UNIVERSIDAD FEDERICO

VILLAREAL
ESCUELA ACADMICO PROFESIONAL DE
INGENIERA INDUSTRIAL

SIMULACION DE SISTEMAS
DOCENTE:
ROMERO HORNA, GISSELA
ALUMNO:
RIDER OSORIO HUAMAN
CICLO
IX
LIMA- PER
2016

UNA INTRODUCCIN SIMPLE A LOS ASPECTOS BSICOS

ISO 27001 es una norma internacional emitida por la Organizacin Internacional
de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin
en una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y
ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public
en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin
fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa para
implementar la gestin de la seguridad de la informacin en una organizacin.
Tambin permite que una empresa sea certificada; esto significa que una entidad
de certificacin independiente confirma que la seguridad de la informacin ha sido
implementada en esa organizacin en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la
seguridad de la informacin y muchas empresas han certificado su cumplimiento;
aqu se puede ver la cantidad de certificados en los ltimos aos:

Fuente: Encuesta ISO sobre certificaciones de la norma para sistemas de gestin.

Cmo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y
disponibilidad de la informacin en una empresa. Esto lo hace investigando cules
son los potenciales problemas que podran afectar la informacin (es decir, la
evaluacin de riesgos) y luego definiendo lo que es necesario hacer para evitar
que estos problemas se produzcan (es decir, mitigacin o tratamiento del riesgo).
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin de
riesgos: investigar dnde estn los riesgos y luego tratarlos sistemticamente.

Las medidas de seguridad (o controles) que se van a implementar se presentan,

por lo general, bajo la forma de polticas, procedimientos e implementacin tcnica
(por ejemplo, software y equipos). Sin embargo, en la mayora de los casos, las
empresas ya tienen todo el hardware y software pero utilizan de una forma no
segura; por lo tanto, la mayor parte de la implementacin de ISO 27001 estar
relacionada con determinar las reglas organizacionales (por ejemplo, redaccin de
documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementacin demandar la gestin de mltiples polticas,
procedimientos, personas, bienes, etc., ISO 27001 ha detallado cmo amalgamar
todos estos elementos dentro del sistema de gestin de seguridad de la
informacin (SGSI).
Por eso, la gestin de la seguridad de la informacin no se acota solamente a la
seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que tambin tiene
que ver con la gestin de procesos, de los recursos humanos, con la proteccin
jurdica, la proteccin fsica, etc.

Por qu ISO 27001 es importante para su

empresa?
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementacin de esta norma para la seguridad de la informacin:
Cumplir con los requerimientos legales cada vez hay ms y ms leyes,
normativas y requerimientos contractuales relacionados con la seguridad de la
informacin. La buena noticia es que la mayora de ellos se pueden resolver
implementando ISO 27001 ya que esta norma le proporciona una metodologa
perfecta para cumplir con todos ellos.
Obtener una ventaja comercial si su empresa obtiene la certificacin y sus
competidores no, es posible que usted obtenga una ventaja sobre ellos ante los
ojos de los clientes a los que les interesa mantener en forma segura su
informacin.
Menores costos la filosofa principal de ISO 27001 es evitar que se produzcan
incidentes de seguridad, y cada incidente, ya sea grande o pequeo, cuesta
dinero; por lo tanto, evitndolos su empresa va a ahorrar mucho dinero. Y lo mejor
de todo es que la inversin en ISO 27001 es mucho menor que el ahorro que
obtendr.
Una mejor organizacin en general, las empresas de rpido crecimiento no
tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qu hay que hacer, cundo
y quin debe hacerlo. La implementacin de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus principales procesos
(incluso los que no estn relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados.

Dnde interviene la gestin de seguridad de la

informacin en una empresa?
Bsicamente, la seguridad de la informacin es parte de la gestin global del
riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad,
con la gestin de la continuidad del negocio y con la tecnologa de la informacin:

Cmo es realmente ISO 27001?

ISO/IEC 27001 se divide en 11 secciones ms el anexo A; las secciones 0 a 3 son
introductorias (y no son obligatorias para la implementacin), mientras que las
secciones 4 a 10 son obligatorias, lo que implica que una organizacin debe
implementar todos sus requerimientos si quiere cumplir con la norma. Los
controles del Anexo A deben implementarse slo si se determina que
corresponden en la Declaracin de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organizacin
Internacional para la Normalizacin, los ttulos de las secciones de ISO 27001 son
los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras
normas de gestin, lo que permite integrar ms fcilmente estas normas.

Seccin 0 Introduccin explica el objetivo de ISO 27001 y su compatibilidad

con otras normas de gestin.
Seccin 1 Alcance explica que esta norma es aplicable a cualquier tipo de
organizacin.
Seccin 2 Referencias normativas hace referencia a la norma ISO/IEC
27000 como estndar en el que se proporcionan trminos y definiciones.
Seccin 3 Trminos y definiciones de nuevo, hace referencia a la norma
ISO/IEC 27000.
Seccin 4 Contexto de la organizacin esta seccin es parte de la fase de
Planificacin del ciclo PDCA y define los requerimientos para comprender
cuestiones externas e internas, tambin define las partes interesadas, sus
requisitos y el alcance del SGSI.
Seccin 5 Liderazgo esta seccin es parte de la fase de Planificacin del
ciclo PDCA y define las responsabilidades de la direccin, el establecimiento de
roles y responsabilidades y el contenido de la poltica de alto nivel sobre seguridad
de la informacin.
Seccin 6 Planificacin esta seccin es parte de la fase de Planificacin del
ciclo PDCA y define los requerimientos para la evaluacin de riesgos, el
tratamiento de riesgos, la Declaracin de aplicabilidad, el plan de tratamiento de
riesgos y la determinacin de los objetivos de seguridad de la informacin.
Seccin 7 Apoyo esta seccin es parte de la fase de Planificacin del ciclo
PDCA y define los requerimientos sobre disponibilidad de recursos, competencias,
concienciacin, comunicacin y control de documentos y registros.
Seccin 8 Funcionamiento esta seccin es parte de la fase de Planificacin
del ciclo PDCA y define la implementacin de la evaluacin y el tratamiento de
riesgos, como tambin los controles y dems procesos necesarios para cumplir los
objetivos de seguridad de la informacin.

Seccin 9 Evaluacin del desempeo esta seccin forma parte de la fase de

Revisin del ciclo PDCA y define los requerimientos para monitoreo, medicin,
anlisis, evaluacin, auditora interna y revisin por parte de la direccin.
Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
Anexo A este anexo proporciona un catlogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

Cmo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir
estos 16 pasos:
1) Obtener el apoyo de la direccin
2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitacin y concienciacin
12) Realizar todas las operaciones diarias establecidas en la documentacin de su
SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas

Documentacin obligatoria
ISO 27001 requiere que se confeccione la siguiente documentacin:

Alcance del SGSI (punto 4.3)

Objetivos y poltica de seguridad de la informacin (puntos 5.2 y 6.2)

Metodologa de evaluacin y tratamiento de riesgos (punto 6.1.2)

Declaracin de aplicabilidad (punto 6.1.3 d)

Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)

Informe de evaluacin de riesgos (punto 8.2)

Definicin de roles y responsabilidades de seguridad (puntos A.7.1.2 y

A.13.2.4)

Inventario de activos (punto A.8.1.1)

Uso aceptable de los activos (punto A.8.1.3)

Poltica de control de acceso (punto A.9.1.1)

Procedimientos operativos para gestin de TI (punto A.12.1.1)

Principios de ingeniera para sistema seguro (punto A.14.2.5)

Poltica de seguridad para proveedores (punto A.15.1.1)

Procedimiento para gestin de incidentes (punto A.16.1.5)

Procedimientos para continuidad del negocio (punto A.17.1.2)

Requisitos legales, normativos y contractuales (punto A.18.1.1)

Y estos son los registros obligatorios:

Registros de capacitacin, habilidades, experiencia y calificaciones (punto

7.2)

Monitoreo y resultados de medicin (punto 9.1)

Programa de auditora interna (punto 9.2)

Resultados de auditoras internas (punto 9.2)

Resultados de la revisin por parte de la direccin (punto 9.3)

Resultados de medidas correctivas (punto 10.1)

Registros sobre actividades de los usuarios, excepciones y eventos de
seguridad (puntos A.12.4.1 y A.12.4.3)

Por supuesto que una empresa puede decidir confeccionar otros documentos de
seguridad adicionales si lo considera necesario.

Cmo obtener la certificacin?

Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b)
para las personas. Las organizaciones pueden obtener la certificacin para
demostrar que cumplen con todos los puntos obligatorios de la norma; las
personas pueden hacer el curso y aprobar el examen para obtener el certificado.
Para obtener la certificacin como organizacin, se debe implementar la norma tal
como se explic en las secciones anteriores y luego se debe aprobar la auditora
que realiza la entidad de certificacin. La auditora de certificacin se realiza
siguiendo estos pasos:

1 paso de la auditora (revisin de documentacin): los auditores revisarn

toda la documentacin.

2 paso de la auditora (auditora principal): los auditores realizarn la

auditora in situ para comprobar si todas las actividades de una empresa
cumplen con ISO 27001 y con la documentacin del SGSI.

Visitas de supervisin: despus de que se emiti el certificado, y durante su

vigencia de 3 aos, los auditores verificarn si la empresa mantiene su SGSI.

Las personas pueden asistir a diversos cursos para obtener certificados. Los ms
populares son:

Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear

cmo realizar auditoras de certificacin y est orientado a auditores y
consultores.

Curso de Implementador Principal de ISO 27001: este curso de 5 das le

ensear cmo implementar la norma y est orientado a profesionales y
consultores en seguridad de la informacin.

Curso de auditor interno en ISO 27001: este curso de 2 3 das le

ensear los conceptos bsicos de la norma y cmo llevar a cabo una auditora
interna; est orientado a principiantes en este tema y a auditores internos.

Revisiones 2005 y 2013 de ISO 27001

Como se mencion anteriormente, la norma ISO 27001 fue publicada por primera
vez en 2005 y luego fue revisada en 2013; por lo tanto, la versin vlida actual es
la ISO/IEC 27001:2013.
Los cambios ms importantes de la revisin 2013 estn relacionados con la
estructura de la parte principal de la norma, las partes interesadas, los objetivos, el
monitoreo y la medicin; asimismo, el Anexo A ha disminuido la cantidad de
controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14).
En la revisin 2013 se eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados procedimientos.
Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en
su conjunto, su filosofa principal sigue centrndose en la evaluacin y tratamiento
de riesgos y se mantienen las mismas fases del ciclo de Planificacin,
Implementacin, Revisin y Mantenimiento (PDCA, por sus siglas en ingls). Esta
nueva revisin de la norma es ms fcil de leer y comprender y es mucho ms
sencilla de integrar con otras normas de gestin como ISO 9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer la
transicin a la nueva revisin 2013 hasta septiembre de 2015 si quieren mantener
la validez de su certificacin.

Otras normas relacionadas con seguridad de la

informacin
ISO/IEC 27002 proporciona directrices para la implementacin de los controles
indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser

utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede
ser bastante til ya que proporciona ms informacin sobre cmo implementar
esos controles. A la ISO 27002 anteriormente se la conoca como ISO/IEC 17799 y
surgi de la norma britnica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medicin de la seguridad de la
informacin; se acopla bien con ISO 27001 ya que explica cmo determinar si el
SGSI ha alcanzado los objetivos.
ISO/IEC 27005 proporciona directrices para la gestin de riesgos de seguridad de
informacin. Es un muy buen complemento para ISO 27001 ya que brinda ms
informacin sobre cmo llevar a cabo la evaluacin y el tratamiento de riesgos,
probablemente la etapa ms difcil de la implementacin. ISO 27005 ha surgido
de la norma britnica BS 7799-3.
ISO 22301 define los requerimientos para los sistemas de gestin de continuidad
del negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta
ltima requiere la implementacin de la continuidad del negocio aunque no
proporciona demasiada informacin.
ISO 9001 define los requerimientos para los sistemas de gestin de calidad.
Aunque a primera vista la gestin de calidad y la gestin de seguridad de la
informacin no tienen mucho en comn, lo cierto es que aproximadamente el 25%
de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de
documentos, auditora interna, revisin por parte de la direccin, medidas
correctivas, definicin de objetivos y gestin de competencias. Esto quiere decir
que si una empresa ha implementado ISO 9001 le resultar mucho ms sencillo
implementar ISO 27001.