ETAPA 1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2024

1
 ETAPA 1

TUTOR
EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CIUDAD
AÑO
CONTENIDO

2
pág.

INTRODUCCIÓN.....................................................................................................4
OBJETIVOS...............................................................................................................6
1.1 OBJETIVOS GENERAL......................................................................................6
1.2 OBJETIVOS ESPECÍFICOS..............................................................................6
DESARROLLO DEL TRABAJO.............................................................................7
BIBLIOGRAFÍA......................................................................................................13

3
 INTRODUCCIÓN

Hoy en día, la seguridad de la información se ha convertido en un tema

vital para toda organización, tras los ciberataques y las malas prácticas
en el manejo de datos e información. En este documento,
presentaremos la familia de normas ISO 27000, detallaremos su
alcance, características y aplicaciones, presentaremos los resultados de
este estudio en forma gráfica y, finalmente, cuando corresponda, se
realizará un análisis de caso específico en la práctica. Identificar puntos
o temas sobre los que se pueden aplicar las normas ISO 27001 e ISO
27002, como parte de la solución ofrecida.

4
 JUSTIFICACIÓN

Al leer la norma ISO 27001, puede obtener conocimientos preliminares

sobre la planificación, implementación y monitoreo de un Sistema de
Gestión de Seguridad de la Información (SGSI), y comprender que es
necesario garantizar la seguridad de la información respetando los
principios descritos en esta norma que son la confidencialidad, la
integridad y Disponibilidad de la empresa y proveedores. E información
del cliente.

5
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Identificar las series de la familia ISO 27000 relacionadas con la

seguridad de la información, extrayendo de estas los principales detalles
y características, alcances y escenarios en donde se pueda implementar
cada una; con lo cual se debe construir un análisis comparativo a partir
de las consultas realizadas.

1.2 OBJETIVOS ESPECÍFICOS

 El diseño informativo muestra la estructura de ISO/IEC 27000 y su

familia de normas.

 Realizar un análisis de situación y determinar la aplicabilidad de

las normas ISO 27001 e ISO 27002.

 Comprender la normatividad de la familia USO 27000 para adquirir

datos, y ejecutar acciones, pertinentes en la solución de una
problemática previamente analizada.

6
 DESARROLLO DEL TRABAJO

1. Infografía en donde identifique las series de la familia ISO

27000.
https://infogram.com/familia-iso-270001hxj48m5119w52v?live

7
 2. Análisis comparativo en donde identifique las series de la
familia ISO 27000.

FAMILIA ISO 27000

SERIE CARACTERISCAS ALCANCE DONDE SE

PUEDEN
IMPLEMENTAR
 Nos da a conocer  Formula los Esta norma puede
cada uno de los requerimientos y ser utilizada en
requisitos SGSI. objetivos de SI. cualquier
ISO  Lleva a cabo la  Establece riesgos organización sin
2700
evolución de los de política de SI. importar su
1
riesgos dentro de actividad
una organización. económica.
 Esta norma es
certificable
 Proporciona el  Objetivo de control  Esta norma
manual donde nos y evaluaciones. puede ser
describe una a una utilizada en
ISO las buenas cualquier
2700
practicas para la organizació
2
seguridad de n sin
informacion. importar su
actividad
económica.
 Es la guía detallada  Utilizar del ciclo de  Esta norma
de cada uno de los PHVA. puede ser
de los aspectos  Planificar utilizada en
ISO mas necesarios  Verificar cualquier
2700
para la  Hacer organizació
3
implementación del  Actuar n sin
SGSI. importar su
actividad
económica.
 Nos ofrece una guía  Utilizar,  Esta norma
que determina el implementar puede ser
ISO buen rendimiento o métricas. utilizada en
2700 la eficacia de la cualquier
4
SGI, y también organizació
apoya la ISO n sin
27001. importar su

8
 actividad
económica.
 Lleva  Valoración y  Esta norma
recomendaciones tratamiento de puede ser
para la gestión de riesgo de utilizada en
ISO riesgo, apoya la informacion. cualquier
2700
norma ISO 27001. organizació
5
n sin
importar su
actividad
económica.
 Gestiona normas  Seguimiento,  Esta norma
específicas para medición, análisis y puede ser
entidades que evaluación. utilizada en
ISO acreditan y auditan cualquier
2700
SGSI. organizació
6
n sin
importar su
actividad
económica.
 Gestiona una guía  Seguimiento,  Esta norma
detallada para medición, análisis y puede ser
realizar auditorias evaluación. utilizada en
ISO internas y externas cualquier
2700
de SGSI. organizació
7
n sin
importar su
actividad
económica.
 Referencia de guía  Específica en las  Esta norma
de implementación telecomunicaciones puede ser
ISO de SSI en las . utilizada en
2701 telecomunicaciones cualquier
1 . organizació
n sin
importar su
actividad
económica.
 Una guía de  Integrar sistemas  Esta norma
ISO implementación de de gestión. puede ser
2701 seguridad de la utilizada en
3 informacion a cualquier

9
 través de servicios. organizació
n sin
importar su
actividad
económica.
 Plantea un marco  Principios y  Esta norma
de gobernabilidad conceptos para la puede ser
para la seguridad seguridad. utilizada en
ISO de información. cualquier
2701
organizació
4
n sin
importar su
actividad
económica.

10
 3. Revisión y justificación de las series ISO 27001 e ISO
27002 y otras de la familia ISO 27000 que sean necesarias
para dar solución al problema propuesto.

Elaborar controles adecuados que permitan la protección de los activos y

brindar las garantías necesarias a las partes interesadas o relacionadas.
Esta norma es, por tanto, aplicable para resolver el problema del caso
de estudio porque nos permitirá realizar un diagnóstico, análisis de
riesgos y un plan de acción para satisfacer las necesidades de RTT
Ibérica, comprender y priorizar los requisitos de seguridad de la
información, realizar un seguimiento de su implementación y control.

Al leer y comprender la descripción o tema del caso de estudio,

podemos determinar con base en este criterio que la seguridad de las
cuentas de los usuarios no se toma en cuenta y debe cambiarse
periódicamente con la estructura definida. Por ejemplo: 14 caracteres,
incluidas letras minúsculas, letras mayúsculas, caracteres especiales y
números. Las copias de seguridad se guardan en un lugar seguro,
vulnerable a robo, incendio, etc.; Entiende que esta copia de seguridad
debe estar en la nube. Lo anterior en el contexto del análisis de riesgos.

Para implementar la Norma 27001, es necesario considerar la Norma

27002, que se relaciona con buenas prácticas, estableciendo
lineamientos para iniciar, implementar, mantener y mejorar un Sistema
de Gestión de Seguridad de la Información (SGSI). Puede comenzar
realizando un inventario de activos, categorizando la información por su
valor dentro de la organización, de modo que los archivos guardados
localmente en su computadora no proporcionen esta información para la
clasificación inicial. La seguridad operativa que proporciona una
protección adecuada contra malware y copias de seguridad, entre otros,
está relacionada principalmente con el estándar ISO 27001.

11
 CONCLUSIONES

Se puede concluir que los estándares de la serie ISO 27000 están

relacionados entre sí, por ejemplo, para implementar el estándar ISO
27001 también es necesario considerar el estándar ISO 27002, para
poder cumplir con el reconocimiento y las buenas prácticas.

Dentro de la estructura de la norma ISO 27000, algunas están dirigidas

a requisitos, otras a guías de aplicación y otras a requisitos específicos,
y aunque todas están agrupadas, internamente se planifican diferentes
temas para cada tema.

12
 BIBLIOGRAFÍA

 Valencia, F. (2021). Sistema de gestión de seguridad de la

información basado en la familia de normas ISO/IEC
27000Open this document with ReadSpeaker
docReader (pp 72, 74-75, 127-128).
http://www.fadmon.unal.edu.co/fileadmin/user_upload/ext
ension/cursos/imagenes_cursos/digitales_septiembre/
sistema_de_gestion_de_seguridad-1.pdf
 Office of the Government Chief Information Officer.
(2022). An Overview of ISO/IEC 27000 family of
Information Security Management System Standards. Open
this document with ReadSpeaker docReader (pp 4-6).
https://www.ogcio.gov.hk/en/our_work/information_cyber
_security/collaboration/doc/
overview_of_iso_27000_family.pdf
 Ritegno, E. (2019). COBIT 2019.Open this document with
ReadSpeaker docReader (pp 1-43) https://iaia.org.ar/wp-
content/uploads/2019/07/COBIT2019-IAIA.pdf
 NIST. (2018). Framework for Improving Critical
Infrastructure CybersecurityOpen this document with
ReadSpeaker docReader (pp 1-44).
https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.0416201
8.pdf
 Mantilla, E. (2022). Introducción a Normatividad,
Estándares y Modelos sobre ciberseguridad. [Archivo de
video]. Repositorio Institucional
UNAD. https://repository.unad.edu.co/handle/10596/4953
0

13