Norma Técnica Colombiana NTC-ISO27001

Tapia, Johan1
Unicaribe
Johan.tapia01@unicaribe.edu.do
(ORCID) (http://orcid.org).

Resumen

ISO/IEC 27001 proporciona requisitos para las organizaciones que buscan establecer,

implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la

información, en este ensayo se indican los controles técnicos aplicables a la detección y

prevención de ataques cibernéticos. Este marco 27001 sirve como guía para revisar

continuamente la seguridad de su información, lo que ejemplificará la confiabilidad y agregará

valor a los servicios de su organización.

La vida actual se ha vuelto mucho más cómoda gracias a varios dispositivos digitales e Internet

para apoyarlos. Hay una otra cara de todo lo bueno, y eso también se aplica al mundo digital

de hoy. Internet ha traído un cambio positivo en nuestras vidas hoy en día, pero con eso,

también hay un enorme desafío en la protección de sus datos por estos riesgos.

1
Doctor en dirección de proyectos(Ph.D.), Msc, docente INAP, Rep. Dom
 2

Palabras clave: Controles técnicos , Detección y prevención, ataques cibernéticos.

Summary

Tapia, Johan A00142422

 3

ISO/IEC 27001 provides requirements for organizations that seek to establish,

implement, maintain and continuously improve an information security management system,

in this essay the technical controls applicable to the detection and prevention of cyber attacks

are indicated. This 27001 framework serves as a guide to continually review your information

security, which will exemplify reliability and add value to your organization's services.

Today's life has become much more comfortable thanks to various digital devices and

the Internet to support them. There is a flip side to everything good, and that also applies to

today's digital world. Internet has brought a positive change in our lives today, but with that,

there is also a huge challenge in protecting your data. This gives rise to cyber attacks.

Keywords: Technical controls, Detection and prevention, cyber attacks.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de reglas que

una empresa debe establecer para:

• Identificar las partes interesadas y sus expectativas de la empresa en términos de

seguridad de la información.

• Identificar qué riesgos existen para la información

Tapia, Johan A00142422

 4

• Definir controles (salvaguardas) y otros métodos de mitigación para cumplir con las

expectativas identificadas y manejar los riesgos

• Establecer objetivos claros sobre lo que debe lograrse con la seguridad de la

información

• Implementar todos los controles y otros métodos de tratamiento de riesgos

• Medir continuamente si los controles implementados funcionan como se esperaba

• Realizar mejoras continuas para que todo el SGSI funcione mejor

Este conjunto de reglas se puede escribir en forma de políticas, procedimientos y otros tipos de

documentos, o puede estar en forma de procesos y tecnologías establecidos que no están

documentados. ISO 27001 define qué documentos se requieren, es decir, cuáles deben existir

como mínimo (Calidadyempresas, 2018).

En el texto citado “ICONTEC (2008). Norma Técnica Colombiana NTC-ISO27001”, los

controles técnicos aplicables a la detección y prevención de ataques cibernéticos se percibe

que la OCDE ha esbozado los pasos necesarios para asegurar los sistemas y redes de

información. Estos pasos se pueden encontrar en el Estándar internacional para sistemas de

gestión de seguridad de la información. Todos los niveles de una organización, incluidos los

operativos y de políticas, deben implementar estas pautas.

Usando el modelo PHVA y los procesos descritos en el texto, la OCDE promovió sus principios

usando la palabra PHVA, los participantes deben estar conscientes de la necesidad de seguridad

de los sistemas y redes de la información y de lo que pueden hacer para mejorar la seguridad.

Los controles técnicos aplicables a la detección y prevención de ataques cibernéticos

según esta norma son:

• Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico

Tapia, Johan A00142422

 5

Objetivo: asegurar que los sistemas cumplen con las normas y políticas de seguridad de la

organización.

• Cumplimiento con las políticas y normas de seguridad.

Control

Los directores deben garantizar que todos los procedimientos de seguridad dentro de sus áreas

de responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las

políticas y las normas de seguridad.

• Verificación del cumplimiento técnico.

Control

Los sistemas de información se deben verificar periódicamente para determinar el

cumplimiento con las normas de implementación de la seguridad.

Objetivo: maximizar la eficacia de los procesos de auditoría de los sistemas de información

minimizar su interferencia.

• Controles de auditoría de los sistemas de información.

Control

Los requisitos y las actividades de auditoría que implican verificaciones de los sistemas

operativos se deben planificar y acordar cuidadosamente para minimizar el riesgo de

interrupciones de los procesos del negocio.

• Protección de las herramientas de auditoría de los sistemas de información.

Control

Se debe proteger el acceso a las herramientas de auditoría de los sistemas de información para

evitar su uso inadecuado o ponerlas en peligro (ISOIEC, 2016).

El enfoque de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la

información en una empresa. Esto se hace averiguando qué problemas potenciales podrían

Tapia, Johan A00142422

 6

ocurrirle a la información (es decir, evaluación de riesgos) y luego definiendo qué se debe hacer

para evitar que ocurran tales problemas (es decir, mitigación de riesgos o tratamiento de

riesgos).

Por lo tanto, la filosofía principal de ISO 27001 se basa en un proceso para administrar los

riesgos: averiguar dónde están los riesgos y luego tratarlos sistemáticamente, mediante la

implementación de controles de seguridad (o salvaguardas).

Los controles ISO 27001 (también conocidos como salvaguardas) son las prácticas a

implementar para reducir los riesgos a niveles aceptables. Los controles pueden ser técnicos,

organizacionales, legales, físicos, humanos, etc.

Los controles ISO 27001 (también conocidos como salvaguardas) son las prácticas a

implementar para reducir los riesgos a niveles aceptables. Los controles pueden ser técnicos,

organizacionales, legales, físicos, humanos, etc.

Una persona puede obtener la certificación ISO 27001 si realiza la capacitación ISO 27001 y

aprueba el examen. Este certificado significará que esta persona ha adquirido las competencias

adecuadas durante el curso.

Tapia, Johan A00142422

 7

Conclusiones:

Se concluye que el marco ISO es una combinación de políticas y procesos para que las

organizaciones lo utilicen. ISO 27001 proporciona un marco para ayudar a las organizaciones,

de cualquier tamaño o industria, a proteger su información de manera sistemática y rentable, a

través de la adopción de un Sistema de Gestión de Seguridad de la Información (SGSI).

El estándar no solo brinda a las empresas el conocimiento necesario para proteger su

información más valiosa, sino que una empresa también puede obtener la certificación ISO

27001 y, de esta manera, demostrar a sus clientes y socios que protege sus datos a la detección

y prevención de ataques cibernéticos..

Las personas también pueden obtener la certificación ISO 27001 asistiendo a un curso y

aprobando el examen y, de esta manera, demostrar sus habilidades a posibles empleadores. Por

ser una norma internacional, la ISO 27001 es fácilmente reconocida en todo el mundo,

aumentando las oportunidades de negocio para organizaciones y profesionales.

Tapia, Johan A00142422

 8

Referencias

“Icontec (2008). Norma técnica colombiana ntc-iso27001”,obtenido de

https://blackboard.unicaribe.edu.do/ultra/courses/_52805_1/outline/file/_3215801_1

calidadyempresas. (2018). Iso 27001 gestión de la seguridad de la información -

calidad y empresas. Https://calidadyempresas.com/iso/iso-27001-gestion-de-la-

seguridad-de-la-informacion/

Tapia, Johan A00142422