ISO 27001.

BARCELONA
Juan Carlos Serrano Antn
Rble. de la Unidad Tcnica de Seguridad de la Informacin
Lead Auditor ISO 27001, ISO 20000, ISO 9001

Conceptos y Definiciones de
Seguridad de la Informacin

Conceptos de Seguridad

ACTIVO: Recurso del sistema de informacin o relacionado con

ste, necesario para que la organizacin funcione correctamente y

alcance los objetivos propuestos por su direccin.
AMENAZA: Evento que uede desencadenar un incidente en la

organizacin,produciendo daos
inmateriales en sus activos.

prdidas

materiales

RIESGO: Posibilidad de que una amenaza se materialice.

IMPACTO: Consecuencia sobre un activo de la materializacin de

una amenaza.
CONTROL: Prctica, procedimiento o mecanismo que reduce el

nivel de riesgo.

OCA Certificacin

MAYO 2013

Conceptos de Seguridad

Seguridad Informtica.
Son medidas encaminadas a proteger el hard,
soft y
comunicaciones de los equipos informticos. NO gestiona
Contempla aspectos:
Fsicos (instalaciones)
Telecomunicaciones (protocolos seguros, encriptacin,
firewall)
De acceso al sistema.
Copias de Seguridad
No las personas, No los contratos, No clasifica la
informacin

OCA Certificacin

MAYO 2013

Conceptos de Seguridad

Seguridad de la informacin.
Son medidas encaminadas a proteger la informacin,
independientemente del soporte en el que se encuentre, contra
cualquier amenaza, de tal manera que podamos asegurar la
continuidad de las actividades de la empresa, minimizar el perjuicio
que se pudiera causar y maximizar el rendimiento del capital
invertido.
Se caracteriza por preservar:

Confidencialidad
Integridad
Disponibilidad

OCA Certificacin

MAYO 2013

El grupo de normas de la seguridad de la Informacin

Grupo ISO 27000

Historia de la Normas
Revisin y
acercamiento a:
ISO 9001
ISO 14000

Certificable

Normal
Internacional

BS 7799-2
BS 7799-2
:2002

ISO/IEC 27001
:2005

BS 7799-2
:1999
Cdigo de
prcticas
para
usuarios
Centro de
Seguridad de
Informtica
Comercial del
Reino Unido
(CCSC/DTI)

1989

Revisin
conjunta de las
partes 1 y 2

PD0003
Cdigo de
prcticas
para la
gestin de la
seguridad de
la
informacin

BS 7799-1
:1999

BS 7799

ISO/IEC 27002
:2007

Revisin peridica
(5 aos)

ISO/IEC 17799
:2000

ISO/IEC 17799
:2005

1990
(Fast Track)

1991

1992

1993

1994

1995

1996

1997

1998

OCA Certificacin

1999

2000

2001

MAYO 2013

2002

2003

2004

2005

2006

2007

Normas
La serie ISO 27000
ISO 27000. Fundamentos y vocabulario
ISO 27001:2005. Requisitos de los Sistemas de Gestin de Seguridad
de la Informacin
ISO 27002:2007. Buenas prcticas para la Gestin de Seguridad de la
Informacin. (Anterior ISO 17799:2005)
ISO 27003:2010. Gua de implantacin de un SGSI
ISO 27004:2009. Mtricas e indicadores de eficiencia y efectividad de
los controles
ISO 27005.:2008 Gestin del riesgo en Seguridad de la informacin
(BS-7799:3)
ISO 27006:2007 Requisitos de acreditacin de las entidades de
certificacin de SGSI
OCA Certificacin

MAYO 2013

Normas

La serie ISO 27000.

ISO/FDIC 27799 Informtica de la Salud Gestin de seguridad de la

informacin en la SALUD usando la la ISO/IEC 27002

ISO/IEC 27011 Buenas prcticas para la gestin de seguridad de la

informacin en la TELECOMUNICACIONES

OCA Certificacin

MAYO 2013

Elementos de xito
en la Seguridad de la Informacin

El xito en la 27001:2005

Para que un SGSI, al igual que en todos los

Sistemas de Gestin, tenga xito se hace
imprescindible considerar
la formacin inicial y continua de todo el personal
y,
la importancia de contar con el apoyo de la
Direccin

OCA Certificacin

MAYO 2013

11

Las Claves del xito en la 27001:2005

Participacin activa de
Comit de seguridad, etc.

la

Direccin.

Formacin y mentalizacin del personal.

No slo en la implantacin inicial sino
tambin en el mantenimiento y la
identificacin de nuevos riesgos a gestionar
Mejora continua. Adaptacin a la evolucin
de los sistemas y sus amenazas. Aprendizaje
de los errores propios o ajenos.
Mantenimiento del SGSI. Poner medios
(personal, material, tiempo)

OCA Certificacin

MAYO 2013

12

Las Claves del xito en la 27001:2005

La gestin del riesgo. Debe estar presente
en todas las actividades de la organizacin,
de manera que los riesgos se tengan en
cuenta a lo largo del desarrollo de cualquier
proyecto
Los controles. Deben ser acordes a las
caractersticas de los riesgos y de la la
organizacin
La certificacin no debe plantearse como un
objetivo de la seguridad, sino como una
prueba o acreditacin al trabajo bien hecho
Existencia de otros Sistemas de Gestin
como UNE ISO/IEC 9001:2000. Simplifica y
agiliza la implantacin

OCA Certificacin

MAYO 2013

13

La Proporcionalidad del Anlisis de

Riesgo en la ISO 27001

El enfoque

Enfoque de la implantacin
No hay que intentar el asegurar toda la
Organizacin de una vez, es preferible
hacerlo en fases y en reas concretas de
la Organizacin.
La experiencia adquirida permitir
implantaciones en otras reas de una
forma ms rpida y eficaz

OCA Certificacin

MAYO 2013

15

El Riesgo en la ISO 27001

Preguntas

BENEFICIOS DE LA IMPLANTACION

OCA Certificacin

MAYO 2013

16

Metodologas de evaluacin de riesgos

Hay dos grupos de metodologas de evaluacin de
Riesgos:
Evaluacin cualitativa: es aquella donde la
probabilidad del incidente y la magnitud de sus
consecuencias se expresan en trminos
cualitativos como alta, mediana, baja o
insignificante,
Evaluacin cuantitativa: es aquella en la que
los resultados se expresan en cifras.

OCA Certificacin

MAYO 2013

17

Evaluacin del riesgo

Evaluacin y tratamiento de riesgos

Activo

Amenaza

Vulnerabilidad

Requisito legal
o de negocio

Riesgos
Evaluacin del riesgo

Seleccin e implantacin de controles

Tratamiento del riesgo

OCA Certificacin

Gestin de polticas

MAYO 2013

18

Muchas gracias por

su atencin

OCA Certificacin

MAYO 2013

19