UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE CIENCIAS POLÍTICAS Y ADMINISTRATIVAS

CARRERA DE CONTABILIDAD Y AUDITORÍA

AUDITORÍA DE SISTEMAS INFORMÁTICOS I

TEMA: INVESTIGACIÓN NORMA ISO 27000

INTEGRANTES:
CABRERA MARISOL
RIVERA RAÚL
TUQUINGA VERÓNICA
USCA ÉRIKA

MSC. JORGE CRUZ

DOCENTE

NOVENO “A”
SEMESTRE

RIOBAMBA, 05 DE JULIO DEL 2018.

LUGAR Y FECHA

ABRIL – AGOSTO
2018
 ÍNDICE

INTRODUCCIÓN...........................................................................................................................3
DESARROLLO...............................................................................................................................4
Origen De Las Normas Iso..........................................................................................................4
Aspectos Generales......................................................................................................................4
La Organización Iso.....................................................................................................................5
Familia de las Normas Iso:...........................................................................................................6
¿Qué es Iso 27000?......................................................................................................................7
Alcance Iso 27000........................................................................................................................8
General.....................................................................................................................................8
Aplicación................................................................................................................................8
Objetivo de la Norma Iso 27000..............................................................................................8
Caracteristicas de da Norma Iso 27000........................................................................................9
Beneficios o Ventajas...................................................................................................................9
Desventajas................................................................................................................................10
Modelo De Certificado Iso 27000..............................................................................................11
ANÁLISIS.....................................................................................................................................12
REFERENCIAS............................................................................................................................13

2
 INTRODUCCIÓN

La presente investigación se refiere al tema de la ISO 27000, que se puede definir como un conjunto de

estándares desarrollados -o en fase de desarrollo por ISO (International Organization for Standardization) e IEC

(International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la

información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

La investigación se realizó por el interés de conocer la información que hoy en día es un activo importante

para el éxito y la continuidad en el mercado de cualquier organización. El fortalecimiento de dicha información y de

los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Por otra parte para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema

que afronte esta tarea de una forma ordenada, documentada y basada en unos objetivos claros de seguridad y una

evaluación de los riesgos a los que está sometida la información de la organización.

DESARROLLO

ORIGEN DE LAS NORMAS ISO

3
 La Norma fue publicada como Norma Española en el año 2007, pero tiene una larga historia antes de llegar a

este punto. Ya en el año 1995 el British Standard Institute (BSI) publica la norma BS7799, un código de buenas

prácticas para la gestión de la seguridad de la información.

A la vista de la gran aceptación de esta Norma, en 1998, el BSI pública la norma BS7799-2, Especificaciones

para los sistemas de gestión de la seguridad de la información; se revisa en 2001. Tras una revisión de ambas

Normas, la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799.

En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la

norma UNE 71502, basada en BS7799-2, sin que haya un equivalente ISO.

A partir de julio de 2007 la ISO 17799:2005 adopta el nombre de ISO 27002 y en octubre de 2007 la norma ISO

27001 se adopta como UNE. Con la publicación de la UNE-ISO/IEC 27001, dejó de estar vigente la UNE 71502 y

las empresas nacionales se certifican ahora únicamente con esta nueva norma (UNE-ISO/IEC 27001).

ASPECTOS GENERALES

 ISO es una organización internacional no gubernamental que produce normas internacionales industriales y

comerciales.

 El propósito es facilitar el comercio, intercambio de información y contribuir con estándares comunes para el

desarrollo y transferencia de tecnologías.

 Desde 1946 la normatividad ISO fue una de las primeras con pretensiones de estandarizar normas,

reglamentos y formas de trabajo en las organizaciones a nivel internacional.

 En 1987 aparece, por primera vez, un estándar que en vez de certificar productos asegura procesos.

 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International

Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un

marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o

privada, grande o pequeña.

4
LA ORGANIZACIÓN ISO

ISO (Organización Internacional de Estándares) es una organización especializada en el desarrollo y difusión

de los estándares a nivel mundial.

Los miembros de ISO, son organismos nacionales que participan en el desarrollo de Normas Internacionales a

través de comités técnicos establecidos para tratar con los campos particulares de actividad técnica. Los comités

técnicos de ISO colaboran en los campos de interés mutuo con la IEC (International Electro-technical Commission),

la organización que a nivel mundial prepara y publica estándares en el campo de la electrotecnología. En el campo de

tecnología de información, ISO e IEC han establecido unir un comité técnico, ISO/IEC JTC 1 (Join Technical

Committee Nº1).

Los borradores de estas Normas Internacionales son enviados a los organismos de las diferentes naciones para

su votación. La publicación, ya como una Norma Internacional, requiere la aprobación de por lo menos el 75% de los

organismos nacionales que emiten su voto.

FAMILIA DE LAS NORMAS ISO:

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Muchos de

ellos no están aún publicados, pero la estructura ya está definida:

ISO/IEC27000 Sistemas de Gestión de Seguridad de la Información, Generalidades y

vocabulario, publicada en Abril del 2009, en la que se recogen los términos y conceptos

relacionados con la seguridad de la información, una visión general de la familia de

estándares de esta área, una introducción a los SGSI, y una descripción del ciclo de mejora

continua.
UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI).

Requisitos. (ISO/IEC 27001:2005), publicada en el año 2007. Esta es la norma fundamental

de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la

información y es la norma con arreglo a la cual serán certificados los SGSI de las

5
organizaciones que lo deseen.
ISO/IEC27002, Tecnología de la Información. Código de buenas prácticas para la Gestión de

la Seguridad de la Información, publicada en el año 2005. Esta guía de buenas prácticas

describe los objetivos de control y controles recomendables en cuanto a seguridad de la

información.
ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso del modelo

PDCA y de los requerimientos de sus diferentes fases

ISO27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de

los controles relacionados.

ISO/IEC27005:2008 Gestión del Riesgo en la Seguridad de la Información, publicada en el

año 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las

necesidades de las organizaciones que pretende realizar su análisis de riesgos en este ámbito

y cumplir con los requisitos de la Norma ISO 27001.

ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditoría y

certificación de sistemas de gestión de seguridad de la información. Publicada en el año

2007. Recoge los criterios mediante los cuales una organización se puede acreditar para

realizar esos servicios.

ISO/IEC27007. Guía para la realización de las auditorías de un SGSI.
ISO/IEC27011. Directrices para la seguridad de la información en organizaciones de

telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para

empresas de este sector, facilitando el cumplimiento de la Norma ISO27001 y conseguir un

nivel de seguridad aceptable.

EN ISO27799. Gestión de la seguridad de la información sanitaria utilizando la Norma

ISO/IEC27002 (ISO27799:2008). Vigente en nuestro país ya que ha sido ratificada por

AENOR en agosto de 2008. Como en la anterior, es una guía sectorial que da cabida a los

requisitos específicos de entorno sanitario.

¿QUÉ ES ISO 27000?

6
Según Wales (2011) menciona que las normas ISO son:

Un conjunto de estándares desarrollados en fase de desarrollo por ISO (International Organization for

Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión

de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o

pequeña. (p.74 )

Enfatizando a la temática Jaramillo (2012) afirma que:

La iso 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por la iso y la jec- que

proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de

organización pública o privada grande o pequeña.

ALCANCE ISO 27000

GENERAL

Cubre todos los tipos de organizaciones. “También especifica los requerimientos a establecer, poniendo en

ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de

Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del

negocio” (Soria, 2013)

APLICACIÓN

“El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean

aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza” (Plackard, 2011)

OBJETIVO DE LA NORMA ISO 27000

Tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI),

con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la

información, es recomendable para cualquier empresa grande o pequeña (Anónimo, 2013).

7
CARACTERISTICAS DE LA NORMA ISO 27000

 Confidencialidad: la propiedad que esta información esté disponible no sea divulgada a personas, entidades o

procesos no autorizados.
 Seguridad de Información: preservación de la confidencialidad, integridad, disponibilidad de la

información; además, también pueden estar involucradas otras propiedades como la autenticidad,

responsabilidad, no-repudio, y confiabilidad.

 Sistema de Gestión de la Seguridad de la Información: esa parte del sistema gerencial general, basada en un

enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la

seguridad de la información.

BENEFICIOS O VENTAJAS

 Reducción del riesgo de pérdida, robo o corrupción de información.

 Los clientes tienen acceso a la información a través medidas de seguridad.
 Los riesgos y sus controles son continuamente revisados.
 Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
 Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
 Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
 Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
 Confianza y reglas claras para las personas de la organización.
 Reducción de costes y mejora de los procesos y servicio.
 Aumento de la motivación y satisfacción del personal.

DESVENTAJAS

No tiene retorno

Una vez que se ha empezado el camino de implementación de la norma ISO- 27001, tenemos la opción de

certificar o no. Sea cual fuere la elección, el cúmulo de actividades realizadas exige un mantenimiento y mejora

continua, sino deja de ser un SGSI, y ello salta a la vista en el muy corto plazo. Es decir, no se puede dejar de lado,

pues al abandonar un cierto tiempo el SGSI, requerirá un esfuerzo similar a lanzarlo de nuevo.

8
 Si a su vez se obtiene la certificación, para que la misma se mantenga en vigencia, anualmente debe ser

auditada por la empresa certificadora.

Requiere esfuerzo continuo

Independientemente de las tareas periódicas que implica una vez lanzado el SGSI para los administradores

del mismo, El mantenimiento del nivel alcanzado, requerirá inexorablemente es esfuerzo continuo de toda la

organización al completo.

MODELO DE CERTIFICADO ISO 27000

9
10
 ANÁLISIS

Luego de haber finalizado con la investigación podemos mencionar que los sistemas de información e

información son importantes para las empresas. En particular, cada vez más transferencia y utilización de datos

internos e inter empresas de redes abiertas aumentan los riesgos de que la información y los sistemas de información

están expuestos. Para reducir riesgos y evitar daños a las empresas se debe tener cuidado para garantizar una

seguridad de la información adecuada. Para la protección de los sistemas de información e información las normas

ISO 27000, ISO 27001 e ISO 27002 proporcionan objetivos de control, controles específicos, requisitos y directrices,

con las cuales la empresa puede lograr seguridad de información.

Al hacerlo, ISO 27001 habilita la compañía a ser certificada contra el estándar, por lo que la seguridad de la

información se puede documentar como rigurosamente aplicado y administrado de acuerdo con un estándar de

organización internacionalmente reconocido. Verifica el cumplimiento de la seguridad conocida y aceptada

estándares y así promueve la confianza de los clientes. Igualmente una verificación del cumplimiento de un acuerdo

internacional el estándar reduce el riesgo de multas o pagos de compensación como resultado de disputas legales es

por eso que nos ha parecido muy importante recalcar que la presente ISO ayuda a la organización de una manera

eficaz y eficiente.

REFERENCIAS

Amador, C. (2012). Iso 27000. Scribd. Recuperado de: https://es.scribd.com/document/80043403/Iso-27000

Anónimo, A. (2013). Sistema de Gestión de la Seguridad de la Información. Recuperado de:

http://www.iso27000.es/download/doc_sgsi_all.pdf. p. 6

11
Jaramillo, H. [Hugo Jaramillo] (2012, Abril 18). Norma ISO 27000. [Archivo de video]. Recuperado de:

https://www.youtube.com/watch?v=5yOuFBZD7oY

Plackard, A. (2011). Iso 27000. SllideShared. Recuperado de: https://es.slideshare.net/plackard/iso-27000-6594372

Pandini, W. (2014). ISO 27000, primeros pasos con la norma.Ostec blog. Recuperado de:

https://ostec.blog/es/generico/primeros-pasos-iso-27000

Soria, J. (2015). Técnicas de Información. Academia Educativa. Recuperado de:

http://www.academia.edu/5477042/UNIDAD_5

Wales, J. (2011). Administración. Cengage Learning. Décima Edición. Recuperado de:

https://books.google.com.ec/books?

id=BquP2eK1J_0C&pg=PR19&dq=Jimmy+Wales+iso&hl=es&sa=X&ved=0ahUKEwjg2YnH4IXcAhX

PrFMKHV7DB8sQ6AEIJjAA#v=onepage&q=Jimmy%20Wales%20iso&f=false. p. 74.

Wing, D. (2013). Norma Iso 27000. Auditoría de Sistemas. Recuperado de:

http://conceptosdeauditoriaitc2013.blogspot.com/2013/10/norma-iso-27000.html

12