TALLER

NORMA ISO 27001

1. ¿porque se establece la norma iso 27001?

La norma fue publicada en octubre de 2005 por la Organización Internacional
de Estandarización y por la Comisión Electrónica Internacional. Se considera
como un estándar internacional, debido a que hace referencia a un compendio
de requisitos que exige que los sistemas de seguridad de la información en la
organización garanticen la mejora continua y la administración adecuada de la
información.
El interés por gestionar la seguridad de la información surgió por los riesgos a
los que está expuesta en medio del tránsito hacia la digitalización; el principal
problema fue la forma en la que se manejó la información y su control público-
privado, independientemente de su formato: datos, video y voz, en medios
tradicionales o en medios magnéticos.
Otro de los factores que, en gran medida, influyó en la necesidad de
implementar la Norma ISO 27001 fue la activación de la cultura móvil, pues
mediante celulares o cualquier tipo de tabletas se puede manejar una gran
cantidad de datos; además, esto permite que la información se cree y se
regenere.
2. ¿cuáles son los objetivos del SGSI?
El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la
norma ISO 27001 tiene el objetivo asegurar que las empresas tienen
implementados todos los controles adecuados sobre la confidencialidad,
integridad y disponibilidad de la información, para proteger la información de las
partes interesadas, se deben incluir clientes, empleados, socios comerciales y
la sociedad en general.

3. Nombre y explique cada una de las fases que establece la ISO 27001
para constituir un SGSI.
Las directrices de la OCDE (Organización para la Cooperación y el Desarrollo
Económico) tiene el objetivo de crear conciencia sobre el riesgo de los sistemas
de información y las redes.
Es necesario establecer políticas, prácticas, medidas y procedimientos
disponibles para hacer frente a estos riesgos y la necesidad de adoptar la
aplicación.
Los nueve principios de las directrices se aplican en todos los niveles políticos y
operativos que rigen la seguridad en los sistemas de información y en las redes.
La norma ISO 27001 proporciona un marco de SGSI para la implementación de
los principios por los que se rige el modelo PHVA (Planificar-Hacer-Verificar-
Actuar) y los procesos del sistema de gestión:
 Concienciación
 Responsabilidad
 Respuesta
 Evaluación del riesgo
 Diseño e implantación de la seguridad
 Gestión de la seguridad
 Evaluación

4. ¿Cuáles son los beneficios de la NORMA ISO 27001?

Implementar ISO 27001 puede implicar ventajas significativas en las statups.
 Obtener nuevos negocios y fidelizar clientes
 Evitar las pérdidas financieras y las sanciones asociadas con las
vulneraciones de dato
 Proteger y mejorar la reputación de la organización
 Cumplir con los requisitos comerciales, legales, contractuales y
reglamentarios

5. ¿En qué consiste la evaluación de riesgos?

la evaluación de riesgos busca identificar y eliminar riesgos presentes en el
entorno de trabajo, así como la valoración de la urgencia de actuar. La
evaluación de riesgos laborales es una obligación empresarial y una
herramienta fundamental para la prevención de daños a la salud y la seguridad
de los trabajadores
6. Explique los pasos de la metodología sugerida por la NORMA ISO
270001 para la evaluación de riesgos.

A la hora de implantar un Sistema de Gestión de la Seguridad de la

Información (SGSI) según la norma ISO 27001, debemos considerar como
eje central de este sistema la Evaluación de Riesgos. Este capítulo de la
Norma permitirá a la dirección de la empresa tener la visión necesaria para
definir el alcance y ámbito de aplicación de la norma, así como las políticas y
medidas a implantar, integrando este sistema en la metodología de mejora
continua, común para todas las normas ISO.