ISO NORM

Empresa cervecera denominada CASTLE VILLE.

E valuación de la Seguridad de la Información en las Organizaciones con Base en la Norma ISO 27001, 2020

This document states the concepts referred to the Information Security Management Systems and those contained in ISO 27001, in order to pour them into a real analysis of their application in organizations. Index Term-ISO 27001, PMBOK, ISMS/SGSI Resumen-Este documento enuncia los conceptos referentes a los Sistemas de Gestión de la Seguridad de la Información y los contenidos en la norma ISO 27001, con el fin de verterlos en un análisis real de su aplicación en las organizaciones. Índice de términos-ISO 27001, PMBOK, ISMS/SGSI I. INTRODUCCIÓN Cuando una institución incursiona en el mundo de los sistemas de gestión de la seguridad de la información (SGSI) empíricamente, con el afán de complacer un mercado que cada vez exige más la adopción de una postura en cuanto a este tema, o simplemente para mejorar su propio desempeño a partir de la implementación de determinada medida conveniente para sus procesos; es muy probable que se vea abrumada por la gran cantidad de "buenas prácticas", controles, guías y metodologías diferentes que existen; dando como resultado la adopción de controles o desarrollo de proyectos que en realidad podrían llegar a afectar a la empresa al entorpecer procesos internos, alejándose por completo del beneficio deseado. La norma ISO 27001 ofrece una solución a este problema, brindando las consideraciones que la institución debe cumplir para establecer, implementar, mantener y mejorar continuamente los SGSI. Lo que se traduce en una buena base de partida para entender este complejo mundo lleno de pequeños (pero importantes) detalles. Durante el desarrollo de este texto, se irán interpretando los aspectos más relevantes de la norma ISO 27001, con el propósito de crear una sencilla forma de evaluar si los SGSI implementados en una institución gubernamental y una empresa dedicada a brindar servicios de ciberseguridad, cumplen con dicha norma. Además, se analizarán los controles contenidos en la norma ISO 27001 para poder aplicarlos en la mejora o corrección de los SGSI de cada institución estudiada. Planteando cada uno de estos como un proyecto que aporte valor a la institución. II. MARCO TEORIO Y CONCEPTUAL A. La Norma ISO/IEC 27001:2013 Este estándar tiene por enfoque la seguridad de la información y tal como se especifica en la Norma Técnica Salvadoreña (NTS ISO/IEC 27001:2013) su objetivo es establecer los requisitos para "establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información" (Organismo Salvadoreño de Normalización, 2014) [1]. En este estándar se especifican los requisitos y controles para planificar, hacer, verificar y actuar en un Sistema de Gestión de Seguridad de la Información (SGSI), basado en el modelo de Deming [2]. Este modelo puede se puede observar en Fig.1. Fig. 1 El Modelo de Demming aplicado al SGSI. De esta manera, para controlar la seguridad de los sistemas y redes de información se atraviesa por las siguientes fases: • Planificar: Se entregan resultados alineados con las políticas y objetivos de una organización, para ello se establecen políticas, objetivos, procesos y procedimientos de seguridad. • Hacer: Se implementan y operan controles que se hayan propuesto en el SGSI. • Verificar: Se reportan resultados con base en la evaluación y medida del desempeño del proceso del SGSI de acuerdo con las políticas y objetivos de seguridad planteados. • Actuar: Se emprenden acciones correctivas y preventivas con base en los resultados de la auditoría interna del SGSI, con el propósito de lograr una mejora continua. Evaluación de la Seguridad de la Información en las Organizaciones con Base en la Norma ISO 27001

Esta nor OBSERVACIONES ANTECEDENTES Esta nor Gestión Editada e impresa por AENOR Depósito legal: M 34496:2010 LAS OBSE © AENOR 2010 Reproducción prohibida Génova, 6 28004 MADRID-Españ la UNE ón del riesgo ipios y directrices agement. Principles and guidelines. ment du risque. Principes et lignes directrices. rma es idéntica a la Norma Internacional ISO 31000:200 rma ha sido elaborada por el Grupo Específico de Carácte de riesgos cuya Secretaría desempeña AENOR. ERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: [email protected] ña www.aenor.es Tel.: 902 Fax: 913

2018, 2018

iso norma 9004 2018