FORO: ISO 27001 – 27002 (Organización Internacional

de Estandarización)

Seminario de Telecomunicaciones
Institución Universitaria ITM.
RESUMEN:

La ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan.
La ISO 27002 hace referencia a la importancia de las buenas prácticas en los Sistemas de
Seguridad de la Información y que a su vez la organización conozca de forma precisa todos los
activos que posee.

PALABRAS CLAVE: Buenas prácticas, ISO, informática, información, seguridad.

Confidencialidad, Integridad y Disponibilidad
1. RESUMEN AMPLIADO de la Información.

Con el fin de preservar la información, no es ISO 27002

suficiente implementar controles y Por otro lado, la norma ISO 2002 se enfoca
procedimientos de seguridad realizados
frecuentemente sin considerar toda la
información esencial que se debe proteger.
La Organización Internacional de
Estandarización (ISO), a través de las normas
recogidas en ISO / IEC 27000, establece una
implementación efectiva de la seguridad de la
información empresarial desarrolladas en las
normas ISO 27001 / ISO 27002.
ISO 2001
La norma ISO 27001 aportan un Sistema de
Gestión de la Seguridad de la Información
(SGSI), que consistente en medidas
orientadas a proteger la información,
indistintamente del formato de esta misma,
contra cualquier amenaza, de forma que
garanticemos en todo momento la
continuidad de las actividades de la empresa.
Además, vela porque la información sólo sea
accesible por aquellos que tienen permiso
para ello. No puede acceder nadie sin el
debido permiso.
Los Objetivos del SGSI son preservar la:
en el conocimiento de cada uno de los activos
de la empresa, para así tener un conocimiento
más detallado de con que se está protegiendo
dicha información y cómo se hará uso de esos
activos.
Se debe de entender por activo a: todo
recurso de información (bases de datos,
manuales, planes de contingencia, etc.),
recursos de software (aplicaciones, sistemas
operativos, herramientas de desarrollo, etc.),
activos físicos (equipo informático, de
comunicación, mobiliario, etc.) y servicios
(informáticos y de comunicación)
Los activos de información tienen que estar
clasificados según la sensibilidad y criticidad
de la información que contienen o que se
dedican a cumplir con el objetivo de
establecer como se debe tratar y proteger la
información. Además, es necesario justificar
los activos y que cuenten con un propietario
que debe estar correctamente identificado.
Los propietarios de los activos tendrán la
responsabilidad de mantener los controles
necesarios.
2. DISCUSIÓN
En el ámbito digital, la seguridad de la
información debe ser tomada con mucha
cautela, pues la información es poder y en
términos organizacionales es el pilar de toda
empresa.
Los estándares, modelos o normas son
recomendaciones que ayudan a las empresas
a estar cada vez mas preparados para posibles
problemas futuros que pueden resultar
catastróficos en cuanto a información sensible
se refiere.
Identificar de manera correcta qué estamos
haciendo bien, qué no se está haciendo bien,
qué tenemos qué implementar y cómo se
debería implementar, son pasos esenciales
que toda organización debe de tener en cuenta
a la hora de querer garantizar un buen uso de
la información tanto interna como externa
(clientes).
El buen liderazgo es fundamental en este tipo
de organizaciones, ya que la implementación
de buenas prácticas a lo largo de cada área de
trabajo hace que todos los empleados de la
organización contribuyan al establecimiento
de las normas y/o estándares que se desean
certificar.
En una era digital como la que se está, el
hacking es el pan de cada día tanto para
pequeñas como para grandes empresas
dedicadas a la manipulación de información
sensible. El no tener implementado un
correcto sistema de seguridad puede hacerlo
potencialmente blanco fijo y fácil de ataques
cibernéticos.
Es acá donde, gracias a un grupo de
ingenieros capacitados hacen recomendación
de alto nivel para mantener protegidos los
“bienes” de las organizaciones, que cada vez
buscan ser mas competitivas y seguras a nivel
mundial mediante certificaciones como lo es
la ISO 27001.
Pregunta 1: ¿Qué se obtiene implementando
ISO 27001?
Su implementación reduce los riesgos
relacionados con la confidencialidad,
disponibilidad e integridad de la información
en una organización. También ayuda a la
organización a dar cumplimiento a la
legislación que regula la protección de
información confidencial, de sistemas de
información, de datos personales, etc.
Pregunta 2: ¿Cuál es la diferencia entre ISO
27001 e ISO 27002?
ISO 27002 define directrices para la
implementación de los controles detallados en
ISO 27001. ISO 27001 especifica 114
controles que se pueden usar para disminuir
los riesgos de seguridad mientras que ISO
27002 proporciona más información sobre
cómo implementar esos controles. Las
organizaciones pueden obtener la
certificación para la norma ISO 27001, pero
no para ISO 27002.
Pregunta 3: ¿Cuánto demora la
implementación de la ISO 27001?
Esto realmente depende de una gran cantidad
de factores, generalmente las organizaciones
más pequeñas pueden necesitar de 3 a 6
meses, las organizaciones de hasta 500
personas necesitarán de 8 a 12 meses y las
organizaciones más grandes necesitarán 12
meses o más.
3. CONCLUSIONES.
Para tener buenos fundamentos de seguridad
es indispensable identificar qué tenemos que
proteger y cómo lo vamos a proteger, además,
apoyados en una sólida cultura de buenas
prácticas se puede minimizar el riesgo de
posibles ataques, perdidas o hurto de
información sensible para las organizaciones,
información que a su vez debemos identificar
en qué, para qué y cómo se utilizará.