ACTIVIDAD 3: Norma ISO/IEC 27001

 

Republica Bolivariana de Venezuela.

Ministerio del Poder Popular para la Educación Universitaria.

Universidad Nacional Experimental de la Gran Caracas (UNEXCA).

Unidad Curricular: Seguridad de la Información (SGSI).

Prof. Miguel Martínez.

 

 

 

 

 

 

 

 

 

Norma ISO/IEC 27001

 

 

 

 

 

 

 

 

Autor:

Henry Ricardo Bayenilla Ávila

CI: 19.227.406

 

Caracas, 23/06/2025




La organización ISO.

La ISO, o International Organization for Standardization (Organización Internacional de Normalización), es una organización independiente y no gubernamental que se dedica a la creación de normas o estándares internacionales. Fue fundada el 23 de febrero de 1947 en Londres y tiene su sede en Ginebra, Suiza.

Sus principales objetivos son facilitar el comercio internacional al proporcionar estándares que aseguren la calidad, seguridad y eficiencia de productos y servicios. La ISO se financia a través de las suscripciones de sus cuerpos miembros (organizaciones nacionales de normalización de cada país) y la venta de sus normas. Cuenta con miembros en 164 países y desarrolla estándares en una amplia gama de campos, desde la gestión de calidad (ISO 9001) hasta la seguridad alimentaria (ISO 22000) y, por supuesto, la seguridad de la información.

La familia de las Normas ISO

La ISO desarrolla un vasto conjunto de normas que cubren diversas áreas. Estas normas suelen agruparse en "familias" o "series" cuando abordan un tema específico. Cada norma dentro de una familia puede tener un propósito diferente (por ejemplo, requisitos para un sistema de gestión, guías de implementación, vocabulario, métricas, etc.) pero todas están interconectadas y diseñadas para funcionar de manera conjunta.

Algunos ejemplos de familias de normas ISO incluyen:

  • ISO 9000: Gestión de la Calidad.
  • ISO 14000: Gestión Ambiental.
  • ISO 45000: Salud y Seguridad en el Trabajo.
  • ISO 22000: Seguridad Alimentaria.
  • ISO 27000: Seguridad de la Información.

 

 

Estándares en Seguridad de la Información: Las Normas ISO 27000

La serie ISO/IEC 27000 es una familia de estándares desarrollados por la ISO en conjunto con la Comisión Electrotécnica Internacional (IEC) que se enfoca específicamente en la seguridad de la información. Su objetivo es ayudar a las organizaciones a gestionar y proteger su información de manera efectiva.

Esta familia de normas proporciona un marco integral para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). La idea es que las organizaciones puedan identificar y gestionar los riesgos de seguridad de la información de manera sistemática, garantizando la confidencialidad, integridad y disponibilidad de su información.

Algunas de las normas clave dentro de la familia ISO 27000 incluyen:

  • ISO/IEC 27000: Proporciona una visión general y un vocabulario para los SGSI.
  • ISO/IEC 27001: La norma principal y certificable, que establece los requisitos para un SGSI.
  • ISO/IEC 27002: Un código de buenas prácticas para los controles de seguridad de la información, que sirve como guía para la implementación de los controles mencionados en la 27001.
  • ISO/IEC 27003: Directrices para la implementación de un SGSI.
  • ISO/IEC 27004: Métricas y mediciones para la gestión de la seguridad de la información.
  • ISO/IEC 27005: Directrices para la gestión de riesgos de seguridad de la información.

 

 

 

La Norma ISO 27001

La ISO/IEC 27001 es la norma internacional más reconocida y utilizada para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Es la norma que especifica los requisitos para establecer, implementar, mantener, monitorear y mejorar un SGSI en una organización.

Los principios fundamentales que busca proteger la ISO 27001 son:

  • Confidencialidad: Asegurar que la información solo sea accesible para aquellos autorizados.
  • Integridad: Garantizar que la información sea precisa y completa, y que los métodos de procesamiento sean correctos.
  • Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando sea necesario.

La norma ISO 27001 adopta un enfoque basado en riesgos, lo que significa que las organizaciones deben identificar sus activos de información, analizar las amenazas y vulnerabilidades, evaluar los riesgos y luego implementar controles adecuados para mitigar esos riesgos.

Para lograr la certificación ISO 27001, una organización debe:

  1. Contexto de la organización: Comprender el contexto interno y externo de la organización y sus partes interesadas.
  2. Liderazgo: La alta dirección debe demostrar compromiso y establecer una política de seguridad de la información.
  3. Planificación: Identificar y evaluar los riesgos y oportunidades, y planificar acciones para abordarlos.
  4. Soporte: Proveer los recursos necesarios (personal, infraestructura, entorno, etc.) y asegurar la competencia y conciencia.
  5. Operación: Implementar y controlar los procesos necesarios para abordar los riesgos de seguridad de la información.
  6. Evaluación del desempeño: Monitorear, medir, analizar y evaluar el desempeño del SGSI, incluyendo auditorías internas y revisiones por la dirección.
  7. Mejora: Mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.

La ISO 27001 es aplicable a cualquier tipo de organización, independientemente de su tamaño, sector o naturaleza, y ayuda a cumplir con regulaciones de protección de datos como el GDPR. Su implementación no solo mejora la postura de seguridad de una organización, sino que también genera confianza entre clientes y socios al demostrar un compromiso sólido con la protección de la información.

La Norma ISO/IEC 27002: Guía para la Implementación de Controles

Mientras que la ISO/IEC 27001 es la norma certificable que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI), la ISO/IEC 27002 actúa como un código de buenas prácticas y una guía detallada para la implementación de los controles de seguridad de la información.

En otras palabras:

·                    ISO 27001 te dice qué tienes que hacer (establecer un SGSI, identificar riesgos, implementar controles).

·                    ISO 27002 te dice cómo puedes hacerlo (proporciona orientación sobre la selección e implementación de los controles).

No es una norma certificable por sí misma, sino un documento de apoyo fundamental para las organizaciones que buscan cumplir con los requisitos del Anexo A de la ISO 27001.

 

Estructura y Contenido de la ISO 27002

La ISO 27002 (en su versión más reciente, ISO/IEC 27002:2022) organiza los controles de seguridad de la información en cuatro secciones principales, que agrupan los 93 controles de seguridad de la información. Cada control se describe en detalle, incluyendo su propósito, orientación para su implementación y otra información relevante.

Las cuatro secciones principales son:

1.            Controles Organizacionales (37 controles): Se refieren a la gestión de la seguridad a nivel de la organización, incluyendo políticas, roles y responsabilidades, gestión de riesgos, gestión de la continuidad del negocio, y cumplimiento legal y contractual. Ejemplos:

o        Políticas de seguridad de la información.

o        Asignación de roles y responsabilidades de seguridad de la información.

o        Gestión de incidentes de seguridad de la información.

o        Gestión de la continuidad de la información y comunicación.

2.           Controles de Personas (8 controles): Se centran en los aspectos de seguridad relacionados con el personal de la organización, desde la contratación hasta la finalización del empleo. Ejemplos:

o        Cribado de personal.

o        Concienciación, educación y formación en seguridad de la información.

o        Procesos disciplinarios.

3.           Controles Físicos (14 controles): Abordan la seguridad del entorno físico donde se encuentran los activos de información, como oficinas, centros de datos y equipos. Ejemplos:

o        Seguridad física del perímetro.

o        Seguridad de oficinas, salas e instalaciones.

o        Protección contra desastres y amenazas físicas.

4.           Controles Tecnológicos (34 controles): Incluyen medidas de seguridad que se implementan a través de la tecnología, como el control de acceso lógico, el cifrado y la seguridad de la red. Ejemplos:

o        Gestión de accesos.

o        Cifrado.

o        Seguridad de la red.

o        Protección contra malware.


Comentarios

Publicar un comentario

Entradas populares de este blog

 ACTIVIDAD 1: Definiciones. ·   ¿ Qué entendemos por seguridad de la información? Se refiere a la protección de los activos de información de una organización contra accesos no autorizados, uso, divulgación, interrupción, modificación o destrucción no autorizados. El objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información.    ¿Principales parámetros básicos? Estos son los pilares fundamentales de la seguridad de la información, conocidos como la tríada CID: Confidencialidad: Asegurar que la información solo sea accesible para las personas autorizadas. Integridad: Garantizar que la información sea precisa, completa y no haya sido modificada sin autorización. Disponibilidad: Asegurar que los usuarios autorizados puedan acceder a la información y a los recursos cuando los necesiten.    ¿Qué es un sistema de gestión de la seguridad? Es un conjunto de políticas, procedimientos...
Leer más

ACTIVIDAD 2: Lo Virtual Bajo la Mirada del Derecho.

  República Bolivariana de Venezuela Ministerio del Poder Popular Para la Educación Universitaria. Universidad Nacional Experimental de la Gran Caracas (UNEXCA) Materia: Proyecto Fase 2/ Prof. Miguel Martínez.               Lo Virtual Bajo la Mirada del Derecho.           Autor: Henry Ricardo Bayenilla Ávila. CI: 19.227.406       Caracas, 19/05/2025   Desarrollo. Constitución de la República Bolivariana de Venezuela (1999) ·         Es la norma suprema de Venezuela, establece la organización del Estado, los derechos fundamentales y los principios de la democracia participativa. ·         Define a Venezuela como un Estado social de derecho y justicia, con división de poderes (Ejecutivo, Legislativo, Judicial, Ciudadano y Electoral). ·        ...
Leer más

ACTIVIDAD 4: Norma COBIT 5.0

  República Bolivariana de Venezuela. Ministerio del Poder Popular para la Educación Universitaria. Universidad Nacional Experimental de la Gran Caracas (UNEXCA). Unidad Curricular: Seguridad de la Información (SGSI). Prof. Miguel Martínez.                   Norma COBIT 5.0                 Autor: Henry Ricardo Bayenilla Ávila CI: 19.227.406   Caracas, 23/06/2025 Normas COBIT 5.0 COBIT 5.0 (Control Objectives for Information and Related Technology) es un marco de trabajo ampliamente reconocido, publicado por ISACA (Information Systems Audit and Control Association) . No se trata de "normas" en el sentido de regulaciones legales estrictas, sino más bien de un marco integral para la gobernanza y gestión de la TI empresarial . Su objetivo es ayudar a las organizaciones a generar valor a partir de la TI, manteniendo un equilibrio entre la o...
Leer más