4

SENA

ESPECIALIZACION EN GESTION Y SEGURIDAD DE BASES DE DATOS

EVIDENCIA 5 FASE DE ANALAISIS

APLICACIÓN DE LA NORMA ISO 27002 – EN EL CASO DE ESTUDIO SAN
ANTONIO DEL SENA

TUTOR
HUGO ANDRES TRUJILLO MONTEALEGRE

APRENDIZ

AURA PATRICIA OJEDA POLO

BOGOTA D.C.
CENTRO DE SERVICIOS FINANCIEROS
JULIO 2021
 5

TABLA DE CONTENIDO

INTRODUCCIÓN 6
1. LA IMPLANTACIÓN DE UN SGSI EN UNA EMPRESA 7
1. ISO 27001 8
2. ISO 27002 8
2. APLICACIÓN DE LA NORMA ISO 27002 A LA ALCALDIA SAN ANTONIO DEL SENA 10
3. CONCLUSIONES 11
REFERENCIAS 12
ANEXOS 13
 6

INTRODUCCIÓN

ISO 27001 es una norma desarrollada por ISO (organización internacional de

Normalización) con el propósito de ayudar a gestionar la Seguridad de la Información en
una empresa.

La nomenclatura exacta de la Norma actual es ISO/IEC 27001 que es la revisión de la

norma en su primera versión que fue publicada en el año 2005 como una adaptación de ISO
de la norma británica BS 7799-2

El certificado ISO 27001 le aplica a cualquier tipo de empresa sin importar su tamaño y
actividad. El factor clave para decidir sobre la implantación de un sistema de gestión de la
seguridad de la información radica en la importancia que los activos de información tienen
dentro de una organización como elementos imprescindibles para la obtención de sus
objetivos.

Actualmente a nivel mundial la norma ISO 27001 es la norma de referencia para certificar
la seguridad de la información en las organizaciones.

Un sistema de gestión para la Seguridad de la información se compone de una serie de

procesos para implementar, mantener y mejorar de forma continua la seguridad de la
información tomando como base los riesgos que afectan a la seguridad de la información en
una empresa u organización.
 7

1. LA IMPLANTACIÓN DE UN SGSI EN UNA EMPRESA

El Implantar un SGSI (sistema de gestión para la Seguridad de la información) en una empresa

supone la adopción de procesos formales, la definición de responsabilidades de cara a la seguridad
de la información, establecimiento de políticas, planes y procedimientos para la seguridad de la
información y el conservar y mantener información documentada como respaldo

La seguridad de la información en una organización mediante un sistema de gestión nos aporta

varias ventajas que podemos enumerar:

1 MEJORA CONTINUA

Gestionar la seguridad de la información supone establecer procesos específicos para la gestión

que nos ayuden a:

Desarrollar una cultura de la seguridad en una empresa

Implantar de forma gradual el control de la seguridad de la información

Garantizar el crecimiento y la mejora continua de la Seguridad de la información

2 AJUSTARSE A LAS NECESIDADES DE CADA EMPRESA

Un sistema de gestión promueve el establecimiento de procesos de análisis de riesgos para la

seguridad basados en la situación propia de cada organización y en la adopción de medidas
adecuadas dentro de las posibilidades de cada empresa.

Esto significa que un sistema de Gestión de la seguridad de la información lejos de complicar la

gestión de la propia organización es una ayuda y una buena herramienta para integrar de forma
gradual la adopción de criterios para mejorar la seguridad de la información dentro de la toma de
decisiones en una empresa

3 ESTABLECER CONTROLES ADECUADOS PARA LA SEGURIDAD DE LA INFORMACIÓN

Los controles para la seguridad de la información que se establezcan mediante la implantación de

un sistema de gestión SGSI vendrán determinados por un análisis científico que permita evaluar
cómo afectan a las necesidades de cada empresa las amenazas y riesgos de la seguridad de la
información. Cada actividad y entorno en el que se desarrolla una actividad, así como el tamaño y
dimensión de cada organización determinara los controles adecuados para cada organización
 8

Un sistema de Gestión SGSI basado en ISO 27001 también nos permitirá beneficiarnos de la
adopción de las mejores prácticas del mercado y de la industria en todo el mundo para la
seguridad de la información

4 INTEGRACIÓN DE SISTEMAS DE GESTIÓN

Un punto no menos importante es la integración del SGSI dentro de la gestión de la propia

empresa. Para ello ISO ha realizado en los últimos años un importante esfuerzo para incorporar
una única estructura en los sistemas de gestión basándose en el ANEXO SL.

1. ISO 27001

ISO 27001:2013 es la norma sobre la seguridad de la información y comparte la misma estructura

que las normas sobre la gestión de la Calidad ISO 9001 o Gestión del Medio ambiente ISO 14001,
lo que facilita la integración de distintos sistemas de gestión en una organización

Los pasos necesarios para implementar ISO 27001 se puede dividir en 10 fases:

Fase 1 auditoria inicial ISO 27001 GAP ANALYSIS

Fase 2 análisis del contexto de la organización y determinación del alcance

Fase 3 elaboración de la política. Objetivos del SGSI

Fase 4 planificación del SGSI

Fase 5 documentación del SGSI

Fase 6 implementando un SGSI

Fase 7 comunicación y sensibilización SGSI

Fase 8 auditoría interna según ISO 27001

Fase 9 revisión por la dirección según ISO 27001

Fase 10 el proceso de certificación ISO 27001

2. ISO 27002

La norma ISO 27002 hay que entenderla como un inventario de buenas prácticas para la seguridad
de la Información desarrollado con la experiencia de la implantación de controles para la
seguridad de la información aceptadas por las empresas y organizaciones más importantes del
mundo.

Por tanto la norma 27002 se propone como una guía para implantar los controles y medidas de
seguridad. Esta guía debe ser utilizada a modos de CHEK LIST de forma que se realice una selección
de controles aplicables como resultado de un análisis o evaluación de riesgos que determinara no
solo que controles aplicamos si no en qué medida o con qué recursos.
 9

La norma contiene 114 controles agrupados en 14 capítulos cada uno subdividido en áreas de
seguridad.

Dentro de la estructura ISO 27002 encontramos:

A5 políticas de seguridad de la información

A6 organización de la seguridad de la información

A7 seguridad relativa a los recursos

A8 gestión de activos

A9 control de acceso

A10 criptografía

A11 seguridad física y del entorno

A12 seguridad de las operaciones

A13 seguridad en las comunicaciones

A14 adquisición, desarrollo y mantenimiento de los sistemas de información

A15 relación con proveedores

A16 gestión de incidentes de la seguridad de la información

A17 aspectos de seguridad de la información en la gestión de continuidad del negocio

A18 cumplimiento
 10

2. APLICACIÓN DE LA NORMA ISO 27002 A LA ALCALDIA SAN ANTONIO

DEL SENA

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para

iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una
organización. Esto también incluye la selección, implementación y administración de
controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.
Para aplicar la norma ISO 27002 se tomó el caso de la alcaldía San Antonio del SENA,
planteado con anterioridad, y se aplicó la plantilla suministrada para establecer si se
encuentra con el nivel de cumplimiento en el 70% como es el adecuado; pero se puede
observar según aplicación de plantilla que no alcanza el 70% mínimo que se requiere.
El Gobierno colombiano establece normas específicas para el manejo de la información como
son el Sistema Nacional de Archivos que tiene como fin adoptar, articular y difundir las
políticas, estrategias, metodologías, programas y disposiciones que en materia archivística y
de gestión de documentos y archivos establezca el Archivo General de la Nación mediante el
Decreto Único Reglamentario 1080 de 2015 Nivel Nacional y la aplicación de la directiva de
Gobierno en Línea que es una estrategia definida por el Gobierno Nacional mediante el
Decreto 1151 de 2008, que pretende lograr un salto en la inclusión social y en la
competitividad del país a través de la apropiación y el uso adecuado de las Tecnologías de la
Información y las Comunicaciones (T.I.C). Esta estrategia pretende contribuir a mejorar la
eficiencia y transparencia del Estado Colombiano a través de la construcción gradual de un
gobierno electrónico, además de promover la actuación del gobierno como usuario modelo y
motor de la utilización de las TIC.
 11

CONCLUSIONES

Las alcaldías por ser entes del sector públicos están obligadas a llevar procesos que
demuestren la transparencia en su administración, por tal razón se hace necesario la
implementación de los sistemas de gestión de la seguridad de la información SGSI, para
garantizar el cumplimiento de todas las normas ante los entes de control y la ciudadanía en
general, es de anotar que todas estas entidades deben dar acceso muchas personas a
información de manejo público y establecer las políticas más adecuadas que permitan la
usabilidad de la misma, sin descuidar los aspectos inherentes a su seguridad.
 12

REFERENCIAS

NORMA ISO 27001

https://normaiso27001.es/

https://normaiso27001.es/a9-control-de-acceso/

NORMA ISO 27002

https://normaiso27001.es/a5-politicas-de-seguridad-de-la-informacion/

Plantilla para aplicar la norma ISO 27002

Decreto Único Reglamentario 1080 de 2015 Nivel Nacional

https://www.alcaldiabogota.gov.co/sisjur/listados/tematica2.jsp?subtema=20668

Decreto 1151 de 2008

https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=29774
 13

ANEXOS

Plantilla ISO 27002 aplicada a la alcaldía San Antonio del SENA