Fase 1 - Reconocimiento de las normas ISO IEC 27000 y su función dentro de

la empresa

Carlos Jiménez, Claudia Patricia Guerra, Jose Luis Gomez y Sergio Ivan

Victoria

Abril 2020.

Universidad Nacional Abierta y a Distancia.

Ciencias Básicas, Tecnología e Ingeniería.

Sistema de gestión de seguridad informática

 Tabla de Contenidos ii

Introducción .................................................................................................................................... 1

Objetivos ......................................................................................................................................... 2

Objetivo General ......................................................................................................................... 2

Objetivos Específicos.................................................................................................................. 2

Capítulo 1 ISO 27001 ..................................................................................................................... 3

Cuadro explicativo sobre evolución de iso 27000 ...................................................................... 3

Cuadro explicativo sobre series de la norma iso 27000 .............................................................. 4

Ciclo PHVA ................................................................................................................................ 5

Capítulo 2 Infografía sobre estructura de ISO 27001 ..................................................................... 7

Capítulo 3 Cuadro sinóptico sobre pilares de la seguridad informática, clasificación de la

información, y seguridad física/lógica ........................................................................................... 9

Conclusiones ................................................................................................................................. 10

Lista de referencias ....................................................................................................................... 11

 Lista de figuras iii

Figura 1. Ciclo PHVA..................................................................................................................... 6

Figura 2. Estructura de ISO 27001 ................................................................................................. 7

Figura 3. Cuadro sinóptico seguridad informática .......................................................................... 9

 iv

Lista de cuadros

Cuadro 1. Origen y evolución de norma ISO 27001 ...................................................................... 4

Cuadro 2. Series de la familia ISO 27000....................................................................................... 5

 1

Introducción

En el presente documento de describe cual ha sido la evolución de la norma ISO

27000, desde sus orígenes en el año 1901 cuando la empresa British Standards Institution

publicó una primera serie que contenía una recopilación de buenas prácticas para mejorar

la seguridad informática en las empresas británicas.

Por otra parte, el autor del documento presenta de manera resumida un cuadro

explicativo, describiendo cada una las secciones de la familia ISO 27000. Así mismo,

muestra una infografía que describe la estructura de la sección 27001, la cual, es la única

certificable de la familia.

Finalmente, a través de un cuadro sinóptico se describe la relación de diferentes

conceptos como los pilares de la seguridad informática, los niveles en que se clasifica la

información, entre otros.

 2

Objetivos

Objetivo General

 Argumentar el conocimiento de las normativas de seguridad de la información

ISO/IEC 27001 y la ISO/IEC 27002, a través de la generación de instrumentos e

informes para el proceso de auditoría de los SGSI.

Objetivos Específicos

 Elaborar un cuadro explicativo sobre la evolución, las series de las normas

ISO/IEC 27000, y la relación de modelo PHVA con el SGSI.

 Diseñar una infografía que muestre la estructura de la norma ISO/IEC 27001.

 Elaborar un cuadro sinóptico que aborde las propiedades de la seguridad

informática, sus tres perspectivas fundamentales, los niveles de clasificación de la

información, seguridad física y lógica.

 3

Capítulo 1

ISO 27001

Cuadro explicativo sobre evolución de ISO 27000

El siguiente cuadro describe el origen y la evolución de la norma ISO 27000.

Evolución ISO 27001

Año Nombre Descripción

La empresa British Standards Institution, publica la

primera serie de normas bajo el prefijo "BS", a partir

1901 BS
de las cuales se dio origen a las que ahora se conocen

como ISO.

Esta norma contenía una recopilación de buenas

prácticas que ayudaban a empresas de Gran Bretaña a

1995 BS 7799-1 mejorar la seguridad de sus activos de información.

En ese entonces, era una información que no

certificaba la seguridad los sistemas de información.

En esta nueva serie ya se establecían requisitos para

1998 BS 7779-2 adquirir certificación de seguridad de los sistemas de

información de las entidades.

La Organización Internacional para la

Estandarización – ISO, se hizo cargo de la norma BS

2000 ISO 17799
y la convirtió en la ISO 17799 la cual no tuvo muchos

cambios con respecto a la anterior.

 4

Se modifica la ISO 17799 y se dio paso a la ISO

27001. A partir de ese año, se siguieron haciendo

2005 ISO 27001 modificaciones y adiciones, en los años 2007, 2009 y

2013, siendo este último, la más reciente

actualización de la norma ISO 27001.

Cuadro 1. Origen y evolución de norma ISO 27001

Cuadro explicativo sobre series de la norma ISO 27000

El siguiente cuadro describe cada una de las series de la familia ISO 27000.

Series familia ISO 27000

Serie Descripción

En esta serie describen el vocabulario que se utiliza en todas

ISO 27000
las demás series de la familia.

Esta es la única que es certificable de la familia. Contiene los

ISO 27001 requisitos y una serie de objetivos y controles para la seguridad

de los sistemas de información de las empresas.

Es un complemento de la 27001 y contiene una recopilación de

ISO 27002 buenas prácticas para la seguridad de los activos de

información.

ISO 27003 Es una guía de apoyo para la implementación de la ISO 27001.

 5

Da recomendaciones para realizar las mediciones en la gestión

ISO 27004
de la seguridad de la información.

Da recomendaciones para la gestión de riesgos y amenazas.

ISO 27005 Describe ejemplos de vulnerabilidades, riesgos, impactos y

amenazas.

Describe los requisitos para que las empresas logren la

ISO 27006
acreditación.

Describe una guía con indicación para realizar auditorías a los

ISO 27007
sistemas de seguridad de la información.

Cuadro 2. Series de la familia ISO 27000

Ciclo PHVA

Este es un método de gestión para SGSI, que permite a las organizaciones reducir

costos, optimizar la productividad, ganar cuota en el mercado, entre otras, a partir de las

necesidades empresariales, en el sentido de evolución y mejora constante. Este método

fue adoptado por la ISO. (Isotools, 2015)

El ciclo plantea las siguientes 4 fases:

- Planificar: establecimiento de objetivos e identificación de procesos.

- Hacer: implementación de las acciones con el objetivo de lograr los objetivos.

- Verificar: valoración de la efectividad de las acciones realizadas.

 6

- Actuar: se realizan correcciones en caso que las acciones realizadas no se

ajusten a los resultados esperados.

La siguiente imagen describe gráficamente la información anterior.

Figura 1. Ciclo PHVA

 7

Capítulo 2

Infografía sobre estructura de ISO 27001

El nuevo de modelo de ISO 27001:2013 consta de dos partes. Una primera

sección donde se describen 10 puntos, los cuales se muestran en la siguiente infografía:

Figura 2. Estructura de ISO 27001

 8

La segunda parte establece 14 objetivos de control y 114 controles en total. Junto

con este documento, se adjunta un documento de Excel llamado “Anexo A”, donde se

describen la totalidad de los objetivos y controles de ISO 27001.

 9

Capítulo 3

Cuadro sinóptico sobre pilares de la seguridad informática, clasificación de la

información, y seguridad física/lógica

La siguiente figura describe a través de un cuadro sinóptico, los pilares de la

seguridad informática, los niveles en que se clasifica la información, entre otros.

Figura 3. Cuadro sinóptico seguridad informática

 10

Conclusiones

La norma ISO 27000 proviene de las series BS, la cuales datan de los años 1900,

cuando la empresa British Standards Institution, publicó una serie de normas que

ayudaban a empresas europeas a mejorar la seguridad de sus activos de información. Este

estándar cuenta con una serie de 8 de publicaciones, en donde las más importantes son las

normas ISO 27001 e ISO 27002, siendo la primera, una guía para lograr certificación en

la gestión de la seguridad de la información a partir de identificación de riesgos, y la

segunda una guía de buenas prácticas a partir de objetivos de control.

Los pilares de la seguridad informática son la confidencialidad, integridad y

disponibilidad de los activos informáticos y de información, los cuales a través de

diversas estrategias tanto físicas como lógicas, protegen dichos elementos en una

empresa. La ISO describe que las organizaciones pueden clasificar la información según

su uso, el cual puede ser confidencial, restringido, interno o público.

 11

Lista de referencias

Escuela Europea de Excelencia. (s.f.). El Anexo A y los controles de seguridad en ISO

27001. Recuperado el 12 de Abril de 2020, de

https://www.escuelaeuropeaexcelencia.com/2019/05/el-anexo-a-y-los-controles-

de-seguridad-en-iso-27001/

Intedya. (s.f.). ISO 27000 y el conjunto de estándares de Seguridad de la Información.

Recuperado el 12 de Abril de 2020, de

http://www.intedya.com/internacional/757/noticia-iso-27000-y-el-conjunto-de-

estandares-de-seguridad-de-la-informacion.html

Isotools. (Febrero de 2015). ¿En qué consiste el ciclo PHVA de mejora continua?

Recuperado el 12 de Abril de 2020, de https://www.isotools.org/2015/02/20/en-

que-consiste-el-ciclo-phva-de-mejora-continua/

Isotools. (Julio de 2019). ¿Cuál es la estructura de la nueva norma ISO 27001 2013?

Recuperado el 12 de Abril de 2020, de https://www.isotools.com.mx/la-

estructura-la-nueva-norma-iso-27001-2013/

SGSI. (s.f.). La NCh ISO 27001. Origen y evolución. Recuperado el 12 de Abril de 2020,

de https://www.pmg-ssi.com/2013/08/la-nch-iso-27001-origen-y-evolucion/