SEGURIDAD COMPUTACIONAL

ISO 2701
Sistemas de Gestión la Seguridad de la Información

INSTITUTO TECNOLÓGICO LATINOAMERICANO

18/03/2020 18:24 A3/P3

Introducción...................................................................................................................................2
Definición........................................................................................................................................3
Desarrollo........................................................................................................................................4
Resumen.........................................................................................................................................5
Conclusiones.................................................................................................................................6
Bibliografía......................................................................................................................................8

P á g i n a 1 | 14
Introducción
Las normas ISO son un conjunto de procedimientos que permiten llevar procesos
más estables lo que permite mayor ahora de tiempo y dinero y un aumento en la
seguridad y la calidad de los mismos.
La implantación de dichas normas le ha permito a muchas empresas mejorar la
forma en que llevan a cabo sus procesos y que además trae consigo grandes
benéficos como el poder ser evaluados ante otras empresas, clientes y
proveedores como una empresa competente con procesos que conllevan calidad,
lo que da una mejora en reputación y da mayor confianza ante los clientes y/o
usuarios de sus productos y o servicios.
En la actualidad donde la tecnología hace su presencia en muchos de los
procesos que lleva a cabo una empresa donde el manejo de información de suma
relevancia es necesario y es por esto que la implementación de algunas normas
que permitan garantizar que dichos procesos mantengan esta información segura
se hace necesaria.
La norma ISO 27001 que será vista en este documento es la más adecuada para
estos casos, pero no siendo exclusivamente para este caso, está muy relacionada
a la forma en que se lleva a cabo la gestión de riesgos informáticos para minimizar
su amenaza y con esto garantiza que la información con la que cuenta la empresa
permanezca confidencial, integra y disponible, lo que le permite a las empresas
garantizar la Gestión de la Seguridad de la Información de todos su procesos
internos.

P á g i n a 2 | 14
Definición
Definición de las normas ISO
Las normas ISO son un conjunto de normas orientadas a ordenar la gestión de
una empresa en sus distintos ámbitos. La alta competencia internacional
acentuada por los procesos globalizadores de la economía y el mercado y el poder
e importancia que ha ido tomando la figura y la opinión de los consumidores, ha
propiciado que dichas normas, pese a su carácter voluntario, hayan ido ganando
un gran reconocimiento y aceptación internacional.
Las normas ISO son establecidas por el Organismo Internacional de
Estandarización (ISO), y se componen de estándares y guías relacionados con
sistemas y herramientas específicas de gestión aplicables en cualquier tipo de
organización.
El desarrollo y diversificación de las normas ISO han sido muy importantes,
desdoblándose en diferentes ramas o familias que tratan aspectos diversos como
la calidad, el medio ambiente, la seguridad y riesgos laborales y la responsabilidad
social. El proceso es continuo y periódicamente van apareciendo actualizaciones y
nuevos ámbitos de tratamiento.
Las normas ISO se crearon con la finalidad de
ofrecer orientación, coordinación, simplificación y unificación de criterios a las
empresas y organizaciones con el objeto de reducir costes y aumentar la
efectividad, así como estandarizar las normas de productos y servicios para las
organizaciones internacionales.
Las normas ISO se han desarrollado y adoptado por multitud de empresas de
muchos países por una necesidad y voluntad de homogeneizar las características
y los parámetros de calidad y seguridad de los productos y servicios.
ISO 2701
ISO 27001 es una norma internacional que permite el aseguramiento, la
confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la
Información permite a las organizaciones la evaluación del riesgo y la aplicación
de los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que
mejora la competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas
prácticas o controles establecidos en la norma ISO 27002.

P á g i n a 3 | 14
Secciones en las que se divide la ISO 27001:
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad
con otras normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de
organización. 
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000
como estándar en el que se proporcionan términos y definiciones.
Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma
ISO/IEC 27000.
Sección 4 – Contexto de la organización – esta sección es parte de la fase de
Planificación del ciclo PDCA y define los requerimientos para comprender
cuestiones externas e internas, también define las partes interesadas, sus
requisitos y el alcance del SGSI.
Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo
PDCA y define las responsabilidades de la dirección, el establecimiento de roles y
responsabilidades y el contenido de la política de alto nivel sobre seguridad de la
información.
Sección 6 – Planificación – esta sección es parte de la fase de Planificación del
ciclo PDCA y define los requerimientos para la evaluación de riesgos, el
tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de
riesgos y la determinación de los objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo
PDCA y define los requerimientos sobre disponibilidad de recursos, competencias,
concienciación, comunicación y control de documentos y registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del
ciclo PDCA y define la implementación de la evaluación y el tratamiento de
riesgos, como también los controles y demás procesos necesarios para cumplir los
objetivos de seguridad de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de
Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición,
análisis, evaluación, auditoría interna y revisión por parte de la dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

P á g i n a 4 | 14
Desarrollo

P á g i n a 4 | 14
P á g i n a 5 | 14
Resumen
Las normas ISO son un conjunto de normas orientadas a ordenar la gestión de
una empresa en sus distintos ámbitos. Son establecidas por el Organismo
Internacional de Estandarización (ISO), y se componen de estándares y guías
relacionados con sistemas y herramientas específicas de gestión aplicables en
cualquier tipo de organización.
Las normas ISO se crearon con la finalidad de
ofrecer orientación, coordinación, simplificación y unificación de criterios a las
empresas y organizaciones con el objeto de reducir costes y aumentar la
efectividad, así como estandarizar las normas de productos y servicios para las
organizaciones internacionales.
Las normas ISO se han desarrollado y adoptado por multitud de empresas de
muchos países por una necesidad y voluntad de homogeneizar las características
y los parámetros de calidad y seguridad de los productos y servicios.
ISO 27001 permite el aseguramiento, la confidencialidad e integridad de los datos
y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la
Información permite a las organizaciones la evaluación del riesgo y la aplicación
de los controles necesarios para mitigarlos o eliminarlos.
Estructurada en 11 secciones u un Anexo:
 Sección 0 – Introducción.
 Sección 1 – Alcance.
 Sección 2 – Referencias.
 Sección 3 – Términos y definiciones.
 Sección 4 – Contexto de la organización.
 Sección 5 – Liderazgo.
 Sección 6 – Planificación.
 Sección 7 – Apoyo.
 Sección 8 – Funcionamiento.
 Sección 9 – Evaluación del desempeño.
 Sección 10 – Mejora.
 Anexo A.

P á g i n a 5 | 14
Conclusiones
Hoy en día la información que puede tener una empresa almacenada ya sea sobre
sus clientes o los procesos que realiza, es uno de los bienes cono más valor que
una organización podría tener y por tanto debe establecer las medidas necesarias
para poder llevar a cabo las contingencias necesarias.
Es por ello que la norma creada por ISO es una buena alternativa a implementar
por todas aquellas empresas que están preocupadas por cómo se llevar la Gestión
de la Seguridad de la Información.
La ISO 27001 es una norma diseñada para establecer las pautas que permitirán
implementar los procesos necesarios y mejorar aquellos que ya existen en la
empresa, es parte de la gestión global del riesgo en una empresa por lo que varias
cosas que son esenciales para la funcionalidad de una empresa pueden estar
relacionadas entre sí.
Como tal esta norma esta dividida en 11 secciones más un anexo; de la sección 0
a la 3 no son obligatorias para la implementación dentro de la empresa, pero de
las secciones 4 a 10 son obligatorias, lo que implica que la organización debe
implementar todos sus requerimientos de estas secciones si quiere cumplir con la
norma.
Esto permitirá reflejar los objetivos que la organización se ha marcado en materia
de seguridad de la información y establecer las principales líneas de actuación que
tiene que permitir proteger todos los datos frente a las pérdidas, garantizando la
integridad, confidencialidad y disponibilidad de la misma.
Como tal esta norma es uno de los pilares del Sistema de Gestión de Seguridad
de la Información lo que facilitar a la organización la identificación de los posibles
riesgos y amenazas en su entorno.
La aplicación de esta norma, aunque puede parecer complejo llevar a cabo su
implementación, el simple hecho de lograr la certificación conllevara grandes
beneficios de la empresa ya que como tal:
- Aumenta la confiabilidad de las empresas ante otras organizaciones y
clientes potenciales lo cual le dará mayo ventaja competitiva ante otras
empresas del mismo rublo.
- Debido a la estrecha relación que existe de esta norma con la promulgación
de leyes, normativas y requerimientos contractuales relacionados con la
seguridad de la información, al aplicar la norma se proporciona una
metodología perfecta para cumplir con todos ellos.
- Gracias a que esta norma se enfoca en evitar que se produzcan incidentes
de seguridad, los costos por resolver estos incidentes se ven reducido en
gran medida.

P á g i n a 6 | 14
- Debido al constante crecimiento de las empresas es necesario que estas
puedan llevar un control sobre los procesos que realizan, la norma 27001
ayuda a resolver este tipo de situaciones ya que alienta a las empresas a
escribir sus principales procesos lo que les permite reducir el tiempo
perdido de sus empleados y mejorar su rendimiento.

P á g i n a 7 | 14
Bibliografía
Advisera. (s.f.). ¿Qué es norma ISO 27001? Obtenido de advisera.com:
https://advisera.com/27001academy/es/que-es-iso-27001/

ISOTools Excellence. (19 de Marzo de 2015). ¿Qué son las normas ISO y cuál es su finalidad?
Obtenido de isotools.org: https://www.isotools.org/2015/03/19/que-son-las-normas-iso-
y-cual-es-su-finalidad/

ISOTools Excellence. (s.f.). ISO 27001. Obtenido de isotools.org:

Normas ISO. (s.f.). ISO 27001 SEGURIDAD DE LA INFORMACIÓN. Obtenido de normas-iso.com:

P á g i n a 8 | 14