1.

MARCO TEORICO

La implementación de la ISO 27000 se puede realizar en empresas, no importa su

tamaño, la industria en la que estén ubicadas o su naturaleza, tienen que ser
creativas e innovadoras para poder mantenerse en los mercados y poder
aumentar su competitividad [1]

En la actualidad, es un hecho irrefutable que los sistemas informáticos soportan,

automatizan y gestionan la gran mayoría de los procesos de negocios, al igual que
los procedimientos de información apoyan la actividad gerencial y la toma de
decisiones, sin excluir que es la propia información y el acceso a la misma, el
principal activo de toda organización.

Dentro del ambiente de negocios competitivo actual, la información siendo un

generador de valor y por ser una condición para operar y competir en diferentes
sectores de la economía, se encuentra bajo innumerables riesgos de seguridad y
gran variedad de amenazas de muchas fuentes que pueden ser externas,
internas, accidentales o maliciosas que afectarían en alto grado la organización.
Para mantenerse en el mercado actual, se requiere de recursos disponibles, un
enfoque proactivo y estratégico para implantar un Sistema de Gestión de
Seguridad de la Información, para gestionar, crear una meta concreta y criterios
generales de evaluación y de decisión para el tratamiento de los riegos en que se
encuentre la información dentro de cualquier tipo de organización, siendo esta un
activo que como los otros activos importantes tiene valor y en consecuencia
requiere una protección adecuada, por eso es preciso asegurar la
confidencialidad, integridad, disponibilidad de la información valiosa para la
organización, el negocio y los clientes.

Por esto se han realizado estudios los cuales buscan desarrollar y construir
propuesta de gran interés para la cual parte del análisis de la información y
verificación establecidos por las normas, con lo que se constituyó finalmente en un
modelo de gestión exclusivo para garantizar la seguridad de la información a partir
del núcleo de datos establecidos por la Secretaría General. [2]

¿Qué hacen las empresas para asegurar continuidad ante el impacto de una
perdida de información? ¿Qué pasaría si el servidor queda fuera de servicio?
¿Qué sucede si las agencias no pueden operar por un terremoto? ¿Qué pasaría si
la base de datos de la nómina se pierde? [5]. Para contrarrestar dichas amenazas,
las organizaciones deben generar un plan de acción frente a estas. Este plan de
acción es conocido como Sistema de Gestión de Seguridad de la Información
(SGSI) y contiene los lineamientos que deben seguirse en la organización, los
responsables y la documentación. [5]

Para esto se necesaria para garantizar que el SGSI sea aplicado y genere una
retroalimentación. La definición de SGSI se hace de manera formal en la norma
ISO 27001 [6], donde se recogen los estándares y mejores prácticas de seguridad
de la información.

Algunas estudios buscan describir la metodología asociada a la definición,

planeación, identificación y creación del modelo de seguridad de la información
para la organizaciones, basado en la norma ISO 27001:2013; iniciando desde el
entendimiento de la organización desde la óptica de los procesos críticos de la
operación de energía, ejecución del diagnóstico de seguridad de la información,
identificación de las principales vulnerabilidades y amenazas [7].
Donde se busca aplicar una metodología de gestión de los riesgos para la gestión
de riesgos de seguridad de la información, planeación de los planes de tratamiento
de riesgos y generación del marco documental del sistema de gestión de
seguridad de la información para la compañía.

[1] LADINO A., MARTHA ISABEL, VILLA S., PAULA ANDREA, LÓPEZ E., ANA MARÍA,
FUNDAMENTOS DE ISO 27001 Y SU APLICACIÓN EN LAS EMPRESAS. Scientia Et
Technica [en linea] 2011, XVII (Abril-Sin mes) : [Fecha de consulta: 5 de abril de 2019]

[2] Arévalo Ascanio, José Gregorio, Bayona Trillos, Ramón Armando, Rico Bautista, Dewar
Willmer "Implantación de un sistema de gestión de seguridad de información bajo la ISO
27001: análisis del riesgo de la i 0123-921X".

[3] Beckers, K., Fassbender, S., Heisel, M., & Schmidt, H. (2012). Using Security
Requirements Engineering Approaches to Support ISO 27001 Information Security
Management Systems Development and Documentation. Availability, Reliability and
Security (ARES), 2012 Seventh International Conference on, 242 (248), 20-24.

[4] Delgado Wiesner, C., & Parra Escobar, E. (2008). Medina, Y. (2009). MODELO DE GESTIÓN
BASADO EN EL CICLO DE VIDA DEL SERVICIO DE LA BIBLIOTECA DE INFRAESTRUCTURA DE
TECNOLOGÍAS DE INFORMACIÓN (ITIL). Revista Virtual Universidad Católica del Norte

[5] Medina, Y., & Rico, D. (2008). MODELO DE GESTIÓN DE SERVICIOS PARA LA UNIVERSIDAD DE
PAMPLONA: ITIL. Scientia et Technica, 14 (39), 314-320.

[6] Montilla Riofrío, A. L. (2010). Caracterización de la actividad económica empresarial de las

Sociedades Limitadas y Unipersonales de la ciudad de Ocaña. Proyecto de grado, Universidad
Francisco de Paula Santander Ocaña, Norte de Santander, Ocaña.
[7] Velásquez Pérez, L. (2003). Estudio del alcance de la implantación de tecnologías de información,
como apoyo al mejoramiento de los procesos, en las pequeñas y medianas empresas del sector
manufacturero en Bogotá.