Clase:

Seguridad de la Información
(IIT-4014)

Trabajo:
Actividad No. 1.2

Elaborado por:
José Reynaldo Castillo Rivera 2018210061

Docente:
Ing. Josué Octavio Rodríguez Sánchez

Comayagua, Comayagua
Mayo, 24, 2021

Primer Parcial/Segundo Periodo

1
Resumen ISO 27001

ISO 27001 no especifica un método en particular, sino que recomienda un enfoque de

proceso. Esta es esencialmente una estrategia planificar, hacer, comprobar y actuar. Se puede
utilizar cualquier modelo siempre y cuando los requisitos y procesos estén claramente
definidos, implementados correctamente y revisados y mejorados periódicamente. También
necesita crear una directiva de sistema de gestión de la seguridad de la información. Para el
cumplimiento de ISO 27001 las organizaciones deben implementar los controles elegidos
para el tratamiento de los riesgos; los profesionales que operan la seguridad de la información
deben de tener formación y competencia, si contamos con riesgos en el proceso se debe hacer
una revisión exhaustiva de manera mensual para asegurar que los resultados sean válidos,
comparables y consistentes, y se deben mantener los criterios de riesgo de seguridad de la
información.

Casi todos los aspectos de su sistema de seguridad se basan en las amenazas que ha
identificado y priorizado, lo que convierte a la gestión de riesgos en una competencia
fundamental para cualquier organización que implemente ISO 27001. La Norma permite a
las organizaciones definir sus propios procesos de gestión de riesgos. Los métodos comunes
se centran en examinar los riesgos para activos o riesgos específicos presentados en
escenarios particulares.

Cualquiera que sea el proceso que opte, sus decisiones deben ser el resultado de una
evaluación de riesgos. Este es un proceso que debe establecer un marco de evaluación del
riesgo, identificar riesgos, analizar los riesgos, evaluar los riesgos y seleccionar opciones de
gestión de riesgos.

La implementación del plan de tratamiento de riesgos es el proceso de construcción de los

controles de seguridad que protegerán los activos de información de su organización. Para
asegurarse de que estos controles son eficaces, deberá comprobar que el personal puede
operar o interactuar con los controles y estar al tanto de sus obligaciones de seguridad de la
información.

2
También deberá desarrollar un proceso para determinar, revisar y mantener las competencias
necesarias para alcanzar sus objetivos en el sistema de gestión de la seguridad de la
información. Esto implica realizar un análisis de necesidades y definir un nivel de
competencia deseado.

El proceso de revisión implica la identificación de criterios que reflejen los objetivos que
usted estableció en el mandato del proyecto. Una métrica común es el análisis cuantitativo,
en el que asigna un número a lo que esté midiendo. Esto es útil cuando se utilizan cosas que
implican costos financieros o tiempo. La alternativa es el análisis cualitativo, en el que las
mediciones se basan en el juicio. La auditoría inicial determina si el sistema de gestión de la
seguridad de la información de la organización se ha desarrollado de acuerdo con los
requisitos de la ISO 27001. Si el auditor está satisfecho, llevará a cabo una investigación más
exhaustiva.