Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Trabajo #6 - Juan Camilo Garcia Caceres PDF

    Cargado por

    JUAN CAMILO GARCIA CACERES
    30 vistas9 páginas

    Título original

    TRABAJO #6 - JUAN CAMILO GARCIA CACERES.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    30 vistas9 páginas

    Trabajo #6 - Juan Camilo Garcia Caceres PDF

    Cargado por

    JUAN CAMILO GARCIA CACERES

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 9

    AUDITORIA DE SISTEMAS: SGSI Y ESTRUCTURA NORMA ISO 27001

    JUAN CAMILO GARCIA CACERES

    UNIVERSIDAD AUTÓNOMA DE OCCIDENTE


    FACULTAD DE INGENIERIA
    INGENIERIA INFORMATICA
    SANTIAGO DE CALI
    2020
    AUDITORIA DE SISTEMAS: SGSI Y ESTRUCTURA NORMA ISO 27001

    JUAN CAMILO GARCIA CACERES

    ENSAYO SOBRE SGSI Y NORMA ISO 27001

    DOCENTE: JOSE MIGUEL NAVAS

    UNIVERSIDAD AUTONOMA DE OCCIDENTE


    FACULTAD DE INGENIERIA
    INGENIERIA INFORMATICA
    SANTIAGO DE CALI
    2020
    TABLA DE CONTENIDO

    1. INTRODUCCIÓN ...............................................................................................................................4
    2. QUÉ ES UN SGSI? .............................................................................................................................5
    3. ESTRUCTURA DE LA NORMA ISO 27001 .........................................................................................6
    4. CONCLUSIONES................................................................................................................................8
    5. BIBLIOGRAFÍA ..................................................................................................................................9

    3
    1. INTRODUCCIÓN

    El presente trabajo escrito comprende la apreciación de lo que es un Sistema de


    Gestión en Seguridad de la Información y Comprender con un enfoque de gestión
    basada en procesos, la estructura de la norma NTC ISO/IEC 27001 a través de un
    recorrido por los numerales de norma.
    De esta forma se podrá comprender la importancia, utilidad e impacto que estos
    tienen en una organización y como contribuyen a la viabilidad y éxito de la misma.

    4
    2. QUÉ ES UN SGSI?

    Un Sistema de Gestión de Seguridad de la Información es una norma que permite


    mantener la seguridad de la información y de los datos tanto del cliente como de los
    proveedores, por medio de la aplicación de la norma ISO 27000:2013.
    Un sistema de Gestión en Seguridad de la Información es una forma o ayuda con la
    cual una organización puede asegurar un entorno de trabajo seguro mediante un
    conjunto de políticas y procedimientos para estandarizar la gestión de la seguridad
    de la información, donde las empresas pueden asegurar sus datos e información de
    valor y protegerlo de todos los riesgos que pueden ser bien sea externos o también
    internos desde la misma organización.
    Un SGSI también se puede definir como una herramienta de gestión que nos va a
    permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la
    seguridad de la información de la empresa u organización.
    El SGSI actúa sobre el activo más importante de la organización hoy en día, el cual
    es la información, por tanto nos permitirá proveer seguridad de la información, en
    primer lugar analizar y ordenar la estructura de los sistemas de la información, en
    segundo lugar nos facilitara la definición de procedimientos de trabajo para
    mantener su seguridad y por ultimo nos ofrece la disponibilidad de contar con
    controles que permitan medir la eficacia de las medidas tomadas y de esta manera
    proteger la organización frente a amenazas y riesgos que puedan poner en peligro
    la continuidad de los niveles de competitividad, rentabilidad y conformidad legal
    necesarios para alcanzar los objetivos de negocio, consiguiendo así mantener los
    riesgos de la información por debajo del niveles asumibles por la propia
    organización.
    La gestión de los riesgos a través de un Sistema de Gestión de Seguridad de la
    información nos va a permitir preservar la confidencialidad, integridad y
    disponibilidad de la información tanto externa como internamente.

    5
    3. ESTRUCTURA DE LA NORMA ISO 27001

    Para iniciar debemos decir que la iso 27000 Es un conjunto de estándares


    internacionales sobre la Seguridad de la Información. La familia 27000 contiene un
    conjunto de buenas prácticas para el establecimiento, implementación,
    mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.
    Ahora bien, podemos hablar de la ISO 27001 la cual es el conjunto de requisitos
    para implementar un SGSI. Es la única norma certificable de las que se incluyen en
    la lista y consta de una parte principal basada en el ciclo de mejora continua y un
    Anexo A, en el que se detallan las líneas generales de los controles propuestos por
    el estándar.
    La estructura de la norma ISO 27001 comprende las siguientes secciones y tratan
    de:
    Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad
    con otras normas de gestión.
    Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de
    organización.
    Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000
    como estándar en el que se proporcionan términos y definiciones.
    Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma
    ISO/IEC 27000.
    Sección 4 – Contexto de la organización – esta sección es parte de la fase de
    Planificación del ciclo PHVA y define los requerimientos para comprender
    cuestiones externas e internas, también define las partes interesadas, sus requisitos
    y el alcance del SGSI.
    Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo
    PHVA y define las responsabilidades de la dirección, el establecimiento de roles y
    responsabilidades y el contenido de la política de alto nivel sobre seguridad de la
    información.
    Sección 6 – Planificación – esta sección es parte de la fase de Planificación del
    ciclo PHVA y define los requerimientos para la evaluación de riesgos, el tratamiento
    de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la
    determinación de los objetivos de seguridad de la información.

    6
    Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo
    PHVA y define los requerimientos sobre disponibilidad de recursos, competencias,
    concienciación, comunicación y control de documentos y registros.
    Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación
    del ciclo PHVA y define la implementación de la evaluación y el tratamiento de
    riesgos, como también los controles y demás procesos necesarios para cumplir los
    objetivos de seguridad de la información.
    Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de
    Revisión del ciclo PHVA y define los requerimientos para monitoreo, medición,
    análisis, evaluación, auditoría interna y revisión por parte de la dirección.
    Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PHVA
    y define los requerimientos para el tratamiento de no conformidades, correcciones,
    medidas correctivas y mejora continua.
    Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de
    seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

    7
    4. CONCLUSIONES

    Las conclusiones sobre la importancia de poseer un SGSI es bastante lógico y solo


    basta con preguntarnos:
    ¿Qué pasa si la información de la organización se filtra a la competencia?
    ¿Qué pasa si la información de la organización se daña o se dañan los medios que
    la contienen?
    ¿Qué pasa si no se puede acceder a la información de la organización?
    ¿Qué pasa si la información de la organización no es consistente o no se presenta
    de manera íntegra y completa?
    Todo esto contribuirá a perdidas enormes e incluso el fracaso de la organización
    que conllevaría a la quiebra y cierre de la misma, es por ello que, aunque a veces
    no se le suele dar importancia a esto y se suele pensar que sin un protocolo o
    políticas de procedimientos se puede llevar un orden es un error muy grande y aún
    más cuando la organización es más grande.
    Se puede llegar a quebrar porque la competencia tenga información tuya y actúe
    sobre ella de manera que quedes en desventaja, podemos llegar a tener errores y
    fallas en los procesos, que se ejecuten mal y se hagan como no se deben, podemos
    llegar a no tener servicio o disponibilidad del mismo o simplemente prestar un mal
    servicio, entre muchas otras cosas.
    De ahí la importancia de tener un SGSI y que también podemos concluir… No es
    solo tener un SGSI sino tener uno bien planteado con base a la familia de la norma
    ISO 27000 pues contar con unas políticas mal fundamentadas llevaría a lo mismo
    de lo que estamos hablando.

    8
    5. BIBLIOGRAFÍA

    Para la elaboración del escrito se ha usado todo el material brindado por el profesor Jose Miguel
    Navas en la asignatura de Auditoria de Información de la universidad Autonoma de
    Occidente.

    También podría gustarte