ESCUELA POLITECNICA NACIONAL

NORMA ISO27001
SEGURIDAD EN REDES
Andrea Muñoz

09
 NORMA ISO27001:

1. OBJETIVO:

Conocer a cerca de las normas de seguridad de la información y la norma ISO27001

2. RESUMEN DE LA NORMA:

Estándar Internacional ISO/IEC 27001

1. CARACTERÍSTICAS GENERALES
Este es un estándar preparado para proveer un modelo de establecimiento,
implementación, operación, monitoreo, revisión, mantenimiento y mejora de un
Sistema de Gestión de Seguridad de la Información1 documentado; en el contexto de
los riesgos específicos de las actividades de la organización.
El Enfoque a Procesos2 para la gestión de seguridad de información que se presenta
en éste Estándar Internacional enfatiza la importancia de:
Entender los requerimientos de seguridad de una organización y la necesidad
de establecer políticas y objetivos para la seguridad de la información.
Implementar y operar controles para manejar la los riesgos de seguridad de la
información.
Monitorear y revisar el rendimiento del Sistema de Gestión de seguridad de la
Información
Mejoramiento continuo.
Éste estándar adopta un modelo “Planear-Hacer-Revisar-Actuar” que se aplica para
estructurar todos los procesos del SGSI.

Partes Planear
Partes
Interesadas Establecer Interesadas
SGSI

Implementar y Mantener y
Hacer Actuar
Operar el SGSI Mejorar SGSI

Requerimientos y Monitorear y
Expectativas de la Revisar SGSI
Seguridad de
Seguridad de la
Revisar Información
información
Gestionada.

2. ALCANCE
 Los requerimientos de éste estándar son genéricos y aplicables a cualquier tipo de
organización. Sin embargo, la exclusión de cualquiera de los requerimientos
especificados en las clausulas 5,6,7, y 8 no es aceptable para la certificación del
estándar.
El documento ISO/IEC 17799:2005 es indispensable para la aplicación de éste
estándar.

3. TÉRMINOS
Recurso: Cualquier cosa que tenga un valor para la organización
Disponibilidad: La propiedad de ser accesible y poder ser usado cuando una entidad
autorizada lo solicite.
Confidencialidad: La propiedad de que la información no está disponible para
individuos, entidades o procesos no autorizados.
Seguridad de Información: Preservación de la confidencialidad, integridad y
disponibilidad de la información.
Evento de Seguridad de Información: Un evento en un sistema, servicio o red que
indica la posibilidad de una brecha en las políticas de seguridad de información o una
falla.
Incidente de Seguridad de Información: Una serie de eventos de seguridad de
información indeseados que tienen alta probabilidad de comprometer las operaciones
del negocio.
Sistema de Gestión de Seguridad de Información: La parte del Sistema de Gestión
basada en una aproximación a los riesgos del negocio para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información; que
incluye una estructura organizacional, políticas, actividades de planeación,
responsabilidades, prácticas, procedimientos, procesos y recursos.
Riegos Residual: El riesgo que queda después de haber tratado al riesgo inicial.
Aceptación de Riesgo: Decisión de aceptar el riesgo.
Análisis de Riesgo: Uso sistemático de la información para identificar las fuentes y
estimar el riesgo.
Evaluación de Riesgo: Proceso de comparar los riesgos estimados con cierto criterio
para determinar su importancia.
Gestión de Riesgos: Actividades coordinadas para dirigir y controlar una organización
respecto al riesgo.
Tratamiento del Riesgo: Proceso de selección e implementación de medidas para
modificar el riesgo.
Manifiesto de Aplicabilidad: Manifiesto que describe los objetivos y controles que son
relevantes y aplicables al SGSI de la organización.

4. SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

Establecer y Monitorear el SGSI
Establecer el SGSI
La organización debe hacer lo siguiente:
a) Definir el alcance y los límites del SGSI en función de las características del
negocio, la organización, su ubicación, bienes y tecnología.
b) Definir una política de SGSI que incluya:
- Una plataforma para establecer objetivos, una dirección general y
principios de acción respecto a la seguridad de información.
- Los requerimientos legales o regulatorios del negocio
- Que se alinee con el contexto de la gestión estratégica del riesgo de la
información, en la que tendrá lugar el establecimiento y mantenimiento
del SGSI
- Establezca criterios para la evaluación del riesgo
- Sea aprobada por la Gerencia.
c) Definir el enfoque de evaluación de riesgos de la organización.
- Identificar una metodología de evaluación de riesgos acorde al SGSI.
- Desarrollar criterios de riesgos aceptables e identificar niveles de riesgo.
d) Identificar los riesgos.
- Identificar los recursos y sus propietarios
- Identificar las amenazas de estos recursos
- Identificar las vulnerabilidades que pueden ser explotadas por estas
amenazas.
- Identificar el impacto que perdidas de confidencialidad, integridad y
disponibilidad pueden tener en los recursos.
e) Analizar y evaluar los riesgos.
- Determinar el impacto de fallas de seguridad en el negocio, consecuencia
de pérdidas de confidencialidad, integridad o disponibilidad de los
recursos.
- Determinar la probabilidad de que ocurran fallas en la seguridad tomando
en cuenta las amenazas y controles presentes.
- Estimar el nivel de los riesgos.
- Determinar si los riesgos son aceptables
f) Identificar y evaluar opciones para el manejo de los riesgos
g) Elegir objetivos de control y controles para el tratamiento de riesgos
Los objetivos y controles del Anexo A deben ser elegidos como parte de éste
proceso para cubrir los requisitos identificados, se puede incluir objetivos y
controles adicionales a los incluidos en el Anexo A.
h) Obtener aprobación para la gestión de los riesgos residuales propuestos.
i) Obtener aprobación para la implementación y operación del SGSI.
j) Preparar un Manifiesto de Aplicabilidad.
Este manifiesto debe incluir los objetivos de control, controles elegidos y su
justificación. Los objetivos y controles implementados actualmente y la
exclusión de cualquier objetivo o control del Anexo A y la justificación de la
misma.

Implementar y Operar el SGSI

La Organización debe hacer lo siguiente:
a) Formular un plan de tratamiento de riesgos que identifique las acciones de
gestión apropiadas.
 b) Implementar el plan de tratamiento de riesgos, lo que incluye la
consideración de ubicar y crear roles y responsabilidades.
c) Implementar controles elegidos que se apliquen a los objetos de control
d) Definir una manera de medir la efectividad de los controles elegidos y
especificar la forma en que se usarán para producir resultados comparables
y medibles.
e) Implementar programas de entrenamiento y concientización.
f) Administrar la operación del SGSI
g) Administrar los recursos para el SGSI
h) Implementar procedimientos y otros controles capaces de habilitar
detección temprana de eventos de seguridad y respuesta a incidentes de
seguridad. ¿
Monitorear y revisar el SGSI
La organización hará lo siguiente:
a) Ejecutar monitoreo y revisión de procedimientos y otros controles para
detectar a tiempo errores en los resultados, brechas e incidentes de seguridad
o si las actividades de seguridad se están llevando a cabo como se esperaba.
b) Llevar a cabo revisiones regulares de la efectividad del SGSI.
c) Medir la efectividad de los controles para verificar si se han cumplido los
requerimientos de seguridad.
d) Revisar los riesgos a intervalos planeados y los niveles de riesgo aceptado,
tomando en cuenta los cambios en la organización, la tecnología, los objetivos
del negocio y sus procesos, las amenazas identificadas, la efectividad de los
controles implementados y eventos externos.

5. REQUERIMIENTOS DE LA DOCUMENTACIÓN:

La documentación debe incluir los registros de las decisiones de la gestión de la red, es

importante que tenga la evaluación de riesgos y la política y los objetivos de SGSI, mas una
serie de ítems especificados en la norma.

Los documentos que son requeridos por el SGSI se encuentran protegidos y controlados para
lo cual se emite un documento donde se especifican los datos concernientes al SGSI y su
control.

6. RESPONSABILDAD DE MANDO:

La dirección debe proveer evidencia de su compromiso con el establecimiento,

implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI. Entre los
más relevantes están las políticas de gestión de riesgos y velar por que se proteja la
información.

Se debe gestionar todo lo pertinente con el personal para que este bien calificado y cumpla
con las habilidades necesarias para mantener el SGSI, así como la capacitación necesaria.

7. AUDITORIAS SGSI INTERNAS:

Se beben realizar auditorías internas en intervalos planificados de tiempo para garantizar que
se cumplan el control, objetivos, controles, procesos y procedimientos de su SGSI. Para ello
debe seguir una serie de pasos determinados por la norma que se esta analizando.

8. EXAMEN DE LA GESTION DEL SGSI:

De deberá revisar la organización de la SGSI en intervalos planificados de tiempo, de por lo

menos una vez al año, para garantizar su adecuación y eficacia. Este estudio debe incluir la
política de seguridad de la información y los objetivos de dicha seguridad. Los resultados de
este análisis deberán estar adecuadamente documentados.

9. MEJORA CONTINUA:

La organización deberá mejorar continuamente la SGSI a través del uso de las políticas de
seguridad de la información, los objetivos de seguridad de la información, resultados de
auditorías, análisis de los eventos de seguimiento, correctivas y de acciones preventivas y
revisión de la gestión.

10. LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN:

Su objetivo es proporcionar orientación y apoyo a la gestión de seguridad de la información de

acuerdo con las empresas requisitos y las leyes y reglamentos pertinentes.

La documentación concerniente con la política de seguridad de la información deberá ser

publicada y comunicado a todos los empleados y las partes externas interesadas.

10.1. LAS PARTES EXTERNAS

Su objetivo es mantener la seguridad de la información de la organización y las instalaciones

de procesamiento de la información, tratamiento, comunicada a, o gestionados por terceros.

11. Seguridad de los recursos humanos

Previo a la contratación.- Para garantizar que los empleados, contratistas y terceros usuarios
entiendan sus responsabilidades y funciones que se consideran para ellos, y para reducir el
riesgo de robo, fraude o uso indebido de las instalaciones, se define Roles, Responsabilidades,
Proyección, Términos y condiciones de Trabajo.

Durante el Trabajo.- Para garantizar que todos los empleados, contratistas y terceros usuarios
son conscientes de las amenazas de seguridad de la información y preocupaciones, sus
responsabilidades y obligaciones, y que están equipados para apoyar la política de seguridad
de la organización en el curso de su trabajo normal, y para reducir el riesgo de error humano,
utilizando una gestión de responsabilidades, información de seguridad y entrenamiento y
realizando un proceso disciplinario.

Terminación o cambio de trabajo.- Para garantizar que los empleados, contratistas y terceros
usuarios que salen de una organización o cambien de empleo de una manera ordenada.
 12. La seguridad física y ambiental

Áreas seguras.- Proceso para prevenir el acceso físico no autorizado, daño e interferencia a las
premisas e información de la organización. Definiendo un perímetro físico de seguridad,
controles de entrada, seguridad de oficinas, protección externa, control de acceso público.

Seguridad del Equipamiento.- Para evitar la pérdida, daño, robo o compromiso de los activos y
la interrupción de las actividades de la organización.

13. Gestión de operaciones y comunicaciones

Procedimientos operacionales y responsabilidades.- garantizar el funcionamiento correcto y

seguro de las instalaciones de procesamiento de la información.

Gestión tripartida del servicio de entrega.- implementar y mantener el nivel adecuado de

seguridad de la información y la prestación de servicios en línea con los acuerdos de tercera
parte de entrega de servicios.

la planificación del sistema y la aceptación.- minimizar el riesgo de fallos en los sistemas.

Protección contra código malicioso y móvil.- proteger la integridad del software y la

información.

Respaldos.- para mantener la integridad y disponibilidad de la información y del acceso a ella.

Monitoreo.- para detectar el acceso a información no autorizada o a procesos no autorizados.

14. Control de Acceso

Requisito de Negocios para control de acceso.- Para controlar el acceso a la información.

Gestión de acceso de usuario.- Garantizar el acceso de usuarios autorizados y para evitar el

acceso no autorizado a los sistemas de información.

Responsabilidades de los usuarios.- Impedir el acceso de usuarios no autorizados, y el

compromiso o robo de información y de las instalaciones de procesamiento de la información.

A.11.4 Control de Acceso de Red

Objetivo: Prevenir el acceso no autorizado a los servicios de red.

A.11.4.1 Política de uso de los servicios de red
A.11.4.2 Autenticación de usuario para conexiones externas
A.11.4.3 Identificación de equipos en las redes
A.11.4.4 Diagnóstico remoto y configuración de protección de puerto
A.11.4.5 Segregación en las redes
A.11.4.6 Control de conexiones de red
A.11.4.7 Control de encaminamiento de red
A.11.5 Control de Acceso al Sistema Operativo

Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.

A.11.5.1 Procedimientos de registro seguros

A.11.5.2 Identificación de usuario y autenticación
A.11.5.3 Sistema de administración de contraseñas
A.11.5.4 Uso de utilidades del sistema
A.11.5.5 Tiempo de espera de la sesión
A.11.5.6 Limitación del tiempo de conexión

A.11.6 Control de Acceso de Información y Aplicaciones

Objetivo: Prevenir el acceso no autorizado a la información sostenida en sistemas de

aplicación.

A.11.6.1 Restricción de acceso de información

A.11.6.2 Aislamiento del sistema sensible

A.11.7 La informática móvil y el teletrabajo

Objetivo: Garantizar la seguridad de la información cuando se utiliza la informática

móvil y las facilidades del teletrabajo.

A.11.7.1 Informática móvil y comunicaciones

A.11.7.2 Teletrabajo

A.12 ADQUISICIÓN DE LOS SISTEMAS DE INFORMACIÓN, DESARROLLO Y

MANTENIMIENTO

A.12.1 Requerimientos de seguridad de los sistemas de información

Objetivo: Garantizar que la seguridad es una parte integral de los sistemas de

información.

A.12.1.1 Análisis y especificación de los requerimientos de seguridad

A.12.2 Correcto procesamiento en las aplicaciones

Objetivo: Prevenir errores, pérdidas, modificaciones no autorizadas o mal uso de la

información en las aplicaciones.

A.12.2.1 Validación de datos de entrada

A.12.2.2 Control del procesamiento interno
A.12.2.3 Integridad de los mensajes
A.12.2.4 Validación de datos de salida

A.12.3 Controles criptográficos

 Objetivo: Proteger la confidencialidad, autenticidad e integridad de la información por
medio de la criptografía.

A.12.3.1 Políticas en el uso de controles criptográficos

A.12.3.2 Administración de llaves

A.12.4 Seguridad del sistema de archivos

Objetivo: Garantizar la seguridad del sistema de archivos.

A.12.4.1 Control del Software operacional

A.12.4.2 Protección del sistema de prueba de datos
A.12.4.3 Control de acceso al código fuente del programa

A.12.5 Seguridad en el desarrollo y soporte de procesos

Objetivo: Mantener la seguridad del sistema de software de la aplicación y la

información.

A.12.5.1 Cambiar los procedimientos de control

A.12.5.2 Revisión técnica de las aplicaciones luego de cambios de operación del sistema
A.12.5.3 Restricciones en los cambios de los paquetes de software
A.12.5.4 Fuga de información
A.12.5.5 Desarrollo de software externo

A.12.6 Administración de vulnerabilidades técnicas

Objetivo: Reducir los riesgos resultantes de la explotación de la publicación de las

vulnerabilidades técnicas.

A.12.6.1 Control de vulnerabilidades técnicas

A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

A.13.1 Informes de los eventos y las debilidades de la seguridad de la información

Objetivo: Garantizar que los eventos y las debilidades de la seguridad de la

información asociados con los sistemas de información están comunicados de una
forma que permita tomar acciones correctivas precisas.

A.13.1.1 Informes de eventos de seguridad de información

A.13.1.2 Informes de las debilidades de la seguridad

A.13.2 Administración de las mejores y los incidentes de la seguridad de la información

Objetivo: Garantizar que un enfoque consistente y efectivo es aplicado en la

administración de los incidentes de seguridad de información.

A.13.2.1 Responsabilidades y procedimientos

 A.13.2.2 Aprendizaje desde los incidentes de seguridad de la información
A.13.2.3 Recolección de la evidencia

A.14 ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO

A.14.1 Aspectos de la seguridad de información de la administración de la continuidad de

negocios.

Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los

procesos críticos de negocio de los efectos de los fallos principales de los sistemas de
información o de los desastres y de garantizar su oportuna reanudación.

A.14.1.1 Incluir la seguridad de la información en la administración del proceso de la

continuidad del negocio
A.14.1.2 Continuidad del negocio y evaluación de riesgo.
A.14.1.3 Desarrollo e implementación de planes de continuidad incluyendo seguridad
de información
A.14.1.4 Planificación del sistema de continuidad de negocio
A.14.1.5 Pruebas, mantenimiento y re-evaluación de los planes de continuidad de
negocio

A.15 CONFORMIDAD

A.15.1 Conformidad con los requerimientos legales

Objetivo: Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación

contractual, y de cualquier requisito legal.

A.15.1.1 Identificación de la legislación aplicable

A.15.1.2 Derechos de propiedad intelectual
A.15.1.3 Protección de los registros organizacionales
A.15.1.4 Protección de datos y privacidad de la información personal
A.15.1.5 Prevención del mal uso de las facilidades de procesamiento de la información
A.15.1.6 Regulación de los controles criptográficos

A.15.2 Conformidad con las políticas y los estándares de seguridad, y conformidad técnica

Objetivo: Garantizar la obediencia de los sistemas de acuerdo a las políticas y

estándares de seguridad organizacional.

A.15.2.1 Conformidad de acuerdo a las políticas y estándares de seguridad

A.15.2.2 Chequeo de obediencia técnica

A.15.3 Consideraciones de auditoría de los sistemas de información

 Objetivo: Maximizar la eficacia y minimizar la interferencia desde/hasta los procesos
de auditoría de los sistemas de información.

A.15.3.1 Controles de auditoría de los sistemas de información

A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información

3. CONCLUSIONES:

Las políticas de información son muy importantes en una empresa ya que definen lo
que se puede hacer y lo que está prohibido dentro de un sistema de información.

Estas reglas establecen responsables en una compañía lo cual es de mucha

importancia.

La norma ISO27001 establece los parámetros a considerar y la estructura de la

documentación para las normas de seguridad de la información en una organización.