Iso 27001

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 7

Universidad Mariano Gálvez De Guatemala

Seguridad y Auditoria de Sistemas


Ing. Mario Roberto Mendez

ISO 27001

Néstor Antonio Sánchez Larios


1890-17-2158
¿Qué es la ISO 27001?

Sistemas de Gestión la Seguridad de la Información

ISO 27001 es una norma internacional que permite el aseguramiento, la


confidencialidad e integridad de los datos y de la información, así como de los sistemas
que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la


Información permite a las organizaciones la evaluación del riesgo y la aplicación de los
controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la


competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas


o controles establecidos en la norma ISO 27002.

Norma ISO 27001

Estructura de la norma ISO 27001

Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre


el uso, finalidad y modo de aplicación de este estándar.

Referencias Normativas: Recomienda la consulta de ciertos documentos


indispensables para la aplicación de ISO27001.

Términos y Definiciones: Describe la terminología aplicable a este estándar.

 Contexto de la Organización: Este es el primer requisito de la norma, el cual


recoge indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.
 Liderazgo: Este apartado destaca la necesidad de que todos los empleados de
la organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una
política de seguridad que conozca toda la organización y ha de asignar roles,
responsabilidades y autoridades dentro de la misma.
 Planificación: Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos
de Seguridad de la Información y el modo de lograrlos.
 Soporte: En esta cláusula la norma señala que para el buen funcionamiento
del SGSI la organización debe contar con los recursos, competencias,
conciencia, comunicación e información documentada pertinente en cada caso.
 Operación: Para cumplir con los requisitos de Seguridad de la Información, esta
parte de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de
la Seguridad de la Información y un tratamiento de ellos.
 Evaluación del Desempeño: En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
 Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia
de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Novedades de la ISO 27001:2013

Esta norma fue publicada recientemente, aportó una serie de cambios con respecto a
su antecesora que los usuarios de los SGSI tienen que asimilar para continuar
gestionando de forma eficaz la Seguridad de la Información. Las novedades que
manifiesta son:

No aparece la sección “Enfoque a procesos” con su respectiva metodología basada en


el ciclo PHVA, ahora ofrece mayor flexibilidad.
Se elimina la obligatoriedad de algunos documentos, conservando únicamente la
declaración de aplicabilidad.

Se han revisado los requisitos y controles.

Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y


operación.

Software para ISO 27001

La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO27001 para los SGSI es sencilla de implantar, automatizar y mantener con


la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear –


Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar
el Sistema Gestión de la Seguridad en la Información, así como se da cumplimiento de
manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la


Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO
14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.

IMPLANTANDO LA NORMA ISO 27001

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI)


según la norma ISO 27001, debemos considerar como eje central de este sistema la
Evaluación de Riesgos. Este capítulo de la Norma permitirá a la dirección de la
empresa tener la visión necesaria para definir el alcance y ámbito de aplicación de la
norma, así como las políticas y medidas a implantar, integrando este sistema en la
metodología de mejora continua, común para todas las normas ISO.
Lo primero, es elegir una metodología de evaluación del riesgo apropiada para los
requerimientos del negocio. Existen numerosas metodologías estandarizadas de
evaluación de riesgos. Aquí explicaremos la metodología sugerida en la Norma.

Las fases de esta metodología son los siguientes:

Método de Evaluación y Tratamiento del Riesgo

 Identificar los Activos de Información y sus responsables, entendiendo por activo


todo aquello que tiene valor para la organización, incluyendo soportes físicos
(edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones,
proyectos ...) así como la marca, la reputación etc.

 Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del


activo que lo hacen susceptible de sufrir ataques o daños.
 Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo
de la información, tales como desastres naturales, incendios o ataques de virus,
espionaje etc.

 Identificar los requisitos legales y contractuales que la organización está


obligada a cumplir con sus clientes, socios o proveedores.

 Identificar los riesgos: Definir para cada activo, la probabilidad de que las


amenazas o las vulnerabilidades propias del activo puedan causar un daño total
o parcial al activo de la información, en relación con su disponibilidad,
confidencialidad e integridad de este.

 Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del


riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos
que deben ser controlados con prioridad.

 Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a:
o Asumir el riesgo
o Reducir el riesgo
o Eliminar el riesgo
o Transferir el riesgo
LINK DEL VIDEO

ISO 27001 - YouTube

También podría gustarte