UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE CIENCIAS POLÍTICAS Y ADMINISTRATIVAS

AUDITORÍA DE SISTEMAS INFORMÁTICOS I

TEMA: INVESTIGACIÓN NORMA ISO 27000

INTEGRANTES:
CABRERA MARISOL
RIVERA RAÚL
TUQUINGA VERÓNICA
USCA ÉRIKA

MSC. JORGE CRUZ

NOVENO “A”
SEMESTRE

RIOBAMBA, 05 DE JULIO DEL 2018.

ABRIL – AGOSTO
2018
 ÍNDICE

INTRODUCCIÓN .......................................................................................................................... 3
DESARROLLO .............................................................................................................................. 4
Origen De Las Normas Iso ......................................................................................................... 4
Aspectos Generales ..................................................................................................................... 4
La Organización Iso .................................................................................................................... 5
Familia de las Normas Iso: .......................................................................................................... 6
¿Qué es Iso 27000? ..................................................................................................................... 7
Alcance Iso 27000 ....................................................................................................................... 8
General..................................................................................................................................... 8
Aplicación ................................................................................................................................ 8
Objetivo de la Norma Iso 27000.............................................................................................. 8
Caracteristicas de da Norma Iso 27000 ....................................................................................... 9
Beneficios o Ventajas .................................................................................................................. 9
Desventajas................................................................................................................................ 10
Modelo De Certificado Iso 27000 ............................................................................................. 11
ANÁLISIS .................................................................................................................................... 12
REFERENCIAS ............................................................................................................................ 13

2
 INTRODUCCIÓN

La presente investigación se refiere al tema de la ISO 27000, que se puede definir como

un conjunto de estándares desarrollados -o en fase de desarrollo por ISO (International

Organization for Standardization) e IEC (International Electrotechnical Commission), que

proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo

de organización, pública o privada, grande o pequeña.

La investigación se realizó por el interés de conocer la información que hoy en día es un

activo importante para el éxito y la continuidad en el mercado de cualquier organización. El

fortalecimiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo

de primer nivel para la organización.

Por otra parte para la adecuada gestión de la seguridad de la información, es necesario

implantar un sistema que afronte esta tarea de una forma ordenada, documentada y basada en

unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la

información de la organización.

3
 DESARROLLO

ORIGEN DE LAS NORMAS ISO

La Norma fue publicada como Norma Española en el año 2007, pero tiene una larga

historia antes de llegar a este punto. Ya en el año 1995 el British Standard Institute (BSI) publica

la norma BS7799, un código de buenas prácticas para la gestión de la seguridad de la

información.

A la vista de la gran aceptación de esta Norma, en 1998, el BSI pública la norma

BS7799-2, Especificaciones para los sistemas de gestión de la seguridad de la información; se

revisa en 2001. Tras una revisión de ambas Normas, la primera es adoptada como norma ISO en

2000 y denominada ISO/IEC 17799.

En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en

2004 se establece la norma UNE 71502, basada en BS7799-2, sin que haya un equivalente ISO.

A partir de julio de 2007 la ISO 17799:2005 adopta el nombre de ISO 27002 y en octubre de

2007 la norma ISO 27001 se adopta como UNE. Con la publicación de la UNE-ISO/IEC 27001,

dejó de estar vigente la UNE 71502 y las empresas nacionales se certifican ahora únicamente con

esta nueva norma (UNE-ISO/IEC 27001).

ASPECTOS GENERALES

 ISO es una organización internacional no gubernamental que produce normas

internacionales industriales y comerciales.

 El propósito es facilitar el comercio, intercambio de información y contribuir con

estándares comunes para el desarrollo y transferencia de tecnologías.

4
  Desde 1946 la normatividad ISO fue una de las primeras con pretensiones de estandarizar

normas, reglamentos y formas de trabajo en las organizaciones a nivel internacional.

 En 1987 aparece, por primera vez, un estándar que en vez de certificar productos asegura

procesos.

 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por

ISO (International Organization for Standardization) e IEC (International

Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de

la información utilizable por cualquier tipo de organización, pública o privada, grande o

pequeña.

LA ORGANIZACIÓN ISO

ISO (Organización Internacional de Estándares) es una organización especializada en el

desarrollo y difusión de los estándares a nivel mundial.

Los miembros de ISO, son organismos nacionales que participan en el desarrollo de

Normas Internacionales a través de comités técnicos establecidos para tratar con los campos

particulares de actividad técnica. Los comités técnicos de ISO colaboran en los campos de

interés mutuo con la IEC (International Electro-technical Commission), la organización que a

nivel mundial prepara y publica estándares en el campo de la electrotecnología. En el campo de

tecnología de información, ISO e IEC han establecido unir un comité técnico, ISO/IEC JTC 1

(Join Technical Committee Nº1).

Los borradores de estas Normas Internacionales son enviados a los organismos de las

diferentes naciones para su votación. La publicación, ya como una Norma Internacional, requiere

la aprobación de por lo menos el 75% de los organismos nacionales que emiten su voto.

5
FAMILIA DE LAS NORMAS ISO:

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Muchos de

ellos no están aún publicados, pero la estructura ya está definida:

ISO/IEC27000 Sistemas de Gestión de Seguridad de la Información, Generalidades y

vocabulario, publicada en Abril del 2009, en la que se recogen los términos y conceptos

relacionados con la seguridad de la información, una visión general de la familia de

estándares de esta área, una introducción a los SGSI, y una descripción del ciclo de mejora

continua.

UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI).

Requisitos. (ISO/IEC 27001:2005), publicada en el año 2007. Esta es la norma fundamental

de la familia, ya que contiene los requerimientos del sistema de gestión de seguridad de la

información y es la norma con arreglo a la cual serán certificados los SGSI de las

organizaciones que lo deseen.

ISO/IEC27002, Tecnología de la Información. Código de buenas prácticas para la Gestión de

la Seguridad de la Información, publicada en el año 2005. Esta guía de buenas prácticas

describe los objetivos de control y controles recomendables en cuanto a seguridad de la

información.

ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso del modelo

PDCA y de los requerimientos de sus diferentes fases

ISO27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de

los controles relacionados.

ISO/IEC27005:2008 Gestión del Riesgo en la Seguridad de la Información, publicada en el

año 2008. Esta norma al pertenecer a la familia de las Normas 27000, se ajusta a las

6
necesidades de las organizaciones que pretende realizar su análisis de riesgos en este ámbito

y cumplir con los requisitos de la Norma ISO 27001.

ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditoría y

certificación de sistemas de gestión de seguridad de la información. Publicada en el año

2007. Recoge los criterios mediante los cuales una organización se puede acreditar para

realizar esos servicios.

ISO/IEC27007. Guía para la realización de las auditorías de un SGSI.

ISO/IEC27011. Directrices para la seguridad de la información en organizaciones de

telecomunicaciones utilizando la Norma ISO/IEC 27002. Contiene recomendaciones para

empresas de este sector, facilitando el cumplimiento de la Norma ISO27001 y conseguir un

nivel de seguridad aceptable.

EN ISO27799. Gestión de la seguridad de la información sanitaria utilizando la Norma

ISO/IEC27002 (ISO27799:2008). Vigente en nuestro país ya que ha sido ratificada por

AENOR en agosto de 2008. Como en la anterior, es una guía sectorial que da cabida a los

requisitos específicos de entorno sanitario.

¿QUÉ ES ISO 27000?

Según Wales (2011) menciona que las normas ISO son:

Un conjunto de estándares desarrollados en fase de desarrollo por ISO (International

Organization for Standardization) e IEC (International Electrotechnical Commission),

que proporcionan un marco de gestión de la seguridad de la información utilizable por

cualquier tipo de organización, pública o privada, grande o pequeña. (p.74 )

7
Enfatizando a la temática Jaramillo (2012) afirma que:

La iso 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por la iso

y la jec- que proporcionan un marco de gestión de la seguridad de la información

utilizable por cualquier tipo de organización pública o privada grande o pequeña.

ALCANCE ISO 27000

GENERAL

Cubre todos los tipos de organizaciones. “También especifica los requerimientos a

establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y

mejorando la documentación del Sistema de Administración en la Seguridad de la Información

(ISMS), dentro del contexto de la totalidad de los riesgos del negocio” (Soria, 2013)

APLICACIÓN

“El conjunto de requerimientos precisados en este estándar internacional son genéricos y se

piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza”

(Plackard, 2011)

OBJETIVO DE LA NORMA ISO 27000

Tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la

información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y

proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande

o pequeña (Anónimo, 2013).

8
CARACTERISTICAS DE LA NORMA ISO 27000

 Confidencialidad: la propiedad que esta información esté disponible no sea divulgada a

personas, entidades o procesos no autorizados.

 Seguridad de Información: preservación de la confidencialidad, integridad,

disponibilidad de la información; además, también pueden estar involucradas otras

propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad.

 Sistema de Gestión de la Seguridad de la Información: esa parte del sistema gerencial

general, basada en un enfoque de riesgo comercial; para establecer, implementar,

monitorear, revisar, mantener y mejorar la seguridad de la información.

BENEFICIOS O VENTAJAS

 Reducción del riesgo de pérdida, robo o corrupción de información.

 Los clientes tienen acceso a la información a través medidas de seguridad.

 Los riesgos y sus controles son continuamente revisados.

 Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad

comercial.

 Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las

áreas a mejorar.

 Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

 Conformidad con la legislación vigente sobre información personal, propiedad intelectual

y otras.

 Confianza y reglas claras para las personas de la organización.

 Reducción de costes y mejora de los procesos y servicio.

 Aumento de la motivación y satisfacción del personal.

9
DESVENTAJAS

No tiene retorno

Una vez que se ha empezado el camino de implementación de la norma ISO- 27001,

tenemos la opción de certificar o no. Sea cual fuere la elección, el cúmulo de actividades

realizadas exige un mantenimiento y mejora continua, sino deja de ser un SGSI, y ello salta a la

vista en el muy corto plazo. Es decir, no se puede dejar de lado, pues al abandonar un cierto

tiempo el SGSI, requerirá un esfuerzo similar a lanzarlo de nuevo.

Si a su vez se obtiene la certificación, para que la misma se mantenga en vigencia,

anualmente debe ser auditada por la empresa certificadora.

Requiere esfuerzo continuo

Independientemente de las tareas periódicas que implica una vez lanzado el SGSI para los

administradores del mismo, El mantenimiento del nivel alcanzado, requerirá inexorablemente es

esfuerzo continuo de toda la organización al completo.

10
MODELO DE CERTIFICADO ISO 27000

11
 ANÁLISIS

Luego de haber finalizado con la investigación podemos mencionar que los sistemas de

información e información son importantes para las empresas. En particular, cada vez más

transferencia y utilización de datos internos e inter empresas de redes abiertas aumentan los

riesgos de que la información y los sistemas de información están expuestos. Para reducir riesgos

y evitar daños a las empresas se debe tener cuidado para garantizar una seguridad de la

información adecuada. Para la protección de los sistemas de información e información las

normas ISO 27000, ISO 27001 e ISO 27002 proporcionan objetivos de control, controles

específicos, requisitos y directrices, con las cuales la empresa puede lograr seguridad de

información.

Al hacerlo, ISO 27001 habilita la compañía a ser certificada contra el estándar, por lo que

la seguridad de la información se puede documentar como rigurosamente aplicado y

administrado de acuerdo con un estándar de organización internacionalmente reconocido.

Verifica el cumplimiento de la seguridad conocida y aceptada estándares y así promueve la

confianza de los clientes. Igualmente una verificación del cumplimiento de un acuerdo

internacional el estándar reduce el riesgo de multas o pagos de compensación como resultado de

disputas legales es por eso que nos ha parecido muy importante recalcar que la presente ISO

ayuda a la organización de una manera eficaz y eficiente.

12
 REFERENCIAS

Amador, C. (2012). Iso 27000. Scribd. Recuperado de:

https://es.scribd.com/document/80043403/Iso-27000

Anónimo, A. (2013). Sistema de Gestión de la Seguridad de la Información. Recuperado de:

http://www.iso27000.es/download/doc_sgsi_all.pdf. p. 6

Jaramillo, H. [Hugo Jaramillo] (2012, Abril 18). Norma ISO 27000. [Archivo de video].

Recuperado de: https://www.youtube.com/watch?v=5yOuFBZD7oY

Plackard, A. (2011). Iso 27000. SllideShared. Recuperado de:

https://es.slideshare.net/plackard/iso-27000-6594372

Pandini, W. (2014). ISO 27000, primeros pasos con la norma.Ostec blog. Recuperado de:

https://ostec.blog/es/generico/primeros-pasos-iso-27000

Soria, J. (2015). Técnicas de Información. Academia Educativa. Recuperado de:

http://www.academia.edu/5477042/UNIDAD_5

Wales, J. (2011). Administración. Cengage Learning. Décima Edición. Recuperado de:

https://books.google.com.ec/books?id=BquP2eK1J_0C&pg=PR19&dq=Jimmy+Wal

es+iso&hl=es&sa=X&ved=0ahUKEwjg2YnH4IXcAhXPrFMKHV7DB8sQ6AEIJjA

A#v=onepage&q=Jimmy%20Wales%20iso&f=false. p. 74.

Wing, D. (2013). Norma Iso 27000. Auditoría de Sistemas. Recuperado de:

http://conceptosdeauditoriaitc2013.blogspot.com/2013/10/norma-iso-27000.html

13