UNIVERSIDAD DEL CARIBE

ESCUELA DE NEGOCIOS

TÍTULO DEL TRABAJO DE INVESTIGACIÓN

ANÁLISIS DE LA ISO 27001

ASIGNATURA
AUDITORIA DE SISTEMA

SUSTENTADO POR
JEAN CARLOS SANTOS

DOCENTE
LENIN ARTURO ALCANTARA

SANTO DOMINGO, D. N., REPUBLICA DOMINICANA

ABRIL DEL 2020
 INDICE
INTRODUCCION.................................................................................................................3

Investigar a fondo sobre ISO 27001.................................................................................4

Estructura de la norma ISO 27001....................................................................................5
Novedades de la ISO 27001..............................................................................................6
Software para ISO 27001...................................................................................................6
Antecedentes Históricos de ISO 27001............................................................................7
Importancia de la implementación de la Norma ISO 27001 para un negocio............9
Importancia de la aplicación de la Norma ISO 27001..................................................10
Ventajas de ISO 27001 para la empresa.......................................................................11
¿Cuáles empresa necesitan de la implementación de esta Norma?........................13
Empresas que han implementado exitosamente esta norma.....................................13

CONCLUSION....................................................................................................................15
BIBLIOGRAFIA...................................................................................................................16
ANEXOS..............................................................................................................................17
 INTRODUCCION
Como introducción al tema se puede decir que esta Norma Internacional ha sido
preparada para proporcionar un modelo para implementar  y mejorar un Sistema
de Gestión de Seguridad de la Información (SGSI). Esta Norma Internacional
puede ser utilizada con el fin de evaluar la conformidad por las partes interesadas
internas y externas. Una organización debe identificar y gestionar numerosas
actividades con el fin de funcionar eficazmente.

 El diseño y la implementación de un SGSI organización está influida por sus

necesidades y objetivos además de sus  requisitos de seguridad  y la estructura de
la organización. Se espera que la implementación del SGSI se incremente de
acuerdo con las necesidades de la organización, por ejemplo, una situación simple
SGSI requiere una solución sencilla.

Cualquier actividad utilizando los recursos y gestión a fin de permitir la

transformación de insumos en productos puede ser considerado como un proceso.
A menudo el resultado de un proceso de forma directa la entrada del siguiente
proceso.  La aplicación de un sistema de procesos dentro de una organización,
junto con la identificación y  interacciones de estos procesos, y su gestión, puede
ser denominado un enfoque de proceso.

Esta norma cubre todos los tipos de organizaciones y especifica los requisitos
para la aplicación de controles de seguridad adaptados a las necesidades de las
mismas o partes de ellas.  Además está diseñado para garantizar la selección de
los controles de seguridad adecuadas y proporcionadas para proteger los activos
de información y dar confianza a las partes interesadas.

Los requisitos establecidos en esta norma internacional son genéricos y se

pretende que sean aplicables a todas las organizaciones, independientemente del
tipo, tamaño y la naturaleza.

Página 3
Investigar a fondo sobre ISO 27001.

ISO 27001 es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.

El estándar ISO 27001 para los Sistemas Gestión de la Seguridad de la

Información permite a las organizaciones la evaluación del riesgo y la aplicación
de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que

mejora la competitividad y la imagen de una organización.

La Organización Internacional de Estandarización (ISO, por sus siglas en inglés)

estableció la norma ISO 27001, que se emplea para la certificación de los
sistemas de gestión de seguridad de la información en las organizaciones
empresariales. Brinda una norma internacional para sistemas de gestión de
seguridad de la información.

Con la certificación del uso de la norma ISO 27001:2013, la empresa puede

demostrar a sus clientes actuales y potenciales, así como a sus proveedores y
accionistas, la integridad en el manejo de la seguridad de la información. También
le posibilita reforzar la seguridad de la información y disminuir los riesgos de
fraude, pérdida o filtración de información.

Basada en el estándar BS 7799, el cual fue sustituido por esta norma, se la ha

reorganizado para alinearse con otras normas internacionales. Fueron
incorporados nuevos controles, poniendo énfasis en las métricas para la seguridad
de la información y la gestión de incidentes.

Página 4
Estructura de la norma ISO 27001
Objeto y campo de aplicación: La norma comienza aportando unas orientaciones
sobre el uso, finalidad y modo de aplicación de este estándar.

Referencias Normativas: Recomienda la consulta de ciertos documentos

indispensables para la aplicación de ISO27001.

Términos y Definiciones: Describe la terminología aplicable a este estándar.

Contexto de la Organización: Este es el primer requisito de la norma, el cual

recoge indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.

Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la

organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política
de seguridad que conozca toda la organización y ha de asignar roles,
responsabilidades y autoridades dentro de la misma.

Planificación: Esta es una sección que pone de manifiesto la importancia de la

determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos
de Seguridad de la Información y el modo de lograrlos.

Soporte: En esta cláusula la norma señala que para el buen funcionamiento

del SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.

Operación: Para cumplir con los requisitos de Seguridad de la Información, esta

parte de la norma indica que se debe planificar, implementar y controlar los

Página 5
procesos de la organización, hacer una valoración de los riesgos de la Seguridad
de la Información y un tratamiento de ellos.

Evaluación del Desempeño: En este punto se establece la necesidad y forma de

llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.

Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia de
mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Novedades de la ISO 27001

Esta norma fue publicada recientemente, aportó una serie de cambios con
respecto a su antecesora que los usuarios de los SGSI tienen que asimilar para
continuar gestionando de forma eficaz la Seguridad de la Información. Las
novedades que manifiesta son:
No aparece la sección “Enfoque a procesos” con su respectiva metodología
basada en el ciclo PHVA, ahora ofrece mayor flexibilidad.

Se elimina la obligatoriedad de algunos documentos, conservando únicamente la

declaración de aplicabilidad.

Se han revisado los requisitos y controles.

Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y
operación.

Software para ISO 27001

La Plataforma ISOTools facilita la automatización de la ISO 27001

Página 6
La ISO27001 para los SGSI es sencilla de implantar, automatizar y mantener con
la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA

(Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y
mejorar el Sistema Gestión de la Seguridad en la Información, así como se da
cumplimiento de manera complementaria a las buenas prácticas o controles
establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de

la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

Antecedentes Históricos de ISO 27001.

La ISO 27001 es la norma ISO que establece los requisitos para implantar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información.
Este estándar internacional fue publicado como tal por la International
Organization for Standardization y por la comisión International Electrotechnical
Commission en octubre del año 2005 y actualmente es el único estándar aceptado
a nivel internacional para la gestión de la Seguridad de la Información.

La ISO 27001 como la conocemos hoy en día, ha sido resultado de la evolución de

otros estándares relacionados con la seguridad de la información.

La ISO 27001 es la norma que especifica los requisitos necesarios para

establecer, implementar y mantener un Sistema de Gestión de Seguridad de la
Información.

Página 7
Este estándar internacional fue publicado como tal en octubre del año 2005 por la
International Organization for Standardization y por la comisión International
Electrotechnical Commission.

La ISO 27001 se complementa con las mejores prácticas ISO 27002. Pero la ISO
27001, tal y como la conocemos actualmente ha sido fruto de una evolución en las
últimas dos décadas.

La historia de la ISO 27001 se remonta a 1901 cuando, la entidad normalizadora

británica BSI (British Standards Institution) con carácter internacional publica
normas con el prefijo “BS”, normas que son origen de las actuales ISO 9001, ISO
14001, OHSAS 18001

En el caso de la actual ISO 27001, su origen fue la BS 7799-1, publicada

en 1995 de. Se trataba de una serie de mejores prácticas para ayudar a las
empresas británicas a administrar la Seguridad de la Información. Se trataba de
recomendaciones que no daban opción a ningún tipo de certificación ni establecía
la forma de conseguirla.
Esta norma tuvo una segunda parte, BS 7799-2, en 1998. Es este caso establecía
los requisitos a cumplir para tener un Sistema de Gestión de Seguridad de la
Información certificable.

Ambas partes fueron revisadas en el año 1999 y en el año 2000 la Organización

Internacional para la Estandarización (ISO) tomó la norma británica BS 7799-1 que
dio lugar a la llamada ISO 17799. En este momento la norma no experimentó
grandes cambios, pero en el año 2001 fue revisada de acuerdo a la línea de las
normas ISO.

En 2002 se publicó una nueva versión de la BS 7799 que permitió la acreditación

de empresas por una entidad certificadora en Reino Unido y en otros países.

Página 8
Fue en el año 2005 cuando aparece ya el estándar ISO 27001 y la ISO 17799 se
modifica danto lugar a la ISO 27001:2005 publicación formal de la revisión.

En 2007 la ISO 17799 se renombra y pasa a ser la ISO 27002:2005

En 2007 se publica la nueva versión ISO 27001:2007 y dos años más tarde se
publica un documento adicional de modificaciones llamado ISO
27001:2007/1M:2009.

Esta norma es conocida en Chile como NCh-ISO27001, en España como UNE-

ISO/IEC 27001:2007, en Colombia como NTC-ISO-IEC 27001, en Venezuela
como Fondonorma ISO/IEC 27001, en Argentina como IRAM-ISO IEC 27001, en
México como NMX-I-041/02-NYCE y en Uruguay como UNIT-ISO/IEC 27001. 

A finales de este año 2013 se publicará la nueva versión de la ISO 27001 que

traerá cambios en la estructura, en la evaluación y tratamiento de los riesgos,
entre otros que comentaremos en próximos artículos.

ISOTools es la Plataforma Tecnológica que le facilita la implementación,

mantenimiento y automatización de los Sistemas de Gestión de Seguridad en la
Información conforme a la norma NCh-ISO 27001 y da cumplimiento de manera
complementaria a las buenas prácticas o controles establecidos en NCh-ISO
27002.

Importancia de la implementación de la Norma ISO 27001 para un

negocio.

Existen diferentes motivos por los que implementar la norma ISO 27001. Dicha
norma describe cuales son las buenas prácticas a la hora de implementar un

Página 9
Sistema de Gestión de Seguridad de la Información. Es necesario que se ayude a
las empresas a mejorar la seguridad, cumplir con las regularidades, proteger y
mejorar su reputación.

Implementar la norma ISO 27001 requiere de tiempo y esfuerzo. Durante el post

de hoy queremos ofrecerle una serie de pasos a seguir para que
la implementación de la norma sea mucho más sencilla.

La norma técnica Iso 27001 es importante porque la misma determina la forma en

la que se debe administrar gran parte de la información y en qué momento puede
decantarse; por ejemplo, ¿podrías imaginarte cuántas transacciones almacena la
central de un banco al día?: transacciones, retiros, quejas, abonos, traspasos,
pagos, entre otras… Sin embargo, hasta cierto punto, la información se vuelve
obsoleta. En este punto se aplica la norma para saber qué información es útil, en
qué lapso y hasta cuándo es posible almacenarla o destruirla.

Si resulta que uno de tus clientes viene de forma desesperada a solicitarte el

último movimiento del año anterior, debes detallárselo en el menor tiempo posible
y con todos los datos que él necesita. Esto implica que tengas categorizada la
información de diferentes formas y que además la tengas almacenada en lugares
en donde no todo el mundo pueda manipularla. ¿Puedes imaginar si estos datos
los necesita porque en su cuenta se registró un desfalco de mil dólares y el
reembolso depende de lo que tú le puedas entregar?

Entregar información detallada aumentará la satisfacción de tu cliente y, en

consecuencia, mejorarás tu recordación de marca, por lo que la implementación
de la Norma Técnica ISO 27001 será un aliado a la hora de mantener relaciones
perdurables con tus clientes.

Importancia de la aplicación de la Norma ISO 27001

Página 10
Compromiso y sensibilización:
Este compromiso está relacionado con la disposición que tiene toda la
organización para conocer los principios y la cultura de la seguridad en toda la
organización.

Organización:
La norma Iso 27001 establece cuál debe ser la estructura organizativa que
determina cómo será el proceso que permitirá organizar la información.

Análisis de procesos y servicios:

No basta con la estructura, la norma también analiza los procesos que aseguran el
buen funcionamiento del Sistema de Gestión de la Seguridad de la Información.

Gestión de riesgo:
Ahora bien, gracias al análisis de los procesos es posible determinar cuáles son
los riesgos de cada etapa de la implementación de la norma, de modo que los
activos evaluados permiten evitar errores en los diferentes niveles de la
implementación.

Mejora continua:
Como notarás, el proceso permite integrar diferentes fases que hacen de la
implementación un proceso metódico; en este caso, la gestión del riesgo permite
establecer cuáles son los factores por mejorar para que aumente la productividad
y para conocer cuál metodología es útil a la hora de evaluar el rendimiento del
trabajo y perfilar aspectos que se deban mejorar.

Este estándar es una de las garantías que puedes ofrecerles a tus clientes, pues
es innegable que nadie quiere que utilicen sus datos personales ni su información
en su contra o para sacar algún tipo de provecho que no lo beneficie.

Página 11
Ventajas de ISO 27001 para la empresa
Cuatro ámbitos empresariales diferentes se benefician de esta norma: por un lado,
la certificación ISO 27001 es una base para aplicar requerimientos legales.
Además, aporta una ventaja competitiva, ya que no todas las empresas disponen
de ella. Las que sí han obtenido dicho certificado pueden demostrar a sus clientes
que gestionan informaciones delicadas de forma segura. Puesto que, con el
cumplimiento de la norma, se reduce el riesgo de fallos en la seguridad de la
información, ISO 27001 también permite reducir costes al evitar las caras
reparaciones de tales incidentes.
Una certificación ISO 27001, además, optimiza los procesos en la empresa. Los
tiempos de inactividad de los trabajadores se minimizan gracias a la
documentación de los principales procesos empresariales.

Otras ventajas son:

 La reducción de los riesgos empresariales
 La reducción de los riesgos de responsabilidad
 Primas de seguros más bajas
 Un reconocimiento fiable de problemas y amenazas

Página 12
¿Cuáles empresa necesitan de la implementación de esta Norma?

La empresa que deben instalar esa norma son las instituciones financieras a nivel
nacional ya que es un ente donde se maneja las mayores informaciones de
personas, tanto económica como civilmente. Y la misma es una via la cual las
personas pueden extraer informaciones las cuales pueden ser perjudicada a
cualquier ciudadano.

Empresas que han implementado exitosamente esta norma.

vicepresidencia de la república dominicana.

La institución que existozamente la han utilizado es la vicepresidencia de la
republica la cual la utilizo para el sistema único de beneficiario la cual realizo un
proyecto que tenia como nombre, “Diseño e Implementación de un Sistema de
Gestión de Calidad Integrado.

el Sistema Único de Beneficiarios es definido como parte fundamental de su

política y de su estrategia la protección de la información contenida en su base de
datos, integrando un Sistema de Seguridad de la Información basado en la norma
UNE-ISO/IEC 27001. La necesidad de mejorar la calidad de los servicios del
Sistema Único de Beneficiarios (SIUBEN), alcanzar la satisfacción de los clientes y
programas usuarios y mejorar la calidad de la gestión de la información se
consigue a través de procesos normalizados y controlados sistemáticamente que
permiten evaluar el grado de avance y el logro del propósito. La evolución de la
sociedad y la transformación del contexto en que se desenvuelven las
organizaciones que prestan servicios, exige una renovación de la Administración;
y los ciudadanos como beneficiarios de los subsidios sociales que otorga el
Gobierno Dominicano, tienen pleno derecho a conocer cuáles son los beneficios
que le corresponden, las instituciones estatales que los prestan y a recibirlos con
la mayor calidad y sentirse confiados al proveer informaciones personales

Página 13
confidenciales, además cada día se da mayor importancia al uso de la
información. Esta idea es la que motivó a implantar un Sistema de Gestión
Integrado de Calidad y de Seguridad de la Información y que se ha convertido en
uno de los Objetivos Operativos principales del SIUBEN para el Año 2014.

El SIUBEN fue creado por el Gobierno Dominicano, mediante el Decreto Núm.

1073- 04 de fecha 31 de agosto del 2004, siendo la Institución del Estado
responsable de llevar a cabo los estudios socioeconómicos para identificar,
caracterizar, registrar y priorizar las familias potenciales beneficiarias de los
subsidios sociales que se ejecuten con fondos gubernamentales. En fecha 18 de
agosto del 2007, mediante el Decreto No.426-07, el Poder Ejecutivo declaró al
SIUBEN como una entidad adscrita al Gabinete Social de la Presidencia, le definió
sus funciones y estableció sus 10 oficinas regionales a nivel nacional.

Fredrickson International
Fredrickson International es una agencia de cobranza líder. Al haber
implementado ISO/IEC 27001 tiene ahora una mayor consciencia de la seguridad
a través de la organización. La certificación ha reducido significativamente el
tiempo que toma hacer la oferta para los contratos y ha ofrecido confianza al
mercado de sus prácticas de seguridad en la información.

Thames Security Shredding

Thames Security Shredding (TSS) ofrece una recolección eficiente y segura y
destrucción de documentos confidenciales. La certificación para ISO/IEC 27001 le
da a la compañía un margen competitivo en satisfacer los requisitos contractuales
ya que demuestra su compromiso en la gestión de la seguridad de la información
a un nivel internacional de mejor práctica. También proporciona a TSS con un
importante diferencial de mercado que ha atraído nuevos negocios.

Página 14
 CONCLUSION

Una vez hecho el análisis crítico detallado que preceden los temas anteriores de
este trabajo de investigación, creo haber logrado los objetivos planteados y,
principalmente, estoy seguro de haber desarrollado un estudio muy completo
sobre enriqueciendo los conocimientos necesarios sobre lo que es ISO 27001 

En la introducción de este estudio, ya se hizo la alusión respectiva a los fines

concretos que se pretendieron lograr a lo largo del desarrollo del tema. No es
menester incurrir en repeticiones innecesarias, pero debo recalcar mi propósito de
contribuir con nuevas propuestas, a través del análisis crítico a la creación de
planteamientos novedosos acerca sobre ISO 27001 para poder ser capaces de
sustentar teorías propias, tan valederas y autónomas como las que sirvieron de
piso a la edificación de los principios rectores de las demás fuentes utilizada en el
presente trabajo.

En esta investigación, no sólo he ganado conocimiento de una parte de la este

tema sino que nos compete a todos, también un buen equipo de trabajo y la
certeza que en este documento que leímos aquí presente pueda ayudarnos más
acerca de este tema.

Página 15
 BIBLIOGRAFIA

https://www.normas-iso.com/iso-27001/

https://itservice.com.co/iso-27001-una-breve-historia-de-la-norma/

https://es.iso.org/wiki/ISO/IEC_27001

Página 16
ANEXOS

Página 17