Auspicia:

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

AGENDA

I. Qu es la ISO?
II. La nueva estructura ISO 27001:2013.
III. Nuevos conceptos.
IV. La ISO 27002:2013.
V. Conclusiones

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

I. Qu es la ISO?

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

La ISO y sus principios de gestin

Es una federacin mundial de organismos nacionales de
normalizacin alrededor de 160 pases, trabajan a nivel de
Comits Tcnicos,
tienen al menos 19,000 estndares
publicados desde 1947 (creacin), 1951 (publicacin).

Trabaja en funcin a 8 principios de gestin:

1. Orientacin al cliente.
2. Liderazgo.
3. Participacin del personal.
4. Enfoque de procesos.
5. Enfoque de sistemas de gestin.
6. Mejora Continua.
7. Enfoque de mejora continua.
8. Relacin mutuamente beneficiosa con el proveedor.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

La ISO y sus estndares

Incremento de la demanda en las empresas por implementar sistema de
gestin estandares (ISO 9001, ISO 27001, ISO 22301, ISO 20000 otras).
Los estandares ISO son aplicables a cualquier tipo y tamao de empresa.

(Source: iso.org)
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

La ISO y como nace la ISO 27001:2013

Causas:
Los estandres ISO se revisan cada 4 o 5 aos.
Los controles de la ISO 27002 muchos son obsoletos.
La necesidad de integrar los sistemas de gestin (Anexo SL, PAS 99).

Historia:
El proyecto nace con la aprobacin de un articulo en el New Work
Item (NWI) el 19 de mayo 2009.
Lo primeros 3 borradores de trabajo conservan la estructura de 1ra
edicin.
La estructura comn y el texto bsico actual aplican al draft 4 en
oposicin de varios organismos nacionales.
El 2012-02-15 el Consejo de Gestin Tcnica de ISO (TMB) decidi que
la norma ISO 27001 tiene que seguir la nueva estructura, unificado,
pero que las desviaciones justificadas se admiten.
La alianza para elevar el nivel de abstraccin se logr
La alianza para dejar caer la Declaracin de aplicabilidad fall.
Los intentos para matar el proyecto hasta el final fracasaron.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

II. La nueva estructura de la ISO 27001:2013

1998

BS 7779-2

2002

BS-7799-1

2005

ISO/IEC
27001:2005

2013

ISO/IEC
27001:2013

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

ANEXO SL
INTEGRAR LAS NORMAS Y TERMINOS COMUNES
ISO 30301:2011, Informacin y documentacin - Sistemas de gestin de documentos Requisitos (armonizado con el anexo SL)
ISO 22301:2012, la seguridad societaria - Los sistemas de gestin de continuidad de
negocio - Requisitos (armonizado con el anexo SL)
ISO 20121:2012, sistemas de gestin de la sostenibilidad de eventos - Requisitos con
orientacin para su uso (armonizado con el anexo SL
ISO 27001:2013, sistemas de gestin de la seguridad de la informacin.

PRIME PROFESIONAL

Fuente Anexo SL
Ing. Manuel Collazos Balaguer

ISO 27001:2005 Y LA 27001:2013

1. Introduccin

1. Introduccin

2. Objeto

2. Objeto

3. Referencias Normativas

3. Referencias Normativas

4. Sistema de Gestin de la
Seguridad de la Informacin
4.1 General
4.2 SGSI

4. Contexto de la Organizacin
5. Liderazgo

4.2.1 Establecer
4.2.2 Implementar y Operar
4.2.3 Monitorear y Revisar
4.2.4 Mantener y Mejorar

6. Planificacin

7. Soporte

4.3 Documentar

8. Operacin

5. Responsabilidad de la Direccin
6. Auditora Interna

9. Evaluacin del desempeo

10. Mejora

7. Revisin de la Direccin
8. Mejora
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

10

VENTAJAS Y DESVENTAJAS
VENTAJAS

DESVENTAJAS

Facilita la integracin de los sistemas de Es una abstraccin y es un nivel alto, no

gestin, debido a que es una estructura es tan detallado.
de alto nivel, donde los trminos y
definiciones ayudan a implementar.
Todas las definiciones vienen del
estndar ISO 27000 y las
inconsistencias se han removido.

Los requisitos son un tanto mas difcil

para interpretar, debido a los nuevos
conceptos.

Los riesgos en la seguridad de la

informacin en su conjunto deben ser
abordados.

No se menciona el enfoque PDCA.

Los documentos requeridos estn

claramente establecidos, hace
referencia al tamao y complejidad.

No se menciona las polticas del SGSI.

Menciona que las acciones preventivas

no van.

No hay una descripcin detallada de la

identificacin del riesgo.

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

11

ALGUNOS DATOS
ISO 27001:2013

ISO 27001:2005

7 CLAUSULAS:
La mas resaltante es el
contexto de la organizacin.

5 CLAUSULAS:

154 requerimiento

178 requerimientos

32 nuevos requerimientos
El anexo A tiene 14 categoras
de control (del 5 al 18)

El anexo A tiene 11 categoras

de control (del 5 al 15)

Menciona a la ISO 31000 en la

clausula 6.1 Acciones para la
direccin de riesgos y
oportunidades

No menciona la ISO 31000 u

otro estndar.

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

12

NUEVOS REQUERIMIENTOS
4.2 Entendiendo las necesidades y expectativas de las partes interesadas.
4.3 Determinar los objetivos del SGSI.
5.1 Liderazgo y compromiso.
6.1 Acciones para direccionar los riesgos y las oportunidades.
6.2 Los objetivos de seguridad de la informacin y la planificacin para
alcanzarlos.
7.3 Sensibilizacin.
7.4 Comunicacin.
7.5 Informacin documentada.
8.1 Planificacin y control operativo.
9.1 Seguimiento, medicin, anlisis y evaluacin.
9.3 Revisin de la Direccin.
10.1 No-conformidades y acciones correctivas.

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

13

III. Nuevos conceptos

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

14

Qu es Informacin?
Las cuentas bancarias, estados de cuenta,
deuda tributaria, resultados de anlisis
clnicos, configuracin de un equipo de
red, cdigos de un sistema, tipo de
cambio, la propuesta tcnica y econmica,
estado financiero, el CV, la compra de una
empresa, las imgenes de una cmara, los
sueldos, correos, grabacin de un
telfono, logs de auditora, contratos,
examen de admisin, identificacin,
resultados electorales, la comunicacin
telefnica,

La informacin es un conjunto organizado de datos procesados, que

constituyen un mensaje que cambia el estado de conocimiento del sujeto o
sistema que recibe dicho mensaje. Para sus actividades diarias, operaciones
de su trabajo, para cumplir con sus funciones, el cual puede equivocarse o no,
o hacer el bien o el mal. La informacin tienen estructura que modificar las
sucesivas interacciones del ente que posee dicha informacin con su entorno.
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

15

Qu es Seguridad de la Informacin?
La informacin es un recurso que, como el resto de los activos, tiene
valor para una organizacin y por consiguiente debe ser debidamente
protegida. La seguridad de la informacin protege sta de una amplia
gama de amenazas, a fin de garantizar la continuidad del negocio,
minimizar el dao al mismo y maximizar el retorno sobre las inversiones y
las oportunidades.

La informacin puede existir en muchas formas. Puede estar impresa

o escrita en papel, almacenada electrnicamente, transmitida por
un medio electrnico, presentada en imgenes, o expuesta en una
conversacin. Cualquiera sea la forma que adquiere la informacin, o
los medios por los cuales se distribuye o almacena, siempre debe ser
protegida en forma adecuada.

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

16

ACTIVOS
ISO 27002:2013 Clausula 8.1
Activos relacionados con las instalaciones de procesamiento de
informacin y la informacin deben ser identificados y un
inventario de los activos deber estar redactado y mantenido.
Activo

Activo de
Soporte

Activo Primario

Informacin

Procesos

Hardware, Software, Redes,

Personal, Sitio, Servicios

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

17

PARTES INTERESADAS
ISO 27001:2013 Clausula 4.2
Entendiendo las necesidades y expectativas de las partes
interesadas
a) las partes interesadas que son relevantes para el
sistema de gestin de seguridad de la informacin, y
b) los requisitos de estas partes interesadas pertinentes a
la seguridad de la informacin.

Mis contribuyentes
requieren que les
brinde buenos
servicios en el
municipio

Los servicios de
limpieza publica,
infraestructura
urbana, parque y
jardines y seguridad
ciudadana tienen
que ser de calidad

Los procesos que

soportan esos
servicios deben ser
mejorados

La informacin de
esos procesos debe
ser confiable,
integra y disponible
para las tomas de
decisiones

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

18

RIESGOS
ISO 27001:2013 Clausula 6.1.2 Evaluacin de los riesgos de
la seguridad de la informacin.
c) identifica los riesgos de seguridad de la informacin:
1) aplicar el proceso de evaluacin de riesgos de seguridad de informacin
para identificar los riesgos asociados a la prdida de la confidencialidad,
integridad y disponibilidad de la informacin en el mbito del sistema de
gestin de la seguridad de informacin, y
2) identificar a los propietarios de los riesgos;

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

19

LIDERAZGO
ISO 27001:2013 Clausula 5.3 Roles de organizacin,
responsabilidades y autoridades
La alta direccin debe asegurarse de que las responsabilidades y autoridades
para las funciones pertinentes a la seguridad de informacin se asignen y se
comuniquen.

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

20

IV. La ISO 27002:2013

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

21

ISO 27002:2005 Y LA ISO 27002:2013

5. Poltica de Seguridad de la Informacin

5. Poltica de Seguridad de la Informacin

6. Organizacin de la Seguridad de la Informacin

6. Organizacin de la Seguridad de la Informacin

8. Seguridad de los Recursos Humanos

7. Seguridad de los Recursos Humanos

7. Gestin de activos

8. Gestin de activos

11. Control de acceso

9. Control de acceso
10. Criptografa

9. Seguridad fsica y del entorno

11. Seguridad fsica y del entorno

12. Seguridad en la operaciones

10. Gestin de comunicaciones y operaciones

12. Adquisicin, desarrollo y mantenimiento en
sistemas de informacin

13. Seguridad de las comunicaciones

14. Adquisicin, desarrollo y mantenimiento
de los sistemas
15. Relacin con los proveedores

13. Gestin de incidentes de S.I.

16. Gestin de incidentes de S.I.

14. Gestin de continuidad de negocio

17. Los aspectos de la S.I. en la G.C.N.

15. Cumplimiento

18. Cumplimiento

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

22

ISO 27002:2005 Y LA ISO 27002:2013

ISO 27002:2005

ISO 27002:2013

11 Clausulas de controles de
seguridad de la informacin

14 Clausulas de controles de
seguridad de la informacin

39 Categoras de control

35 Categoras de control

133 controles

111 controles

21 controles borrados

14 nuevos controles

Cerca de 20 controles fuertemente

revisados
Mas de 30 controles actualizados
Varios controles fusionados

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

23

ISO 27002:2005 Y LA ISO 27002:2013

Controles eliminados

Controles nuevos

6 .1.2 Coordinador de seguridad de

la informacin

6.1.5 Seguridad de la informacin en

la gestin de proyectos

10.4.2 Control de cdigo mvil

12.6.2 Restricciones en la instalacin

de software

11.4.2 Autenticacin de usuarios en

las conexiones externas

14.2.5 Principios en Ingeniera de

seguridad de los sistemas

11.4.4 Diagnostico remoto y

14.2.8 Prueba de la seguridad de los
proteccin de la configuracin de los sistemas
puertos
11.4.6 Control de las conexiones de
las redes

17.1.2 Implementar la continuidad

de la seguridad de la informacin

12.2.2 Control en el procesamiento

interno

15.1.3 Tecnologa de informacin y

comunicacin en la cadena de
suministro

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

24

V. Conclusiones

PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

25

CONCLUSIONES
Se nos viene un gran reto en la gestin de la seguridad de la informacin con
la nueva ISO 27001:2013
Los conceptos que debemos reforzar: Partes interesadas, Liderazgo,
Sensibilizacin, Comunicacin, Capacidades, Propietario del riesgo, Activos,
Gestin de Riesgos y Oportunidades, entre otros.

Se tiene un ao para las empresas certificadas en adaptar este nueva versin

de la ISO 27001:2013
La ISO 27003, 27004 y 27005 deben asumir nuevos roles bajo la ptica de la
ISO 27001:2013
La ISO 27002:2013 tiene menos controles en cantidad y en mtodo hay
menos controles tecnolgicos, adicionalmente se cuentan con polticas de
control mas claras.

Las empresas que han realizado el esfuerzo de implementar la ISO

27001:2005, deben tomar estrategias para alinear su implementacin a la ISO
27001:2013
PRIME PROFESIONAL
Ing. Manuel Collazos Balaguer

26

Muchas Gracias
por su atencin!
Ing. Manuel Collazos Balaguer
MASTER IMPLEMENTADOR Y
AUDITOR LIDER ISO 27001,
AUDITOR LIDER BS 25999
IMPLEMENTADOR LIDER ISO 22301
manuel.collazos@prime.pe

27

Calles Las Begonias 52839 Lince. Lima Per.

Central: (511) 222-1249
Directo: (511) 222-1249
Fax: (511) 273-2501
Celular: (511) 998-117-438
www.prime.pe
www.capacitacionprime.pe