FACULTAD DE INGENIERIA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

INVESTIGACION FORMATIVA

Tema:

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BAJO ISO

27001

CURSO : SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y

COMUNICACIÓN
DOCENTE : SOTA ORELLANA, Luis Alberto

ALUMNOS :
• FERNANDEZ ROJAS, Jose Santos
• QUISPE RAMOS, Luis Felipe

Cusco - Perú
2019
 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BAJO ISO
27001
¿Qué es?
Sistemas de Gestión de Seguridad de la Información tiene la abreviatura de SGSI aunque su
abreviatura correcta son las siglas ISMS las cuales están en el idioma inglés, donde esto significa
Information Security Management System, se puede entender por información a todo aquel
conjunto de datos los cuales son organizados por una entidad a la cual estos datos les generan un
valor significativo.

La seguridad que se debe de tener con la información según la ISO 27001 nos dice; esto debe ser
atreves de la preservación de la información mediante la confidencialidad, integridad y
disponibilidad; así como también aquellos sistemas que están implicados en el tratamiento de la
información, dentro de una institución u organización. La seguridad de la información está
sustentada en los 3 términos mencionados de la siguiente forma:

 Confidencialidad: La información con la cual cuenta una organización no se puede poner a

disposición ni puede ser revelada a individuos, entidades o procesos no autorizados por la
organización o de por sí solos tomar atribuciones para realizar esto.
 Integridad: Se debe de tener un mantenimiento de la exactitud y completitud de la
información y sus respectivos métodos de proceso.
 Disponibilidad: La accesibilidad y la utilización de la información según los sistemas de
tratamiento de la misma debe ser por parte de los mismos individuos, entidades o procesos,
todos aquellos que estén autorizados al momento que lo puedan requerir.

Para tener una garantía sobre la seguridad informática esta debe ser gestionada de forma correcta,
en la cual se debe hacer uso de procesos sistemáticos, documentado y conocido por toda la
organización, desde un enfoque de riesgo para la organización. Todas estas acciones y procesos
constituyen o forman parte del SGSI.

¿Para qué sirve un SGSI?

La información, a l igual que los procesos y sistemas que hacen uso de ella, son activos muy
importantes para una organización ya que gracias a estos puntos se puede conocer grandes cosas o
tendencias sobre algo, así como también para el uso o manejo que le pueda dar una organización a
esta clase de información sensible, esta información puede generar o mantener los niveles de
competencia, rentabilidad, conformidad legal e imagen empresarial que es necesario para lograr los
objetivos de una organización y con ello poder asegurar una gran cantidad de beneficios
económicos.

Una organización y sus sistemas de información siempre están expuesto a un incremento sustancial
de amenazas que estas pueden aprovechar cualquier vulnerabilidad, los cuales pueden someter a
activos de una organización esto puede ocasionar al fraude, espionaje, sabotaje o vandalismo. Los
virus informáticos, el hacking o los ataques de denegación de servicios son algunos ejemplos en
común y conocidos, pero así también se deben de considerar aquellos riesgos de sufrir incidentes
de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o
aquellos provocados accidentalmente por catástrofes naturales o fallos técnicos que todos estos
pueden influir en la organización y así como en su manejo de información que pueda poseer una
organización.

s
Un sistema de Gestión de la Seguridad de la Información SGSI ayuda a establecer las políticas y
procedimientos en relación a los objetivos que pueda tener un negocio u organización, esto tiene
como finalidad poder mantener un nivel considerable para la organización.

La organización tiene que poder conocer aquellos riesgos a los que está sometido o vulnerable su
información, con lo cual un SGSI busca poder minimizar, transferir o controlar mediante un sistema,
documentación y que estos puedan ser conocidos por todos, lo cual debe servir para revisar y
mejorar constantemente para la organización.

¿Qué incluye un SGSI?

En un contexto de gestión de calidad según la ISO 9001, siempre se ha buscado la gratificación
documentaria esto quiere decir la satisfacción en la documentación. El cual está metido en un
sistema de pirámide de cuatro niveles. Esta tendencia o intención también es posible aplicar a un
Sistema de Gestión de la Seguridad de la Información todo esto basado en el ISO 27001 de esta
forma:

 Nivel 1 Manual de Seguridad: Este se podría considerar como el documento que inspira y
busca dirigir todo el sistema, el que expone, determina las intenciones, alcances, objetivos,
responsabilidades, políticas y criterios principales que se puedan tener en la organización
según el SGSI.
 Nivel 2 Procedimientos: Tiene que ver con la documentación en el nivel operativo, lo cual
busca asegurar la realización de forma eficaz la planificación, operación y control de todos
los procesos de seguridad de la información con la cual cuenta una empresa u organización.
 Nivel 3 Instrucciones, Checklists y formularios: Estos documentos buscan poder dar a
conocer y describir como se realizan las tareas y actividades específicas relacionadas con el
SGSI los cuales tienen que ver con el tema de seguridad de la información.
 Nivel 4 Registros: Estos documentos buscan poder proporcionar una evidencia objetiva con
respecto al cumplimiento de los requisitos del SGSI; están asociados a documentos de los
otros tres niveles como el output, el cual demuestra que se ha cumplido lo indicado en los
mismos. Según la ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos:
o Alcance del SGSI: Busca la identificación clara de las dependencias, relaciones y
limites que existen entre el alcance y algunas partes que no hayan sido
considerados. Según el SGSI se deben crear subconjuntos o subdelegaciones para
 mejorar y tener una mejor delimitación de dependencias o departamentos de una
institución.
o Políticas y objetivos de seguridad: Este vendría a ser el contenido genérico que
establece el compromiso de la dirección y el enfoque de la organización en la
gestión de la seguridad de la información.
o Procedimientos y mecanismos de control que pueden soportar al SGSI: Son
aquellos procedimientos que regulan el mismo funcionamiento del SGSI.
o Enfoque de evaluación de riesgos: Este está más vasado en la metodología que se
puede emplear para el desarrollo de criterios que pueda aceptar los riesgos y las
fijaciones según los niveles de riesgos que puedan llegar a ser tolerados.
o Informe de evaluación de riesgos: Es la aplicación que se le puede dar a la
metodología de evaluación, los cuales se realizan a los activos de información de
una organización.
o Plan de tratamiento de riesgos: Este documento lleva el registro de las acciones
que tiene la dirección de los recursos, las responsabilidades y sus prioridades que
con estas se puedan gestionar los riesgos que puedan surgir en la seguridad de la
información, esto estará basado según aquellas conclusiones que se puedan
obtener de una evaluación de riesgos que se haya llevado a cabo.
o Procedimientos documentados: Todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la información,
así como para la medida de la eficacia de los controles implantados.
o Registros: Son aquellos legajos que pueda proporcionar las evidencias sobre la
conformidad con los requisititos y el funcionamiento que se espera que sea eficaz
del SGSI.
o Declaración de aplicabilidad: SOA, documento que contiene los objetivos de
control y aquellos controles que contemplen el SGSI, lo cual está basado según los
resultados de los procesos de evaluación y los tratamientos de riesgos, los cuales
deben ser justificados e inclusiones y exclusiones.

¿Cómo se implementa un SGSI?

Para poder establecer y poder gestionar un Sistema de Gestión de la Seguridad de la Información
según la base del ISO 27001, esto se puede utilizar en el ciclo continuo del PDCA, lo cual busca que
sea algo tradicional en los sistemas de gestión de la calidad.
  Plan (Planificar): Lo cual debe ser establecido en el SGSI.
 Do (Hacer): Busca la implementación y poder utilizar el SGSI.
 Check (verificar): Lleva a cabo la monitorización y la revisión del SGSI.
 Act (actuar): Busca poder mantener y mejorar el SGSI.
o Plan: Establecer el SGSI según el estándar ISO 27001
o Como primer parte para la implementación, se debe definir el alcance del SGSI en
términos del negocio, organización, según su localización, activos y tecnológicos,
incluyendo detalles y justificación de cualquier exclusión.
o Definir una política de seguridad que pueda realizar algunos puntos:
 Debe incluir un marco legal y los objetivos de seguridad de la información
de la organización.
 Se debe de considerar los requerimientos legales o contractuales relativos
a la seguridad de la información.
 Debe estar alineado según el contexto estratégico de gestión de riesgos de
la organización en el que se establecería y se pueda mantener el SGSI.
 También deben de ser capaces de poder establecer los criterios con los que
se va a evaluar el riesgo.
 Todo esto debe de estar aprobada por la dirección de la organización y sus
respectivos representantes.
o Identificar y definir una metodología de evaluación del riesgo el cual pueda ser
apropiado para el SGSI y los requerimientos del negocio u organización, además de
establecer los criterios de aceptación del riesgo y así poder especificar los niveles
de riesgo y la especificación de los niveles de riesgo aceptable. Lo sustancial y
primordial es que los resultados obtenidos sean comparables y repetibles.
o Identificar los riesgos:
 Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios.
 Identificar las amenazas en relación a los activos.
 Identificar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas.
 Identificar los impactos en la confidencialidad, integridad y disponibilidad
de los activos.
o Analizar y evaluar los riesgos:
 Evaluar el impacto en el negocio de un fallo de seguridad que suponga la
pérdida de confidencialidad, integridad o disponibilidad de un activo de
información.
 Evaluar de forma realista la probabilidad de ocurrencia de un fallo de
seguridad en relación a las amenazas, vulnerabilidades, impactos en los
activos y los controles que ya estén implementados.
 Estimar los niveles de riesgo.
 Determinar, según los criterios de aceptación de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.
o Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
 Aplicar controles adecuados.
 Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y
criterios establecidos para la aceptación de los riesgos.
 Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan.
 Transferir el riesgo a terceros, p. ej., compañías aseguradoras o
proveedores de outsourcing.
o Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para
el tratamiento del riesgo que cumplan con los requerimientos identificados en el
proceso de evaluación del riesgo.
o Aprobar por parte de la dirección tanto los riesgos residuales como la implantación
y uso del SGSI.
o Definir una declaración de aplicabilidad que incluya:
 Los objetivos de control y controles seleccionados y los motivos para su
elección.
 Los objetivos de control y controles que actualmente ya están implantados.
 Los objetivos de control y controles del Anexo A excluidos y los motivos para
su exclusión; este es un mecanismo que permite, además, detectar posibles
omisiones involuntarias.
o En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO 17799)
proporciona una completa guía de implantación que contiene 133 controles, según
39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en
 ISO 27001, en su segunda cláusula, en términos de “documento indispensable para
la aplicación de este documento” y deja abierta la posibilidad de incluir controles
adicionales en el caso de que la guía no contemplase todas las necesidades
particulares. (WWW.ISO27000.ES, 2012)

¿Se integra un SGSI con otros sistemas de gestión?

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone
la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la
información. La gestión de las actividades de las organizaciones se realiza, cada vez con más
frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad
según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales
según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la
información. Las empresas tienen la posibilidad de implantar un número variable de estos sistemas
de gestión para mejorar la organización y beneficios sin imponer una carga a la organización.

El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos
necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos
estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la
consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre
esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir
la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de
gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001
frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de
aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro. En
nuestras secciones de Faqs y de Artículos, podrá encontrar más informaciones acerca de la
integración del SGSI con otros sistemas de gestión.
Bibliografía
Frayssinet Delgado, M. (2017). Taller de Implementación de la norma ISO 27001 . Lima: Oficina
Nacional de Gobierno Electrónico e Informátic.

WWW.ISO27000.ES. (2012). Sistema de Gestión de la Seguridad de la Información. Caracas:

ISO27000.