Cmo implantar un SGSI

segn UNE-ISO/IEC 27001:2014

y su aplicacin en el Esquema
Nacional de Seguridad
Luis Gmez Fernndez y Pedro Pablo Fernndez Rivero

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

Ttulo:

Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014

y su aplicacin en el Esquema Nacional de Seguridad. PDF

Autores: Luis Gmez Fernndez y Pedro Pablo Fernndez Rivero

AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2015

Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.
ISBN: 978-84-8143-901-4
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es

ndice

Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1. Los Sistemas de Gestin de Seguridad de la Informacin (SGSI) . . . . . . . .
1.1. Definicin de un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3. La Norma UNE-ISO/IEC 27001:2014 . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1. Novedades en la ltima versin de la norma . . . . . . . . . . . . . .
1.3.2. Objeto y campo de aplicacin de la norma . . . . . . . . . . . . . . .
1.4. La Norma UNE-ISO/IEC 27002:2015 . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1. Objeto y campo de aplicacin . . . . . . . . . . . . . . . . . . . . . . . .

11
11
12
13
13
14
14
14

2. Requisitos de la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . .

2.1. Contexto de la organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1. Sistema de gestin de seguridad de la informacin . . . . . . . . . .
2.1.2. Conocer la organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.3. Definicin del alcance del SGSI . . . . . . . . . . . . . . . . . . . . . . . .
2.2. Establecimiento y gestin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1. Liderazgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2. Planificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.3. Soporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.4. Operacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.5. Evaluacin y desempeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.6. Mejora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.7. El anexo A de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3. Recomendaciones de la Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . .
Compre YA!
3.1. Polticas de seguridad de la informacin . . . . . . . . . . . . . . . . . . . . . . .

17
17
17
18
19
19
19
21
25
27
28
30
31
33
34

5%

descuento

EN NUESTRA
TIENDA ONLINE

Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad

3.2. Organizacin de la seguridad de la informacin . . . . . . . . . . . . . . . . . 35

3.3. Seguridad relativa a los recursos humanos . . . . . . . . . . . . . . . . . . . . . 36
3.4. Gestin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.5. Control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.6. Criptografa
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.7. Seguridad fsica y del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.8. Seguridad de las operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.9. Seguridad de las comunicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.10. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin . 47
3.11. Relacin con proveedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.12. Gestin de incidentes de seguridad de la informacin . . . . . . . . . . . . . 51
3.13. Aspectos de seguridad de la informacin para la gestin de la
continuidad de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.14. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4. Definir e implementar un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1. Fases del proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2. Documentacin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3. Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4. Evaluacin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4.1. Elaboracin del inventario de activos . . . . . . . . . . . . . . . . . . . .
4.4.2. Identificar y valorar amenazas . . . . . . . . . . . . . . . . . . . . . . . . .
4.4.3. Calcular el impacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4.4. Calcular el riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5. Identificar a los propietarios de los riesgos y tratamiento de los riesgos .
4.6. Determinar las medidas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . .
4.7. Evaluar los riesgos residuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7. Plan de tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8. Informacin documentada sobre procesos . . . . . . . . . . . . . . . . . . . . .
4.9. Formacin y concienciacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.10. Auditora interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.11. Revisin por la direccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.12. Evidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

55
55
58
58
59
59
61
62
63
65
65
67
69
69
71
71
72
72

5. El proceso de certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6. Relacin entre los apartados de la norma y la informacin documentada
del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
7.
Compre
YA!

5%

descuento

Correspondencia entre las normas UNE-ISO/IEC 27001:2007

y UNE-ISO/IEC 27001:2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

EN NUESTRA
TIENDA ONLINE

ndice

8. Caso prctico: modelo de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

8.1. Contexto de la organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
8.1.1. Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
8.1.2. Estructura de la empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
8.1.3. Aspectos tcnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
8.2. Documentacin de la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . 87
8.2.1. Poltica de seguridad de la informacin . . . . . . . . . . . . . . . . . . 87
8.2.2. Definicin del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
8.2.3. Marco organizativo de la seguridad de la informacin . . . . . . . 90
8.2.4. Evaluacin de riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . 91
8.3. El inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.3.1. Procesos de negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.3.2. Inventario de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
8.3.3. Relacin proceso de negocio/activos . . . . . . . . . . . . . . . . . . . . 93
8.3.4. Valoracin de activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
8.4. Resultados de la evaluacin de riesgos . . . . . . . . . . . . . . . . . . . . . . . . 95
8.4.1. Identificacin y valoracin de amenazas . . . . . . . . . . . . . . . . . . 95
8.4.2. Clculo del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
8.4.3. Tratamiento del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8.5. Determinar los controles y declaracin de aplicabilidad . . . . . . . . . . . 105
8.5.1. Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.6. Documentacin de la gestin de riesgos . . . . . . . . . . . . . . . . . . . . . . 115
8.6.1. Valoracin de amenazas tras la aplicacin de medidas . . . . . . 115
8.6.2. Clculo de riesgos residuales . . . . . . . . . . . . . . . . . . . . . . . . 120
8.7. Documentacin del plan de tratamiento del riesgo . . . . . . . . . . . . . . 125
8.7.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.4. Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
8.7.5. Seguimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.7.6. Objetivos e indicadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.8. Documentacin del procedimiento de gestin de mtricas de
seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.8.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.8.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

8.8.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

8.8.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad

8.8.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . .

8.8.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.8.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.9. Documentacin del procedimiento de gestin de incidencias . . . . . . .
8.9.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.9.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.9.3. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.9.4. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.9.5. Requisitos de documentacin . . . . . . . . . . . . . . . . . . . . . . . .
8.9.6. Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.9.7. Anexos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

131
132
132
133
133
133
133
133
134
134
134

9. El Esquema Nacional de Seguridad (ENS) . . . . . . . . . . . . . . . . . . . . . . .

9.1. Introduccin al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.2. Alcance del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.3. Beneficios del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4. Plan de adecuacin al ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.1. Poltica de seguridad en el ENS . . . . . . . . . . . . . . . . . . . . . . .
9.4.2. Categorizacin de los sistemas . . . . . . . . . . . . . . . . . . . . . . .
9.4.3. Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.4. Declaracin de aplicabilidad . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.5. Insuficiencias del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.4.6. Plan de mejora de seguridad . . . . . . . . . . . . . . . . . . . . . . . . .
9.5. Implantacin del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.6. Auditora del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.7. Actualizacin del ENS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

137
137
139
140
140
141
143
144
145
146
146
146
147
148

10. Cumplir con el ENS a travs de un SGSI segn UNE-ISO/IEC 27001 . . .

10.1. Motivacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3. Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.4. Marco organizativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.6. Dimensiones de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.7. Categorizacin y riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.8. Catlogo de controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

149
150
150
151
152
152
153
153

Bibliografa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Sobre los autores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

Agradecimientos

Los autores quieren expresar su agradecimiento por sus valiosas sugerencias y su

colaboracin en la revisin tcnica de esta publicacin, las cuales ayudaron a mejorar
su calidad, a:
D. Miguel ngel Amutio. Subdirector Adjunto de Coordinacin de Unidades TIC. Direccin de Tecnologas de la Informacin y las Comunicaciones.
Ministerio de Hacienda y Administraciones Pblicas.
D. Carlos Manuel Fernndez. Gerente de TICs. Evaluacin de la conformidad.
AENOR.
D. Boris Delgado. Auditor Jefe de TICs. AENOR.
Asimismo, agradecemos al Centro Criptolgico Nacional su amable colaboracin en
todas las ocasiones.

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

Introduccin

Con este libro se pretende ofrecer al lector una descripcin de los conceptos y requisitos para la implantacin efectiva de un Sistema de Gestin de Seguridad de la
Informacin (SGSI), utilizando para ello el estndar ms frecuentemente utilizado:
UNE-ISO/IEC 27001, en su versin de 2014.
Por otra parte, se incluye un captulo en relacin al Esquema Nacional de Seguridad
(ENS), regulado en el Real Decreto 3/2010, de obligado cumplimiento en el mbito
de la Administracin Electrnica, en el que se analizan las similitudes entre UNEISO/IEC 27001 y ENS y cmo dar cumplimiento a este ltimo mediante un SGSI.
En cualquier caso, esta publicacin ofrece una orientacin y alternativas para la implantacin de un SGSI, presentando ejemplos y casos prcticos, si bien existen otros
mecanismos y mtodos igualmente vlidos.
Otra herramienta importante para la implantacin de los requisitos de la Norma
UNE-ISO/IEC 27001 es la Norma UNE-ISO/IEC 27002, que ofrece un conjunto
de recomendaciones y buenas prcticas para la implantacin de las medidas de seguridad seleccionadas, para lo que se ha incluido un captulo descriptivo de las mismas.

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

Los Sistemas de
Gestin de Seguridad
de la Informacin (SGSI)

1.1. Definicin de un SGSI

Un Sistema de Gestin de Seguridad de la Informacin (SGSI) es un conjunto de
procesos que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad de la informacin, tomando como base para ello los riesgos a los
que se enfrenta la organizacin.
Su implantacin supone el establecimiento de procesos formales y una clara definicin
de responsabilidades en base a una serie de polticas, planes y procedimientos que
debern constar como informacin documentada.
Fundamentalmente se distinguirn dos tipos de procesos:
1. Procesos de gestin. Controlan el funcionamiento del propio sistema de gestin
y su mejora continua.
2. Procesos de seguridad. Se centran en los aspectos relativos a la propia seguridad
de la informacin.
En su versin de 2014, la norma ha adoptado la estructura del Anexo SL, que ser
el que adopten otras normas internacionales como UNE-EN ISO 9001 o UNE-EN
ISO 14001, y que permitir una mejor integracin de sistemas de gestin basados
en estas normas, al poseer idntica estructura y requisitos comunes. De esta manera,
para conseguir una gestin ms eficiente de los recursos, se recomienda, como norma
general, integrar los distintos sistemas de gestin implantados en la organizacin.

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

11

12

Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad

1.2. El ciclo de mejora continua

Una novedad con respecto a anteriores versiones de la norma es la desaparicin del
ciclo PDCA como marco obligatorio para la gestin de mejora continua, indicando
nicamente en su apartado 10.2 que la organizacin debe mejorar de manera continua la idoneidad, adecuacin y eficacia del sistema de gestin de seguridad de la
informacin.
No obstante, el ciclo PDCA est implcito en la propia estructura de la norma,
por lo que a continuacin se desarrolla este modelo de mejora continua que creemos
que es necesario conocer. El modelo PDCA o Planificar-Hacer-Verificar-Actuar
(Plan-Do-Check-Act, de sus siglas en ingls), consta de un conjunto de fases que
permiten establecer un modelo comparable a lo largo del tiempo, de manera que se
pueda medir el grado de mejora alcanzado (vase la figura 1.1):
Plan. En esta fase se planifica la implantacin del SGSI. Se determina el contexto de la organizacin, se definen los objetivos y las polticas que permitirn
alcanzarlos. Se correspondera con los captulos 4, 5, 6 y 7 de la Norma UNEISO/IEC 27001:2014.
Do. En esta fase se implementa y pone en funcionamiento el SGSI. Se ponen en
prctica las polticas y los controles que, de acuerdo al anlisis de riesgos, se han
seleccionado para cumplirlas. Para ello debe de disponerse de procedimientos
en los que se identifique claramente quin debe hacer qu tareas, asegurando
la capacitacin necesaria para ello. Se correspondera con el captulo 8 de la
Norma UNE-ISO/IEC 27001:2014.
Check. En esta fase se realiza la monitorizacin y revisin del SGSI. Se controla
que los procesos se ejecutan de la manera prevista y que adems permiten alcanzar
los objetivos de la manera ms eficiente. Se correspondera con el captulo 9 de
la Norma UNE-ISO/IEC 27001:2014.
Act. En esta fase se mantiene y mejora el SGSI, definiendo y ejecutando las
acciones correctivas necesarias para rectificar los fallos detectados en la anterior fase. Se correspondera con el captulo 10 de la Norma UNE-ISO/IEC
27001:2014.
A la hora de disear el SGSI, se debe tener en cuenta que sobre el mismo se aplicar
un proceso de mejora continua, con lo que conviene partir de una primera versin
del mismo adaptado a las necesidades, operativas y recursos de la organizacin, con
unas medidas de seguridad mnimas que permitan proteger la informacin y cumplir
con los requisitos de la norma. As, el SGSI ser mejor adoptado por las personas
implicadas, evolucionando de manera gradual y con un menor esfuerzo.
Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

1. Los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

Aplicar mejora continua

Acciones correctivas

Monitorizar
Auditoras internas
Medir
Revisin por la direccin

Act

Check

Plan

Do

13

Identificar objetivos del negocio

Obtener apoyo de la direccin
Definir poltica
Establecer el alcance
Anlisis de riesgos
Seleccionar procesos/procedimientos/controles

Implantar el plan de gestin

Implantar el sistema de gestin
Implantar procesos/procedimientos/controles
Asignar recursos
Formacin y concienciacin

Figura 1.1. Ciclo PDCA

1.3. La Norma UNE-ISO/IEC 27001:2014

1.3.1. Novedades en la ltima versin de la norma
En octubre de 2013 se publicaban las revisiones de las normas internacionales ISO/
IEC 27001 (adoptada como norma espaola en 2014) e ISO/IEC 27002 (adoptada
como norma espaola en 2015) que sustituan a las versiones de 2005.
Como se ha comentado anteriormente, esta norma internacional es una de las primeras en adoptar el Anexo SL, mejorando as la integracin con otros sistemas de
gestin. Presenta adems otras diferencias con respecto a la anterior versin:
Aparece la figura del propietario del riesgo. Se enfatiza as la importancia de
gestionar riesgos y oportunidades en lugar de activos.
No establece cmo se deben evaluar los riesgos. En la anterior norma se especificaba la necesidad de identificar activos, amenazas y vulnerabilidades, pero
en esta nueva versin nicamente se hace referencia a identificar los riesgos
asociados a la prdida de confidencialidad, integridad y disponibilidad de la
informacin. Ahora, la identificacin de activos, amenazas y vulnerabilidades
es una opcin para la evaluacin de riesgos, pero se pueden aplicar otras alternativas, hacindose referencia a la Norma UNE-ISO 31000 Gestin del riesgo.
Principios y directrices.
Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

14

Cmo implantar un SGSI segn UNE-ISO/IEC 27001:2014 y su aplicacin en el Esquema Nacional de Seguridad

Desaparecen las referencias a documentos y registros, pasndose a hablar de

informacin documentada, que podr estar en cualquier soporte (papel o electrnico).
Se modifica el enfoque en cuanto a la actividad de seleccin de controles. En
anteriores versiones de la norma, se seleccionaban los controles del Anexo A que
permitiesen reducir los riesgos a un nivel aceptable. En esta versin el proceso
sera: inicialmente, determinar los controles que se necesitan (sin tomar ningn
marco como referencia) y posteriormente comparar los controles determinados
con el Anexo A para asegurarse de que no se ha olvidado ninguno.
Se eliminan las acciones preventivas, ya que estas se consideran acciones derivadas de la gestin de riesgos.
Se actualiza el conjunto de controles, pasando de 133 repartidos en 11 secciones, a 114 repartidos en 14 secciones. Aparecen nuevos controles y desaparecen
otros cuyo contenido se reparte, evitando as anteriores duplicidades.

1.3.2. Objeto y campo de aplicacin de la norma

Los requisitos de la Norma UNE-ISO/IEC 27001, al igual que sucede con otros
sistemas de gestin, son aplicables a todo tipo de organizaciones, independientemente
de su naturaleza, tamao o sector de actividad.
Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un SGSI, teniendo en cuenta los objetivos y riesgos de la
organizacin. No obstante, no concreta cmo deben llevarse a cabo estos procesos,
existiendo diversas posibilidades de dar cumplimiento a los mismos. Por ejemplo,
establece las caractersticas que debe cumplir el proceso de evaluacin de riesgos,
pero no concreta la metodologa ni los mtodos a seguir. Esto ofrece a la organizacin flexibilidad a la hora de definir la manera de dar cumplimiento a los requisitos,
ajustndolos a su naturaleza y capacidad.

1.4. La Norma UNE-ISO/IEC 27002:2015

1.4.1. Objeto y campo de aplicacin
La Norma UNE-ISO/IEC 27002 incluye un catlogo de buenas prcticas, desarrolladas en base a la experiencia y colaboracin de numerosos participantes, que
han alcanzado un consenso acerca de los objetivos generalmente aceptados para la
Compre YA!
implantacin y gestin de la seguridad de la informacin.

5%

descuento

EN NUESTRA
TIENDA ONLINE

1. Los Sistemas de Gestin de Seguridad de la Informacin (SGSI)

15

Los objetivos de control y los controles de esta norma internacional sirven de gua
para la implantacin de las medidas de seguridad. Por ello, la seleccin de los controles
se realizar en funcin de los resultados de un proceso previo de evaluacin de riesgos, y el grado de implementacin de cada control se llevar a cabo de acuerdo a las
necesidades de seguridad identificadas y a los recursos disponibles de la organizacin,
buscando un equilibrio entre seguridad y coste.

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

Sobre los autores

Luis Gmez Fernndez es Licenciado en Econmicas por la Facultad de Econmicas

de la Universidad de Oviedo. Ha desempeado diversos cargos directivos, tanto
en la Administracin Pblica como en la empresa privada, hasta la creacin de su
propia empresa que, actualmente, es un referente en seguridad de la informacin y
servicios de TI.
Pedro Pablo Fernndez Rivero es Ingeniero Tcnico en Informtica por la Universidad de Oviedo. Inici su carrera profesional en el rea de la administracin de
sistemas para posteriormente especializarse en la implantacin y las auditoras de
sistemas de gestin de seguridad de la informacin.

Compre YA!

5%

descuento

EN NUESTRA
TIENDA ONLINE

163

Final del fragmento del libro

Compre YA!

en

nu

descuento

e stra

ne

5%
n
ti e n d a o

li

www.aenor.es comercial@aenor.es 914 326 036