UNIVERSIDAD AUTÓNOMA DEL ESTADO DE MÉXICO

FACULTAD DE INGENIERÍA

LICENCIATURA: INGENIERÍA EN COMPUTACIÓN

SEGURIDAD DE LA INFORMACIÓN

DOCENTE: I. EN C. ALEJANDRO HERNANDEZ ARRIAGA

TAREA – FAMILIA ISO 27000

PRESENTA

Quiterio Flores Germán

Grupo: 02

PERIODO ESCOLAR: 2023A

MARZO DEL 2023. TOLUCA, MÉXICO

¿Qué es la familia ISO 27000?
Son un conjunto de estándares internacionales que proporcionan un marco para la
gestión de la seguridad de la información en una organización, siendo así aplicable
a cualquier tipo de empresa, sea privada o publica o bien pequeña o grande, se
puede usar, en cualquier caso.
Estos estándares son desarrollados y publicados por la Organización Internacional
de Normalización (ISO).
Esta familia ISO tiene un número amplio de normas, van desde la 27000 hasta la
27019 y de la 27030 a la 27044.
¿Cuál es su objetivo?
El objetivo de la familia ISO 27000 es mejorar la postura de seguridad de la
información de una organización y garantizar que se implementen las medidas
necesarias para proteger su información y los activos relacionados.
Como tal existe la ISO 270000 que facilita las bases y lenguaje común para el resto
de las normas de la serie.
Resumen de las normas:
A continuación, voy a poner la norma y una descripción pequeña de lo que trata:

•Especifica los requerimientos necesarios para implantar y gestionar un SGSI,

además esta norma es certificable.
ISO 27001

•Proporciona un conjunto de controles y buenas prácticas para la gestión de la

seguridad de la información, a través de 114 controles, estructurados en 14
ISO 27002 dominios y en 35 objetivos de cojtroles. Se utiliza junto a la norma iso 27001.

•Proporciona directrices para la implementación y medición del SGSI y realizar con

éxito dicho proceso.
ISO 27003

•Proporciona pauta orientadas a la correcta definicipon de métricas que permitan

evaluar el rendimiento del SGSI.
ISO 27004

•Muestra cómo se debe realizar la gestión de riesgosvinculados a los SGSI

orientado en cómo establecer la metodología a implementar.
ISO 27005
 •Proporciona una guia para la gestión de riesgos de seguridad de la información, la auditoría
ISO 27006 de seguridad de la informacion y la gestión de la auditoría respectivamente.

•Guía que establece procedimientos para realizar auditorías internas o externas con el
ISO 27007 objetivo de verificar y certificar implementaciones de la ISO/IEC-27001.

•Proporciona directrices para la auditoría de seguridad de la información basada en los

ISO 27008 controles establecidos en la norma ISO 27002.

•Complementa la norma 27001, incluyendo requisitos y nuevos controles, para mejor la eficaz
ISO 27009 de la implantación.

•Proporciona directrices para las relaciones interorganizacionales, mostrando cómo pueden

ISO 27010 proteger su información y como mitigar riesgos.

•Establece principios para implantar y gestionar un SGSI en empresas de telecomunicaciones.

ISO 27011

•Proporciona principios para la integración de múltiples sistemas de gestión, incluyendo SGSI

ISO 27013 y otros sistemas de gestión, como SGC.

•Establece directrices para la gobernanza de la seguridad de la información en una empresa,

ISO 27014 incluyendo la definición de roles y responsabilidades.

•Facilita principios de implantación de un SGSI en servicios bancarios o financieros.

ISO 27015

•Proporciona una guía para la toma de decisiones económicas.

ISO 27016

•Establece algunas instrucciones para la gestión de seguridad en la nube.

ISO 27017

•Proporciona algunos lineamientos para la protección de privacidad de los datos en la nube.

ISO 27018

•Da recomendaciones basada en la norma 27002 para aplicar a las industrias vinculadas al
ISO 27019 sector de la energía y que puedan implantar un SGSI.
Ahora pasamos a la otra “parte” de la familia de normas, de la 27030-27044.

ISO 27030 •Proporciona normas para la gestión de información en las tecnologias de la

información (TI).

ISO 27031 •Da instrucciones para la gestión de la continuidad del negocio de la seguridad
de la información.

ISO 27032 •Proporciona directrices para la ciberseguridad.

ISO 27033 •Da pautas para la seguridad en la red.

ISO 27034 •Habla sobre la seguridad en el ciclo de la vida del desarrollo de software.

ISO 27035 •Habla sobre la gestión de incidentes de seguridad de la información.

ISO 27036 •Da consejos sobre la gestión de la seguridad entre organizaciones.

ISO 27037 •Da directrices para la gestión de pruebas forenses de SI.

ISO 27038 •Habla sobre la autenticación basada en evidencia.

ISO 27039 •Proporciona uan guia sobre la información en la monitorización y la

deteccipon de intrusos.

ISO 27040 •Instrucciones sobre la gestión de seguridad de la información en cuanto a

disponibilidad de sistemas y datos.

ISO 27041 •Proporciona directrices sobre la gestión de la evidencia electrónica.

ISO 27042 •Habla sobre la administración de incidentes de privacidad de la información,

en caso de haber problemas.

ISO 27043 •Habla sobre la supervisión, evaluación y pruebas del SGSI.

ISO 27044 •Habla sobre la organización de la privacidad de la información.

 Ahora bien, en la descripción que puse, en varias mencioné “SGSI”, pero ¿Qué es?
Los Sistemas de Gestión de Seguridad de la Información, son un recurso que
permiten a las organizaciones garantizar que todos los activos de la empresa estén
siendo manipulados adecuadamente y que no haya riesgos en las fugas de esta
información, que para empresas es lo más preciado (en muchas ocasiones).
Entonces, básicamente son un conjunto de políticas, procedimientos, controles y
procesos utilizados por las empresas que buscan gestionar y proteger su
información. Proporciona un enfoque sistemático y estructurado que a la vez permite
identificar y gestionar los riesgos de manera efectiva, protegiendo la
confidencialidad, integridad y disponibilidad de la información.
Componentes de un SGSI:
Diversas fuentes tienen algunas diferencias, pero de ellas pude rescatar lo
siguiente=
Como se mencionó anteriormente, el SGSI se basa en tres principios
fundamentales, el cual es la Confidencialidad, la Integridad y la Disponibilidad.
Pero hay otros elementos a tener en cuanta y que forman parte del mismo SGSI.
• Políticas de seguridad de la información: Establecen objetivos y
responsabilidades en seguridad de la información.
• Evaluación de riesgos: Identifica riesgos, evalúa su impacto y establece
medidas de control para minimizarlos.
• Controles de seguridad: Implementa medidas técnicas, organizativas y
físicas para proteger la información.
• Procedimientos de gestión de incidentes: Gestiona incidentes de seguridad
de la información.
• Capacitación y concientización en seguridad de la información: Educa a los
usuarios sobre la importancia de la seguridad de la información.
• Auditorías y revisiones: Evalúa el desempeño del SGSI y asegura su
conformidad con estándares y normativas.
• Mejora continua: Revisa y actualiza periódicamente el SGSI para adaptarlo
a los cambios en el entorno y nuevas amenazas.
• Definición de alcance: Es preciso definir qué objetivos tendrá nuestro SGSI,
qué beneficios supondrá y por cuánto tiempo queremos aplicarlo.
• Responsabilidades. Establecer las competencias y las responsabilidades en
cada uno de los activos fijados.
• Análisis del contexto. Entender la organización, y todos los elementos que
pueden afectar al Sistema de Seguridad de la Información es clave.

En resumen, un SGSI es importante para proteger la información de una organización contra

amenazas internas y externas, minimizar el riesgo de pérdida o daño de la información, garantizar la
continuidad del negocio en caso de interrupción o desastre y cumplir con los requisitos legales y
regulatorios relacionados con la protección de la información.
 Referencias
1. ISO/IEC 27001:2013. (2013). Information technology - Security techniques -
Information security management systems - Requirements. ISO/IEC.
2. S. (2016, 22 febrero). Descubre qué es un SGSI y cuáles son sus elementos
esenciales. Software ISO. https://www.isotools.us/2016/02/16/descubre-que-
es-un-sgsi-y-cuales-son-sus-elementos-esenciales/
3. Toro, R. (2020, 14 julio). Componentes de los sistemas de gestión de
seguridad de la información. PMG SSI - ISO 27001. https://www.pmg-
ssi.com/2020/08/componentes-de-los-sistemas-de-gestion-de-seguridad-
de-la-informacion/
4. De Ceupe, B. (2018, 31 julio). Sistema de Gestión de la Seguridad de la
Información. Ceupe. https://www.ceupe.com/blog/sistema-de-gestion-de-la-
seguridad-de-la-informacion.html