Investigación documental y de campo

Normas ISO
Informe final
ISO 27000/27001
Sistema de Gestión de la Seguridad de la Información

Jose Emanuel Cruz Peña

25/08/2018
 Índice
INTRODUCCIÓN ........................................................................................................................................... 3
METODOLOGÍA................................................................................................................................................... 4
Resultados.................................................................................................................................................. 4
Finalidades y ventajas de las normas ISO ............................................................................................................... 5
Las distintas familias de normas ISO .................................................................................................................. 6
ISO 27001: ¿Qué significa la Seguridad de la Información? .......................................................................... 7
Conclusiones y Recomendaciones ........................................................................................................... 9
Seguridad Informática ......................................................................................................................... 9

BIBLIOGRAFÍA ............................................................................................................................................ 12
Anexos .......................................................................................................................................... 12
 Introducción
La ISO (International Standarization Organization) es la entidad internacional encargada de
favorecer normas de fabricación, comercio y comunicación en todo el mundo. Con sede en
Ginebra, es una federación de organismos nacionales entre los que se incluyen AENOR en
España, DIN en Alemania, AFNOR en Francia... Entre las normas ISO hablaremos de la norma
27000/27001 que comprende el Sistema de Gestión de Seguridad de la Información la cual
nace con la finalidad de realizar el resguardo de la información delicada de una empresa.

En 1995 se publicó el Estándar Británico BS 7799, que dio origen a la serie ISO 27000.
Después de algunos años, en 1999, el BS 7799 pasa por revisión generando los estándares
BS 7799-1: Buenas prácticas para la Gestión de Seguridad Información, BS 7799-2: Sistema
de Gestión de la Seguridad de la Información y BS 7799-3: Directrices para la gestión del
riesgo.
En el año 2000 el estándar BS 7799-1 pasa a ser identificado como ISO 17799. Durante el
período 2001 a 2004 la norma ISO 17799 pasó por una amplia revisión, resultando en una
nueva versión ISO/IEC 17799: 2005, publicada en junio de 2005. En ese mismo año el BS
7799-2 es adoptado por la ISO, recibiendo la numeración 27000, dando inicio a la serie
dirigida a la estandarización de normas para el segmento de seguridad de la información,
lanzado como norma ISO/IEC 27001. En julio de 2007 el estándar 17799:2005 recibe nueva
numeración (ISO/IEC 27002:2005), integrando la serie ISO 27000.

En este proyecto explicaremos la importancia de las normas ISO de manera general, pero
profundizaremos en la norma ISO 27000/27001 la cual es fundamental para las empresas
como por ejemplo en los call center, empresas prestadoras de servicios tecnológicos,
empresas gubernamentales, entre otros.

El sistema de confidencialidad es un tema que debemos tener siempre en cuenta para con
la empresa, ya que el manejo de la información a gran escala sin tener un respaldo de esta
y un área que la administre genera fuga de información que expone la seguridad de
información, ya sea por correo electrónico, usb conexión remota o si la empresa maneja
papeles la extracción de la información por cualquier medio genera problemas, por ello
debe contar con un control del uso de la información desde los firewall, bloques de puertos
usb, administración de accesos, políticas de seguridad, perfiles en la empresa.

La norma 27000/27001 ocupa a la empresa para proteger el resguardo de la información

que pueda ser sustraído por cualquier medio posible, esta norma es un proceso que obliga
a las empresas a llevar un control de la información para demostrar confianza hacia sus
clientes con la certeza de que su información es segura.

Metodología
En basé a las actividades realizadas de las dos primeras unidades se decide cerrar con el
tema de Sistema de Gestión de Seguridad de la Información, por la experiencia de
certificaciones que voy teniendo dentro de la empresa en la que elaboro.

Empecé por realizar la búsqueda histórica que da origen a las normas ISO las cuales tienen
un objetivo y es estandarizar procesos de mejora continua que le permitan a las empresas
incrementar su calidad de servicio y sobre todo tener un control de cada uno de ellos.

La búsqueda de la información se realizo solo en dos navegadores Chrome y Peekier.com,

los documentos que se obtuvieron son:

 ISO 27001 SGSI

 02 Jul ISO 27000, primeros pasos con la norma
 La pérdida de datos en la empresa
 Estudio del impacto de la certificación ISO 9001:2000 en la competitividad-país
 Calidad y gestión empresarial ISO9001 e ISO 14001

Resultados

¿Qué son las normas ISO?

(Sanz)
Recapitulando la ISO (International Standarization Organization) es la entidad internacional
encargada de favorecer normas de fabricación, comercio y comunicación en todo el mundo.
Con sede en Ginebra, es una federación de organismos nacionales entre los que se incluyen
AENOR en España, DIN en Alemania, AFNOR en Francia.
Finalidades y ventajas de las normas ISO
(ISOTools, 2015)
Las normas ISO se crearon con la finalidad de
ofrecer orientación, coordinación, simplificación y unificación de criterios a las empresas
y organizaciones con el objeto de reducir costes y aumentar la efectividad, así
como estandarizar las normas de productos y servicios para las organizaciones
internacionales.
Las normas ISO se han desarrollado y adoptado por multitud de empresas de muchos países
por una necesidad y voluntad de homogeneizar las características y los parámetros de
calidad y seguridad de los productos y servicios.

Ventajas de las normas ISO para las empresas

En base a esta finalidad y objetivo inicial y debido al gran prestigio y enorme seguimiento
alcanzado, las normas ISO suponen importantes beneficios para las empresas, compañías
y organizaciones en general:
 Proporcionan elementos para que una organización puede alcanzar y mantener
mayores niveles de calidad en el producto o servicio.
 Ayudan a satisfacer las necesidades de un cliente cada vez más exigente.
 Permite a las empresas reducir costos, conseguir más rentabilidad y aumentar los
niveles de productividad.
 Constituye uno de los medios más eficaces para conseguir ventaja competitiva.
 Reducir rechazos o incidencias en la producción o en la prestación de servicios.
 Implementar procesos de mejora continua.
 Conseguir un mayor y mejor acceso a grandes clientes y administraciones y a los
mercados internacionales.
Los beneficios sobrepasan el ámbito de las empresas y administraciones y sus clientes, que
se ven favorecidos por un mejor servicio, alcanzando también a los gobiernos, que gracias
a las normas ISO pueden:
 Asegurarse de que los bienes y servicios cumplen con los requisitos
obligatorios relacionados con la calidad, la seguridad o el medio ambiente, entre
otras cuestiones.
 Controlar el comercio exterior con otros países.
Las distintas familias de normas ISO
Existen muchas normas ISO y, como hemos indicado, además de actualizarse,
periódicamente aparecen nuevas. Para una mayor clasificación e identificación se agrupan
por familias o series, cada una de ellas con una nomenclatura específica. Las tres
categorías fundamentales son:
Gestión de Calidad (serie ISO 9000)
Normas enfocadas a homogeneizar los estándares de calidad de los productos o servicios
de las organizaciones públicas y privadas, independientemente de su tamaño o actividad.
Gestión del medio ambiente (serie ISO 14000)
Suponen un instrumento muy clarificador y eficaz para que las compañías puedan organizar
todas sus actividades dentro de unos parámetros de respeto al entorno, cumpliendo con
la legislación vigente y dando respuesta a un mayor concienciación y exigencia de la
sociedad.
Gestión de riesgos y seguridad (norma ISO 22000, OHSAS 18001, ISO 27001, ISO 22301 y
otras)
Normas y sistemas desarrollados con la finalidad de evitar o minimizar los distintos
riesgos relativos a las diferentes amenazas originadas por la actividad empresarial.
Gestión de responsabilidad social (norma ISO 26000)
El enfoque de estas normas es ayudar a la empresa a tener en todo momento
un comportamiento transparente y ético que forme parte indisoluble de su modelo
general de gestión.
 ISO 27001: ¿Qué significa la Seguridad de la Información?

Sistema de Gestión de Seguridad de la Información

(ISOTools Excellence, 2015)
El Sistema de Gestión de Seguridad de la Información ISO 27001 persigue la protección de
la información y de los sistemas de información del acceso, de utilización, divulgación o
destrucción no autorizada.
Los términos seguridad de la información, seguridad informática y garantía de la
información son utilizados con bastante frecuencia. El significado de dichas palabras es
diferente, pero todos persiguen la misma finalidad que es proteger la confidencialidad, la
integridad y la disponibilidad de la información sensible de la organización.
Entre dichos términos existen pequeñas diferencias, dichas diferencias proceden del
enfoque que le dé, las metodologías usadas y las zonas de concentración.
La Seguridad de la Información, según ISO27001, se refiere a la confidencialidad, la
integridad y la disponibilidad de la información y los datos importantes para la organización,
independientemente del formato que tengan, estos pueden ser:
 Electrónicos
 En papel
 Audio y vídeo, etc.
Los gobiernos, las instituciones financieras, los hospitales y las organizaciones privadas
tienen enormes cantidades de información confidencial sobre sus empleados, productos,
investigación, clientes, etc. La mayor parte de esta información es reunida, tratada,
almacenada y puesta a disposición de las personas que deseen revisarla.
Si se da el caso de que información confidencial de la organización, de sus clientes, de sus
decisiones, de sus cuentas, etc. caen en manos de la competencia, esta se hará pública de
una forma no autorizada y esto puede suponer graves consecuencias, ya que se perderá
credibilidad de los clientes, se perderán posibles negocios, se puede enfrentar a demandas
e incluso puede causar la quiebra de la organización.
Es por todo esto que se convierte en una necesidad proteger la información confidencial,
ya que es un requisito del negocio, y en muchos casos se convierte en algo ético y una
obligación legal.
Para una persona normal, la Seguridad de la Información puede provocar un efecto muy
significativo ya que puede tener diferentes consecuencias la violación de su privacidad
dependiendo de la cultura del mismo.

(ismsforum.es)
 Conclusiones y Recomendaciones
(ISOTools Excellence, 2015)
La Seguridad de la Información ha crecido mucho en estos últimos tiempos, además ha
evolucionado considerablemente. Se ha convertido en una carrera acreditada
mundialmente. Dentro del éste área se ofrecen muchas especializaciones que se pueden
incluir al realizar la auditoría del Sistema de Gestión de Seguridad de la Información ISO-
27001, como pueden ser:
 Planificación de la continuidad de negocio
 Ciencia forense digital
 Administración de Sistemas de Gestión de Seguridad
Realizar correctamente la Gestión de la Seguridad de la Información quiere establecer y
mantener los programas, los controles y las políticas de seguridad que tienen la obligación
de conservar la confidencialidad, la integridad y la disponibilidad de la información de la
empresa.
 Confidencialidad: es la propiedad de prevenir que se divulgue la información a
personas o sistemas no autorizados.
 Integridad: es la propiedad que busca proteger que se modifiquen los datos libres
de forma no autorizada.
 Disponibilidad: es una característica, cualidad o condición de la información que se
encuentra a disposición de quien tiene que acceder a esta, bien sean personas,
procesos o aplicaciones.

Seguridad Informática
La Seguridad de la Información consiste en asegurar que los recursos del Sistema de
Información de una empresa se utilicen de la forma que ha sido decidido y el acceso de
información se encuentra contenida, así como controlar que la modificación solo sea
posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de
los límites de la autorización.
Los objetivos de la seguridad informática:
Los activos de información son los elementos que la Seguridad de la Información debe
proteger. Por lo que son tres elementos lo que forman los activos:
 Información: es el objeto de mayor valor para la empresa.
 Equipos: suelen ser software, hardware y la propia organización.
 Usuarios: son las personas que usan la tecnología de la organización.
Análisis de riesgos

El activo más importante que tiene la organización la propia información, por lo que tienen
que existir técnicas que las mantengan seguras, mucho más allá de la seguridad física que
se puede estableces gracias a los equipos con los que cuenta la organización para almacenar
dicha información.
La información se blinda con seguridad lógica, es decir, aplicar barreras y procedimientos
que resguardan el acceso a todos los datos y restringe el acceso a las personas autorizadas.
Los medios necesarios para conseguirlo son:
 Restricción del acceso: de las personas que forman parte de la organización a los
programas y a los archivos más importantes.
 Se debe asegurar de que los operados pueden realizar su trabajo pero que no
puedan realizar modificaciones en los programas ni en los archivos que no sea
necesario.
 Hay que asegurar la utilización de los datos, archivos y los programas correctos en
los procedimientos elegidos.
 Se tiene que asegurar la información transmitida, es decir, que la información
transmitida sea la misma que se reciba por el destinatario.
 Asegurarse de que existen diferentes sistemas en caso de emergencia y estos están
distribuidos por toda la organización.
 Hay que organizar a todos los trabajadores y otórgales distintas claves, que sean
intransferibles.
 Se debe actualizar de forma constante todas las contraseñas de acceso a los
sistemas de cómputo.
Para poner en marcha la política de seguridad, lo primero que se debe hacer es asegurar
los derechos de acceso a los datos y los recursos con los que cuenta la organización,
establecer las herramientas de control con las que se contará y lo mecanismos de
identificación. Todos los mecanismos facilitan que los operadores tengan los permisos que
se les ofrecieron.
(ismsforum.es)
 Referencias y fuentes de consulta

Bibliografía
ismsforum.es. (s.f.). isms forum spain. Obtenido de https://www.ismsforum.es/iso27001

ISOTools. (19 de Marzo de 2015). ISOTools. Obtenido de

https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-cual-es-su-finalidad/

ISOTools Excellence. (21 de 05 de 2015). ISOTools Excellence. Obtenido de https://www.pmg-

ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/

Sanz, E. (s.f.). www.muyhistoria.es. Obtenido de

https://www.muyhistoria.es/curiosidades/preguntas-respuestas/que-son-las-normas-iso-
641381741552

Anexos

https://blogthinkbig.com/la-perdida-de-datos-en-la-empresa José María López, 26 de septiembre

de 2017

https://www.ismsforum.es/iso27001

file:///C:/Users/Administrador/Downloads/Dialnet-
EstudioDelImpactoDeLaCertificacionISO90012000EnLaC-3869306.pdf Luz Esperanza Bohórquez
Arévalo