Panel 3

Capitulo 5:
Sistema de Gestion de la Seguridad de la Informacion
SGSI es la abreviatura utilizada para referirise a un Sistema de Gestion de la S
eguridad de la Informacion. ISMS es el equivalente en idioma ingles, siglas de I
nformation Security Management System, es el concepto central sobre el que se co
nstruye ISO 27001.
La gestion de la seguridad de la informacion debe realizarse mediante un proceso
sistematico, documentado y conocido por toda la organizacion. Este proceso es e
l constituye un SGSI, que podria considerarse, por analogia con una norma tan co
nocida como ISO 9001, como el sistema de calidad para la seguridad de la informa
cion.
Fundamentos
Para garantizar que la seguridad de la informacion es gestionada correctamente s
e debe identificar inicialmente su ciclo de vida y los aspectos relevantes adopt
ados para garantizar su C-I-D:
Confidencialidad: la informacion no se pone a disposicion ni se revela a individ
uos, entidades o procesos no autorizados.
Integradad: mantenimiento de la exactitud y completitud de la informacion y sus
metodos de proceso.
Disponibilidad: acceso y utilizacion de la informacion y los sistemas de tratami
ento de la misma por parte de los individuos, entidades o procesos autorizados c
uando lo requieran.
En base al conocimiento del ciclo de vida de cada informacion relevante se debe
adoptar el uso de un proceso sistematico, documentado y conocido por toda la org
anizacion, desde un enfoque de riesgo empresarial. Este proceso es el constituye
un SGSI.

ISO
ISO (Organizacin Internacional de Estndares) es una organizacin especializada en el
desarrollo y difusin de los estndares a nivel mundial.
Los miembros de ISO, son organismos nacionales que participan en el desarrollo d
e Normas Internacionales a travs de comits tcnicos establecidos para tratar con los
campos particulares de actividad tcnica. Los comits tcnicos de ISO colaboran en lo
s campos de inters mutuo con la IEC (International Electrotechnical Commission),
la organizacin que a nivel mundial prepara y publica estndares en el campo de la e
lectrotecnologa. En el campo de tecnologa de informacin, ISO e IEC han establecido
unir un comit tcnico, ISO/IEC JTC 1 (Join Technical Committee N1).
Los borradores de estas Normas Internacionales son enviados a los organismos de
las diferentes naciones para su votacin. La publicacin, ya como una Norma Internac
ional, requiere la aprobacin de por lo menos el 75% de los organismos nacionales
que emiten su voto.
Normas ISO
LA FAMILIA DE LAS NORMAS ISO
? ISO/IEC27000 Sistemas de Gestin de Seguridad de la Informacin, Generalidades y v
ocabulario, publicada en Abril del 2009, en la que se recogen los trminos y conce
ptos relacionados con la seguridad de la informacin, una visin general de la famil
ia de estndares de esta rea, una introduccin a los SGSI, y una descripcin del ciclo
de mejora continua.
? UNE-ISO/IEC 27001, Sistemas de Gestin de la Seguridad de la Informacin (SGSI). R
equisitos. (ISO/IEC 27001:2005), publicada en el ao 2007. Esta es la norma fundam
ental de la familia, ya que contiene los requerimientos del sistema de gestin de
seguridad de la informacin y es la norma con arreglo a la cual sern certificados l
os SGSI de las organizaciones que lo deseen.
? ISO/IEC27002, Tecnologa de la Informacin. Cdigo de buenas prcticas para la Gestin d
e la Seguridad de la Informacin, publicada en el ao 2005. Esta gua de buenas prctica
s describe los objetivos de control y controles recomendables en cuanto a seguri
dad de la informacin.
? ISO/IEC27003. Gua de implementacin de SGSI e informacin acerca del uso del modelo
PDCA y de los requerimientos de sus diferentes fases.
? ISO27004: Estndar para la medicin de la efectividad de la implantacin de un SGSI
y de los controles relacionados.
? ISO/IEC27005:2008 Gestin del Riesgo en la Seguridad de la Informacin, publicada
en el ao 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajus
ta a las necesidades de las organizaciones que pretende realizar su anlisis de ri
esgos en este mbito y cumplir con los requisitos de la Norma ISO 27001.
? ISO/IEC27006. Requisitos para las entidades que suministran servicios de audit
ora y certificacin de sistemas de gestin de seguridad de la informacin. Publicada en
el ao 2007. Recoge los criterios mediante los cuales una organizacin se puede acr
editar para realizar esos servicios.
? ISO/IEC27007. Gua para la realizacin de las auditoras de un SGSI.
[AUDITORIA INFORMATICA] UNI - NORTE
Elaborado por Ing. Jos M. Poveda Pgina 3
? ISO/IEC27011. Directrices para la seguridad de la informacin en organizaciones
de telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendacione
s para empresas de este sector, facilitando el cumplimiento de la Norma ISO27001
y conseguir un nivel de seguridad aceptable.
? EN ISO27799. Gestin de la seguridad de la informacin sanitaria utilizando la Nor
ma ISO/IEC27002 (ISO27799:2008). Vigente en nuestro pas ya que ha sido ratificada
por AENOR en agosto de 2008. Como en la anterior, es una gua sectorial que da ca
bida a los requisitos especficos de entorno sanitario.
ISO 27000 = Garantizar la seguridad de la informacion
Es una familia de estandares Internacionales para Sistemas de Gestion de la Segu
ridad de la Informacion (SGSI) que proporcionan un marco de gestion de la seguri
dad de la informacion.
Origenes
La Norma fue publicada como Norma Espaola en el ao 2007, pero tiene una larga hist
oria antes de llegar a este punto.
Ya en el ao 1995 el British Standard Institute (BSI) publica la norma BS7799, un
cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
ISO 27001
ISO 27002
Capitulo 6: COBIT
Capitulo 7: Experiencias dentro de la empresa
En Clara Bella empece como pasante en junio del ano pasado, con la capacitacion
respectiva de en ese entonces el encargado del area de sistemas en la empresa, s
e cuenta con la central y una surcusal que esta en warnes, en total se tienen n
equipos para la administracion control y soporte respectivo,
capitulo 3. Describir mejor los procesos
En el proceso de compras intervienen dos areas compras y costos, esto dependiend
o del tipo de compra si la compra es al contado y el item que se vaya a comprar
est dentro del inventario de SAP BO entonces compras realiza la compra, pero sin
o lo realiza costos. Por lo general los items que estan en el sistema son los qu
e son parte de las producciones tanto de lacteos como embutidos.

Produccion Lacteos, el primer paso es la entrega de la materia prima que es la l
eche natural, luego este registrado en produccion donde se realiza su entrada de
mercancia respectiva, para realizar una orden de produccion priemero se debe co
nocer de que tipo es en Clara Bella se manajan dos tipos desmontar y estandar: l
a primera solo se la ocupa para la leche natural el segundo para el resto de los
item como yogurt, formulaciones , etc., dependiendo al tipo de produccion se re
aliza la entrega de conponentes y la terminacion report.

En la venta de los productos primero se realiza la entrega de mercancia al chofe
r repartidor quien entregara directamente al cliente uqe haya realizado su pedid
o., una vez entrega puede pruducirse la devolucion de alguna(s) mercacia(s) esta
n son registradas como devolucion de mercaderia y finalmente se registra la vent
a.

Glosario ISO:
Bibliografia
www.iso27000.es
Auditoria Oformatica mod 4 Estandares de la gestion de la seguridad Ing. Jose M.
Poveda.
Anexos: NORMAS Y POLITICAS