Sistema de gestin de la seguridad de la informacin

El SGSI (information security management system, ISMS) es, como el nombre

lo sugiere, un conjunto de polticas de administracin de la informacin. El
trmino es utilizado principalmente por la ISO/IEC 27001, aunque no es la nica
normativa que utiliza este trmino o concepto.
Un SGSI es para una organizacin el diseo, implantacin, mantenimiento de
un conjunto de procesos para gestionar eficientemente la accesibilidad de la
informacin, buscando asegurar la confidencialidad, integridad y disponibilidad
de los activos de informacin minimizando a la vez los riesgos de seguridad de
la informacin.
Fundamentos:
Para garantizar que la seguridad de la informacin es gestionada
correctamente se debe identificar inicialmente su ciclo de vida y los aspectos
relevantes adoptados para garantizar su C-I-D:

Confidencialidad: la informacin no se pone a disposicin ni se revela a

individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la
informacin y sus mtodos de proceso.
Disponibilidad: acceso y utilizacin de la informacin y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
En base al conocimiento del ciclo de vida de cada informacin relevante se
debe adoptar el uso de un proceso sistemtico, documentado y conocido por
toda la organizacin, desde un enfoque de riesgo empresarial. Este proceso es
el que constituye un SGSI.
Como todo proceso de gestin, un SGSI debe seguir siendo eficiente durante
un largo tiempo adaptndose a los cambios internos de la organizacin as
como los externos del entorno.
PDCA (Crculo de Deming)
La ISO/IEC 27001 por lo tanto incorpora el tpico Plan-Do-Check-Act (PDCA) que
significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora
continua:

Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin

de riesgos de seguridad de la informacin y la seleccin de controles
adecuados.
Do (hacer): es una fase que envuelve la implantacin y operacin de los
controles.

 Check (controlar): es una fase que

tiene como objetivo revisar y
evaluar el desempeo (eficiencia y
eficacia) del SGSI.
Act (actuar): en esta fase se
realizan cambios cuando sea
necesario para llevar de vuelta el
SGSI a mximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y
ISO/IEC 27002 y relaciona los estndares publicados por la International
Organization for Standardization (ISO) y la International Electrotechnical
Commission (IEC). JJO tambin define normas estandarizadas de distintos SGSI.
ISO/IEC 27000-series
Esta familia de normas que tiene como objetivo definir requisitos para un
sistema de gestin de la seguridad de la informacin (SGSI), con el fin de
garantizar la seleccin de controles de seguridad adecuados y proporcionales,
protegiendo as la informacin, es recomendable para cualquier empresa
grande o pequea de cualquier parte del mundo y ms especialmente para
aquellos sectores que tengan informacin crtica o gestionen la informacin de
otras empresas.
Familia 27000
ISO/IEC 27000: 1 de Mayo de 2009. Esta norma proporciona una visin general
de las normas que componen la serie 27000, una introduccin a los Sistemas
de Gestin de Seguridad de la Informacin, una breve descripcin del proceso
Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie
27000. Sin traduccin.
ISO/IEC 27001: 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestin de seguridad de la informacin.
Sin traducir. Actualmente, este estndar se encuentra en periodo de revisin en
el subcomit ISO SC27, con fecha prevista de publicacin en 2012.
ISO/IEC 27002: Del ao 2005. Es una gua de buenas prcticas que describe los
objetivos de control y controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios.
ISO/IEC 27003: 01 de Febrero de 2010. No certificable. Es una gua que se
centra en los aspectos crticos necesarios para el diseo e implementacin con
xito de un SGSI de acuerdo ISO/IEC 27001:2005.
ISO/IEC 27004: 7 de Diciembre de 2009. No certificable. Es una gua para el
desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados segn ISO/IEC 27001. Sin traducir.

ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para

la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001. Sin traducir todava.
ISO/IEC 27006: 1 de Marzo de 2007. Especifica los requisitos para la
acreditacin de entidades de auditora y certificacin de sistemas de gestin de
seguridad de la informacin. Sin traducir todava en Espaa, pero traducida en
Mxico (NMX-I-041/06-NYCE).
ISO/IEC 27007: Publicacin prevista en 2011. Consistir en una gua de
auditora de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC 27008: Publicacin prevista en 2011. Consistir en una gua de
auditora de los controles seleccionados en el marco de implantacin de un
SGSI.
ISO/IEC 27010: Publicacin prevista en 2012. Es una norma en 2 partes, que
consistir en una gua para la gestin de la seguridad de la informacin en
comunicaciones inter-sectoriales.
ISO/IEC 27011: 15 de Diciembre de 2008. Es una gua de interpretacin de la
implementacin y gestin de la seguridad de la informacin en organizaciones
del sector de telecomunicaciones basada en ISO/IEC 27002. Sin traduccin.
ISO/IEC 27012: Publicacin prevista en 2011. Consistir en un conjunto de
requisitos y directrices de gestin de seguridad de la informacin en
organizaciones que proporcionen servicios de e-Administracin.
ISO/IEC 27013: Publicacin prevista en 2012. Consistir en una gua de
implementacin integrada de ISO/IEC 27001 y de ISO/IEC 20000-1.
ISO/IEC 27014: Publicacin prevista en 2012. Consistir en una gua de
gobierno corporativo de la seguridad de la informacin.
ISO/IEC 27015: Publicacin prevista en 2012. Consistir en una gua de SGSI
para organizaciones del sector financiero y de seguros.
ISO/IEC 27016: Publicacin prevista en 2012. Consistir en una gua de SGSI
relacionada con aspectos econmicos en las organizaciones.
ISO/IEC 27031: 01 de Marzo de 2011. Describe los conceptos y principios de la
tecnologa de informacin y comunicacin (TIC)
ISO/IEC 27032: Publicacin prevista en 2011. Gua relativa a la ciberseguridad.
ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos
generales (10 de Diciembre de 2009); 27033-2, directrices de diseo e
implementacin de seguridad en redes (prevista 2011); 27033-3, escenarios de
redes de referencia (3 de Diciembre de 2010); 27033-4, aseguramiento de las
comunicaciones entre redes mediante gateways de seguridad (prevista 2012);
27033-5, aseguramiento de comunicaciones mediante VPNs (prevista 2012);
27033-6, convergencia IP (prevista 2012); 27033-7, redes inalmbricas
(prevista 2012).

ISO/IEC 27034: Publicacin prevista desde 2011-12. Varias guas de seguridad

para aplicaciones informticas.
ISO/IEC 27035: Publicacin prevista en 2011. Gua de gestin de incidentes de
seguridad de la informacin.
ISO/IEC 27036: Publicacin prevista en 2012. Gua de seguridad de outsourcing
(externalizacin de servicios).
ISO/IEC 27037: Publicacin prevista en 2012. Gua de identificacin,
recopilacin y preservacin de evidencias digitales.
ISO/IEC 27038: Publicacin prevista en 2013. Gua de especificacin para la
redaccin digital.
ISO/IEC 27039: Publicacin prevista en 2013. Gua para la seleccin, despliegue
y operativa de sistemas de deteccin de intrusos.
ISO/IEC 27040: Publicacin prevista en 2013. Gua para la seguridad en medios
de almacenamiento.
ISO 27799: 12 de Junio de 2008. Es una norma que proporciona directrices para
apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002.

ISO/IEC 27001
ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la
serie y contiene los requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a
la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habindose establecido unas condiciones de
transicin para aquellas empresas certificadas en esta ltima. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1
de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de
todos los controles enumerados en dicho anexo, la organizacin deber
argumentar slidamente la no aplicabilidad de los controles no implementados.
Desde el 28 de Noviembre de 2007, esta norma est publicadaen Espaa como
UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
Es un estndar para la seguridad de la informacin (Information technology Security techniques - Information security management systems Requirements) aprobado y publicado como estndar internacional en octubre
de 2005 por International Organization for Standardization y por la comisin
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, funcionar,
seguir, revisar, mantener y mejorar un sistema de gestin de la seguridad de
la informacin (SGSI) segn el conocido como Ciclo de Deming: PDCA -

acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es

consistente con las mejores prcticas descritas en ISO/IEC 27002,
anteriormente conocida como ISO/IEC 17799, con orgenes en la norma BS
7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British
Standards Institution (BSI).
Beneficios que aporta este a los objetivos de la organizacin
Demuestra la garanta independiente de los controles internos y cumple los
requisitos de gestin corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicacin.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y
demostrar a los clientes que la seguridad de su informacin es primordial.

Verifica independientemente que los riesgos de la organizacin estn

correctamente identificados, evaluados y gestionados al tiempo que formaliza
unos procesos, procedimientos y documentacin de proteccin de la
informacin.
Demuestra el compromiso de la cpula directiva de su organizacin con la
seguridad de la informacin.
El proceso de evaluaciones peridicas ayuda a supervisar continuamente el
rendimiento y la mejora.

Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que
suele tener una duracin entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la informacin y el alcance, entendiendo por alcance
el mbito de la organizacin que va a estar sometido al Sistema de Gestin de
la Seguridad de la Informacin elegido. En general, es recomendable la ayuda
de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa
sus sistemas de informacin y sus procesos de trabajo a las exigencias de las
normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y
sus normas de desarrollo, siendo el ms importante el Real Decreto 1720/2007,
de 21 de diciembre de desarrollo de la Ley Orgnica de Proteccin de Datos) o
que hayan realizado un acercamiento progresivo a la seguridad de la
informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,
partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes
de todas las reas de la organizacin que se vean afectadas por el SGSI,
liderado por la direccin y asesorado por consultores externos especializados

en seguridad informtica generalmente Ingenieros o Ingenieros Tcnicos en

Informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas
de gestin de seguridad de la informacin (que hayan realizado un curso de
implantador de SGSI).
Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita el sistema,
determinando su conformidad con ISO/IEC 27001, su grado de implantacin
real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas
eran certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin
ISO/IEC 27001 en su primera certificacin con xito o mediante su
recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado
reemplazada.
ISO / IEC 27001: 2013
De Wikipedia, la enciclopedia libre
ISO 27001: 2013 es una norma de seguridad de la informacin que se public
el 25 de septiembre de 2013. [1] Se sustituye la norma ISO / IEC 27001: 2005 ,
y es una publicacin de la Organizacin Internacional de Normalizacin (ISO) y
la Comisin Electrotcnica Internacional (IEC) bajo la subcomisin conjunta ISO
e IEC, ISO / IEC JTC 1 / SC 27 . [2] Es una especificacin para un sistema de
gestin de seguridad de la informacin (SGSI). Las organizaciones que cumplen
con el estndar pueden obtener una certificacin oficial expedido por un
organismo de certificacin independiente y acreditada en la finalizacin con
xito de un proceso de auditora formal.

Contenido [hide]
1 Estructura de la norma
2 Los cambios de la norma de 2005
3 Controles
4 Referencias
Estructura de la norma [ editar ]
El ttulo oficial de la norma es "Informacin Tecnologa Tcnicas de seguridad Sistemas de gestin de seguridad de la informacin - Requisitos".

27001: 2013 tiene diez clusulas cortas, adems de una larga anexo, que
cubren:

1. mbito de aplicacin de la norma

2. Cmo se hace referencia al documento
3. La reutilizacin de los trminos y definiciones de la norma ISO / IEC 27000
4. contexto organizacional y las partes interesadas
El liderazgo de seguridad 5. Informacin y apoyo de alto nivel para la poltica
6. Diseo de un sistema de gestin de seguridad de la informacin ; evaluacin
de riesgos; tratamiento de riesgos
7. Apoyar un sistema de gestin de seguridad de la informacin
8. Hacer un sistema de gestin de seguridad de la informacin operativa
9. Revisar el desempeo del sistema
10. La accin correctiva
Anexo A: Lista de los controles y sus objetivos.
Esta estructura refleja la estructura de otras normas de gestin nuevos como la
ISO 22301 (gestin de la continuidad del negocio); [3] . esta ayuda a las
organizaciones que tienen como objetivo cumplir con mltiples estndares,
para mejorar su TI desde diferentes perspectivas [4] Anexos B y C de 27001:
2005 se han eliminado. [5]

Los cambios de la norma 2005 [ editar ]

Ver tambin: ISO / IEC 27001: 2005
La nueva norma pone ms nfasis en la medicin y evaluacin de lo bien que
est realizando un SGSI de la organizacin, [6] y hay una nueva seccin sobre
la contratacin externa, la cual refleja el hecho de que muchas organizaciones
dependen de terceros para proporcionar algunos aspectos de TI. [7 ] No
enfatiza la Planificar-Hacer-Verificar-Actuar ciclo que 27001: 2005 lo hicieron.
Otros procesos de mejora continua como Six Sigma 's DMAIC mtodo se
pueden implementar. [8] Se presta ms atencin al contexto organizativo de
seguridad de la informacin, y la evaluacin del riesgo ha cambiado. [9] En
general, 27001: 2013 est diseado para ajustarse mejor al lado otras normas
de gestin como la ISO 9000 y la ISO / IEC 20000 , y tiene ms en comn con
ellos. [10]

Nuevos controles :

Seguridad de la informacin A.6.1.5 en gestin de proyectos

Restricciones A.12.6.2 sobre la instalacin del software
A.14.2.1 poltica de desarrollo Secure
A.14.2.5 principios de ingeniera del sistema Secure
A.14.2.6 Secure entorno de desarrollo
Pruebas de seguridad Sistema A.14.2.8
Poltica de seguridad de la informacin A.15.1.1 de relaciones con los
proveedores
Tecnologa de la comunicacin A.15.1.3 Informacin y cadena de suministro
Evaluacin de A.16.1.4 y decisin sobre los eventos de seguridad de
informacin
Respuesta A.16.1.5 a incidentes de seguridad de informacin
A.17.2.1 disponibilidad de las instalaciones de procesamiento de informacin
Controles [ editar ]
Clusula 6.1.3 se describe cmo una organizacin puede responder a los
riesgos con un plan de tratamiento de riesgos; una parte importante de esta es
la eleccin de controles apropiados. Estos controles y objetivos de control, se
enumeran en el anexo A, aunque tambin es posible, en principio, para las
organizaciones para recoger otros controles en otros lugares. En la actualidad
hay 114 controles en 14 grupos; la antigua norma tena 133 controles en 11
grupos. [11]

A.5: las polticas de seguridad de la informacin (2 controles)

A.6: Organizacin de la seguridad de la informacin (7 controles)
A.7: La seguridad humana de los recursos - 6 controles que se aplican antes,
durante o despus del empleo
A.8: Gestin de activos (10 controles)
A.9: Control de acceso (14 controles)
A.10: Criptografa (2 controles)
A.11: fsica y la seguridad del medio ambiente (15 controles)
A.12: seguridad de Operaciones (14 controles)
A.13: Seguridad de las Comunicaciones (7 controles)

A.14: Sistema de adquisicin, desarrollo y mantenimiento (13 controles)

A.15: Relaciones con los proveedores (5 controles)
A.16: gestin de incidentes de seguridad de la informacin (7 controles)
A.17: aspectos de seguridad de informacin de la gestin de la continuidad del
negocio (4 controles)
A.18: Cumplimiento; con los requisitos internos, tales como las polticas, y con
los requisitos externos, como las leyes (8 controles)
Los nuevos y actualizados controles reflejan los cambios en la tecnologa que
afectan a muchas organizaciones -. Por ejemplo, la nube [4]