Asignatura

Gestin de I+D+i; Gestin

de la Seguridad de la
Informacin ISO 27000 y
27001; ISO 20000-1:2011
Gestin del Servicio

Datos del alumno

Fecha

Apellidos: Betancour Grajales

Nombre: Yuliana Andrea

06/11/2016

Caso prctico
Trabajo: SETECSA, seguridad de la informacin
En los ltimos aos, el gran desarrollo que han sufrido las Tecnologas de la
Informacin ha provocado un aumento en la preocupacin por una gestin adecuada
de la informacin dentro de las organizaciones.
Como fruto de ello, han aparecido por ejemplo las siguientes Normas:
ISO 27001. Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de
Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
ISO 27002. Tecnologa de la Informacin. Tcnicas de seguridad. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin.
Garantizar un nivel de proteccin de la informacin total es imposible. El propsito de
un Sistema de Gestin de la Seguridad de la Informacin es, garantizar que los riesgos
de la seguridad de la informacin sean conocidos, asumidos, gestionados y
minimizados de una forma documentada, sistemtica, y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologas.
SETECSA (http://www.setecsa.com) es una compaa con ms de 25 de aos de
experiencia brindando soluciones en el manejo integral de informacin. Actualmente,
forma parte del G4S, que es el grupo de seguridad ms grande del mundo, con
presencia global en ms de 110 pases y con un grupo de 600.000 empleados a nivel
mundial. En el ao 2013 SETECSA obtuvo la certificacin de su Sistema de Gestin ISO
27001.

TEMA 4 Caso prctico

Asignatura
Gestin de I+D+i; Gestin
de la Seguridad de la
Informacin ISO 27000 y
27001; ISO 20000-1:2011
Gestin del Servicio

Datos del alumno

Fecha

Apellidos: Betancour Grajales

Nombre: Yuliana Andrea

06/11/2016

Preguntas del profesor

Con los datos facilitados en el caso prctico y los que necesites extraer de los apuntes y
de la pgina web, responde a las siguientes cuestiones:
1. Qu aporta la ISO 27001 a la empresa?
2. Quin ha tenido que promover la implantacin de la ISO 27001 en la empresa?
3. Qu diferencias existen entre las Normas ISO 27001 e ISO 27002? Son
certificables estas Normas?
4. Una empresa que tenga instalado un firewall, actualice regularmente su antivirus y
realice copias de seguridad: qu le podra aportar un Sistema de Gestin de la
Seguridad de la Informacin?
Extensin mxima: 3 pginas, fuente Georgia 11 e interlineado 1,5.

TEMA 4 Caso prctico

Asignatura
Gestin de I+D+i; Gestin
de la Seguridad de la
Informacin ISO 27000 y
27001; ISO 20000-1:2011
Gestin del Servicio

Datos del alumno

Fecha

Apellidos: Betancour Grajales

06/11/2016

Nombre: Yuliana Andrea

Desarrollo:
1. Qu aporta la ISO 27001 a la empresa?
-

Ayuda a garantizar la seguridad de la informacin, a travs de procesos

planificados.

Ayuda al cumplimiento legal, adems

del mejorando de la imagen de la

empresa.
-

Es una ventaja competitiva frente a las dems empresas, genera una mayor
credibilidad y confianza.

Permite realizar una adecuada gestin de los riesgos, garantizando una mejor
disponibilidad de materiales y datos.

Ayuda a la reduccin de costos relacionados con incidentes por malas prcticas.

2. Quin ha tenido que promover la implantacin de la ISO 27001 en la empresa?

La implantacin de la ISO 27001 debe ser promovida por la direccin, garantizando la
formulacin de una poltica y objetivos que deben ser comunicados

a toda la

organizacin, sensibilizando sobre la importancia de dar cumplimiento a estos, lo cual

debe involucrar a todos los niveles de la organizacin estableciendo roles y
responsabilidades, as mismo debe proporcionar los recursos suficientes para la
creacin, implementacin, operacin, supervisin, mantenimiento y mejora continua
del SGSI, debe decidir los criterios de aceptacin de los riesgos y los niveles de
aceptacin, as mismo debe garantizar que se realicen auditoras internas y revisiones
por la direccin.
3. Qu diferencias existen entre las Normas ISO 27001 e ISO 27002? Son
certificables estas Normas?
La Norma ISO 27001 especifica los requisitos para implementar, operar, monitorizar,
revisar, mantener y mejorar el SGSI, es certificable. Por su lado la norma ISO 27002 es
una gua de recomendaciones, de buenas prcticas para implementar los controles de
la ISO 27001 recogidos en su Anexo A, la ISO 27002 no es certificable.

TEMA 4 Caso prctico

Asignatura
Gestin de I+D+i; Gestin
de la Seguridad de la
Informacin ISO 27000 y
27001; ISO 20000-1:2011
Gestin del Servicio

Datos del alumno

Fecha

Apellidos: Betancour Grajales

Nombre: Yuliana Andrea

06/11/2016

4. Una empresa que tenga instalado un firewall, actualice regularmente su antivirus y

realice copias de seguridad: qu le podra aportar un Sistema de Gestin de la
Seguridad de la Informacin?
El SGSI le permitir a la empresa hacer una buena gestin, establecer controles de
seguridad adecuados y proporcionados, que se ajusten a las necesidades especificas de
la empresa, que den garantas a todas las partes interesadas, ya que el uso de de
herramientas tecnolgicas por si solas no son suficientes, pues estas son solo reactivas
para dar respuesta a lo que se les haya preparado pero no dan cubrimiento a todos los
riesgos a los que este expuesta la organizacin en materia de seguridad de la
informacin.

TEMA 4 Caso prctico

Asignatura
Gestin de I+D+i; Gestin
de la Seguridad de la
Informacin ISO 27000 y
27001; ISO 20000-1:2011
Gestin del Servicio

Datos del alumno

Fecha

Apellidos: Betancour Grajales

06/11/2016

Nombre: Yuliana Andrea

Bibliografa
Universidad Internacional de la Rioja. (2016).

Gestin de I+D+i; Gestin de la

Seguridad de la Informacin: ISO 27000 y 27001; ISO 20000-1:2011 Gestin del

Servicio. Tomo VI. Septiembre 2016.
AENOR (2007). Norma UNE-ISO/IEC 27001. Sistema de Gestin de la Seguridad de
la Informacin (SGSI). Espaa: AENOR

Comentarios:
Buenos das Yuliana, Cuando hablamos de la ISO 27001 podemos decir que la finalidad
ltima de la misma es alcanzar una mejora continua, proporcionando a las
Organizaciones muchos beneficios. Has sealado alguno de ellos. A la hora de
implantar un SGSI, al igual que cualquier otro Sistema de Gestin, uno de los pasos
determinantes es la participacin activa de la alta direccin quien debe promover dicha
implantacin. No debemos confundir la Norma ISO 27001 con la ISO 27002, son
Normas de la misma familia, pero con una serie de diferencias, algunas de las cuales
has sealado correctamente. Cabe destacar, que la ISO 27002, se centra en los
controles de seguridad de la informacin (establecidos en el Anexo A de la ISO 27001),
ayudando a las Organizaciones a desarrollar su declaracin de aplicabilidad o SOA).
Cabra haber profundizado un poco ms en la respuesta a esta pregunta. Por ltimo,
respecto a la ltima cuestin cabe resaltar que la implantacin de un SGSI es algo ms
que la implantacin de controles tcnicos como un firewall o un antivirus. Estos
controles por si mismos, no significan que se est gestionando la seguridad, tal y como
has sealado. Cabra concretar qu supone la implantacin al margen de estos
controles. Comentarte tambin, en cuanto a la bibliografa, que debe incluirse en orden
alfabtico. Un Saludo, Tatiana Cuervo Carabel Profesora Asignatura

TEMA 4 Caso prctico