UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS ADMINISTRATIVAS

Escuela de Ciencias Administrativas
“Año del Bicentenario del Perú: 200 años de Independencia”

CURSO

GESTIÓN DE ESTÁNDARES INTERNACIONALES

DOCENTE

BERENICE CASARO LLONTOP

Grupo 2 “INNOVATORS 19”

ISO 27001- SEGURIDAD DE LA INFORMACIÓN

INTEGRANTES

1
 ÍNDICE

Introducción 3

El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001.

Aspectos claves y relación con las normas ISO 22301 e ISO/IEC 20000 3

Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y criticidad 5

La implementación de controles 6

Definición de un plan de tratamiento de riesgos o esquema de mejora 7

El alcance de la gestión 9

Contexto de organización 9

Partes interesadas 9

Fijación y medición de objetivos 10

El proceso documental 11

Auditorías internas y revisión por la Dirección 12

Cómo automatizar el SGSI según ISO 27001 13

Sectores más interesados en la implantación de este sistema 14

Bibliografía 17

2
Introducción

1. El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la

norma ISO 27001. Aspectos claves y relación con las normas ISO 22301 e
ISO/IEC 20000

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un

conjunto de políticas de administración de la información. El término SGSI es
utilizado principalmente por la ISO/IEC 27001, que es un estándar internacional
aprobado en octubre de 2005 por la International Organization for Standardization y
por la comisión International Electrotechnical Commission. La ISO/IEC 27001
especifica los requisitos necesarios para establecer, implantar, mantener y mejorar
un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido
“Ciclo de Deming”: PHVA – acrónimo de Planificar, Hacer, Verificar, Actuar,
siendo éste un enfoque de mejora continua.

1.1 El Sistema de Gestión de Seguridad de la Información (SGSI)

La gestión de la seguridad de la información es un proceso continuo que

consiste en garantizar que los riesgos de la seguridad de la información sean
identificados, valorados, gestionados y tratados por todos los miembros de la
organización de una forma documentada, sistemática, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologías. La gestión de la seguridad de la información requiere la participación
activa de toda la organización con relación a la planeación, definición,
identificación e implementación de controles y medidas orientadas a salvaguardar la
seguridad de la información, así como el debido control de acceso a los recursos y
activos de información.

La gestión de la seguridad de la información, implica que las organizaciones

clasifican sus activos de información en términos de su valor, requerimientos
legales, sensibilidad y criticidad, con el propósito de identificar los riesgos que
pueden afectar su seguridad y determinar las medidas de prevención, detección,
retardo y reacción que se requieran implementar para controlar el acceder no
autorizado a las instalaciones, recursos, sistemas e información de la organización, o
cualquier amenaza proveniente del entorno, la naturaleza y las acciones del hombre
que pueda llegar a comprometer el normal funcionamiento y operación del negocio.

1.2 ISO 27001

ISO 27001 es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.

3
 El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la
Información permite a las organizaciones la evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto,

que mejora la competitividad y la imagen de una organización. la ISO 27001:2013,
fue publicada recientemente, aportó una serie de cambios con respecto a su
antecesora que los usuarios de los SGSI tienen que asimilar para continuar
gestionando de forma eficaz la Seguridad de la Información. Las novedades que
manifiesta son:

● No aparece la sección “Enfoque a procesos” con su respectiva

metodología basada en el ciclo PHVA, ahora ofrece mayor
flexibilidad.
● Se elimina la obligatoriedad de algunos documentos, conservando
únicamente la declaración de aplicabilidad.
● Se han revisado los requisitos y controles.
● Se apuesta por un enfoque del análisis del riesgo en la fase de
planificación y operación.

Por un lado, tenemos un sistema que te habilita para prestar un servicio de

tecnologías de información, como la ISO 20000 y por otro, la norma ISO 27001,
que le ayuda a mantenerla segura. Este sistema, que es la norma ISO 20000, en uno
de sus puntos abarca lo que es el cuidado de la información. En este punto, pide que
se maneje la confidencialidad, la integridad y la disponibilidad de la información.
Ahí es donde entra la norma ISO 27001, estableciendo un sistema más robusto en
cuanto al manejo de la información, que no se enfoca únicamente en lo que es la
información digital, sino que también, a la información física o impresa. En este
punto, la ISO 20000 y la ISO 27001 ¿qué nos dicen? Básicamente nos indican cómo
prestar los servicios de TI y que, sobre ellos, hay que establecer una serie de
controles que deben considerarse para el manejo seguro de la información.

Hoy en día, muchas empresas compran software y hardware para obtener

beneficios en cuanto a tiempo dedicado en sus gestiones. Pero en realidad, no
disponen en sus organizaciones de una forma estructurada de cómo gestionar los
servicios que tienen o contratan. Es decir, si, por ejemplo, tienen que emitir facturas
electrónicas, no disponen de un protocolo o procedimiento documentado de la
forma segura de llevarlo a cabo. Y es en este punto en el que entra en acción la
importancia de la ISO 20000, ya que ésta norma, en uno de sus puntos, especifica
cómo tratar y cómo negociar con proveedores de servicios de tecnologías de
información, o cualquier otro tipo de servicio. Por lo tanto, el cómo gestionar y
administrar los servicios para que la empresa brinde el servicio que necesite o el que
sus clientes están esperando, se puede gestionar a través de la norma ISO 20000.Y

4
 la norma ISO 27001, aporta los controles necesarios para que todos los datos y la
información de la organización, se gestione y mantenga de forma segura.

1.3 . Fases de un SGSI basado en la norma ISO 27001

En base a este sistema PDCA, la norma ISO 27001 establece las siguientes
fases para elaborar un SGSI

A. Análisis y evaluación de riesgos.

B. Implementación de controles
C. Definición de un plan de tratamiento de los riesgos o esquema de mejora
D. Alcance de la gestión
E. Contexto de organización
F. Partes interesadas
G. Fijación y medición de objetivos
H. Proceso documental
I. Auditorías internas y externas
2. Análisis y evaluación de riesgos: identificación de amenazas, consecuencias y
criticidad
La valorización de los Riesgos de la Seguridad de la Información, es la actividad
clave en la implantación de la norma ISO 27001 2017 en nuestra organización. Este análisis
es el que determinará: los Controles a aplicar, las Acciones y Tratamientos a realizar, los
Objetivos a cumplir, etc. Y por tanto es crítico, para que el Sistema de Gestión de
Seguridad de la Información sea realmente útil, y no una carga extra de trabajo para la
organización.
Es muy importante que este proceso esté procedimentado y lo más sistematizado
posible. Para conseguir que los resultados no varíen, si el mismo análisis lo realizan
distintas personas. Además, deberemos poder comparar los resultados de los diferentes
análisis que hagamos a lo largo del tiempo, para poder determinar si las acciones realizadas
están suponiendo una mejora real de la Seguridad de la Información de la organización.
Una amenaza se puede definir como cualquier evento que puede afectar los activos
de información y se relaciona, principalmente, con recursos humanos, eventos naturales o
fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones
con malware, una inundación, un incendio o cortes de fluido eléctrico.
Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa,
como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño
grave, e incluso irreparable, de la información.
En definitiva, se trata de elaborar una adecuada gestión de riesgos que permita a las
organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de
información.

5
 Además del riesgo en sí, es necesario analizar también sus consecuencias
potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la
información a la pérdida o robo de datos relevantes o confidenciales. Una posible
metodología de evaluación de riesgos estaría compuesta de las siguientes fases:
● Recogida y preparación de la información.
● Identificación, clasificación y valoración de los grupos de activos.
● Reconocer y clasificar las amenazas.
● Identificación y estimación de las vulnerabilidades.
● Establecimiento y valoración de impactos: identificar, tipificar y valorar los
impactos.
● Evaluación y análisis del riesgo.
En este paso, analizaremos los riesgos identificados en el paso anterior. Para
determinar como de importante es un Riesgo, utilizaremos al menos dos parámetros: la
probabilidad y el impacto. La Probabilidad es aquella que el Riesgo tiene de materializarse.
Mientras que el Impacto, son las consecuencias potenciales que tendría si este llega a
suceder.
Con estos dos factores, y alguno más que podemos incluir, aplicaremos una fórmula
de cálculo que nos diga el Nivel de Riesgo de cada uno de los riesgos identificados. El
algoritmo de cálculo del Nivel de Riesgo deberá establecerse en el paso 1 junto a los
criterios de aceptación de los riesgos. Por este motivo, se deben evaluar las consecuencias
potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.
Riesgo aceptable
No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni
tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las
consecuencias a unos niveles que la organización pueda asumir, sin que suponga un
perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de
credibilidad, etc.
Riesgo residual
Se trata del riesgo que permanece y subsiste después de haber implementado los
debidos controles, es decir, una vez que la organización haya desarrollado completamente
un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse
implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo
inherente.

3. La implementación de controles

Hay que tener en cuenta que dentro de la norma ISO 27001 se encuentra el Anexo
A, el cual es indispensable implementar ya que es el normativo y dentro de este se
encuentra todo lo relacionado a los controles de seguridad, que son fundamentales porque
estos ayudan en la protección de la información de las empresas, además, ponerlos en

6
práctica es de carácter obligatorio. En el Anexo A hay un total de 114 controles de
seguridad. La organización debe elegir cuáles se aplican mejor a sus necesidades, es
importante entender que no solo se limita al área de tecnología, sino que también involucra
departamentos como el de recursos humanos, seguridad financiera, comunicaciones, entre
otros.

En el 2013 se realizó este cambio, pues anteriormente en la norma del 2005 había
un total de 133 controles y se eliminaron los estándares de acciones preventivas, y el
requisito para documentar ciertos procedimientos.

Los 114 controles están divididos en 14 secciones:

● Políticas de seguridad de la información.

● Organización de la seguridad de la información.
● Seguridad de los recursos humanos.
● Gestión de activos.
● Controles de acceso.
● Criptografía – Cifrado y gestión de claves.
● Seguridad física y ambiental.
● Seguridad operacional.
● Seguridad de las comunicaciones.
● Adquisición, desarrollo y mantenimiento del sistema.
● Gestión de incidentes de seguridad de la información.
● Cumplimiento.

4. Definición de un plan de tratamiento de riesgos o esquema de mejora

Luego que se haya cumplido con realizar el análisis se debe proceder con definir el
plan de tratamiento o esquema a seguir sobre las mejoras que se tendrán en cuenta para
valorar los distintos riesgos que se puedan presentar, de esta forma se puede identificar los
puntos críticos dentro del proceso y de esta manera poder buscar una posible solución.

● Formas de afrontar el riesgo

Cada empresa tiene únicamente tres formas para enfrentar un posible riesgo o
vulnerabilidad, en este caso serían: eliminarlo, mitigarlo o trasladarlo.

a) Eliminar el riego

Se procede de esta forma si el riesgo a considerar es clasificado como “muy crítico”, sobre
todo si este llegara al punto de poner en peligro la propia continuidad de la organización,
por este motivo se procede a eliminarlo, antes de que la organización pueda verse
perjudicada.

7
 b) Mitigarlo

La organización va a tener lidiar en la mayor parte de los casos con riesgos clasificados
como “tolerables o manejables”, esto porque probablemente es técnicamente imposible de
eliminar o porque no represente un riesgo muy elevado, por ello en este caso la acción a
seguir sería mitigarlo para que no llegue a pasar a “alto riesgo”. En estos casos la
organización puede aceptar el manejo del riego, siendo conscientes de que la amenaza para
la información existe y que deben permanecer vigilantes a fin de mantenerlo controlado.

c) Trasladarlo

Cuando el riesgo de que la pérdida de información sea “no sensible” se puede considerar la
contratación de algún tipo de seguro que compense las consecuencias económicas de una
pérdida o deterioro de la información. Se debe tener en cuenta que la gestión de riesgos
debe garantizar a la organización la tranquilidad de tener suficientemente identificados y
controlados los riesgos y claramente definidos los mecanismos de control pertinentes, lo
cual le va a permitir actuar con eficacia ante una eventual materialización de estos.

La decisión de la organización para clasificar entre una u otra forma cada riesgo va a
depender del equilibrio encuentre entre el costo que tiene una actividad de control, la
importancia del activo de la información para los procesos de la empresa y el nivel de
criticidad del riesgo.

● Establecimiento de un rango para cada control

A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el
acceso a un área segura podría dividirse en:

a) Rango 1: No hay establecida ninguna medida de seguridad.

b) Rango 2: Existe alguna medida de seguridad, pero no se ha establecido una pauta

concreta ni periodicidad.

c) Rango 3: Existen una serie de medidas establecidas, pero no se ha determinado una

evaluación de las mismas.

d) Rango 4: Los controles tienen establecidos una periodicidad, evaluación y

seguimiento.

8
 e) Rango 5: Son actividades ligadas al propio negocio, es decir, se trata de un factor
interno de la empresa que lo gestiona y está implementada dentro de la propia
organización.

5. El alcance de la gestión

En la planeación para la implementación de un Sistema de gestión de seguridad de

la información (SGSI) es muy importante definir el alcance para la implementación del
sistema en una organización.

Teniendo en cuenta que existen organizaciones que difieren en tamaño por el número de
empleados, volumen de información manejada, número de clientes, volúmenes de activos
físicos y lógicos, número de sedes u oficinas, entre otros elementos, se hace necesario
determinar cómo se debe implantar un SGSI.

6. Contexto de organización

El análisis de contexto de la organización es fundamental para el SGSI, ya que nos

permite determinar los problemas internos y externos de la organización, así como sus
debilidades, amenazas, fortalezas y oportunidades que nos puedan afectar.

La norma ISO no especifica el método a utilizar para el análisis del contexto, siendo del
método DAFO uno de los más comunes y aceptados. Sea cual sea el sistema elegido, es
fundamental someter a valoración tanto el contexto interno (productos y servicios) como
externos (logística o clima organizacional).

7. Partes interesadas

Podemos definirlas como el conjunto de factores tanto internos como externos que
tienen cierto grado de influencia sobre la empresa, además de poder que sus intereses
puedan verse afectados por las decisiones y actividades que la gestión de turno pueda llegar
a efectuar.

Dentro de este grupo de personas participantes se encuentran los mismos clientes de la

empresa, esto incluye a los internos es decir los empleados, sindicatos, de manera conjunta
se encuentran los socios, proveedores, competidores de la organización y los mismos
propietarios y accionistas de la empresa.

9
La norma ISO 27001 contempla dentro de sus cláusulas el reconocimiento a los requisitos
de estas partes interesadas. Lo que menciona es que la organización en cuestión debe velar
por garantizar una correcta identificación y comprensión de sus exigencias y por ende a sus
requerimientos. Por poner el caso tiene influencia tanto directa como indirectamente con
los competidores quienes pueden tener interés por conocer determinados aspectos e
información de la empresa, asimismo con el desarrollo de las tecnologías se han generado
nuevos riesgos como los softwares maliciosos quienes se ven aislados ante un sistema
potente de seguridad en la información.

Dado esto se ven comprometidas las partes interesadas con la implementación de un

sistema de gestión de la seguridad en la información o en un escenario antagónico de la
omisión de la misma.

Para la implementación de un sistema que gestione la seguridad de la información en la

organización es necesario que en una primera instancia se haya desarrollado un estudio
intensivo del propio negocio para poder tener un conocimiento pleno sobre los riesgos a los
que se encuentra latente y sobretodo proteger la confidencialidad de las partes interesadas.

8. Fijación y medición de objetivos

Resulta imprescindible establecer ciertos objetivos de gestión de riesgos, que deben

ser mensurables y de preferencia cuantificables. Asimismo, es fundamental que estos
objetivos deben ser comunicados eficazmente a todos los empleados de la empresa, porque
todos los profesionales deben ser conscientes de que participan en un objetivo común, ya
que el bajar la guardia puede desencadenar en consecuencias perniciosas para la
organización.

De este mismo modo, todas las personas que trabajan en la organización deben tener
competencia en el campo de la seguridad de la información que cumpla con los siguientes
requisitos acorde a su posición dentro de la empresa. Por otro lado, cada meta definida debe
estar asociada a indicadores que permitan monitorear la finalización de la actividad.

Para poder hablar con seguridad de la adecuada implementación de la norma ISO 27001
dentro de la organización debemos tomar en cuenta las siguientes consideraciones:

10
En primer lugar dentro del plan se debe marcar bien claro cual va ser el alcance de la
implementación de este sistema de seguridad. Realizar un buen análisis y pautar las metas
que debemos alcanzar.

A continuación, de proseguir con la implementación del sistema mismo nuestro objetivo es

garantizar que se cumplan los requisitos establecidos en la norma ISO 27001.

Dentro del control sucedáneo del proceso previo debemos primar como objetivo, además de
las constantes mejoras, asegurar la implementación de un sistema efectivo dentro de nuestra
empresa.

9. El proceso documental

Una de las principales características que se pueden reconocer de la ISO 27001, es

de hecho la importancia que le presta a la documentación, llegando a constituir reglas
estrictas de cómo se debe gestionar todo tipo de documentos, y de paso exige a la empresa
que se deba contar con procedimientos normados para estos manejos, ya que este factor
representa sin lugar a dudas primordial para poder hacerse acreedor de una certificación en
esta norma.

Asimismo por la naturaleza de las empresas y la cantidad de formatos tanto tradicionales

como digitales, la norma contempla dentro de su haber a la documentación como papeles,
archivos de texto, hojas de cálculo, archivo multimedia en video o audio. Es por ello que
todas estas fuentes de información deben estar prestas en cualquier momento a libre
consulta.

La organización se ve envuelta en documentos a diario pudiendo ser estos de índole interna,

como por ejemplo políticas de distintos tipos, procesos o respecto de algún proyecto que se
esté desarrollando. Documentos externos podemos considerar a la correspondencia,
documentos que hayan sido recepcionados con equipamiento. Y es por este motivo que se
considera que el poder tener una adecuada administración de estos documentos representa
para la organización una labor demandante y con distintas aristas.

11
Es por ello que con el fin que las compañías puedan realizar esta gestión eficientemente de
la documentación, la ISO 27001, demanda que se lleve a cabo el uso de un adecuado
método sistemático como también debe incluir un proceso para su cometido.

10. Auditorías internas y revisión por la Dirección

Para garantizar el correcto funcionamiento y mantenimiento de un SGSI basado en

la norma ISO 27001, es necesario realizar auditorías internas de vez en cuando para poder
verificar que el sistema se encuentra en un estado ideal.

Hay dos tipos principales de auditorías internas:

● Gestión: donde se supervisa el liderazgo, el contexto, etc.

● Controles: En este caso, los 113 controles son auditados, normalmente lo realiza
personal más experto y se puede realizar en diferentes años.

Básicamente, el principal motivo por el que se realizan auditorías internas de forma

periódica es para poder determinar si los procedimientos del SGSI están de acuerdo con los
requisitos de la norma, la legislación vigente en cada país o sector y los objetivos marcados
por la Dirección para la propia gestión del sistema.

En la planificación de la auditoría se debe tener en cuenta el nivel de importancia de

los procesos y áreas a auditar y, además, se deben tener en cuenta los resultados obtenidos
de auditorías previas. También es necesario definir los criterios utilizados durante la
auditoría, el alcance, la frecuencia y los métodos utilizados. Si se detectan problemas o
desviaciones entre los objetivos de seguridad planteados y los resultados obtenidos, el
equipo auditor verifica si se están aplicando las medidas necesarias, proponiendo nuevas
medidas si es necesario.

Es fundamental realizar revisiones periódicas del SGSI por parte de la Alta

Dirección con el fin de verificar el correcto funcionamiento del sistema, si se están
cumpliendo los objetivos y también si se está produciendo un Retorno de la Inversión
(ROI). La alta dirección de la organización es la máxima responsable del área auditada para
llevar a cabo las acciones necesarias para eliminar las no conformidades que se hayan

12
detectado durante la auditoría interna. Ejemplos de no conformidades pueden ser: no tener
un antivirus instalado en todos los equipos, que el equipo no esté encriptado o que haya
contraseñas conocidas por más de una persona, cuando deberían ser unitarias o
individuales. Durante el seguimiento de las actividades realizadas, se debe incluir una
verificación de las acciones que se han llevado a cabo, así como un informe en el que se
reflejen los resultados obtenidos.

11. Cómo automatizar el SGSI según ISO 27001

El software de automatización permite realizar una gestión muy eficaz y exhaustiva

de cualquier tipo de riesgo: operativo, financiero, industrial, legal u operativo, ajustándose
completamente a las necesidades de cada una de las organizaciones y facilitando, en gran
medida, la adaptación a lo normativo.

Algunos aspectos a tener en cuenta en este tipo de herramientas que facilitan la

automatización de la gestión de riesgos son:

● Implementar procesos de identificación automática de riesgos para aquellos a los

que está expuesta cada organización.
● Alinear cada riesgo con propuestas de posibles controles para reducir los riesgos de
la empresa.
● Lanzar un seguimiento automático del tratamiento de riesgos.
● Realizar proyecciones y simulaciones que permitan visualizar los resultados que se
podrían obtener con la implementación de los controles definidos en el plan de
tratamiento de riesgos obtenidos.

La ISO 27001 para los SGSI es sencilla de implementar, automatizar y mantener

con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los
requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer,
implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así
como se da cumplimiento de manera complementaria a las buenas prácticas o controles
establecidos en ISO 27002.

13
 ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la
Información como PMG SSI de los Servicios Públicos de Chile, entre otros. Este software,
permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS
18001 de una forma sencilla gracias a su estructura modular.

12. Sectores más interesados en la implantación de este sistema

Aunque la norma ISO 27001 es perfectamente válida como guía o base para la
implementación de un SGSI en cualquier empresa u organización, con independencia de su
tamaño o sector, resulta especialmente interesante, y casi necesaria, en los siguientes
sectores:

A. Sector Salud: La definición y puesta en marcha de un SGSI basado en la

norma ISO es especialmente atractiva para las organizaciones médicas, tanto
públicas como privadas, por los siguientes motivos:

● La información que manejan es especialmente crítica y confidencial.

● Los requisitos y medidas planteados por la ISO 27001 garantizan la

confidencialidad y seguridad de la información de los pacientes y
trabajadores ante cualquier amenaza.

● En todo momento se preserva la confidencialidad, integridad y

disponibilidad de la información.

● Con la aplicación de este sistema se consiguen ventajas adicionales

como: mejorar la calidad de los servicios, disminuir los tiempos de
espera o agilizar las comunicaciones internas y externas del hospital
o centro de salud.

B. Sector Público: El sector público y la administración en general también son

ámbitos muy interesados en la esta norma ISO 27001. El principal motivo es
que permiten poner en marcha sistemas y protocolos que garanticen la
confidencialidad y gestión adecuada de la gran cantidad de datos que
manejan, muchos de ellos personales y con un alto nivel de criticidad

14
 C. Sector Financiero: La ISO 27001 es muy necesaria para el sector financiero
en general, y el de las grandes empresas en particular, con el fin de asegurar
los recursos humanos y financieros de las organizaciones. Algunas ventajas
de la certificación ISO son:

● Lograr ventaja competitiva.

● Garantizar la gestión de la calidad.

● Controlar y reducir los riesgos operativos y comerciales.

● Cumplir con la legislación y normativa de cada país y sector.

● Poner en marcha procesos de mejora continua.

13. Caso Práctico “Mailing Andalucia S.A.”

Proyecto de mejora del Sistema de Información de Mailing Andalucia, S.A

Problema: Necesidad de asegurar la confidencialidad, la disponibilidad y la integridad de la

información manejada. www.ascendiarc.com

4. Punto de partida La empresa no era 100% consciente decules eran susverdaderos

ACTIVOS www.ascendiarc.com

5. Punto de partida No se era consciente de todas las circunstancias que podan provocar
problemas en el Sistema de Información ni sus posibles efectos en el Sistema de Informacin
www.ascendiarc.com

6. Punto de partida No se han analizado ni evaluado en ningún momento los riesgos a los
que poda estar expuesta el Sistema de Informacin de la empresa www.ascendiarc.com

7. Punto de partida Poca información sensibilización del personal en cuanto a la

importancia del Sistema De Informacin y suadecuado tratamiento www.ascendiarc.com

8. Objetivos generales del proyecto Mejorar la seguridad del Sistema de Información de la

empresa asegurando en todo momento la confidencialidad, disponibilidad e integridad de la

15
información Implicar a todo el personal de la empresa en el proyecto Conocer los posibles
riesgos que pudiesen afectar al Sistema de información Establecer planes de actuación en
función de los riesgos identificados www.ascendiarc.com

9. La Solución Proceso de consultoría con el fin de implementar en la organizacin

sistemática de trabajoque permitiera alcanzarlos objetivos planteados www.ascendiarc.com

10. Trabajos realizados Sensibilización y formación del personal. www.ascendiarc.com

11. Trabajos realizados Inventario de Activos. www.ascendiarc.com

12. Trabajos realizadosAnlisis y evaluacin de riesgos www.ascendiarc.com

13. Trabajos realizadosPlanes de tratamiento www.ascendiarc.com

14. www.ascendiarc.com

15. Resultados del proyecto se ha mejorado la organización y la asignación de

responsabilidades en lo relativo a la Seguridad de Información de las empresas. Nos ha
permitido documentar y estandarizar las actividades referente a la gestión de la Seguridad
de la Información. Se ha reducido el número de incidencias relacionadas con el Sistema De
Información Se ha disminuido el riesgo derivado de posibles usos de información
confidencial por parte de personal ajeno. www.ascendiarc.com

16. Resultados del proyecto Se ha aumentado la rentabilidad de la empresa a medio y corto

plazo contra pérdidas y fugas en el Sistema de Información de la entidad. Se ha evitado la
apertura de brechas de seguridad al interrelacionar sistemas de clientes, control de stock,
facturación, pedidos, productos,etc. entre diferentes organizaciones. Mejora de la imagen
corporativa.

16
Bibliografía

CTMA Consultores (2020). Requisitos de la ISO 27001 ¿Cómo implementar esta

norma en tu empresa?. Recuperado de: https://ctmaconsultores.com/requisitos-de-
la-iso-27001/

IsoTools (2020). La norma ISO 27001: Aspectos claves de su diseño e

implantación. Recuperado de: https://www.isotools.org/pdfs-pro/iso-27001-sistema-
gestion-seguridad-informacion.pdf

17