UNIVERSIDAD AUTÓNOMA GABRIEL

RENÉ MORENO
FACULTAD POLITECNICA
CARRERA OFIMÁTICA

Estudiante: Daniel Lairana Procchio

Materia: Administración Informática
Docente: Luis Percy Tapia Flores

Santa Cruz 2024

TABLA DE CONTENIDO
INTRODUCCIÓN ............................................................................................... 3
CONTENIDO .................................................................................................... 3
¿Qué es ISO? ............................................................................................... 3
¿Qué es la Norma ISO 27000? ..................................................................... 3
¿Quiénes conforman la familia ISO 27000 y cuál es la más difundida o
importante? Breve explicación de cada una ................................................ 4
¿Qué ventajas o beneficios se tienen con la ISO 27000? ............................. 5
¿En qué tipo de organizaciones se puede aplicar la Norma ISO 27000? ...... 7
¿Cuáles son los pasos para implementar la ISO 27000? ¿Qué se debe
documentar? ¿En qué tiempo se implementa? ........................................... 7
Pasos para la implementación de la ISO 27000. ...................................... 7
Documentación Necesaria: ...................................................................... 8
Tiempo de la Implementación ................................................................. 8
¿Qué es un SGSI?......................................................................................... 8
¿Qué es un ciclo PDCA? ............................................................................... 8
Explique que es la Norma ISO 27001 y muestre la diferencia con la ISO
27000 .......................................................................................................... 9
Diferencia entre ISO 27000 e ISO 27001 .................................................. 9
CONCLUSIÓN ................................................................................................. 10
REFERENICIA BIBLIOGRÁFICA ........................................................................ 10
INTRODUCCIÓN
En un mundo cada vez más digitalizado, la seguridad de la información se ha
vuelto una prioridad para organizaciones de todos los sectores. Las normas
ISO 27000 son un conjunto de estándares internacionales diseñados para
ayudar a las empresas a gestionar la seguridad de su información de manera
efectiva.
El estándar principal, ISO 27001, proporciona un marco para establecer,
implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de
la Información (SGSI). Este conjunto de normas se enfoca en proteger la
confidencialidad, integridad y disponibilidad de los activos de información
mediante un enfoque basado en la gestión de riesgos.
Las normas ISO 27000 ayudan a las organizaciones a identificar y mitigar
amenazas, gestionar riesgos y cumplir con regulaciones, lo que resulta clave
para proteger datos sensibles en un entorno cada vez más expuesto a
ciberataques.

CONTENIDO
¿Qué es ISO?
La Organización Internacional de Normalización (ISO) es una entidad no
gubernamental e independiente fundada en 1947, que desarrolla y publica
normas internacionales para asegurar la calidad, seguridad y eficiencia de
productos, servicios y sistemas.
ISO está conformada por miembros de más de 160 países, y sus estándares
cubren una amplia variedad de sectores, como tecnología, salud, agricultura
y seguridad de la información, entre otros. La misión de ISO es facilitar el
comercio internacional mediante la creación de normas que promuevan la
interoperabilidad y aseguren un nivel adecuado de calidad y seguridad en los
productos y servicios a nivel global.

¿Qué es la Norma ISO 27000?

La ISO 27000 es una norma internacional que proporciona una descripción
general y un vocabulario común para la gestión de la seguridad de la
información. Forma parte de la familia de normas ISO 27000, que está
diseñada para ayudar a las organizaciones a proteger sus activos de
información a través de un Sistema de Gestión de la Seguridad de la
Información (SGSI).
Esta norma en particular no se enfoca en los requisitos específicos, sino que
proporciona una introducción general a toda la familia de normas ISO 27000.
Ofrece términos y definiciones clave, ayudando a las organizaciones a
comprender los principios, los conceptos básicos y la estructura necesaria
para implementar un sistema de gestión que asegure la confidencialidad,
integridad y disponibilidad de los datos.

¿Quiénes conforman la familia ISO 27000 y cuál es la

más difundida o importante? Breve explicación de
cada una
La familia de normas ISO/IEC 27000 está compuesta por un conjunto de
estándares internacionales que proporcionan directrices para la gestión de la
seguridad de la información. Cada norma aborda un aspecto diferente de la
protección de la información. Las más relevantes son:
1. ISO 27000: Proporciona una visión general y define los términos y
conceptos clave para la gestión de la seguridad de la información. Es la
base que ayuda a entender el marco general de las normas.

2. ISO 27001: La norma más importante y difundida de la familia.

Establece los requisitos para implementar y mantener un Sistema de
Gestión de Seguridad de la Información (SGSI). Proporciona un marco
para la protección continua de la confidencialidad, integridad y
disponibilidad de la información, y es certificable, lo que la hace
popular entre las organizaciones que buscan demostrar cumplimiento.

3. ISO 27002: Ofrece un conjunto de buenas prácticas y controles de

seguridad que pueden implementarse junto con ISO 27001 para
fortalecer la protección de la información. Es una guía complementaria
 que no es certificable, pero muy útil para implementar controles de
seguridad.

4. ISO 27005: Esta norma proporciona directrices para la gestión de

riesgos de seguridad de la información. Ayuda a las organizaciones a
identificar, evaluar y tratar los riesgos en sus sistemas de información.

5. ISO 27017: Proporciona controles específicos de seguridad de la

información para servicios en la nube. Está orientada a proveedores y
usuarios de servicios en la nube.

6. ISO 27018: Centrada en la protección de datos personales en la nube,

proporciona directrices para garantizar la privacidad y el cumplimiento
de regulaciones.

7. ISO 27701: Ampliación de ISO 27001 y 27002, esta norma proporciona

un marco para la gestión de la privacidad de la información (PII), crucial
para cumplir con regulaciones como el GDPR.

¿Qué ventajas o beneficios se tienen con la ISO

27000?
• Mejora de la seguridad de la información: La familia ISO 27000
proporciona un enfoque estructurado para identificar y gestionar los
riesgos de seguridad de la información, garantizando la protección de
datos sensibles, confidenciales y críticos.

• Cumplimiento normativo: Ayuda a las organizaciones a cumplir con

regulaciones y leyes relacionadas con la protección de datos, como el
 GDPR, y otras normativas internacionales o locales, evitando sanciones
y multas.

• Reducción de riesgos: Implementar un Sistema de Gestión de

Seguridad de la Información (SGSI) basado en ISO 27001 permite
identificar, evaluar y mitigar los riesgos de seguridad, reduciendo la
probabilidad de incidentes como fugas de datos o ciberataques.

• Confianza y reputación: Al cumplir con la norma ISO 27001, las

organizaciones pueden demostrar a clientes, socios y partes
interesadas que se toman en serio la seguridad de la información, lo
que mejora su reputación y aumenta la confianza.

• Ventaja competitiva: La certificación ISO 27001 es un diferenciador en

el mercado, ya que muchas empresas prefieren trabajar con
organizaciones certificadas que garantizan la seguridad de sus datos.

• Eficiencia operativa: La implementación de buenas prácticas de

seguridad, como las descritas en ISO 27002, no solo protege la
información, sino que también optimiza procesos internos, reduce
errores humanos y minimiza costos asociados con brechas de
seguridad.

• Resiliencia frente a incidentes: Establecer un SGSI bajo la familia ISO

27000 mejora la capacidad de una organización para reaccionar y
recuperarse rápidamente ante incidentes de seguridad, minimizando
interrupciones en las operaciones.
 • Mejor gestión de la privacidad: Normas como ISO 27701 (gestión de la
privacidad) y ISO 27018 (protección de datos personales en la nube)
garantizan que los datos personales sean manejados de acuerdo con
altos estándares, evitando problemas legales.

¿En qué tipo de organizaciones se puede aplicar la

Norma ISO 27000?
La norma ISO 27000 es aplicable a cualquier tipo de organización,
independientemente de su tamaño, sector o ubicación geográfica. Su
flexibilidad permite que sea implementada en una amplia variedad de
contextos, ya que el objetivo principal es proteger la información crítica y
gestionar los riesgos relacionados con la seguridad. Algunos ejemplos de
organizaciones que pueden beneficiarse de su aplicación son:
• Empresas de tecnología
• Instituciones financieras
• Sector público y gubernamental
• Empresas de salud
• Comercio electrónico
• Educación y centros de investigación
• Fabricación y logística

¿Cuáles son los pasos para implementar la ISO 27000?

¿Qué se debe documentar? ¿En qué tiempo se
implementa?
Pasos para la implementación de la ISO 27000.
1. Obtención de apoyo de la alta dirección
2. Definir el alcance del SGSI
3. Realizar una evaluación de riesgos
4. Establecer controles y políticas de seguridad
5. Desarrollar una política de seguridad de la Información
6. Implementar los controles y procedimientos
7. Capacitar a los empleados
 8. Monitoreo, auditoria y revisión
9. Preparación para la certificación

Documentación Necesaria:
• Alcance del SGSI
• Política de seguridad de la información
• Informe de evaluación de riesgos
• Declaración de Aplicabilidad (SoA)
• Procedimientos de Control de Acceso
• Planes de tratamiento de riesgos
• Registros de auditorías internas y correcciones
• Planes de continuidad del negocio
• Políticas y procedimientos para la gestión de incidentes

Tiempo de la Implementación
El tiempo de implementación de ISO 27000 depende del tamaño y la
complejidad de la organización, así como del nivel de preparación inicial. En
términos generales:
• Pequeñas empresas de 3 a 6 meses
• Medianas empresas de 6 a 12 meses
• Grandes empresas de 12 a 18 meses o más

¿Qué es un SGSI?
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un
conjunto de políticas, procedimientos y controles que una organización
implementa para gestionar de manera sistemática la seguridad de su
información. El objetivo principal del SGSI es garantizar la confidencialidad,
integridad y disponibilidad de la información, protegiendo así los activos de
información de la organización frente a riesgos como el acceso no autorizado,
la alteración de datos y la pérdida de información.

¿Qué es un ciclo PDCA?

El ciclo PDCA (Planificar, Hacer, Verificar, Actuar) es un método de gestión
utilizado para mejorar de manera continua procesos y sistemas dentro de
una organización. Fue desarrollado por William Edwards Deming y es
ampliamente utilizado en la gestión de calidad, seguridad de la información,
y otros ámbitos. Este enfoque cíclico permite evaluar y mejorar
constantemente la eficacia de los sistemas implementados, como los
Sistemas de Gestión de la Seguridad de la Información (SGSI).

Explique que es la Norma ISO 27001 y muestre la

diferencia con la ISO 27000
La ISO 27001 es una norma internacional que especifica los requisitos para
establecer, implementar, mantener y mejorar continuamente un Sistema de
Gestión de Seguridad de la Información (SGSI). Su objetivo es ayudar a las
organizaciones a proteger la confidencialidad, integridad y disponibilidad de
la información a través de un enfoque sistemático y basado en riesgos.
Por otro lado, la ISO 27000 no es una norma que imponga requisitos, sino
una que proporciona una visión general y un vocabulario para todas las
normas de la familia ISO 27000. Es la base teórica que define los conceptos
clave y ayuda a comprender el marco general de la gestión de la seguridad de
la información.

Diferencia entre ISO 27000 e ISO 27001

1. Propósito:
ISO 27000: Es una norma introductoria que proporciona definiciones y
una visión general de los principios y términos utilizados en la gestión de
la seguridad de la información.
ISO 27001: Establece los requisitos formales que una organización debe
cumplir para implementar un SGSI y es la norma que puede ser
certificada.
2. Contenido:
ISO 27000: Contiene una lista de términos y definiciones clave, además de
una visión general del SGSI y la estructura de la familia de normas ISO
27000.
 ISO 27001: Contiene un conjunto de requisitos específicos para establecer
un SGSI, incluyendo cómo realizar evaluaciones de riesgos, qué políticas
implementar y cómo auditar el sistema.
3. Certificación:
ISO 27000: No es certificable, ya que solo proporciona términos y
conceptos básicos.
ISO 27001: Es certificable, y las organizaciones pueden obtener una
certificación oficial mediante una auditoría de un organismo acreditado.
4. Aplicación:
ISO 27000: Sirve de introducción para todas las normas relacionadas con
la gestión de la seguridad de la información.
ISO 27001: Es aplicable en cualquier organización que quiera implementar
un SGSI, independientemente de su tamaño o sector.

CONCLUSIÓN
La implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) basado en ISO 27001 permite a las organizaciones cumplir con
requisitos legales y regulatorios, mejorar la confianza de sus clientes y partes
interesadas, y fortalecer su reputación en un entorno cada vez más digital y
lleno de amenazas.

REFERENICIA BIBLIOGRÁFICA
https://www.iso.org/standard/73906.html
https://www.iso.org/standard/75033.html
https://www.iso.org/standard/75283.html