Академический Документы
Профессиональный Документы
Культура Документы
INVESTIGACION FORMATIVA
Tema:
ALUMNOS :
• FERNANDEZ ROJAS, Jose Santos
• QUISPE RAMOS, Luis Felipe
Cusco - Perú
2019
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BAJO ISO
27001
¿Qué es?
Sistemas de Gestión de Seguridad de la Información tiene la abreviatura de SGSI aunque su
abreviatura correcta son las siglas ISMS las cuales están en el idioma inglés, donde esto significa
Information Security Management System, se puede entender por información a todo aquel
conjunto de datos los cuales son organizados por una entidad a la cual estos datos les generan un
valor significativo.
La seguridad que se debe de tener con la información según la ISO 27001 nos dice; esto debe ser
atreves de la preservación de la información mediante la confidencialidad, integridad y
disponibilidad; así como también aquellos sistemas que están implicados en el tratamiento de la
información, dentro de una institución u organización. La seguridad de la información está
sustentada en los 3 términos mencionados de la siguiente forma:
Para tener una garantía sobre la seguridad informática esta debe ser gestionada de forma correcta,
en la cual se debe hacer uso de procesos sistemáticos, documentado y conocido por toda la
organización, desde un enfoque de riesgo para la organización. Todas estas acciones y procesos
constituyen o forman parte del SGSI.
Una organización y sus sistemas de información siempre están expuesto a un incremento sustancial
de amenazas que estas pueden aprovechar cualquier vulnerabilidad, los cuales pueden someter a
activos de una organización esto puede ocasionar al fraude, espionaje, sabotaje o vandalismo. Los
virus informáticos, el hacking o los ataques de denegación de servicios son algunos ejemplos en
común y conocidos, pero así también se deben de considerar aquellos riesgos de sufrir incidentes
de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o
aquellos provocados accidentalmente por catástrofes naturales o fallos técnicos que todos estos
pueden influir en la organización y así como en su manejo de información que pueda poseer una
organización.
s
Un sistema de Gestión de la Seguridad de la Información SGSI ayuda a establecer las políticas y
procedimientos en relación a los objetivos que pueda tener un negocio u organización, esto tiene
como finalidad poder mantener un nivel considerable para la organización.
La organización tiene que poder conocer aquellos riesgos a los que está sometido o vulnerable su
información, con lo cual un SGSI busca poder minimizar, transferir o controlar mediante un sistema,
documentación y que estos puedan ser conocidos por todos, lo cual debe servir para revisar y
mejorar constantemente para la organización.
Nivel 1 Manual de Seguridad: Este se podría considerar como el documento que inspira y
busca dirigir todo el sistema, el que expone, determina las intenciones, alcances, objetivos,
responsabilidades, políticas y criterios principales que se puedan tener en la organización
según el SGSI.
Nivel 2 Procedimientos: Tiene que ver con la documentación en el nivel operativo, lo cual
busca asegurar la realización de forma eficaz la planificación, operación y control de todos
los procesos de seguridad de la información con la cual cuenta una empresa u organización.
Nivel 3 Instrucciones, Checklists y formularios: Estos documentos buscan poder dar a
conocer y describir como se realizan las tareas y actividades específicas relacionadas con el
SGSI los cuales tienen que ver con el tema de seguridad de la información.
Nivel 4 Registros: Estos documentos buscan poder proporcionar una evidencia objetiva con
respecto al cumplimiento de los requisitos del SGSI; están asociados a documentos de los
otros tres niveles como el output, el cual demuestra que se ha cumplido lo indicado en los
mismos. Según la ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos:
o Alcance del SGSI: Busca la identificación clara de las dependencias, relaciones y
limites que existen entre el alcance y algunas partes que no hayan sido
considerados. Según el SGSI se deben crear subconjuntos o subdelegaciones para
mejorar y tener una mejor delimitación de dependencias o departamentos de una
institución.
o Políticas y objetivos de seguridad: Este vendría a ser el contenido genérico que
establece el compromiso de la dirección y el enfoque de la organización en la
gestión de la seguridad de la información.
o Procedimientos y mecanismos de control que pueden soportar al SGSI: Son
aquellos procedimientos que regulan el mismo funcionamiento del SGSI.
o Enfoque de evaluación de riesgos: Este está más vasado en la metodología que se
puede emplear para el desarrollo de criterios que pueda aceptar los riesgos y las
fijaciones según los niveles de riesgos que puedan llegar a ser tolerados.
o Informe de evaluación de riesgos: Es la aplicación que se le puede dar a la
metodología de evaluación, los cuales se realizan a los activos de información de
una organización.
o Plan de tratamiento de riesgos: Este documento lleva el registro de las acciones
que tiene la dirección de los recursos, las responsabilidades y sus prioridades que
con estas se puedan gestionar los riesgos que puedan surgir en la seguridad de la
información, esto estará basado según aquellas conclusiones que se puedan
obtener de una evaluación de riesgos que se haya llevado a cabo.
o Procedimientos documentados: Todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la información,
así como para la medida de la eficacia de los controles implantados.
o Registros: Son aquellos legajos que pueda proporcionar las evidencias sobre la
conformidad con los requisititos y el funcionamiento que se espera que sea eficaz
del SGSI.
o Declaración de aplicabilidad: SOA, documento que contiene los objetivos de
control y aquellos controles que contemplen el SGSI, lo cual está basado según los
resultados de los procesos de evaluación y los tratamientos de riesgos, los cuales
deben ser justificados e inclusiones y exclusiones.
El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos
necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos
estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la
consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre
esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir
la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de
gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001
frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de
aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro. En
nuestras secciones de Faqs y de Artículos, podrá encontrar más informaciones acerca de la
integración del SGSI con otros sistemas de gestión.
Bibliografía
Frayssinet Delgado, M. (2017). Taller de Implementación de la norma ISO 27001 . Lima: Oficina
Nacional de Gobierno Electrónico e Informátic.