Академический Документы
Профессиональный Документы
Культура Документы
Normas ISO
Informe final
ISO 27000/27001
Sistema de Gestión de la Seguridad de la Información
25/08/2018
Índice
INTRODUCCIÓN ........................................................................................................................................... 3
METODOLOGÍA................................................................................................................................................... 4
Resultados.................................................................................................................................................. 4
Finalidades y ventajas de las normas ISO ............................................................................................................... 5
Las distintas familias de normas ISO .................................................................................................................. 6
ISO 27001: ¿Qué significa la Seguridad de la Información? .......................................................................... 7
Conclusiones y Recomendaciones ........................................................................................................... 9
Seguridad Informática ......................................................................................................................... 9
BIBLIOGRAFÍA ............................................................................................................................................ 12
Anexos .......................................................................................................................................... 12
Introducción
La ISO (International Standarization Organization) es la entidad internacional encargada de
favorecer normas de fabricación, comercio y comunicación en todo el mundo. Con sede en
Ginebra, es una federación de organismos nacionales entre los que se incluyen AENOR en
España, DIN en Alemania, AFNOR en Francia... Entre las normas ISO hablaremos de la norma
27000/27001 que comprende el Sistema de Gestión de Seguridad de la Información la cual
nace con la finalidad de realizar el resguardo de la información delicada de una empresa.
En 1995 se publicó el Estándar Británico BS 7799, que dio origen a la serie ISO 27000.
Después de algunos años, en 1999, el BS 7799 pasa por revisión generando los estándares
BS 7799-1: Buenas prácticas para la Gestión de Seguridad Información, BS 7799-2: Sistema
de Gestión de la Seguridad de la Información y BS 7799-3: Directrices para la gestión del
riesgo.
En el año 2000 el estándar BS 7799-1 pasa a ser identificado como ISO 17799. Durante el
período 2001 a 2004 la norma ISO 17799 pasó por una amplia revisión, resultando en una
nueva versión ISO/IEC 17799: 2005, publicada en junio de 2005. En ese mismo año el BS
7799-2 es adoptado por la ISO, recibiendo la numeración 27000, dando inicio a la serie
dirigida a la estandarización de normas para el segmento de seguridad de la información,
lanzado como norma ISO/IEC 27001. En julio de 2007 el estándar 17799:2005 recibe nueva
numeración (ISO/IEC 27002:2005), integrando la serie ISO 27000.
En este proyecto explicaremos la importancia de las normas ISO de manera general, pero
profundizaremos en la norma ISO 27000/27001 la cual es fundamental para las empresas
como por ejemplo en los call center, empresas prestadoras de servicios tecnológicos,
empresas gubernamentales, entre otros.
El sistema de confidencialidad es un tema que debemos tener siempre en cuenta para con
la empresa, ya que el manejo de la información a gran escala sin tener un respaldo de esta
y un área que la administre genera fuga de información que expone la seguridad de
información, ya sea por correo electrónico, usb conexión remota o si la empresa maneja
papeles la extracción de la información por cualquier medio genera problemas, por ello
debe contar con un control del uso de la información desde los firewall, bloques de puertos
usb, administración de accesos, políticas de seguridad, perfiles en la empresa.
Metodología
En basé a las actividades realizadas de las dos primeras unidades se decide cerrar con el
tema de Sistema de Gestión de Seguridad de la Información, por la experiencia de
certificaciones que voy teniendo dentro de la empresa en la que elaboro.
Empecé por realizar la búsqueda histórica que da origen a las normas ISO las cuales tienen
un objetivo y es estandarizar procesos de mejora continua que le permitan a las empresas
incrementar su calidad de servicio y sobre todo tener un control de cada uno de ellos.
Resultados
(ismsforum.es)
Conclusiones y Recomendaciones
(ISOTools Excellence, 2015)
La Seguridad de la Información ha crecido mucho en estos últimos tiempos, además ha
evolucionado considerablemente. Se ha convertido en una carrera acreditada
mundialmente. Dentro del éste área se ofrecen muchas especializaciones que se pueden
incluir al realizar la auditoría del Sistema de Gestión de Seguridad de la Información ISO-
27001, como pueden ser:
Planificación de la continuidad de negocio
Ciencia forense digital
Administración de Sistemas de Gestión de Seguridad
Realizar correctamente la Gestión de la Seguridad de la Información quiere establecer y
mantener los programas, los controles y las políticas de seguridad que tienen la obligación
de conservar la confidencialidad, la integridad y la disponibilidad de la información de la
empresa.
Confidencialidad: es la propiedad de prevenir que se divulgue la información a
personas o sistemas no autorizados.
Integridad: es la propiedad que busca proteger que se modifiquen los datos libres
de forma no autorizada.
Disponibilidad: es una característica, cualidad o condición de la información que se
encuentra a disposición de quien tiene que acceder a esta, bien sean personas,
procesos o aplicaciones.
Seguridad Informática
La Seguridad de la Información consiste en asegurar que los recursos del Sistema de
Información de una empresa se utilicen de la forma que ha sido decidido y el acceso de
información se encuentra contenida, así como controlar que la modificación solo sea
posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de
los límites de la autorización.
Los objetivos de la seguridad informática:
Los activos de información son los elementos que la Seguridad de la Información debe
proteger. Por lo que son tres elementos lo que forman los activos:
Información: es el objeto de mayor valor para la empresa.
Equipos: suelen ser software, hardware y la propia organización.
Usuarios: son las personas que usan la tecnología de la organización.
Análisis de riesgos
El activo más importante que tiene la organización la propia información, por lo que tienen
que existir técnicas que las mantengan seguras, mucho más allá de la seguridad física que
se puede estableces gracias a los equipos con los que cuenta la organización para almacenar
dicha información.
La información se blinda con seguridad lógica, es decir, aplicar barreras y procedimientos
que resguardan el acceso a todos los datos y restringe el acceso a las personas autorizadas.
Los medios necesarios para conseguirlo son:
Restricción del acceso: de las personas que forman parte de la organización a los
programas y a los archivos más importantes.
Se debe asegurar de que los operados pueden realizar su trabajo pero que no
puedan realizar modificaciones en los programas ni en los archivos que no sea
necesario.
Hay que asegurar la utilización de los datos, archivos y los programas correctos en
los procedimientos elegidos.
Se tiene que asegurar la información transmitida, es decir, que la información
transmitida sea la misma que se reciba por el destinatario.
Asegurarse de que existen diferentes sistemas en caso de emergencia y estos están
distribuidos por toda la organización.
Hay que organizar a todos los trabajadores y otórgales distintas claves, que sean
intransferibles.
Se debe actualizar de forma constante todas las contraseñas de acceso a los
sistemas de cómputo.
Para poner en marcha la política de seguridad, lo primero que se debe hacer es asegurar
los derechos de acceso a los datos y los recursos con los que cuenta la organización,
establecer las herramientas de control con las que se contará y lo mecanismos de
identificación. Todos los mecanismos facilitan que los operadores tengan los permisos que
se les ofrecieron.
(ismsforum.es)
Referencias y fuentes de consulta
Bibliografía
ismsforum.es. (s.f.). isms forum spain. Obtenido de https://www.ismsforum.es/iso27001
Anexos
https://www.ismsforum.es/iso27001
file:///C:/Users/Administrador/Downloads/Dialnet-
EstudioDelImpactoDeLaCertificacionISO90012000EnLaC-3869306.pdf Luz Esperanza Bohórquez
Arévalo