Actividad Grupal, Seguridad de la Información

T3. Cindy Lorena Sánchez Correa

T4. Angie Alejandra Puentes Correa

Escuela de Inteligencia Aérea

Ing. Nicolás Cantor

Bogotá D.C, 12 de abril de 2022

 ISO 27001

Un sistema de gestión para la Seguridad de la información se compone de una serie de procesos

para implementar, mantener y mejorar de forma continua la seguridad de la información tomando
como base los riesgos que afectan a la seguridad de la información en una empresa u organización

ISO/IEC 27014. Guía de gobierno corporativo de la seguridad de la información.

Es una norma de seguridad de la información, la cual facilita orientación sobre los principios y
conceptos para gobernar la seguridad de la información. A Evaluar

 Dirigir
 Monitorizar
 Comunicar
 Asegurar

Seis principios de gobiernos de la seguridad de información los cuales son:

 Establecer seguridad de la información en toda la empresa.

 Seguir un enfoque basado en el riesgo
 Establecer la dirección de las decisiones de inversión
 Confirmar el cumplimento de los requisitos externos e internos.
 Promover un ambiente de seguridad positiva.
 Evidenciar el rendimiento en relación con los resultados del negocio.

ISO/IEC 27018  protección de datos para servicios de computación en  cloud computing.

Ayuda a garantizar que los datos de Identificación personal que procesan los proveedores de
servicios en la nube estén debidamente protegidos, con el objetivo de garantizar la privacidad de
los clientes.
Objetivos

Permite la identificación de los riesgos y la aplicación de controles para su mitigación

Dar mayor seguridad a clientes y partes interesadas respecto a los datos y la protección datos

Proteger la información y garantizar su seguridad

Beneficios

Fácil integración con la norma ISO/IEC 27001 de Seguridad de la Información

Minimizar los riesgos inherentes a la seguridad de los datos personales

Generar confianza en los clientes asegurando la buena gestión de los datos confiados a su
organización.

Desarrollar una ventaja competitiva para la empresa.

Mejorar la eficiencia de la organización.

ISO/IEC 27035:2011  - Seguridad de la información – Técnicas de Seguridad – Gestión de

Incidentes de Seguridad.

Guiará a las empresas a actuar frente a los incidentes de seguridad informática en la definición
de controles efectivos y, por consiguiente, la reducción o mitigación de los impactos derivados de
estos incidentes. 

Pautas

Destapar, informar y tratar los posibles incidentes de seguridad de información;

Gestionar los incidentes de seguridad de la información, además de la puesta en marcha

de controles para reducir o mitigar los posibles impactos que pueden acontecer.

Reportar, tratar y gestionar las vulnerabilidades de seguridad de la información,

Mejora continúa en la seguridad de la información y aprender de los incidentes y vulnerabilidades

ocurridos en el pasado para que no vuelvan a producirse.
Ofrece

Mejorar el enfoque y la seguridad de la información tanto en los sistemas de información como en

los sistemas de redes.

Controlar o mitigar los posibles impactos adversos en las organizaciones.

Mejorar y actualizar la prevención, priorización de tareas y evidencias de los posibles incidentes o

vulnerabilidades de seguridad de la información.

Ayuda en la contribución presupuestaria y de recursos en las organizaciones.

Incrementar la concienciación en seguridad de la información y aprobar un programa o plan de

formación para los trabajadores de la empresa.

Involucrar a todo el personal de la empresa a través del acceso a su política de seguridad de la

información y todos los documentos relacionados.

ISO/IEC 27050  - desarrolla en tres partes sobre la información almacenada en dispositivos

electrónicos.

Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los
conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la
aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de
riesgos.

ISO/IEC 27010  - es una guía para gestionar la seguridad de la información cuando se comparte
entre distintas organizaciones.

Aporta una guía sobre los métodos, modelos, procesos, controles y demás mecanismos para
realizar el intercambio de información de una manera segura, garantizando la confianza y el
entendimiento, respetando los principios de seguridad de la información.
 ISO/IEC 27005  - trata la gestión de riesgos en seguridad de la información.

Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de

riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma
ISO/IEC 27001.

Ayuda a las organizaciones con consejos sobre por qué y cómo gestionar los riesgos de seguridad
de la información en apoyo de sus objetivos de gobierno.

Objetivo de la ISO 27005 es proporcionar directrices para gestionar los riesgos.

ISO/IEC 27015  - es una guía de SGSI orientada a organizaciones del sector financiero y
de seguros.

Determina la orientación de las organizaciones que llevan a cabo una prestación de servicios
financieros con la finalidad de servir de apoyo a la gestión de seguridad de la información de sus
activos y de la información procesada.

Ventajas

Otorgar asesoramiento y orientación sobre el empleo de los controles y requisitos de dicha de las
normas ISO/IEC 27001 e ISO/IEC 27002 en empresas de servicios financieros. Las organizaciones
de dichos servicios obtendrán beneficios de la adquisición de esta norma, debido a que se les va a
permitir aplicar con mayor facilidad gracias a estos controles y requisitos.

La orientación y el asesoramiento incluidos en esta norma para las organizaciones de servicios

financieros es muy genérico, es decir, se puede emplear en cualquier parte del mundo, sin que
importe el tamaño de la empresa pero con el requisito de que formen parte de los servicios
financieros.