Nombre: Gerardo Rincón Saucedo. No.

Control:

12040051

Carrera/ Materia: Nombre del profesor:

ISC Taller de S.O Carlos A. Díaz Salgado

Actividad:

Investigación sobre los estándares ISO

Fecha:

11 de junio del 2015

Introducción

Las ISO son las normas o estándares que rigen a varias o muchas de las empresas
internacionales, pues dichas normas mejoran aspectos malos de las empresas y
también de los productos, dándoles un nivel de calidad mejor y una mayor
reputación, esta es una organización no gubernamental ya que gracias a la
necesidad de las empresas de crear u obtener mayor reputación entre los clientes
tienen que pagar por dichos registros y cumplir con varios requerimientos para ser
acreedores a estas normas, en el siguiente documento se dará una breve
explicación de lo que son los estándares ISO, así como también se explicaran
algunas de las ISO y algunos certificados con los cuales debe cumplir una empresa
para un mejor funcionamiento.
¿Qué es un estándar?

Son normas y protocolos internacionales que deben cumplir productos, empresas o

alguna institución.

En base a la definición de la Real Academia Española, “Un estándar es aquello que

sirve como tipo, modelo, norma, patrón o referencia”.

¿Qué es ISO?

ISO es una organización no gubernamental establecida en 1947. La misión de la

ISO es promover el desarrollo de la estandarización y las actividades con ella
relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes,
y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico
y económico.

¿Qué son las normas ISO? Y ¿Para qué sirven?

Son regímenes de calidad o reglamentos para mejorar aspectos malos de empresas

u productos, las empresas del mundo pueden certificarse ante ellas pero para esto
es necesario que pasen por una serie de pruebas, auditorias, etc. Los números
(9000, 9001) no sirven más que para categorizarlas. Las empresas obtienen
certificaciones ISO para ganar reputación y mejorar sus niveles de calidad.
ISO 17799

Es una norma internacional que ofrece recomendaciones para realizar la gestión de

la seguridad de la información dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de una organización.

La norma ISO 17799 ofrece instrucciones y recomendaciones para la administración

de la seguridad.

La norma 17799 también ofrece una estructura para identificar e implementar

soluciones para los siguientes riesgos:

Política de seguridad: escribir y comunicar la política de seguridad de la compañía

Organización de seguridad: definir los roles y las responsabilidades. Monitorear a
los socios y a las empresas tercerizadas Clasificación y control de activos: llevar un
inventario de los bienes de la compañía y definir cuán críticos son así como sus
riesgos asociados Seguridad del personal: contratación, capacitación y aumento de
concientización relacionadas a la seguridad física y del entorno: área de seguridad,
inventarios del equipamiento de seguridad Comunicación / Administración de
operaciones: procedimientos en caso de accidente, plan de recuperación, definición
de niveles de servicio y tiempo de recuperación, protección contra programas
ilegales, etc. Control de acceso: establecimiento de controles de acceso a diferentes
niveles (sistemas, redes, edificios, etc.) Desarrollo y mantenimiento del sistema:
consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento
Plan de continuidad empresarial: definición de necesidades en términos de
disponibilidad, recuperación de tiempo y establecimiento de ejercicios de
emergencia Contratación: respeto por la propiedad intelectual, las leyes y las
reglamentaciones de la compañía.

¿Qué es norma ISO 27001?

ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en
una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora
su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005
y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.

ISC2

Consorcio internacional de Certificación de Seguridad de Sistemas de

Información o (ISC)2 (del inglés International Information Systems Security
Certification Consortium), es una organización sin ánimo de lucro con sede en Palm
Harbor, Florida que educa y certifica a los profesionales de la seguridad de la
información. (ISC)2 fue fundada en 1989, ha certificado a cerca de 60.000
profesionales de 135 países, y cuenta con oficinas en Londres, Hong
Kong y Tokio. La certificación más extendida ofrecida por la organización es la
de Profesional certificado en sistemas de seguridad de la información (CISSP).
Ofrece una colección de información profesional así como las concentraciones que
cubren disciplinas específicas dentro de la información campo de la seguridad.
(ISC)2 certificaciones abarcan una amplia gama de conocimiento.

Todas las certificaciones se basan en el (ISC)2 CBK,7 un compendio de temas de

seguridad de información. El CBK es cuerpo crítico de los conocimientos que define
las normas de Mundial de la industria, sirviendo como un marco común de los
términos y principios que permite a los profesionales en todo el mundo para discutir,
debate y resolver asuntos relacionados con el campo. Expertos de materia retenidos
por (ISC)2 continuamente revisar y actualizar el CBK.

Aunque los requisitos varían de certificación a certificación, tales como el mínimo el

número de años de experiencia de trabajo pertinente y áreas de conocimiento de
domino, todos candidatos solicitan (ISC)2 certificaciones deben pasar un riguroso
examen, ser aprobado por un miembro actual de (ISC) 2, adherirse al Código de
Ética de (ISC)2 y obtener anual continua unidades de educación profesional (CPE)
para mantener la certificación.

CISSP

Certified Information Systems Security Professional es una certificación de alto nivel

profesional otorgada por la (ISC)2 (International Information Systems Security
Certification Consortium, Inc), con el objetivo de ayudar a las empresas a reconocer
a los profesionales con formación en el área de seguridad de la información.

CISSP es considerada como una de las credenciales de mayor representatividad

en el ámbito de la seguridad informática a nivel mundial. Para mayo del 2014, había
registrados 93391 CISSPs en el mundo. En Junio del 2004 CISSP obtuvo la
acreditación ANSI e ISO/IEC Standard 17024:2003 La certificación también tiene
aprobación del Departamento de Defensa de Estados Unidos (DOD) en las
categorías técnicas (Information Assurance Technical (IAT)) y de dirección
(Information Assurance Managerial (IAM)) para el requerimiento de
certificación DoDD 8570 La certificación CISSP ha sido adoptada como estándar
para el programa ISSEP de la Agencia Nacional de Seguridad de EEUU.
Los aspirantes a obtener la certificación CISSP deben cumplir con los siguientes
requerimientos:

 Aprobar el examen para CISSP: Este examen consta de 250 preguntas de

selección simple y 6 horas de duración, en el cual se evalúa el manejo que tiene
el candidato sobre cada uno de los 10 dominios de conocimiento que conforman
el Common Body of Knowledge (CBK), obteniendo una puntuación superior o
igual a 800 sobre 1000

 Demostrar experiencia mínima de 5 años en al menos dos de los 10 dominios

del CBK

 Adherirse al Código de Ética de la ISC2

 En caso de ser seleccionado para tal fin, el aspirante debe someterse y pasar
un proceso de auditoría respondiendo cuatro preguntas en relación al historial
delictivo y de antecedentes personales

Con el objetivo de mantener su estado de CISSP, aquellos profesionales

certificados deben realizar cierta cantidad de actividades cuya finalidad primordial
es asegurar que el profesional se ha mantenido activo en el área de la seguridad.
Cada una de estas actividades reciben cierta cantidad de créditos (CPE) de los
cuales el profesional debe reunir 120 cada 3 años. Si el CISSP no reúne los 120
CPEs en el tiempo definido, debe entonces volver a tomar y aprobar el examen si
desea mantener su certificación.

SANS

El Instituto SANS (SysAdmin Audit, Networking and Security Institute) es una

institución con ánimo de lucro fundada en 1989, con sede
en Bethesda (Maryland, Estados Unidos) que agrupa a 165.000 profesionales de
la seguridad informática (consultores, administradores de
sistemas, universitarios, agencias gubernamentales, etc.)
Sus principales objetivos son:

 Reunir información sobre todo lo referente a seguridad informática (sistemas

operativos, routers, firewalls, aplicaciones, IDS, etc.)
 Ofrecer capacitación y certificación en el ámbito de la seguridad informática

Igualmente, el SANS Institute es una universidad formativa en el ámbito de las

tecnologías de seguridad. Es una referencia habitual en la prensa sobre temas de
auditoría informática.

CONCLUSIÓNES

 A modo de conclusión puedo decir que los estándares ISO son unas
normas muy necesarias para las empresas y productos puesto que a
nosotros los clientes dichas normas nos ayudan a escoger bien los
servicios de alguna empresa o nos ayudan a adquirir algún producto.

 La ISO 17799 es una norma que ayuda a gestionar la seguridad de la

información de las empresas dando instrucciones de cómo puede llevarse a
cabo la conservación segura de la información.
 En fin todo sobre lo que se habló anteriormente es relacionado con seguridad
de la información de las empresas brindando la ayuda para tener un mejor
manejo de dicha información y una mejor protección.
BIBLIOGRAFÍA

[Link]
las-normas-iso-641381741552

[Link]

[Link]
ofessional

[Link]