UNIVERSIDAD ALAS PERUANAS

FACULTAD DE INGENIERIA Y ARQUITECTURA

FACULTAD DE INGENIERIA DE SISTEMAS E
INFORMTICA

CURSO:
CONTROL DE SISTEMAS DE NEGOCIO

Exposicin
TEMA: ISO 27001

PRESENTADO POR:
ALCA PILLPE, Luis C.
HUASACCA ROJAS, Erick Pool

AYACUCHO PERU
2017
1
RESUMEN

En este artculo se presenta una descripcin de los fundamentos de la norma

ISO 27001 y su aplicacin en las organizaciones. Como caso prctico se
presenta una implementacin de la norma en una organizacin, esta norma
puede ser implantada en una empresa con el objetivo de obtener la certificacin
para perfeccionar algunos aspectos de seguridad en la empresa.
Qu es la ISO 27001?
Sistemas de Gestin la Seguridad de la Informacin ISO 27001

Es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la informacin, as como
de los sistemas que la procesan.
Permite a las organizaciones la evaluacin del riesgo y la aplicacin de
los controles necesarios para mitigarlos o eliminarlos.
Su aplicacin significa una diferenciacin respecto al resto, que mejora la
competitividad y la imagen de una organizacin.
La Gestin de la Seguridad de la Informacin se complementa con las
buenas prcticas o controles establecidos en la norma ISO 27002.
Cmo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y

disponibilidad de la informacin en una empresa.
Esto lo hace investigando cules son los potenciales problemas que podran
afectar la informacin (es decir, la evaluacin de riesgos) y luego definiendo lo
que es necesario hacer para evitar que estos problemas se produzcan (es
decir, mitigacin o tratamiento del riesgo).
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin
de riesgos: investigar dnde estn los riesgos y luego tratarlos
sistemticamente.
BENEFICIOS
Cumplir con los requerimientos legales cada vez hay ms y ms leyes, normativas
y requerimientos contractuales relacionados con la seguridad de la informacin. La
buena noticia es que la mayora de ellos se pueden resolver implementando ISO 27001
ya que esta norma le proporciona una metodologa perfecta para cumplir con todos
ellos.
Obtener una ventaja comercial si su empresa obtiene la certificacin y sus
competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de
los clientes a los que les interesa mantener en forma segura su informacin.
Menores costos la filosofa principal de ISO 27001 es evitar que se produzcan
incidentes de seguridad, y cada incidente, ya sea grande o pequeo, cuesta dinero; por
lo tanto, evitndolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que
la inversin en ISO 27001 es mucho menor que el ahorro que obtendr.
Una mejor organizacin en general, las empresas de rpido crecimiento no tienen
tiempo para hacer una pausa y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qu hay que hacer, cundo y
quin debe hacerlo. La implementacin de ISO 27001 ayuda a resolver este tipo de
situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso
los que no estn relacionados con la seguridad), lo que les permite reducir el tiempo
perdido de sus empleados.
Dnde interviene la gestin de seguridad de la
informacin en una empresa?
Bsicamente, la seguridad de la
informacin es parte de la gestin global
del riesgo en una empresa, hay
aspectos que se superponen con la
ciberseguridad, con la gestin de la
continuidad del negocio y con la
tecnologa de la informacin:
Norma ISO 27001

Estructura de la norma ISO 27001

1.Objeto y campo de aplicacin: Aporta orientaciones sobre el uso,

finalidad y modo de aplicacin de este estndar.
2.Referencias Normativas: Recomienda la consulta de ciertos
documentos para la aplicacin.
3.Trminos y Definiciones: Describe la terminologa aplicable a este
estndar.
4.Contexto de la Organizacin: Primer requisito de la norma, recoge
indicaciones sobre la organizacin, la necesidades y expectativas de las
partes interesadas y l determinacin del alcance del SGSI.
Estructura de la norma ISO 27001
5. Liderazgo: La alta direccin ha de demostrar su liderazgo y
compromiso
6. Planificacin: Se pone de manifiesto la importancia de riesgos y
oportunidades a la hora de planificar un SGSI.
7. Soporte: Seala que para el buen funcionamiento del SGSI la
organizacin debe contar con los recursos e informacin pertinente
en cada caso.
8. Operacin: esta parte de la norma indica que se debe planificar,
implementar y controlar los procesos de la organizacin, hacer una
valoracin de los riesgos de la Seguridad de la Informacin y un
tratamiento de ellos.
9. Evaluacin del Desempeo: Establece la forma de llevar a cabo el
seguimiento, anlisis, evaluacin, auditora interna y la revisin del
SGSI, para asegurar que funciona segn lo planificado.
10. Mejora: Obligaciones que tendr una organizacin cuando encuentre
una no conformidad y la importancia de mejorar continuamente del
SGSI.
IMPORTANCIA DE LA SEGURIDAD DE LA
INFORMACIN
La informacin es el instrumento fundamental para el funcionamiento de las
empresas y la operacin de los negocios, esto hace que la informacin deba
protegerse como el activo ms importante de la organizacin.

RIESGO
El incremento masivo del internet, la evolucin de la tecnologa y la
falta de conocimiento para mitigar riesgos, ha generado
innumerables amenazas que aprovechan de las empresas y
generar un impacto negativo en las organizaciones.
FUNDAMENTOS DEL SISTEMA DE GESTIN DE
LA SEGURIDAD 27001

La norma ISO 27001 es certificable. Esto significa que una empresa puede solicitar
una auditora a una entidad certificadora acreditada y si la supera, obtener la
certificacin. Antes de solicitar la auditora las empresas necesitan:

Contar con un Sistema de Gestin de Seguridad de la Informacin (SGSI).

El SGSI debe estar implementado en la empresa como mnimo con

tres meses de antelacin.
Cada uno de los puntos exigidos en la norma pertenece a una etapa de
un proceso: Plan Do Check Act (Planificar-Hacer-Verificar-Actuar)
(que se aplica para estructurar todos los procesos del SGSI).
Cmo obtener la certificacin?
Para obtener la certificacin como personas pueden asistir a diversos
cursos para obtener certificados. Los ms populares son:
Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear
cmo realizar auditoras de certificacin y est orientado a auditores y
consultores.
Curso de Implementador Principal de ISO 27001: este curso de 5 das le
ensear cmo implementar la norma y est orientado a profesionales y
consultores en seguridad de la informacin.
Curso de auditor interno en ISO 27001: este curso de 2 3 das le ensear
los conceptos bsicos de la norma y cmo llevar a cabo una auditora
interna; est orientado a principiantes en este tema y a auditores internos.
Cmo obtener la certificacin?

Para obtener la certificacin como organizacin, se debe implementar la

norma tal como se explic en las secciones anteriores y luego se debe
aprobar la auditora que realiza la entidad de certificacin. La auditora de
certificacin se realiza siguiendo estos pasos:
1 paso de la auditora (revisin de documentacin): los auditores
revisarn toda la documentacin.
2 paso de la auditora (auditora principal): los auditores realizarn la
auditora in situ para comprobar si todas las actividades de una empresa
cumplen con ISO 27001 y con la documentacin del SGSI.
Visitas de supervisin: despus de que se emiti el certificado, y durante
su vigencia de 3 aos, los auditores verificarn si la empresa mantiene su
SGSI.
Cmo implementar ISO 27001?
Para implementar la norma ISO 27001 en una empresa, usted tiene que
seguir estos 16 pasos:
1) Obtener el apoyo de la direccin
2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitacin y concienciacin
12) Realizar las operaciones establecidas en la documentacin de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas
HERRAMIENTAS PARA MODELAR PROCESOS DE
LA NORMA ISO 27001
NOMBRE: Gesttic
CIUDAD: Vilassar de Mar (Barcelona)
FUNCIONALIDADES: Gestor de documentacin Cuadro
de Mando Integral
Intranet corporativo Gestor de Work flows Extranet

VENTAJAS: TIPO DE CERTIFICACIONES:

a) Es un Gestor Documental multilinge a) OEA
b) Es adaptado a la Gestin de Sistemas de Calidad y b) ISO 9004
Medio Ambiente "Sin Papeles"
c) SICTED 4. ISO 9001
SECTOR: Servicios, Pblico, Productivo d) UNE EN 13816 6. UNE 187001
SOPORTE: 60 EUROS MES
e) ISO 14001
PRECIO: 150 EUROS
f) EMAS: Eco Management and
Audit Scheme 9. ISO 27001
HERRAMIENTAS PARA MODELAR PROCESOS DE
LA NORMA ISO 27001
NOMBRE: ISOTools
VERSIN: ISOTools Project Manager CIUDAD: Madrid,
Sevilla, Crdoba FUNCIONALIDADES:
i. Gestin de proyectos
TIPO DE CERTIFICACIONES:
ii. Gestin de tiempos
A. ISO 9001
iii. Gestor de tareas
B. ISO 14001
iv. Gestor de costes
C. OHSAS 18001
v. Gestor del riesgo
D. ISO 27001
vi. Gestor de la calidad
E. ISO 9004 SECTOR:
vii. Gestin de Recursos
ISOTools es una herramienta estndar y personalizable
viii.Gestor de adquisiciones por lo que es vlida para la gestin de cualquier tipo de
organizacin:
Empresas Organismos Pblicos Asociaciones
SOPORTE: 28 EUROS MES PRECIO: 15.330 Euros
CASO PRCTICO DE LA IMPLEMENTACIN DE LA
NORMA ISO 27000 EN UNA ORGANIZACIN
Una experiencia general compartida por un asesor que ha participado del proceso de
certificacin de la norma ISO 27001 en una entidad pblica.
En la organizacin empezamos a verificar que los controles de la norma se estuvieran
efectuando, pero despus de varias evaluaciones notamos que las personas
involucradas no estaban cumpliendo muchos procesos que estaban ya definidos con
anticipacin, entonces el comit decidi para la implantacin de la norma dirigirse al
departamento de sistemas y se defini que era necesario implementar algunos controles
desde el software que estaban utilizando, para obligar a los usuarios a cumplir con los
mencionados procesos. En la entidad ya estaba establecido el sistema de gestin de
calidad (ISO 9001) y lo que hicimos fue adherir los procesos de seguridad a este
sistema, dado que es lo que comnmente realizan las empresas, adems la tendencia es
tener un sistema integral de gestin llamado Human Security Enviroment Quality (HSEQ)
el cual est compuesto por un conjunto de normas ISO que se refieren a recursos
humanos, seguridad, medio ambiente y calidad, no es necesario tenerlas todas
implementadas, eso va a depender del tipo de organizacin
Con la informacin de la experiencia anterior se evidencia que es complicado cambiar la
forma de trabajo de las personas de la organizacin y esto complica la implantacin del
sistema sino se realiza la gestin del cambio de forma adecuada.
CONCLUSIONES

Dado que ahora la informacin es considerada como el activo ms importante de la

organizacin es imprescindible protegerlo contra las amenazas que se encuentran
en el medio.
Es necesario implementar buenas prcticas que permitan establecer controles para
proteger las caractersticas de la seguridad de la informacin.
Existen diversas herramientas tanto libres como privativas que apoyan el sistema
de gestin de seguridad de la informacin, optimizando procesos o actividades.
La experiencia demuestra que se puede llevar a cabo la implementacin e
implantacin del sistema de gestin de seguridad de la informacin en una
organizacin si se realiza teniendo en cuenta la gestin del recurso humano.