1. Universidad Nacional Autónoma de Honduras en el
Valle de Sula.
Catedratico:
Ing. Guillermo Brand.
Alumno:
Denis Alberto Rauda Peña.
20062001155,
Asignatura:
Políticas Informática .

2. Introducción
La información es el principal activo de muchas organizaciones y
precisa ser protegida adecuadamente frente a amenazas que puedan
poner en peligro la continuidad del negocio.
Para proteger la información de una manera coherente y eficaz es
necesario implementar un Sistema de Gestión de Seguridad de la
Información (SGSI).

3. Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI),
según la Norma UNE-ISO/IEC 27001, es una parte del sistema de
gestión general, basada en un enfoque de riesgo empresarial, que
se establece para crear, implementar, operar, supervisar, revisar,
mantener y mejorar la seguridad de la información.
La norma especifica que, como cualquier otro sistema de gestión, el
SGSI incluyetanto la organización como las políticas, la
planificación, las responsabilidades, las prácticas, los
procedimientos, los procesos y los recursos.

4. El ciclo de mejora continua
Para establecer y gestionar un sistema de gestión de la seguridad de
la informaciónse utiliza el ciclo PDCA (conocido también como
ciclo Deming)

5. La Norma UNE-ISO/IEC 27001
Esta norma especifica los requisitos para la creación,
implementación, funcionamiento, supervisión, revisión,
mantenimiento y mejora de un SGSI documentado,
teniendo en cuenta los riesgos empresariales generales de la
organización. Es decir, explica cómo diseñar un SGSI y establecer
los controles de seguridad, de acuerdo con las necesidades de una
organización o de partes de la misma, pero no aclara mediante qué
procedimientos se ponen en práctica.

6. La Norma UNE-ISO/IEC 27002
● Esta norma se está desarrollando dentro de una familia de normas
internacionales sobre Sistemas de Gestión de la Seguridad de la
Información (SGSI).
● Establece las directrices y principios generales para el comienzo,
la implementación, el mantenimiento y la mejora de la gestión de
la seguridad de la información en una organización.
● Es un catálogo de buenas prácticas, obtenido a partir de la
experiencia y colaboración de numerosos participantes,
los cuales han alcanzado un consenso acerca de los objetivos
comúnmente aceptados para la gestión de la seguridad de la
información

7. Requisitos generales del sistema de gestión
de la seguridad
Los requisitos que exige este estándar internacional son genéricos
y aplicables a la totalidad de las organizaciones,
independientemente de su tamaño o sector de actividad. La norma
establece una serie de requisitos. Los requisitos en muchos casos
no se encuentran definidos.

8. La norma reclama que exista un sistema documentado (política,
análisis de riesgos, procedimientos, etc.), donde la dirección cola-
bore activamente y se implique en el desarrollo y gestión del siste-
ma. El sistema constará de una documentación en varios niveles.

9. SGSI contará con los siguientes
documentos:
• Política de seguridad, que contendrá las directrices generales a las
que se ajustará la organización en cuanto a seguridad, así como la
estrategia a seguir a la hora de establecer objetivos y líneas de
actuación.
• Inventario de activos, que detallará los activos dentro del alcance
del SGSI, así como los propietarios y la valoración de tales activos.

10. • Análisis de riesgos, con los riesgos identificados basándose en la
política de la organización sobre seguridad de la información y el
grado de seguridad requerido.
• Las decisiones de la dirección respecto a los riesgos identificados,
así como la aprobación de los riesgos residuales.
• Documento de aplicabilidad con la relación de los controles que
son aplicables para conseguir el nivel de riesgo residual aprobado
por la dirección.

11. Requisitos de documentación
Los documentos requeridos por el SGSI deben hallarse protegidos y
controlados, por lo que se precisan unos procedimientos de control
de documentación, de revisión y de registro (informes, auditorías,
cambios, autorizaciones de acceso, permisos temporales, bajas,
etc.).

12. Compromiso de la dirección
Uno de los requisitos fundamentales para poner en marcha un SGSI
es conta con el compromiso de la dirección, no sólo por ser uno de
los epígrafes contemplados en la norma, sino porque el cambio de
cultura y concienciación que genera el proceso sería imposible de
sobrellevar sin el compromiso constante de la dirección.

13. Formación
La norma exige que todos los trabajadores con responsabilidades
definidas en el SGSI sean competentes para efectuar las
actividades necesarias. Esto significa que hay que definir las
competencias necesarias y, en función de tales necesidades,
proporcionar la formación a la plantilla o adoptar otras acciones para
satisfacerlas (por ejemplo, la contratación de personal competente).

14. Auditorías internas
Una de las herramientas más interesantes para controlar el
funcionamiento del SGSI son las auditorías internas. Estas
auditorías deben programarse y prepararse regularmente,
normalmente una vez al año.

15. Mejora continua
La mejora continua es una actividad recurrente para incrementar la
capacidad a la hora de cumplir los requisitos. El proceso mediante
el cual se establecen objetivos y se identifican oportunidades de
mejora es continuo.

16. Alcance del SGSI
Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es
necesaria la aplicación de la norma a toda la entidad. Hay que
evaluar los recursos que se pueden dedicar al proyecto y si
realmente es preciso abarcar toda la organización.
Normalmente es más práctico limitar el alcance del SGSI a aquellos
servicios, departamentos o procesos en los que resulte más
sencillo, bien porque el esfuerzo va a ser menor o porque la
visibilidad del proyecto (interna o externa) es mayor.