Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
Descargar como docx, pdf o txt
Está en la página 1/ 7
UNIVERSIDAD AUTÓNOMA
“GABRIEL RENE MORENO”
FACULTAD DE CIENCIAS CONTABLES
CONTADURIA PÚBLICA
ISO 27000 1-2
INTEGRANTES: 1) 2) 3) 4) PATZI AIZA JHENNYFER - 220022097 CARRERA: CONTADURIA PÚBLICA DOCENTE: PINTO VIRHUEZ MARIO GERARDO MATERIA: AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACION GRUPO: CPA 510 “M” SEMESTRE: 1/2024 V. DESARROLLO DEL TEMA
ISO 27001
OBJETIVOS DEL TEMA
Asegurar la implementación efectiva y el mantenimiento de un SGSI efectivo por parte del
grupo de empleados más amplio.
DESARROLLO
La certificación ISO 27001 es cada vez más crucial para las organizaciones, ya que garantiza la seguridad de la información. Hay tres áreas principales de beneficios:
1. Comerciales: La certificación brinda una ventaja competitiva al respaldar la seguridad de la
información mediante una tercera parte independiente. Los clientes que valoran la seguridad de la información demandan esta certificación, lo que puede resultar en un aumento de los ingresos comerciales.
2. Operacionales: La implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) basado en ISO 27001 promueve una cultura interna de conciencia de riesgos y un enfoque coherente para abordarlos. Esto conduce a controles más sólidos y a una gestión más eficiente de las amenazas, minimizando los costos y mitigando efectivamente las consecuencias de los fallos.
3. Tranquilidad: Un SGSI sólido proporciona seguridad a los propietarios y gerentes de las
organizaciones, permitiéndoles dormir más tranquilos al saber que están protegidos contra multas, interrupciones comerciales y daños a su reputación.
La certificación ISO 27001 se basa en el principio de proteger la información sensible o valiosa,
abordando los riesgos de confidencialidad, integridad y disponibilidad (CIA). Se gestiona mediante controles diseñados para prevenir incidentes de seguridad de la información, que pueden surgir debido a amenazas y vulnerabilidades en los activos de la organización.
Las auditorías son fundamentales para evaluar la eficacia de un SGSI, ya sea internamente, externamente por parte de clientes o reguladores, o mediante certificaciones de terceros. Estas auditorías se basan en un enfoque de pensamiento y procesos basado en riesgos para garantizar resultados consistentes y predecibles.
La norma ISO 27001 consta de 10 cláusulas que detallan los requisitos para un SGSI efectivo. Además, hay un conjunto de 114 controles de seguridad de la información en el Anexo A que deben ser considerados para cumplir con la norma. Cada organización debe cumplir con todos estos requisitos para obtener la certificación ISO 27001.
• La sección 1 establece el objetivo de la norma ISO 27001, los tipos de organizaciones a
los que se aplica y las cláusulas que contienen los requisitos para la certificación. La norma es aplicable a cualquier tipo de organización, independientemente de su tamaño, complejidad o sector industrial.
• En la sección 2, se enumeran las referencias normativas, siendo la principal la norma
ISO 27000, que proporciona información adicional relevante para determinar el cumplimiento de la norma ISO 27001.
• La sección 3 remite a la norma ISO 27000 para las definiciones de términos utilizados en la norma ISO 27001. Algunos términos importantes incluyen controles de acceso, eficacia, riesgo, evaluación y tratamiento del riesgo, y alta dirección.
• La sección 4 aborda el contexto de la organización, destacando la importancia de
comprender el entorno interno y externo de la organización para identificar los riesgos de seguridad de la información. Se sugieren áreas de consideración interna, como la madurez de la organización, la cultura, la gestión, los recursos, los formatos de activos de información, la sensibilidad de los activos, la coherencia de los procesos, los sistemas, la complejidad del sistema y el espacio físico.
En el contexto externo, se deben considerar áreas como la competencia en el mercado, las
regulaciones, la economía/política, las consideraciones ambientales, la prevalencia de ataques de seguridad, y las expectativas de los accionistas. Las partes interesadas incluyen accionistas, reguladores, clientes, empleados y competidores, cuyas necesidades deben ser consideradas para el SGSI.
El alcance del sistema de gestión debe ser documentado e incluir límites físicos y lógicos, grupos de empleados, procesos y interfaces clave. Es importante priorizar los recursos centrándose en las partes interesadas clave.
• La sección 5 destaca la importancia del liderazgo en la implementación del SGSI,
incluida la claridad en los objetivos, las responsabilidades, el pensamiento basado en el riesgo y la comunicación. La política de seguridad de la información debe ser establecida por la alta dirección, alineada con los objetivos de la organización y demostrar el compromiso con los requisitos legales, las expectativas de los clientes y la mejora continua. Se recomienda comunicar la política a través de diferentes medios y hacer cumplir su apoyo como requisito contractual.
Para que todos en la organización participen en las actividades de seguridad de la información,
es crucial definir y comunicar claramente las responsabilidades y obligaciones. Aunque la norma no exige un representante de seguridad de la información, puede ser útil designar uno, preferiblemente un miembro del equipo de alta dirección con sólidos conocimientos técnicos.
Demostrar el liderazgo a un auditor implica la participación activa de la alta dirección en la
evaluación de riesgos, establecimiento y comunicación de políticas y objetivos, revisión del rendimiento del sistema y asignación de recursos adecuados.
La planificación en ISO 27001 se centra en la gestión de riesgos, identificando riesgos
estratégicos y cotidianos, y garantizando que las actividades diarias estén diseñadas para gestionar esos riesgos y adaptarse a los cambios. Un plan de acción detallado respaldado por revisiones y controles periódicos es esencial.
La evaluación de riesgos es fundamental en cualquier SGSI. Permite identificar riesgos
potenciales, asignar recursos y tomar decisiones estratégicas para gestionar los riesgos importantes. La norma ISO 27005 ofrece orientación para desarrollar una técnica de evaluación de riesgos, que debe incluir la identificación de riesgos, la evaluación de su probabilidad y consecuencias, y el establecimiento de criterios para la acción.
El tratamiento de riesgos implica decidir si aceptar, evitar, eliminar, reducir o transferir un
riesgo. Cada riesgo debe ser evaluado y tratado de manera consistente, y un plan de tratamiento de riesgos detallado debe ser aprobado por la alta dirección y los propietarios de riesgos asignados. Un auditor externo esperará ver evidencia de este plan y su aprobación.
El Anexo A de la norma ISO 27001 proporciona una lista detallada de 114 controles de seguridad de la información que las organizaciones pueden considerar al diseñar sus sistemas de gestión de seguridad de la información (SGSI). Estos controles abarcan áreas como políticas de seguridad, organización de la seguridad, gestión de activos, control de acceso, criptografía, seguridad física, gestión de incidentes, entre otros. Para cada uno de estos controles, las organizaciones deben determinar su aplicabilidad y si han sido implementados o no. Esto se documenta en la Declaración de Aplicabilidad, que es un registro crucial que un auditor externo espera revisar durante una auditoría de conformidad.
Además, las organizaciones deben establecer objetivos de seguridad de la información que
sean medibles y alineados con su política de seguridad. Estos objetivos pueden ser tanto generales para toda la organización como específicos para departamentos individuales. Cada objetivo debe tener asignados recursos, responsables y métodos de evaluación para su consecución.
La norma ISO 27001 sigue un enfoque basado en el riesgo, lo que significa que las organizaciones deben identificar y evaluar los riesgos de seguridad de la información y luego seleccionar los controles apropiados del Anexo A para mitigar o gestionar estos riesgos. Esto asegura que los recursos se centren en las áreas de mayor riesgo y que los controles se apliquen de manera efectiva para proteger la información sensible de la organización.
• La Sección 7 se centra en los recursos necesarios para implementar y mantener un
Sistema de Gestión de Seguridad de la Información (SGSI). Esto incluye personas, infraestructura, recursos físicos y materiales, así como el conocimiento como un recurso importante. Al planificar los objetivos de calidad, es esencial considerar la capacidad actual de los recursos y cualquier necesidad futura de proveedores o socios externos.
La competencia es fundamental para aplicar controles efectivos de seguridad de la
información. Definir los conocimientos y habilidades necesarios, identificar quién los debe poseer y establecer métodos para evaluarlos son pasos importantes. Los registros de competencias, como certificados de formación o evaluaciones internas, son esenciales para demostrar el cumplimiento de estos requisitos.
La concienciación es crucial para establecer una cultura de apoyo dentro de la organización.
Todos los empleados, proveedores y contratistas deben comprender la existencia del SGSI, la política de seguridad de la información y cómo contribuir a su protección. Esto se logra mediante comunicación efectiva a través de diferentes canales, como formaciones, contratos, reuniones informativas y actualizaciones.
La comunicación eficaz es esencial para que los procesos del SGSI funcionen correctamente. La norma ISO 27001 exige determinar qué, cuándo y a quién comunicar, así como designar responsables y establecer procesos de comunicación claros. La información documentada utilizada en el SGSI debe ser precisa, comprensible y útil. Es fundamental establecer procesos para garantizar su revisión, control de acceso, eliminación segura y seguimiento de cambios. Los métodos pueden incluir revisión por personas adecuadas, sistemas de gestión de documentos electrónicos y sólidos procesos de copia de seguridad.
• La Sección 8 aborda el funcionamiento del SGSI, centrándose en la implementación de
procesos claros y coherentes. Los procesos deben adaptarse o formalizarse para incluir aspectos de seguridad de la información. Es importante identificar los riesgos relevantes y asignar responsabilidades y recursos adecuados para su gestión. Además, se deben evaluar y actualizar regularmente los procesos y la evaluación de riesgos.
La evaluación del desempeño del SGSI se realiza a través de la supervisión de los controles, auditorías internas y revisiones por la dirección. Los procesos deben ser monitoreados para garantizar su eficacia y adecuación. Las auditorías internas son fundamentales para identificar puntos débiles y oportunidades de mejora. Las revisiones por la dirección son esenciales para revisar la eficacia del SGSI y su alineación con la estrategia organizativa.
Finalmente, la Sección 10 se centra en la mejora continua del SGSI. El aprendizaje de
incidentes, problemas detectados en auditorías y supervisión, quejas de partes interesadas y revisiones de la dirección es fundamental. Se deben registrar y analizar estas oportunidades de mejora, implementando acciones correctivas y preventivas según sea necesario para fortalecer el SGSI con el tiempo.
VI MARCO TEORICO
¿Qué es la norma ISO/IEC 27001?
La ISO/IEC 27001 es la norma más conocida del mundo para sistemas de gestión de la seguridad de la información (SGSI). Esta norma define los requisitos que debe cumplir un SGSI.
La norma ISO/IEC 27001 proporciona a las empresas de cualquier tamaño y de todos los sectores orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información.
La conformidad con la ISO/IEC 27001 implica que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja, y que este sistema respeta todas las buenas prácticas y principios contemplados en esta Norma Internacional.
¿Por qué es importante la norma ISO/IEC 27001?
Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, puede
parecer difícil o incluso imposible gestionar los riesgos cibernéticos. La ISO/IEC 27001 ayuda a las organizaciones a ser conscientes de dichos riesgos y a identificar y abordar los puntos débiles de forma proactiva.
La ISO/IEC 27001 promueve un enfoque integral de la seguridad de la información, que abarca
a las personas, las políticas y la tecnología. Un sistema de gestión de la seguridad de la información implantado conforme a esta norma es una herramienta clave para la gestión de riesgos, la resiliencia cibernética y la excelencia operativa.
