¿QUE ES UN SGSI?

Un sistema de Gestión para la seguridad de la información consta de una serie de

políticas, procedimientos e instrucciones o directrices específicas para cada actividad o
sistema de información que persiguen como objetivo la protección de los activos de
información en una organización
SGSI PROCESO SISTEMATICO

 Establece o planifica la Seguridad de la información estableciendo los procesos

y objetivos a conseguir
 Se implementa la Seguridad de la información dentro de los procesos de la
organización
 Se opera y mantienen los procesos establecidos para la seguridad de la
información
 Se miden los resultados (Monitoreo) e indicadores de los distintos procesos de la
seguridad de la información
 Se evalúa (Revisión) la efectividad de los procesos de la seguridad en base a los
objetivos establecidos
 Se analizan los resultados y se establecen nuevos objetivos (Mejora)
SGSI ENFOQUE BASADO EN EL RIESGO

La planificación de la Seguridad de la información se debe realizar con un enfoque

basado en el riesgo de modo que se fundamenta en una evaluación de riesgos y en los
niveles de aceptación de riesgos definidos por la organización para posteriormente tratar
y gestionar los riesgos de manera efectiva.

La evaluación de riesgos se debe realizar mediante un análisis de los requisitos para la

protección de los activos de información de una organización para poder seleccionar y
aplicar Los controles apropiados para garantizar la protección de estos activos de
información.

 Exceso de tiempos de Implantación.

 Temor ante el cambio: resistencia de las personas.
 Discrepancias en los comités de dirección.
 Delegación de todas las responsabilidades en departamentos técnicos.
 No asumir que la seguridad de la información es inherente a los procesos de
negocio.
 Planes de formación y concienciación inadecuados.
 Calendario de revisiones que no se puedan cumplir.
 Definición poco clara del alcance.
 Falta de comunicación de los progresos al personal de la organización.

SGSI PRINCIPIOS FUNDAMENTALES

Implantar con éxito un SGSI deberíamos tener en cuenta apoyarnos en los siguientes
principios fundamentales:

 Tomar conciencia de la necesidad de seguridad de la información

 Asignar responsabilidades y roles en las tareas de la seguridad de la
información;
 Temer el compromiso e implicación de la dirección de la organización y de las
partes interesadas
 Realizar las evaluaciones de riesgo para determinar los controles apropiados
para conseguir niveles aceptables de riesgo
 Incorporar los criterios de seguridad como un elemento esencial de las redes y
sistemas de información
  Promover la anticipación y la detección de incidentes de seguridad de la
información;
 Evaluación continua de la seguridad de la información para realizar
modificaciones cuando corresponda.

ISO 27000 enfoque de procesos

Dentro de una organización se establecen y gestionan una serie de tareas relacionadas

entre sí y que necesitan estar coordinadas entre sí de forma eficiente para conseguir el
propósito de la organización.

Una tarea normalmente se compone de varias actividades ejecutadas en un orden

determinado y necesita de una serie de recursos (personal, equipos e instalaciones)
además de una serie de entradas para obtener un resultado final o salidas. Esto es lo que
normalmente denominamos un proceso en una organización

La aplicación de un sistema de procesos dentro de una organización, junto con la

identificación e interacciones de estos procesos, y su gestión, se puede denominar como
un "enfoque de proceso".

ISO 27000 ¿Por qué es importante el SGSI?

Hoy en día, los activos de información son vitales dentro de una organización para la
consecución de sus objetivos por lo que se deben abordar los riesgos para la seguridad
de la información que afecten a estos activos.

Para conseguir la seguridad de la información se requiere la gestionar los riesgos para la

seguridad de la información, lo que incluye:

 Los riesgos de amenazas físicas y humanas

 Riesgos relacionados con las tecnologías asociadas con todas las formas de
información utilizadas por la organización.

Se de esperar que la implementación de un SGSI debería ser una decisión estratégica

para una organización ya que es necesario integrar los criterios para la seguridad de la
información en todas las necesidades de la organización y sus procesos.

Aunque la seguridad de la información es importante para cualquier empresa u

organización, resultando de vital importancia en empresas que basan su actividad en
comercio electrónico, banca, intercambio de datos o que manejan información
confidencial de miles de clientes. También resulta de vital importancia en empresas que
necesitan demostrar a sus clientes su capacidad de aplicar principios de seguridad de la
información con reconocimiento internacional y acreditado por una entidad
independiente en el caso de optar la certificación de su SGSI

ISO 27000 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI

Parea implementar un SGSI deberemos llevar a cabo una serie de pasos que al menos
deben incluir

 1. Una identificación y clasificación de los activos de información de la

organización según sus requisitos para la seguridad de la información que van
asociados al activo o al tipo de información que manejan
 2. Realizare una evaluación de riesgos para la seguridad de la información
identificados para cada activo de información
 3. Implementar un plan de tratamiento de riesgos de forma ponderada teniendo
en cuenta los resultados de la evaluación de riesgos
 4. implementar los controles seleccionados para minimizar los riesgos
inaceptables
 5. Medir los resultados de la implantación de los controles
 6. Evaluar la efectividad de los controles implementados asociados a los activos
de información
 7. Proponer planes de mejora para nuevos activos o riesgos identificados, así
como para los controles que lo necesiten

Este proceso debe sistematizarse y mantenerse a lo largo del tiempo con el objetivo de
mejorar de forma continua la seguridad de la información en una organización.

ISO 27000 Factores críticos de éxito del SGSI

La norma ISO 27000 enumera una serie de factores críticos a la hora de afrontar una
implementación con garantía de éxito de un SGSI.

1. TENER EN CUENTA OBJETIVOS Y POLÍTICAS PARA LA

SEGURIDAD DE LA INFORMACIÓN ESTEN EN CONSONANCIA
CON LOS OBJETIVOS DE LA ORGANIZACIÓN
Actualmente ya no es suficiente que un responsable de la seguridad de la información
sea un técnico experto en seguridad, ahora este rol debe incorporar una visión y
experiencia empresarial necesarias para tener conversaciones de mayor nivel con sus
juntas directivas y equipos ejecutivos. En nuestra opinión, el responsable de la
seguridad de la información debe tener un lugar en por órganos de dirección y ser
considerado como un cargo confiable por los ejecutivos principales del negocio.

2. INTEGRAR LA SEGURIDAD DE LA INFORMACION EN LA

CULTURA DE LA ORGANIZACIÓN

La cultura de la organización debe integrar no solo los procesos de la seguridad de la

información sino también la filosofía de un sistema de gestión que tiene en cuenta la
seguridad de la información tanto en el diseño de procesos, en la operación del sistema
y su mantenimiento, así como en la evaluación de sus procesos y decisiones de mejora

3. OBTENER EL APOYO Y COMPROMISO DE TODOS LOS NIVELES

DE GESTIÓN, ESPECIALMENTE DE LA ALTA DIRECCIÓN
4. REALIZAR UNA EVALUACIÓN DE RIESGOS QUE GARANTICE UNA
ADECUADA COMPRENSIÓN DE LOS REQUISITOS DE
PROTECCIÓN DE ACTIVOS DE INFORMACIÓN

La identificación de activos pasa por determinar qué datos, sistemas u otros activos se
considerarían las "joyas de la corona" de su organización. Por ejemplo, ¿qué activos
tendrían el impacto más significativo en su organización si se comprometiera su
confidencialidad, integridad o disponibilidad?

En particular no es difícil identificar la importancia de la confidencialidad en datos que

contengan información como los números de seguridad social, datos salud o que
involucren propiedad intelectual de la información.

En cuento a la integridad, por ejemplo, si una empresa debe cumplir con requisitos
legales SOX y FCPA de control interno para cumplir con exigencias USA, un problema
menor de integridad en los datos de informes financieros podría tener un costo enorme.
O bien, si una empresa es un servicio de descarga de contenido multimedia on line y la
disponibilidad de los archivos se ve comprometida, podrían perder suscriptores.

5. LA CAPACITACIÓN Y CONCIENCIACIÓN SOBRE LA SEGURIDAD

DE LA INFORMACIÓN DEBE INVOLUCRAR A TODOS LOS
EMPLEADOS

El éxito de un SGSI depende en gran medida o podríamos decir que pasa por implicar
de forma efectiva a todos los empleados y directivos en la realización de las tareas y
responsabilidades sobre la seguridad de forma activa y comprometida.

Para ello se deben adoptar las medidas necesarias para este objetivo

6. UN PROCESO EFECTIVO DE GESTIÓN DE INCIDENTES DE

SEGURIDAD DE LA INFORMACIÓN

Por mucho que queramos evitarlos los incidentes en la seguridad de la información se

producirán con mayor o menor frecuencia y es por ello que deberemos estar preparados
para ello.

Nadie está libre hoy en día de sufrir incidentes contra la seguridad de la información. Es
por ello que la gestión adecuada de los incidentes marcara la diferencia entre un sistema
de gestión bien implantado y responderá a las necesidades del negocio

Los incidentes deben tratarse desde

 Su detección
 Su adecuada comunicación interna
 Su tratamiento
 La comunicación externa
 El análisis causal
 El establecimiento de medidas de mejora para que disminuir su impacto cuando
sea necesario

7. UN ENFOQUE EFECTIVO DE GESTIÓN DE LA CONTINUIDAD DEL

NEGOCIO
La continuidad del negocio es un factor a abordar, ya que los incidentes en la seguridad
de la información pueden causar la indisponibilidad de los servicios o productos
prestados por la organización.

Es por este motivo que la continuidad del negocio debe ser un punto importante a tener
en cuenta en una organización e integrar los requisitos de continuidad del negocio en la
seguridad de la información

Normalmente en las organizaciones puede que las actividades de la seguridad de la

información estén separadas de la continuidad del negocio o la recuperación de
desastres. Esto sucede normalmente porque que la seguridad de la información suele
tener su propio conjunto de actividades centradas en la tecnología: proteger los
perímetros de la red, evitar el robo de información y neutralizar los virus y otros
programas maliciosos y la continuidad del negocio por el contrario, se centra más en la
organización en su conjunto y en las personas, los procesos, las instalaciones y las
tecnologías que la respaldan etc.

Sin embargo, para cumplir con los requisitos de un sistema de gestión para la seguridad
de la información, las actividades para la seguridad de la información deben integrarse
dentro de un sistema de gestión de la continuidad del negocio mejor entre sí. Cualquier
brecha de seguridad que afecte a los sistemas de información es una amenaza para la
continuidad del negocio y la recuperación de desastres. Una brecha de seguridad que
compromete los datos y la información vital de la compañía también es un evento de
continuidad empresarial. Una de las mayores preocupaciones después de los eventos de
seguridad es el daño a la reputación de la organización. Esto también es una
preocupación de continuidad del negocio. Los vínculos entre las disciplinas son
esenciales y deben considerarse dentro.

8. EVALUAR EL DESEMPEÑO Y UTILIZAR LA INFORMACION PARA

LA MEJORA

La efectividad del sistema de gestión pasa por tener claro el establecimiento de un

sistema de medición para evaluar el desempeño en la gestión de seguridad de la
información y con ello obtener las ideas y sugerencias de retroalimentación para
mejorar.

ISO 27000 BENEFICIOS DE LA FAMILIA DE NORMAS 27000

EL primer beneficio de implantar un SGSI es la reducción de los riesgos de seguridad

de la información o lo que es lo mismo la disminución de la probabilidad de ser
afectado por los incidentes en la de seguridad de la información

Otros beneficios de acogerse a las normas de la Serie ISO 27001 son

 Contar con una herramienta sistemática para implantar un SGSI que responda a
las necesidades de cualquier organización o negocio
 Permite integrar de forma coherente los objetivos de la seguridad de la
información con los objetivos del negocio, los procesos, la gestión de la
organización, la capacitación y sensibilización de los empleados así la
implantación de una cultura de la seguridad de la información en una
organización
 Permite adoptar las mejores prácticas internacionalmente aceptadas para la
seguridad de la información y adaptarlas a las necesidades de cada organización
 Establecen un lenguaje común para la seguridad de la información y que además
permite la certificación de un SGSI por entidades de organismos acreditados
 Promueve la confianza de las partes interesadas
 Mejoras las expectativas de los resultados de la organización y ayuda a
rentabilizar las inversiones en seguridad de la información

ISO 27000 LA FAMILIA DE NORMAS

ISO / IEC 27001

ISO 27001 es el buque insignia de las normas ISO 27001 y establece los requisitos para
implementar y certificar un sistema de la seguridad de la información

ISO / IEC 27006

Esta norma establece los requisitos para seguir un proceso de auditoría y certificación
de acuerdo a la norma ISO 27001 y afecta a los organismos y entidades de certificación

ISO / IEC 27009

Esta norma establece los requisitos para incluir controles para la seguridad de la
información distintos de los incluidos en el anexo A (ISO 27002) de la norma ISO
27001 y se aplica si es necesario en sectores específicos que lo requieran,

ISO / IEC 27002

Guía sobre Controles de Seguridad de la Información

Esta guía nos ofrece una serie de controles que se utilizan como como guía de
implementación para lograr los objetivos de la seguridad de la información

ISO / IEC 27003

Documento de ayuda para la implementación de ISO 27001

Se trata de una guía para la implementación de un SGSI de acuerdo con ISO / IEC
27001.

ISO / IEC 27004

Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación

Documento de ayuda para implementar un SGSI en cuanto a

 El monitoreo y la medición del desempeño de la seguridad de la información;

 El seguimiento y la medición de la eficacia de un sistema de gestión de
seguridad de la información (SGSI), incluidos sus procesos y controles;
 El análisis y la evaluación de los resultados de monitoreo y medición.

ISO / IEC 27005

Gestión de riesgos de seguridad de la información.

Documento de ayuda para implementar la gestión de riesgos de seguridad de la

información cumpliendo con los conceptos generales especificados en ISO / IEC 27001.

ISO / IEC 27007

Auditoría de sistemas de gestión de seguridad de la información

Documento de ayuda para la realización de auditorías de SGSI donde además se nos

proporcionan consejos para la selección de auditores y el establecimiento de programas
de auditorias

ISO / IEC TR 27008

Directrices para auditores sobre controles de seguridad de la información

Documento de ayuda para la selección e implementación de los controles de seguridad

además de:

 La operación de los controles

 La verificación del cumplimiento técnico de los controles

ISO / IEC 27013

Orientación sobre la implementación integrada de ISO / IEC 27001 e ISO / IEC 20000
Documento de ayuda para la implementación integrada de ISO / IEC 27001 e ISO / IEC
20000-1 para las organizaciones que tienen la intención de:

 Implementar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya esté implementado,
o viceversa;
 Implementar conjuntamente ISO / IEC 27001 e ISO / IEC 20000-1;
 Integrar sistemas de gestión existentes basados en ISO / IEC 27001 e ISO / IEC
20000-1.

ISO / IEC TR 27016

Economía organizacional

Documento de ayuda sobre métodos para la valoración de activos de información

identificados, así como sus riesgos potenciales, valoración de controles de protección de
información para determinar el nivel óptimo de recursos a aplicar.

ISO / IEC 27021

Requisitos de competencia para profesionales de sistemas de gestión de la seguridad de

la información

Especifican de requisitos de competencia para los profesionales responsables del SGSI

o involucrados en el establecimiento, implementación, mantenimiento y mejora
continua de uno o más procesos del sistema de gestión de seguridad de la información
según la norma ISO / IEC 27001

¿A quién le interesa la norma ISO 27021?

 A quienes deseen demostrar su competencia como profesionales del sistema de

gestión de la seguridad de la información (SGSI), o que deseen comprender y
cumplir la competencia requerida para trabajar en esta área, y que deseen
ampliar sus conocimientos,
 Organizaciones que buscan posibles candidatos profesionales del SGSI para
definir la competencia requerida para los puestos en roles relacionados con el
SGSI,
 Organismos para desarrollar la certificación para profesionales del SGSI que
necesitan un cuerpo de conocimiento (BOK) para las fuentes de examen, y
  Organizaciones de capacitación, como universidades e instituciones
vocacionales, para alinear sus programas de estudio y cursos con los requisitos
de competencia para los profesionales de SGSI.

ISO / IEC 27010

Gestión de la seguridad de la información para comunicaciones intersectoriales e

interorganizacionales

Documento de ayuda para implementar la gestión de la seguridad de la información en

las comunidades que comparten información.

En este documento se proporcionan controles e instrucciones para su implementación

específicamente relacionados la seguridad de la información en las comunicaciones
entre organizaciones y entre sectores.

ISO / IEC 27011

Controles de seguridad de la información basados en ISO / IEC 27002 para

organizaciones de telecomunicaciones

Documento de ayuda con pautas que respaldan la implementación de los controles de

seguridad de la información en las organizaciones de telecomunicaciones.

Ayuda para las empresas de telecomunicaciones para cumplir con los requisitos básicos
de administración de seguridad de la información de confidencialidad, integridad,
disponibilidad y cualquier otra propiedad de seguridad relevante.

ISO / IEC 27017

Pautas para implementar controles de seguridad de la información basados en ISO / IEC

27002 para servicios en la nube

ISO 27017

Incluye:
  Una guía de implementación adicional para los controles relevantes
especificados en ISO / IEC 27002
 Controles adicionales con guías de implementación que se relacionan
específicamente con los servicios en la nube.

ISO / IEC 27018

Pautas para la protección de información de identificación personal (PII) en nubes

públicas que actúan como procesadores de PII

ISO / IEC 27018

establece objetivos de control, controles y pautas comúnmente aceptados para

implementar medidas para proteger la información de identificación personal (PII) de
acuerdo con los principios de privacidad de ISO / IEC 29100 para el entorno de
computación en la nube pública.

ISO / IEC 27019

Controles de seguridad de la información para la industria de servicios públicos de

energía

Pautas basadas en ISO / IEC 27002 aplicada a los sistemas de control de procesos
utilizados por la industria de la energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica, gas,
petróleo y calor, y Para el control de los procesos de soporte asociados.

ISO 27019
Incluye:

 control centralizado y distribuido de procesos, tecnología de control y

automatización, así como sistemas de información utilizados para su
funcionamiento, como dispositivos de programación y parametrización;
 controladores digitales y componentes de automatización, como dispositivos de
control y de campo o controladores lógicos programables (PLC), incluidos
sensores digitales y elementos de actuador;
 todos los sistemas de información de soporte adicionales utilizados en el
dominio de control de procesos, p. Ej. para tareas complementarias de
visualización de datos y para fines de control, monitoreo, archivo de datos,
registro de historiadores, informes y documentación;
  tecnología de comunicación utilizada en el dominio de control de proceso, p. Ej.
redes, telemetría, aplicaciones de telecontrol y tecnología de control remoto;
 componentes de infraestructura de medición avanzada (AMI), por ejemplo,
contadores inteligentes;
 dispositivos de medición, por ejemplo, para valores de emisión;
 protección digital y sistemas de seguridad, por ejemplo, relés de protección, PLC
de seguridad, mecanismos de control de emergencia;
 sistemas de gestión de energía, por ej. de recursos energéticos distribuidos
(DER), infraestructuras de carga eléctrica, en hogares privados, edificios
residenciales o instalaciones industriales de clientes;
 componentes distribuidos de entornos de redes inteligentes, por ejemplo, en
redes de energía, en hogares privados, edificios residenciales o instalaciones
industriales de clientes;
 todo el software, el firmware y las aplicaciones instaladas en los sistemas
mencionados anteriormente, por ejemplo, Aplicaciones DMS (sistema de gestión
de distribución) u OMS (sistema de gestión de interrupciones);
 cualquier local que contenga los equipos y sistemas mencionados anteriormente;
 Sistemas de mantenimiento remoto para los sistemas mencionados.

ISO 27019 no es aplicable al sector de la energía nuclear. Este sector está cubierto por
la norma IEC 62645

ISO 27000 Consejos Básicos

 Mantener la sencillez y restringirse a un alcance manejable y reducido.

 Comprender en detalle el proceso de implantación.
 Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
 La autoridad y compromiso decidido de la Dirección de la empresa.
 La certificación como objetivo.
 Servirse de lo ya implementado.
 Reservar la dedicación necesaria diaria o semanal.
 Registrar evidencias.

IMPLANTACIÓN

Para establecer y gestionar un Sistema de Gestión de Seguridad de Información en base

a ISO 27000, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión
de calidad.
Definir alcance del SGSI.
Definir política de seguridad
Metodología de evaluación de riesgos.
Inventario de activos.
Identificar amenazas y
vulnerabilidades. Definir plan de tratamiento de riesgos.
Identificar impactos. Implantar plan de tratamiento de
Análisis y evaluación de riesgos. riesgos.
Selección de controles y SOA Implementar los controles.
Formación y concienciación.
Compromiso de la Dirección.
Operar el SGSI
Planificación.
Fechas.
Responsables.
 Do (hacer): implementar y utilizar el SGSI.
AN DO Check (verificar): monitorizar y revisar el
PL SGI.
Act (actuar): mantener y mejorar el SGSI
Arranque del Proyecto

K
AC HEC
Implantar mejoras. T C Revisar el SGSI.
Acciones correctivas. Medir eficacia de los controles.
Acciones preventivas. Revisar riesgos residuales.
Comprobar eficacia de las acciones. Realizar auditorías internas del SGSI.
Registrar acciones y eventos.

EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001.
ASPECTOS CLAVES Y RELACIÓN CON LAS NORMAS ISO
22301 E ISO/IEC 20000
1. Las amenazas a los activos de información.

En la actualidad, las empresas se enfrentan a muchos riesgos e inseguridades procedentes de

focos diversos. Esto quiere decir que los activos de información de las empresas, uno de sus
valores más importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan
una amplia tipología de vulnerabilidades.

La seguridad de estos activos de información está en función de la correcta gestión de una

serie de factores como: la capacidad, la elaboración de un plan de contingencia frente a los
incidentes, el análisis de riesgos, las competencias, el grado de involucración de la Dirección,
las inversiones en seguridad y el grado de implementación de controles.

Aunque existen muchos soportes documentales diferentes, como la información en papel o los
soportes analógicos participantes, lo cierto es que, en la actualidad, la mayor parte de la
información gestionada por una empresa se sustenta en la información automatizada
(informatizada) a través de las nuevas herramientas de las Tecnologías de la Información y la
Comunicación (TICs). Por este motivo, la tendencia de la norma ISO 27001 es tratar aspectos
mayoritariamente del rango informático.

2. Aspectos claves de un SGSI basado en la norma ISO 27001.

La norma ISO 27001 es una solución de mejora continua en base a la cual puede desarrollarse
un Sistema de Gestión de Seguridad de la Información (SGSI) que permita evaluar todo tipo de
riesgos o amenazas susceptibles de poner en peligro la información de una organización tanto
propia como datos de terceros.

Por otro lado, también permite establecer los controles y estrategias más adecuadas para
eliminar o minimizar dichos peligros.
Como ocurre con todas las normas ISO, la 27001 es un sistema basado en enfoque basado en
el ciclo de mejora continua o de Deming. Dicho ciclo consiste, como ya sabemos, en Planificar-
Hacer-Verificar-Actuar, por lo que se le conoce también como ciclo PDCA (acrónimo de sus
siglas en inglés Plan-Do-Check-Act).

Trasladado a las necesidades de un SGSI, el ciclo PDCA planteado por la ISO 27001 se dividiría
en los siguientes pasos, cada uno de ellos ligado a una serie de acciones:

Definir la política de seguridad

Establecer al alcance del SGSI

Realizar el análisis de riesgo

PLANIFICAR Seleccionar los controles

Definir competencias
Establecer un mapa de procesos

Definir autoridades y responsabilidades

Implementar el plan de gestión de riesgos

HACER Implementar el SGSI

Implementar los controles

Revisar internamente el SGSI

Realizar auditorías internas del SGSI
CONTROLAR
Poner en marcha indicadores y métricas
Hacer una revisión por parte de la dirección

Adoptar acciones correctivas

ACTUAR
Adoptar acciones de mejora

3. Relación de la norma ISO 27001 con la ISO 22301 y la ISO /IEC 20000.

La norma ISO 27001, que como hemos visto está muy enfocada en la parte informática de la
empresa, se encuentra muy ligada y tiene puntos en común con otras dos normas ISO: la ISO
22301 de continuidad del negocio y la ISO/IEC 20000, de gestión de servicios TI (Tecnología de
la Información).

La ISO 22301 trabaja el tema de la seguridad en la empresa desde una perspectiva mucho más
general y global, tratando de asegurar la continuidad del negocio, lo cual influye en aspectos
tan diversos como: los activos financieros, la contabilidad, los aspectos legales y todos los
factores ligados con la producción y la operativa.
 Ciclo de desarrollo mantenimiento y mejora.

El estándar 22301 se centra en diversos aspectos de la organización que van a permitir su

sustentabilidad, utilizando para ello ciertos elementos y controles que van a evitar las
consecuencias de las distintas amenazas, así como también encontrar las causas que motivan
el problema.

Un aspecto muy importante de la norma ISO 22301, que no tiene en cuenta la 27001, son los
tiempos de recuperación, una cuestión crucial para poder evaluar si nuestro plan de
contingencia es el adecuado para poder reanudar la actividad en unos niveles aceptables para
la organización, una vez ha ocurrido el incidente.

Otra noma relacionada con la ISO 27001 es el estándar ISO/IEC 20000, de gestión de la calidad
de los servicios TI (Tecnologías de la Información): hosting, páginas web, e-learning, desarrollo
de software. Todo ello val ligado a la continuidad del negocio y de los servicios de información
y, en conjunto, sirve para garantizar un servicio seguro, sin interrupciones importantes y de
calidad.

4. Fases De Un SGSI Basado En La Norma ISO 27001.

En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar
un SGSI.

1. Análisis y evaluación de riesgos.

2. Implementación de controles

3. Definición de un plan de tratamiento de los riesgos o esquema de mejora

4. Alcance de la gestión
5. Contexto de organización

6. Partes interesadas

7. Fijación y medición de objetivos

8. Proceso documental

9. Auditorías internas y externas

Análisis y evaluación de riesgos: Identificación de amenazas.

Identificación de las amenazas
Un SGSI basado en la norma ISO 27001 se fundamenta principalmente en la identificación y
análisis de las principales amenazas para, a partir de este punto de partida, poder establecer
una evaluación y planificación de dichos riesgos.

Una amenaza se puede definir como cualquier evento que puede afectar los activos de
información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas
técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con
malware, una inundación, un incendio o cortes de fluido eléctrico.

Pero en ocasiones basta una omisión o despiste por parte del personal de la em- presa, como
el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e
incluso irreparable, de la información.

En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las
organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de
información.
 La evaluación del riesgo

Identificación de
activos

Requisitos
Amenazas Vulnerabilidades
legales

Análisis de
impacto

Seleccionar e implementar controles

Tratamiento del riesgo

-Asumir riesgo -Reducir el riesgo -Eliminar el riesgo Transferir el riesgo
Un correcto proceso de identificación de riesgos implica:

Identificar todos aquellos activos de información que tienen algún valor para la organización.

Asociar las amenazas relevantes con los activos identificados.

Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.

Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y

disponibilidad para cada activo.

Análisis y evaluación de los riesgos y sus consecuencias.

Se debe analizar el impacto en el negocio de un fallo de seguridad que su- ponga la pérdida de
confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma
realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas,
vulnerabilidades e impactos en los activos.

Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son
muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o
robo de datos relevantes o confidenciales.

1. Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes

fases:

2. Recogida y preparación de la información.

3. Identificación, clasificación y valoración los grupos de activos.

4. Identificación y clasificación de las amenazas.

5. Identificación y estimación de las vulnerabilidades.

6. Identificación y valoración de impactos: identificar, tipificar y valorar los impactos.

7. Evaluación y análisis del riesgo.

Criticidad del riesgo.

Por este motivo, se deben evaluar las consecuencias potenciales para poder evaluar su
criticidad: riesgo aceptable y riesgo residual.

Riesgo aceptable.
No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco
resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias
 a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado
grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.

Riesgo residual.
Se trata del riesgo que permanece y subsiste después de haber implementado los debidos
controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es
un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia
las medidas evaluadoras y correctoras para mitigar el riesgo inherente.

La evaluación del riesgo

Aprovechan

Amenazas Vulnerabilidad

Protegen de Exponen
Aumentan Aumentan

Disminuyen
Controles Activos
Riesgos

Marcan Aumenta
Imponen Tienen
Impactan si
se materializa

Requerimientos de Valor de los activos

seguridad
 El compromiso del liderazgo.
La norma ISO 27001 otorga un peso cualitativo muy importante a la Dirección, la cual debe
ejercer el liderazgo del sistema de seguridad. A partir de aquí, se debe establecer un plan de
trabajo en el que quede perfectamente definida la segregación de tareas. Dicho de otro modo:
se tiene que establecer con exactitud quién tiene que hacer cada función y cómo ejecutarla.

Los dueños del riesgo.

La norma ISO 27001 establece la figura de Dueño del Riesgo, asociándose cada amenaza
potencial o real a un responsable, que es la persona que se asegura que se lleven a cabo las
distintas actividades.

Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino
alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a
lo establecido.

Por lo tanto, es necesario definir la estructura organizacional del SGSI, seleccionado el personal
idóneo dependiendo del tamaño de la empresa y el alcance definido para la implantación del
SGSI. De acuerdo a las dos anteriores variables, se puede determinar el número de
profesionales con los perfiles necesarios que formarán parte del grupo de seguridad de la
información de la institución.

La implementación de controles.
Con el objetivo de que cada riesgo identificado previamente quede cubierto y pue- da ser
auditable, la norma ISO 27001 establece en su última versión: ISO/IEC 27001:2013 hasta 113
puntos de control (en la versión anterior del 2005 eran 133).

Los 113 controles están divididos por grandes objetivos:

Políticas de seguridad de la información.

Controles operacionales.

Cada empresa, según su parecer, puede añadir más puntos de control si lo considera
conveniente, así como personalizarlos para adaptarlos a su propio Plan de Control
Operacional, pero siempre deben estar alineados a lo que pide la norma.
Definición De Un Plan De Tratamiento De Los Riesgos O
Esquema De Mejora.
Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema de mejora, en
el que se tengan en cuenta las distintas consecuencias potenciales de esos riesgos,
estableciendo una criticidad para cada uno de ellos y así poder evaluar con objetividad las
diferentes amenazas.

Formas De Afrontar El Riesgo.

Una empresa puede afrontar el riesgo básicamente de tres formas diferentes: eliminarlo,
mitigarlo o trasladarlo.

Eliminar el riego.
Si el riesgo es muy crítico, hasta el punto de que pueda poner en peligro la propia continuidad
de la organización, ésta debe poner todos los medios para tratar de eliminarlo, de manera que
haya una posibilidad cero de que la amenaza se llegue realmente a producir.

Mitigarlo.
En la gran mayoría de ocasiones no es posible llegar a la eliminación total del riesgo, ya sea
porque es imposible técnicamente o bien porque la empresa decida que no es un riesgo
suficientemente crítico. En estos casos la organización puede aceptar el riego, ser consciente
de que la amenaza para la información existe y dedicarse a monitorearlo con el fin de
controlarlo.

En definitiva, se trata de implantar las medidas preventivas o correctivas necesarias con el fin
de reducir la posibilidad de ocurrencia o el impacto de riesgo.

Trasladarlo.
Esta opción está relacionada con la contratación de algún tipo de seguro que compense las
consecuencias económicas de una pérdida o deterioro de la información.

Sea cual el plan de tratamiento elegido por la empresa, la gestión de riesgos debe garantizar a
la organización la tranquilidad de tener suficientemente identificados los riesgos y los
controles pertinentes, lo cual le va a permitir actuar con eficacia ante una eventual
materialización de los mismos.
En cualquier caso, a la hora de elegir una u otra opción la empresa debe mantener el equilibrio

entre el costo que tiene una actividad de control, la importancia del activo de la información

para los procesos de la empresa y el nivel de criticidad del riesgo.

Establecimiento de un rango para cada control.

A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el
acceso a un área segura podría dividirse en:

Rango 1. No hay establecida ninguna medida de seguridad.

Rango 2. Existe alguna medida de seguridad, pero no se ha establecido una pauta concreta ni
periodicidad.

Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación
de las mismas.

Rango 4. Los controles tienen establecidos una periodicidad, evaluación y seguimiento.

Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la
empresa que lo gestiona y está implementada dentro de la propia organización.

La empresa debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la
seguridad de la información, teniendo en cuenta que los controles de carácter preventivo son
más eficaces que los correctivos.

Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la
alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que
avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse).

Todos estos controles siguen un ciclo de mejora continúa vinculado al plan de tratamiento de
riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual, que es el
riesgo bruto mitigado por los controles.

Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si

es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean
necesarias.
Los controles están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y
especificidad los diferencian de los existentes en otras normas, que tienen un carácter más
generalista y transversal.

El alcance de la gestión.
En la planeación para la implementación de un SGSI es muy importante definir el alcance para
la implementación del sistema en una organización.

Teniendo en cuenta que existen organizaciones que difieren en tamaño por el número de
empleados, volumen de información manejada, número de clientes, volúmenes de activos
físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario
determinar cómo se debe implantar un SGSI.

Por ejemplo, se debe elegir en qué áreas o dependencias de la organización se desea implantar
el SGSI como primera medida, cuáles posteriormente y, en algunos casos, determinar si existen
ámbitos del negocio que, por sus características, no precisan de la implantación de un
protocolo de seguridad.

Por lo general, las primeras áreas que se deben considerar son aquellas que, por sus funciones
y responsabilidades, ayudan en primera instancia a dar cumplimiento a la misión institucional.

Pongamos un ejemplo concreto, la determinación de alcance y priorización de una empresa

comercial de tamaño mediano de compra y venta de artículos deportivos, que vende por
Internet y de forma presencial en sus diferentes sedes locales y nacionales, podría ser la
siguiente:

Determinar que en primera instancia se deben cubrir áreas de contabilidad, inventario y

facturación por ser un tema sensible, donde se manejan datos claves para la empresa.

En segundo lugar, se deberían considerar la logística y atención al cliente, ya estas áreas que
permiten un trato directo con los mismos pudiendo mejo- rar su satisfacción.

El resto de áreas de la empresa, como el marketing, pueden no incluirse en primera instancia

en el SGSI, para irse introduciendo luego de manera progresiva.
Contexto de organización
El análisis de contexto de la organización es fundamental para el SGSI, ya que nos permite
determinar los problemas internos y externos de la organización, así como sus debilidades,
amenazas, fortalezas y oportunidades que nos puedan afectar.

La norma ISO no especifica el método a utilizar para el análisis del contexto, sien- do del
método DAFO uno de los más comunes y aceptados. Sea cual sea el sistema elegido, es
fundamental someter a valoración tanto el contexto interno (pro- ductos y servicios) como
externos (logística o clima organizacional).

Partes Interesadas.
Para poder realizar un correcto análisis de riesgo es preciso definir un contexto de la
organización y comprender las necesidades y expectativas de todas las partes interesadas:

Proveedores de servicios de información y de equipamientos de Tecnologías de la Información

(TICs).

Clientes, poniendo especial cuidado en la gestión de datos de protección personal.

Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los aspectos legales.

Participación en foros profesionales.

La sociedad en general.

Fijación Y Medición De Objetivos.

Fijación De Objetivos.
Es necesario fijar unos objetivos para la gestión de riegos, los cuales deben poder ser medibles,
aunque no es necesario que sean cuantificables.

Otro aspecto básico es que estos objetivos deben ser eficientemente comunicados al conjunto
de los empleados de la empresa, puesto que todos los profesionales deben ser conscientes de
que participan en un objetivo común, y que un descuido o una mala actitud pueden acarrear
consecuencias muy negativas.

Además, todas las personas que trabajan en la organización deben poseer las competencias
necesarias en materia de seguridad de la información según su puesto o función en la
empresa.

Por otro lado, cada objetivo definido tiene que estar asociado a unos indicadores que permitan
realizar un seguimiento del cumplimiento de las actividades.

El proceso documental
La norma ISO 27001 da mucha importancia a la documentación, estableciendo de manera muy
estricta cómo se debe gestionar la documentación y exigiendo que la organización cuente con
un procedimiento documentado para gestionar toda la información. Esta cuestión es
fundamental para la obtención de la certificación.

La documentación puede ser presentada en diversos formatos: documentos en papel, archivos

de texto, hojas de cálculo, archivos de vídeo o audio, etc. Pero en cualquier caso constituye un
marco de referencia fundamental y debe estar lista en todo momento para que pueda ser
consultada.

La organización debe gestionar tanto los documentos internos (políticas di- versas,
procedimientos, documentación del proyecto, etc.), como lo externos (diferentes tipos de
correspondencia, documentación recibida con equipamiento, etc.). Por este motivo, la gestión
de documentación es una tarea compleja e integral.

Con el objetivo de que las empresas gestionen eficazmente los documentos, la norma ISO
27001 exige la aplicación de un método sistemático para su mane- jo, así como la redacción de
un procedimiento para su gestión.
Auditorías internas y revisión por la dirección
Las auditorías internas
Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en la norma
ISO 27001, se hace necesario llevar a cabo auditorías internas cada cierto tiempo para poder
comprobar que el sistema se encuentra en un estado idóneo.

Existen dos grandes tipos de auditorías internas:

Gestión. Donde se supervisa el liderazgo, el contexto, etc.

Controles. En este caso se auditan los 113 controles, normalmente se rea- liza por personal
más experto y puede realizarse en años distintos.

Básicamente, el principal motivo de que se realicen las auditorías internas periódicamente es

poder determinar si los procedimientos del SGSI se encuentran conforme a: los requisitos de la
norma, la legislación vigente en cada país o sector y los objetivos marcados por la Dirección
para el propio sistema de gestión.

El plan de auditoría interna

En la planificación de la auditoría se debe contar con el nivel de importancia de los procesos y
de las áreas que van a ser auditadas y, además, hay que tener en cuenta los resultados
obtenidos de auditorías previas. También es necesario definir los criterios utilizados durante la
auditoría, el alcance, la frecuencia y los métodos utilizados.
Si se detectan problemas o desviaciones entre los objetivos de seguridad planteados y los
resultados obtenidos, el equipo auditor comprueba si se están aplicando las medidas
necesarias, proponiendo nuevas medidas en caso necesario.

Revisión por la dirección

Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta Dirección con el
objetivo de comprobar el buen funcionamiento del sistema, si se están cumpliendo los
objetivos y también si se está produciendo un Retorno de la Inversión (ROI).

La Alta Dirección de la organización es la máxima responsable de que el área auditada lleve a

cabo las acciones necesarias para eliminar las No Conformidades que se hayan detectado
durante la auditoría interna.

Ejemplos de No Conformidades pueden ser: no tener un antivirus instalado en todos los

equipos, que el equipo no se encuentre encriptado o que existan contraseñas conocidas por
más de una persona, cuando deberían ser unitarias o individuales.

Durante el seguimiento de las actividades realizadas, se tiene que incluir una verificación de las
acciones que se han llevado a cabo, además de un informe en el que se plasmen los resultados
obtenidos.

Cómo automatizar el Sistema de Gestión de Seguridad de la

Información según ISO 27001.
Un software de automatización permite poder llevar a cabo una gestión muy eficaz y
exhaustiva de cualquier tipo de riesgo: operacionales, financieros, industriales, legales u
operativos, ajustándolos completamente a las necesidades de cada una de las organizaciones y
facilitando, en gran medida, la adecuación a la normativa.

Algunos aspectos a tener en cuenta en este tipo de herramientas que facilitan la

automatización de la gestión de riesgos son:

Poner en marcha procesos de identificación automática de los riesgos a los que está expuesto
cada organización.

Alinear cada riesgo con propuestas de posibles controles para conseguir reducir los riesgos de
las compañías.

Poner en marcha un automático del seguimiento del tratamiento de riesgos.

Realizar proyecciones y simulaciones que permitan visualizar los resulta- dos que se podrían
obtener con la implantación de los controles definidos en el plan de tratamiento de riesgos.

La plataforma ISOtools facilita la automatización de la ISO 27001.

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma
Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer –
Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la
Seguridad de la Información, así como se da cumplimiento de manera complementaria a las
buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la

Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y
OHSAS 18001 de una forma sencilla gracias a su estructura modular.

Sectores más interesados en la implementación de este sistema.

Aunque la norma ISO 27001 es perfectamente válida como guía o base para la implementación
de un SGSI en cualquier empresa u organización, con independencia de su tamaño o sector,
resulta especialmente interesante, y casi necesaria, en los siguientes sectores:

Salud.

Sector público.

Sector financiero.

Sector de la salud.
La definición y puesta en marcha de un SGSI basado en la norma ISO es especial- mente
atractiva para las organizaciones médicas, tanto públicas como privadas, por los siguientes
motivos:

La información que manejan es especialmente crítica y confidencial.

Los requisitos y medidas planteados por la ISO 27001 garantizan la confidencialidad y

seguridad de la información de los pacientes y trabajado- res ante cualquier amenaza.

En todo momento se preserva la confidencialidad, integridad y disponibilidad de la

información.

Con la aplicación de este sistema se consiguen ventajas adicionales como: mejorar la calidad
de los servicios, disminuir los tiempos de espera o agilizar las comunicaciones internas y
externas del hospital o centro de salud.

Sector público.
El sector público y la administración en general también son ámbitos muy interesados en la
esta norma ISO 27001. El principal motivo es que permiten poner en marcha sistemas y
protocolos que garanticen la confidencialidad y gestión adecuada de la gran cantidad de datos
que manejan, muchos de ellos personales y con un alto nivel de criticidad.
Sector financiero.
La ISO 27001 es muy necesaria para el sector financiero en general, y el de las grandes
empresas en particular, con el fin de asegurar los recursos humanos y financieros de las
organizaciones.

Algunas ventajas de la certificación ISO son:

 Lograr ventaja competitiva.

 Garantizar la gestión de la calidad.

 Controlar y reducir los riesgos operativos y comerciales.

 Cumplir con la legislación y normativa de cada país y sector.

 Poner en marcha procesos de mejora continua.