UNIVERSIDAD FIDLITASLicenciatura en Sistemas de ComputacinConsultora Aplicada en Tecnologa de la Informacin

Trabajo de InvestigacinISO/IEC 27001: 2013

ProfesorAllan Acevedo R

San Jos, Costa RicaMayo, 2014

Tabla de contenidoCAPTULO I: INTRODUCCIN41.1 Objetivo de la investigacin51.1.1 Objetivo general51.1.2 Objetivos especficos61.2 Alcances y limitaciones61.2.1 Alcances61.2.2 Limitaciones6CAPTULO II: MARCO TERICO62.1 Norma ISO-2700162.1.1 Historia62.2Norma ISO/IEC 27001:201392.2.1Alcance92.2.2Requisitos Contextuales102.2.2.1Entendiendo la organizacin y su contexto102.2.2.2Definir las necesidades y expectativas de las partes interesadas112.2.2.3Determinar el alcance del sistema de gestin de seguridad de la informacin112.2.3Liderazgo112.2.3.1Liderazgo y compromiso112.2.3.2Poltica de seguridad de informacin adecuada122.2.3.3Funciones de la organizacin, responsabilidades y autoridades para el SGSI122.2.4Planificacin132.2.4.1Acciones para abordar los riesgos y oportunidades132.2.4.2Evaluacin de riesgos de seguridad de informacin132.2.4.3Tratamiento de los riesgos de seguridad de informacin142.2.4.4Los objetivos de seguridad de la informacin y la planificacin para alcanzarlos152.2.5Soporte162.2.5.1Recursos162.2.5.2Competencia162.2.5.3Conciencia162.2.5.4Comunicacin172.2.5.5Informacin Documentada172.2.5.5.1Creacin y actualizacin182.2.5.5.2Control de la informacin documentada182.2.6Operacin192.2.6.1Planificacin y control operativo192.2.6.2Evaluacin de riesgos de seguridad de informacin192.2.6.3Tratamiento de los riesgos de seguridad de informacin192.2.7Evaluacin del desempeo202.2.7.1Seguimiento, medicin, anlisis y evaluacin202.2.7.2Auditora interna202.2.7.3Revisin de la gestin212.2.8Mejora222.2.8.1No conformidad y acciones correctivas222.2.8.2Mejora Continua222.3Beneficios de la Norma ISO 27001:2013232.4Principales diferencias ISO 27001version 2005 & versin 2013232.5Lineamientos para la transicin242.6Tiempo de transicin24CAPTULO III: CONCLUSIONES Y RECOMENDACIONES253.1 Conclusiones253.2Recomendaciones253.3 Bibliografa26Anexos27

CAPTULO I: INTRODUCCINDebido a que el uso de Internet se encuentra en aumento, cada vez ms compaas permiten a sus socios y proveedores acceder a sus sistemas de informacin. Por lo tanto, es fundamental saber qu recursos de la compaa necesitan proteccin para as controlar el acceso al sistema y los derechos de los usuarios del sistema de informacin. Los mismos procedimientos se aplican cuando se permite el acceso a la compaa a travs de Internet.Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el cual permite a los empleados conectarse a los sistemas de informacin casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de informacin fuera de la infraestructura segura de la compaa.Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin el material y los recursos de software que permiten a una compaa almacenar y hacer circular estos datos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos.Frecuentemente, la seguridad de los sistemas de informacin es objeto de metforas. A menudo, se la compara con una cadena, afirmndose que el nivel de seguridad de un sistema es efectivo nicamente si el nivel de seguridad del eslabn ms dbil tambin lo es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las ventanas completamente abiertas.Por lo tanto es necesario crear herramientas que nos permitan salvaguardar uno de los activos ms importantes de las empresas de manera que podamos garantizar el uso adecuado de la informacin, es por eso que hacemos uso de estndares o normas para certificar que la informacin recorre procesos que mantienen la informacin disponible, segura, integra y confidencial.

1.1 Objetivo de la investigacin 1.1.1 Objetivo generalInvestigar la norma ISO27001, consultando diferentes fuentes bibliogrficas, para conocer la estructura, historia y su funcin dentro de la familia de estndares ISO27000.

1.1.2 Objetivos especficosIdentificar las fases de la norma, estudiando el contenido, para conocer su propsito dentro de las Tecnologas de la Informacin y Comunicaciones.Determinar las pautas de certificacin, verificando requisitos de las empresas encargadas, para conocer el marco de requerimientos necesarios que debe cumplir una organizacin.Conocer los beneficios adquiridos de las empresas certificadas en ISO2701, identificando comentarios y la reputacin de estas compaas, para reflejar las ventajas implcitas de una certificacin de este calibre.Describir el proceso de implementacin de la norma ISO27001, mediante los diagramas que posee la norma, para ampliar el nivel de conocimiento sobre la estructura y conocer el nivel de complejidad que conlleva este proceso.1.2 Alcances y limitaciones 1.2.1 Alcances El alcance de este proyecto de investigacin es la de identificar y conocer puntos generales de la norma ISO27001 tales como su estructura, pasos para su implementacin, lineamientos de tiempo de transicin y los beneficios que podra obtener una compaa certificada.1.2.2 LimitacionesLa definicin completa del estndar no es pblica y por el contrario tiene un costo de adquisicin elevado.No todas las compaas publican la informacin de certificaciones.CAPTULO II: MARCO TERICO2.1 Norma ISO-270012.1.1 HistoriaLa norma BS 7799 de BSI (Standards, Training, Testing, Assessment & Certification) apareci por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin.La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableci los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente.Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.En Marzo de 2006, posteriormente a la publicacin de ISO 27001:2005, BSI public la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin del ISO/IEC 27001, que es la norma principal y nica certificable dentro de la serie.nicamente considerar la reciente publicacin de la revisin de las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 ambas aprobadas en la misma fecha: 25 de Septiembre de 2013

Figura 1: Historia de la norma ISO27001 hasta la fecha.

La familia de estandares de los sistemas de gestin de seguridad de la informacin (SGSI) consiste en estandares interrelacionados, ya sean publicados o bajo desarrollo, y contiene un nmero significativo de componentes estructurales. Estos componentes estan enfocados sobre estandares normativos que describen los requerimientos para un SGSI (ISO/IEC 27001) y requisitos de los organismos de certificacin (ISO/IEC 27006) para aquellos que desean certificarse dentro de la norma (ISO/IEC 27001). Otros estandares proveen una gua para varios aspectos de la implementacin del SGSI, abordar un proceso genrico, directrices relacionadas con el control, as como orientacin especfica de un sector. Las relaciones entre los estandares del SGSI son ilustrados en la siguiente figura.

Figura 2: Relaciones de la familia de SGSI

Norma ISO/IEC 27001:2013

AlcanceEsta norma internacional especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestin de seguridad de la informacin en el contexto de la organizacin. Esta norma tambin incluye los requisitos para la evaluacin y tratamiento de los riesgos de seguridad de informacin adaptados a las necesidades de la organizacin. Los requisitos establecidos en la norma son genricos y se pretende que sea aplicable a todas las organizaciones, independientemente de su tipo, tamao o naturaleza.

Figura 3: Estructura de la norma ISO27001:2013

Requisitos Contextuales

Entendiendo la organizacin y su contexto

La organizacin debe determinar los problemas externos e internos que son relevantes para su propsito y que afectan su capacidad para lograr el resultado deseado de su sistema de gestin de seguridad de la informacin.Definir las necesidades y expectativas de las partes interesadas

La organizacin debe determinar: Las partes interesadas que son relevantes para el sistema de gestin de seguridad de la informacin.Los requisitos de estas partes interesadas pertinentes a la seguridad de la informacin.

Determinar el alcance del sistema de gestin de seguridad de la informacin

La organizacin debe determinar los lmites y aplicabilidad del sistema de gestin de seguridad de la informacin para establecer su mbito de aplicacin.

LiderazgoLiderazgo y compromiso

La alta direccin debe demostrar su liderazgo y compromiso con respecto al sistema de gestin de seguridad de la informacin a travs de:Garantizar que la poltica de seguridad de la informacin y que los objetivos de seguridad de la informacin estn establecidos y son compatibles con la direccin estratgica de la organizacin.Garantizar la integracin de los requerimientos del sistema de gestin de seguridad de la informacin en los procesos de la organizacin.Velar por que los recursos necesarios para el sistema de gestin de seguridad de la informacin estn disponibles.Comunicar la importancia de una gestin eficaz de seguridad de la informacin y de adaptarse a los requerimientos del sistema de gestin de seguridad de la informacin.Garantizar que el sistema de gestin de seguridad de la informacin alcanza su objetivo previsto.La direccin y las personas deben contribuir a la eficacia del sistema de gestin de seguridad de la informacin.Promover la mejora continua.Dar apoyo a otras funciones de gestin pertinentes para demostrar su liderazgo.

Poltica de seguridad de informacin adecuada

La alta direccin debe establecer una poltica de seguridad de la informacin que: Es apropiada para el propsito de la organizacin.Incluye los objetivos de seguridad de la informacin o proporciona el marco para establecer los objetivos de seguridad de la informacin. Incluye un compromiso de cumplir con los requisitos aplicables en materia de seguridad de la informacin.Incluye un compromiso de mejora continua del sistema de gestin de seguridad de la informacin. La poltica de seguridad de la informacin deber: Estar disponible como informacin documentada. Ser comunicada dentro de la organizacin. Estar a disposicin de las partes interesadas, segn corresponda.

Funciones de la organizacin, responsabilidades y autoridades para el SGSI

La alta direccin debe asegurarse de que las responsabilidades y autoridades para las funciones relevantes para la seguridad de informacin son asignadas y comunicadas. La alta direccin debe asignar la responsabilidad y autoridad para: Garantizar que el sistema de gestin de seguridad de la informacin se ajusta a los requisitos de la Norma Internacional. Informar sobre el desempeo del sistema de gestin de seguridad de la informacin a la alta direccin. NOTA: La alta direccin tambin puede asignar las responsabilidades y autoridades para informar sobre el desempeo del sistema de gestin de seguridad de la informacin dentro de la organizacin.

PlanificacinAcciones para abordar los riesgos y oportunidades

Al planificar el sistema de gestin de seguridad de la informacin, la organizacin debe determinar los riesgos y oportunidades que deben dirigirse a: Asegurar que el sistema de gestin de seguridad de la informacin puede lograr su objetivo previsto.Prevenir o reducir los efectos no deseados.Lograr la mejora continua. La organizacin debe planificar: Las acciones para hacer frente a estos riesgos y oportunidades.La forma de:Integrar y poner en prctica las acciones en los procesos del sistema de gestin de seguridad de la informacin Evaluar la eficacia de estas acciones.Proceso de evaluacin.

Evaluacin de riesgos de seguridad de informacin

La organizacin debe definir y aplicar un proceso de evaluacin de riesgos de seguridad de informacin que: Establece y mantiene los criterios de riesgo de la informacin de seguridad que incluyen: Los criterios de aceptacin del riesgo. Los criterios para la realizacin de las evaluaciones de riesgos de seguridad de la informacin.Se asegure de que las continuas evaluaciones de riesgos de seguridad de la informacin producen resultados consistentes, vlidos y comparables.Identifica los riesgos de seguridad de la informacin.Aplicar el proceso de evaluacin de riesgos de seguridad de informacin para identificar los riesgos asociados a la prdida de confidencialidad, integridad y disponibilidad de la informacin en el mbito de aplicacin del sistema de gestin de seguridad de la informacin.Identificar a los propietarios de los riesgos; Analiza los riesgos de seguridad de la informacin: Evaluar las posibles consecuencias que resultaran si los riesgos identificados llegaran a materializarse.Evaluar la probabilidad realista de la ocurrencia de los riesgos identificados.Determinar los niveles de riesgo. Evala los riesgos de seguridad de la informacin. Comparar los resultados del anlisis de riesgos a los criterios de riesgo establecidos. Clasificacin de los riesgos analizados para el tratamiento de riesgos. La organizacin conservar informacin documentada acerca de los riesgos de seguridad de informacin.

Tratamiento de los riesgos de seguridad de informacin

La organizacin debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la informacin a:Seleccionar las opciones de tratamiento de riesgos de seguridad de informacin adecuados y teniendo en cuenta los resultados de la evaluacin del riesgo.Determinar todos los controles que sean necesarios para aplicar el tratamiento de los riesgos de seguridad de informacinLas organizaciones pueden disear controles segn sea necesario, o identificarlos a partir de cualquier fuente.Comparar los controles y verificar que controles necesarios no se han omitido.Producir una Declaracin de aplicabilidad que contiene los controles necesarios y justificacin de las inclusiones, estn aplicando o no, y la justificacin de las exclusiones de controles.Formular un plan de tratamiento de riesgos de seguridad de la informacin.Obtener la aprobacin de los propietarios del plan de tratamiento de riesgos de seguridad de la informacin y la aceptacin de los riesgos residuales de la informacin.La organizacin conservar informacin documentada sobre el proceso de tratamiento de los riesgos de seguridad de informacin.

Los objetivos de seguridad de la informacin y la planificacin para alcanzarlos

La organizacin debe establecer los objetivos de seguridad de la informacin en las funciones y niveles pertinentes. Los objetivos de seguridad de la informacin debern: Ser coherente con la poltica de seguridad de la informacin.Ser medibles (si es posible).Tener en cuenta los requisitos aplicables de seguridad de informacin, y los resultados de la evaluacin y tratamiento de riesgos.Ser comunicados.Ser actualizados cuando sea apropiado.La organizacin conservar informacin documentada sobre los objetivos de seguridad de la informacin.Al planificar cmo alcanzar sus objetivos de seguridad de la informacin, la organizacin debe determinar:Que se deber hacer.Los recursos que sern necesarios.Quien ser responsable.Cuando ser completado.Como se evaluarn los resultados.

Soporte Recursos

La organizacin debe determinar y proporcionar los recursos necesarios para el establecimiento, implementacin, mantenimiento y mejora continua del sistema de gestin de seguridad de la informacin.

Competencia

La organizacin debe:Determinar la competencia necesaria de la persona (s) que hace el trabajo bajo su control que afecte a su rendimiento de seguridad de la informacin; Garantizar que dichas personas son competentes en nivel de educacin, entrenamiento o experiencia.Cuando aplique, tomar las acciones para adquirir la competencia necesaria, y evaluar la eficacia de las medidas adoptadas.Conservar la informacin documentada apropiada como evidencia de la competencia.Acciones aplicables pueden incluir, por ejemplo: la oferta de formacin para la tutora, o la reasignacin de los empleados actuales; o la contratacin de personas competentes.

Conciencia

Las personas trabajando bajo el control de la organizacin deben tener en cuenta:La poltica de la seguridad de la informacin.Su contribucin a la eficacia del sistema de gestin de seguridad de la informacin, incluyendo los beneficios de un mejor desempeo de la seguridad de la informacin.Las consecuencias de que no cumplan con los requisitos del sistema de gestin de seguridad de la informacin.

Comunicacin

La organizacin debe determinar la necesidad de las comunicaciones internas y externas pertinentes para el sistema de gestin de seguridad de la informacin que incluye:Que comunicar.Cuando comunicarlo.Con quien comunicarlo.Quien deber comunicarlo.Los procesos por los que la comunicacin ser efectiva.

Informacin Documentada

Sistema de gestin de seguridad de la informacin de la organizacin debe incluir:Informacin documentada requerida por la norma.Informacin documentada determinada por la organizacin como necesaria para la eficacia del sistema de gestin de seguridad de la informacin.El alcance de la informacin documentada para un sistema de gestin de seguridad de la informacin puede diferir de una organizacin a otra debido a: El tamao de la organizacin y de su tipo de actividades, procesos, productos y servicios.La complejidad de los procesos y sus interacciones.La competencia de las personas.

Creacin y actualizacin

Al crear y actualizar la informacin documentada de la organizacin se debe asegurar: La identificacin y descripcin (por ejemplo, un ttulo, fecha, autor, o el nmero de referencia).Formato (por ejemplo, de idiomas, la versin del software, grficos) y de los medios de comunicacin (por ejemplo, papel, electrnico).La revisin y aprobacin por la idoneidad y adecuacin.

Control de la informacin documentada

Informacin documentada requerida por el sistema de gestin de seguridad de la informacin y por la norma se deben controlar para asegurar: Que est disponible y adecuada para su uso, donde y cuando sea necesario. Que est protegida de forma adecuada (por ejemplo, de prdida de confidencialidad, uso inadecuado, o la prdida de la integridad).Para el control de la informacin documentada, la organizacin debe responder a las siguientes actividades, segn corresponda:La distribucin, acceso, recuperacin y uso.Almacenamiento y conservacin, incluyendo la preservacin de la legibilidad.El control de cambios (por ejemplo, control de versiones).La retencin y disposicin.Informacin documentada de origen externo, que la organizacin determina que son necesarios para la planificacin y operacin del sistema de gestin de seguridad de la informacin, debe ser identificada como corresponda y controlarse. El acceso implica una decisin sobre el permiso para ver la informacin documentada solamente, o el permiso y la autoridad para ver y cambiar la informacin documentada, etc.

Operacin

Planificacin y control operativo

La organizacin debe planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la informacin, y para poner en prctica las acciones determinadas. La organizacin debe implementar tambin planes para lograr los objetivos de seguridad de la informacin.La organizacin debe mantener la informacin documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo segn lo previsto. La organizacin debe controlar los cambios planificados y examinar las consecuencias de los cambios no deseados, la adopcin de medidas para mitigar los posibles efectos adversos, segn sea necesario. La organizacin debe asegurarse de que los procesos externalizados se determinan y controlan.

Evaluacin de riesgos de seguridad de informacin

La organizacin debe llevar a cabo las evaluaciones de riesgos de seguridad de la informacin a intervalos planificados o cuando se propongan modificaciones importantes o se producen.

Tratamiento de los riesgos de seguridad de informacin

La organizacin debe implementar el plan de tratamiento de riesgos de seguridad de la informacin.

Evaluacin del desempeo

Seguimiento, medicin, anlisis y evaluacin

La organizacin debe evaluar el desempeo de la seguridad de la informacin y la eficacia del sistema de gestin de seguridad de la informacin. La organizacin debe determinar:Lo que necesita ser monitoreado y medido, incluidos los procesos y controles de seguridad de la informacin.Los mtodos de seguimiento, medicin, anlisis y evaluacin, como apliquen, para garantizar la validez de los resultados.Cuando se llevarn a cabo el seguimiento y medicin.Quien medir y dar seguimiento. Cuando se analizan y evalan los resultados de seguimiento y medicin.Quien debe analizar y evaluar estos resultados.

Auditora internaLa organizacin debe llevar a cabo auditoras internas a intervalos planificados para proporcionar informacin sobre si el sistema de gestin de seguridad de la informacin:Cumple.Las propias necesidades de la organizacin para su sistema de gestin de seguridad de la informacin propio. Los requisitos de la norma.Se ha implementado y mantiene de manera eficaz. La organizacin debe:Planear, establecer, implementar y mantener un programa (s) de auditora, incluida la periodicidad, los mtodos, responsabilidades, requisitos de planificacin y presentacin de informes. El programa (s) de auditora deber tener en cuenta la importancia de los procesos en cuestin y los resultados de auditoras anteriores.Definir los criterios de auditora y el alcance de cada auditora.Seleccin de los auditores y realizar auditoras que garanticen la objetividad e imparcialidad del proceso de auditora.Asegurarse de que los resultados de las auditoras se reportan a la gerencia pertinente.Conservar la informacin documentada como prueba del programa (s) de auditora y los resultados de la auditora.

Revisin de la gestin

La alta direccin debe revisar el sistema de gestin de seguridad de informacin de la organizacin a intervalos planificados para asegurarse de su conveniencia, adecuacin y eficacia. La revisin por la direccin debe incluir la consideracin de:El estado de las acciones de las revisiones por las direcciones previas.Los cambios en los problemas externos e internos que son relevantes para el sistema de gestin de seguridad de la informacin; La retroalimentacin sobre el desempeo de la seguridad de la informacin, incluyendo las tendencias en: Las no conformidades y acciones correctivas; Seguimiento y medicin de los resultados.Resultados de las auditoras. El cumplimiento de los objetivos de seguridad de la informacin.La retroalimentacin de las partes interesadas; Los resultados de la evaluacin del riesgo y el estado del plan de tratamiento de riesgos. Las oportunidades de mejora continua.La retroalimentacin de la revisin por la direccin debe incluir las decisiones relacionadas con las oportunidades de mejora continua y de cualquier necesidad de cambios en el sistema de gestin de seguridad de la informacin.

Mejora

No conformidad y acciones correctivas

Cuando se produce una no conformidad, la organizacin deber: Reaccionar a la no conformidad, y segn sea el caso: Tomar medidas para controlarla y corregirla.Hacer frente a las consecuencias.Evaluar la necesidad de acciones para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o se produzcan en otros lugares, a travs de:La revisin de la no conformidad.Determinar las causas de la no conformidad.Determinar si existen incumplimientos similares o podran producirse.Poner en prctica las medidas oportunas.Revisar la eficacia de las medidas correctivas adoptadas.Realizar cambios en el sistema de gestin de seguridad de la informacin, si es necesario. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organizacin conservar informacin documentada como evidencia de:La naturaleza de las no conformidades y de cualquier accin tomada posteriormente.Los resultados de cualquier accin correctiva.

Mejora Continua

La organizacin debe mejorar continuamente la conveniencia, adecuacin y eficacia del sistema de gestin de seguridad de la informacin.

Beneficios de la Norma ISO 27001:2013

Cumplimiento en materia de gestin de la informacin.Aumento del valor comercial y mejora la imagen de la organizacinReduccin de los costos vinculados a incidenteOrdenamiento del negocio u organizacinUna mejora continua en la Gestin de la Seguridad

Principales diferencias ISO 27001version 2005 & versin 2013

Reduce el nmero de controles de 133 a 113Aumenta el nmero de dominios de 11 a 14Se han eliminado o fusionado algunos controlesAlgunos controles nuevos se han aadido y otros que permanecen han sido reformuladosElimina la seccin de Enfoque a procesos que describa el modelo PDCA lSO 27002 ya no es una normativa de referenciaLas definiciones fueron removidas y reubicadas en la norma ISO 27000Cambios en la terminologa: por ejemplo, Poltica de SI es usada en lugar de Poltica del SGSILos requisitos para el compromiso de la Alta Direccin fueron revisados y ahora estn presentes en la Clusula de LiderazgoLas acciones preventivas se reemplazaron por "acciones para abordar los riesgos y oportunidadesLos requisitos de evaluacin de riesgos son ahora ms generales y se alinean con la norma ISO 31000Mayor nfasis en el establecimiento de los objetivos, el seguimiento del desempeo y mtricas

Lineamientos para la transicin

Segn lo especificado por el Foro Internacional de Acreditacin (IAF), todos los certificados vigentes bajo los requisitos de la norma ISO/IEC 27001:2005 debern ser actualizados en un periodo mximo de dos (2) aos, el cual finalizar el 01/10/2015.

Tiempo de transicin

Organizaciones certificadas con la ISO/IEC 27001:2005 antes del da 01/10/2013Las auditoras de seguimientos, reactivaciones y renovaciones de certificados emitidos con la norma ISO/IEC 27001:2005, se podrn realizar hasta el 01/04/2015.

Organizaciones que an no estn certificadas con la ISO/IEC 27001Las auditoras de otorgamiento de certificados con la norma ISO/IEC 27001:2005 solo sern permitidas hasta el da 01/10/2014. Despus de esta fecha las auditoras de otorgamiento se realizarn solamente con ISO/IEC 27001 versin 2013.

CAPTULO III: CONCLUSIONES Y RECOMENDACIONES

3.1 Conclusiones

Esta nueva versin refleja una mayor flexibilidad para su implementacin dentro de las empresas sin importar su tamao, as como la necesidad de adaptarse a la evolucin de las tecnologas.La ISO 27001:2013, proporciona mayor nfasis en partes interesadas, liderazgo, sensibilizacin, comunicacin, capacidades, propietario del riesgo, activos, gestin de riesgos y oportunidades, lo que la hace mas prescriptiva.Las empresas que han realizado el esfuerzo de implementar la ISO 27001:2005, deben tomar estrategias para alinear su implementacin a la ISO 27001:2013.El principal elemento del proceso de mejora son las no-conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Recomendaciones

Esta norma se debe implementar para aumentar los niveles de seguridad, el ISO 27001 es utilizada por grandes empresas a nivel mundial a los cuales les funciona por lo que es recomendada su aplicacin.La recomendacin para quienes ya poseen un SGSI implementado es considerar el apoyo de consultores con experiencia para llevar a cabo las modificaciones y dirigir los esfuerzos hacia una actualizacin exitosa de la norma, conforme lo dictan los requisitos.Para ayudar con la transicin, obtener la gua de transicin y escala del tiempo que proporciona BSI, para realizar las adecuaciones pertinentes.

3.3 Bibliografa

Esteban, L. (27 de septiembre de 2013). Obtenido de INTECO: http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/nueva_version_iso27001ISO/IEC 27001:2013. (25 de Septiembre de 2013). ISO. Recuperado el 23 de mayo de 2014, de http://www.iso.org/iso/home.htmlTrejos, D. G. (30 de agosto de 2013). Magazcitum. Obtenido de El magazine para los profesionales de la seguridad de TI: http://www.magazcitum.com.mx

AnexosEl Anexo A Referencia de objetivos y controles contina formando parte de este estndar, pero los anexos B y C se han eliminado.El nmero de dominios del anexo aumenta de 11 a 14, de esta manera, donde algunos controles se incluan de forma artificial en ciertas reas donde no encajaban perfectamente, ahora se organizan mejor.

Figura 2: Dominios Anexo A de ISO 27001:2013Lista de controles que ya no forman parte del estndar:ControlDescripcinCambia porIncluye los controles de la ISO 27001:2005A.6.1.1 Comit de gestin para la seguridad de la informacinRoles de la seguridad de la informacin y sus responsabilidadesA.6.1.3 y A.8.1.1A.6.1.2Coordinacin de seguridad de la informacinContacto con autoridadesA.6.1.6A.6.1.4Procesos de autorizacin para instalaciones para procesamiento de informacinSeguridad de la informacin en la gestin de proyectosA.6.2.1Identificacin de riesgos relacionados con agentes externosPoltica de dispositivo mvilA.11.7.1A.6.2.2Direccionamiento de seguridad al tratar con clientesTrabajo a distanciaA.11.7.2A.10.2.1Entrega del servicioA.10.7.4Seguridad del sistema de documentosA.10.8.5Sistema de informacin de negociosA.10.10.2Seguimiento al uso de sistemaA.10.10.5Falla en el registroA.11.4.2Autenticacin de usuarios para conexiones externasA.11.4.3Identificacin de equiposA.11.4.4Puerto remoto de diagnstico y configuracin de proteccinA.11.4.6Control para la conexin de redesA.11.6.2Aislamiento del sistema sensibleA.12.2.1Validacin de datos de entradaControles contra malwareA.10.4.1A.12.2.2Control de procesamiento internoA.12.2.3Integridad de mensajeA.12.2.4Validacin de datos de salidaA.12.5.4Filtracin de la informacinA.15.1.5Prevencin del uso indebido de las instalaciones para el procesamiento de informacinA.15.3.2Proteccin de las herramientas de auditora de sistemas de informacin

.Nuevos controles propuestos.ControlDescripcinAbsorbe los controles de la ISO 27001:2005A.6.1.4Seguridad de la informacin en la gestin de proyectosA.12.6.2Restricciones en la instalacin de softwareA.14.2.1Poltica de desarrollo de seguridadA.14.2.5Desarrollo de procedimientos para el sistemaA.14.2.6Desarrollo de un entorno seguroA.14.2.8Sistema de prueba de seguridadA.15.1.1Informacin de seguridad para las relaciones de proveedoresA.6.2.3A.15.1.3Cadena de suministro ICTA.16.1.4Evaluacin y decisin de los eventos de seguridad de la informacinA.16.1.5Respuesta a incidentes de seguridad de la informacinA.17.1.2Implementacin de la continuidad de la seguridad de la informacinA.17.2.1Disponibilidad de las instalaciones para procesamiento de informacin.

6