SISTEMA DE GESTION DE SEGURIDAD

(233003A_614)

Fase 1 - Reconocimiento de las normas ISO/IEC 27000 y su función dentro de la

empresa

CRISTIAN GÓMEZ RAVELO

Director
EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS, TECNOLOGÌA E INGENIERÌA
ESPECIALIZACION
AGOSTO
2019
 2

CONTENIDO

INTRODUCION ........................................................................................................... 3

OBJETIVO .................................................................................................................. 4

ACTIVIDAD INDIVIDUAL ............................................................................................ 5

ESTRUCTURA DE LA NORMA ISO/IEC 27001 ..................................................... 6

Normas ISO/IEC 27000 .............................................................................................. 8

Relación de modelo PHVA con el SGSI.................................................................... 15

Modelo PHVA aplicado a los procesos de SGSI ....................................................... 17

INFOGRAFÍA ............................................................................................................ 18

CUADRO SINÓPTICO .............................................................................................. 20

BIBLIOGRAFIA ......................................................................................................... 21
 3

INTRODUCION

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan, esta norma

fue publicada en Octubre de 2005 y actualizada en el 2013, en esta norma se describen los

dominios, los objetivos de control, controles y actividades de control de riesgos que son las

mejores prácticas de seguridad informática para la elaboración de las listas de chequeo de

verificación de la existencia de controles y posteriormente para definir los controles como

políticas y procedimientos en el diseño del SGSI.

 4

OBJETIVO

 Argumentar el conocimiento de las normativas de seguridad de la información

ISO/IEC 27001 y la ISO/IEC 27002, a través de la generación de instrumentos e

informes para el proceso de auditoría de los SGSI.

 5

ACTIVIDAD INDIVIDUAL

 El estudiante debe consultar la estructura de la norma ISO/IEC 27001 y elabora un

cuadro explicativo sobre la evolución, las series de las normas ISO/IEC 27000 y la

relación de modelo PHVA con el SGSI.

 El estudiante elabora un Infografía que muestre la estructura de la norma ISO/IEC 27001.

 El estudiante elabora un cuadro sinóptico que aborde las propiedades de la Seguridad

Informática, las tres perspectivas fundamentales en la Seguridad Informática, niveles de

clasificación de la información, seguridad física y lógica.

 6

ESTRUCTURA DE LA NORMA ISO/IEC 27001

1. Objeto y campo La norma comienza aportando unas orientaciones sobre el uso, finalidad y
de aplicación: modo de aplicación de este estándar.

2. Referencias Recomienda la consulta de ciertos documentos indispensables para la

Normativas: aplicación de ISO27001.

3. Términos y Describe la terminología aplicable a este estándar.

Definiciones:

Este es el primer requisito de la norma, el cual recoge indicaciones sobre

4. Contexto de la el conocimiento de la organización y su contexto, la comprensión de las
Organización: necesidades y expectativas de las partes interesadas y la determinación
del alcance del SGSI.

Este apartado destaca la necesidad de que todos los empleados de la

organización han de contribuir al establecimiento de la norma. Para ello la
5. Liderazgo:
alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar
una política de seguridad que conozca toda la organización y ha de
asignar roles, responsabilidades y autoridades dentro de la misma.

Esta es una sección que pone de manifiesto la importancia de la

determinación de riesgos y oportunidades a la hora de planificar un
6. Planificación: Sistema de Gestión de Seguridad de la Información, así como de
establecer objetivos de Seguridad de la Información y el modo de
lograrlos.

En esta cláusula la norma señala que para el buen funcionamiento del

SGSI la organización debe contar con los recursos, competencias,
7. Soporte:
conciencia, comunicación e información documentada pertinente en cada
caso.

Para cumplir con los requisitos de Seguridad de la Información, esta parte

de la norma indica que se debe planificar, implementar y controlar los
8. Operación:
procesos de la organización, hacer una valoración de los riesgos de la
Seguridad de la Información y un tratamiento de ellos.

Por último, en la sección décima vamos a encontrar las obligaciones que

9. Evaluación del tendrá una organización cuando encuentre una no conformidad y la
Desempeño: importancia de mejorar continuamente la conveniencia, adecuación y
eficacia del SGSI.

En este punto se establece la necesidad y forma de llevar a cabo el

seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la
10. Mejora:
revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
 7

“Anexo A – Referencia de objetivos y controles

Figura 1. Dominios Anexo “A” de ISO 27001:2013

 8

NORMAS ISO/IEC 270001

Figura 2. Detalle de la evolución de normas ISO de la familia 27000 publicadas a enero del 2019.

1
Fuente: Ricardo Urbina M. ISO/IEC 27799:2016 https://es.slideshare.net/RicardoUrbinaM/familia-iso-27000-a-
enero-2019
9
10
11
12
13
14
 15

RELACIÓN DE MODELO PHVA CON EL SGSI.

A la hora de implementar un Sistema de Gestión de Seguridad de la Información basado en el

estándar internacional ISO 27001, debemos utilizar el ciclo PDCA o PHVA

El ciclo PHVA funciona a través de cuatro pasos:

(P) planificar (H) hacer (V) verificar (A) actuar, en donde cada uno corresponde a
una etapa del ciclo:

Planificar

Hacer
CICLO Actuar
PHVA

Verificar
 16

RELACIÓN DE MODELO PHVA CON EL SGSI

Proceso PHVA Descripción del proceso
Se establece el Sistema de Gestión de Seguridad de la
Información.

 Definir que es un activo de información para la

PLANEAR organización.
 Establecer un método de identificación y valoración de
activos de información.
 Definir un esquema de clasificación.
 Establecer el tratamiento y manejo para los activos de
información en cada nivel de clasificación establecido.

Se implementa el SGSI.

 Levantar la información de los activos de información

utilizados en los procesos de la organización.
HACER  Identificar y valorar los activos de información.
 Clasificar los activos de información.
 Hacer parte de las actividades del día a día, en los
procesos de la organización, el tratamiento y manejo
definido para cada nivel de clasificación.

Revisión del Sistema de Gestión de Seguridad de la

Información.

 Revisar las valoraciones realizadas a los activos de

VERIFICAR información si ocurren cambios en el negocio o en la
tecnología.
 Hacer una revisión de la calidad de la información
consignada en el inventario.
 Realizar auditorías de cumplimiento del tratamiento y
manejo de acuerdo a los niveles de clasificación
estipulados.

En este paso del ciclo lo que se hace es mantener y mejorar el

SGSI.

ACTUAR  Realizar actualizaciones en la información del inventario

de activos.
 Adelantar las recomendaciones producto de las auditorías
realizadas.
 17

MODELO PHVA APLICADO A LOS PROCESOS DE SGSI

Figura 3. Figura tomada de ICONTEC, 2006, COMPENDIO: Sistema de gestión de la seguridad de la

información (SGSI), Colombia, www.Icontec.org.co.
INFOGRAFÍA
 ISO/IEC 27001

Dominios de la norma Iso/IEC 27001

• Política de Seguridad A5
• Organización de la Seguridad de la Información A6
• Seguridad de los recusrsos humanos A7
• Gestión de activos A8
• Control de acceso A9
• Criptografía A10
• Seguridad física y del entorno A11
• Seguridad de las operaciones A12
• Seguridad de la comunicaciones A13
• Adquisición, desarrollo y mantenimiento de sistemas
A14
• Relación con los proveedores A15
• Gestión de los incidentes de la seguridad de la
información A16
• Aspectos de seguridad de la información en la gestion
de la cpontinuidad del negocio A17
• Cumplimiento A18
 20

CUADRO SINÓPTICO
.
 21

BIBLIOGRAFIA

ISO27000. (s.f.). Sistema de Gestión de Seguridad de la Información. Recuperado el 24 de 08 de

2019, de http://www.iso27000.es/download/doc_sgsi_all.pdf

Peña, H. (Productor). (2019). Estructura de las normas ISO / IEC 27001 - 27002. Recuperado
de: http://hdl.handle.net/10596/10743

iso27000.es. (2005). ISO 27002 - Controles de seguridad. Recuperado el 26 de 08 de 2019, de

http://www.iso27000.es/iso27002.html