Modulo: Gestin de Continuidad de Negocio

UNI
CAPITULO III
ISO 27001 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA
INFORMACIN
3.1)

Gestin de la Seguridad de la Informacin

ISO 27001 es la nica norma internacional auditable que define los requisitos para un
sistema de gestin de la seguridad de la informacin (SGSI). La norma se ha concebido
para garantizar la seleccin de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de informacin y otorga confianza a cualquiera de las
partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para
establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier
tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es
posible afirmar que esta norma constituye la base para la gestin de la seguridad de la
informacin.
La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es para la
calidad: es una norma redactada por los mejores especialistas del mundo en el campo de
seguridad de la informacin y su objetivo es proporcionar una metodologa para la
implementacin de la seguridad de la informacin en una organizacin. Tambin permite
que una organizacin sea certificada, lo cual significa que una entidad de certificacin
independiente ha confirmado que la seguridad de la informacin se ha implementado en esa
organizacin de la mejor forma posible.
A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta
norma como base para confeccionar las diferentes normativas en el campo de la proteccin
de datos personales, proteccin de informacin confidencial, proteccin de sistemas de
informacin, gestin de riesgos operativos en instituciones financieras, etc.

3.2)

Historia del estndar ISO 27001

La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la
seguridad de su informacin.

La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no
se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por
primera vez en 1998, la que estableci los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.

Figura 12. Historia de la ISO 27001

Fuente: ISO 27001 Pagina Web: www.iso27001.es. Elaboracin: Propia.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por
ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de
gestin.
En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por
ISO, con algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO
17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007,
manteniendo el contenido as como el ao de publicacin formal de la revisin.

En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS

7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la
serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin
de ISO/IEC 27001, que es la norma principal y nica certificable dentro de la serie.
3.3)

Para quin es significativo la ISO 27001?

ISO 27001 es una norma adecuada para cualquier organizacin, grande o pequea, de
cualquier sector o parte del mundo. La norma es particularmente interesante si la proteccin
de la informacin es crtica, como en finanzas, sanidad sector pblico y tecnologa de la
informacin (TI).
ISO 27001 tambin es muy eficaz para organizaciones que gestionan la informacin por
encargo de otros, por ejemplo, empresas de subcontratacin de TI. Puede utilizarse para
garantizar a los clientes que su informacin est protegida

3.3)

Beneficios
La norma ISO 27001 puede aportar las siguientes ventajas a una organizacin:

Demuestra la garanta independiente de los controles internos y cumple los requisitos

de gestin corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que sean de

aplicacin.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar

a los clientes que la seguridad de su informacin es primordial.

Verifica independientemente que los riesgos de la organizacin estn correctamente
identificados, evaluados y gestionados al tiempo que formaliza unos procesos,

procedimientos y documentacin de proteccin de la informacin.

Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de

la informacin.
El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento

y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO 27001 o las
recomendaciones de la norma del cdigo profesional, ISO 17799 no logran estas
ventajas.

3.4) Fases del SGSI

3.4.1) Planificacin: esta fase sirve para planificar la organizacin bsica y establecer los
objetivos de la seguridad de la informacin y para escoger los controles adecuados de
seguridad (la norma contiene un catlogo de 133 posibles controles).
Esta fase est formada por los siguientes pasos:
Determinar del alcance del SGSI.
Redaccin las polticas de SGSI.
Identificar la metodologa para evaluar los riesgos y determinar los criterios

para la aceptabilidad de riesgos.

Identificar de activos, vulnerabilidades y amenazas.
Evaluar la magnitud de los riesgos.
Identificar y evaluar las opciones para el tratamiento de riesgos.
Seleccionar los controles para el tratamiento de riesgos.
Obtener la aprobacin de la gerencia para los riesgos residuales.
Obtener la aprobacin de la gerencia para la implementacin del SGSI.
Redactar la declaracin de aplicabilidad que detalle todos los controles
aplicables, determinar cules ya han sido implementados y cules no son
aplicables.

3.4.2) Implementacin: esta fase implica la realizacin de todo lo planificado en la fase

anterior.
Esta fase incluye las siguientes actividades:
Redactar un plan de tratamiento del riesgo que describe quin, cmo, cundo y

con qu presupuesto se deberan implementar los controles correspondientes.

Implementar un plan de tratamiento del riesgo.
Implementar los controles de seguridad correspondientes.
Determinar cmo medir la eficacia de los controles.
Realizar programas de concienciacin y capacitacin de empleados.
Gestin de los recursos del SGSI.
Implementar procedimientos para detectar y gestionar incidentes de seguridad.

3.4.3) Revisin: el objetivo de esta fase es monitorear el funcionamiento del SGSI mediante
diversos canales y verificar si los resultados cumplen los objetivos establecidos.
Esta fase incluye lo siguiente:
Implementar procedimientos y dems controles de supervisin y control para
determinar cualquier procesamiento incorrecto de datos y si las actividades de

seguridad se desarrollan de acuerdo a lo previsto.

Revisar peridicamente la eficacia del SGSI.
Medir la eficacia de los controles.

Revisar peridicamente de la evaluacin de riesgos.

Auditaras internas planificadas.
Revisiones por parte de la direccin para asegurar el funcionamiento del SGSI

y para identificar oportunidades de mejoras.

Actualizar los planes de seguridad para tener en cuenta otras actividades de

supervisin y revisin.
Mantenimiento de registros de actividades e incidentes que puedan afectar la
eficacia del SGSI.

3.4.4) Mantenimiento y mejora: el objetivo de esta fase es mejorar todos los

incumplimientos detectados en la fase anterior.
Esta fase incluye lo siguiente:
Implementar las mejoras identificadas en el SGSI.
Tomar medidas correctivas y preventivas.
Comunicar las actividades y mejoras a todos los grupos de inters.
Asegurar que las mejoras cumplan los objetivos previstos.

Figura 12. Fases del SGSI.

Fuente: ISO 27001. Elaboracin propia.
3.5)

Estructura Organizacional para el SGSI

Definir la Estructura organizacional en seguridad es una de las primeras actividades a
considerar en la implantacin del SGSI. Cuando realmente la empresa decide implantar un
SGSI, debe crear una estructura interna con responsabilidades y funciones para ejecutar
todos los procedimientos inherentes a la implantacin, ya que si la empresa no concibe la

necesidad de definir personal con dedicacin exclusiva y con algunos de tiempo parcial, es
imposible que se logre un SGSI con la eficacia y efectividad que se requiere.

Figura 13. Estructura Organizacional para el SGSI

Fuente: Daniel C., Silvia G. Sistema de Gestin de la Seguridad de la Informacin.

Figura 14. Estructura del SGSI

Fuente: ISO 27001. Elaboracin:
3.6)

Estructura del ISO 27001

0. Introduccin

Controles del Anexo A

1. Alcance del SGSI

A.5 Poltica de seguridad

2. Referencias Normativas

A.6 Organizacin de seguridad de la informacin

3. Trminos y definiciones

A.7 Administracin de recursos

4. Contexto de la Organizacin

A.8 Seguridad de los recursos humanos

5. Liderazgo

A.9 Seguridad fsica y del entorno

6. Planificacin del SGSI

A.10 Administracin de las comunicaciones y

7. Soporte

operaciones

8. Operacin (Funcionamiento)

A.11 Control de acceso

9. Evaluacin del Desempeo

A.12 Adquisicin de sistemas de informacin,

10. Mejoramiento

desarrollo y mantenimiento

Anexo A. Lista de controles y sus A.13 Administracin de los incidentes de

objetivos

seguridad

Bibliografa.

A.14 Administracin de la continuidad de

negocio
A.15 Cumplimiento

3.7)

Transicin del ISO 27001

Figura 15. Transicin del ISO 27001:2005 al ISO 27001:2013

Fuente: ISO 27001. Elaboracin: www.iso27000.es
http://www.iso27000.es/ (controles)
http://www.iso27000.es/certificacion.html (iknteresante)
http://www.tuev-sued.de/uploads/images/1350635458019372390409/pdf2-0039-iso-iec-27001-es260412.pdf (BUENO)
3.8)

Caso Prctico

Certificacin ISO 27001 e implantacin de un Sistema de Gestin de la Seguridad de la

Informacin en la empresa KUTXA
KUTXA es una caja de ahorros de localizada en GIPUZKOA 1, es una entidad con una
amplia red de oficinas y cajeros automticos, con decidida vocacin guipuzcoana y una
posicin de liderazgo en el sector.
3.8.1)La seguridad en la banca electrnica
Hace no muchos aos la banca online no exista y hoy en da se ha convertido en un
servicio totalmente imprescindible. Este nuevo servicio que ofrecen los bancos y
cajas a sus usuarios ha supuesto una gran comodidad para los clientes de estas
entidades financieras que han pasado de visitar las oficinas fsicas a realizar casi
todas sus operaciones financieras a travs de la Red.
No slo los clientes de las entidades han visto una gran oportunidad en este
servicio, la delincuencia organizada y especializada en el fraude online ha ido
evolucionado al mismo tiempo por lo que la Seguridad Digital adquiere un papel de
mxima relevancia.
A travs de la implantacin de un Sistema de Gestin de la Seguridad, se garantiza
que los sistemas para gestionar la proteccin electrnica de la informacin en
Kutxanet2 se asientan sobre unas normas internacionales de buenas prcticas de
seguridad, as como que dichas prcticas se llevan a cabo de una forma perdurable
en el tiempo.
3.8.2) Implantacin del Sistema de Gestin de Seguridad de la Informacin en KUTXA
KUTXA ha recibido el certificado de seguridad ISO 27001, concebido por AENOR
(Asociacin Espaola de Normalizacin y Certificacin), que reconoce la
implantacin de un Sistema de Gestin de Seguridad de la Informacin.
1 Gipuzkoa es una provincia espaola y territorio histrico de la comunidad
autnoma del Pas Vasco.
2 Canal de Banca Electronica de la caja de Ahorros de KUTXA.
http://www.kutxa.net

Este certificado se ha obtenido gracias a los trabajos realizados en el Canal de

Banca Electrnica (Kutxanet) de KUTXA. En concreto, el alcance de la
certificacin es el acceso y prestacin de servicios bancarios a travs del canal
Internet.
KUTXA, de la mano de Lookwise3, ha procedido a la implantacin de los diferentes
requisitos que la ISO 27001 establece:
Elaboracin de un Anlisis de Riesgos

Elaboracin de un Anlisis de Riesgos.

Definicin en implantacin de un Plan de Gestin del Riesgo.
Desarrollo e implantacin del Marco Normativo y los controles que le son

aplicables, recogidos en la ISO 27002.

Definicin de los indicadores y mtricas con objeto de establecer la

medicin y mejora del Sistema de Gestin de Seguridad de la Informacin.

Diseo de un plan de formacin y concienciacin para los diferentes
usuarios de los sistemas de informacin de KUTXA.

3.8.3) Beneficios despus de implementar la ISO 27001

El certificado de seguridad ISO 27001, concedido por AENOR, convierten a
KUTXA en la primera entidad financiera del Pas Vasco en conseguirlo. A travs de
la implantacin del Sistema de Gestin de Seguridad de la informacin de
Lookwise.
KUTXA ha obtenido los siguientes beneficios:

Asegurar la confidencialidad, integridad y disponibilidad del sistema de

informacin de la banca electrnica a travs de la implantacin de los

controles necesarios.
Conocer los riesgos, identificar las amenazas de seguridad y reducir el
nmero e impacto de las mismas.

3 Lookwise es una compaa de soluciones de seguridad para llevar la tecnologa de

S21sec al mercado global.S21sec es una multinacional especializada en servicios y
tecnologa de seguridad cuya finalidad es garantizar el desarrollo efectivo de los
negocios

Cumplimiento de las distintas normativas en materia de proteccin de datos

de carcter personal, servicios de la Sociedad de la Informacin, comercio
electrnico, propiedad intelectual y seguridad de la informacin.

CAPITULO IV
REVISIN: ENTRADAS (ISO 27001, CLAUSULA 7.2)

REFERENCIAS BIBLIOGRAICAS

Peter M., Timothy G. (2011). The NIST definition of Cloud Computing. Recomendations of the
National Institute of Standars and Technology, 8, 6-8.
Marvell (2014). Cloud Services. En: Marvell. Consultado el 03 de junio de 2014. Disponible en
http://www.marvell.com/solutions/cloud-services/public/.

Marvell (2014). Cloud Services. En: Marvell. Consultado el 03 de junio de 2014. Disponible en
http://www.marvell.com/solutions/cloud-services/private/