Actividad 3.2.1.

Realice lectura analítica a Norma Técnica Colombiana – NTC

- ISO 27001. Tecnología de la información, Técnicas de seguridad - Sistemas
de gestión de la seguridad de la información – SGSI. Con base en la lectura
responda las preguntas siguientes:

¿Qué es un SGSI?

Rta/ Es una norma elaborada para brindar un modelo para el establecimiento,

implementación, operación, seguimiento, revisión, mantenimiento y mejora de
un sistema de gestión de la seguridad de la información (SGSI). Es un conjunto
de politicas que promueven la adopción de un enfoque basado en procesos,
para establecer, implementar, operar, hacer seguimiento, mantener y mejorar
eficientemente la accesibilidad de informaciòn, buscando asegurar la integridad
de los archivos de la organizaciòn.

¿Para qué sirve un SGSI?

RTA/ Sirven para mantener la confidencialidad, la integridad y la disponiblidad
de todos los archivos de la organizaciòn ya que cada vez las emrpesas estan
expuestas a todo tipo de amenzas, con esto se pueden realizar fraudes,
vandalismo, o sabotaje, pero tambien se habla dentro de la organizaciòn por
incidentes voluntarios o involuntario y por ende por accidentes catastroficios.
La confidecialidad, integridad y demàs nos ayudaran con la rentabilidad y
competitividad en el mercado.
Es muy importante ya que la protecciòn adecuada de todos estos archivos nos
ayudara con el plan de negocio, y con todas las oportunidades que se nos
presente como organizaciòn. Como ya sabemos el nivel de seguridad de las
organizaciones es insifuciente, por cosniguente el sistema de seguridad de
riesgos de la informaciòn implementa uns procedimientos los cuaes asegura de
manera eficaz todos los archivos.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por todos, que se revisa y
mejora constantemente.
¿Qué incluye un SGSI?

RTA/ Una SGSI incluye:

 Manual de seguridad; es un documento en el que se dirije todo el sistema, en
donde se determina las intenciones, alcance, objetivos, responsabilidades,
políticas y directrices principales, etc, del SGSI.
 Los procedimientos: Documentos aseguran que se realicen de forma eficaz la
planificación, operación y control de los procesos de seguridad de la
información.
 Unas instrucciones, domcuentos donde se determine las funciones que se
tienen que ejecutar de acuerdo a la seguridad de la informaciòn.
 Documentos que proporcionan una evidencia objetiva del cumplimiento de
los requisitos del SGSI; están asociados a documentos de los otros tres
niveles que demuestra que se ha cumplido lo indicado en los mismos.

Deben incluir otro tipo de documentos los cuales son:

 Alcance del SGSI: ámbito de la organización que queda sometido al SGSI
 Política y objetivos de seguridad: Documetno que establece el compromiso de
la direcciòny el enfoque organizacional en cuanto a las sgsi.
 Procedimientos y mecanismos de control que soportan al SGSI: Regulan su
propio funcionamiento.
 Enfoque de evaluación de riesgos: descripción de la metodología a emplear
 Informe de evaluación de riesgos: Estudio resultante de la metodologia
aplicada anteriormente.
 Plan de tratamiento de riesgos: documento que identifica las acciones de la
dirección, los recursos, las responsabilidades y las prioridades para gestionar
los riesgos de seguridad de la información, en función de las conclusiones
obtenidas de la evaluación de riesgos, de los objetivos de control
identificados, de los recursos disponibles, etc.
 Procedimientos documentados
 Registros: evidencias
 Declaraciòn de aplicabilidad: resultados
Y por ultimo un control como:
 Aprovaciòn de los documentos
 Revisiòn y actualizaciòn de los documentos
 Documentos legibles e identificables
 Distribuciòn de los documentos

¿Cómo se implementa un SGSI?

Para implentar el sistema de gestion de seguridad de la informaciòn se ultiliza
el ciclo continuo elaborado por william deming que seria el phva en este caso
(planear, hacer, verificar y actuar)
Planear (Establecer las sgsi)
Establecer la política, los objetivos, procesos y procedimientos de seguridad
pertinentes para gestionar el riesgo y mejorar la seguridad de la información,
con el fin de entregar resultados acordes con las políticas y objetivos globales
de una organización.
 Definir el alcance de las sgsi en termino de negocio, organizaciòn etc.
 Definir una politica de seguridad que incliya el marco general y los objetivos
de seguridad, requerimientos legales, estar alineada con el texto estrategico,
establecer criterios y que este aprobada por la direcciòn.
 Definir una politica de metodologia de la evaluaciòn de riesgos
 Identificar los riesgos las amenazas y vulnerabilidades.
 Analizar y evaluar los riesgos
 Identificar y evaluar las distintas opciones de tratamiento de los riesgos para
aplicar los cntroles adecuados.
 Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluación del riesgo.
 Aprobar por parte de la dirección tanto los riesgos residuales como la
implantación y uso del SGSI.
 Definir una declaración de aplicabilidad que incluya los objetivos de control.
Hacer (Implementar y utilizar las sgsi)
 Definir un plan de tratamiento de riesgos que identifique las acciones,
recursos,
 y prioridades en la gestión de los riesgos de seguridad de la información.
 Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos
de control identificados.
 Implementar los controles anteriormente seleccionados que lleven a los
objetivos de control.
 Definir un sistema de métricas que permita obtener resultados reproducibles y
 comparables para medir la eficacia de los controles o grupos de controles.
 Procurar programas de formación y concienciación en relación a la seguridad
de la información a todo el personal.
 Gestionar las operaciones del SGSI.
 Gestionar los recursos necesarios asignados al SGSI para el mantenimiento
de laseguridad de la información.
 Implantar procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad.
Verificar (Monitorizar y revisar las sgsi) para:
- Detectar a tiempo los errores
- Identificar brechas
- Ayudar a la dirección
- Detectar y prevenir eventos
- Determinar si las acciones realizadas para resolver brechas de seguridad
fueron efectivas.
 Revisar regularmente la efectividad del SGSI
 Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
 Revisar regularmente en intervalos planificados las evaluaciones de riesgo
 Realizar periódicamente auditorías internas del SGSI en intervalos
planificados.
 Revisar el SGSI por parte de la dirección periódicamente
 Actualizar los planes de seguridad en función de las conclusiones y nuevos
 hallazgos encontrados durante las actividades de monitorización y revisión.
 Registrar acciones y eventos que puedan haber impactado sobre la
efectividad o el rendimiento del SGSI.
Acutar (Mantener y mejorar las sgsi)
Se debera:
 Implantar en el SGSI las mejoras identificadas.
 Realizar las acciones preventivas y correctivas
 Comunicar las acciones y mejoras a todas las partes interesadas
 Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

¿Qué tareas tiene la gerencia en un SGSI?

Las tareas que este tiene son:
 Debe tener un compromiso con la direcciòn y establecer politicas, objetivos,
roles y responsabilidades, asignar recursos, auditorias y revisiones.
 Debe asignar recursos para: establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar el SGSI, realizar revisiones y mejorar la eficiencia.
 Formaciòn y concienciación para el exito de un SGSI, para ello se deben
determinar las competencias del personal, satisfacer dichas necesidades,
evaluar la eficiencia y mantener registros de estudios.
 Revisiòn del SGSI: Se debe revisar por lo menos una vez al año las SGSI
para mirar que continue siendo eficaz y adecuado, para ello se reciben una
seria de informaciones como: Resultados de auditorias, observaciones,
resultados etc.

¿Se integra un SGSI con otros sistemas de gestión?

Rta/ La gestión de las actividades de las organizaciones se realiza, cada vez
con más frecuencia, según sistemas de gestión basados en estándares
internacionales: se gestiona la calidad según ISO 9001, el impacto medio-
ambiental según ISO 14001 o la prevención de riesgos laborales según
OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de
seguridad de la información.
Las empresas tienen la posibilidad de implantar un número variable de estos
sistemas de gestión para mejorar la organización y beneficios sin imponer una
carga a la organización.
El objetivo último debería ser llegar a un único sistema de gestión que
contemple todos los aspectos necesarios para la organización, basándose en
el ciclo PDCA de mejora continua común a todos estos estándares. Las
facilidades para la integración de las normas ISO son evidentes mediante la
consulta de sus anexos.
Algunos puntos que suponen una novedad en ISO 27001 frente a otros
estándares son la evaluación de riesgos y el establecimiento de una
declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al
resto de normas en un futuro.