Tarea1 JohanVega 31721294

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 15

Tarea 1

ISO 27000
Catedrático:
Erick Darío Gonzáles
Alumno:
-Johan Samael Vega
Cuenta:
-31721294
Sede:
Ceutec Próceres
índice
Contenido
índice...................................................................................................................................2
Introducción........................................................................................................................3
¿Qué es Iso 27000?..........................................................................................................4
Documentación necesarios:.............................................................................................7
Familia del ISO 27000......................................................................................................8
¿ventajas de tener implementado ISO 27000 en una empresa?.............................11
EMPRESAS HONDUREÑAS CERTIFICADAS CON ISO 27000.............................12
Conclusiones....................................................................................................................13
Bibliografía........................................................................................................................14
Introducción

A continuación, se dará a conocer conceptos básicos de ISO 27000,


funcionamientos, todo lo que se requerirá para utilizar esta
normativa, así como se aplicaría en una empresa y de que datará
esta misma.
¿Qué es Iso 27000?

También denominada como la “Familia de normativas”, es una serie


de normas de seguridad de la información que proporcionan un
marco global para las prácticas de gestión de la seguridad de la
información. Están publicados y desarrollados por la Organización
Internacional de Normalización (ISO) y la Comisión Electrotécnica
Internacional (IEC).
ISO / IEC 27000: 2018 se centra en tecnología de la información,
técnicas de seguridad y sistemas de gestión de seguridad de la
información. Esta norma en particular incluye una descripción
general y el vocabulario utilizado por las normas de la serie ISO
27000 y sirve como una introducción general a la más común ISO /
IEC 27001: 2013, también conocida como ISO 27001.

Implementación necesaria
1 – director del proyecto
Antes de comenzar con la implementación de la norma ISO 27001,
es evidente que debe nombrarse un líder para el mismo, el cual
trabajará con el resto de los miembros y con el personal para
inicialmente, generar un mandato de proyecto.
2 – Inicio del proyecto
A través del mandato de proyecto previamente definido para el
proyecto de implantación de la norma ISO27001, se comienza
a definir una estructura más detallada, especificando cuáles van a
ser los objetivos de seguridad de la información, cuál va a ser el
equipo, la planificación y realizar un registro de los riesgos
inherentes al proyecto.
3 – Iniciación del Sistema de Gestión de Seguridad de la
Información
Y es aquí, donde se elige qué metodología va a seguirse para
implementar el Sistema de Gestión de Seguridad de la
Información basado en la norma ISO 27001. Concretamente, en
dicha norma sugiere adoptar un enfoque a procesos para la mejora
continua, lo cual resulta en la actualidad de lo más efectivo para
lograr la mejora continua. No obstante, no especifica qué
metodología adoptar, permitiendo a las organizaciones utilizar aquel
que mejor se adapte a su organización.
4 – Marco de gestión
Debe identificarse el marco en el cual va a implementarse el SG-SI
según la norma ISO 27001. Es decir, definir el alcance del sistema y
su contexto, considerando todos los dispositivos móviles y
teletrabajadores.
5 – Criterios básicos de seguridad
Como es obvio, a continuación, deben identificarse las necesidades
básicas de seguridad que tiene la empresa. Son, por tanto, aquellos
requisitos, medidas y/o controles necesarios en las negociaciones o
procesos.
6 – Gestión de riesgos
A través de la norma ISO 27001, las organizaciones definen todos y
cada uno de los procesos involucrados en la gestión de riesgos,
estableciendo su propia gestión de riesgos. Para ellos no hay una
metodología concreta, pero independientemente de cuál se elija, se
deben considerar cinco aspectos:
Establecer un marco para la evaluación de riesgos.
Identificación de los riesgos.
Análisis de los riesgos.
Evaluación de los riesgos.
Selección de formas de gestionar los riesgos.
7 – Planificación de la Gestión del Riesgos
Consiste en el establecimiento de los controles de seguridad.
Evidentemente, se procede con la verificación de su efectividad y
del correcto conocimiento que sobre dichos controles tiene el
personal, conociendo sus obligaciones de seguridad y sabiendo
operar con ellos.
Para ello, hay que establecer el nivel de competencia que será
necesario, por lo que se aconseja realizar un análisis de
competencias, y desarrollar un proceso para determinar, revisar y
mantenerlas, para que se cumplan los objetivos del SG-SI según la
norma ISO 27001.
8 – Medir, controlar y revisar
Como en todos los Sistemas de Gestión, existe una etapa en la
cual se tiene que medir, controlar y revisar el desempeño del
sistema, y su alineación con los objetivos previsto en la anterior
etapa.
9 – Certificación
La certificación de la norma ISO 27001, al igual que todas las de
esta familia de normas ISO, no es obligatoria. Si bien es cierto, que
carecería de sentido llegar a este punto sin procurar la certificación
y mejorar la imagen de la organización.
De manera resumida, este paso trata de solicitar a un organismo de
certificación acreditado, que son los encargados de verificar que el
SG-SI según la norma ISO 27001 cumple todos los requisitos.
Es decir, se procede con una auditoría externa que, si es positiva,
dará lugar a la adquisición del certificado de la norma ISO 27001 y
el correspondiente sello para la empresa.
Documentación necesarios:

 ISO 27001 requiere que se confeccione la siguiente


documentación:
 Alcance del Sistema de seguridad de la información SGSI
(punto 4.3)
 Objetivos y política de seguridad de la información (puntos 5.2
y 6.2)
 Metodología de evaluación y tratamiento de riesgos (punto
6.1.2)
 Declaración de aplicabilidad (punto 6.1.3 d)
 Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
 Informe de evaluación de riesgos (punto 8.2)
 Definición de tareas y responsabilidades de seguridad (puntos
A.7.1.2 y A.13.2.4)
 Inventario de activos (punto A.8.1.1)
 Uso aceptable de los activos (punto A.8.1.3)
 Política de control de acceso (punto A.9.1.1)
 Procedimientos operativos para gestión de TI (punto A.12.1.1)
 Principios de ingeniería para sistema seguro (punto A.14.2.5)
 Política de seguridad para proveedores (punto A.15.1.1)
 Procedimiento para gestión de incidentes (punto A.16.1.5)
 Procedimientos para continuidad del negocio (punto A.17.1.2)
 Requisitos legales, normativos y contractuales (punto
A.18.1.1)
Y estos son los registros obligatorios:
 Registros de capacitación, habilidades, experiencia y
calificaciones (punto 7.2)
 Monitoreo y resultados de medición (punto 9.1)
 Programa de auditoría interna ISO 27001(punto 9.2)
 Resultados de auditorias internas ISO 27001 (punto 9.2)
 Resultados de la revisión por parte de la dirección  ISO 27001
(punto 9.3)
 Resultados de medidas correctivas (punto 10.1)
 Registros sobre actividades de los usuarios, excepciones y
eventos de seguridad (puntos A.12.4.1 y A.12.4.3)

Familia del ISO 27000

ISO 27001: Especifica los requerimientos necesarios paraimplantar


y gestionar United Nations SGSI. Esta norma es can be certified.

ISO 27002: Definition un conjunto de buenas prácticas para


laplantación del SGSI, a través de 114 controles, estructurados en
14 dominios y 35 controlled object.

ISO 27003: proporciona una guía para laimplantación de forma


Correcta un SGSI, centrándose en los aspectos importantes para
realizar con éxito dicho process.

ISO 27004: proporciona pauta orientadas a la Correcta definición y


establecimiento de métricas que permitan evaluar de forma
Correcta el Personnel Department

ISO 27005: Definition como se debe realizar la gestión de riesgos


vinculados a los sistemas de gestión de la informationación
orientado en cómo establecer lametodología a emplear.

ISO 27006: establece los requisitos que deben cumplir aquellas


Organization que quieran ser acreditadas para certificar a otra en el
Comply with ISO/IEC-27001 standard

ISO 27007:es una guía que establece los procedimientos para


realizar Internal auditor or external audit objective verification y
certificar Implementation of ISO/IEC-27001.

ISO 27008: Definition como se deben evaluar los controles del SGSI
con el fin de revisar la adecuación técnica de los mismos, de forma
que sean eficaces para la mitigación de riesgos.
ISO 27009: complementa la norma 27001 para incluir requisitos y
New control añadidos que se aplican en sectores específicos, con el
objetivo de hacer más eficaz su implantation.

ISO 27010: indica cómo debe ser tratada la información cuando es


Compartida entre varias Organizaciones, qué riesgos pueden
aparecer y los controles que se deben emplear para mitigarlos,
especialmente cuando están relacionados con la gestión de la
seguridad en infraestructuras critica.

ISO 27011: establece los principios paraimplantar, mantener y


gestionar un SGSI en Organizaciones de Telecomicaciones,
indicando como implantar los controles de manera eficiente.

ISO 27013: establece una guía para la integración de las normas


27001 (SGSI) y 20000 Sistema de Gestión de Servicios (SGS) en
aquellas Organization que executive ambassador.

ISO 27014: establece principios para el gobierno de la seguridad de


la Information, para que las Organizaciones puedan assessment,
monitoring comunicar las actividades relacionadas con la seguridad
de la informationación.

ISO 27015: facilita los principios deimplantación de un SGSI en


empresas que prestan servicios financieros, tales como servicios
bancarios o Electronic banking.

ISO 27016: proorciona una guía para la toma de Decisiones


económicas vinculadas a la gestión de la seguridad de la
informationación, como apoyo a The direction of the organization.
ISO 27017: proporciona una guía de 37 controles específicos para
los servicios cloud, estos controles están basados en la norma
27002.

ISO 27018: complementa a las normas 27001 y 27002 en la


impampación de procedimientos y controles para proteger datos
personales en aquellas Organized que proporcionan servicios en
cloud para terceros

ISO 27019: facilita una guía basada en la norma 27002 para aplicar
a las industrias vinculadas al segment de la energía, de forma que
puedan Implants United Nations SGSI.
¿ventajas de tener implementado ISO 27000 en una empresa?

La implantación de la norma ISO 27000 es el tipo de práctica que


ofrece un excelente retorno sobre la inversión, manifestándose
tanto en la creación de una buena imagen para la marca, así como
en la organización interna de la empresa. En ambos casos, los
beneficios terminan traduciéndose en reducción de costos y mejor
presencia en el mercado.
Eso se deja ver con mayor claridad en el caso de las empresas que
precisan obedecer los reglamentos relacionados con la protección
de datos, privacidad y gestión de tecnología de la información,
como es el caso de las entidades en el sector financiero o sector
salud. En resumen, la ISO 27000 puede ofrecer métodos que
permiten gestionar la seguridad de la información de una manera
más eficiente.
Desde el punto de vista de la LGPD, la ISO 27000 tiene un valor
distinguido extra. Ya que, prácticamente toda empresa trabaja con
algún tipo de información confidencial (direcciones, teléfonos,
emails, números de documentos de identificación, datos bancarios).
Y a los ojos de los consumidores, se hace agradable la idea de
tener un aval de esa magnitud, enfocada especialmente en la
seguridad de las informaciones que los mismos fornecen,
principalmente en esta época de fuga de datos, reportados
frecuentemente a través de grandes medios de comunicación.
EMPRESAS HONDUREÑAS CERTIFICADAS CON ISO 27000

TIGO
SEGÚN UNA NOTICIA:
La empresa en Telecomunicaciones de Honduras, Tigo, anuncia
que su unidad de negocios Tigo Business, ha recibido la
recertificado en ISO/IEC 27001:2005 el cual es el mejor y más
conocido estándar de seguridad de la información.
Esta certificación provee una garantía independiente de que el
personal de Tigo Business puede operar con eficacia un programa
de seguridad integral y de gestión de riesgos de seguridad de la
información.
Nicolas García, Jefe de Seguridad Informática de Tigo explicó que
este certificado genera mayor confianza hacia los clientes puesto
que “es una garantía de que la empresa cumple os requisitos de
gestión interna, respeta Leyes y normativas y sobre todo demuestra
a sus clientes que la seguridad de su información es primordial y se
maneja de manera adecuada.”
La recertificación conlleva un proceso de auditoría que incluye
entrevistas detalladas y revisiones de temas como la seguridad
física, control de acceso, gestión de riesgos, continuidad de negocio
y mejores prácticas de seguridad.
La exhaustiva auditoría concluyó que el Sistema de Gestión de
Seguridad de la Información (SGSI) de Tigo Business cumple con
los rigurosos controles físicos, lógicos, de procesos y los controles
de gestión necesarias para lograr el cumplimiento con el estándar.
La certificación de ISO 27001:2005 de Tigo Business es emitida por
una de las empresas de acreditación de nivel mundial la cual es Det
Norske Veritas (DNV) de Noruega con la acreditación del United
Kingdom Accreditation Services (UKAS).
Así mismo, Tigo esta preparándose además para optar a la nueva
versión de la certificación que sería la ISO 27001:2013.
[CITATION Dia \p https://diarioroatan.com/tigo-business-con-calidad-mundial-en-seguridad-
de-la-informacion/ \l 2058 ]

Conclusiones

Una empresa sin certificación ISO está a la deriva sin protecciones,


puede que llegue a funcionar, pero no de manera correcta, ya que
una certificación es una gran ventaja en el mundo laboral.

Se dieron a conocer conceptos de la familia ISO 27000 que


contiene muchas prácticas para el mantenimiento y mejora de
sistemas de Gestiones de la seguridad de información
Bibliografía
[CITATION Fid \p https://www.fidias.es/index.php/ES/2018-12-26-17-08-59/iso-27000 \l 2058 ]

[CITATION Dia \p https://diarioroatan.com/tigo-business-con-calidad-mundial-en-seguridad-


de-la-informacion/ \l 2058 ]

[CITATION Ost \p https://ostec.blog/es/generico/iso-27000-ventajas-certificacion-seguridad/ \l


2058 ]

[CITATION ISO \p https://www.isotools.org/2018/05/24/9-pasos-implementar-norma-iso-


27001/ \l 2058 ]

[CITATION Tig1 \p https://ayuda.tigo.com.hn/hc/es/articles/360009183774-Sistema-de-Gesti


%C3%B3n-de-Seguridad-de-la-Informaci%C3%B3n-ISO-27001 \l 2058 ]

También podría gustarte