1. Universidad Veracruzana Sistemas Computacionales Administrativos Catedrático: Carlos Arturo Torres Gastelu Experiencia educativa: Administración de la tecnología de la información Tema: Normas ISO 27001 Alumno: Bravo López Ignacio Grupo C001

2. Normas Son especificaciones técnicas basadas en la experiencia y en el desarrollo tecnológico, voluntarias, accesibles al publico, tanto durante su elaboración, pues se producen en órganos de trabajo abiertos a la industria. Las normas nacen en un marco de la voluntariedad, aunque en muchas ocasiones son los propios usuarios las que las hacen obligatorias de cara a garantizar su cumplimiento a terceros como diferencial frente a la competencia. INTRODUCCION

3. ORIGENES DE ISO/IEC 27001 Primera versión Norma ISO/IEC 1799 “Tecnologías de la información. Código de buenas practicas de la gestión de la seguridad de la información”. Coexistieron la norma inglesa BS 7799-2 cuya parte 1 fue el origen de la norma ISO/IEC 1799 y la norma española UNE 71502 “Especificaciones de los sistemas de gestión de la seguridad de la información”. Se publica el uso de las siglas SGSI y se propone el modelo conocido como ciclo PDCA.

4. En el 2004 se inicia el comité internacional de normalización denominado MODELO 27001, que enmarca las normas aplicables a la gestión de los sistemas de información. Se decide elaborar una norma internacional a partir del código de buenas practicas, que desarrolle el sistema de gestión de seguridad de la información y se publica la norma ISO/IEC 27001 SGSI.

5. Los sistemas de gestión han aportado a las organizaciones comenzando su implantación como herramienta para proporcionar productos y servicios con un alto nivel de calidad. A partir de la experiencia en la implantación de otros sistemas de gestión que comenzaron ante su aceptación por la industria aportan los siguientes beneficios. APORTACION DE LOS SISTEMAS DE GESTION

6. ANTE EL MERCADO: Favorece su desarrollo. Afianza la posición de la organización. Potencia la imagen de marca. Constituye un factor competitivo respecto a la competencia. Permite superar barreras técnicas.

7. ANTE EL CLIENTE: Fidelidad y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios que satisfacen sus necesidades y expectativas. Se mejora la comunicación con el cliente. Mayor confianza al cliente. Aumento de la satisfacción del cliente.

8. ANTE LA GESTION DE LA ORGANIZACIÓN: Conocimiento y depuración de la procesos internos. Mejora de los procesos y de los servicios prestados . Ahorro del tiempo y de los recursos necesarios. Mejor gestión de los recursos . Estímulo para entrar en un proceso de mejora continua.

9. Esta norma internacional especifica los requisitos para establecer , implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de la misma. NORMA ISO/IEC 27001

10. La primera cuestión a tener presente a la hora de utilizar e implantar esta norma es que su utilización esta ligada a los controles y objetivos de control de la norma ISO/IEC 17799: 2005, los cueles deben ser seleccionados como parte del proceso de gestión. Se utiliza una serie de términos de la guía internacional ISO 73, en este caso al termino relativos al “riesgo”. Otro términos son trasladados de la serie internacional ISO/IEC 13335 que son los conceptos relativos cuando se habla de “Activos”.

11. La norma deje claro que el concepto de gestión de sistema cubre comenzando por el establecimiento, la implantación, la puesta en funcionamiento, la revisión, el mantenimiento y la mejora de dicho sistema. La norma proporciona información acerca del enfoque de procesos que se refiere a la identificación de estos procesos dentro de la organización, así como su interacción, para una vez identificados llevar acabo la gestión de los mismos de una manera global.

12. Para poder estructurar los procesos del SGSI, esta norma adopta el modelo PDCA “Plan-Do-Check-Act”

13. ESTABLECIMIENTO Y GESTION Cuando una organización quiere establecer el SGSI debe comenzar por definir el alcance del sistema de gestión, quiere decir, a que partes del negocio de la organización aplica, derivando de esta definición los emplazamientos a los que incluye, los activos, la tecnología, las áreas, el personal, así como las exclusiones que admite.

14. Una vez definido el alcance, hay que elaborar y definir la política del SGSI que será el marco para establecer los objetivos de la dirección de la organización y los principios de actuación para proteger la información. Luego se define la metodología para la elaboración del riesgo conforma al alcance y política del SGSI, la que será utilizada para establecer el nivel aceptable del riesgo. La fase siguiente es la identificación de los riesgos donde se elabora un análisis y evaluación de dichos riesgos, que desembocara en la identificación de los diferentes tratamientos de riesgos para llegar al objetivo de la primera etapa de selección de los controles.

15. Se requiere preparar un plan de tratamiento del riesgo, e implantarlo, a través de la implantación de los controles que se haya seleccionado. Se debe llevar acabo medir la eficiencia de dichos controles para obtener unos resultados comparables y reproducibles. Es vital crear programas de formación concienciación en todas estas acciones para el personal de la organización, posibilitando la integración de la cultura de la seguridad. IMPLANTACION Y PUESTA EN MARCHA DEL SGSI

16. CONTROL Y EVALUACION DEL SGSI Al tener cerrado la 2 fases anteriores, ya cuenta con el núcleo del SGSI, pero no podrán aprovechar los beneficios de este sistema al menos que implanten una serie de procedimientos para el control y la revisión de lo hecho hasta ahora. Esta derivara en la puesta en marcha de una serie de revisiones sobre eficacia del SGSI, a partir de los resultados de las auditorias de seguridad y de las mediciones.

17. Se deberá ir revisando los análisis del riesgo a intervalos planificados y periódicos, junto con los niveles de aceptación del riesgo. De esto se descubre una serie de defectos y mejoras del SGSI, para lo que se tomara las medidas correctivas y preventivas. Todo paso que se de debe estar sustentado por un procedimiento documentado, se documento, se implanta y se mantiene, junto con un sistemas de registro. Los documentos que acompañan al SGSI deben estar protegidos y controlados de tal manera que es necesario establecer un procedimiento de control de documentos.

18. El primero, de carácter normativo, contiene una tabla en las que se identifican los controles y objetivos del control de la versión del año 2005 de la norma ISO/IEC 17799. El segundo, de carácter informativo, proporciona una correlación entre cada principio de la OCDE con un proceso del SGSI y una fase del PDCA. El tercero que incluye la correspondencia entre los capítulos de la norma ISO/IEC 27001 y las normas ISO 9001 e ISO 14001. ANEXOS DE LA NORMA ISO/IEC 27001