NTC ISO/IEC 27001

Tecnología de la información

Técnicas de seguridad

sistemas de gestión de la

seguridad de la información

Integrantes:Ing. Sandra Milena Ocampo CIng. Jorge Hernán Gaviria

¿Qué es información?

Conjunto de datos organizados en poder de una entidad que poseen valor para la misma.

La información puede estar

• escrita, • en imágenes, • oral, • impresa en papel, • almacenada electrónicamente, • proyectada, • enviada por correo, fax o e-mail,• transmitida en conversaciones.• nube

Seguridad de la información

Consiste en la preservación de suconfidencialidad, integridad ydisponibilidad, así como de los sistemasimplicados en su tratamiento, dentro de unaorganización.

Ciclo de vida de la información

• La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

Confidencialidad

• Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.Integridad

• Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Disponibilidad

¿Qué es un SGSI?

Dado el conocimiento del ciclo de vida de cadainformación relevante se debe adoptar el uso deun proceso sistemático, documentado y conocidopor toda la organización, desde un enfoque deriesgo empresarial. Este proceso es el queconstituye un SGSI

ORIGEN

1979 1998 20021995 2000

2013 200520072009

Normas BSLa British Standards Institutionpublica normas con el prefijo BS con carácter internacional. Estas son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001.

BS 7799-1:1995Mejores prácticas para ayudar a lasempresas británicas a administrar laSeguridad de la Información. Eranrecomendaciones que no permitían lacertificación ni establecía la forma deconseguirla.

BS 7799-2:1999Revisión de la anteriornorma. Establecía los requisitos para implantar un Sistema de Gestión de Seguridad de la Información certificable. En 1999 serevisa.

ISO/IEC 17799:2000La organización Internacionalpara la Estandarización(ISO) tomó la norma británica BS 7799-1 que dio lugar a la llamada ISO 17799, sin experimentar grandescambios.

BS 7799-2:2002Se publicó una nueva versión que permitió la acreditación de empresas por una entidad certificadora de Reino Unido y en otros países.

ISO/IEC 27001:2005 e ISO/IEC 17799:2005 Aparece el estándar ISO 27001 como norma internacional certificable y se revisa la ISO 17799 dando lugar a la ISO 27001:2005.

ISO 17799. Se renombra y pasa a ser la ISO 27002:2005 ISO/IEC 27001:2007.Se publica la nueva versión

ISO 27001:2007/1M:2009Se publica un documento adicional de modificaciones llamado ISO 27001:2007/1M:2009.

Nueva ISO 27001:2013Nueva ISO 27002:2013

Directrices

para auditoria

de SGSI

Requisitos

organismos

de auditoria

Gestión del

riesgo de S.I

Métricas

SGISGuía para

implementación

del SGSI

Términos y

vocabulario

Requisitos

SGSI

Guía de

buenas

prácticas

SERIE 27000

27007 27009

27006

27005

27004

27003

27002

27001

27000

ISO 27001: Norma principal de la serie. Especifica los requisitos para la implantación de un SGSI.

ISO 27002: Guía de buenas prácticas para la gestión de la seguridad de la información.

ISO 27003: Directrices para la implantación de un SGSI. ISO 27004: Métricas y técnicas para la gestión de la seguridad de la información.

ISO 27005: Directrices para la gestión del riesgo seguridad de la información.

ISO 27006: Requisitos para la acreditación de entidades que proporcionan certificación de SGSI.

ISO 27007: Guía para auditar el SGSI. ISO 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.

ISO 27010: Guía para gestionar la seguridad de la información en comunicaciones entre sectores.

ISO 27011: Guía de gestión de seguridad de la información para telecomunicaciones.

ISO 270012: Requisitos y directrices de gestión de seguridad de la información en organizaciones de servicios de e-administración.

ISO 27013: Guía para la implementación integrada de ISO 27001 e ISO 20000-1 (Requisitos SGSTI)

ISO 27014: Guía de gobierno corporativo de la seguridad de la información.

ISO/IEC TR 27015: Guía de SGSI para organizaciones del sector seguros y finanzas

ISO 27016: Guía de SGSI para aspectos económicos de las organizaciones.

ISO 27031: Guía de continuidad de negocio referente a tecnologías de la información y comunicaciones.

ISO 27032: Guía sobre ciberseguridad. ISO 27033: Formada por 7 partes para la gestión de redes (seguridad, arquitectura, diseño, implementación…)

ISO 27034: Guía de seguridad en aplicaciones. ISO 27035: Guía de gestión de incidentes de seguridad de la información.

ISO 27036: Guía de seguridad de servicios externalizados. ISO 27037: Guía para la identificación, recopilación y preservación de evidencias digitales.

ISO 27038: Guía de especificación para la redacción digital. ISO 27039: Guía los sistemas de detección de intrusos.

ISO 27040: Guía para la seguridad en medios de almacenamiento. naranja Normas que describen las pautas generales

azul: Normas que especifican requisitos

Amari Normas que describen directrices específicas del sector

Ver Normas que describen directrices específicas del control

ISO 27799: Estándar para la estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 27002.

TRANSICIÓN

Conceptos Generales del ISO 27001:2013

ISO/IEC 27001:2013 esun conjunto delineamientos queespecifica los requisitospara establecer,implementar, mantenery mejorar un Sistema deGestión de Seguridad dela Información (SGSI).Estos requisitosdescriben cuál es elcomportamientoesperado del Sistema deGestión una vez que estéen plenofuncionamiento.

Estructura General ISO 27001:2013

La nueva ISO 27001:2013

NuevaISO27001:2013

DesapareceEnfoque aprocesos

Cambio deestructuraque facilita laintegración

Nuevomodelo deestructuradocumental

Enfoque del análisisdel riesgo en la fasede planificación yoperación.

Se reducen loscontroles

Cambios principales secciones

0. Introducción

El cambio más significativo en todo el apartado fue la eliminación de la sección “Enfoque por procesos” que contenía la versión 2005, en donde se describía el modelo PDCA, corazón del Sistema de Gestión de Seguridad de la Información (SGSI).

Cambios principales secciones

• 1. Alcance

• En esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en los capítulos 4 a 10 del documento, para poder obtener la conformidad de cumplimiento y certificarse.

Cambios principales secciones

• 2. Referencias normativas• El estándar ISO-27002 ya no es una referencia

normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés).

• El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones.

Cambios principales secciones

3. Términos y definiciones

Los términos y definiciones que se manejaban en 27001:2005 los trasladaron y agruparon en la sección 3 de ISO 27000:2013 “Fundamentos y vocabulario” (lo cual se llevará a cabo en todos los documentos que forman parte de esta familia), con el objetivo de contar con una sola guía de términos y definiciones que sea consistente.

Cambios principales secciones4. Contexto de la organización• Esta cláusula hace hincapié en identificar los problemas

externos e internos que rodean a la organización.• Instituye los requerimientos para definir el contexto del SGSI

sin importar el tipo de organización y su alcance.• Introduce una nueva figura (las partes interesadas) como un

elemento primordial para la definición del alcance del SGSI.• Establece la prioridad de identificar y definir formalmente las

necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.

Cambios principales secciones5. Liderazgo

Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:

• Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.

• Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).

• Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.

Cambios principales secciones6. Planeación

Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.Se presentan grandes cambios en el proceso de evaluación de riesgos:

• El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.

• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.

• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.

• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.

• Los requerimientos del SOA no sufrieron transformaciones significativas.

Cambios principales secciones7. Soporte

Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:

• Recursos• Personal competente• Conciencia y comunicación de las partes interesadas

Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI.El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.

Cambios principales secciones8. Operación

Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar.Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido.Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.

Cambios principales secciones9. Evaluación del desempeño

La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI.

Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada.

Cambios principales secciones10. Mejora

El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las oportunidades con base en cuándo estos se identifican y cómo se tratan.

1 - Cambios en los ANEXOS: nueva estructura del AnexoAgrega 3 dominios de control, los cuales incluyen untotal de 113 controles, 20 menos que en la versiónanterior. Dentro de los nuevos dominios de controlaparece• Criptografía, siendo separada del dominio

Adquisición, desarrollo y mantenimiento de lainformación.

• Relación con proveedores• Operaciones de seguridad y Seguridad de

las comunicaciones: resultado de la división deldominio Gestión de comunicaciones y operacionesen dos nuevos dominios

Valor agregado del cambio

• Las empresas que quieran certificarse con esta norma ya no están obligados a implementar todos los controles de este anexo. Por lo que este se convierte en una guía para evitar que se omitan controles importantes por parte de la organización al momento de implementar su sistema de gestión (SGSI). Brindando mayor flexibilidad a las empresas para implementar de la manera más adecuada el sistema de gestión.

2- Cambio: anexo SL

• adopción del Anexo SL (lo que era antes la Guía ISO 83) dentro del SGSI. Es importante mencionar que este anexo describe los lineamientos para un sistema de gestión genérico; ayudando a las empresas que por alguna razón deben certificar múltiples normas de sistemas de gestión. De esta forma ISO 27001 cumple con los requisitos comunes a todo sistema de gestión, facilitando la implementación y auditoria de varios sistemas en la misma organización.

Implementación del SGSI

¿Qué documentos y registros sonnecesarios?

�Garantizar la confidencialidad, integridad y disponibilidad de información sensible.

�Disminuir el riesgo, con la consiguiente reducción de gastos asociados.

�Reducir la incertidumbre por el conocimiento de los riesgos e impactos asociados.

�Mejorar continuamente la gestión de la seguridad de la información.

�Garantizar la continuidad del negocio.�Aumento de la competitividad por mejora de la imagen corporativa.

�Incremento de la confianza de las partes interesadas.

Ventajas de implantar un SGSI basado en la ISO 27001

�Aumento de la rentabilidad, derivado de un control de los riesgos.

�Cumplir la legislación vigente referente a seguridad de la información.

�Aumentar las oportunidades de negocio.

�Reducir los costos asociados a los incidentes.

�Mejorar la implicación y participación del personal en la gestión de la seguridad.

�Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001, entre otros.

�Mejorar los procesos y servicios prestados.

�Aumentar de la competitividad por mejora de la imagen corporativa.

Herramientas de software para lagestión de la seguridad de lainformación

El software eGAM Seguridad de la información automatiza losprocedimientos requeridos por la Norma ISO/IEC 27001 demanera que cuando se necesita ejecutar un proceso, elprocedimiento correspondiente se carga instantáneamente en elsistema, distribuyendo automáticamente tareas, instrucciones aresponsables y plazos, de forma que la propia ejecución de lastareas autogenera las evidencias necesarias del sistema degestión.

Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acreditación y Excelencia, ISOTools resulta una herramienta ideal para implementar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica – BSC, entre otros.Compuesta de diferentes módulos, es una herramienta escalable, flexible y adaptable a las necesidades de cada empresa u organización independientemente del tamaño y del sector en el que opere. Es una solución que favorece la agilización y la mejora de los procesos, así como la accesibilidad y búsqueda rápida y fácil de la información.

GesConsultor GRC ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.

GesConsultor GRC proporciona, adicionalmente, unas capacidades diferenciadoras en su motor de cumplimiento para incorporar las nuevas versiones de las Normas y, con ello, asegurar el mantenimiento y evolución de los proyectos basados en las mismas. Este es el caso de la familia ISO 27000:2012, con publicación esperada en el año 2013.

Top 10 de países con más organizaciones certificadas en ISO 27001

Colombia

MEJORES PRÁCTICAS Y OTRAS NORMAS

Anexo:http://www.bitcompany.biz/que-es-itil-cursos/#.UzcVAKh5PYE

http://www.bitcompany.biz/que-es-cobit/#.UzcSoKh5PYE

Conclusiones

Más allá de los cambios en el estándar, lo más importante es tener en cuenta que todas las organizaciones son diferentes y los requerimientos impuestos por la norma deben serinterpretados de acuerdo al contexto de cada empresa.

La implantación de un SGSI basado en ISO 27001, supone el conocimiento,de la organización en su conjunto, de los riesgos a los que se encuentraexpuesta. De manera que se asuman y se trabaje en su minimización ycontrol de manera sistemática, para mejorar continuamente.

La ISO 27001 es perfectamente integrable con otros sistemas de gestióncomo ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integración se hacemás sencilla con esta nueva versión ISO 27001:2013

Ya está vigente la nueva versión ISO 27001:2013 que sustituye a laanterior ISO 27001:2005.

La ISO 27001 permite una operativa basada en la seguridad y la excelenciaen el tratamiento de la información en la organización, que se traducen enun mejor servicio con una menor inversión.

Conclusiones