la información de confidencialidad, integridad,
disponibilidad y cualquier otra propiedad de seguridad relevante.

ISO / IEC 27017

Pautas para implementar controles de seguridad de la información basados en ISO / IEC

27002 para servicios en la nube

ISO 27017

Incluye:
  Una guía de implementación adicional para los controles relevantes
especificados en ISO / IEC 27002
 Controles adicionales con guías de implementación que se relacionan
específicamente con los servicios en la nube.

ISO / IEC 27018

Pautas para la protección de información de identificación personal (PII) en nubes

públicas que actúan como procesadores de PII

ISO / IEC 27018

establece objetivos de control, controles y pautas comúnmente aceptados para

implementar medidas para proteger la información de identificación personal (PII) de
acuerdo con los principios de privacidad de ISO / IEC 29100 para el entorno de
computación en la nube pública.

ISO / IEC 27019

Controles de seguridad de la información para la industria de servicios públicos de

energía

Pautas basadas en ISO / IEC 27002 aplicada a los sistemas de control de procesos
utilizados por la industria de la energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica, gas,
petróleo y calor, y Para el control de los procesos de soporte asociados.

ISO 27019
Incluye:

 control centralizado y distribuido de procesos, tecnología de control y

automatización, así como sistemas de información utilizados para su
funcionamiento, como dispositivos de programación y parametrización;
 controladores digitales y componentes de automatización, como dispositivos de
control y de campo o controladores lógicos programables (PLC), incluidos
sensores digitales y elementos de actuador;
 todos los sistemas de información de soporte adicionales utilizados en el
dominio de control de procesos, p. Ej. para tareas complementarias de
visualización de datos y para fines de control, monitoreo, archivo de datos,
registro de historiadores, informes y documentación;
  tecnología de comunicación utilizada en el dominio de control de proceso, p. Ej.
redes, telemetría, aplicaciones de telecontrol y tecnología de control remoto;
 componentes de infraestructura de medición avanzada (AMI), por ejemplo,
contadores inteligentes;
 dispositivos de medición, por ejemplo, para valores de emisión;
 protección digital y sistemas de seguridad, por ejemplo, relés de protección, PLC
de seguridad, mecanismos de control de emergencia;
 sistemas de gestión de energía, por ej. de recursos energéticos distribuidos
(DER), infraestructuras de carga eléctrica, en hogares privados, edificios
residenciales o instalaciones industriales de clientes;
 componentes distribuidos de entornos de redes inteligentes, por ejemplo, en
redes de energía, en hogares privados, edificios residenciales o instalaciones
industriales de clientes;
 todo el software, el firmware y las aplicaciones instaladas en los sistemas
mencionados anteriormente, por ejemplo, Aplicaciones DMS (sistema de gestión
de distribución) u OMS (sistema de gestión de interrupciones);
 cualquier local que contenga los equipos y sistemas mencionados anteriormente;
 Sistemas de mantenimiento remoto para los sistemas mencionados.

ISO 27019 no es aplicable al sector de la energía nuclear. Este sector está cubierto por
la norma IEC 62645

ISO 27000 Consejos Básicos

 Mantener la sencillez y restringirse a un alcance manejable y reducido.

 Comprender en detalle el proceso de implantación.
 Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
 La autoridad y compromiso decidido de la Dirección de la empresa.
 La certificación como objetivo.
 Servirse de lo ya implementado.
 Reservar la dedicación necesaria diaria o semanal.
 Registrar evidencias.

IMPLANTACIÓN

Para establecer y gestionar un Sistema de Gestión de Seguridad de Información en base

a ISO 27000, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión
de calidad.
Definir alcance del SGSI.
Definir política de seguridad
Metodología de evaluación de riesgos.
Inventario de activos.
Identificar amenazas y
vulnerabilidades. Definir plan de tratamiento de riesgos.
Identificar impactos. Implantar plan de tratamiento de
Análisis y evaluación de riesgos. riesgos.
Selección de controles y SOA Implementar los controles.
Formación y concienciación.
Compromiso de la Dirección.
Operar el SGSI
Planificación.
Fechas.
Responsables.