Sistemas de Gestin de la

Seguridad de la Informacin
UNE-ISO/IEC 27001

Ivn Guardia Hernndez

Tecnologas de la Informacin y la Comunicacin

Sistemas de Gestin

Establece e Implanta unos procesos que permiten a una organizacin

realizar un producto/servicio conforme a unas especificaciones dadas.

Mide y Evala los resultados obtenidos frente a los objetivos marcados.

Incorpora un proceso de revisin para asegurar que los problemas que

puedan surgir se detectan y se corrigen, y que permite identificar
oportunidades de mejora.

UNE-EN ISO 9001. Sistemas de Gestin de la Calidad.

UNE-EN ISO 14001. Sistemas de Gestin Ambiental.

Plan Do Check - Act

SGSI
Sistemas de Gestin de la Seguridad de la Informacin

Un SGSI es un sistema de gestin que comprende la poltica, la

estructura organizativa, los procedimientos, los procesos y los
recursos necesarios para implantar la gestin de la seguridad de la
informacin

Por seguridad de la informacin, se entiende principalmente por

la preservacin de las caractersticas de confidencialidad,
integridad y disponibilidad de la misma. Adicionalmente, pueden
considerarse otras propiedades, como autenticacin, no repudio o
auditabilidad.

Implantar un SGSI no prueba que una organizacin sea 100%

segura. Aunque la seguridad completa no exista, s que se puede
certificar su correcta gestin.

SGSI
Compromiso: demostrar la eficacia de los esfuerzos desarrollados para
asegurar la organizacin en todos sus niveles y probar la diligencia
razonable de sus administradores.
Conformidad con requisitos legales: el registro permite demostrar que
la organizacin observa todas las leyes y normativas aplicables al
alcance.
Gestin de los riesgos: obtencin de un mejor conocimiento de los
sistemas de informacin, sus debilidades y los medios de proteccin.
Garantiza tambin una mejor disponibilidad de los materiales y datos.
Credibilidad y confianza: los socios, los accionistas y los clientes se
tranquilizan al constatar la importancia que la organizacin concede a la
proteccin de la informacin. Una certificacin tambin puede brindar
una diferenciacin sobre la competencia y en el mercado.
Reduccin de los costes vinculados a los incidentes y posibilidad de
disminucin de las primas de seguro.
Mejora la sensibilizacin del personal hacia la seguridad y a sus
responsabilidades en la organizacin.

Anlisis de Riesgos

27001

Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de

la Seguridad de la Informacin (SGSI). Requisitos.

La certificacin UNE-ISO/IEC 27001 avala la adecuada implantacin, gestin

y operacin de todo lo relacionado con la implantacin de un SGSI, siendo la
norma ms completa que existe en lo relativo a la implantacin de controles,
que permiten establecer un marco adecuado de gestin de la seguridad de la
informacin para las organizaciones.

Sustituye a la BS 7799-2 y a la UNE 71502.

Los requisitos de la Norma UNE-ISO/IEC 27001 son complementarios a los

de cualquier otro sistema de gestin implantado, tal como gestin de la
calidad ISO 9001 o gestin medioambiental ISO 14001.

Dominios
Poltica de seguridad.
Aspectos organizativos para la seguridad.
Clasificacin y control de activos.
Seguridad ligada al personal.
Seguridad fsica y del entorno.
Gestin de comunicaciones y operaciones.
Control de accesos.
Desarrollo y mantenimiento de sistemas.
Gestin de incidentes de seguridad de la informacin.
Gestin de continuidad de negocio.
Conformidad.

ISO27000.es

Implantacin SGSI

Fases implantacin
1. Compromiso de la Direccin: una de las bases
fundamentales sobre las que iniciar un proyecto
de este tipo es el apoyo claro y decidido de la
Direccin de la organizacin.
2. Planificacin, fechas, responsables: como en todo proyecto de
envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican
sus efectos positivos sobre el resto de fases.
3. Definir alcance del SGSI: segn el modelo organizativo, definir los lmites
del marco de direccin de seguridad de la informacin.
4. Definir poltica de seguridad: que incluya el marco general y los objetivos
de seguridad de la informacin de la organizacin.

Fases implantacin
5. Inventario de activos: todos aquellos afectados
por la seguridad de la informacin.
6. Identificar amenazas y vulnerabilidades: todas las
que afectan a los activos del inventario.
7. Anlisis de riesgos: evaluar el dao resultante de un fallo de seguridad y la
probabilidad de ocurrencia del fallo.
8. Seleccin de controles.
9. Definir plan de tratamiento de riesgos: que identifique las acciones, sus
responsables y las prioridades en la gestin de los riesgos.
10. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los
objetivos de control identificados.

Fases implantacin
11. Implementar los controles: todos los que se
determinaron en la fase anterior.
12. Formacin y concienciacin: de todo el personal
en lo relativo a la seguridad de la informacin.
13. Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
14. Gestionar todos los recursos asignados al SGSI.
15. Revisar el SGSI: Identificar mejoras al proceso del SGSI, identificar
nuevas vulnerabilidades, revisar cambios organizativos y modificar
procedimientos.
16 .Realizar auditoras internas del SGSI: para determinar la efectividad del
SGSI y detectar posibles no conformidades.

Proyectos y Salvaguardas
Securizacin de los servidores

Evaluacin nivel de madurez

Securizacin de los puestos de trabajo

Clasificacin de la informacin

Anlisis de riesgos

Cifrado de datos

Revisin LOPD

Cifrado de comunicaciones

Documentar procedimientos operativos

Mejora seguridad fsica

Documentar polticas de seguridad

Estructura organizativa para la seguridad

Inventario de activos

Gestin del material

Formacin de seguridad

Auditora interna de certificacin

Plan de continuidad de negocio

Certificacin 27000

Plan de recuperacin de desastres

Seguridad en desarrollo

Segmentacin de la red

Auditora de cdigo

Securizacin de las pasarelas

Concienciacin de la Seguridad

Test de intrusin

Monitorizacin de la seguridad

Auditora DMZ
Auditora WIFI

Aplicacin de inventariado de activos

Test Ingeniera social

Aplicacin gestin de material.

Gestin de usuarios

Aplicacin Intranet / Groupware

Intranet / Groupware

Gestor de incidencias

Seguridad contratual

Centro de mando

Gestin de incidencias

Monitor de seguridad

Factores Crticos de xito

La concienciacin del empleado por la seguridad. Principal objetivo a conseguir.
Realizacin de comits de direccin con descubrimiento continuo de No
conformidades o acciones de mejora.
Creacin de un sistema de gestin de incidencias que recoja notificaciones
continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La seguridad no es un producto, es un proceso.
La seguridad no es un proyecto, es una actividad continua y el programa de
proteccin requiere el soporte de la organizacin para tener xito.
La seguridad debe ser inherente a los procesos del negocio.

Qu est fallando?

Ivn Guardia Hernndez

Auditor CISA CISSP AENOR