UNIVERSIDAD PRIVADA ANTENOR ORREGO

FACULTAD DE INGENIERA
ESCUELA DE INGENIERA DE COMPUTACIN Y
SISTEMAS

TEMA:
ISO/IEC 27001

INTEGRANTES:
CABRERA, CARLOS
POLO ISLADO, MANUEL
VILLENA TEJEDA, EDUARDO
CONTRERAS ARTEAGA, ABEL

PROFESOR:
POMA

CICLO:
XX

TRUJILLO 2014

CONTENIDO
INTRODUCCION............................................................................3
1. MARCO TEORICO.....................................................................4
2. ISO.........................................................................................4
3. ESTANDAR..............................................................................4
4. SGSI.......................................................................................5
3.1 CONFIDENCIALIDAD.......................................................................5
3.2 DISPONIBILIDAD............................................................................. 5
3.3 INTEGRIDAD.................................................................................... 5
5. ISO 27001...............................................................................6
6. PORQUE LA INFORMACION ES IMPORTANTE..............................7
7. CUATRO FASES DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN.........................................................................7
6.1 LA FASE DE PLANIFICACIN.........................................................7
6.2 LA FASE DE IMPLEMENTACIN.....................................................8
6.3 LA FASE DE VERIFICACIN............................................................9
6.4 LA FASE DE MANTENIMIENTO Y MEJORA....................................9
8. COMO IMPLANTAR UN SGSI BASADO EN ISO 27001..................10
7.1 PLAN PLANIFICAR......................................................................10
7.2 DO HACER................................................................................... 10
7.3 CHECK VERIFICAR......................................................................10
7.4 ACT ACTUAR............................................................................... 10
9. VENTAJAS DE IMPLANTAR UN SGSI BASADO EN LA ISO 27001...11
10. QUIEN CERTIFICA A MI EMPRESA EN ISO 27001.......................11
11. EJEMPLO DEL ESTANDAR (BANCO)..........................................12
12. CASO DE APLICACIN............................................................12
13. RESUMEN Y CONCLUSIONES...................................................12

INTRODUCCION

La informacin es como el aparato circulatorio para las organizaciones

y requiere que se proteja ante cualquier amenaza que pueda poner
en peligro las empresas tanto pblicas como privadas, pues en otro
caso podra daarse la salud empresarial. La realidad nos muestra
que las organizaciones empresariales se enfrentan en la actualidad
con un alto nmero de riesgos e inseguridades procedentes de una
amplia variedad de fuentes, entre las que se encuentran los nuevos
negocios y nuevas herramientas de las Tecnologas de la Informacin
y la Comunicacin (TIC), que los CEO (Directores Generales) y CIO
(Directores de Informtica) deberan aplicar.
Todas

estas

herramientas

empresariales

con

la

deben

mayor

aplicarse
seguridad,

segn

objetivos

garantizando

la

confidencialidad (asegurando que slo quienes estn autorizados

pueden acceder a la informacin), integridad (garantizando que la
informacin es fiable y exacta) y disponibilidad (asegurando que los
usuarios autorizados tienen el acceso debido a la informacin).
La

informacin,

como

uno

de

los

principales

activos

de

las

organizaciones, debe protegerse a travs de la implantacin,

mantenimiento y mejora de las medidas de seguridad para que
cualquier empresa logre sus objetivos de negocio, garantice el
cumplimiento legal, de prestigio y de imagen de la compaa.
La norma/estndar UNE ISO/IEC 27001: 2007 del Sistema de
Gestin de la Seguridad de la Informacin es la solucin de
mejora continua ms adecuada para evaluar los riesgos fsicos
(incendios, inundaciones, sabotajes, vandalismos, accesos indebidos)
y lgicos (virus informticos, ataques de intrusin o denegacin de
servicios) y establecer las estrategias y controles adecuados que
aseguren

una

informacin.

permanente

proteccin

salvaguarda

de

la

1. MARCO TEORICO
El estndar para la seguridad de la informacin ISO/IEC 27001
(Information technology - Security techniques - Information
security management systems - Requirements) fue aprobado y
publicado como estndar internacional en Octubre de 2005 por
International Organization for Standardization (ISO) y por la
comisin International Electrotechnical Commission (IEC).

2. ISO
ISO desarrolla estndares requeridos por el mercado que
representen un consenso de sus miembros (previo consenso
nacional

entre

industrias,

expertos,

gobierno,

usuarios,

consumidores) acerca de productos, tecnologas, mtodos de

gestin, etc. Estos estndares, por naturaleza, son de aplicacin
voluntaria, ya que el carcter no gubernamental de ISO no le da
autoridad legal para forzar su implantacin. Slo en aquellos
casos en los que un pas ha decidido adoptar un determinado
estndar como parte de su legislacin, puede convertirse en
obligatorio.
ISO garantiza un marco de amplia aceptacin mundial a travs
de los 3000 grupos tcnicos y 50.000 expertos que colaboran
en el desarrollo de normas.
3. ESTANDAR
Es una publicacin que recoge el trabajo en comn de los
comits

de

fabricantes,

usuarios,

organizaciones,

departamentos de gobierno y consumidores y que contiene las

especificaciones tcnicas y mejores prcticas en la experiencia
profesional con el objeto de ser utilizada como regulacin, gua
o definicin para las necesidades demandadas por la sociedad y
tecnologa.

Los estndares ayudan a aumentar la fiabilidad y efectividad de

materiales, productos, procesos o servicios que utilizan todas
las partes interesadas (productores, vendedores, compradores,
usuarios y reguladores).
En principio, son de uso voluntario, aunque la legislacin y las
reglamentaciones nacionales pueden hacer referencia a ellos.
4. SGSI
Un Sistema de Gestin de Seguridad de la Informacin (SGSI) es
el

diseo

implementacin

de

una

organizacin

estn

influenciados por las necesidades y objetivos, los requisitos de

seguridad, los procesos empleados y el tamao y estructura de
la organizacin para disminuir los riesgos a los que se
encuentran expuestos, enfocados en la proteccin y resguardo
de

la

informacin

travs

de

la

Confidencialidad,

Integridad y disponibilidad.
3.1 CONFIDENCIALIDAD
Evitar que personas no autorizadas puedan acceder a la
informacin.
3.2 DISPONIBILIDAD
La informacin y los recursos relacionados estn disponibles
para el personal autorizado.
3.3 INTEGRIDAD
Guardar la totalidad de la informacin, cuyo contenido debe
permanecer inalterado a menos que sea modificado por
personal autorizado.
El Sistema de Gestin de Seguridad de la Informacin (SGSI), se
fundamenta en la norma NTC-ISO/IEC 27001, esta norma ha
sido elaborada para brindar un modelo para el establecimiento,
implementacin,

operacin,

seguimiento,

revisin,

mantenimiento y mejora del sistema de gestin de la seguridad

de la informacin (SGSI).
5. ISO 27001

La ISO 27001 es un Estndar Internacional de Sistemas de

Gestin de Seguridad de la Informacin, siendo la norma de
referencia en este mbito, que permite a una organizacin
evaluar su riesgo e implementar controles apropiados para
preservar la confidencialidad, la integridad y la disponibilidad
del valor de la informacin.
La norma ISO 27001 define cmo organizar la seguridad de la
informacin en cualquier tipo de organizacin, con o sin fines de
lucro, privada o pblica, pequea o grande. Es posible afirmar
que esta norma constituye la base para la gestin de la
seguridad de la informacin.
La ISO 27001 es para la seguridad de la informacin lo mismo
que la ISO 9001 es para la calidad: es una norma redactada por
los mejores especialistas del mundo en el campo de seguridad
de la informacin y su objetivo es proporcionar una metodologa
para la implementacin de la seguridad de la informacin en
una organizacin.
Tambin permite que una organizacin sea certificada, lo cual
significa que una entidad de certificacin independiente ha
confirmado

que

la

seguridad

de

la

informacin

se

ha

implementado en esa organizacin de la mejor forma posible.

A raz de la importancia de la norma ISO 27001, muchas
legislaturas

han

tomado

esta

norma

como

base

para

confeccionar las diferentes normativas en el campo de la

proteccin de datos personales, proteccin de informacin
confidencial, proteccin de sistemas de informacin, gestin de
riesgos operativos en instituciones financieras, etc.
6. PORQUE LA INFORMACION ES IMPORTANTE
Porque es uno de los activos ms importantes para una
organizacin:

Un uso adecuado de la informacin permite ofrecer

servicios de ms valor y, para las empresas, una
diferenciacin clara frente a la competencia.

Un uso inadecuado de la informacin que no considere la

seguridad como un aspecto relevante puede poner en
riesgo econmico, competitivo o legal a la organizacin.

7. CUATRO FASES DEL SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN
La norma ISO 27001 determina cmo gestionar la seguridad de
la informacin a travs de un sistema de gestin de seguridad
de la informacin. Un sistema de gestin de este tipo, igual que
las normas ISO 9001 o ISO 14001, est formado por cuatro
fases que se deben implementar en forma constante para
reducir al mnimo los riesgos sobre confidencialidad, integridad
y disponibilidad de la informacin.
Las fases son las siguientes:
6.1 LA FASE DE PLANIFICACIN
Esta fase est formada por los siguientes pasos:

Determinacin del alcance del SGSI.

Redaccin de una Poltica de SGSI.
Identificacin de la metodologa para evaluar los riesgos y

determinar los criterios para la aceptabilidad de riesgos.

Identificacin de activos, vulnerabilidades y amenazas.
Evaluacin de la magnitud de los riesgos.
Identificacin y evaluacin de opciones para el

tratamiento de riesgos.
Seleccin de controles para el tratamiento de riesgos.
Obtencin de la aprobacin de la gerencia para los

riesgos residuales.
Obtencin de la aprobacin de la gerencia para la
implementacin del SGSI.

Redaccin de una declaracin de aplicabilidad que detalle

todos los controles aplicables, determine cules ya han
sido implementados y cules no son aplicables.

6.2 LA FASE DE IMPLEMENTACIN

Esta fase incluye las siguientes actividades:

Redaccin de un plan de tratamiento del riesgo que

describe quin, cmo, cundo y con qu presupuesto se

deberan implementar los controles correspondientes.

Implementacin de un plan de tratamiento del riesgo.
Implementacin
de
los
controles
de
seguridad

correspondientes.
Determinacin de cmo medir la eficacia de los controles.
Realizacin
de
programas
de
concienciacin
y

capacitacin de empleados.
Gestin del funcionamiento normal del SGSI.
Gestin de los recursos del SGSI.
Implementacin de procedimientos para

detectar

gestionar incidentes de seguridad.

6.3 LA FASE DE VERIFICACIN
Esta fase incluye lo siguiente:

Implementacin de procedimientos y dems controles de

supervisin y control para determinar cualquier violacin,
procesamiento incorrecto de datos, si las actividades de

seguridad se desarrollan de acuerdo a lo previsto, etc.

Revisiones peridicas de la eficacia del SGSI.
Medicin la eficacia de los controles.
Revisin peridica de la evaluacin de riesgos.
Auditoras internas planificadas.
Revisiones por parte de la direccin para asegurar el
funcionamiento del SGSI y para identificar oportunidades

de mejoras.
Actualizacin de los planes de seguridad para tener en

cuenta otras actividades de supervisin y revisin.

Mantenimiento de registros de actividades e incidentes
que puedan afectar la eficacia del SGSI.

6.4 LA FASE DE MANTENIMIENTO Y MEJORA

Esta fase incluye lo siguiente:

Implementacin en el SGSI de las mejoras identificadas.

Toma de medidas correctivas y preventivas y aplicacin

de experiencias de seguridad propias y de terceros.

Comunicacin de actividades y mejoras a todos los

grupos de inters.
Asegurar que las mejoras cumplan los objetivos previstos.

8. COMO IMPLANTAR UN SGSI BASADO EN ISO 27001

7.1 PLAN PLANIFICAR

Definir la poltica y los objetivos de seguridad

Definir el alcance del SGSI.
Elaborar un inventario de activos y un anlisis de riesgos.
Definir un plan de tratamiento de riesgos que incluya los
controles necesarios (partiendo del catalogo establecido
en la norma ISO 27002).

7.2 DO HACER

Implantar y operar los controles.

7.3 CHECK VERIFICAR

Realizar auditoras.
Medir la eficacia.
Elaborar un plan de mejora.

7.4 ACT ACTUAR

Ejecutar el plan de mejora

9. VENTAJAS DE IMPLANTAR UN SGSI BASADO EN LA ISO

27001

Garantiza la confidencialidad, integridad y disponibilidad de

informacin sensible.
Disminuir el riesgo, con la consiguiente reduccin de gastos

asociados.
Reducir la incertidumbre por el conocimiento de los riesgos e

impactos asociados.
Mejorar continuamente la gestin de la seguridad de la

informacin.
Garantizar la continuidad del negocio.
Aumento de la competitividad por mejora de la imagen

corporativa.
Incremento de la confianza de los stakeholders.
Aumento de la rentabilidad, derivado de un control de los

riesgos.
Cumplir la legislacin vigente referente a seguridad de la

informacin.
Aumentar las oportunidades de negocio.
Reducir los costos asociados a los incidentes.
Mejorar la implicacin y participacin del personal en la

gestin de la seguridad.
Posibilidad de integracin con otros sistemas de gestin como

ISO 9001, ISO 14001, OHSAS 18001 entre otros.

Mejorar los procesos y servicios prestados.
Aumentar de la competitividad por mejora de la imagen
corporativa.

10.
Una

QUIEN CERTIFICA A MI EMPRESA EN ISO 27001

entidad

de

certificacin

acreditada,

mediante

una

auditora. Esta entidad establece el nmero de das y auditores

necesarios, puede realizar una pre-auditora (no obligatoria) y
lleva a cabo una auditora formal. Si el informe es favorable, la
empresa recibir la certificacin.

11.

EJEMPLO DEL ESTANDAR (BANCO)

ISO/IEC

27001

es

una

norma

adecuada

para

cualquier

organizacin, grande o pequea, de cualquier sector o parte del

mundo.

La

norma

es

particularmente

interesante

si

la

proteccin de la informacin es crtica, como en finanzas,

sanidad sector pblico y tecnologa de la informacin (TI).
ISO/IEC 27001 tambin es muy eficaz para organizaciones que
gestionan la informacin por encargo de otros, por ejemplo,
empresas de subcontratacin de TI. Puede utilizarse para
garantizar a los clientes que su informacin est protegida.
Como

mencionamos

previamente

esta

norma

puede

ser

aplicada en cualquier tipo de organizacin, un ejemplo claro

vendra a ser en un Banco. Un banco maneja muchos tipos de
informacin cada uno de estos tipos son importantes para los
clientes y para la organizacin en s. Para mantener esta
informacin segura se podra aplicar la norma 27001 dentro de
la institucin, de esta manera se podra realizar un mejor
control de toda la informacin y del sistema que la administra.
Se lograra a un largo plazo reducir del riesgo de prdida, robo o
corrupcin de informacin y sobretodo se lograra ganar la
confianza de los clientes y socios estratgicos por la garanta de
calidad y confidencialidad comercial que brindara el banco.

12.

CASO DE APLICACIN

13.

RESUMEN Y CONCLUSIONES

La implantacin de la norma ISO27001 permite definir y mantener

un Sistema de Gestin de la Seguridad de la Informacin (ISMS)
documentado, que orienta los esfuerzos de proteccin de los
activos de informacin, facilita la administracin de los riesgos
priorizando los controles necesarios de aplicar y mantiene un

nivel

de

seguridad

adecuado

para

la

continuidad

de

la

organizacin.

La ISO 27001 es perfectamente integrable con otros sistemas de

gestin como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta
integracin se hace ms sencilla con esta nueva versin ISO
27001:2013.

La ISO 27001 permite una operativa basada en la seguridad y la

excelencia en el tratamiento de la informacin en la organizacin,
que se traducen en un mejor servicio con una menor inversin.

BIBLIOGRAFIA
http://www.iso27000.es/faqs.html
http://www.eqa.org/boletin/octubre08/imgboletin/pdf/27001.pdf
http://www.iso27001security.com/html/27001.html
http://www.iso27001standard.com/es/que-es-la-norma-iso-27001
http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-degestion/estandares-esquemas/Seguridad-de-la-InformacionISOIEC27001/
http://www.isotools.org/2014/02/14/la-norma-iso-27001-y-laimportancia-de-la-gestion-de-la-seguridad-de-la-informacion/
http://www.agedum.com/Dise%C3%B1oeimplementaci
%C3%B3ndeunSGSIISO27001/tabid/91/Default.aspx
http://blog.iso27001standard.com/es/2010/07/21/cuatro-beneficiosclave-de-la-implementacion-de-la-norma-iso-27001/
http://www.isotools.org/pdfs/Monografico-ISO-27001-ISOTools.pdf
http://www.proactivanet.com/UserFiles/File/ProactivaNET%20-%20ISO
%2027001.pdf