ETAPA 1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

1
 ETAPA 1

EDUAR ANTONIO MANTILLA TORRES

Tutor(a) o director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BARRANCABERMEJA
2023

2
 CONTENIDO

INTRODUCCIÓN..................................................................................................................4

1 JUSTIFICACIÓN.......................................................................................................4

2 OBJETIVOS...............................................................................................................5

3 OBJETIVOS ESPECÍFICOS......................................................................................5

4 CONCLUSIONES....................................................................................................15

BIBLIOGRAFÍA..................................................................................................................16

3
 INTRODUCCIÓN

A partir de las investigaciones realizadas se identifica la serie de Familia ISO 27000, y sus
aplicabilidades, de acuerdo con esto se realiza un cuadro comparativo para la adecuada
interpretación de la norma, de tal manera que se adquieren conocimientos para la aplicación
de la norma en el problema planteado de TechConsult.
También se realiza un análisis de las normas 270e01 y 27002 para poderlas aplicar en el
caso planteado donde se da como punto de vista que se puede adicionar a este caso la
norma iso 27005

Es decir que la familia de normas ISO 27000 proporciona un marco integral para abordar
los desafíos de seguridad de la información en un mundo digital complejo. Al adoptar estas
normas, las organizaciones pueden fortalecer su postura de seguridad, cumplir con
requisitos normativos y mejorar su capacidad para prevenir, detectar y responder a las
amenazas cibernéticas.

JUSTIFICACIÓN

Esta actividad tiene como finalidad obtener el conocimiento sobre la familia de normas
27000, para esto se ejecutó y se desarrolló los diferentes métodos, para dar un análisis
conceptual de cómo la interpretación correcta puede obtener grandes beneficios para una
compañía que quiere atraer sus clientes y seguir creciendo en su patrimonio.

4
 OBJETIVOS

1.1 OBJETIVOS GENERAL

 Identificar la aplicación de las ramas de la norma ISO 27000.

 Adquirir conocimiento sobre la familia de normas ISO 27000 relacionadas con la
seguridad informática y ciberseguridad

1.2 OBJETIVOS ESPECÍFICOS

 Investigar la utilización de ISO 27000.

 Identificar los casos en los que se puede aplicar los diferentes conceptos de las
empresas de acuerdo con la Familia ISO 27000.

 Aplicar conocimientos de la norma ISO 27000 en las empresas creando estrategias

de seguridad

 Relacionar los sistemas de seguridad de información y la forma adecuada de

acuerdo con la norma para la utilización de datos.

5
 DESARROLLO DEL TRABAJO

1. Análisis comparativo en donde identifique las series de la familia ISO 27000.

SERIE CARACTERISTICAS ALCANCE ESCENARIOS DE VENTAJAS DESVENTAJAS

IMPLEMENTACIÓN

Especifica los Garantizar la cualquier tipo de organización, 1.Certificado de confianza y calidad empresarial 1. Elevada inversión inicial
requerimientos necesarios disponibilidad de incluyendo pequeñas y medianas
para implantar y gestionar información y servicios. empresas, grandes corporaciones,
2. El mejor sistema de seguridad interna 2. Elevada inversión inicial
27001 un SGSI. Esta norma es Asegure la integridad de instituciones gubernamentales y sin
certificaba los datos críticos. fines de lucro
Garantizar la 3. Reducción de los casos de riesgo 3. Delegación de responsabilidad
confidencialidad de los
datos sensibles o de los
clientes.

27002 define un conjunto de establecer directrices y Donde las empresas Proteja todos los componentes del sistema de todas La implantación de ISO/IEC 2702 en una
buenas prácticas para la principios generales para quieran identificar qué tipo de controles sus instalaciones de procesamiento de información. organización es un proyecto que suele tener una
implantación del SGSI, a iniciar, implementar, de seguridad de la información son los Genere responsabilidad y controles del uso de las duración entre 6 y 12 meses
través de 114 controles, mantener y mejorar la más adecuados, cuentas privilegiadas. Reduzca los costes de las
estructurados en 14 gestión de la seguridad inspecciones de seguridad, las auditorías y la
dominios y 35 objetivos de de la información en una certificación ISO 27002.
controles. organización

6
27003 La norma ISO/IEC 27003 Establecer los límites, su Esta norma es especialmente útil para Orientación detallada: ISO/IEC 27003 proporciona 1.Complejidad: Aunque la guía está destinada a
es una guía que aplicabilidad, los asuntos quienes buscan una orientación paso a orientación detallada sobre cómo implementar los ayudar en la implementación, a algunas
proporciona directrices internos y externos que paso para establecer un SGSI efectivo. requisitos de ISO/IEC 27001. Puede ayudar a las organizaciones les puede parecer compleja,
para la implementación de afecten los objetivos del Al seguir las pautas de ISO 27003, las organizaciones a comprender mejor cómo aplicar especialmente si no tienen experiencia previa en
un sistema de gestión de mismo, los organizaciones pueden asegurarse de los principios y controles de seguridad de la seguridad de la información o en la implementación
seguridad de la requerimientos de las que su enfoque en la seguridad de la información en su entorno específico. de normas.
información (SGSI) basado partes interesadas y las información esté bien estructurado, Estructura lógica: La guía suele tener una estructura 2.Requiere conocimiento previo: Para aprovechar al
en la norma ISO/IEC interfaces y alineado con los objetivos comerciales y lógica que sigue el flujo de implementación de máximo la guía, es beneficioso tener un conocimiento
27001. Aunque no es una dependencias en consonancia con las mejores ISO/IEC 27001, lo que facilita la comprensión y la previo de los conceptos y requisitos de seguridad de
norma de requisitos como prácticas internacionales aplicación paso a paso de los controles de la información y de la norma ISO/IEC 27001.
ISO 27001, ISO 27003 seguridad. 3. Falta de actualización: Las normas y guías
ofrece orientación Ejemplos y casos de uso: Puede proporcionar pueden evolucionar con el tiempo para reflejar las
detallada sobre cómo llevar ejemplos y casos de uso que ilustran cómo los cambiantes amenazas y tecnologías de seguridad. Si
a cabo la implementación controles y las medidas de seguridad pueden ISO/IEC 27003 no se ha actualizado, podría no
de un SGSI de manera aplicarse en situaciones del mundo real. abordar los desafíos más recientes en el campo de la
efectiva. Aquí están seguridad de la información.
algunas de las Dependencia del
características clave de
ISO 27003:
Enfoque práctico: ISO
27003 ofrece una
orientación práctica y
concreta para implementar
los controles y requisitos
definidos en ISO 27001.
Proporciona instrucciones
paso a paso para llevar a
cabo la implementación del
SGSI.
Alineación con ISO 27001:
La guía de ISO 27003 se

7
 alinea directamente con los
requisitos y controles
establecidos en la norma
ISO 27001. Ayuda a las
organizaciones a
interpretar y aplicar
eficazmente los requisitos
de ISO 27001 en su
entorno específico.

27004 proporciona pauta describe una serie de Sector de la Salud: Las organizaciones Medición objetiva: ISO 27004 establece un Complejidad: La implementación completa de las
orientadas a la correcta recomendaciones sobre de atención médica manejan enfoque sistemático para medir la eficacia y la directrices de ISO 27004 puede ser compleja y
definición y cómo realizar información médica confidencial y están eficiencia del SGSI. Esto permite una evaluación requerir una comprensión sólida de los principios de
establecimiento de mediciones para la sujetas a normativas como la Ley de objetiva y basada en datos, en lugar de depender medición y evaluación de la seguridad de la
métricas que permitan gestión de la Seguridad Portabilidad y Responsabilidad del únicamente de percepciones subjetivas. información.
evaluar de forma correcta de la Información. Seguro Médico (HIPAA) en los Estados Mejora continua: La norma promueve la mejora Recursos: La recopilación y el análisis de datos para
el rendimiento del SGSI Unidos. ISO 27004 puede ayudar a continua al proporcionar un marco para el la medición y evaluación pueden requerir recursos
medir y mejorar la seguridad de los seguimiento y la medición de los resultados del considerables, como tiempo, personal capacitado y
datos del paciente. SGSI. Esto ayuda a las organizaciones a identificar herramientas adecuadas.
Industria Tecnológica: Las empresas de áreas de mejora y tomar acciones para fortalecer su Requisitos específicos: Las organizaciones deben
tecnología, especialmente aquellas que postura de seguridad de la información. adaptar las métricas y los indicadores a su contexto y
brindan servicios en la nube, procesan y Toma de decisiones informada: ISO 27004 ayuda a necesidades. Esto puede requerir una inversión
almacenan grandes cantidades de datos las organizaciones a tomar decisiones informadas adicional en diseño y desarrollo de métricas
de los clientes. La seguridad es esencial, sobre la implementación y la optimización de su personalizadas.
y ISO 27004 puede proporcionar un SGSI. Al contar con métricas y mediciones
marco para evaluar el desempeño de la confiables, las decisiones se basan en datos
seguridad de la información. tangibles.

27005 Orientación para se puede aplicar en todas las empresas, Enfoque basado en el riesgo: ISO 27005 se basa en Complejidad: La implementación completa de las
ISO 27005 es una guía implementar los independientemente del tipo de el enfoque de gestión de riesgos, lo que significa directrices de ISO 27005 puede ser compleja y

8
 internacional que requisitos relacionados organización que sea o de su tamaño. que se centra en identificar, evaluar y gestionar los requiere un conocimiento profundo de la norma y de
proporciona directrices con la gestión de riesgos Esta norma facilita la gestión de los riesgos relacionados con la seguridad de la los conceptos relacionados con la seguridad de la
para la gestión de riesgos de seguridad de la riesgos de Seguridad de la Información información. información y la gestión de riesgos.
de seguridad de la información Requiere recursos: La implementación exitosa de ISO
información. Aunque no es especificados en Comunicación y consulta: ISO 27005 enfatiza la 27005 puede requerir recursos considerables, incluido
una norma en sí misma, ISO/IEC 27001 importancia de la comunicación y consulta con las el tiempo y la inversión financiera, para capacitar al
juega un papel importante partes interesadas relevantes. Esto incluye a personal, llevar a cabo evaluaciones de riesgos y
al proporcionar un enfoque personas internas y externas que pueden estar aplicar medidas de mitigación.
estructurado y sistemático involucradas o afectadas por los riesgos de Adaptación a la organización: Cada organización es
para la evaluación y seguridad de la información. única en términos de su estructura, operaciones y
gestión de riesgos en el riesgos específicos. Adaptar las directrices de ISO
contexto de la seguridad de Enfoque en la toma de decisiones: ISO 27005 27005 a las circunstancias particulares de una
la información. A proporciona información valiosa para respaldar la organización puede ser un desafío.
continuación, se presentan toma de decisiones informadas en relación con los
algunas de las riesgos de seguridad de la información. Esto ayuda
características clave de a las organizaciones a asignar recursos de manera
ISO 27005: eficiente y efectiva.

27006 define cómo se debe describe los requisitos se aplica directamente a las empresas Estándares de calidad: ISO 27006 establece los Costos: Obtener y mantener la acreditación según
realizar la gestión de para ser acreditados por que buscan implementar un sistema de estándares de calidad y competencia que los ISO 27006 puede conllevar costos considerables para
riesgos vinculados a los terceros que auditan y gestión de seguridad de la información organismos de certificación deben cumplir para los organismos de certificación. Esto incluye
sistemas de gestión de la certifican los sistemas de (SGSI) o que buscan obtener la realizar auditorías y emitir certificados de inversiones en capacitación, recursos y procesos de
información orientado en gestión de seguridad de certificación, sino más bien a las conformidad con ISO 27001. Esto garantiza una mejora continua.
cómo establecer la la información (SGSI), entidades que desean convertirse en evaluación coherente y de alta calidad de los SGSI. Complejidad: Cumplir con todos los requisitos de
metodología a emplear. además de los requisitos organismos de certificación acreditados Confianza en los resultados: Al obtener la ISO 27006 puede ser complejo y requerir un alto
establecidos por ISO para auditar y certificar SGSI según acreditación según ISO 27006, los organismos de nivel de comprensión de los estándares y procesos de
17021 1 e ISO 27001 ISO/IEC 27001. certificación demuestran su competencia y auditoría.
experiencia en la realización de auditorías de SGSI. Requisitos en evolución: Los estándares y requisitos
Esto genera confianza en los resultados y para la acreditación pueden cambiar con el tiempo.
certificados emitidos. Los organismos de certificación deben estar al tanto
Uniformidad: ISO 27006 ayuda a establecer un de las actualizaciones y asegurarse de que siguen

9
 enfoque uniforme y consistente en la forma en que cumpliendo con los requisitos actuales.
se realizan las auditorías y se emiten los
certificados de conformidad con ISO 27001. Esto
evita inconsistencias y malentendidos en el proceso
de certificación

27007 es una guía que establece Puede ser aplicada por La norma ISO/IEC 27007 no es una • Seguridad Reforzada: una de sus principales • Costo y Recursos: Cumplir con las normas ISO,
los procedimientos para auditores internos y norma de gestión de seguridad de la ventajas es proporcionar una estructura y enfoque incluyendo la realización de auditorías y revisiones,
realizar auditorías internas externos que estén información como ISO 27001 o ISO uniformes para evaluar la efectividad de los podría demandar una inversión considerable de
o externas con el objetivo encargados de realizar 27002. En realidad, ISO/IEC 27007 es controles de seguridad implementados. tiempo, dinero y personal.
de verificar y certificar auditorías de un SGSI una guía que proporciona directrices • Cumplimiento y Adecuación: las organizaciones • Complejidad: Las normas ISO en ocasiones son
implementaciones de la basado en la norma ISO para la auditoría de sistemas de gestión pueden mejorar su habilidad para cumplir con los complicadas y exigen conocimientos especializados
ISO/IEC-27001 27001. de seguridad de la información (SGSI) requisitos legales y regulativos relacionados con la para ser aplicados de manera eficaz. Esto puede
no se aplica directamente a empresas seguridad de la información, lo cual es agregar carga de trabajo a organizaciones que buscan
que buscan implementar un SGSI, sino a especialmente útil en sectores altamente regulados. adoptar la norma ISO 27007.
Enfoque en la auditoría: Si auditores, equipos de auditoría y • Mejoras Identificadas: Haciendo auditorías y • Adaptación: Las organizaciones podrían enfrentar
la norma ISO 27007 es una organismos de certificación que desean revisiones regulares, se pueden descubrir áreas en dificultades al adaptar las directrices generales de las
guía para la auditoría de realizar auditorías de conformidad con las que el SGSI podría mejorarse. Esta podría normas ISO a su contexto y condiciones específicas.
sistemas de gestión de ISO 27001 en organizaciones que ya ofrecer una forma de detectar fallas y Las normas podrían necesitar ser interpretadas y
seguridad de la han implementado un SGSI. oportunidades de mejora en los controles de ajustadas adecuadamente para que sean aplicables y
información, es probable seguridad. exitosas
que se enfoque en • Confianza de Interesados: Un enfoque • Falta de flexibilidad: Algunas organizaciones
proporcionar directrices estructurado y sistemático para auditar y revisar la podrían considerar que las normas ISO son
detalladas para llevar a seguridad de la información podría aumentar la demasiado rígidas y no se adaptan completamente a
cabo auditorías internas y confianza de clientes, socios y partes interesadas en sus necesidades particulares de seguridad de la
externas de sistemas de la capacidad de la organización para resguardar su información
gestión de seguridad de la información.
información basados en la
norma ISO 27001.
Metodología de auditoría:
Puede incluir una

10
metodología detallada para
planificar, realizar y
evaluar auditorías de
seguridad de la
información. Esto podría
abarcar desde la selección
de auditorías, la
recopilación de evidencia,
hasta la elaboración de
informes y
recomendaciones.
Requisitos para los
auditores: Podría establecer
los requisitos de
competencia y habilidades
que los auditores deben
tener para llevar a cabo
auditorías de seguridad de
la información de manera
efectiva

11
1. Revisión y justificación de las series ISO 27001 e ISO 27002 y otras de la familia ISO
27000 que sean necesarias para dar solución al problema propuesto.

Para poder hacer una revisión de este caso primero debemos conocer las normas e
identificar cual es el cumplimiento de cada una.
La norma ISO 27001 y la norma ISO 27002 son dos estándares relacionados pero distintos
en el ámbito de la seguridad de la información. Ambas son parte de la serie ISO 27000, que
proporciona directrices y mejores prácticas para establecer, implementar, mantener y
mejorar un sistema de gestión de la seguridad de la información (SGSI) en una
organización. Aquí está la diferencia clave entre estas dos.
La ISO 27001 nos permite establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI en una organización. Esta norma se centra en la creación de un marco de
gestión para la seguridad de la información y se basa en un enfoque de ciclo de vida que
incluye la planificación, la implementación y la mejora continua.
ISO 27001 nos exige ciertos requisitos que deben cumplir las organizaciones para poder
obtener la certificación de su sistema de gestión de seguridad de la información. Donde se
incluyen la identificación de activos de información, evaluación de riesgos, implementación
de controles de seguridad y procesos de mejora continua. En esencia, ISO 27001 se centra
en el sistema de gestión en sí y en asegurarse de que se establezcan procesos efectivos para
gestionar la seguridad de la información en una organización.
ISO 27002, por otro lado, es una norma que proporciona directrices y recomendaciones
detalladas para establecer controles de seguridad de la información. Anteriormente
conocida como ISO 17799, esta norma abarca una amplia gama de medidas de seguridad
que una organización puede implementar para proteger sus activos de información. ISO
27002 no es certificable por sí misma; en cambio, se utiliza como una fuente de orientación
para seleccionar e implementar controles de seguridad apropiados en función de las
necesidades y riesgos específicos de la organización.
Es decir, mientras que ISO 27001 se centra en el establecimiento y la gestión de un sistema
de gestión de seguridad de la información en una organización y es certificable, ISO 27002

12
proporciona directrices específicas sobre controles de seguridad que pueden ser
implementados como parte del sistema de gestión definido por ISO 27001. Ambas normas
son complementarias y se utilizan en conjunto para establecer una sólida infraestructura de
seguridad de la información en una organización.
Estas normar son las más adecuadas para la solución del problema del caso de estudio, ya
que nos permitirá realizar un diagnóstico de los riesgos que se presente y un plan de acción
para ejecutar

Atreves de los departamentos creados por TechConsult, se vio la necesidad de priorizar los
requerimientos de seguridad de la información, implementando y monitoreando los
controles
Por lo tanto, Para la entidad TechConsult la aplicación de estas dos normas tiende a hacer
un reto muy importante, con la ISO 27001 va a obtener el manejo de información de
clientes ya que esta norma les permitirá establecer controles adecuados de la protección de
los activos y generarlas garantías necesarias para las partes interesadas.
La norma 27002 nos permitirá vigilar las buenas prácticas estableciendo las directrices para
la mejora de los SGSI.
La iso 27002 la cual va ligada a las buenas prácticasestableciendo directrices
para iniciar, implementar, mantener y mejorar los SGSI. Implementando los controles de
seguridad necesarios, entendiendo que los riesgos de la compañía son altos por la base de
datos que maneja
por esta razón es que las norma ISO representan una variada de controles que permiten a las
compañías y a los clientes estar seguros de sus datos, y que no van a estar en manos
equivocadas, es por ello que cuando una compañía se certifica en alguna de las normas de
la ISO 27000, las organizaciones y los clientes, se les puede garantizar que el riesgo de
pérdida de datos sea mínimo.
Adicional a esto podemos incluir la norma iso, Aunque no es una norma en sí misma, juega
un papel importante al proporcionar un enfoque estructurado y sistemático para la
evaluación y gestión de riesgos en el contexto de la seguridad de la información. A
continuación, se presentan algunas de las características clave de ISO 27005

13
 CONCLUSIONES

Se realiza la interpretación de la familia ISO 27000, y como estas abordan importantes

leyes que permiten dar pautas a una empresa para conservar la información de una forma
segura y mantener mediante buenas prácticas los controles de seguridad.

ISO 27000 permite a las organizaciones presentar y certificar un nivel de calidad ante sus
usuarios y el público en general

 Abordamos conceptos de la Familia ISO 27000.

 Identificar las aplicaciones de la norma ISO 270001, 27002, 270005

 Se abordamos temas sobre Sistema de gestión de la Seguridad de la Información

(SGSI).

14
 BIBLIOGRAFÍA

"ISO / IEC 27006: 2015 -Information technology --Security techniques-- Requierements

for bodies providing audit and certification of information security management
systems" www.iso.org. Retrieved 2018-07-02.

ISO27000.es. ISO 27000de Seguridad de la Información. (9 De septiembre del 2020).

Recuperado de: http://www.intedya.com/internacional/757/noticia-iso-27000-y-el-
conjuntode-estandares-de-seguridad-de-la-informacion.html

https://www.icontec.org/eval_conformidad/certificacion-iso-27001-sistemas-de-gestion-de-
seguridad-de-la-informacion-2/

https://www.piranirisk.com/es/academia/especiales/iso-27001-que-es-y-como-
implementarla#:~:text=La%20norma%20ISO%2027001%20establece,tus%20clientes%2C
%20proveedores%20y%20empleados.

https://gmas2.envigado.gov.co/gmas/downloadFile.public?
repositorioArchivo=000000001070&ruta=/documentacion/0000001358/0000000107

15