Facultad de Ciencias Empresariales

Licenciatura en Administración de Negocios

Tema: Norma ISO 27001

Curso: Sistemas de Información

Alumna: María José Chaverri Pérez

Profesor:

Fecha de entrega: 27/02/2022

Tabla de contenidos
Investigar en la Internet o en literatura especializada los principales aspectos
de la Norma
ISO 27001 Sistema de Gestión de Seguridad de la Información:
1.1. Principios básicos de un Sistema de Seguridad de la Información
(SGSI)
Los principios básicos en los que se basa el sistema de gestión son los siguientes:
INTIMIDAD: Todo acceso de las personas que no estén autorizados para acceder
a la información a proteger dentro de la organización esta cerrada, para evitar la
divulgación de esta información de personas que no estén autorizadas.
USABILIDAD: La información debe estar lista y disponible para usar, incluso si la
organización está presentando algún problema, solo las personas que tienen
acceso a la información podrán tener acceso.
INTEGRIDAD: La información está accesible para todas aquellas personas que no
han cambiado y están autorizadas de manera constante, si la información es
alterada la integridad de la información no se puede mencionar.
1.2. Alcance de la Norma ISO 27001.
Nos permite identificar la información que vamos a proteger, Por ejemplo, si
se utilizan portátiles que sus empleados necesitan para el desempeño de su
trabajo, esto no significa que estos portátiles estén fuera del alcance del SGSI.
Por tanto, deben incluirse en su alcance si a través de estos portátiles los
empleados pueden acceder a su red local y las informaciones sensibles o a
los servicios que se encuentran en su red.
Comprenda la organización: Cuando el alcance de un SGSI se define por la
necesidad de proteger un activo en particular es importante entender primero
los componentes del sistema y la estructura involucrada en la entrega de los
servicios relevantes.
Asegurar el apoyo al alcance del SGSI
El alcance de un SGSI, política, proyecto o auditoría, etc. debe ser respaldado
y acordado formalmente por las principales partes interesadas relevantes. Si
no se identifica correctamente y se acepta formalmente el alcance
seguramente tendremos dificultades para realizar el plan de implantación del
SGSI.
Monitorear y revisar
El alcance de un SGSI, política, auditoría o proyecto no es estático y puede
evolucionar con el tiempo a medida que se desarrollan las circunstancias, las
amenazas, las tecnologías y los requisitos. Por lo tanto, el alcance no es algo
que deba hacerse una vez al comienzo de un proyecto y luego se lo olvide.

Motivos para revisar el alcance del SGSI

  Cambios en el entorno regulatorio
 Actualizaciones a estándares o en requisitos de terceros
 Cambio en la organización (por ejemplo, cambios en la estructura de la
organización)
 No conformidades o incidentes que indiquen alcance incorrecto
 Madurez general del SGSI (el alcance puede aumentar con el tiempo)
 Cambio en los procesos y las prácticas (por ejemplo, el cese de ciertas
actividades)
 Cambios en la externalización de servicios

1.3. Contexto de la organización.

EL CONTEXTO DEL SGSI

Se trata de definir los parámetros externos e internos que deben tenerse en
cuenta al gestionar el riesgo:

EL CONTEXTO EXTERNO

Se trata de definir los parámetros externos e internos que deben tenerse en

cuenta al gestionar el riesgo.

El contexto externo puede incluir:

 El entorno social y cultural, político, legal, regulatorio, financiero,

tecnológico, económico, ambiental
 El entorno competitivo, ya sea internacional, nacional, regional o local;
 Los factores clave del negocio y las tendencias que tienen impacto en
los objetivos de la organización;
 Las percepciones y los valores de las partes interesadas externas
(contratistas, clientes, administraciones públicas etc.).
EL CONTEXTO INTERNO

El contexto interno incluye cualquier cosa dentro de la organización que pueda

influir en la forma en que una organización administrará su riesgo de seguridad
de la información.

El contexto externo puede incluir:

 El gobierno y administración, la estructura organizacional, los roles y

responsabilidades;
 Las políticas, los objetivos y las estrategias que existen para
alcanzarlos;
  Capacidades, entendidas en términos de recursos y conocimiento (por
ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
 Las relaciones con las percepciones y valores de las partes interesadas
internas;
 La cultura de la organización;
 Los sistemas de información, flujos de información y procesos de toma
de decisiones (tanto formales como informales);
 Normas, directrices y modelos adoptados por la organización y la forma
y el alcance de las relaciones contractuales.
1.4. Definición de un plan de tratamiento de riesgos.
Existes 6 aspectos básicos para realizar el plan de tratamiento de riesgo
Determinar los Controles
Todos los Controles del Anexo A de la norma ISO 27001 deberán ser
implementados en nuestra organización, a no ser que no nos apliquen. Así que
tendremos que revisar uno a uno, indicando si nos aplica o no, y dando las
razones de inclusión o exclusión en cada caso. Esta información estará
contenida en la Declaración de Aplicabilidad, que es un documento exigido por
la norma ISO 27001.

Los Controles que podemos implementar en nuestra empresa, son:

Controles del Anexo A: Los controles del Anexo A de la norma ISO 27001
que nos resulten de aplicación. Es una lista de mínimos, por lo que deberemos
implantar todos los que sean coherentes con nuestra actividad.
Controles de otras fuentes: Otros Controles extraídos de listas oficiales,
legislación aplicable u otras normas ISO. Como puede ser los Controles
exigidos por la Ley Orgánica de Protección de Datos.
Controles propios: Controles personalizados y propios de nuestra empresa,
adaptados a su actividad, su entorno y a sus condiciones particulares.

Planificar y aprobar
Una vez tengamos claro los Controles que tenemos que implantar en nuestro
Sistema de Gestión de la Seguridad de la Información, es el momento de
planificar como lo vamos a hacer. No todos los Controles son igual de fáciles y
rápidos de aplicar, y muchos pueden llevar asociados gastos de material o la
subcontratación de servicios.

Un Plan de Tratamiento de Riesgos, deberá contener al menos:

Los objetivos: Por un lado definiremos el Objetivo del Plan de Tratamiento de

Riesgos, que siempre estará asociado a reducir los riesgos a niveles
aceptables para la organización. Y por otro lado los objetivos particulares de
cada Control, que variarán en cada caso.
 Plazos de ejecución: El plazo de ejecución del Plan de Tratamiento de
Riesgos, vendrá fijado por las acciones y tareas que contenga. Asi que los
Controles más complejos de implantar, serán los primeros en abordar, y los
que determinarán cuando finaliza el Plan.
Responsables: Toda acción o tarea definida en el Plan de Tratamiento de
Riesgos deberá tener un responsable. Lo habitual es asignar un responsable
por cada Control a implantar o mejorar, que se preocupe de cumplir los plazos
y alcanzar los objetivos fijados para dicho Control.
Presupuestos y recursos: Todas las Acciones definidas incluirán horas de
dedicación de personal propio de la empresa, que deben ser cuantificadas y
valoradas. Pero otras acciones requerirán la compra de equipos o
subcontratación de servicios, que hay que tener muy en cuenta.
Indicadores y métricas: Quizás sea el punto más complejo de definir, dado
que encontrar una métrica objetiva que nos ayude a determinar si se ha
alcanzado el objetivo esperado, con la implantación u optimización de un
determinado Control, no suele ser fácil. La norma ISO 27004, nos puede
ayudar en esta complicada labor
1.5. Implementación de controles.

Está compuesto por 114 controles de seguridad agrupados en 14 secciones.

Entre ellas encontramos lo siguiente:
A.5: Políticas de Seguridad de la Información: hace referencia a los controles
sobre cómo escribir y revisar políticas de seguridad.
A.6: Organización de la Seguridad de la información: los controles se encargan de
establecer responsables. Al mismo tiempo también se centra en dispositivos
móviles y situaciones como la de teletrabajo.
A.7: Seguridad de los Recursos Humanos: controles para las situaciones previas y
posteriores referentes a la contratación y finalización de contrato de personal.
A.8: Gestión de Recursos: establecidos para realizar inventario, clasificación de
información y manejo de los medios de almacenamiento.
A.9: Control de Acceso: control del acceso tanto a la información como a
aplicaciones u otro medio que contenga información.
A.10: Criptografía: controles para gestionar encriptación de información.
A.11: Seguridad física y ambiental: controles para garantizar factores externos,
seguridad de equipo y medios que puedan comprometer la seguridad
.A.12: Seguridad Operacional: controles relacionados con gestión de la protección
de malware o vulnerabilidades.
A.13: Seguridad de las comunicaciones: Control sobre la seguridad de las redes,
transmisión de información, mensajería…
A.14: Adquisición, desarrollo y mantenimiento de Sistemas: controles que
establecen los requisitos de seguridad en desarrollo y soporte.
A.15: Relaciones con los proveedores: incluye lo necesario a la hora de realizar
contratos y seguimiento a proveedores.
A.16: Gestión de Incidentes en Seguridad de la Información: sirven para reportar
eventos las debilidades, así como procedimientos de respuesta.
A.17: Aspectos de Seguridad de la Información de la Gestión de la Continuidad
del Negocio: referidos a la planificación de continuidad de negocio.
A.18: Cumplimiento: control relacionado a la hora de identificar regulaciones
relacionadas con seguridad de la información y hacer que se cumplan como
podemos ver, no solo los controles son aplicables a la ciberseguridad, sino a todos
los ámbitos

https://www.turcert.com/es/belgelendirme/sistem-belgelendirme/iso-27001-bilgi-guvenligi-
yonetim-sistemi/iso-27001-bilgi-guvenligi-yonetim-sistemi-temel-prensipleri-nelerdir

https://isowin.org/blog/plan-tratamiento-riesgos-ISO-27001/

https://www.pmg-ssi.com/2020/03/anexo-a-en-iso-27001-objetivos-de-control-y-controles-de-
referencia/