Nuevo Sgsi 2013

17
쀀_ 쀀_ Nuevo 쀀_Estándar 쀀_en 쀀 _Sistemas 쀀_de 쀀_Gestión 쀀 _de 쀀_Seguridad 쀀_de 쀀_la 쀀 _ Información 쀀_ ISO/IEC 쀀_27001:2013 쀀_ 쀀_ 쀀_ Introducción 쀀_ 쀀_ El 쀀_ modelo 쀀_ de 쀀_ Gestión 쀀_ de 쀀_ la 쀀_ Seguridad 쀀_ de 쀀_ Información, 쀀_ el 쀀_ ISO 쀀_ 27001:2005, 쀀_ que 쀀_ fue 쀀_ oficializado 쀀_el 쀀_15 쀀_de 쀀 _Octubre 쀀_del 쀀_año 쀀_2005, 쀀_esta 쀀_en 쀀_proceso 쀀_de 쀀 _desaparición. 쀀_ El 쀀_ denominado 쀀_ Grupo 쀀_ de 쀀_ Trabajo 쀀_ 1, 쀀_ parte 쀀_ del 쀀_ “Joint 쀀_ Technical 쀀_ Committee 쀀_1”, 쀀_ de 쀀_ la 쀀_ Organización 쀀_Internacional 쀀_de 쀀_Normalización 쀀_(ISO), 쀀_ 쀀 _el 쀀_1 쀀_de 쀀_Octubre 쀀_del 쀀_2013, 쀀_ 쀀_emitió 쀀_el 쀀_ nuevo 쀀_ISO/IEC 쀀_27001:2013. 쀀_ 쀀_ Las 쀀_ empresas 쀀_ estarán 쀀_ regidas 쀀_ por 쀀_ los 쀀_ organismos 쀀_ acreditadores 쀀_ para 쀀_ efectuar 쀀_ la 쀀_ respectiva 쀀_migración 쀀_al 쀀_nuevo 쀀 _estándar, 쀀_el 쀀_cual 쀀_es 쀀_usualmente 쀀_de 쀀_unos 쀀 _dieciocho 쀀_meses. 쀀_ Luego 쀀_de 쀀_este 쀀_tiempo, 쀀_el 쀀_ISO 쀀 _27001:2005, 쀀_quedará 쀀_en 쀀_la 쀀_obsolescencia. 쀀_ 쀀_ La 쀀 _primera 쀀_versión 쀀_publicada 쀀_fue 쀀_el 쀀_ 쀀_Draft 쀀 _International 쀀_Standard 쀀_(DIS), 쀀_realizada 쀀_el 쀀_16 쀀_ de 쀀_Enero 쀀_del 쀀_2013. 쀀_La 쀀_versión 쀀_Final 쀀_Draft 쀀 _International 쀀_Standard 쀀_(FDIS, 쀀_fue 쀀_publicada 쀀_el 쀀_ 9 쀀_de 쀀_Julio 쀀_del 쀀_2013. 쀀_ 쀀_ 쀀_ A 쀀_ continuación 쀀_ en 쀀_ este 쀀_ ensayo, 쀀_ se 쀀_ le 쀀_ presentará 쀀_ al 쀀_ lector 쀀_ la 쀀_ nueva 쀀_ estructura 쀀_ del 쀀_ estándar, 쀀_los 쀀_nuevos 쀀 _cambios 쀀_y 쀀_algunas 쀀_recomendaciones. 쀀_ 쀀_ 쀀_ Aspectos 쀀_Generales 쀀_del 쀀_ISO/IEC 쀀_27001:2013 쀀_ 쀀_ Este 쀀_nuevo 쀀_estándar 쀀_ha 쀀_sido 쀀_redactado 쀀_en 쀀 _concordancia 쀀_con 쀀_el 쀀_Anexo 쀀_SL, 쀀_anteriormente 쀀_ el 쀀 _lineamiento 쀀_ISO 쀀_ 83. 쀀_ Este 쀀_ anexo 쀀_ da 쀀_ los 쀀_ 쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C. EFICIENCIA GERENCIAL Y 쀀 _ PRODUCTIVIDAD S.A.C. 쀀 _

description

Una descripción de la nueva norma ISO 27001.

Transcript of Nuevo Sgsi 2013

Page 1: Nuevo Sgsi 2013

쀀_ 쀀_

Nuevo 쀀_Estándar 쀀_en 쀀_Sistemas 쀀_de 쀀_Gestión 쀀_de 쀀_Seguridad 쀀_de 쀀_la 쀀_

Información 쀀_ ISO/IEC 쀀_27001:2013 쀀_

쀀_ 쀀_ Introducción 쀀_ 쀀_ El 쀀_ modelo 쀀_ de 쀀_ Gestión 쀀_ de 쀀_ la 쀀_ Seguridad 쀀_ de 쀀_ Información, 쀀_ el 쀀_ ISO 쀀_ 27001:2005, 쀀_ que 쀀_ fue 쀀_ oficializado 쀀_el 쀀_15 쀀_de 쀀_Octubre 쀀_del 쀀_año 쀀_2005, 쀀_esta 쀀_en 쀀_proceso 쀀_de 쀀_desaparición. 쀀_ El 쀀_ denominado 쀀_ Grupo 쀀_ de 쀀_ Trabajo 쀀_ 1, 쀀_ parte 쀀_ del 쀀_ “Joint 쀀_ Technical 쀀_ Committee 쀀_1”, 쀀_ de 쀀_ la 쀀_ Organización 쀀_Internacional 쀀_de 쀀_Normalización 쀀_(ISO), 쀀_ 쀀_el 쀀_1 쀀_de 쀀_Octubre 쀀_del 쀀_2013, 쀀_ 쀀_emitió 쀀_el 쀀_ nuevo 쀀_ISO/IEC 쀀_27001:2013. 쀀_ 쀀_ Las 쀀_ empresas 쀀_ estarán 쀀_ regidas 쀀_ por 쀀_ los 쀀_ organismos 쀀_ acreditadores 쀀_ para 쀀_ efectuar 쀀_ la 쀀_ respectiva 쀀_migración 쀀_al 쀀_nuevo 쀀_estándar, 쀀_el 쀀_cual 쀀_es 쀀_usualmente 쀀_de 쀀_unos 쀀_dieciocho 쀀_meses. 쀀_ Luego 쀀_de 쀀_este 쀀_tiempo, 쀀_el 쀀_ISO 쀀_27001:2005, 쀀_quedará 쀀_en 쀀_la 쀀_obsolescencia. 쀀_ 쀀_ La 쀀_primera 쀀_versión 쀀_publicada 쀀_fue 쀀_el 쀀_ 쀀_Draft 쀀_International 쀀_Standard 쀀_(DIS), 쀀_realizada 쀀_el 쀀_16 쀀_ de 쀀_Enero 쀀_del 쀀_2013. 쀀_La 쀀_versión 쀀_Final 쀀_Draft 쀀_International 쀀_Standard 쀀_(FDIS, 쀀_fue 쀀_publicada 쀀_el 쀀_ 9 쀀_de 쀀_Julio 쀀_del 쀀_2013. 쀀_ 쀀_ 쀀_ A 쀀_ continuación 쀀_ en 쀀_ este 쀀_ ensayo, 쀀_ se 쀀_ le 쀀_ presentará 쀀_ al 쀀_ lector 쀀_ la 쀀_ nueva 쀀_ estructura 쀀_ del 쀀_ estándar, 쀀_los 쀀_nuevos 쀀_cambios 쀀_y 쀀_algunas 쀀_recomendaciones. 쀀_ 쀀_ 쀀_ Aspectos 쀀_Generales 쀀_del 쀀_ISO/IEC 쀀_27001:2013 쀀_ 쀀_ Este 쀀_nuevo 쀀_estándar 쀀_ha 쀀_sido 쀀_redactado 쀀_en 쀀_concordancia 쀀_con 쀀_el 쀀_Anexo 쀀_SL, 쀀_anteriormente 쀀_ el 쀀_lineamiento 쀀_ISO 쀀_ 83. 쀀_ Este 쀀_ anexo 쀀_ da 쀀_ los 쀀_ lineamientos 쀀_ y 쀀_ estructura 쀀_ que 쀀_ todos 쀀_ los 쀀_ estándares 쀀_deben 쀀_seguir. 쀀_El 쀀_primer 쀀_estándar 쀀_redactado 쀀_siguiendo 쀀_esta 쀀_estructura 쀀_es 쀀_el 쀀_ ISO 쀀_22301:2012. 쀀_ 쀀_ A 쀀_lo 쀀_largo 쀀_del 쀀_estándar 쀀_ya 쀀_no 쀀_se 쀀_hace 쀀_hincapié 쀀_en 쀀_el 쀀_ciclo 쀀_Deming 쀀_(plan- 쀠 do- 쀠 check- 쀠 act). 쀀_El 쀀_ modelo 쀀_esta 쀀_implícito 쀀_en 쀀_la 쀀_estructura. 쀀_Un 쀀_aspecto 쀀_interesante, 쀀_es 쀀_que 쀀_las 쀀_definiciones 쀀_de 쀀_ la 쀀_versión 쀀_2005, 쀀_han 쀀_sido 쀀_removidas 쀀_y 쀀_ubicadas 쀀_en 쀀_el 쀀_ISO 쀀_27000. 쀀_Se 쀀_encuentran 쀀_cambios 쀀_ en 쀀_la 쀀_terminología 쀀_utilizada, 쀀_con 쀀_el 쀀_estándar 쀀_anterior. 쀀_Vale 쀀_mencionar, 쀀_que 쀀_ya 쀀_no 쀀_existe 쀀_ el 쀀_ término 쀀_ “acción 쀀_ preventiva”. 쀀_ Este 쀀_ término 쀀_ ha 쀀_ sido 쀀_ reemplazado 쀀_ con 쀀_ “acciones 쀀_ a 쀀_ atender, 쀀_riesgos 쀀_y 쀀_oportunidades”. 쀀_Se 쀀_encuentra 쀀_que 쀀_los 쀀_requerimientos 쀀_de 쀀_evaluación 쀀_

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

EFICIENCIA GERENCIAL Y 쀀_ PRODUCTIVIDAD S.A.C.

쀀_

Page 2: Nuevo Sgsi 2013

del 쀀_ riesgo 쀀_ son 쀀_ mas 쀀_ generales. 쀀_ La 쀀_ declaración 쀀_ de 쀀_ aplicabilidad 쀀_ mantiene 쀀_ los 쀀_ mismos 쀀_ requerimientos, 쀀_ pero 쀀_ con 쀀_ mas 쀀_ claridad. 쀀_ El 쀀_ estándar 쀀_ presenta 쀀_ mayor 쀀_ énfasis 쀀_ en 쀀_ establecimiento 쀀_de 쀀_objetivos, 쀀_monitoreo 쀀_del 쀀_desempeño 쀀_y 쀀_métricas. 쀀_ 쀀_ Nueva 쀀_Estructura 쀀_ 쀀_ En 쀀_ la 쀀_ Figura 쀀_ Nº 쀀_ 1 쀀_ se 쀀_ tiene 쀀_ la 쀀_ nueva 쀀_ estructura 쀀_ de 쀀_ la 쀀_ sección 쀀_ metodológica, 쀀_ la 쀀_ cual 쀀_ comprende 쀀_las 쀀_secciones 쀀_de 쀀_la 쀀_cuatro 쀀_a 쀀_la 쀀_diez. 쀀_ 쀀_ Estructura 쀀_de 쀀_las 쀀_Secciones.- 쀠 쀀_ 쀀_

Ha 쀀_ habido 쀀_ una 쀀_ serie 쀀_ de 쀀_ cambios. 쀀_En 쀀_ el 쀀_ caso 쀀_ de 쀀_ criptografía, 쀀_ se 쀀_ ha 쀀_ convertido 쀀_ en 쀀_ una 쀀_ nueva 쀀_sección, 쀀_ahora 쀀_estará 쀀_en 쀀_la 쀀_sección 쀀_10, 쀀_es 쀀_lógica 쀀_y 쀀_ya 쀀_no 쀀_es 쀀_parte 쀀_de 쀀_“ 쀀_Adquisición, 쀀_ Desarrollo 쀀_y 쀀_Mantenimiento 쀀_de 쀀_Sistemas 쀀_de 쀀_Información”. 쀀_Algo 쀀_similar 쀀_ha 쀀_sucedido 쀀_con 쀀_ “Relaciones 쀀_con 쀀_Suplidores”. 쀀_Ahora 쀀_serán 쀀_la 쀀_sección 쀀_15. 쀀_La 쀀_sección 쀀_“Comunicaciones 쀀_y 쀀_ Gestión 쀀_de 쀀_Operaciones”, 쀀_esta 쀀_dividida 쀀_en 쀀_“Seguridad 쀀_de 쀀_Operaciones” 쀀_en 쀀_la 쀀_sección 쀀_12 쀀_y 쀀_ “Seguridad 쀀_de 쀀_Comunicaciones” 쀀_que 쀀_se 쀀_ubica 쀀_en 쀀_la 쀀_sección 쀀_13. 쀀_ 쀀_

Ubicación 쀀_de 쀀_las 쀀_Categorías 쀀_de 쀀_Seguridad 쀀_

Las 쀀_categorías 쀀_ 쀀_de 쀀_los 쀀_controles 쀀_se 쀀_han 쀀_mezclado 쀀_un 쀀_poco, 쀀_con 쀀_miras 쀀_a 쀀_buscar 쀀_mas 쀀_orden. 쀀_ Así 쀀_tenemos 쀀_que 쀀_“Computación 쀀_Móvil 쀀_y 쀀_Trabajo 쀀_a 쀀_Distancia”, 쀀_anteriormente 쀀_ubicada 쀀_en 쀀_ “Control 쀀_de 쀀_Accesos”, 쀀_ahora 쀀_estará 쀀_en 쀀_la 쀀_6.2, 쀀_como 쀀_parte 쀀_de 쀀_la 쀀_sección 쀀_6 쀀_“Organización 쀀_de 쀀_ la 쀀_Seguridad 쀀_de 쀀_la 쀀_Información.” 쀀_

“Manejo 쀀_de 쀀_Medios 쀀_de 쀀_Información” 쀀_anteriormente 쀀_era 쀀_parte 쀀_de 쀀 _la 쀀 _sección 쀀 _A.10 쀀 _“Gestión 쀀 _ de 쀀 _Comunicaciones 쀀 _y 쀀_Operaciones”, 쀀_ahora 쀀_esta 쀀_ubicada 쀀_en 쀀_la 쀀_sección 쀀_8.3 쀀_como 쀀_parte 쀀_de 쀀_ “Gestión 쀀_de 쀀_Activos” 쀀_en 쀀_la 쀀_sección 쀀_8. 쀀_

“Control 쀀_ de 쀀_ Acceso 쀀_ al 쀀_ Sistema 쀀_ Operativo” 쀀_ y 쀀_ “Control 쀀_ de 쀀_ Acceso 쀀_ a 쀀_ las 쀀_ Aplicaciones 쀀_ e 쀀_ Información”, 쀀_se 쀀_han 쀀_juntado 쀀_en 쀀_la 쀀_sección 쀀_9.4 쀀_bajo 쀀_el 쀀_nombre 쀀_de 쀀_“Control 쀀_de 쀀_Accesos 쀀_y 쀀_ Aplicaciones 쀀_del 쀀_Sistema”, 쀀_permaneciendo 쀀_en 쀀_la 쀀_sección 쀀_9, 쀀_bajo 쀀_“Control 쀀_de 쀀_Accesos”. 쀀_

“Control 쀀_del 쀀_Software 쀀_Operativo”, 쀀_era 쀀_anteriormente 쀀_un 쀀_control 쀀_aislado 쀀 _en 쀀 _la 쀀 _sección 쀀 _“ 쀀 _ Adquisición, 쀀 _ Desarrollo 쀀 _ y 쀀 _ Mantenimiento 쀀_ de 쀀_ sistemas 쀀_ de 쀀_ Información”, 쀀_ ahora 쀀_ es 쀀_ una 쀀_ categoría 쀀_ separada 쀀_ en 쀀_ la 쀀_ sección 쀀_ 12.5 쀀_ como 쀀_ parte 쀀_ de 쀀_ la 쀀_ sección 쀀_ “Seguridad 쀀_ de 쀀_ Operaciones” 쀀_

“Consideraciones 쀀_ para 쀀_ Auditorias 쀀_ de 쀀_ Sistemas 쀀_ de 쀀_ Información”, 쀀_ ha 쀀_ sido 쀀_movido 쀀_ a 쀀_

“Cumplimiento”, 쀀_a 쀀_la 쀀_parte 쀀_12.7, 쀀_como 쀀_parte 쀀_de 쀀_la 쀀_sección 쀀_de 쀀_“Seguridad 쀀_de 쀀_Operaciones” 쀀_

Page 3: Nuevo Sgsi 2013

La 쀀_categoría 쀀_denominada 쀀_“Control 쀀_de 쀀_Acceso 쀀_a 쀀_la 쀀_Red” 쀀_ha 쀀_sido 쀀_eliminada, 쀀_y 쀀_algunos 쀀_de 쀀_ sus 쀀_controles 쀀_han 쀀_sido 쀀_desplazados 쀀_a 쀀_la 쀀_sección 쀀_13 쀀_“Seguridad 쀀_en 쀀_las 쀀_Comunicaciones.” 쀀_

Transferencia 쀀_de 쀀_Información, 쀀_previamente 쀀_llamada 쀀_“Intercambio 쀀_de 쀀_Información”, 쀀_es 쀀_ ahora 쀀_el 쀀_control 쀀_13.2, 쀀_parte 쀀_de 쀀_la 쀀_sección 쀀_ 쀀_13 쀀_“Seguridad 쀀_en 쀀_las 쀀_Comunicaciones. 쀀_ 쀀_

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

Page 4: Nuevo Sgsi 2013

La 쀀_ controversial 쀀_ categoría 쀀_ “Procesamiento 쀀_ Correcto 쀀_ en 쀀_ las 쀀_ Aplicaciones” 쀀_ ha 쀀_ sido 쀀_ eliminada. 쀀_

“Servicios 쀀_ 쀀_de 쀀_Comercio 쀀_electrónico” 쀀_ya 쀀_no 쀀_existe 쀀_como 쀀_categoría 쀀_separada, 쀀_los 쀀_controles 쀀_ se 쀀_ han 쀀_ juntado 쀀_ en 쀀_ la 쀀_ sección 쀀_ 14.1 쀀_ “Requerimientos 쀀_ de 쀀_ Seguridad 쀀_ de 쀀_ Sistemas 쀀_ de 쀀_ Información.” 쀀_

Dos 쀀_categorías 쀀_de 쀀_la 쀀_sección 쀀_“Gestión 쀀_de 쀀_Incidentes 쀀_de 쀀_Seguridad 쀀_de 쀀_Información” 쀀_se 쀀_han 쀀_ juntado 쀀_en 쀀_una 쀀_sola. 쀀_

Hay 쀀_ un 쀀_ nuevo 쀀_ cambio 쀀_ la 쀀_ sección 쀀_ 쀀_17.2 쀀_ “Redundancias”. 쀀_ Esto 쀀_ básicamente 쀀_ trata 쀀_ la 쀀_ problemática 쀀_de 쀀_“Recuperación 쀀_ante 쀀_Desastres”. 쀀_Esta 쀀_relacionada 쀀_con 쀀_continuidad 쀀_del 쀀_ negocio. 쀀_

쀀_ 쀀_ 쀀_

Figura 쀀_N_ 쀀_1 쀀_ Nueva 쀀_Estructura 쀀_Parte 쀀_Metodológica 쀀_

쀀_ A 쀀_ continuación 쀀_ se 쀀_ hará 쀀_ una 쀀_ breve 쀀_ explicación 쀀_ de 쀀_ los 쀀_ aspectos 쀀_ mas 쀀_ relevantes 쀀_ de 쀀_ las 쀀_ secciones 쀀_de 쀀_la 쀀_parte 쀀_metodológica 쀀_de 쀀_la 쀀_norma: 쀀_ 쀀_ 쀀_

쀀_

쀀_

Page 5: Nuevo Sgsi 2013

  4. 쀀_Contexto 쀀_de 쀀_la 쀀_Organización 쀀_

쀀_ §_ La 쀀_ cláusula 쀀_ 4 쀀_ requiere 쀀_ que 쀀_ la 쀀_ organización 쀀_ determine 쀀_ sus 쀀_ aspectos 쀀_ internos 쀀_ y 쀀_

externos 쀀_ §_ Existe 쀀_ un 쀀_ claro 쀀_ requerimiento 쀀_ de 쀀_ considerar 쀀_ a 쀀_ las 쀀_ “partes 쀀_ interesadas” 쀀_ y 쀀_ sus 쀀_

requerimientos. 쀀_ §_ Los 쀀_ requerimientos 쀀_ de 쀀_ las 쀀_ partes 쀀_ interesadas 쀀_ pueden 쀀_ incluir 쀀_ requerimientos 쀀_

contractuales 쀀_y/o 쀀_regulatorios. 쀀_ §_ Esto 쀀_determinara 쀀_su 쀀_política 쀀_de 쀀_seguridad 쀀_de 쀀_información 쀀_sus 쀀_objetivos 쀀_y 쀀_como 쀀_

se 쀀_considera 쀀_el 쀀_riesgo 쀀_y 쀀_el 쀀_efecto 쀀_del 쀀_riesgo 쀀_en 쀀_la 쀀_firma. 쀀_

§_ Se 쀀_requiere 쀀_una 쀀_adecuada 쀀_consideración 쀀_del 쀀_alcance 쀀_para 쀀_el 쀀_SGSI 쀀_

쀀_ 5. 쀀_Liderazgo 쀀_

쀀_ §_ La 쀀_cláusula 쀀_5 쀀_del 쀀_estándar 쀀_resume 쀀_los 쀀_requerimientos 쀀_específicos 쀀_del 쀀_rol 쀀_de 쀀_ 쀀_la 쀀_

alta 쀀_gerencia 쀀_en 쀀_el 쀀_SGSI. 쀀_ §_ El 쀀_ nuevo 쀀_ estándar 쀀_ requiere 쀀_ que 쀀_ el 쀀_ liderazgo 쀀_ de 쀀_ la 쀀_ alta 쀀_ gerencia 쀀_ sea 쀀_ mas 쀀_

demostrable 쀀_y 쀀_activo. 쀀_ §_ La 쀀_ política 쀀_ del 쀀_ SGSI 쀀_ ahora 쀀_ se 쀀_ denomina 쀀_ política 쀀_ de 쀀_ seguridad 쀀_ de 쀀_ información, 쀀_

sigue 쀀_igual 쀀_que 쀀_en 쀀_la 쀀_versión 쀀_anterior. 쀀_ §_ La 쀀_cláusula 쀀_5 쀀_contiene 쀀_requerimientos 쀀_para 쀀_que 쀀_la 쀀_alta 쀀_gerencia 쀀_asegure 쀀_que 쀀_las 쀀_

responsabilidades 쀀_ y 쀀_ autoridades 쀀_ para 쀀_ roles 쀀_ relevantes 쀀_ a 쀀_ la 쀀_ seguridad 쀀_ de 쀀_ información 쀀_sean 쀀_asignados 쀀_y 쀀_comunicados. 쀀_

쀀_ Cómo 쀀_la 쀀_Gerencia 쀀_Demuestra 쀀_su 쀀_Compromiso 쀀_

쀀_ 쀀_

§_ Asegurando 쀀_que 쀀_las 쀀_políticas 쀀_y 쀀_objetivos 쀀_están 쀀_establecidos

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

쀀

쀀

쀀_

쀀

Page 6: Nuevo Sgsi 2013

쀀_ §_ Asegurando 쀀_la 쀀_integración 쀀_de 쀀_los 쀀_requerimientos 쀀_del 쀀_ISO 쀀_27001 쀀_ §_ Asegurando 쀀_que 쀀_los 쀀_recursos 쀀_necesarios 쀀_están 쀀_disponibles 쀀_ §_ Comunicando 쀀_la 쀀_importancia 쀀_de 쀀_la 쀀_conformidad 쀀_de 쀀_los 쀀_requerimientos 쀀_del 쀀_SGSI 쀀_ §_ Asegurando 쀀_que 쀀_los 쀀_resultados 쀀_del 쀀_SGSI 쀀_sean 쀀_alcanzados 쀀_ §_ Apoyando 쀀_y 쀀_dirigiendo 쀀_a 쀀_las 쀀_personas 쀀_a 쀀_que 쀀_contribuyan 쀀_con 쀀_la 쀀_efectividad 쀀_del 쀀_

SGSI. 쀀_ §_ Promoviendo 쀀_la 쀀_mejora 쀀_continuada 쀀_ §_ Apoyando 쀀_a 쀀_otros 쀀_gerentes 쀀_a 쀀_demostrar 쀀_liderazgo. 쀀_

쀀_ 쀀_

Page 7: Nuevo Sgsi 2013

  쀀_ 쀀_

6. 쀀_Planeación 쀀_ 쀀_

§_ Nueva 쀀_ sección 쀀_ relacionada 쀀_ al 쀀_ establecimiento 쀀_ de 쀀_objetivos 쀀_ de 쀀_ seguridad 쀀_ de 쀀_

información 쀀_y 쀀_principios 쀀_guías 쀀_para 쀀_el 쀀_SGSI 쀀_como 쀀_un 쀀_todo. 쀀_

§_ Cuando 쀀_ se 쀀_ planifica 쀀_ el 쀀_ SGSI 쀀_ el 쀀_ contexto 쀀_ de 쀀_ la 쀀_ organización 쀀_ debe 쀀_ considerarse 쀀_

mediante 쀀_los 쀀_riesgos 쀀_y 쀀_oportunidades. 쀀_ §_ Los 쀀_objetivos 쀀_de 쀀_seguridad 쀀_de 쀀_información 쀀_deben 쀀_estar 쀀_claramente 쀀_definidos 쀀_con 쀀_

planes 쀀_para 쀀_alcanzarlos. 쀀_ §_ La 쀀_valuación 쀀_del 쀀_riesgo 쀀_es 쀀_mas 쀀_genérica 쀀_reflejando 쀀_un 쀀_alineamiento 쀀_del 쀀_ISO/IEC 쀀_

27001 쀀_con 쀀_el 쀀_ISO 쀀_31000 쀀_ §_ Los 쀀_requerimientos 쀀_de 쀀_la 쀀_declaración 쀀_de 쀀_aplicabilidad 쀀_mayormente 쀀_no 쀀_ha 쀀_sufrido 쀀_

cambios. 쀀_

쀀_ 7. 쀀_Soporte 쀀_

쀀_ §_ La 쀀_cláusula 쀀_7 쀀_detalla 쀀_los 쀀_requerimientos 쀀_de 쀀_apoyo 쀀_para 쀀_establecer, 쀀_implementar 쀀_y 쀀_

mantener 쀀_la 쀀_mejora 쀀_continuada 쀀_y 쀀_un 쀀_eficaz 쀀_SGSI, 쀀_incluyendo: 쀀_

1. Requerimientos 쀀_de 쀀_recursos 쀀_ 2. Competencias 쀀_del 쀀_personal 쀀_involucrado 쀀_ 3. Toma 쀀_de 쀀_conciencia 쀀_y 쀀_comunicación 쀀_con 쀀_partes 쀀_interesadas 쀀_ 4. Requerimientos 쀀_para 쀀_la 쀀_gestión 쀀_de 쀀_documentación. 쀀_

§_ El 쀀_ nuevo 쀀_ estándar 쀀_ se 쀀_ refiere 쀀_ a 쀀_ “información 쀀_ documentada” 쀀_ en 쀀_ vez 쀀_ de 쀀_ 쀀_

“documentos 쀀_ y 쀀_ registros” 쀀_ y 쀀_ requiere 쀀_ que 쀀_ se 쀀_ retengan 쀀_ como 쀀_ evidencia 쀀_ de 쀀_ competencia. 쀀_

§_ Ya 쀀_no 쀀_existe 쀀_una 쀀_lista 쀀_de 쀀_documentos 쀀_que 쀀_se 쀀_deben 쀀_tener 쀀_ §_ La 쀀_nueva 쀀_revisión 쀀_pone 쀀_énfasis 쀀_en 쀀_el 쀀_contenido 쀀_en 쀀_vez 쀀_que 쀀_el 쀀_nombre. 쀀_

쀀_

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

쀀

쀀

Page 8: Nuevo Sgsi 2013

8. 쀀_Operación 쀀_ 쀀_

§_ ISO/IEC 쀀_27001 쀀_requiere 쀀_que 쀀_la 쀀_organización 쀀_planifique 쀀_y 쀀_controle 쀀_la 쀀_operación 쀀_

de 쀀_ los 쀀_ procesos 쀀_ necesarios 쀀_ para 쀀_ alcanzar 쀀_ los 쀀_ requerimientos 쀀_ de 쀀_ seguridad 쀀_ de 쀀_ información, 쀀_incluyendo: 쀀_

1. Manteniendo 쀀_documentos 쀀_ 2. Manejando 쀀_el 쀀_cambio 쀀_ 3. Respondiendo 쀀_a 쀀_eventos 쀀_adversos 쀀_ 4. El 쀀_control 쀀_de 쀀_procesos 쀀_tercerizados

쀀_(outsource) 쀀_ §_ La 쀀_planeación 쀀_operativa 쀀_y 쀀_el 쀀_control 쀀_exige: 쀀_

1. Llevar 쀀_ a 쀀_ cabo 쀀_ valuación 쀀_ de 쀀_ los 쀀_ riesgos 쀀_ de 쀀_ seguridad 쀀_ de 쀀_ información 쀀_ a 쀀_

intervalos 쀀_planificados 쀀_

Page 9: Nuevo Sgsi 2013

  2. La 쀀_implementación 쀀_de 쀀_planes 쀀_de 쀀_tratamiento 쀀_del 쀀_riesgo 쀀_

쀀_ 9. 쀀_Evaluación 쀀_del 쀀_Desempeño 쀀_

쀀_ §_ Las 쀀_auditorias 쀀_internas 쀀_y 쀀_las 쀀_revisiones 쀀_gerenciales 쀀_siguen 쀀_siendo 쀀_métodos 쀀_claves 쀀_

para 쀀_ la 쀀_ revisión 쀀_ del 쀀_ desempeño 쀀_ del 쀀_ SGSI 쀀_ y 쀀_ herramientas 쀀_ para 쀀_ su 쀀_continuo 쀀_ mejoramiento. 쀀_

§_ Los 쀀_nuevos 쀀_requerimientos 쀀_para 쀀_la 쀀_medición 쀀_de 쀀_la 쀀_eficacia 쀀_son 쀀_mas 쀀_específicos 쀀_y 쀀_

mas 쀀_ amplios 쀀_ que 쀀_ en 쀀_ la 쀀_ versión 쀀_ 2005 쀀_ la 쀀_ cual 쀀_ se 쀀_ refería 쀀_ a 쀀_ la 쀀_ efectividad 쀀_ de 쀀_ los 쀀_ controles. 쀀_

§_ Para 쀀_ asegurar 쀀_ su 쀀_ continua 쀀_ idoneidad, 쀀_ adecuación 쀀_ y 쀀_ eficacia, 쀀_ la 쀀_ gerencia 쀀_ debe 쀀_

considerar 쀀_cambios 쀀_en 쀀_los 쀀_aspectos 쀀_internos 쀀_y 쀀_externos. 쀀_

쀀_ 10. 쀀_Mejoramiento 쀀_

쀀_ §_ La 쀀_organización 쀀_debe 쀀_reaccionar 쀀_a 쀀_cualquier 쀀_no 쀀_conformidad 쀀_identificada, 쀀_tomar 쀀_

acción 쀀_para 쀀_controlar 쀀_y 쀀_corregirla 쀀_y 쀀_tratar 쀀_las 쀀_consecuencias. 쀀_

§_ No 쀀_ conformidades 쀀_ del 쀀_ SGSI 쀀_deben 쀀_ ser 쀀_ tratadas 쀀_ con 쀀_ acciones 쀀_ correctivas 쀀_ para 쀀_

asegurar 쀀_que 쀀_no 쀀_haya 쀀_recurrencia 쀀_o 쀀_ocurra 쀀_en 쀀_otro 쀀_lugar. 쀀_

§_ Como 쀀_ con 쀀_ todos 쀀_ los 쀀_ sistemas 쀀_ de 쀀_ gestión 쀀_ la 쀀_ mejora 쀀_ continua 쀀_ es 쀀_ un 쀀_ aspecto 쀀_

fundamental 쀀_requerido 쀀_por 쀀_el 쀀_estándar. 쀀_ 쀀_ Anexo 쀀_de 쀀_la 쀀 _Norma 쀀 _ 쀀_ 쀀_ En 쀀_el 쀀_anexo 쀀_A, 쀀_ha 쀀_habido 쀀_una 쀀_serie 쀀_de 쀀_cambios. 쀀_Las 쀀_secciones 쀀_en 쀀_el 쀀_anexo 쀀_A 쀀_de 쀀_la 쀀_nueva 쀀_ versión 쀀_ han 쀀_ aumentado 쀀_ 쀀_ a 쀀_ 14 쀀_ en 쀀_ vez 쀀_ de 쀀_ 11 쀀_ que 쀀_ tenia 쀀_ la 쀀_ versión 쀀_ 2005. 쀀_ Así 쀀_ mismo 쀀_ el 쀀_ número 쀀_de 쀀_controles 쀀_ha 쀀_disminuido 쀀_de 쀀_133 쀀_a 쀀_113. 쀀_ Las 쀀_ organizaciones 쀀_ tendrán 쀀_ que 쀀_ revisar 쀀_ con 쀀_ mucho 쀀_ detalle 쀀_su 쀀_ declaración 쀀_ de 쀀_ aplicabilidad 쀀_y 쀀_hacer 쀀_los 쀀_ajustes 쀀_requeridos. 쀀_En 쀀_la 쀀_Figura 쀀_N_ 쀀_2 쀀_se 쀀_tienen 쀀_los 쀀_14 쀀_dominios 쀀_ del 쀀_Anexo 쀀_A. 쀀_ 쀀_ 쀀 _ El 쀀 _nuevo 쀀 _Anexo 쀀 _A 쀀 _presenta 쀀 _los 쀀 _siguientes 쀀

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

쀀

쀀

Page 10: Nuevo Sgsi 2013

_controles 쀀_que 쀀_antes 쀀_no 쀀_existian: 쀀_ 쀀_ §_ A.6.1.5 쀀_Seguridad 쀀_de 쀀_información 쀀_en 쀀_gestión 쀀_de 쀀_proyectos 쀀_

§_ A.12.6.2 쀀_Restricciones 쀀_en 쀀_la 쀀_instalación 쀀_de 쀀_software 쀀_

§_ A.14.2.1 쀀_Seguridad 쀀_en 쀀_el 쀀_desarrollo 쀀_de 쀀_política 쀀_

§_ A.14.2.5 쀀_Principios 쀀_de 쀀_seguridad 쀀_en 쀀_ingeniería 쀀_de 쀀_sistemas 쀀_

§_ A.14.2.6 쀀_Ambiente 쀀_seguro 쀀_de 쀀_desarrollo 쀀_

Page 11: Nuevo Sgsi 2013

§_ A.14.2.8 쀀_Prueba 쀀_de 쀀_seguridad 쀀_del 쀀_sistema 쀀_

§_ A.15.1.1 쀀_Política 쀀_de 쀀_seguridad 쀀_de 쀀_información 쀀_para 쀀_relaciones 쀀_con 쀀_suplidores 쀀_

§_ A.15.1.3 쀀_Información 쀀_y 쀀_tecnología 쀀_de 쀀_comunicación 쀀_en 쀀_la 쀀_cadena 쀀_de 쀀_suministros. 쀀_

§_ A.16.1.4 쀀_Valuación 쀀_de 쀀_y 쀀_decisiones 쀀_en 쀀_eventos 쀀_de 쀀_seguridad 쀀_de 쀀_información 쀀_

§_ A.16.1.5 쀀_Respuesta 쀀_a 쀀_incidentes 쀀_de 쀀_seguridad 쀀_de 쀀_información 쀀_

§_

A.17.2.1 쀀_Disponibilidad 쀀_de 쀀_instalaciones 쀀_para 쀀_procesamiento 쀀_de 쀀_la 쀀_información. 쀀_

쀀_ 쀀_

쀀_ 쀀_ 쀀_

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

Page 12: Nuevo Sgsi 2013

쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_

Figura 쀀_N_ 쀀_2 쀀_ Dominios 쀀_del 쀀_Anexo 쀀_A 쀀_

쀀_ 쀀_ 쀀_ 쀀_ 쀀_

Page 13: Nuevo Sgsi 2013

  En 쀀_la 쀀_Tabla 쀀_N_ 쀀_1, 쀀_se 쀀_presenta 쀀_la 쀀_relación 쀀_existente 쀀_entre 쀀_los 쀀_controles 쀀_del 쀀_Anexo 쀀_A 쀀_de 쀀_la 쀀_ versión 쀀_ 2005 쀀_ con 쀀_ la 쀀_ del 쀀_ 2013. 쀀_ Notamos 쀀_ que 쀀_ han 쀀_ aparecido 쀀_ nuevos 쀀_ controles 쀀_ pero 쀀_ se 쀀_ mantiene 쀀_una 쀀_gran 쀀_correspondencia 쀀_entre 쀀_las 쀀_dos 쀀_versiones 쀀_ 쀀_

Tabla 쀀_N_ 쀀_1 쀀_ Relación 쀀_entre 쀀_Grupos 쀀_de 쀀_Control 쀀_en 쀀_el 쀀_Anexo 쀀_A 쀀_

ISO/IEC 쀀_27001:2005 쀀_ ISO/IEC 쀀 _FDIS 쀀 _27001:2013 쀀_

5 Política de Seguridad 5 Política de Seguridad 6 Organización de la Seguridad de la

Información 6 Organización de la Seguridad de la

Información 8 Seguridad de Recursos Humanos 7 Seguridad de Recursos Humanos 7 Gestión de Activos 8 Gestión de Activos

11 Control de Acceso 9 Control de Acceso 12 Adquisición de Sistemas de

Información, Desarrollo y Mantenimiento

10 Criptografía

9 Seguridad Física y Ambiental 11 Seguridad Física y Ambiental

10 Comunicaciones y Gestión de Operaciones

12 Seguridad de Operaciones

13 Seguridad en las Comunicaciones

12 Adquisición de Sistemas de Información, Desarrollo y Mantenimiento

14 Adquisición de Sistemas, Desarrollo y Mantenimiento

15 Relaciones con suplidores

13 Gestión de Incidentes de Seguridad de Información

16 Gestión de Incidentes de Seguridad de Información

14 Gestión de Continuidad del Negocio 17 Aspectos de Seguridad de Información

de la Gestión de Continuidad del Negocio

15 Cumplimiento 18 Cumplimiento

쀀_ 쀀_ 쀀_ 쀀_ Conclusiones 쀀_ 쀀_ La 쀀_necesidad 쀀_de 쀀_asegurar 쀀_seguridad 쀀_en 쀀_el

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.

쀀_ 쀀_

Page 14: Nuevo Sgsi 2013

쀀_manejo 쀀_de 쀀_la 쀀_información 쀀_en 쀀_las 쀀_empresas, 쀀_ nunca 쀀_ha 쀀_sido 쀀_mayor 쀀_que 쀀_en 쀀_la 쀀_actualidad. 쀀_El 쀀_mundo 쀀_cada 쀀_día 쀀_esta 쀀_mas 쀀_interconectado. 쀀_ La 쀀_innovación 쀀_en 쀀_Tecnología 쀀_de 쀀_la 쀀_Información 쀀_es 쀀_algo 쀀_cotidiano. 쀀_Todo 쀀_esto 쀀_hace 쀀_que 쀀_las 쀀_ amenazas 쀀_crezcan 쀀_en 쀀_progresión 쀀_aritmética 쀀_y 쀀_las 쀀_vulnerabilidades 쀀_organizacionales 쀀_se 쀀_

Page 15: Nuevo Sgsi 2013

incrementan 쀀_ en 쀀_ progresión 쀀_ geométrica. 쀀_ La 쀀_ necesidad 쀀_ de 쀀_ hacer 쀀_ análisis 쀀_ de 쀀_ riesgo, 쀀_ establecer 쀀_ controles 쀀_ y 쀀_ hacerles 쀀_ seguimiento 쀀_ es 쀀_ algo 쀀_ prioritario 쀀_ en 쀀_ las 쀀_ empresas 쀀_ para 쀀_ poder 쀀_dar 쀀_confianza 쀀_al 쀀_mercado. 쀀_ 쀀_ La 쀀_nueva 쀀_versión 쀀_ISO 쀀_27001:2013 쀀_continuará 쀀_ofreciendo 쀀_a 쀀_los 쀀_clientes 쀀_y 쀀_a 쀀_organismos 쀀_ regulatorios 쀀_ la 쀀_ confianza 쀀_ que 쀀_ se 쀀_ tiene 쀀_ un 쀀_ sistema 쀀_ de 쀀_ gestión 쀀_ de 쀀_ seguridad 쀀_ de 쀀_ información, 쀀_eficaz 쀀_y 쀀_confiable 쀀_protegiendo 쀀_la 쀀_información 쀀_y 쀀_mitigando 쀀_los 쀀_riesgos. 쀀_ La 쀀_versión 쀀_ISO 쀀_27001:2013, 쀀_es 쀀_mas 쀀_fácil 쀀_de 쀀_entender, 쀀_sin 쀀_ser 쀀_sencilla 쀀_su 쀀_implantación. 쀀_ Siempre 쀀_ se 쀀_ requerirá 쀀_ un 쀀_ buen 쀀_ entendimiento 쀀_ de 쀀_ los 쀀_ principios 쀀_ de 쀀_ seguridad 쀀_ de 쀀_ la 쀀_ información. 쀀_ 쀀_ Las 쀀_ empresas 쀀_ que 쀀_ tienen 쀀_ implantado 쀀_ el 쀀_ modelo 쀀_ y 쀀_ lo 쀀_ han 쀀_ certificado, 쀀_ deberán 쀀_ a 쀀_ la 쀀_ brevedad 쀀_posible 쀀_iniciar 쀀_su 쀀_proyecto 쀀_de 쀀_migración 쀀_a 쀀_la 쀀_nueva 쀀_versión. 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_ 쀀_

쀀_ 쀀_ www.eficienciagerencial.com Telf: (511) 372-1441 / 372-1415 Fax: (511) 4366144 Av. Del Pinar # 134, Ofic. 803, Chacarilla del Estanque, Santiago de Surco, Lima - Perú Eficiencia Gerencial y Productividad S. A. C.