Sie sind auf Seite 1von 12

ÍNDICE

INTRODUCCIÓN ....................................................................................................... ii

NORMAS ISO/IEC 27000 .......................................................................................... 3

Definición ................................................................................................................ 3

Origen ...................................................................................................................... 3

Normalización internacional .................................................................................... 4

Sistema de Gestión de la Seguridad de la Información (SGSI) ............................... 4

ISO 27000 .................................................................................................................... 4

ISO 27001: ............................................................................................................... 4

ISO 27002 ................................................................................................................ 5

ISO 27004 ................................................................................................................ 5

ISO 27005 ................................................................................................................ 5

ISO 27006 ................................................................................................................ 5

ISO 27007 ................................................................................................................ 6

Importancia .............................................................................................................. 6

Ventajas de su aplicación ......................................................................................... 6

Algunos consejos para implantar con éxito esta norma son: ................................... 7

Cómo aumentar los beneficios de la certificación ................................................... 8

Implantando La Norma ISO 27001 ......................................................................... 8

Las fases de esta metodología son los siguientes: ................................................... 8

CONCLUSIONES ..................................................................................................... 10

RECOMENDACIONES ............................................................................................ 11

BIBLIOGRAFÍA ....................................................................................................... 12

I
INTRODUCCIÓN

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier


organización. El aseguramiento de dicha información y de los sistemas que la procesan
es, por tanto, un objetivo de primer nivel para la organización. En el presente trabajo
investigativo se hablara acerca de las Normas ISO/IEC 2700 mismas que son estándares
que sirven de gran utilidad para la seguridad de la información que se utiliza en cualquier
tipo de organización o empresa ya sea pública o privada la importancia es la misma,

El creciente desarrollo y dependencia de la tecnología de la información, es necesario que


las empresas protejan sus activos de datos críticos tanto para sus propias necesidades
como para garantizar la confianza continúa de los clientes, y los socios.

El propósito del presente trabajo es elaborar un video conforme al tema planteado donde
se verá desarrollado los conocimientos y habilidades de los integrantes del grupo para la
elaboración y edición del mismo, para lo cual se hará uso de un editor de video, donde el
producto final se verá plasmado en su proyección.

Al final de la realización del trabajo se dará una conclusión acerca del mismo con la
finalidad de dar un breve análisis de lo que hemos aprendido y las experiencias que se
obtuvo de la misma manera se realizara ciertas recomendaciones con la única finalidad
de mejorar los conocimientos y prepararnos para ser profesionales de excelencia

II
NORMAS ISO/IEC 27000
Definición
Normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de
la información utilizable por cualquier tipo de organización, pública o privada, grande o
pequeña.

La gestión eficaz de la seguridad de la información es un aspecto primordial para


salvaguardar a las organizaciones de los riesgos que pueden dañar de forma importante
sus sistemas de información.

La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica


Internacional (IEC) han desarrollado una serie de normas internacionales de amplísima
difusión a nivel mundial al respecto de esta problemática.

Origen
En 1995 el organismo británico de normalización (BSI - British Standards Institute)
establece la norma BS 7799, con el objetivo de proporcionar a cualquier organización un
conjunto de buenas prácticas para la gestión de la seguridad de su información.

La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que
no se establecía un esquema de certificación. En 1998 fue publicada la segunda parte de
la norma (BS 7799-2), en la que establecieron los requisitos de un sistema de seguridad
de la información para ser certificable por una entidad independiente. En el año 1999 las
dos partes de la Norma BS 7799 se revisaron y la primera parte se adoptó por ISO e IEC,
sin cambios sustanciales, como ISO/IEC 17799 en el año 2000.

En 2002, se revisó la segunda parte de la norma (BS 7799-2) para adecuarse a la filosofía
de normas ISO/IEC de sistemas de gestión.

En el año 2005 la Norma BS 7799-2 se publicó por ISO e IEC, con algunos cambios,
como norma ISO/IEC 27001.

3
Normalización internacional

Las normas internacionales para los sistemas de gestión proporcionan un modelo a seguir
en la creación y operación de un sistema de gestión. Este modelo incorpora los elementos
sobre los que expertos en la materia han llegado a un consenso internacional como estado
del arte. El sub-comité ISO/IEC JTC 1 SC 27 reúne a los expertos dedicado a la
elaboración de normas internacionales de sistemas de gestión para la seguridad de la
información.

UNIT es miembro pleno del Sub Comité 27 (ISO/IEC JTC1/SC 27) Técnicas de
Seguridad, que cuenta con 136 Normas publicadas.
A nivel regional UNIT forma parte de del Comité CSM 28 “Comité Sectorial Mercosur
de Seguridad de la Información” de la Asociación Mercosur de Normalización AMN.

Sistema de Gestión de la Seguridad de la Información (SGSI)

Un Sistema de Gestión de la Seguridad de la Información concentra las políticas,


procedimientos, directrices y recursos, para la gestión conjunta, en pro de la protección
de los activos de información de las organizaciones. Además, el SGSI consolida un
enfoque sistemático para el establecimiento, implantación, operación, monitoreo, revisión
y mejora de la seguridad de la información, alineados a los objetivos estratégicos del
negocio. El SGSI se basa en conceptos de evaluación y aceptación de riesgos,
posibilitando la gestión eficaz de los mismos, en el día a día de la empresa.

ISO 27000
Es un conjunto de estándares internacionales sobre la Seguridad de la Información. La
familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento,
implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la
Información.

ISO 27001:

4
Es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de
las que se incluyen en la lista y consta de una parte principal basada en el ciclo de mejora
continua y un Anexo A, en el que se detallan las líneas generales de los controles
propuestos por el estándar. El eje central de ISO 27001 es proteger la confidencialidad,
integridad y disponibilidad de la información en una empresa. Esto lo hace investigando
cuáles son los potenciales problemas que podrían afectar la información (es decir, la
evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos
problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

ISO 27002
Se trata de una recopilación de buenas prácticas para la Seguridad de la Información que
describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35
objetivos de control y 114 controles.

ISO 27003
Es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma
27001, indicando las directivas generales necesarias para la correcta implementación de
un SGSI. Incluye instrucciones sobre cómo lograr la implementación de un SGSI con
éxito.

ISO 27004
Describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión
de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con
qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

ISO 27005
Es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad
de la información que puedan comprometer a las organizaciones. No especifica ninguna
metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles
amenazas, vulnerabilidades e impactos.

ISO 27006
Es un conjunto de requisitos de acreditación para las organizaciones certificadoras.

5
ISO 27007
Es una guía para auditar SGSIs. Establece qué auditar y cuándo, cómo asignar los
auditores adecuados, la planificación y ejecución de la auditoría, las actividades claves,
etc.

Importancia

Mediante el uso de la familia de normas UNIT-ISO/IEC 27000 , las organizaciones


pueden desarrollar e implantar un marco para la gestión de la seguridad de sus activos de
información, incluyendo información financiera, propiedad intelectual y detalles de sus
empleados, o información confiada a la organización por sus clientes o terceras partes.

Estas normas también pueden ser utilizadas para prepararse para una evaluación
independiente de sus SGSI aplicada a la protección de la información.
Mejorar los aspectos relacionados con la seguridad de la información, proveer seguridad
a sus clientes o socios, son algunos de los motivos por los cuales las organizaciones
deciden adoptar normas de seguridad y la implantación de un SGSI.

La adopción de un SGSI, por una empresa, independientemente del porte, debe involucrar
a colaboradores internos, asociados y proveedores, dando total consistencia al proceso.
Es importante resaltar que los sistemas de información utilizados por la empresa deben
tener alineación con las normas técnicas apropiadas, trayendo conformidad para el
negocio.

Ventajas de su aplicación
 Comunicar a clientes, proveedores y grupos de interés que la seguridad es una de
las prioridades de la empresa.
 Identificar los principales riesgos en materia de seguridad informática y establecer
controles para gestionarlos o eliminarlos.
 Clasificar los riesgos en función de su gravedad y posibilidades reales de que se
lleguen a producir.
 Adaptar y alinear los controles a todas las áreas de la empresa.

6
 Crear confianza en los clientes y partes interesadas de que sus datos están
debidamente protegidos.
 Cumplir con los requisitos y demostrar conformidad y compromiso con los
mismos.
 Cumplimiento de las leyes y reglamentos pertinentes reduciendo así la posibilidad
enfrentarse a multas y sanciones.
 Proporcionar el marco más adecuado para la gestión de la seguridad de la
información.
 Proteger la reputación de la empresa.
 Ahorrar costes por la reducción de incidentes.
 Implementar procedimientos para permitir la detección oportuna y a tiempo
de brechas de seguridad.
 Asegurar que los usuarios que sí están autorizados tengan acceso a la información
en el momento en que lo necesitan.
 Conseguir ventaja competitiva.
 Se fortalece la organización interna y los procesos de mejora continua.

Algunos consejos para implantar con éxito esta norma son:

 Pedir asesoramiento a profesionales y consultoras especializadas.


 Obtener el compromiso y máximo apoyo de la directiva.
 Hacer partícipe a todos los integrantes de la empresa con una buena comunicación
interna, formación e incentivos.
 Comparar la actual gestión de seguridad de la compañía con los requisitos de la
norma ISO/IEC 27001.
 Obtener y tener en cuenta la opinión de clientes y proveedores sobre el sistema
actual de gestión de seguridad de la información.
 Establezcer un equipo de implantación para conseguir los mejores resultados con
una clara asignación de funciones, plazos y responsabilidades.
 Revisar con regularidad el sistema de seguridad para garantizar la mejora
continua.

7
Cómo aumentar los beneficios de la certificación

Es importante tener en cuenta que la gestión de la seguridad de la información no acaba


con la certificación. Las normas incluidas en la familia ISO 27000, como todas las de las
familias ISO, pueden cambiar, crecer y evolucionar en paralelo al sistema de gestión de
seguridad de su empresa.

Para sacar el máximo provecho de una certificación de la norma ISO es fundamental


mantenerse al día en lo que respecta a los cambios en previsiones y reglamentos. La única
forma que tiene una empresa de estar siempre en vanguardia en materia de seguridad es
realizar constantes revisiones de su sistema de seguridad, actualizando el sistema en
función de los últimos avances de la serie de normas ISO 27000 y las últimas novedades
tecnológicas para proteger la información importante y/o confidencial de las empresas.

Implantando La Norma ISO 27001

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI)


según la norma ISO 27001, debemos considerar como eje central de este sistema la
Evaluación de Riesgos. Este capítulo de la Norma, permitirá a la dirección de la empresa
tener la visión necesaria para definir el alcance y ámbito de aplicación de la norma, así
como las políticas y medidas a implantar, integrando este sistema en la metodología de
mejora continua, común para todas las normas ISO.

Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.

Las fases de esta metodología son los siguientes:

1.- Identificar los Activos de Información y sus responsables, entendiendo por activo
todo aquello que tiene valor para la organización, incluyendo soportes físicos (edificios o

8
equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos ...) así como
la marca, la reputación etc.

2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del
activo que lo hacen susceptible de sufrir ataques o daños.
3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la
información, tales como desastres naturales, incendios o ataques de virus, espionaje etc.

4.- Identificar los requisitos legales y contractuales que la organización está obligada
a cumplir con sus clientes, socios o proveedores.

5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas
o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo
de la información, en relación a su disponibilidad, confidencialidad e integridad del
mismo.

6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo
y el impacto que este tiene sobre la organización (Riesgo = impacto x probabilidad de la
amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados
con prioridad.

7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la política
definida por la dirección. En este punto, es donde seleccionaremos los controles
adecuados para cada riesgo, los cuales irán orientados a:
 Asumir el riesgo
 Reducir el riesgo
 Eliminar el riesgo
 Transferir el riesgo

9
CONCLUSIONES
Después de haber realizado el presente trabajo se llega a la conclusión que las empresas
públicas, privadas, mixtas, grandes, pequeñas, medianas, etc. manejan un sin número de
información por lo que a medida que avanza la tecnología también se desarrolla las
amenazas por lo que requieren de un sistema de gestión de seguridad de información para
precautelar sus recursos y tener confiabilidad y seguridad en los datos que se procesa.

Dependiendo de la necesidad de la organización se pueden adaptar las normas ISO para


así proteger su información de la mejor manera preservando siempre la confiabilidad de
la misma tanto para los socios, clientes de la empresa, conservando la integridad y
disponibilidad de la información en el momento más oportuno.

Las empresas que protegen su información pueden ser certificadas esto significa que una
entidad de certificación independiente confirme de que la seguridad de la información ha
sido implementada dentro de la organización

10
RECOMENDACIONES
Se recomienda que la universidad genere convenios con empresas que son certificadas
con estos normas ISO para que brinden charlas o capacitaciones acerca del manejo de la
seguridad de la información con la finalidad de que nuestro conocimientos crezcan de
manera productiva, y nos convirtamos en profesionales de excelencia y competencia.

Realizar un debate entre compañeros para determinar la importancia de este sistema de


gestión de seguridad de la información y porque se debe aplicar en todo tipo de empresas.

Al docente que envié trabajos de este tipo, ya que mediante la elaboración de los mismos
nos permite compartir ideas, conocimientos y experiencias con los compañeros y sobre
todo con la elaboración del video, donde ponemos e practicas nuestra habilidad para
desenvolvernos y realizar ediciones.

11
BIBLIOGRAFÍA

12

Das könnte Ihnen auch gefallen