EVALÚE EL DOCUMENTO DE LA NORMA “ISO 27001” Y DETERMINE SU OBJETIVO

PRINCIPAL, ASÍ COMO EL PROCESO DE IMPLEMENTACIÓN DE LA MISMA EN UNA

EMPRESA.

INT
ROD
UCC
ION

La mayoría de empresas y/o negocios tienen información sensible, y al no proteger

adecuadamente dicha información podrían llegar a tener consecuencias operativas,
financieras y legales graves, que pueden incluso llevar a la quiebra del negocio. El reto que la
mayoría de negocios afronta es el de proporcionar una adecuada protección.

CONCEPTO:

Es una norma de carácter internacional en la cual se recogen los requisitos exigidos para
certificar, siguiendo las normas ISO 27002, pertenecientes a la misma familia normativa.

Esta nos explica cómo se debe planificar, implantar y controlar un Sistema de Gestión de la
Seguridad de la Información. En ella se encuentran pautas para gestionar riesgos y controlar
la seguridad de la información en cualquier organización. Es totalmente aplicable tanto en
grandes como en pequeñas empresas, públicas o privadas. Al ser las ISO disposiciones
genéricas y estandarizadas, están destinadas a su aplicación en todas las organizaciones sin
importar su industria, tipo, tamaño o naturaleza. 

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y
evaluar un Sistema de Gestión de la Seguridad de la Información (SGSI).

BENEFICIOS:

El propósito central de un SGSI es proporcionar protección a la información sensible o de

valor. La información sensible incluye información sobre los empleados, clientes y

AUDITORIA INFORMATICA UTPL AMPARITO LARA C.

proveedores. La información de valor incluye propiedad intelectual, datos financieros,
registros legales datos comerciales y datos operativos. Estos beneficios generalmente se
dividen en tres áreas:

1. COMERCIAL.- Tener el respaldo independiente de un SGSI por parte de un tercero

puede proporcionar a la organización una ventaja competitiva y permitirle "ponerse al
día" con sus competidores. Los clientes que están expuestos a riesgos importantes de
seguridad de la información están haciendo cada vez más que la certificación ISO
27001 sea un requisito en la presentación de ofertas.
2. OPERACIONAL.- El enfoque de la ISO 27001 fomenta el desarrollo de una cultura
interna que esté alerta a los riesgos de seguridad de la información y tenga un enfoque
coherente para enfrentarlos. Esta coherencia de enfoque conduce a controles que son
más robustos en el manejo de amenazas. El costo de implementarlos y mantenerlos
también se minimiza, y en caso de que fallen, las consecuencias se minimizarán y se
mitigarán de manera más efectiva.
3. TRANQUILIDAD.- Muchas organizaciones tienen información que es crítica para
sus operaciones, vital para mantener su ventaja competitiva o que es parte inherente
de su valor financiero. Contar con un SGSI sólido y efectivo permite a la gerencia
administrar los riesgos y dormir tranquilamente, sabiendo que no están expuestos a un
riesgo de multa, interrupción del negocio o un impacto significativo en su reputación.
La economía se basa en el conocimiento, y casi todas las organizaciones dependen de
la seguridad de la información.

PROCESO DE IMPLEMENTACION EN UNA EMPRESA

AUDITORIA INFORMATICA UTPL AMPARITO LARA C.

 La fase de implementación del Sistema tiene como base la identificación de los controles
de seguridad, sobre todo en la identificación del contexto de la organización, el análisis y
evaluación de riesgos y en la determinación del alcance o aplicabilidad del SGSI.

1. Obtener el compromiso de la alta dirección

La alta dirección debe comprometerse con el proyecto de implementación. La primera

evidencia de ese compromiso es la asignación de los recursos suficientes, de personal,
financieros y de tiempo. Igualmente es preciso definir las necesidades de formación y
capacitación, así como la conveniencia de contratar un software para automatizar la gestión.

2. Definir el alcance

La definición del alcance del sistema de gestión de seguridad de la información debe

considerar:

 Las necesidades del negocio y sus objetivos comerciales.

 El número de ubicaciones físicas.

 La estructura de la organización.

 La existencia de tele-trabajadores o trabajadores que desempeñan funciones en lugares

diferentes a las instalaciones, que no sean sus hogares.

 Las limitaciones del sistema.

 Número, Tipo y clase de dispositivos para el tratamiento y transmisión de

información: computadores de escritorios, portátiles, teléfonos inteligentes, tabletas,
servidores,etc.

 Contexto interno y externo de la organización.

 Requisitos de las partes interesadas

3. Conformar el equipo de trabajo

Con el alcance definido, el siguiente paso es reunir al equipo que tendrá la responsabilidad de
conducir el proyecto hasta la obtención de la certificación, o un poco más allá, si la alta
dirección lo considera oportuno.

El tamaño y la estructura del equipo corresponde al alcance definido, las dimensiones y la

complejidad de la organización.

AUDITORIA INFORMATICA UTPL AMPARITO LARA C.

4. Crear un plan de implementación

El siguiente punto para implementar ISO 27001 es la elaboración de un plan de

implementación. En dicho plan se considera la duración del proyecto, el presupuesto
asignado y el número de personas que lo conforman. Se acompaña de un cronograma de
actividades, entre las cuales podemos mencionar las siguientes:

 Redactar una declaración de aplicabilidad: documento en el que se indican los

controles de ISO 27001 que actualmente se aplican en la organización,

 Política de Seguridad de la Información.

 Definición de los mecanismos de monitoreo y medición y de la efectividad de los

controles.

 Definición de las necesidades de capacitación y formación, y de cuáles son los

empleados que deben recibirla.

 Lista de los documentos requeridos por ISO 27001 y que no podrán faltar en una
auditoría de certificación.

 Plan de tratamiento de riesgos: que incluye la identificación de los riesgos, su

evaluación y priorización, así como las acciones de tratamiento propuestas.

 Programa de auditorías: se establece el número de auditorías internas antes de

afrontar la de certificación, sus fechas y el alcance de las mismas.

6. Realizar un análisis de brechas

El análisis de brechas determina lo que ya existe y cumple con los requisitos de ISO 27001 y
lo que falta para alcanzar la conformidad total. Consiste en una evaluación objetiva del estado
de la organización, de sus controles actuales y de lo que necesita para garantizar la seguridad
de la información.

7. Evaluar los riesgos

Esta tarea se la considera medular y más compleja que se desarrolla durante la

implementación. Y lo es porque implica identificar los activos de la organización vinculados al
proyecto, las amenazas, las vulnerabilidades, los riesgos, su impacto y su probabilidad.

8. Implementar controles, procedimientos y programas de capacitación y sensibilización

AUDITORIA INFORMATICA UTPL AMPARITO LARA C.

Aquí es donde se pone en práctica todo lo planeado y proyectado. La definición de los
controles a utilizar de acuerdo con la evaluación de riesgos, es lo que garantiza la seguridad
de la información, es preciso que los empleados, en todos los niveles, conozcan y entiendan
la importancia del proyecto y cuál debe ser su respuesta ante ciertas situaciones de
vulnerabilidad.

9. Monitoreo y auditoría

Es preciso realizar un seguimiento continuo del funcionamiento del sistema para comprobar

que lo planificado e implementado es realmente eficaz a través de procesos de medición.
Estas también deberán someterse a un seguimiento y considerarse en próximas auditorías
para promover la mejora continua del sistema.

BIBLIOGRAFIA:

https://www.unir.net/ingenieria/revista/iso-27001/

https://www.pmg-ssi.com/2015/03/iso-27001-el-objetivo-de-un-ssi/

https://normaiso27001.es/fase-6-implementando-un-sgsi/

https://advisera.com/27001academy/es/knowledgebase/lista-de-documentos-obligatorios-

exigidos-por-la-norma-iso-27001-revision-2013/

AUDITORIA INFORMATICA UTPL AMPARITO LARA C.