SISTEMAS DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN
Integrantes
• Bautista Quea, Lady Luz
• Duran Laura, Myrian
• Parra Leqque, Dina
• Quispe Gomez, Lizbeth Rosmery
 QUE ES LA ISO 27001

La ISO 27001 (2013) es la norma

internacional que proporciona un marco de La certificación ISO 27001 es esencial para
trabajo para los sistemas de gestión de proteger sus activos más importantes, la
seguridad de la información (SGSI) con el información de sus clientes y empleados, la
fin de proporcionar confidencialidad, imagen corporativa y otra información
integridad y disponibilidad continuada de la privada.
información, así como cumplimiento legal

La norma ISO incluye un enfoque basado

en procesos para lanzar, implantar, operar y
mantener un SGSI.
10 PILARES BÁSICOS DE LA ISO 27001

La certificación ISO-27001 vela porque la información sólo sea

accesible por aquellos que tienen permiso para ello, no debe
acceder nadie sin el debido permiso.

La información debe mantenerse intacta y sólo la podrán

modificar quienes tengan derecho a cambiarla.

La información deberá estar disponible cuando los usuarios

autorizados requieran acceder a ella.
La certificación ISO-27001 debe velar porque exista un conjunto de
procesos, gente y tecnología, que analice los riesgos de la información.

El conjunto referido anteriormente debe eliminar riesgos de

seguridad en la información o minimizarlos mediante un ciclo de
mejora continua.

La ISO-27001 establece un sistema con los parámetros que se

deben seguir para gestionar la seguridad de la información que se
debe seguir rigurosamente.

Implementar y operar el sistema. Cada organización que cumpla

con ISO-27001 debe llevar a cabo esta actividad de implementar y
operar con el sistema.
Mantener y mejorar el sistema. Es otra de las filosofías a las que deben
comprometerse las empresas que tienen certificación ISO-27001.

Revisar el sistema. Se trata de una actividad de mejora que se debe

llevar a cabo para ver fallos y minimizarlos.

Renovar la certificación. Las empresas con la certificación ISO-

27001 deben comprometerse a renovarla, algo que es más difícil que
obtenerla ya que en la primera auditoría se pueden permitir que no
tengan muchos controles implantados y que incluso los controles que ya
operan no sean muy buenos pero en la ‘recertificación’ se deben
desarrollar más y mejores controles conforme se avance en el ciclo de
mejora continua.
 ESTRUCTURA DE LA NORMA ISO 27001
(CLAUSULAS)

1. objeto y campo de aplicación

La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación
de este estándar.

2. Referencias Normativas
Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.

3. Términos y Definiciones
Describe la terminología aplicable a este estándar.

4. Contexto de la Organización
Recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión
de las necesidades y expectativas de las partes interesadas y la determinación del alcance
del SGSI.
 5. Liderazgo
la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la
organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.

6. Planificación
Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar
un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el
modo de lograrlos.

7. Soporte/ apoyo
En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos,
competencias, conciencia, comunicación e información documentada pertinente en cada caso.
 8. Operación
Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y
controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de
ellos.

9.Evaluación del Desempeño

En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo
planificado.

10. Mejora
Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no
conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
 IMPORTANCIA DEL ISO PARA
LA EMPRESA
Cumplir con los requerimientos legales –
cada vez hay normativas y requerimientos
contractuales relacionados con la seguridad
de la informació n. La buena noticia es que la
mayoría de ellos se pueden resolver
implementando ISO 27001 ya que esta
norma le proporciona una metodología
perfecta para cumplir con todos ellos.

Obtener una ventaja comercial – si su

empresa obtiene la certificació n y sus
competidores no, es posible que usted
obtenga una ventaja sobre ellos ante los
ojos de los clientes a los que se les
interesa mantener en forma segura su
informació n.
Menos costos – la filosofía
principal de ISO 27001 es evitar
que se produzcan incidentes de
seguridad, y cada incidente, ya sea
grande o pequeñ o, cuesta dinero;
por lo tanto, evitá ndolos su
empresa va a ahorrar mucho
dinero. Y lo mejor de todo es que la
inversió n en ISO 27001 es mucho
menor que el ahorro que obtendrá .

Una mejor organizació n – en general, las

empresas de rá pido crecimiento no tiene
tiempo para hacer una pausa y definir sus
procesos y procedimientos; como
consecuencia, muchas veces los empleados
no saben que hay que hacer, cuando y quien
debe hacerlo. La implementació n de ISO
27001 ayuda a resolver este tipo de
situaciones ya que alienta a las empresas a
escribir sus principales procesos (incluso los
que no está n relacionados con la seguridad),
lo que les permite reducir el tiempo perdido
de sus empleados.
 ¿COMO IMPLEMENTAR ISO 27001?

Realizar la
Redactar la
Obtener el apoyo de evaluación y
Declaración de
la dirección tratamiento de
aplicación.
riesgos

Definir la
Utilizar una Redactar el plan de
metodología de
metodología para tratamiento de
evaluación de
gestión de proyectos riesgos
riesgos

Redactar una Definir la forma de

Definir el alcance de política de alto nivel medir la efectividad
SGSI sobre seguridad de de sus controles y
la información de su SGSI
Implementar todos los Realizar todas las
Implementar programas operaciones diarias
controles y
de capacitación y establecidas en la
procedimientos
concienciación documentación de su
necesarios
SGSI

Monitorear y medir su Realizar la auditoria Realizar la revisión por

SGSI interna parte de la dirección

Implementar medidas
correctivas
 ¿DÓNDE INTERVIENE LA GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN EN UNA
EMPRESA?
Básicamente, la seguridad de la información es parte de la gestión global del riesgo en
una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de
la continuidad del negocio y con la tecnología de la información:
 DOCUMENTACIÓN OBLIGATORIA ISO 27001
REQUIERE QUE SE CONFECCIONE LA
SIGUIENTE DOCUMENTACIÓN:

• Alcance del SGSI (punto 4.3)

• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
• Declaración de aplicabilidad (punto 6.1.3 d)
• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
• Informe de evaluación de riesgos (punto 8.2)Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y
A.13.2.4)
• Inventario de activos (punto A.8.1.1)
• Uso aceptable de los activos (punto A.8.1.3)
• Política de control de acceso (punto A.9.1.1)
• Procedimientos operativos para gestión de TI (punto A.12.1.1)
• Principios de ingeniería para sistema seguro (punto A.14.2.5)
• Política de seguridad para proveedores (punto A.15.1.1)
• Procedimiento para gestión de incidentes (punto A.16.1.5)
• Procedimientos para continuidad del negocio (punto A.17.1.2)
• Requisitos legales, normativos y contractuales (punto A.18.1.1)
 REGISTROS OBLIGATORIOS:
• Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)
• Monitoreo y resultados de medición (punto 9.1)
• Programa de auditoría interna (punto 9.2)
• Resultados de auditorias internas (punto 9.2)
• Resultados de la revisión por parte de la dirección (punto 9.3)
• Resultados de medidas correctivas (punto 10.1)
• Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
(puntos A.12.4.1 y A.12.4.3)
 ¿CÓMO OBTENER LA CERTIFICACIÓN?
• Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las
personas. Las organizaciones pueden obtener la certificación para demostrar que
cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el
curso y aprobar el examen para obtener el certificado.
 PARA ORGANIZACIONES
Para obtener la certificación se debe implementar la norma tal como se explicó en las secciones
anteriores y luego se debe aprobar la auditoría que realiza la entidad de certificación. La auditoría
de certificación se realiza siguiendo estos pasos:

• 1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la

documentación.
• 2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ para
comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la
documentación del SGSI.
• Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3
años, los auditores verificarán si la empresa mantiene su SGSI.
 PARA LAS PERSONAS

Pueden asistir a diversos cursos para obtener certificados. Los más populares son:

• Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar
auditorías de certificación y está orientado a auditores y consultores.
• Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo
implementar la norma y está orientado a profesionales y consultores en seguridad de la
información.
• Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los
conceptos básicos de la norma y cómo llevar a cabo una auditoría interna; está
orientado a principiantes en este tema y a auditores internos.
 ¿POR QUÉ ES IMPORTANTE LA
CIBERSEGURIDAD EN LOS HOTELES?

La información que manejan los hoteles es información crítica,

desde datos personales como nombres, fechas de nacimiento,
nacionalidades hasta datos económicos y bancarios

Normalmente los hoteles cuentan con infraestructuras informáticas

vulnerables, es decir, fáciles de hackear. Pues utilizan sistemas como los
portales de reservas que son especialmente vulnerables.

Es fácil de obtener datos críticos a través del propio personal de hotel.

Además, la gestión de reservas a través de email supone un alto riesgo
de sufrir un ataque de phishing.
 DIRECTRICES A SEGUIR CUANDO SE
TRABAJA CON UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
lprimer elemento básico de la norma ISO 27001 son las cláusulas que definen
todas las actividades necesarias para definir, establecer, implementar, seguir y
revisar, también se tiene que mantener y mejorar el Sistema de Gestión de
Seguridad de la Información.

Al supervisar y aplicar todas las actividades que vienen definidas en las

cláusulas de la norma ISO 27001, las organizaciones comienzan a dar forma a
un marco para ayudar a la administración de seguridad de la información.

La nueva ISO 27001 no considera de manera explícita un modelo de

mejora continua, las fases se analizan de forma implícita.
 SOFTWARE PARA ISO 27001
• La Plataforma ISOTools facilita la automatización de la ISO 27001
La ISO27001 para los SGSI es sencilla de implantar, automatizar y mantener con la
plataforma tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en
el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para
establecer, implementar, mantener y mejorar el Sistema Gestió n
de la Seguridad en la Informació n, así como se da cumplimiento
de manera complementaria a las buenas prá cticas o controles
establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas

de Seguridad de la Informació n como PMG SSI de los Servicios
Pú blicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como
ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a
su estructura modular
BENEFICIOS DE LA CERTIFICACIÓN ISO 27001
• Conseguir la certificación ISO 27001 acreditada demuestra que su hotel está
comprometida con seguir las mejores prácticas de seguridad de la
información. Adicionalmente, la certificación ISO 27001 proporciona una
evaluación experta de si la información de su empresa está adecuadamente
protegida.
EXPOSICIÓN 16/02/21

Integrantes :
- Bautista Quea, Lady Luz
- Duran Laura, Miriam
- Parra Leqque, Dina
- Quispe Gomez, Lizbeth Rosmery