UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

■ INTEGRANTES:

✓ HUALLPA TORRES, NANDITO L.

✓ MAYTA GAVILAN, YHENY M.
✓ MINAYA MORALES, BRAYAN J.
✓ MIRANDA COLONIO, BLADIMIR R.
✓ MOGOLLON TOLEDO, SERGIO A.

■ PROFESOR:

✓ POMA TORRES, WALTER W.

TEMA:
ISO 27000 (27001-27002) AULA 310 – N

AUDITORIA DE SITEMAS DE INFORMACIÓN 2020

 ISO 27000 Sistema de Gestión de la Seguridad de la Información

ISO 27000 es un conjunto de

estándares internacionales
sobre la Seguridad de la
Información. La familia ISO
27000 contiene un conjunto de
buenas prácticas para el
establecimiento,
implementación, mantenimiento
y mejora de Sistemas de
Gestión de la Seguridad de la
Información.

Es un vocabulario estándar para

el SGSI, Introducción y base
para el resto.
TERMINOS Y
DEFINICIONES
CONFIDENCIALIDAD MEJORA CONTINUA
Propiedad por la que la Actividad recurrente para
información no se pone a mejorar el rendimiento
disposición o se divulga a
personas, entidades o
procesos no autorizados

SEGURIDAD DE SISTEMA DE OBJETIVO DE

INFORMACIÓN INFORMACIÓN CONTROL
Preservación de la Conjunto de aplicaciones, Declaración que describe lo
confidencialidad, integridad servicios, activos de que se debe lograr como
y disponibilidad de la tecnología de la información resultado de la
información u otros componentes de implementación de
manejo de información controles
TERMINOS Y
DEFINICIONES
EVALUACIÓN DE PROCESO DE GESTIÓN DE
RIESGO RIESGOS
Proceso de comparar los Aplicación sistemática de políticas de gestión
resultados del análisis de riesgo
procedimientos y prácticas a las actividades
con los criterios de riesgo para
determinar si el riesgo y / o su
de comunicación, consulta, establecimiento
magnitud es aceptable o del contexto e identificación, análisis,
tolerable evaluación, tratamiento, seguimiento y revisión
de riesgos

TRATAMIENTO DE VULNERABILIDAD EVENTO DE SEGURIDAD DE LA

RIESGO INFORMACIÓN
Proceso para modificar Debilidad de un activo o Ocurrencia identificada de un sistema, servicio o
riesgo control que puede ser estado de red que indica un posible
explotado por una o más incumplimiento de la política de seguridad de la
amenazas información o falla de los controles o una
situación desconocida que puede ser relevante
para la seguridad
ISO 27001: Requisitos para
un sistema de Gestión (SGSI)
ISO 27001 puede ser implementada en
cualquier tipo de organización, con o sin fines
de lucro, privada o pública, pequeña o grande.
Está redactada por los mejores especialistas
del mundo en el tema y proporciona una
metodología para implementar la gestión de la
seguridad de la información en una
organización.
También permite que una empresa sea
certificada; esto significa que una entidad de
certificación independiente confirma que la
seguridad de la información ha sido
implementada en esa organización en
cumplimiento con la norma ISO 27001.
 BENEFICIOS DE LA ISO 27001
Cumplir con los Obtener una ventaja
requerimientos legales comercial Menores costos Una mejor organización
cada vez hay más y más si su empresa obtiene la la filosofía principal de en general, las empresas de
leyes, normativas y certificación y sus ISO 27001 es evitar que rápido crecimiento no tienen
requerimientos competidores no, es se produzcan incidentes tiempo para hacer una pausa
contractuales relacionados posible que usted de seguridad, y cada y definir sus procesos y
con la seguridad de la obtenga una ventaja incidente, ya sea grande procedimientos; como
información. sobre ellos ante los ojos o pequeño, cuesta consecuencia, muchas veces
de los clientes a los que dinero; por lo tanto, los empleados no saben qué
La buena noticia es que la hay que hacer, cuándo y quién
les interesa mantener evitándolos su empresa debe hacerlo.
mayoría de ellos se pueden en forma segura su va a ahorrar mucho
resolver implementando información. dinero. La implementación de ISO
ISO 27001 ya que esta 27001 ayuda a resolver este
norma le proporciona una Y lo mejor de todo es que tipo de situaciones ya que
metodología perfecta para la inversión en ISO 27001 alienta a las empresas a
cumplir con todos ellos. es mucho menor que el escribir sus principales
ahorro que obtendrá. procesos (incluso los que no
están relacionados con la
seguridad), lo que les permite
reducir el tiempo perdido de
sus empleados.
ISO 27002: BUENAS PRÁCTICAS
PARA GESTIÓN DE LA OBJETIVO:
SEGURIDAD DE LA INFORMACIÓN El principal objetivo de la ISO 27002 es establecer
directrices y principios generales para iniciar,
implementar, mantener y mejorar la gestión de la
En este grupo se encuentra la ISO/IEC 27002 seguridad de la información en una organización.
(anteriormente denominada estándar
17799:2005), norma internacional que establece Esto también incluye la selección, implementación y
el código de mejores prácticas para apoyar la administración de controles, teniendo en cuenta los
implantación del Sistema de Gestión de entornos de riesgo encontrados en la empresa.
Seguridad de la Información (SGSI) en las
organizaciones.
A través del suministro de una guía completa de BENEFICIOS:
implementación, esa norma describe cómo se
pueden establecer los controles. Dichos •Mejor concienciación sobre la seguridad de la
controles, a su vez, deben ser elegidos en base a información;
una evaluación de riesgos de los activos más •Mayor control de activos e información sensible;
importantes de la empresa.
•Ofrece un enfoque para la implementación de
políticas de control;
•Oportunidad de identificar y corregir puntos débiles;
•Reducción del riesgo de responsabilidad por la no
implementación de un SGSI o determinación de
políticas y procedimientos
 DIFERENCIAS Y SIMILITUDES
ENTRE ISO 27001 E ISO 27002
■ No es posible obtener la certificación ISO 27002 porque no es una norma
de gestión. ¿Qué significa una norma de gestión? Significa que este tipo de
norma define cómo ejecutar un sistema; y en el caso de la ISO 27001, esta
norma define el sistema de gestión de seguridad de la información (SGSI).
Por lo tanto, la certificación en ISO 27001 sí es posible.

■ Los controles en ISO 27002 no se nombran igual que en el Anexo A

de ISO 27001; por ejemplo, en ISO 27002, el control 6.1.2 se
denomina «Segregación de funciones», mientras que en ISO 27001
es «A.6.1.2 Segregación de funciones.»

■ la ISO 27002 no distingue entre los controles que son aplicables a

una organización determinada y los que no lo son. Por otro lado, la
ISO 27001 exige la realización de una evaluación de riesgos sobre
cada control para identificar si es necesario disminuir los riesgos y,
en caso que sea necesario, hasta qué punto deben aplicarse.
 POLITICAS DE
SEGURIDAD DE LA
INFORMACIÒN

5.1.1 Políticas para la seguridad de la información

Este control requiere que se definan políticas de la seguridad de la
información:
OBJETIVO 1
Sean aprobadas por la dirección
Proporcionar orientación y apoyo
Deben publicarse y comunicarse a los empleados y partes externas
de la dirección para la seguridad pertinentes
de la información, de acuerdo con
los requisitos del negocio y con las
regulaciones y leyes pertinentes. 5.1.2 Revisión de las políticas de seguridad de la información
Las políticas de la Seguridad de la información deben adaptarse
continuamente a las necesidades y cambios de la organización por lo
que no pueden permanecer estáticas.
ORGANIZACIONES DE LA La seguridad de la información debe abordarse en la gestión de proyectos,
SEGURIDAD DE LA independientemente del tipo de proyecto.
INFORMACIÒN

6.1.1 Funciones y responsabilidades de la Seguridad de la información.

Definir las responsabilidades de cada empleado o puesto de trabajo
6.1.2 Separación de funciones.
Se trata de evitar usos o accesos indebidos a la información
6.1 ORGANIZACIÓN INTERNA 6.1.3 Contacto con autoridades.
Establecer un marco de gestión para iniciar y En caso de incidencias es necesario mantener informados a los organismos de
controlar la implementación y la operación control del estado o administración.
de la seguridad de la información dentro de 6.1.4 Contacto con grupos de interés especial.
la organización. Mantener actualizados y en contacto con empresas para la identificación de
nuevos riesgos.
6.1.5 Seguridad de la información en la gestión de proyectos
Integrar la seguridad en los procesos de la organización. (nuevo)

6.2.1 Política de dispositivos móviles

Medidas concretas que mitiguen los riesgos de la seguridad de la
información en el uso de los dispositivos móviles en una organización.
6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO
Garantizar la seguridad del teletrabajo y del
uso de dispositivos móviles. 6.2.2 Teletrabajo
Evaluar que activos de información están involucrados en el teletrabajo.
Realizar una evaluación de riesgos aplicada a los activos de la información y a
las actividades del teletrabajo.
Aplicar los controles adecuados para mitigar los riesgos identificados.
 SEGURIDAD Por un lado las personas son el activo más importante en una organización pero a su vez podemos
RELATIVA A LOS considerar que los errores humanos son normalmente el mayor riesgo para la seguridad de la
información.
RECURSOS
7.1.1 Selección
Podremos aplicar una serie de controles para verificar temas de
7.1 PREVIO AL EMPLEO seguridad, así como la formación y experiencia del contrato.
Asegurar que los empleados y contratistas 7.1.2 Términos y condiciones de empleo
cumplan los requisitos para cumplir sus Este control nos pide incluir en los contratos con los empleados y
responsabilidades y que sean aptos para los subcontratas las obligaciones y responsabilidades ligadas a la
roles para los cuales están siendo Seguridad de la Información
considerados .

7.2.1 Responsabilidades de la dirección

7.2 DURANTE EL EMPLEO 7.2.2 Concientización, educación y formación en seguridad de la

información
Asegurar que los empleados y contratistas
sean conscientes de y cumplan con las Todos los empleados de la organización y, cuando sea pertinente,
responsabilidades de seguridad de la contratistas, deberían recibir concientización, entrenamiento y
información. formación.
7.2.3 Proceso disciplinario
Un procedimiento que sea formal y comunicado a los empleados.

El objetivo es el de proteger la información en 7.3.1 Responsabilidades en la desvinculación

un escenario de finalización de contrato o Se trata de establecer y comunicar al empleado las
cambio de empleo responsabilidades sobre la seguridad de la información después
de finalizar un contrato o ante el cambio de empleo
GESTIÒN DE ACTIVOS El objetivo de este punto de la norma ISO 27001 es la preservación de los activos
de información como soporte del negocio

8.1 RESPONSABILIDAD DE CLASIFICACIÓN DE LA INFORMACIÓN MANEJO DE LOS SOPORTES

LOS ACTIVOS Asegurar que la información recibe el Se trata de proteger la información
Identificar los activos y definir las nivel de protección adecuado de en el nivel de soportes en los que se
responsabilidades de protección acuerdo con su importancia en la encuentra ya sea papel o soportes
adecuadas organización. electrónicos

8.1.1 Inventario de activos 8.2.1 Clasificación de la información 8.3.1 Gestión de Soportes extraíbles
Que no permita identificar y clasificar Su valor para la organización La norma propone un control
los activos según tipo, importancia, Los requisitos legales (Datos específico
propietario, etc. personales, Sensibles etc.) 8.3.2 Eliminación de Soportes
8.1.2 Propiedad de los activos Nivel de Protección necesario: Su Establecer procedimientos para la
Crea, gestiona su transferencia, criticidad y sensibilidad en cuando a eliminación segura de soportes a la
almacenamiento o destrucción del su divulgación o modificación no finalización de su uso
activo. autorizada o accidental. 8.3.3 Traslado de soportes físicos
8.1.3 Uso aceptable de los activos 8.2.2 Etiquetado de la información Los soportes necesitan ser
Documentar y comunicar a los De acuerdo al esquema de trasladados entre distintas
empleados afectos para evitar el uso clasificación que hayamos definido ubicaciones
indebido. en el apartado anterior
8.1.4 Devolución de activos 8.2.3 Manejo de los activos
Por parte de los empleados una vez Se trata de procedimientos que para:
finalizado el periodo de su el manejo de los activos, su
utilización, contrato o acuerdo. procesamiento, el almacenamiento y
como se debe comunicar de la
información.
 Las medidas de control de accesos de la norma ISO 27001 están orientadas a controlar y
CONTROL DE monitorizar los accesos a los medios de información de acuerdo a las políticas definidas por
ACCESO la organización.

GESTIÓN DEL ACCESO DE USUARIOS

REQUISITOS DE NEGOCIO Asegurar el acceso de usuarios autorizados y RESPONSABILI RESPONSABILIDADES DEL USUARIO
PARA EL CONTROL DE ACCESO prevenir el acceso no autorizado a los sistemas y DADES DEL
servicios de información. Impedir el acceso no autorizado a los
Limitar el acceso a la USUARIO sistemas y las aplicaciones.
información y a las 9.2.1 Registro de usuarios y cancelación del
instalaciones de registro El objetivo de 9.4.1 Restricción de acceso a la
procesamiento de información este control es información
únicamente a personas Control para el alta y baja de los usuarios
que los
autorizadas. Las funciones de una aplicación o
9.2.2 Gestión de acceso a los usuarios usuarios sean sistema deben considerar las
9.1.1 Política de control de Proceso formal para asignar y revocar responsables restricciones de control de acceso
acceso de mantener a
9.2.3 Gestión de derechos de acceso privilegiados salvo sus 9.4.2 Procedimientos de conexión (log-
Las reglas de control de acceso on) seguros
a la información. Se identifiquen accesos privilegiados de cada contraseñas o
sistema o proceso. información de Control para establecer inicios de sesión
9.1.2 Acceso a las redes y a los autenticación seguros
servicios de red. 9.2.4 Gestión de la información de autenticación
secreta de los usuarios 9.4.3 Sistema de gestión de
Identificación y la 9.3.1 Uso de la contraseñas
Control para garantizar que se mantiene la información de
Autenticación confidencialidad de la información secreta de
acceso (p. ejemplo contraseñas). autenticación Contraseñas de calidad, rechazar
secreta contraseñas débiles y requerir
9.2.5 Revisión de derechos de acceso de usuario confirmación.
Revisión periódica de los permisos de accesos de 9.4.4 Uso de programas de utilidad
los usuarios privilegiados.
9.2.6 Remoción o ajuste de los derechos de 9.4.5 Control de acceso al código de
acceso. programas fuente
Finalizar el empleo
 Necesidad de identificar y establecer medidas de
CRIPTOGRAFIA SEGURIDAD FÌSICA Y
control físicas para proteger adecuadamente los
DEL ENTORNO
activos de información.

Asegura la protección de la ÁREAS SEGURAS

confidencialidad e integridad Evitar accesos físicos no autorizados,
EQUIPAMIENTO
de la información según las daños e interferencias contra las Prevenir pérdidas, daños, hurtos
directrices de ISO 27001 instalaciones de procesamiento de o comprometer los activos, así
información y la información de la como la interrupción de las
organización.
actividades de la organización.
11.1.1 Perímetro de seguridad física
Control orientado a proveer protección
CONTROLES CRIPTOGRÁFICOS contra la entrada no autorizada.
El uso eficaz de la criptografía 11.1.2 Controles de acceso físico
para proteger la confidencialidad Aquellas áreas que se consideran
e integridad de la información seguras deben estar protegidas por
controles de entrada que permitan solo
10.1.1 Política sobre el empleo de personal autorizado.
controles criptográficos. 11.1.3 Seguridad de oficinas, despachos
Se impone el acceso cifrado para e instalaciones
dificultar la violación de su Las instalaciones deben diseñarse para
confidencialidad o su integridad. evitar al máximo posible el riesgo que la
información confidencial.
11.1.4 Protección contra amenazas
10.1.2 Gestión de claves externas y del ambiente.
Para mantener la gestión de cifrado. 11.1.5 El trabajo en las áreas seguras.
11.1.6 Áreas de entrega y de carga
 Asegura la operación correcta y segura de las instalaciones de procesamiento de información.
SEGURIDAD DE LAS Se recogen las políticas para establecer una correcta protección contra malware, realización de
OPERACIONES backups, registro de eventos, etc.

Procedimientos documentados de operación

PROCEDIMIENTOS OPERACIONALES Y
Gestión de cambios
RESPONSABILIDADES
Gestión de la capacidad
Separación de los ambientes para desarrollo, prueba y operación
PROTECCIÓN ANTE SOFTWARE
MALICIOSO Controles ante software malicioso

RESPALDO - COPIAS DE SEGURIDAD Copias de seguridad de la información

Registro y gestión de eventos de actividad

REGISTROS Y SUPERVISIÓN Protección de los registros de información
Registros de actividad del administrador y operador del sistema
Sincronización de relojes
CONTROL DE SOFTWARE EN LA
PRODUCCIÓN
Instalación del software en sistemas en producción

GESTIÓN DE VULNERABILIDAD TÉCNICA Gestión de las vulnerabilidades técnicas

Restricciones en la instalación de software

CONSIDERACIONES SOBRE LA AUDITORÍA

DE SISTEMAS DE INFORMACIÓN Controles de auditoría de los sistemas de información
 SEGURIDAD EN LAS Asegurar la protección de la información que se comunica por redes telemáticas
y la protección de la infraestructura de soporte.
COMUNICACIONES

GESTIÓN DE LA SEGURIDAD DE RED INTERCAMBIO DE INFORMACIÓN

•Mantener la seguridad de la información que transfiere

•Evitar el acceso físico no autorizado, los daños e una organización internamente o con entidades
interferencias a la información de la organización y las externas.
instalaciones de procesamiento de la información. •CONTROLES DE RIESGO:
•CONTROLES DE RIESGO: Políticas y procedimientos de intercambio de
Controles de red información
Seguridad de los servicios de red Acuerdos de intercambio de información
Segregación de redes Mensajería electrónica
Acuerdos de confidencialidad y de no divulgación

REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

• Análisis y especificación de los requisitos de seguridad. ADQUISICIÓN, DESARROLLO
• Seguridad de las comunicaciones en servicios accesibles por redes públicas. Y MANTENIMIENTO DE LOS
• Protección de las transacciones por redes telemáticas. SISTEMAS DE INFORMACIÓN

SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

o Política de desarrollo seguro de software o Uso de principios de ingeniería en PROTECCIÓN DE DATOS DE PRUEBA
o Procedimientos de control de cambios en protección de sistemas
los sistemas o Seguridad en entornos de desarrollo Se debería evitar la exposición de datos sensibles en
o Revisión técnica de las aplicaciones tras o Externalización del desarrollo de entornos de prueba.
efectuar cambios en el sistema operativo software Para proteger los datos de prueba se deberían
o Restricciones a los cambios en los o Pruebas de funcionalidad durante el establecer normas y procedimientos que contemplen
paquetes de software desarrollo de los sistemas prohibir el uso de bases de datos operativas.
o Pruebas de aceptación
 Implementar y mantener el nivel apropiado de seguridad de
RELACION CON
la información y la entrega de los servicios contratados en
PROVEEDORES
línea con los acuerdos de entrega de servicios de terceros.

SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS

PROVEEDORES
• Política de seguridad de la
asegurar la protección de los activos de información para suministradores
la organización que sean accesibles a los • Tratamiento del riesgo dentro de
proveedores en la prestación de los Una empresa subcontrata el
acuerdos de suministradores desarrollo de una aplicación
servicios contratados.
• Cadena de suministro en Software para prestación de
tecnologías de la información y sus servicios es muy posible
comunicaciones que el proveedor conozca el
plan estratégico de su
negocio, los procesos de su
GESTIÓN DE LA ENTREGA DEL SERVICIO POR TERCERAS PARTES empresa y además tenga
acceso a los datos en tiempo
real de sus clientes y
establecer acuerdos en el nivel de • Supervisión y revisión de los contactos etc.
seguridad apropiado y mantener una servicios prestados por terceros
provisión de los servicios de los • Gestión de cambios en los
proveedores alineados con estos acuerdos.
servicios prestados por terceros
 GESTION DE INCIDENTES ASPECTOS DE SEGURIDAD DE
LA INFORMACIÓN EN LA
DE LA SEGURIDAD DE LA GESTIÓN DE CONTINUIDAD
INFORMACION DEL NEGOCIO

Garantizar que los eventos de seguridad de la información y

las debilidades asociados a los sistemas de información Se trata de implantar medidas de protección y de recuperación ante
sean comunicados de forma tal que se apliquen las posibles desastres de esta naturaleza para minimizar los daños y
acciones correctivas en el tiempo oportuno. facilitar el restablecimiento de las operaciones.

GESTIÓN DE INCIDENTES Y MEJORAS DE CONTINUIDAD DE LA SEGURIDAD DE LA

SEGURIDAD DE LA INFORMACIÓN INFORMACIÓN
o Planificación de la continuidad de la seguridad de la información
• Responsabilidades y procedimientos o Implantación de la continuidad de la seguridad de la información
• Notificación de los eventos de seguridad de la o Verificación, revisión y evaluación de la continuidad de la
información seguridad de la información
• Notificación de puntos débiles de la seguridad REDUNDANCIA
• Valoración de eventos de seguridad de la
información y toma de decisiones o Disponibilidad de instalaciones para el procesamiento de la
• Respuesta a los incidentes de seguridad información: Se debería implementar la suficiente
• Aprendizaje de los incidentes de seguridad de la redundancia en las instalaciones de procesamiento de la
información y en correspondencia con los requisitos de
información disponibilidad.
• Recopilación de evidencias
 Cumplir con las disposiciones normativas y contractuales a
fin de evitar sanciones administrativas a la organización y/o
CUMPLIMIENTO
a los empleados que incurran en responsabilidad civil o
penal como resultado de incumplimientos

CUMPLIMIENTO DE LOS REQUISITOS LEGALES Y CONTRACTUALES

❖ Identificación de la legislación aplicable

Evitar incumplimientos de las obligaciones legales, ❖ Derechos de propiedad intelectual
estatutarias, reglamentarias o contractuales relacionadas ❖ Protección de los registros de la organización
con la seguridad de la información y/o de cualquier otro ❖ Protección de datos y privacidad de la información
requisito de seguridad. personal
❖ Regulación de los controles criptográficos

REVISIONES DE SEGURIDAD DE LA INFORMACIÓN

➢ Revisión independiente de la seguridad de la
información
Garantizar que la seguridad de la información se ➢ Cumplimiento de las políticas y normas de
implemente y opere de acuerdo con las políticas y los seguridad
procedimientos organizacionales. ➢ Comprobación del cumplimiento
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 1 AUDITORIA INICIAL

Para obtener un informe de auditoría inicial sobre el NIVELES DE MADUREZ

cumplimiento de la norma podremos realizar un análisis de • No existencia (Nivel 0)
brechas o deficiencias GAP antes de iniciar el proyecto • Ad-hoc (Nivel 1)
aplicado a los requisitos genéricos de la norma. • Ejecutado (Nivel 2)
• Definido (Nivel 3)
Un análisis de brechas GAP o análisis de deficiencias • Manipulable y medible (Nivel 4)
consiste en un análisis de cumplimiento tanto con los • Optimizado (5)
requisitos de la norma ISO 27001 como de sus controles.

Para la realización del análisis de deficiencias GAP puede

ser aconsejable utilizar un modelo de madurez para la
evaluación del cumplimiento.
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 2 ANÁLISIS DEL CONTEXTO DE LA ORGANIZACIÓN Y DETERMINACIÓN DEL ALCANCE

Esta fase del proyecto consiste en establecer el contexto del

SGSI en cumplimiento de los requisitos de la norma ISO
27001.

Se trata del punto de partida para desarrollar el SGSI y

consiste en determinar o identificar los problemas internos y
externos a los que se enfrenta la organización.

Los pasos para poner en marcha este requisito son:

✓ •Comprender la organización y su contexto
✓ •Comprender las necesidades y expectativas de las
partes interesadas
✓ •Determinación del Alcance del Sistema de Gestión
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 3 ELABORACIÓN DE LA POLÍTICA DE SEGURIDAD

La política de Seguridad como requisito de la norma ISO

27001 debe considerar en líneas generales los objetivos de
la seguridad de la información de la empresa u organización.

En este documento que es responsabilidad de la dirección,

tiene como misión además de establecer los objetivos
obtener una visión sintetizada de la funcionalidad y estado
del sistema de gestión de la seguridad de la información.

Se debe redactar una política de acuerdo a las necesidades

de cada organización, en este sentido debemos tener en
cuenta el tamaño, la estructura y actividad de cada
organización
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 4 PLANIFICACIÓN DEL SGSI

✓ Inventario de Activos
✓ Catálogo de Amenazas
✓ Valoración de las amenazas Para la Seguridad de la
Información
✓ Análisis de Riesgos
✓ Evaluación de riesgos
✓ Plan de tratamiento de riesgos
✓ Selección de controles: Declaración de Aplicabilidad
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 5 DOCUMENTACION DEL SGSI

El fin de que finalmente todo quede documentado es

necesario por dos motivos fundamentales:
• Garantizar la repetición en el tiempo de un proceso.
• Establecer un proceso de mejora.

Mantener información documentada es el medio para

justificar el cumplimiento con los requisitos de la norma.

Es necesario que existan registros que dejen constancia de

lo que hacemos.
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 6 IMPLEMENTANDO UN SGSI

La fase de implementación del Sistema tiene como A la hora de diseñar los procesos de seguridad hay
base la identificación de los controles de seguridad, que integrarlos en los procesos de la organización
sobre todo en la identificación del contexto de la tomando en cuenta los hallazgos identificados y los
organización, el análisis y evaluación de riesgos y en
controles para mitigar los riesgos que deberemos
la determinación del alcance o aplicabilidad del
SGSI. poner en funcionamiento para garantizar niveles
aceptables en la confidencialidad, integridad y
disponibilidad de la información.
 FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 7 COMUNICACIÓN Y SENSIBILIZACIÓN SGSI

Implantar un sistema de gestión de la seguridad de

la información requiere de requisitos comunes
relativos a los planes de comunicación comunes a
cualquier programa que pretenda introducir cambios
o mejoras en una organización:

• PLAN DE COMUNICACIÓN ISO 27001

✓ Quien debe comunicar los aspectos de seguridad

✓ A quienes debe llegar la comunicación
✓ Cuál es el contenido
✓ En qué momento ha de realizarse la
comunicación
✓ Que medios utilizaremos
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 8 AUDITORIA INTERNA SEGÚN ISO 27001

Para cumplir con el requisito de la norma ISO

27001:2013 deberemos establecer un plan de
auditorías internas que nos permitan revisar el
sistema de Gestión SGSI

✓ ¿Cuál es el objetivo de una auditoría interna

ISO 27001?
✓ ¿Qué beneficios tiene una auditoría interna
del SGSI?
✓ ¿En qué se diferencia una auditoría interna de
una auditoria de certificación?
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 9 REVISIÓN POR LA DIRECCIÓN SEGÚN ISO 27001

La revisión del sistema de gestión es otro de los

puntos clave dentro de la norma.
Este requisito es el que permite mantener vivo a
un sistema de Gestión y permitir que el sistema
de gestión cumpla con su verdadera función
dentro de las buenas prácticas en seguridad de
la información

El objetivo de la Revisión del SGSI por la dirección es

doble:
•Garantizar que el SGSI y sus objetivos continúen
siendo adecuados y efectivos.
•Revisar la validez de los problemas identificados y
los riesgos de la organización.
FASES PARA LA IMPLEMENTACION DE ISO 27001
■ FASE 10 EL PROCESO DE CERTIFICACIÓN ISO 27001

El proceso de certificación de la norma ISO 27001

consiste en la obtención de un certificado de
cumplimiento con los requisitos de la norma emitida
por una entidad de certificación independiente.
Beneficios de certificarse:
✓ Es una ventaja competitiva ante otras empresas.
✓ Facilita el acceso a un mercado cada vez más competitivo
Mejora la imagen de la empresa.
✓ Mejora la confianza de clientes y usuarios de nuestros
servicios en cuanto a la seguridad y protección de los
datos.
✓ Nos garantiza una implantación efectiva de la norma al
ser evaluados por una entidad con experiencia.