Exposición:

Normas ISO 27000

Grupo:
2

Participantes:

Astrid Daniela Jiménez Ramos 202000411

Secia Sarahi Sierra Melendez 202000059
Tairy Paola Caceres Canelas 201902071
Alfredo Saul Cordova Meza 202001090
Carmen Alfredo Urraco Castro 201902376
Victor Jeovany Duarte Yanes 202000953

Asignatura:
13D3 – Auditoría Informática

Docente:
Ing. Olman Joel Méndez Méndez

Fecha:
12/03/2022
 Índice

Introducción ................................................................................................................ 1

Objetivos ..................................................................................................................... 2

General:................................................................................................................... 2

Específicos: ............................................................................................................. 2

Marco teórico .............................................................................................................. 3

¿Qué es ISO 27000? ............................................................................................... 3

¿Por qué implementar? ........................................................................................... 4

Enfoque. .................................................................................................................. 4

Alcance ................................................................................................................... 5

Procedimientos........................................................................................................ 7

¿Cómo se realiza la auditoría? ................................................................................ 8

Profesionales involucrados. .................................................................................... 9

Análisis de riesgos .................................................................................................. 9

Evidencias y documentación. ............................................................................... 11

Conclusiones ............................................................................................................. 13

Anexos ...................................................................................................................... 14

ISO 27000. Glosario de términos y definiciones. ................................................. 14

Bibliografía ............................................................................................................... 18
 Introducción
Las normas ISO 27000 son aquellas que nos guían una mejor práctica con lo que
respecta a la implementación, mantenimiento y gestión del sistema de seguridad de la
información de las empresas y organizaciones. La organización internacional de
estandarización ISO contiene un extenso número de normas dentro de la familia de ISO
27000 esas normas reservan un número dentro de su serie estás normas han sido creadas con
el propósito de facilitar a las empresas los niveles de homogeneidad en relación con la
gestión, prestar servicio y desarrollo de productos en la industria. Cuando utilizamos estas
normas ISO obtenemos beneficios como detectar con eficacia los problemas, ayuda a
satisfacer al cliente de una mejor manera se comprenden las necesidades del cliente, a su vez
una mejor visualización de la empresa.

Una de las ventajas importantes que logran las organizaciones con la implantación de
las normas ISO, es aportar un valor diferencial frente a la competencia al tratarse de
estándares certificados y reconocidos a nivel internacional, que son revisados y auditados de
forma periódica con el fin de garantizar el cumplimiento de estos. Esto mejora la percepción
de las empresas tanto para clientes como para accionistas, inversores o partners que puedan
mostrar interés en ellas.

1
 Objetivos

General:

Conocer los fundamentos y técnicas de auditoría informática que comprende la

familia de Normas ISO 27000 para la seguridad de la información, estudiando los conceptos
teóricos más importantes en materia empresarial.

Específicos:

• Comprender la importancia del papel que juega la información en las organizaciones

y lo imprescindible que es la protección de la misma.

• Definir los procedimientos que se deben llevar a cabo para la implementación de las
normas ISO 27000.

• Aprender sobre el rol que tienen los auditores informáticos, directores de seguridad
y demás personal técnico, y su participación en el análisis - gestión de riesgos.

2
 Marco teórico

¿Qué es ISO 27000?

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la

Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el
establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la
Seguridad de la Información.

ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas. Es similar

a una guía/diccionario que describe los términos de todas las normas de la familia.

ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única norma

certificable de las que se incluyen en la lista y consta de una parte principal basada en el ciclo
de mejora continua y un Anexo A, en el que se detallan las líneas generales de los controles
propuestos por el estándar.

ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la

Información que describe los controles y objetivos de control. Actualmente cuentan con 14
dominios, 35 objetivos de control y 114 controles.

ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo
a la norma 27001, indicando las directivas generales necesarias para la correcta
implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de
un SGSI con éxito.

ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones
para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué
medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos
de seguridad de la información que puedan comprometer a las organizaciones. No especifica
ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de
posibles amenazas, vulnerabilidades e impactos.

3
 ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones
certificadoras.

ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuándo, cómo
asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades
claves, etc.

¿Por qué implementar?

Hoy en día, los activos de información son vitales dentro de una organización para la
consecución de sus objetivos por lo que se deben abordar los riesgos para la seguridad de la
información que afecten a estos activos.

Se debe esperar que la implementación de un SGSI debería ser una decisión

estratégica para una organización ya que es necesario integrar los criterios para la seguridad
de la información en todas las necesidades de la organización y sus procesos.

Aunque la seguridad de la información es importante para cualquier empresa u

organización, resultando de vital importancia en empresas que basan su actividad en
comercio electrónico, banca, intercambio de datos o que manejan información confidencial
de miles de clientes. También resulta de vital importancia en empresas que necesitan
demostrar a sus clientes su capacidad de aplicar principios de seguridad de la información
con reconocimiento internacional y acreditado por una entidad independiente en el caso de
optar la certificación de su SGSI.

Enfoque.

Dentro de una organización se establecen y gestionan una serie de tareas relacionadas

entre sí y que necesitan estar coordinadas entre sí de forma eficiente para conseguir el
propósito de la organización.

Una tarea normalmente se compone de varias actividades ejecutadas en un orden

determinado y necesita de una serie de recursos (personal, equipos e instalaciones) además
de una serie de entradas para obtener un resultado final o salidas. Esto es lo que normalmente
denominamos un proceso en una organización

4
 La aplicación de un sistema de procesos dentro de una organización, junto con la
identificación e interacciones de estos procesos, y su gestión, se puede denominar como un
"enfoque de proceso".

Alcance

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse

la auditoría informática, se complementa con los objetivos de esta. El alcance ha de figurar
expresamente en el informe final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuáles materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se
comprobará que los controles de validación de errores son adecuados y suficientes? La
indefinición de los alcances de la auditoría compromete el éxito de la misma.

Control de integridad de registros

Hay aplicaciones que comparten registros, son registros comunes. Si una aplicación
no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo
tanto la aplicación no funcionaría como debería.

Control de validación de errores

Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

El alcance en normas ISO no es más que la descripción detallada de todo lo que tiene
que ver con la organización empresarial de nuestro negocio, independientemente de cuál sea
nuestro sector de actividad, número de trabajadores o tamaño.

El alcance, por lo tanto, es un documento que debe recoger elementos como:

productos y servicios ofrecidos por la compañía, tipos de procesos desarrollados en el seno
de la organización, tipo de actividades, principales ubicaciones, etc.

Este alcance puede referirse a la globalidad de toda la empresa o realizarse de una

forma más concreta a un tipo de actividad o ubicación geográfica. Aunque lo habitual es que
englobe a toda la organización.

5
 El alcance es una parte de gran importancia, define la forma en que el Sistema de
Gestión de la Calidad se extiende y relaciona con todas las operaciones de la compañía,
además, detalla y justifica los requisitos de las normas ISO que se van a implantar.

El alcance describe la extensión y los límites del SGSI, por lo que puede estar definido
en términos de los activos de información, la ubicación física, las unidades organizacionales,
actividades o procesos de mayor importancia para la organización, es decir, se trata de la
selección de los elementos críticos a proteger.

Se trata de la primera decisión trascendente que debe considerarse, ya que determina

exactamente lo que será protegido por la organización y la magnitud de los recursos
necesarios para la implementación y operación del sistema de gestión. Una vez definido, el
alcance debe estar disponible como información documentada.

El alcance del SGSI aclara los límites del SGSI en función del contexto y/o
importancia y ubicación de los activos críticos de información de la organización (por
ejemplo, unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados
(p.ej. leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por
organismos centrales).

Se debe tener en cuenta los flujos de información que cruza los límites del alcance.

Una estrategia de alto nivel impulsada por la organización o una declaración de visión
(ya sea hecha o al menos formalmente respaldada por la alta gerencia) es una forma de
cristalizar tanto el alcance como el propósito de aplicación del SGSI, y puede ser útil para
fines de concientización, así como de promoción.

Las normas internacionales, pertenecientes a la familia 27000, sirven de base para la

creación y operación de Sistemas de Gestión de Seguridad de la Información (SGSI). El
modelo es el resultado del consenso entre especialistas, considerado el estado del arte en lo
que se refiere a la estandarización para el segmento de seguridad de la información.

El objetivo de la norma en cuestión es presentar un recogimiento general sobre el

sistema de gestión de seguridad de la información y ambientalizar a los lectores sobre
términos técnicos utilizados durante el proceso de estandarización.

6
 Procedimientos.

Pasos para implementar políticas y procedimientos para ISO 27001:

1. Conocer los requisitos de la norma

El conocimiento de la norma es esencial. De acuerdo con lo que ISO 27001 solicita,

debemos establecer si existe alguna legislación que exija documentar algo, o tal vez esta
exigencia esté planteada en algún contrato con un cliente o proveedor. También es posible
que exista algún tipo de estándar corporativo que deba ser considerado.

2. Tener en cuenta la evaluación de riesgos de la organización

La evaluación de riesgos determina los temas que se abordarán en las políticas y

procedimientos para ISO 27001. También nos indica cómo debemos clasificar la
información, si se hará de acuerdo con la confidencialidad, y de ser así, cuántos niveles se
utilizarán.

3. Determinar el número de documentos a utilizar

Es más fácil gestionar un solo documento, aunque este sea de una extensión amplia,
que varios de una sola página. Los beneficios de contar con un único documento se aprecian
con mayor claridad cuando consideramos que el número de lectores objetivos va a ser el
mismo. También es importante alinear el documento con la información ya existente. Si uno
o varios de los temas tratados en las políticas y procedimientos para ISO 27001 ya fueron
examinados en otros documentos, lo mejor es hacer referencia a esa información y no
consumir tiempo y espacio en tratarlo nuevamente.

4. La estructura del documento

Antes de iniciar la redacción es preciso verificar si existen normas corporativas sobre

el formato y la estructura de los documentos. Esto incluye comprobar los procedimientos
sobre aprobación, distribución y revisión de documentos.

5. Redactar el documento

Llegó la hora de escribir el documento sobre políticas y procedimientos para ISO

27001. Por norma general, la extensión del documento será directamente proporcional al

7
tamaño y a la complejidad de la organización. No está de más involucrar a algunos empleados
clave en el sistema en este punto. Esto permitirá socializar el documento y facilitar su
aceptación, antes de que sea aprobado.

6. La aprobación del documento

Aunque es un paso apenas obvio, no por ello deja de ser importante. Después de todo,
si el documento no ha sido redactado por un miembro de la Alta Dirección, (lo cual no suele
ocurrir por ejemplo si hay un Director de Seguridad de la Información), sin aprobación será
muy difícil que se cumpla lo que se ha plasmado en él.

7. Capacitar y sensibilizar a los empleados

Este es un paso muy importante, que suele ser dejado de lado. A los empleados no les
gustan los cambios, y mucho menos cuando no los entienden. Por lo tanto, es preciso
identificar las necesidades de formación, especialmente en lo relacionado directamente con
la norma ISO 27001. Si los empleados conocen la norma y la comprenden, si se les explican
los motivos y las ventajas de la política y los procedimientos establecidos, resultará mucho
más fácil que acepten la implementación de nuevas actividades.

¿Cómo se realiza la auditoría?

Implementación y seguimiento.

- Ejecutar procedimientos y controles de monitorización y revisión: para detectar

errores en resultados de procesamiento, identificar brechas e incidentes de seguridad,
determinar si las actividades de seguridad de la información están desarrollándose como
estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores
y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.

- Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías

de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los
interesados.

- Medir la eficacia de los controles: para verificar que se cumple con los requisitos de
seguridad.

8
 - Revisar regularmente la evaluación de riesgos: los cambios en la organización,
tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno
tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo
aceptado.

Profesionales involucrados.

Perfiles que se desempeñan en el área de IT:

• Jefe de help desk y servidores.

• Soporte IT.
• Analistas de sistemas.
• Administrador de banco de datos.
• Ingeniero de software.

Entre las tareas que realizan estos profesionales, están:

• Dar soporte técnico a la oficina principal, plantas industriales, etc.

• Realizar mantenimiento preventivo y correctivo a los equipos tecnológicos en
general.
• Monitorear los enlaces internos y externos para garantizar la conectividad de datos.
• Tener un registro de equipos tecnológicos para control de inventario.
• Instalar sistemas operativos y programas tecnológicos en general para cubrir
necesidades de software de los usuarios.
• Obtener y mantener las certificaciones de los sistemas de gestión integrados.

Análisis de riesgos

Llevar a cabo un buen análisis nos permite centrar nuestro foco en los riesgos que se
encuentra asociados a los sistemas, procesos y elementos dentro del alcance del plan director
de seguridad. Es posible mitigar la posibilidad de tener algún tipo de incidente de
ciberseguridad. Por otro lado, también se podrán obtener beneficios si llevamos a cabo
un análisis de riesgos de manera aislada en lugar de realizarlo dentro de un contexto mayor,
como puede ser, el desarrollo de un plan director de seguridad.

9
 Fase 1. Definir el alcance

Lo primero que debemos hacer es realizar es establecer el alcance del análisis de

riesgos. Deberemos considerar que este análisis de riesgos forma parte del plan director de
seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del
alcance del plan director de seguridad, en el que se han seleccionado todas las áreas
estratégicas sobre las que mejorar la seguridad. Por otro lado, también es posible definir un
alance mucho más limitado si atendemos a departamentos, procesos o sistemas.

Fase 2. Identificar los activos

Cuando ya tenemos definido el alcance, tenemos que identificar los activos más
importantes que guardan relación con el departamento, proceso o sistema objeto del estudio.
Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una
hoja de cálculo o tabla.

Fase 3. Identificar / seleccionar las amenazas

Cuando se identifican los principales activos, el siguiente paso consiste en identificar

las amenazas a las que estos se encuentran expuestos. Tal y como imaginamos, el conjunto
de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un
enfoque práctico y aplicado. Puede que nuestra intención sea evaluar el riesgo que se corre
frente a la destrucción del servidor, por lo que será necesario considerar las averías del
servidor, la posibilidad de daño por agua o daños por fuego, en lugar de plantar el riesgo de
que el servidor sea destruido.

Fase 4. Identificar vulnerabilidades y salvaguardas

En esta fase se pretende estudiar todas las características de los activos para identificar
los puntos débiles o vulnerabilidades. Una posible vulnerabilidad puede ser identificar un
conjunto de servidores cuyos sistemas antivirus no se encuentran actualizados. A la hora de
evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.

También se deberá analizar y documentar las medidas de seguridad implementadas

en nuestra empresa. Es posible que hayamos instalado un sistema o un grupo electrógeno

10
para abastecer de electricidad a los equipos. Ambas medidas de seguridad contribuyen a
minimizar el riesgo de las amenazas relacionadas con el corte de suministro eléctrico.

Dichas consideraciones se deben tener en cuenta cuando se quiera estimar la

probabilidad y el impacto como veremos en la siguiente fase.

Fase 5. Evaluar el riesgo

Si hemos llegado hasta esta fase, ya disponemos de los siguientes elementos:

• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas de seguridad implantadas

Fase 6. Tratar el riesgo

Cuando se calcula el riesgo, tenemos que tratar los riesgos que superen un límite que
nosotros mismos hayamos establecido. Por ejemplo, solo se tratarán los riesgos cuyo valor
supere a 4. A la hora de tratar el riesgo, existen cuatro estrategias principales:

• Transferir el riesgo a un tercero.

• Eliminar el riesgo.
• Asumir el riesgo, siempre justificadamente.
• Implantar medidas para mitigarlo.

Es necesario realizar este análisis de riesgos en el contexto de un plan director de

seguridad, las acciones e iniciativas para tratar los riesgos pasan a formar parte del mismo. Es
necesario clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del
plan director de seguridad.

Evidencias y documentación.

Se refiere a la información necesaria que una organización debe controlar y mantener

actualizada tomando en cuenta y el soporte en que se encuentra. La información documentada

11
puede estar en cualquier formato (audio, video, ficheros de texto etc.) así como en cualquier
tipo de soporte o medio independientemente de la fuente de dicha información.

Junto con estos procesos que hemos visto, además hemos de considerar que para
llevarlos a cabo hemos tenido que basarnos en una estructura de gestión y de un proceso de
toma decisiones, de definición de responsabilidades y de comunicación para aprobar y validar
las tareas que hemos realizado.

• Al sistema de gestión y sus procesos

• Información necesaria para la actividad de la propia
• Evidencias o registros de los resultados obtenidos en cualquier proceso del sistema de
gestión o de la organización

Todo esto hay que documentarlo

El fin de que finalmente todo quede documentado es necesario por dos motivos
fundamentales

• Garantizar la repetición en el tiempo de un proceso. La base para garantizar la

aplicación sistemática de un proceso es su documentación
• Establecer un proceso de mejora. La documentación de un proceso permite el acceso
a información valiosa cuando decidimos evaluar la eficacia de nuestro sistema de
gestión y nos permite tomar decisiones para modificar por ejemplo el proceso de
toma de decisiones para mejorar nuestro sistema. Este es uno de los principales
motivos de un sistema de gestión: la mejora continua de nuestros procesos.

La Mejora continua no se puede conseguir si no documentamos de forma adecuada

el mismo Sistema de Gestión

Como evidencia del cumplimiento con los requisitos de la norma. Mantener

información documentada es el medio para justificar el cumplimiento con los requisitos de
la norma. NO basta afirmar que realizamos una tarea de una determinada forma. Es necesario
que existan registros que dejen constancia de lo que hacemos.

12
 Conclusiones

Tomamos en cuenta que las normas en cualquier área son de vital importancia ya que
dado a estas obtenemos las herramientas que necesitamos para alcanzar los objetivos de
nuestra empresa siendo el ISO 27000 la que realice a las organizaciones presentar y certificar
niveles de calidad a usuarios, catalogando a las medianas empresas como parte considerara
en sí, realizando una labor de guía a buenas prácticas que sean de utilidad a la organización.

Al mantener este tipo de tecnología debe tomar en importancia implementar controles

que protejan nuestro sistema para evitar robo de información, manteniendo la
confidencialidad, disponibilidad e integridad en activos.

Actualmente han surgido muchos tipos de delincuentes informáticos

comprometiendo la seguridad de información haciendo en sí que, implementemos un mejor
sistema de gestión de seguridad de sistema de información, previniendo y administrando los
riesgos informáticos con los que interactuamos, siendo una serie de procedimientos que nos
ayudan a regular el funcionamiento de distintas áreas. La norma ISO/IEC 27000 son un
conjunto de estándares que fueron y están siendo desarrolladas por la International
Organization for Standardization (ISO) y la International Electrotechnical Commission
(IEC), con el fin de proporcionar un marco de trabajo y administración de la seguridad de la
información, para que esta pueda ser utilizada por cualquier organización sea esta pública,
privada micro, mediana o grande.

Concluyendo que para sostener una empresa se deben establecer planes de

contingencia, reduciendo los riesgos que convierten sus amenazas afectando la continuidad
del negocio para la empresa, obteniendo desventaja que se podrían convertir en demandas,
perdidas, reclamos, perdiendo diferentes oportunidades, debemos manejar bien la
información para evitar este tipo de perdidas o daños en nuestra empresa.

13
 Anexos
Enlace del ejercicio práctico:

https://drive.google.com/file/d/1P-GSmGTiCHjnTFfxnLCeCItO7G9l2PzO/view

ISO 27000. Glosario de términos y definiciones.

CONTROL DE ACCESO

“medios para garantizar que el acceso a los activos esté autorizado y restringido según
los requisitos comerciales y de seguridad”

ATAQUE

"Intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o

hacer un uso no autorizado de un activo"

AUDITORÍA

14
Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y
evaluarla objetivamente para determinar hasta qué punto se cumplen los criterios de
auditoría.

Las auditorias pueden ser internas o externas

En cuanto a las auditorías Internas pueden ser realizadas por la misma organización o por
una parte externa en su nombre.

Los conceptos de "Evidencia de auditoría" y "criterios de auditoría" se definen en ISO

19011 dentro del proceso de recopilación de información para alcanzar las conclusiones
de auditoria.

AUTENTICACIÓN

"Garantía de que una característica reivindicada de una entidad es correcta"

DISPONIBILIDAD

Propiedad de ser accesible y utilizable a solicitud de una entidad autorizada

CONFIDENCIALIDAD

Propiedad por la que la información no se pone a disposición o se divulga a personas,

entidades o procesos no autorizados

CONSECUENCIA

Resultado de un evento que afecta a los objetivos

CONTROL

Medida que modifica un riesgo

CORRECCIÓN

Acción para eliminar una no conformidad detectada

EVENTO

Ocurrencia o cambio de un conjunto particular de circunstancias

15
Un evento puede ser repetitivo y puede tener varias causas.

Un evento puede consistir en algo que no sucede.

Un evento puede ser clasificado como un “incidente” o “accidente”.

CONTEXTO EXTERNO

Entorno externo en el que la organización busca alcanzar sus objetivos

el contexto externo puede incluir :

El entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico,

económico, natural y competitivo, ya sea internacional, nacional, regional o local;

Influencias y tendencias clave que tienen impacto en los objetivos de la organización

los valores de actores externos y como es percibida la organización (sus relaciones con
el entorno externo)

GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN

Sistema por el cual las actividades de seguridad de la información de una organización

son dirigidas y controladas

ÓRGANO RECTOR

Persona o grupo de personas que son responsables del desempeño de la organización

El órgano rector puede ser una junta directiva o consejo de administración.

NECESIDAD DE INFORMACIÓN

Conocimiento necesario para gestionar objetivos, riesgos y problemas.

INSTALACIONES DE PROCESAMIENTO DE INFORMACIÓN

Cualquier sistema de procesamiento de información, servicio o infraestructura, o la

ubicación física que lo alberga

SEGURIDAD DE INFORMACIÓN

16
Preservación de la confidencialidad, integridad y disponibilidad de la información

Además hay que considerar otras propiedades, como la autenticidad, la responsabilidad,

el no repudio y la confiabilidad también pueden estar involucrados.

17
 Bibliografía

Escuela Europea de Excelencia. (23 de 01 de 2019). Obtenido de

https://www.escuelaeuropeaexcelencia.com/2019/01/siete-pasos-para-implementar-
politicas-y-procedimientos-para-iso-27001/

Fferia. (s.f.). Auditoría de Sistemas. Obtenido de https://fferia.wordpress.com/norma-iso-

27000/

GlobalSuite. (05 de 05 de 2020). Obtenido de https://www.globalsuitesolutions.com/es/que-

son-normas-iso/

Intedya. (01 de 09 de 2015). Obtenido de International Dynamics Advisors:

https://www.intedya.com/internacional/757/noticia-iso-27000-y-el-conjuntode-
estandares-de-seguridad-de-la-
informacion.html#:~:text=ISO%2027000%20es%20un%20conjunto%20de%20est
%C3%A1ndares%20internacionales,de%20Gesti%C3%B3n%20de%20la%20Segur
idad%20de%20la%

ISO 27001. (s.f.). Obtenido de https://normaiso27001.es/

ISOTools Excellence. (18 de 04 de 2019). Obtenido de Seguridad de la Información:

https://www.pmg-ssi.com/2019/04/como-realizar-el-analisis-de-riesgos-segun-la-
norma-iso-27001/

18