LA NORMA ISO27001 / BS 7799 Y LA APLICACIÓN EN LAS

line 1: 1ra Yolanda Quispe Flores.

line 2: Escuela Profesional de Ingenieria de line 1: 3ra Rebeca Villalba Cardenas
Sistemas line 2: Escuela Prosefional de Ingenieria
line 3: Universidad Nacional De Huancavelica de Sistemas
line 4: Pampas, Peru line 3: Universidad Nacional de Huancavelica
line 5: yolanda.quispe@unh.edu.pe line 4: Pampas, Peru
line 5: rebeca.villalba@unh.edu.pe line 1: 2nd
line 1: 2nd Angel Fernando Galvan Guillermo.
line 2: Escuela Prosefional de Ingenieria line 1: 4th Wendy Aponte Rodriguez
de Sistemas line 2: Escuela Profesional de Ingenieria de
line 3: Universidad Nacional de Huancavelica Sistemas
line 4: Pampas, Peru line 3: Universidad Nacional de Huancavelica
line 5: angel.galvan@unh.edu.pe line 4: Pampas, Peru
line 5: wendy.aponte@unh.edu.pe

Resumen
En este artículo se presenta una descripción de
los fundamentos de la norma ISO 27001 y su
aplicación en las organizaciones. Como caso
práctico se presenta una experiencia
implementación de la norma en
organización, esta norma puede ser implantada
en una empresa con el objetivo de obtener la
certificación o simplemente como mejores
prácticas para perfeccionar algunos aspectos de
seguridad en la empresa. Adicionalmente se
indica como implementar estas buenas prácticas
en empresas pequeñas que no pueden realizar la
certificación.
Palabras claves: Delitos informáticos,
cibercrimen, legislación, derecho comparado,
Latinoamérica.
Abstract
Keywords: Computer crimes, cybercrime,
legislation, comparative law, Latin America.
INTRODUCCION
En todas las organizaciónes la informacion es
un recurso vital, por lo cual precisa ser protegida
de cualquier tipo de amenazas que puedan ir en
contra del éxito de la organización.
de
una En la actualidad todas las organizaciónes sin
importar el rubro, se enfrenta a una
vulnerabilidad de seguridad frente al avance
tecnologico del pais, como podemos ver que
gracias a la implementancion del teletrabajo en
estos tiempos de pandemia covid-19 tranjo
muchos benificios a las empresas y a muchas
emprresas la implementacion del teletrabajo
ayudo a mantener su estabilidad economica.
El uso de la tecnologia de informacionen en las
empresas o organizaciones trajo mucho
benificios como la implementacion de
teletrabajo,transacciones comerciales en linea,
envio de documentos importes por gmail, uso de
aplicativos movilesy, entre otros, con ello el
crecimiento de las organizaciones y a la vez
amenazas ya que toda esta facilidad del uso de la
tecnologia ha generado ciertos problemas , los
cuales a algunas empresas ha generado perdidas
afectando en la continuidad de la empresa o
organización.
La mayoria de las organizaciones estan
estableciendo estrategias para garantizar la
informacion almacenada
Para la proteccion de la informacion rapida es de
suma importante implementar un SGSI

El nivel de seguridad en las organizaciones

 INPORTANCIA DE LA SEGURIDAD DE
LA INFORMACION EN LAS
ORGANIZACIONES
La seguridad de las informaciones es muy
inportante Según Atehortúa & Bustamante
(2008) la informacion es un activo vital para el
éxito y la continuidad en el mercado de
cualquier organización. El aseguramientto de
dicha informacion y de los sistemas que la
procesan es, por tano, un objetivo de primer
nivel para las organizaciones (pág. 31)
La norma define de manera genérica,
independientemente de los factores ambientales
de organización (entorno, contexto, activos de
las TIC, información, cultura organizacional,
etc.) tanto internos como externos a la misma y
de los activos de los procesos de la organización
(políticas, procedimientos, procesos, etc.), cómo
se planifica, implanta, verifica y controla un
Sistema de Gestión de Seguridad de la
Información, a partir de la realización de un
análisis de riesgos y de la planificación e
implantación de la respuesta a los mismos para
su mitigación. Es decir, cualquier empresa u
organización puede desplegar un SGSI
siguiendo este estándar.
La ISO 27001 se basa en la teoría de gestión de
la calidad PDCA (también conocida como ciclo
de Deming), como se podrá observar en la
estructura de esta.
 Planificar (“Plan”): etapa inicial de
diseño del SGSI en la que se realiza la
identificación inicial de los riesgos
asociados con la Seguridad de la
información. Esta cuestión se
complementa con un análisis cualitativo
y cuantitativo (si es necesario) de los
riesgos identificados y la planificación
de la respuesta y los controles necesarios
para la mitigación de estos.
 Hacer (“Do”): implantación y operación
del Sistema de Gestión de Seguridad de
la Información definido y desarrollado.
 Verificar (“Check”): revisar y evaluar su
eficacia y eficiencia. Si el desempeño no
es el esperado analizar las causas y
determinar las mejoras.
 Actuar (“Act”): mejora continua del
SGSI.
 Estructura del estándar:
1- Objeto y campo de aplicación: objetivos y
uso de la norma en el contexto de las diferentes
organizaciones.
2- Referencias normativas del estándar.
3- Términos y definiciones utilizados en el
desarrollo de la norma.
4- Contexto de la organización: requisitos y
expectativas de los interesados tanto a nivel
interno como externo y que influirán en el SGSI
y determinación del alcance de este.
5- Liderazgo: importancia de la implicación de
la gerencia con el sistema, mediante el
establecimiento de políticas, integrando el SGSI
en los procesos de la organización, y asegurando
los recursos necesarios.
6- Planificación: es imprescindibles detectar,
analizar y valorar los riesgos de seguridad de la
información tomando como referencia los
umbrales aceptables de riesgo de la organización
(apetito al riesgo), así como planificar
estrategias de respuesta (mitigación).
7- Soporte: recursos necesarios para
capacitación y concienciación del personal,
además de la importancia de la comunicación y
la propia información.
8- Operación: cómo operar el sistema e
implantar la respuesta a los riesgos.
9- Evaluación de desempeño: pautas para la
monitorización, seguimiento y control del SGSI
y la evaluación de su eficiencia y eficacia.
10- Mejora: se centra en cómo abordar las no
conformidades con la norma, las acciones
correctivas que hay que implementar y la mejora
periódica del Sistema de Gestión de Seguridad
de la Información.
11- Anexo A: definición de los controles para
mejorar la seguridad de la información.
Sin duda, la ISO 27001 es fundamental para
gestionar la seguridad de la información en
organismos y empresas independientemente de
su tamaño, objetivos o estructura.
En la actualidad dado el incremento de la
utilización del internet, la evolución de la
tecnología y la falta de conocimiento para
mitigar riesgos de ataques, ha generado
innumerables amenazas que aprovechan
vulnerabilidades de las empresas para
materializar riesgos y generar un impacto
negativo en las organizaciones, ocasionando que
se pierdan alguna o todas las características que
debe preservar la información: disponibilidad,
integridad, confidencialidad.
“En Colombia el ISO 27000, ITIL y el Cobit 4.1
son el estándar y las buenas prácticas que están
en las áreas de seguridad de la información o en
los departamentos de tecnologías de
información”, “se nota que poco a poco el
la mercado de especialistas en seguridad de la
información toma fuerza, pero aún la oferta de
programas académicos formales se encuentra
limitada, lo que hace que las organizaciones
opten por contratar a profesionales con poca
experiencia en seguridad y formarlos
localmente”.
Identificada la problemática anterior y según los
resultados de estudios de mencionados es
necesario diseñar estrategias que permitan a las
empresas mejorar los mecanismos que poseen
para preservar su activo más importante, la
información.
FUNDAMENTOS DEL SISTEMA DE
GESTIÓN DE LA SEGURIDAD 27001
La norma iso 27001 es una norma internacional
auditable en la auditoria de sitemas que son
presisas lo que son los requisitos para una buena
gestion en las empresas o organizaciones con
una buena segurgirar de informmacion
Según el autor Sanchez sola (p. 36) norma se ha
concebido para garanteisar la selecion de los
controles de seguridad adecuada y prorcionados.
Esto ayuda a proteger los activos y otorga
confianza a cualquiera de la partes interadas
sobre todo a los cliente
Vemos algunos puntos mecionados de la
auditoria de sistemas ISO 27001
 Politica de seguridad: esta politica tiene
como prosito de proteger la informacion
de la empresa, para la emplementacion
 de medidas de seguridad. Es un conjunto
de reglas aplicas a las actividades al
majejo de informacion de una enditada
esta politica de segurida
comoproposito de proteger
informacion y los activos de la empresa
Las politicas son como una guia para estas
seguro de la protecion y la integridad de los
datos dentro de los sitemas y procedimientos
manuales en la empresa cordova rodiguiez,
norma edith [p. 1].
 Asignación de responsabilidades
seguridad: este punto debe existir un
responsable en todo en el desarrollo de
las actividades. Tabien el proceso de
estandar ISO 27001 consiste en obtener
un certificado precisamente con todo los
requisitos de la norma de certificacion
entidad
 Formación y capacitación para
seguridad: La norma ISO 27001
establece que las personas relacionadas
con el Sistema de Gestión de Seguridad
de la Información deben estar capacitada
 Registro de incidencias de seguridad: en
este punto es muy importante que se
debe realizar registro de los elementos
 Gestión de continuidad del negocio:
SGSI debe estar considerar en mantener
la continuidad del negocio dentro de la
organización, por lo tanto este desarrollo
no puede extraviace en el trancurso de la
implementación del sistema de seguridad
de la norma ISO 27001.
 Control de acceso: según Razieh &
Nasser Modiri, (abril de 2012) ”Este
dominio confirma que el acceso de los
tiene respectivos de ssietma de informacion
la searestringido al personal autorizado.”
Como tambien se aborda la También se
aborda la detección de movimiento no
autorizadasen este dominio (pág. 20).
El SGSI después ha implantado en la
empresa certificadora, la cual realiza con
varias fases
de  Pre auditoria: voluntariamente
puede realizar una auditoria de
sitemas que manifiesta
informacion del situacion
actual
 Fase 1: no necesariamente
tiene que ser en sitio puesto
que se da la documentación la
la información requerida por la
propia empresa
 Fase 2: esta fase es de detalles
de la auditoria dentro de la
empresa en la que ven las
políticas de la implantación de
los controles de seguridad
 Certificación: es necesario
superar una auditoría de
certificación tres años, formal
completa como la descrita
para las Fases I y Fase II
aunque, en este caso, no hay
separación de fases aunque los
tiempos [ CITATION ISO \l
es-PE ]
 HERRAMIENTAS PARA MODELAR Esta norma ISO 27001 internacional especifica

PROCESOS DE LA NORMA ISO 27001 los requesitos para establecer, implantar poner

controlar revisar, mantener y mejorat SGSI

Las herramientas se tiene que aplicar según a los

direfentes objetivos qu tenga en cuenta las

organizaciones con seguridad garantizado :