Nombre:

Andier

Apellido:

Aquino

Matricula:

2024-0868

Profesor: Eric

combes

Materia:

Desarrollo de política y

procedimiento De

seguridad Carrera:

Seguridad informática

Fecha:

9/06/2025
Contenido
Introducción ........................................................................................................................... 3
3.1. ISO/IEC 27001 e ISO/IEC 27002 ................................................................................... 4
3.2. PCI DSS (Payment Card Industry Data Security Standard) ........................................... 5
3.3. Regulaciones Locales e Internacionales ......................................................................... 6
Conclusión ............................................................................................................................. 9
Referencias ............................................................................................................................... 10
 Introducción

La seguridad de la información se ha convertido en un pilar fundamental para las

organizaciones en un mundo cada vez más digitalizado. Para garantizar la protección de los

datos, existen normas, estándares y regulaciones que orientan a las empresas en la

implementación de buenas prácticas. Entre las más reconocidas se encuentran las normas

ISO/IEC 27001 y 27002, que establecen un marco para gestionar y proteger la información de

manera sistemática. Asimismo, estándares como PCI DSS son esenciales para aquellas

entidades que manejan datos de tarjetas de pago, asegurando transacciones seguras y

protegidas. A esto se suman diversas regulaciones locales e internacionales como el GDPR en

Europa o leyes nacionales de protección de datos que obligan legalmente a las organizaciones

a cumplir con requisitos específicos para resguardar la privacidad y seguridad de la

información. Estas herramientas normativas y legales son clave para mitigar riesgos, mantener

la confianza del cliente y asegurar el cumplimiento legal en un entorno globalizado.

 3.1. ISO/IEC 27001 e ISO/IEC 27002

Las normas ISO/IEC 27001 y 27002 forman parte del conjunto de estándares internacionales

que conforman la familia ISO 27000, diseñada para establecer buenas prácticas en la gestión

de la seguridad de la información.

ISO/IEC 27001

Es la norma principal y certificable, enfocada en establecer los requisitos para un Sistema de

Gestión de Seguridad de la Información (SGSI). Su objetivo es proteger la

confidencialidad, integridad y disponibilidad de la información mediante un enfoque basado

en riesgos.

Principales características:

• Establecimiento del contexto organizacional y evaluación de riesgos.

• Definición de políticas de seguridad.

• Implementación de controles específicos.

• Monitoreo y mejora continua del SGSI.

• Alineación con el ciclo de mejora continua PDCA (Plan-Do-Check-Act).

ISO/IEC 27002

Complementa a la ISO 27001 proporcionando una guía detallada de controles de seguridad

que pueden implementarse como parte del SGSI. Aunque no es certificable, es una herramienta

esencial para aplicar correctamente los controles definidos en ISO 27001.

Áreas clave cubiertas:

• Seguridad organizacional.
 • Gestión de activos.

• Control de accesos.

• Seguridad física y ambiental.

• Seguridad en las operaciones y comunicaciones.

• Seguridad en adquisiciones, desarrollo y mantenimiento de sistemas.

• Gestión de incidentes de seguridad de la información.

3.2. PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS es un estándar de seguridad de datos creado por el Consejo de Normas de Seguridad

de la Industria de Tarjetas de Pago (PCI SSC), cuya misión es proteger los datos de titulares de

tarjetas y prevenir fraudes electrónicos.

Este estándar es obligatorio para cualquier entidad que procese, almacene o transmita datos de

tarjetas de pago, incluyendo comercios, proveedores de servicios y bancos.

Requisitos principales:

Proteger los datos del titular de la tarjeta mediante cifrado y almacenamiento seguro.

Implementar y mantener redes seguras, incluyendo firewalls y contraseñas seguras.

Desarrollar programas de gestión de vulnerabilidades.

Restringir el acceso a los datos a través de políticas de control de acceso y autenticación.

Supervisar y probar regularmente las redes y sistemas.

Mantener una política de seguridad de la información.

El cumplimiento con PCI DSS no solo reduce riesgos de ciberataques, sino que también mejora

la reputación de la empresa frente a sus clientes y socios comerciales.

3.3. Regulaciones Locales e Internacionales

A nivel global, los gobiernos y organismos reguladores han establecido leyes y normativas para

proteger los datos personales y garantizar la privacidad de los individuos. Estas regulaciones

afectan a todas las organizaciones, independientemente de su sector, que gestionen información

sensible o personal.

Regulaciones Internacionales

GDPR (General Data Protection Regulation) – Unión Europea:

Obligatoria para cualquier organización que procese datos de ciudadanos europeos.

Impone requisitos estrictos sobre consentimiento, derecho al olvido, portabilidad de datos y

notificación de brechas de seguridad.

HIPAA (Health Insurance Portability and Accountability Act) – Estados Unidos:

Protege los datos médicos y de salud de los pacientes.

SOX (Sarbanes-Oxley Act) – Estados Unidos:

Regula la información financiera y exige controles internos sólidos.

Regulaciones Locales (ejemplos por país):

Colombia: Ley 1581 de 2012 – Régimen general de protección de datos personales.

México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares

(LFPDPPP).

Brasil: Ley General de Protección de Datos (LGPD).

Argentina: Ley 25.326 – Protección de los Datos Personales.

España: LOPDGDD – Ley Orgánica de Protección de Datos y Garantía de los Derechos

Digitales, complementaria al GDPR.

El cumplimiento regulatorio no solo evita sanciones, sino que es una muestra de compromiso

con la ética, la transparencia y la protección del usuario final.

 Conclusión

La gestión efectiva de la seguridad de la información ya no es opcional: es una exigencia

estratégica, operativa y legal. Las normas ISO/IEC 27001 y 27002 proporcionan un marco

estructurado y reconocido internacionalmente para proteger los activos de información y

gestionar riesgos de forma proactiva. El estándar PCI DSS, por su parte, es esencial para

proteger los datos de tarjetas de pago, garantizar la confianza del cliente y prevenir fraudes.

A nivel normativo, el cumplimiento de regulaciones locales e internacionales como el GDPR,

la LGPD o la Ley 1581 de Colombia, no solo evita sanciones legales, sino que refuerza la

reputación de la organización y su compromiso con la privacidad y la transparencia.

 Referencias
ISO/IEC 27001:2022 – Tecnología de la información – Técnicas de seguridad – Sistemas
de gestión de seguridad de la información – Requisitos
Organización Internacional de Normalización (ISO)
[Link]

ISO/IEC 27002:2022 – Código de prácticas para controles de seguridad de la

información
Organización Internacional de Normalización (ISO)
[Link]

PCI Security Standards Council – Payment Card Industry Data Security Standard (PCI
DSS) v4.0
PCI SSC
[Link]