1. ¿Cuál es el propósito fundamental de la norma ISO 27001?

El propósito fundamental de la norma ISO 27001 es que considera el estándar son las cláusulas
que definen todas las actividades necesarias para definir y establecer, implementar y operar,
monitorear y revisar, así como mantener y mejorar un sistema de gestión de seguridad de la
información

2. De acuerdo a la norma citada indique el concepto de activo informático

Llamamos activo a todo aquello que posee algún valor para la empresa por lo que tiene que
protegerse. De esta forma consiste en asegurar que los recursos del sistema de información
(material informático o programas) de una organización, sean utilizados de manera correcta.

3. ¿Considerando la norma en cuestión defina que es la seguridad informática?

consiste en lo general en la restricción del acceso al sistema o parte del sistema. El acceso solo es
permitido a ciertas personas que se encuentren acreditadas, así como su modificación dentro de
los límites de su autorización.

4. A partir de la ISO 27001 establezca quienes serían los principales actores involucrados e
interesados en el cumplimiento de una norma situada.

Unos de los actores involucrados para el cumplimiento de una norma situada serian la TIC que
ofrecen soporte y análisis de riesgos y también sistema de Gestión de Seguridad de la Información

5. De acuerdo a la misma norma de referencia indicar en que consisten el proceso de

auditoría interna

Ayuda a cumplir objetivos aportados en un enfoque sistemático y disciplinado para así evaluar la
eficacia de los procesos de gestión de riesgos, control y gobierno

6. En referencia a la misma norma establecer lo que la alta dirección debe de realizar con la
información recabada u obtenida.

debe comprometerse con la implementación, establecimiento, operación, monitorización,

mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información.

Algunas iniciativas son:

 Desarrollar una política de seguridad de la información.

 Garantizar el cumplimiento de planes y objetivos de Sistema de Gestión de Seguridad de la
Información.
  Constituir roles y responsabilidades de seguridad de la información.
 Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la
información y de cumplir con la política de seguridad.
 Designar todos los recursos necesarios para llevar a cabo el SGSI.
 Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.

7. De acuerdo a la norma ISO 27001 en su versión colombiana cuantos debes manejo dicha
norma
I. Definir el alcance y límites del SGSI en términos de las características del negocio, la
organización, su ubicación, sus activos, tecnología, e incluir los detalles y justificación de
cualquier exclusión del alcance
II. Definir una política de SGSI en términos de las características del negocio, la organización,
su ubicación, sus activos y tecnología
III. Definir el enfoque organizacional para la valoración del riesgo.
IV. Identificar los riesgos
V. Analizar y evaluar los riesgos.
VI. Identificar y evaluar las opciones para el tratamiento de los riesgos.
VII. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
VIII. Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.
IX. Obtener autorización de la dirección para implementar y operar el SGSI.
X. Elaborar una declaración de aplicabilidad.
XI. Implementación y operación del SGSI (debe 8)
 formular un plan para el tratamiento de riesgos que identifique la acción de gestión
apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de
seguridad de la información
 implementar el plan de tratamiento de riesgos para lograr los objetivos de control
identificados, que incluye considerar la financiación y la asignación de funciones y
responsabilidades
 implementar los controles seleccionados en el numeral 4.2.1, literal g) para cumplir los
objetivos de control
 definir cómo medir la eficacia de los controles o grupos de controles seleccionados, y
especificar cómo se van a usar estas mediciones con el fin de valorar la eficacia de los
controles para producir resultados comparables y reproducibles
 implementar programas de formación y de toma de conciencia
 gestionar la operación del SGSI
 gestionar los recursos del SGSI
 implementar procedimientos y otros controles para detectar y dar respuesta oportuna a
los incidentes de seguridad
XII. Seguimiento y revisión del SGSI (debe 8)
 Ejecutar procedimientos de seguimiento y revisión y otros
 Emprender revisiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la
política y objetivos del SGSI, y la revisión de los controles de seguridad) teniendo en
 cuenta los resultados de las auditorias de seguridad, incidentes, medición de la eficacia
sugerencias y retroalimentación de todas las partes interesadas.
 Medir la eficacia de los controles para verificar que se han cumplido los requisitos de
seguridad.
 Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo
residual y riesgo aceptable identificado, teniendo en cuenta los cambios.
 Realizar auditorías internas del SGSI a intervalos planificados
 Emprender una revisión del SGSI, realizada por la dirección, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso de
SGS
 Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades
de seguimiento y revisión.
 Registrar acciones y eventos que podrían tener impacto en la eficacia o el desempeño del
SGSI
XIII. Mantenimiento y mejora del SGSI(debe 4)
 Implementar las mejoras identificadas en el SGSI
 Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales
8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras
organizaciones y las de la propia organización
 Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle
apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cómo
proceder
 Asegurar que las mejoras logran los objetivos previstos