ISO 27001

TE BOLAÑOS NUÑEZ JOSE MEDARDO

TE SANCHEZ TORRES JUAN CAMILO
TE AVILA ALVAREZ JHON FREDY
 ISO 27001

CONTENIDO
01
Contexto de la organización

02 Operación
Contexto de la
organización
Contexto de la
ISO 27001
organización

• Interno: Aspectos sobre los que la organización

tiene control.

• Externo: Aspectos sobre los que la organización no

tiene control directo.

Un análisis cuidadoso del entorno en el que opera

su organización es fundamental para identificar los
riesgos inherentes a la seguridad de sus activos de
información. El análisis es la base que le permitirá
evaluar qué procesos necesita considerar agregar o
fortalecer para construir un SGSI efectivo.
Contexto ISO 27001
interno
Madurez:
¿Es usted una nueva empresa con un lienzo en
blanco para trabajar, o una institución con
procesos y controles de seguridad bien
establecidos?.
Cultura organizativa
¿Es su organización flexible o rígida respecto a cómo,
cuándo y dónde trabaja la gente? ¿Podría su cultura resistir
la implementación de los controles de Seguridad de la
Información?

Gestión:
¿Existen canales y procesos de comunicación
claros desde los tomadores de decisiones hasta el
resto de la organización?

Organización Recursos
¿Está trabajando con un equipo de seguridad de
la información o solo una persona se encarga de
todo?
Madurez de los recursos:
¿Están los recursos disponibles (empleados/contratistas) bien
informados, totalmente capacitados, son de confianza y son
consistentes, o el personal no tiene experiencia y
cambia constantemente?
 Contexto ISO 27001
interno

Formato de los activos

de información
01 02 Sistemas

Sensibilidad/valor de los
Complejidad del sistema
activos de información

04 03
Consistencia Espacio físico

05
 contexto ISO 27001
externo

ueño
D o
litic
o / Po
01 ic
nom
o
Ec
02 ia
e nc
m pet ras
Co o
Competencia: • Dueño: 03 lad
regu
¿opera en un mercado innovador ¿Necesita aprobación para s
y cambiante, que requiere actualizar la seguridad física? i o ne
c
muchas actualizaciones del
n iza
ga
sistema para mantenerse
competitivo, o en un mercado 04 Or
maduro y estable con poca
innovación?
Organismos Económico/político:
reguladores: ¿Afectan las fluctuaciones
monetarias y políticas a su
¿Existe un requisito en su sector organización?.
para realizar cambios estatutarios,
o hay poca supervisión en su
sector de mercado?
 contexto
ISO 27001
externo

Consideraciones ambientales:
¿Está su sede en una lzona inundable con los
servidores ubicados en un sótano? ¿Existen
factores que hacen que su sede sea objetivo
de ataque terrorista o junto a un posible
objetivo?

Frecuencia de ataques
a la información:
¿Su organización opera en un sector que
regularmente atrae el interés de los
hackers?.

Accionistas:
¿Están preocupados por la vulnerabilidad frente
a las violaciones de datos? ¿Cuán preocupados
están por el costo de los esfuerzos de la
organización para mejorar la seguridad de su
información?
 Partes ISO 27001

interesadas
Una parte interesada es cualquier persona que sea,
pueda ser o se considere afectada por una acción u
omisión de su organización. Sus partes interesadas
serán claras a través del proceso de llevar a cabo un
análisis exhaustivo de los problemas internos y
externos. Probablemente incluirán accionistas,
propietarios, reguladores, clientes, empleados y
competidores y pueden extenderse al público en
general y al medio ambiente, dependiendo de la
naturaleza de su negocio. No tiene que tratar de
comprender o satisfacer todos sus caprichos, pero sí
tiene que determinar cuáles de sus necesidades y
expectativas son relevantes para su SGSI.
 Alcance del
sistema de gestión
Los límites del sitio físico o sitios
incluidos (o no incluidos); .
Los límites de las redes físicas y lógicas
incluidas (o no incluidas)
Los grupos de empleados internos y
externos incluidos (o no incluidos.
Los procesos, actividades o servicios
internos y externos incluidos (o no
incluidos)
Interfaces clave en los límites del
alcance
ISO 27001
Documente o mantenga un archivo de toda la información
recopilada en su análisis del contexto de su organización y las partes
interesadas, tales como:
• Conversaciones con un representante de la gerencia de la
empresa.
• Actas de reuniones o planes de negocios.
• Un documento específico que identifica problemas internos/
externos y partes interesadas y sus necesidades y expectativas. Por
ejemplo, un análisis FODA, estudio PESTEL o evaluación de riesgo
empresarial de alto nivel.
 ISO 27001

Operaciones
 ISO 27001
PLANIFICACIÓN Y
CONTROL OPERACIONAL
La organización debe planificar,
implementar y controlar los procesos
necesarios para cumplir los requisitos
de seguridad de la información y para
implementar las acciones determinadas
las acciones para tratar riesgos y
oportunidades.
La organización también debe
implementar planes para lograr los
objetivos de la seguridad de la
información determinados en los
objetivos de seguridad de la seguridad
y los planes para lograrlo.
!
 ISO 27001
PLANIFICACIÓN Y
CONTROL OPERACIONAL

La organización debe mantener información

documentada en la medida necesaria para tener la
confianza en que los procesos se han llevado a cabo
según lo planificado.

La organización debe controlar los cambios

planificados y revisar las consecuencias de los
cambios no previstos, tomando acciones para mitigar
los efectos adversos, cuando sea necesario.

La organización debe asegurar que los procesos

contratados externamente estén controlados.
VALORACIÓN DE RIESGOS ISO 27001
DE LA SEGURIDAD DE LA
INFORMACIÓN

organización debe llevar a cabo valoraciones de riesgos

de la seguridad de la información a intervalos planificados
o cuando se propongan u ocurran cambios significativos,
teniendo en cuenta los criterios establecidos en la
valoración de riesgos de la seguridad de la información

La organización debe conservar información

documentada de los resultados de las valoraciones de
riesgos de la seguridad de la información
 ISO 27001
Tratamiento
de la información
La organización debe implementar el plan de
tratamiento de riesgos de la seguridad de la
información.

La organización debe conservar información

documentada de los resultados del tratamiento de
riesgos de la seguridad de la información.
GRACIAS
 ISO 27001

Respuesta Kahoot
Respuesta 1 ISO 27001
Respuesta 2 ISO 27001
Respuesta 3 ISO 27001
Respuesta 4 ISO 27001
Respuesta 5 ISO 27001
 ISO 27001

Resultado de kahoot

Puesto Ocupado
Puesto Ocupado

ST Sa c h e z m e d in a St t o r r e s d u a r t e St Pe r e z m e d i n a
 ISO 27001

Trabajo redacción de un hallazgo

 ISO 27001

¿Cómo? En cumplimiento del cronograma de revistas de la

inspección del general del ejercito en el batallón de
credibilidad y confianza se evidencia que no cuenta
¿Dónde? ¿Cuándo?
con un manual que rija los exámenes de poligrafía al
personal seleccionando para el curso de altos estudios
¿Qué? militares para el año 2021 puesto que mencionado
manual de procedimientos no a sido aprobado por el
comandante general de las fuerzas militares

¿Por qué?