Documentos de Académico
Documentos de Profesional
Documentos de Cultura
WD
https://support.microsoft.com/es-es/windows/mantente-protegido-con-seguridad-de-windows-
2ae0363d-0ada-c064-8b56-6a39afb6a963
Desbloquear ahora
Windows 10 y 11 incluyen Seguridad de Windows, que proporciona la protección antivirus más reciente.
El dispositivo se protegerá activamente desde el momento en que inicies Windows. Seguridad de
Windows examina continuamente en busca de malware (software malintencionado), virus y amenazas
de seguridad. Además de esta protección en tiempo real, las actualizaciones se descargan
automáticamente para ayudar a mantener tu dispositivo seguro y protegerlo de amenazas.
Sugerencia: Si eres suscriptor de Microsoft 365 Familia o Personal, obtendrás Microsoft Defender,
nuestro software de seguridad avanzada para Windows, Mac, iOS y Android, como parte de tu
suscripción. Más información en Introducción a Microsoft Defender.
Windows 10 u 11 en modo S
Algunas características serán un poco diferentes si ejecutas Windows 10 u 11 en modo S. Dado que este
modo está optimizado para conseguir mayor seguridad, el área Protección contra virus y amenazas
dispone de menos opciones. Pero no te preocupes: la seguridad integrada de este modo evita
automáticamente la ejecución de virus y otras amenazas en tu dispositivo y recibirás actualizaciones de
seguridad automáticamente. Para más información, consulta Preguntas frecuentes de Windows 10 u 11
en modo S.
Si tienes instalada y activada otra aplicación antivirus, el Antivirus de Microsoft Defender se desactivará
automáticamente. Si desinstalas la otra aplicación, Antivirus de Microsoft Defender se volverá a activar
automáticamente.
Si tiene problemas para recibir actualizaciones de Seguridad de Windows, consulte Corregir errores de
Windows Update y la sección de preguntas más frecuentes de Windows Update.
Para obtener información sobre cómo desinstalar una aplicación, consulta Reparar o quitar una
aplicación en Windows.
Para cambiar tu cuenta de usuario a una cuenta de administrador, consulta Crear una cuenta de
administrador o de usuario local en Windows.
Seguridad de Windows es el centro para administrar las herramientas que protegen el dispositivo y los
datos:
Protección contra amenazas y virus:Supervisa las amenazas del dispositivo, ejecuta análisis y obtén
actualizaciones para ayudar a detectar las últimas amenazas. (Algunas de estas opciones no están
disponibles al ejecutar Windows 10 en modo S).
Protección de cuenta: Accede a las opciones de inicio de sesión y de configuración de cuenta, incluido
Windows Hello y el bloqueo dinámico.
Protección de red y firewall: Administra la configuración del firewall y supervisa lo que sucede con las
redes y las conexiones a Internet.
Seguridad del dispositivo: Revisa las opciones de seguridad integrada que ayudan a proteger tu
dispositivo contra ataques de software malintencionado.
Rendimiento y estado del dispositivo: Consulta la información del estado del rendimiento del dispositivo
y mantenlo limpio y actualizado con la última versión de Windows.
Opciones de familia: Realiza un seguimiento de la actividad de tus hijos en línea y de los dispositivos de
tu hogar.
Para personalizar cómo se protege el dispositivo con estas características de Seguridad de Windows,
selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows o selecciona el
botón siguiente.
Si te preocupa un archivo o carpeta específico en el dispositivo local, puedes hacer clic con el botón
derecho en el archivo o carpeta en el Explorador de archivos y seleccionar Examinar con Microsoft
Defender.
Sugerencia: En Windows 11, es posible que tengas que seleccionar Mostrar más opciones después de
hacer clic con el botón derecho para ver la opción de examinar el archivo o carpeta.
Si sospechas que hay malware o un virus en tu dispositivo, debes ejecutar inmediatamente un análisis
rápido.
Nota: Debido a la seguridad simplificada, esto no está disponible si ejecutas Windows 10 u 11 en modo
S.
Selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección
contra virus y amenazas.
En Amenazas actuales, selecciona Examen rápido (o en versiones anteriores de Windows 10, en Historial
de amenazas, selecciona Examinar ahora).
Si el examen no encuentra ningún problema, pero te sigue preocupando, es posible que quieras
comprobar el dispositivo con más detalle.
Selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección
contra virus y amenazas.
En Amenazas actuales, selecciona Examen rápido (o en versiones anteriores de Windows 10, en Historial
de amenazas, selecciona Ejecutar un nuevo análisis avanzado).
Nota: Debido a la seguridad simplificada, esto no está disponible si ejecutas Windows 10 u 11 en modo
S.
Programar un examen
Selecciona el botón Inicio , escribe programar tareas en el cuadro Buscar y, en la lista de resultados,
selecciona Programador de tareas.
En el panel izquierdo, selecciona la flecha (>) junto a Biblioteca del Programador de tareas para
expandirla, haz lo mismo con Microsoft > Windows y luego desplázate hacia abajo y selecciona la carpeta
Windows Defender.
A veces es posible que tengas que dejar de ejecutar brevemente la protección en tiempo real. Mientras
la protección en tiempo real esté desactivada, no se analizarán en busca de amenazas los archivos que
abras ni los que descargues. Sin embargo, la protección en tiempo real pronto se activará
automáticamente para proteger el dispositivo.
Nota: Debido a la seguridad simplificada, esto no está disponible si ejecutas Windows 10 u 11 en modo
S.
Selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección
contra virus y amenazas > Administrar configuración. (En versiones anteriores de Windows 10,
selecciona Protección contra virus y amenazas > Configuración de Protección contra virus y amenazas).
=====================================================================================
======
PUEBAS DE PENETRACIÓN
Las pruebas de penetración, también conocidas como pruebas de pen test, son un ataque simulado en el
mundo real en una red, aplicación o sistema que identifica debilidades y vulnerabilidades. Las pruebas
de penetración (pruebas de pen) son parte de un enfoque reconocido en la industria para identificar y
cuantificar el riesgo. Intentan activamente “explotar” las vulnerabilidades y exposiciones en la
infraestructura, aplicaciones, personas y procesos de una empresa. A través de la explotación, LRQA
Nettitude es capaz de proporcionar un contexto sobre la vulnerabilidad, el impacto, la amenaza y la
probabilidad de una violación en un activo de información.
A menudo es posible para un pen tester tener acceso remoto a sistemas operativos, lógica de
aplicaciones y registros de bases de datos. A través de la explotación activa de sistemas directos e
interconectados, LRQA Nettitude puede proporcionar orientación estratégica sobre el riesgo y consejos
personalizados sobre contramedidas.
Protege a clientes, socios y terceros: muestra a sus clientes que se toma la ciberseguridad en serio, y
construye confianza y una buena reputación, que está haciendo todo lo posible para mitigar los riesgos
de una brecha cibernética.
Le permite entender el entorno: una prueba de penetración le permite comprender lo que ocurre en el
entorno que le rodea y le ayuda a entender los tipos de ciberataques a los que puede enfrentarse su
organización.
Identifica puntos débiles que no sabía que existían: las pruebas de penetración buscan las posibles
puertas traseras de su red que existen sin que usted lo sepa.
Si es nuevo en el mundo de las pruebas de penetración y desea obtener una comprensión sencilla de lo
que es, asegúrese de consultar nuestros recursos de aprendizaje para ayudarle a empezar.
LRQA Nettitude es miembro activo del Consejo de Probadores Éticos de Seguridad Registrados (CREST).
LRQA Nettitude es un orgulloso miembro del esquema NCSC del gobierno del Reino Unido. Nuestro
equipo de probadores incluye Líderes de equipos CHECK en infraestructura y aplicaciones web, así como
Miembros de equipos CHECK.
LRQA Nettitude es una organización certificada ISO27001 y realiza todos los compromisos externos de
pruebas desde un entorno rigurosamente controlado. Los consultores de seguridad de LRQA Nettitude
tienen calificaciones CISSP y muchos también tienen acreditaciones CISA y CISM. Todos nuestros
probadores han sido verificados exhaustivamente.
Además, nuestro equipo está compuesto por consultores reconocidos en la industria y autores
publicados que han sido reconocidos por los medios y la comunidad de ciberseguridad.
Hay pruebas de penetración internas y externas, dependiendo de si el probador accede al entorno físico
o al entorno accesible desde Internet.
Los tests de penetración tradicionalmente se pueden ejecutar internamente dentro de una organización
o externamente desde Internet. El punto de vista adecuado para las pruebas debe ser determinado por
el enfoque de una organización en el riesgo. Además, los dos lugares para las pruebas no son
mutuamente excluyentes. Las organizaciones con un fuerte enfoque en la gestión de riesgos suelen
realizar pruebas tanto desde una perspectiva
Este tipo de prueba evalúa la seguridad a través de los ojos de un usuario interno, un trabajador
temporal o un individuo que tiene acceso físico a los edificios de la organización.
Las pruebas de penetración interna se llevan a cabo dentro de una organización, a través de su red local
(LAN) o a través de redes WIFI. Las pruebas observarán si es posible acceder a la información privilegiada
de la empresa desde sistemas que están dentro de los
cortafuegos corporativos.
Los testers evaluarán el entorno sin credenciales y determinarán si un usuario con acceso físico al
entorno podría extraer credenciales y luego escalar privilegios a los de un administrador o super usuario
dentro del entorno.
Durante una prueba de penetración interna, el probador intentará acceder a datos sensibles, incluyendo
PII, datos de tarjetas PCI, material de I+D y información financiera. También evaluarán si es posible
extraer datos del entorno corporativo y evadir cualquier
dispositivo de DLP o registro para evaluar cualquier medida o controles que se hayan implementado.
Este tipo de prueba evalúa la infraestructura de una organización desde fuera del cortafuegos del
perímetro en Internet. Evalúa el entorno desde el punto de vista de un hacker de Internet, un
competidor o un proveedor con información limitada sobre el entorno
de enfrentamiento a Internet.
Pruebas de penetración externas evaluarán los controles de seguridad configurados en los routers de
acceso, firewalls, sistemas de detección de intrusiones (IDS) y cortafuegos de aplicaciones web (WAFS)
que protegen el perímetro.
Las pruebas externas también brindarán la capacidad de evaluar los controles de seguridad para las
aplicaciones que se publican a través de internet. LRQA Nettitude reconoce que cada vez hay más lógica
en los servicios web para brindar funciones de extranet, comercio electrónico y gestión de la cadena de
suministro a los usuarios de Internet. Como consecuencia, LRQA Nettitude presta especial atención a
estos recursos y realiza evaluaciones granulares sobre su construcción y configuración, así como sobre su
interacción con otras
En una prueba en caja negra, el cliente no brinda a LRQA Nettitude información sobre su
infraestructura, excepto una URL o IP, o en algunos casos, solo el nombre de la empresa.
LRQA Nettitude está encargado de evaluar el entorno como si fuera un atacante externo sin información
sobre la infraestructura o la lógica de la aplicación que está probando. Las pruebas de penetración en
caja negra brindan una simulación de cómo un atacante sin información, como un hacker de Internet, un
crimen organizado o un atacante patrocinado por un estado nación, podría presentar un riesgo para el
entorno.
Una prueba en caja gris es una mezcla de técnicas de pruebas en caja negra y caja
blanca.
En las pruebas en caja gris, los clientes brindan a LRQA Nettitude fragmentos de
información para ayudar en los procedimientos de prueba. Esto resulta en una amplitud y profundidad
adicional, junto con una cobertura de prueba más amplia que la caja negra. Las pruebas de penetración
en caja gris brindan un enfoque ideal para los clientes que desean tener una evaluación efectiva de su
postura de seguridad.
En una prueba de caja blanca, LRQA Nettitude recibe información detallada sobre las
aplicaciones e infraestructuras.
También es habitual que LRQA Nettitude tenga acceso a una gama de diferentes
infraestructura. Proporcionará una simulación de cómo un atacante con información (empleado, etc.)
podría presentar un riesgo al entorno.
LRQA Nettitude tiene una metodología de prueba sólida que se extiende a través de las pruebas de
infraestructura y aplicación. Aunque cada prueba de penetración está adaptada a las necesidades
individuales de nuestros clientes, seguimos la misma metodología probada para mantener un conjunto
de resultados consistente y reproducible.
Fase 6: Pivoteo
Recibirá un informe de gestión de alto nivel y un documento de revisión técnica detallado para cada
compromiso.
Estos documentos destacarán las vulnerabilidades de seguridad e identificarán áreas para la explotación.
Además, proporcionarán orientación sobre la remediación, con un enfoque en las medidas preventivas.
Para acceder a un informe de gestión y técnico de muestra relacionado con su vertical de la industria,
envíenos un correo electrónico.
Informe de la prueba
LRQA Nettitude asegura que todas las pruebas tengan un informe completo al final del compromiso.
Si es necesario, LRQA Nettitude puede realizar este informe cara a cara. Durante este proceso,
proporcionaremos una presentación de vulnerabilidades críticas y de alto nivel junto con orientación
sobre remediación y medidas preventivas.
Cuando no se requiere un informe cara a cara, LRQA Nettitude realiza informes a través de conferencia
de video y WebEX. A través de este enfoque, aún somos capaces de compartir una presentación
exhaustiva de las vulnerabilidades y las áreas identificadas como de alto riesgo. También somos capaces
de brindarle demostraciones en vivo de donde fue posible la explotación, junto con orientación sobre
cómo asegurar el entorno a futuro.
Guía posterior a la prueba
Esto brinda un nivel de garantía durante la fase de remediación, asegurándose de que pueda solucionar
todas sus vulnerabilidades de manera oportuna.
=================================================================================
NORMA ISO 27001
ADRIEL ARAUJO
CEO
ISO 27001
THE LATEST
TOPICS
Business Resources
76
Cloud
1
Cybersecurity Experts
107
Dev Resources
28
GDPR
Entiende por qué se la piden a tu startup y aprovecha para aprender a cumplir con ella
Índice
Esto es lo primero que debes leer si estás aprendiendo sobre ISO 27001. Aquí te dejamos el índice para
que veas cuáles son los siguientes artículos de la saga.
10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
En los últimos años, y con tantas vulnerabilidades dando vueltas en las plataformas digitales, cumplir con
la normativa ISO 27001 se ha vuelto una condición casi obligatoria para trabajar con corporativos o
grandes empresas.
ISO 27001 es una normativa internacional que permite asegurar y proteger tu información física y digital.
Para ello, te brinda una serie de requisitos a cumplir para gestionar la seguridad de la información de tu
empresa.
La razón por la que la mayoría de las startups se están certificando en ISO 27001, es porque los
controles, dentro de sus requisitos, son genéricos y globales. Esto quiere decir que pueden aplicarse a
cualquier empresa sin importar su tipo, tamaño o industria.
Y siendo ISO 27001 la normativa más común de cumplimiento de seguridad, aquí te explicamos cómo
funciona, qué debes implementar y por qué es que tarde o temprano te la van a pedir.
En 2005, ISO (International Organization for Standardization) tuvo el interés de crear esta normativa para
formalizar las recomendaciones de seguridad publicadas en los 90 por la BSI (British Standards
Institution).
Al día de hoy, la versión más reciente y actualizada es la del año 2013, mismo año en que se sumó IEC
(International Electrotechnical Commission). Por eso, es formalmente conocida como ISO/IEC
27001:2013.
Al igual que tú y yo, la ISO 27001 forma parte de una gran familia: la serie ISO/IEC 27000. Esto significa
que pertenece a un conjunto de estándares desarrollados para manejar la seguridad de la información.
Pero tranquilo, hoy solo hablaremos de sus dos protagonistas, la ISO 27001 y la ISO 27002.
Podemos pensar al SGSI como un equipo deportivo: tiene reglas de juego (políticas), tiene planificación
de tácticas que todos saben que deben seguir (procedimientos), y luego está la jugada en el campo
(acciones, para poner en marcha los procedimientos).
Lo que debes tener presente es que es el requisito principal para cumplir con la normativa. Te dejamos
por aquí una plantilla para que puedas medir tu SGSI y saber si funciona:
La ISO 27001 tiene un enfoque de procesos, esto significa que sus controles se usan para asegurar que
las operaciones de un negocio agreguen valor y siempre se hagan de forma segura.
Lo que debes saber es que tiene 14 cláusulas, y en un anexo (el Anexo A) te brinda los 114 controles que
debes implementar para cumplir con la normativa.
Sin embargo, la ISO 27001 explica muy brevemente cómo implementarlos, por eso aquí es
recomendable recurrir a la ISO 27002 porque es donde se detalla de forma minuciosa y precisa cada
método necesario para mitigar los riesgos.
Hackmetrix Insight: la ISO 27002 es prácticamente una guía de recomendaciones y buenas prácticas de
cómo implementar la ISO 27001.
De todas formas, sabemos que sigue siendo un poco complejo de entender, por eso nos dimos el lujo de
resumírtelo en un gráfico:
ISO 27001
En otras palabras:
La ISO 27001 es el qué hacer: te dice qué controles debes tener para proteger tu información e
implementar un SGSI.
La ISO 27002 es el cómo hacerlo: cómo llevar a la práctica los 114 controles de seguridad del Anexo A.
Más allá de que haya sido creada por una organización tan reconocida, tus clientes te pedirán que
cumplas con ella porque es un estándar muy completo: proporciona un SGSI que puedes implementar,
mantener y mejorar de forma escalable en tu negocio.
Por otro lado, también analiza y protege los activos que no son únicamente de TI, sino de la seguridad en
los procesos y gestión de una empresa.
Esto es fundamental, porque puedes tener una seguridad de código impresionante pero si los miembros
de tu equipo colocan las claves del Wi-Fi o de sus computadores en un post-it a la vista de todos, tus
esfuerzos no servirán de nada. Es como si en tu casa tuvieras un cofre con dinero con veinte candados
pero la puerta estuviera siempre abierta.
Si no hay procedimientos o planes, no hay seguridad de nada. Y adoptar un SGSI te ayuda a tener una
protección sólida con controles de punta a punta en toda la organización. Por otro lado, también te da la
posibilidad de certificarte y demostrarle a tus clientes que te tomas en serio la seguridad. De hecho, para
algunos clientes es un requisito obligatorio antes de firmar cualquier contrato.
Incluso con algunos corporativos no es necesario llegar a la certificación sino acercarse lo más posible al
cumplimiento de la normativa.
Hackmetrix Insight: recuerda que esta no es la única normativa que existe, ya que hay industrias que
deben cumplir con otras normativas más específicas como PCI DSS o SOC 2. De nuevo, todo depende de
tu tipo de negocio.
Conclusión
La normativa ISO 27001 te dice que para asegurar los datos y la información de tu startup debes crear un
Sistema de Gestión de Seguridad de la Información (SGSI). Como ya lo vimos, el SGSI es un sistema
integral con políticas, procedimientos y acciones para proteger la información.
¿Cómo debes llevar esto a la práctica? La ISO 27002 es la guía que te dirá cómo hacerlo, ya que es donde
se encuentran las buenas prácticas y la información minuciosa de cada control y procedimiento
necesario para cumplir.
También, puedes comenzar a cumplirla creando algunos de los documentos básicos que piden la
mayoría de las normativas.
Ahora ya sabes que el estándar ISO 27001 tiene controles genéricos que aplican a cualquier organización
y es por ello que casi se ha vuelto condición para trabajar con corporativos, porque es sinónimo de tener
un sistema sólido de seguridad de la información: así sea digital o física.
Si ya tienes clientes que te han preguntado por el cumplimiento de la ISO 27001 y tienes dudas de cómo
comenzar o si deberías hacerlo, contáctanos para que te demos una mano.
=====================================================================================
==
https://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/Certificacion-para-ISO-
27001/
Esta certificación nos permite ir un paso más allá, al ofrecer a nuestros clientes la tranquilidad de contar
con los mejores controles para identificar y reducir cualquier riesgo para la información confidencial.
Gap Analysis
Se trata de un servicio opcional de evaluación previa, en el que estudiamos con atención su sistema de
Gestión de Seguridad de la Información existente y lo comparamos con los requisitos de la norma
ISO/IEC 27001. Esto le ayuda a identificar las áreas que requieren más esfuerzo antes de que llevemos a
cabo una Auditoría formal, lo que le ahorra tiempo y dinero.
Auditoría formal
Se produce en dos fases. En primer lugar, revisamos el nivel de preparación de su organización para la
auditoría comprobando si se han desarrollado los procedimientos y controles necesarios para la ISO/IEC
27001. Compartiremos con usted los detalles de nuestras conclusiones para que pueda cubrir aquellas
deficiencias que podamos encontrar. Si se cumplen todos los requisitos, evaluaremos la implantación de
los procedimientos y los controles en su organización, para asegurar que funcionen de forma eficaz, tal
como se exige para la certificación.
Después de la certificación
Tras haber aprobado la auditoría formal, recibirá un certificado ISO/IEC 27001, que tendrá una validez de
tres años. Su gestor de clientes estará en contacto con usted durante este tiempo y le hará visitas con
regularidad para asegurarse de que el sistema no quede anclado en la conformidad, sino que mejore
continuamente.
Ofrecemos diferentes soluciones de certificación y formación para organizaciones de todos los tamaños
en todos los sectores. Manténgase a la vanguardia y evalue sus beneficios, sin compromiso.
Reciba un presupuesto
- TELEPERFORMANCE SPAIN
"Profesionalidad, calidad de las auditorias. Cercanía del auditor a la hora de transmitir su alto
conocimiento en el sistema de gestión."
Explore nuestro itinerario de certificación ISO/IEC 27001, diseñado para ayudarle en cualquier etapa en
la que se encuentre.
Introducción
Introducción
a ISO/IEC 27001
Implantación
Implantación
ISO/IEC 27701
Descubra la mejor manera de implantar un sistema de gestión ISO/IEC 27001 y cómo podemos ayudarle
Certificación
Certificación
ISO/IEC 27001
Próximos pasos
Contactar
Transfiera su certificación a BSI
Consiga el reconocimiento internacional con la Marca de Certificación de BSI y descubra cómo nuestra
experiencia y reputación aporta un valor real a su negocio. Nos centramos en la mejora continua, así
como en mantener su sistema, mostrándole la forma de ampliar y hacer que su negocio crezca. Además,
hacemos que la transferencia de una certificación desde otro organismo de certificación resulte sencillo.
Descubra nuestros cursos de formación ISO/IEC 27001 con BSI Training Academy
Contáctenos
Si hay algo en lo que le podamos ayudar, por favor, no dude en llamarnos al + +34 91 400 86 20
=====================================================================================
===============
Reducción del riesgo: Minimiza el riesgo de fraude, pérdida y divulgación no autorizada de información
sensible, protegiendo así la reputación de tu empresa.
Demostración de integridad: Valida la integridad de tus datos y sistemas, brindando tranquilidad tanto a
tu organización como a tus clientes.
Nuevas oportunidades de negocio: Atrae a clientes que valoran la seguridad y que buscan asociarse con
empresas certificadas, lo que te brinda ventajas competitivas y mayores oportunidades de crecimiento.
Términos y Condiciones
Condiciones de Uso
Política de cookies
Privacidad
===============================================================================
NORMA ISO 27001
https://normaiso27001.es/
ISO 27001 es una norma desarrollada por ISO (organización internacional de Normalización) con el
propósito de ayudar a gestionar la Seguridad de la Información en una empresa.
En este apartado tenemos más información sobre las revisiones ISO 27001
El certificado ISO 27001 le interesa a cualquier tipo de empresa sin importar su tamaño y actividad. El
factor clave para decidir sobre la implantación de un sistema de gestión de la seguridad de la
información radica en la importancia que los activos de información tienen dentro de una organización
como elementos imprescindibles para la obtención de sus objetivos.
Actualmente a nivel mundial la norma ISO 27001 es la norma de referencia para certificar la seguridad
de la información en las organizaciones. De hecho actualmente en España contamos con cerca de 800
empresas certificadas de un total de más de 33.000 certificados a nivel mundial
QUÉ ES UN SGSI
Un sistema de gestión para la Seguridad de la información se compone de una serie de procesos para
implementar, mantener y mejorar de forma continua la seguridad de la información tomando como base
los riesgos que afectan a la seguridad de la información en una empresa u organización
Abordar la seguridad de la información en una organización mediante un sistema de gestión nos aporta
varias ventajas que podemos enumerar:
1 MEJORA CONTINUA
Gestionar la seguridad de la información supone establecer procesos específicos para la gestión que nos
ayuden a:
Esto significa que un sistema de Gestión de la seguridad de la información lejos de complicar la gestión
de la propia organización es una ayuda y una buena herramienta para integrar de forma gradual la
adopción de criterios para mejorar la seguridad de la información dentro de la toma de decisiones en
una empresa
Un sistema de Gestión SGSI basado en ISO 27001 también nos permitirá beneficiarnos de la adopción de
las mejores prácticas del mercado y de la industria en todo el mundo para la seguridad de la información
Un punto no menos importante es la integración del SGSI dentro de la gestión de la propia empresa. Para
ello ISO ha realizado en los últimos años un importante esfuerzo para incorporar una única estructura en
los sistemas de gestión basándose en el ANEXO SL.
Así nos encontramos que desde su última versión ISO 27001:2013 la norma sobre la seguridad de la
información comparte la misma estructura que las normas sobre la gestión de la Calidad ISO 9001 o
Gestión del Medio ambiente ISO 14001, lo que facilita la integración de distintos sistemas de gestión en
una organización
Tipo de procesos
En un sistema de gestión de la seguridad de la información nos encontraremos con dos tipos de procesos
1 Procesos de Gestión:
Propios del sistema de gestión básicamente enfocada a conseguir la revisión y mejora continua del
sistema y que serán comunes a los procesos de gestión de calidad, medioambiente etc.
Procesos propios de la seguridad de la información que se integraran dentro de los procesos propios de
cada actividad empresarial en conjunto con las demás dimensiones como la calidad o el medioambiente
ISO 27001 es la norma Certificable y que contiene los requisitos para implantar un sistema de Seguridad
de la información.
ISO 27002 se trata mas bien de una guía que nos proporciona los posibles controles o instrumentos de
control previamente pensados y diseñados específicamente para abordar los problemas o peligros para
la seguridad de la información. Los peligros para la seguridad de la información han de ser identificados
durante un proceso de evaluación de riesgos formal, previsto en los requisitos de la norma ISO 27001.
ISO 27001 PUNTO POR PUNTO
INTRODUCCION
Como aspectos generales podemos decir que esta norma es aplicable a todo tipo de organizaciones
donde la información es un activo del que dependen los objetivos y resultados de una organización.
En principio podremos pensar que las empresas del Sector TI serian las únicas interesadas en la
implantación de sistemas de Gestión de la seguridad de la información, sin embargo la información es un
activo cada vez más importante en cualquier tipo de actividad por lo que podemos afirmar que gestionar
la seguridad de la información es una necesidad cada vez más importante dentro de cualquier sector de
actividad empresarial
Flexibilidad
Otro aspecto interesante y común a las normas ISO es la aplicabilidad a todo tipo y tamaño de empresas.
La norma en sus requisitos no nos condiciona a cómo debemos cumplir con los requisitos de hecho no
nos condiciona a cumplir los requisitos de una determinada forma
Cada organización deberá encontrar la mejor forma de cumplir con los requisitos de la norma
adaptándose a sus necesidades particulares.
ISO 27001 -1. OBJETO Y CAMPO DE APLICACIÓN. DEFINIENDO EL ALCANCE DEL SGSI
En este capítulo la norma nos da unas indicaciones de la aplicabilidad de la norma ISO 27001 y de cómo
usarla.
De este capítulo podemos sacar como una de las principales conclusiones que la norma 27001 no solo es
aplicable por cualquier tamaño de empresas sino que además podemos concluir que las pequeñas y
medianas empresa tienen en esta normativa una herramienta a su alcance para obtener mayores
beneficios si cabe que las grandes empresas que ya cuentan con herramientas de gestión y que para las
pequeñas y medianas empresas les pueden resultar menos accesibles y costosos.
ISO 27001 pone al alcance de toda la gestión de la seguridad de la información y además a través de la
certificación independiente ofrece la posibilidad a las pequeñas y medianas empresas de competir con
empresas de mayor tamaño que pueden contar con sus propias herramientas de gestión.
En este apartado se hace referencia a la norma ISO/IEC 27000 donde se nos ofrece una visión genérica
sobre los sistemas de Gestión de la Seguridad de la Información (SGSI) y donde se nos habla entre otras
cosas sobre la metodología base PDCA de todos los sistemas de Gestión
El ciclo PDCA de mejora continua, si bien en la versión 27001:2013 no se cita tan explícitamente como en
versiones anteriores de la norma, constituye el marco fundamental sobre el que está construido el
sistema de gestión SGSI.
Como diferencia fundamental con la versión anterior ISO 27001:2005, la revisión 27001:2013 no
establece como referencia obligatoria el anexo 27002, por lo que se dejan únicamente los términos y
definiciones como referencia normativa. Esto significa que se pueden tomar otras guías de controles de
la seguridad de la información distintas a las que propone el anexo en una clara señal para adaptar la
implantación de la norma a todo tipo de sectores.
3. TÉRMINOS Y DEFINICIONES
Con la finalidad de contar con una sola guía de términos y definiciones que sea consistente, dentro de la
norma ISO 27001 se establecen las definiciones sobre el vocabulario fundamental referente a la
seguridad de la Información que va a ser utilizado posteriormente en los requisitos de la norma.
En la actual versión de la norma ISO 27001:2013 los términos y definiciones se encuentran referenciados
en la sección 3 “Fundamento y vocabulario” de la norma ISO 27001:2013 donde se hace referencia a los
términos y definiciones dados en el documento ISO 27000
4. CONTEXTO DE LA ORGANIZACIÓN
Conocer la organización y su contexto se plantea como un requisito de partida para poder establecer un
punto de referencia en la aplicación del sistema de gestión de la seguridad de la información
Se trata de que los objetivos en la seguridad de la información tengan en cuenta los propios objetivos del
negocio de cada organización
5. LIDERAZGO
Los requisitos relacionados con el liderazgo se refieren al compromiso que debe ejercer la dirección de la
empresa en el proceso de implantación de un SGSI. En la revisión ISO 27001:2013 se considera como
algo fundamental la implicación constante de la dirección en la implantación de una Cultura de la
Seguridad en cada organización.
El compromiso de la dirección se verifica con la aportación de los recursos tanto humanos como
materiales para la consecución de los objetivos en la seguridad de la información
Comunicar los objetivos a toda la organización con el objeto de involucrar a todos los empleados con los
objetivos de la seguridad de la información Definir las áreas de responsabilidad y los roles
correspondientes a la seguridad de la información
6. PLANIFICACIÓN
Una vez identificadas las necesidades y expectativas de las partes interesadas tal como nos indica el
punto 4 del contexto de la organización, deberemos establecer un plan definir los riesgos que debemos
tratar y las actividades a realizar para mitigar o evitar dichos riesgos
Selección de controles
7. SOPORTE
En este apartado la norma nos prescribe determinar los recursos necesarios para implementar los planes
que hemos realizado en el apartado anterior 6. Planificación, siempre teniendo en cuenta el compromiso
de la dirección en proveer los recursos necesarios
Por tanto deberemos tener en cuenta
La comunicación y concienciación de todas las de todas las partes interesadas, incluyendo proveedores
externos
Los requisitos de documentación como evidencia del cumplimiento de los requisitos de la norma
8. OPERACIÓN
Este es el capítulo donde ponemos en marcha las medidas para la seguridad de la información que
hemos definido en los capítulos anteriores en concreto
En este capítulo los requisitos estarán orientados al seguimiento y supervisión de los planes de
tratamiento de riesgos y su integración en los procesos
Como parte fundamental de cualquier sistema de Gestión deberemos evaluar el desempeño de las
acciones emprendidas.
10. MEJORA
La mejora del sistema de gestión de la seguridad de la información nos refiere a la actualización continua
del sistema de gestión
Esto incluye la revisión permanente para encontrar oportunidades de mejora aprendiendo por un lado
de los errores cometidos.
ACCIONES CORRECTIVAS
En este apartado tenemos los requisitos para el tratamiento de las No Conformidades como herramienta
para la mejora continua además de las ya vistas como la Auditoria Interna y la revisión por la dirección
Actualmente la versión de la norma ISO/IEC 27001 es la norma en su versión 2013. Veamos de forma
resumida los distintos cambios que ha sufrido la norma
Como punto fundamental la norma ISO 27001:2013 implica una nueva forma de hacer el análisis de
aplicabilidad de los controles basados en el análisis de riesgos.
La declaración de aplicabilidad en ISO 27001:2013 es una consecuencia del análisis de riesgos en ISO
27001:2013
Flexibiliza la elección de metodologías de análisis de riesgos
La identificación de activos pasa a segundo plano en el análisis de riesgos por lo que la norma menciona
solamente la necesidad de “identificar riesgos” que afecten a la seguridad de la información en alguna
de sus dimensiones (confidencialidad, integridad y disponibilidad de la información)
En este sentido deja abierta la posibilidad de utilizar otras opciones para el análisis de riesgos siguiendo
las recomendaciones de la norma ISO 31000 sobre la gestión de riesgos.
La selección de controles puede realizarse en una primera fase seleccionando los controles que se
consideren adecuados con el tipo de actividad sin tener en cuenta un marco de referencia concreto
como los incluidos en el ANEXO A
Introduce la nueva estructura de alto nivel según el Anexo SL por lo que se facilita la integración con
otras normas ISO
En 2017 se han introducido algunas aportaciones o más bien correcciones a la norma ISO 27001:2013.
Veamos en qué consisten:
Activos de información
Se sustituye el término “activos asociados a la información” por “la información y otros activos asociados
a la información”
Con esto se quiere precisar que el objeto de un inventario de activos es la información y sus activos
asociados, en lugar de establecer solamente como requisito el tener un inventario de activos asociados a
la información.
Se elimina la Cláusula 6.1.3 y el Anexo A, control 8.1 sobre la responsabilidad en el uso de los activos de
información en toda la cadena de uso:
Clausula eliminada
Los empleados y usuarios externos que usan o tienen acceso a los activos de la organización deben
conocer los requisitos de seguridad de la información de los activos de la organización asociados con las
instalaciones y recursos de procesamiento de información e información.
En 2017 se ha producido una revisión menor de la norma por lo que no se requiere que las empresas
deban adaptarse a los cambios introducidos y los certificados siguen emitiendo con la versión ISO
27001:2013
Para empresas que están en la fase de análisis de su proyecto de implementación ISO 27001,
probablemente les sea útil una guía explicada desde cero para implementar su SGSI de la forma más fácil
posible.
Aunque de primeras no hay una manera fácil de afrontar la implementación de un SGSI que cumpla con
todos los requisitos de ISO 27001, sin embargo, con esta guía tratamos de hacer su trabajo más fácil:
ISO 27002
La norma ISO 27002 hay que entenderla como un inventario de buenas prácticas para la seguridad de la
Información desarrollado con la experiencia de la implantación de controles para la seguridad de la
información aceptadas por las empresas y organizaciones más importantes del mundo.
Por tanto la norma 27002 se propone como una guía para implantar los controles y medidas de
seguridad. Esta guía debe ser utilizada a modos de CHEK LIST de forma que se realice una selección de
controles aplicables como resultado de un análisis o evaluación de riesgos que determinara no solo que
controles aplicamos si no en que medida o con que recursos.
La norma contiene 114 controles agrupados en 14 capítulos cada uno subdividido en áreas de
seguridad. Por otro lado se consideran categorías u objetivos de control dentro de los cuales se sitúan los
controles asociados a estos objetivos:
A8 GESTION DE ACTIVOS
A9 CONTROL DE ACCESO
A10 CRIPTOGRAFIA
A18 CUMPLIMIENTO
=====================================================================================
=================
ISO/IEC 27001
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar
internacional en octubre de 2005 por la International Organization for Standardization y por la
International Electrotechnical Commission y la última versión fue publicada en octubre de 202
**
AdobeStock_303353858
En la actualidad, la protección de la información es clave para todas las organizaciones a nivel mundial,
ya que existe una enorme cantidad de datos sensibles que deben, por supuesto, ser protegidos. La
norma ISO 27001 es una de las normas más importantes con respecto a la seguridad de la información
de tu empresa.
En este artículo, aprenderás todo lo que necesitas saber sobre la norma ISO 27001, su relación con la
seguridad de la información, cómo implementarla, conseguir su certificación y las ventajas que ofrecen
tanto a la seguridad de tu empresa como a su éxito en el mercado.
SRB
La norma ISO 27001 es un estándar internacional que especifica los requisitos para establecer,
implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información
(SGSI).
Esta norma proporciona un marco que permite a las organizaciones gestionar la seguridad de sus activos
de información, incluyendo datos financieros, propiedad intelectual, detalles del empleado o
información confiada por terceros.
Evaluación de riesgos: Se identifican y evalúan los riesgos a los que está expuesta la información de la
organización.
Revisión y mejora continua: Se revisa regularmente el SGSI para garantizar su efectividad y se realizan
mejoras según sea necesario.
Protección de la información contra amenazas de seguridad. Cumplimiento con las leyes y regulaciones
de seguridad de la información. Mejora de la reputación de la organización. Reducción de los costos
asociados con los incidentes de seguridad de la información.
La certificación ISO 27001 se consigue después de una auditoría realizada por un organismo de
certificación independiente. La auditoría verifica que la organización cumple con todos los requisitos de
la norma ISO 27001. Una vez obtenida, la certificación demuestra que la organización tiene un SGSI que
sigue las mejores prácticas internacionales.
**
NORMA 27002
====================================================================
EL RETASO EN TECNOLOGÍA CON LOS PAÍSES A LOS QUE OS GUSTA COMPARAROS ES EVIDENTE, ES ALGO
TANGIBLE, NO ES UNA OPINIÓN, ES UN DATO REAL.