Trabajo de Investigación

Sistemas de Información Empresarial

Estudiante:

Sharon Valeria Ávila Ortega

“ISO 27001”

Universidad San Marcos

Profesor:

Jorge Bary Mora Sanchez

23 de octubre,2022
 Introducción
Desde hace algunos años, muchas empresas han comenzado a implementar un
proceso de transformación digital, que entre otras cosas requiere del uso de nuevas
tecnologías y almacenamiento de la información en la nube y en diferentes
dispositivos electrónicos.

Y aunque esto, sin duda, trae muchas ventajas, también genera más exposición a
riesgos cibernéticos, por eso cada vez es más importante contar con un sistema de
gestión de seguridad de la información basado en la norma ISO 27001 para proteger
los datos y prevenir las consecuencias que traería la materialización de un riesgo
de este tipo.

En general, esta norma ofrece herramientas que permiten asegurar, integrar y tener
de manera confidencial toda la información de la compañía y los sistemas que la
almacenan, evitando así que un ciberataque se materialice y así mismo, hacer más
competitiva a la empresa y cuidar su reputación.

En este especial encontrarás los lineamientos que debes seguir, según la norma
ISO 27001, para establecer un sistema de seguridad de la información conforme a
lo que necesita tu empresa para que así puedas identificar y evaluar los riesgos a
los que está expuesta y apliques los controles necesarios para mitigar tanto su
probabilidad de ocurrencia como su impacto en caso de presentarse.
 Desarrollo

1.1. Principios básicos de un Sistema de Seguridad de la Información (SGSI)

La seguridad de la información la podemos definir como el conjunto de políticas,

procedimientos, medidas técnicas y organizativas para proteger la información.
Proteger la información significa garantizar el cumplimiento de los tres principios
fundamentales de la seguridad informática, es decir, asegurar la confidencialidad,
la integridad y la disponibilidad de la información.

Para este propósito se deben implementar controles de seguridad y planes de

respuesta que mitiguen los múltiples riesgos que afectan tanto a la información en
tránsito como en almacenamiento.

Los 3 principios de la ciberseguridad

❖ Confidencialidad de la información

Hace referencia a que la información sólo debe ser conocida por las personas que
necesitan conocerla y que han sido autorizadas para ello. Este principio asegura
que la información no va a ser divulgada de manera fortuita o intencionada.

❖ Integridad de la información
Hace referencia a que la información que se encuentra almacenada en los
dispositivos o la que se ha transmitido por cualquier canal de comunicación no ha
sido manipulada por terceros de manera malintencionada. Esto garantiza que la
información no será modificada por personas no autorizadas.

❖ Disponibilidad de la información
Esto se refiere a que la información debe estar disponible siempre para las personas
autorizadas para accederla y tratarla, y además puede recuperarse en caso de que
ocurra un incidente de seguridad que cause su pérdida o corrupción. Es decir;
permite que la información esté disponible cuando sea necesario.
1.2. Alcance de la Norma ISO 27001.

La Norma ISO 27001 es una herramienta clave que facilita el establecimiento, la

implementación, el mantenimiento y la mejora de la seguridad de uno de los activos
más valiosos que posee la organización, que es la información.

Lo hace mediante un conjunto de procesos que toman como base los riesgos a los
que se enfrenta cada una de las organizaciones en todas las actividades diarias.

1.3. Contexto de la organización.

Inicialmente se puede pensar que el Sistema de Gestión de Seguridad de la
Información solo es asumible por las organizaciones de grandes dimensiones, son
precisamente las pymes las que más pueden beneficiare ya que les aporta un
conjunto de conocimientos y herramientas que, de otra forma, saldrían de sus
posibilidades. La norma ISO 27001 es adecuada para implementarse en cualquier
organización, sin importar las dimensiones, el mercado o la actividad.

Uno los objetivos clave de un Sistema de Gestión de Seguridad de la información

es favorecer el desempeño de la organización y, para ello, debe estar en
consonancia y alineada con los objetivos de negocio.

Tenemos que conocer el contexto de la empresa y valorar aquellas cuestiones, tanto

internas como externas, que pueden en alguna medida favorecer o perjudicar la
labor de conseguir las metas marcadas.

Como cuestiones internas podemos identificar los recursos financieros o el personal

y sus competencias, para poner dos ejemplos. Por otro lado, algunas cuestiones
externas pueden ser los aspectos culturales o socioeconómicos.

Todo esto permite que más allá de contar con una herramienta de gestión de la
seguridad de la información, obtenga una imagen general de la posición que ocupa
y de todo aquello que lo rodea y que le afecta en mayor o menor medida y a lo que
afecta de igual forma.

No podemos olvidarnos del papel que ocupan las partes interesadas y sus
necesidades. Estos son los personajes que se mueven en el escenario anterior y
que marcan los posibles objetivos que se quieren conseguir.

Es necesario definir el alcance del sistema, ya que es la clave que determina el

ámbito de la organización que trabaja bajo los requisitos de la norma ISO 27001.

1.4. Definición de un plan de tratamiento de riesgos.

El objetivo fundamental del plan de tratamiento de riesgos de Seguridad de la

Información es evaluar las posibles acciones que se deben tomar para mitigar los
riesgos existentes teniendo en cuenta los criterios de aceptación de riesgos
definidos por la Entidad.

Realizar un plan de tratamiento de riesgos de seguridad de la información es la parte

más compleja de la implantación de la norma ISO 27001. A la vez la evaluación del
riesgo es un paso más importante al comienzo de su proyecto de seguridad de la
información, se establecen las bases para la seguridad de la información en su
compañía.

A pesar del plan de tratamiento de riesgos de seguridad de la información, es un

trabajo complejo ya que a menudo se tejen mitos innecesarios. Queremos exponer
6 pasos básicos para realizar el plan de tratamiento de riesgos de seguridad de la
información de una manera sencilla: Metodología de evaluación del riesgo Es el
primer paso en su viaje hacia la gestión de riesgos. Necesita definir las reglas para
llevar a cabo la gestión de riesgo, ya que querrá que toda la empresa lo haga de la
misma forma, el principal problema del plan de tratamiento de riesgos de seguridad
de la información es que la organización lo ejecute de diferente forma en distintas
partes de la organización. Usted necesita definir si quiere una evaluación cualitativa
o cuantitativa del riesgo, cuáles son las escalas que se utiliza durante la evaluación
cualitativa, conocer cuál será el nivel aceptable de riesgo, etc. Implantación de la
evaluación del riesgo Una vez que se conocen las reglas, se puede comenzar
localizando los problemas potenciales que pueden ocurrir. Es necesario realizar un
listado de todos los recursos, de las amenazas y vulnerabilidades que se relacionan
con los recursos, evaluar el impacto y la probabilidad de ocurrencia para cada
combinación de recursos, amenazas, vulnerabilidades y finalmente se debe calcular
el nivel de riesgo. Las empresas normalmente sólo son conscientes del 30% de sus
riesgos. Puede ser que al finalizar se aprecie el esfuerzo realizado. Implementar el
tratamiento del riesgo No todos los riesgos tienen el mismo origen, se debe enfocar
en los más importantes, los llamados riesgos no aceptables.

Reporte de la evaluación del riesgo en el Sistema de Gestión de Seguridad de

la Información.

Al contrario que en los pasos anteriores, este es algo más tedioso ya que es
necesario documentar todo lo que ha hecho hasta ahora. No sólo es tedioso para
los auditores, ya que usted mismo puede querer verificar los resultados en uno o
dos años.

Declaración de aplicabilidad

Este documento muestra el perfil de seguridad de su empresa, basado en los

resultados del tratamiento de riesgos, necesita realizar un listado de todos los
controles que han implementado, por qué los implementó y cómo lo hizo. Este
documento también es muy importante porque el auditor de certificación lo utilizará
como su guía principal durante la auditoría.

Plan para el tratamiento de riesgos

Este es el paso en el que tiene que moverse de la teoría a la práctica. Hasta este
momento el trabajo del plan de tratamiento de riesgos de seguridad de la
información ha sido teórico, pero en este momento en donde se deben mostrar los
resultados.

Este es el propósito del plan de tratamiento de riesgos de seguridad de la

información, es decir, definir de forma exacta quien va a implantar cada control,
cuándo, con qué presupuesto cuenta, etc. Es preferible llamar a este documento
“plan de implementación” o “plan de acción”, pero debemos utilizar la terminología
de la norma ISO 27001.Una vez que ha escrito este documento, es crucial que se
obtenga la aprobación de la dirección, ya que llevará tiempo y esfuerzo para
implantar todos los controles que ha planificado. Y sin su compromiso no obtendrá
los recursos necesarios.

1.5. Implementación de controles

En el Anexo A de esta norma hay un total de 114 controles de seguridad. Cada
organización debe elegir cuáles se aplican mejor a sus necesidades y es importante
entender que no solo se limita al área de tecnología, sino que también involucra
departamentos como el de recursos humanos, seguridad financiera,
comunicaciones, entre otros.

En el 2013 se realizó este cambio, pues anteriormente en la norma del 2005 había
un total de 133 controles y se eliminaron los estándares de acciones preventivas, y
el requisito para documentar ciertos procedimientos.

Los 114 controles de la norma ISO 27001 están divididos en 14 secciones:

❖ Políticas de seguridad de la información.

❖ Organización de la seguridad de la información.
❖ Seguridad de los recursos humanos.
❖ Gestión de activos.
❖ Controles de acceso.
❖ Criptografía – Cifrado y gestión de claves.
❖ Seguridad física y ambiental.
❖ Seguridad operacional.
❖ Seguridad de las comunicaciones.
❖ Adquisición, desarrollo y mantenimiento del sistema.
❖ Gestión de incidentes de seguridad de la información.
❖ Cumplimiento.
Los controles son obligatorios según la aplicabilidad en cada organización. Los
encargados de la seguridad de la información son quienes deben definir cuáles son
los que se van a poner en marcha para garantizar la protección de los datos.

Es indispensable generar una capacitación sobre esta norma para establecer los
controles adecuados en la gestión de la seguridad de la información.

Adicionalmente, la norma ISO 27001 requiere algo más sobre los controles de
seguridad, por eso, es necesario llevar a cabo las siguientes acciones:

❖ Definir responsabilidades para administrar los controles.

❖ Medir y monitorear la efectividad de los controles.
❖ Implementar acciones correctivas cuando se detecten fallos en los controles,
de tal forma que se asegure el logro de los objetivos propuestos.

Por tanto, la atención al Anexo A y la capacitación adecuada sobre la norma son

fundamentales para establecer los controles de seguridad pertinentes.
 Conclusión

La información es un activo fundamental de cualquier negocio y se extiende desde

la información digital o los documentos en papel, los activos físicos (ordenadores y
redes) o el mismo conocimiento de los empleados. Los acontecimientos que afectan
a la integridad, el secreto y la disponibilidad de información pueden afectar a la
continuidad de una empresa. La Seguridad de la información se define como la
preservación de la confidencialidad, la integridad y la disponibilidad de la
información.

La norma ISO27001 es una herramienta efectiva para manejar un Sistema de

Gestión de Seguridad de la Información en cualquier organización, sin importar a
que se dedique esta, debido a que es un tema de extrema trascendencia y
permanente actualidad. Es de uso global y además es certificable.

La seguridad de la información es un aspecto, que debe ser parte de la cultura

organizacional, inherente a toda actividad humana; cursos, seminarios, y talleres no
bastan, hay que interiorizar en las personas de la organización, la necesidad y
beneficios de dicha cultura, así como los riesgos de no tenerla.
 Bibliografía

❖ Ladino, MI, Villa, PA, & López, AM (2011). Fundamentos de ISO 27001 y su
aplicación en las empresas. Scientia et technica , 17 (47), 334-339.
❖ Arévalo Ascanio, JG, Bayona Trillos, RA y Rico Bautista, DW (2015).
Implantación de un sistema de gestión de seguridad de información bajo la
ISO 27001: análisis del riesgo de la información. Tecnura , 19 (46), 123-134.
❖ Brenner, J. (2007). Cumplimiento y gestión de riesgos ISO 27001. Gestión
de riesgos, 54 (1), 24-29.
❖ Hsu, C., Wang, T. y Lu, A. (2016, enero). El impacto de la certificación ISO
27001 en el desempeño de la empresa. En 2016, 49.ª Conferencia
Internacional de Hawái sobre Ciencias de Sistemas (HICSS) (págs. 4842-
4848). IEEE.