Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO27001:2014
EL ABORADO POR: ISAURA GUADALUPE SARMIENTO
PANTI
NORMA ISO 27001:2014
El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha
provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven
una revolución tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a
un avance en las tecnologías conocidas como SMAC (las siglas inglesas de social, móvil,
analíticas y nube).
Otra novedad es que la nueva versión de la norma intensifica y refuerza la mejora continua,
fundamentándose en el ciclo Deming o PHVA (Planificar, Hacer, Verificar y Actuar).
La Política de Seguridad de la Información de una organización debe definir las decisiones que ha tomado la
organización en relación a la seguridad del almacenamiento y procesamiento de la información. Este conjunto
de decisiones debería basarse en requisitos legales y regulatorios, en la demanda del mercado, en los
objetivos de negocio y en la filosofía y cultura de la empresa.
Todos los miembros de la organización, deben conocer la Política de Seguridad de la Información y deben
comprometerse a cumplirla.
A.6 Organización de la Seguridad de Información
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la
seguridad de la información dentro de la organización.
• Un Comité de Gestión de Seguridad de Información Objetivo: Establecer un marco de referencia de gestión para
iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.
A.7 Seguridad en los Recursos Humanos
Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y son
convenientes para los roles para los que se les considera.
Responsabilidad por los Activos: Lograr mantener la protección adecuada de los activos de la organización. Todos los
activos se deben incluir y deben tener un dueño designado. Se deben identificar los dueños para todos los activos y
asignar la responsabilidad para el mantenimiento de los controles adecuados.
A.9 Control de Accesos
Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información.
Como parte de este dominio se desarrollan los lineamientos para la política de control de acceso, la gestión de
accesos de usuarios, los controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información.
Además incluye las consideraciones para el manejo de ordenadores portátiles y teletrabajo.
A.10 Criptografía
Objetivo: Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad
y/o integridad de la información.
La introducción de algún control tiene que determinarse siempre conforme a la identificación de cualquier riesgo
que la empresa no asume, y cuya inversión no puede llegar a más que el valor del activo el cual se protege, por lo
que entonces no llegaría a ser rentable.
A.11 Seguridad Física y Ambiental
Objetivo: Impedir acceso físico no autorizado, daño e interferencia a la información y a las instalaciones de
procesamiento de la información de la organización.
Los instalaciones que estén involucradas con los activos de información deben cumplir con las normas de
seguridad física y ambiental, para garantizar que la información manejada en éstas permanezca siempre
protegida de accesos físicos por parte de personal no autorizado o por factores ambientales que no se puedan
controlar.
Intercambio de la Información
Mantener la seguridad de la información y del software que se intercambian dentro de la
organización y con cualquier entidad externa.
A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas
Objetivo: Garantizar que la seguridad de la información es una parte integral de los sistemas de
información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de
información que proporcionen servicios sobre redes públicas.
Este domino está dirigido a aquellas organizaciones que desarrollen software internamente o que tengan
un contrato con otra organización que sea la encargada de desarrollarlo. Se tiene que establecer los
requisitos en la etapa de implementación o desarrollo del software para que sea seguro.
(RSE) Responsabilidad Social Empresarial: “Hacer negocios basados en principios ético y apegados a la ley .
La empresa (no el empresario) tiene un rol ante la sociedad, ante el entorno en el cual opera.
A.16 Gestión de Incidentes de Seguridad de la Información
Objetivo: Asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad de la información,
incluyendo la comunicación sobre eventos de seguridad y debilidades.
Un incidente de seguridad es un evento o un conjunto de eventos, no deseados o no esperados, que tienen una
probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la información.
El procedimiento de gestión de incidencias debe documentar cláramente los roles y responsabilidades de los actores
participantes.
A.17 Aspectos de la Seguridad de la Información
dentro de la Continuidad
el Negocio
Objetivo: La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de
continuidad del negocio de la organización.
A.18 Cumplimiento
Objetivo: Evitar infracciones de las obligaciones legales, estatutarias , regulatorias o contractuales relacionadas
a la seguridad de la información y a cualquier requisito de seguridad.