El informe detalla la importancia de la norma ISO 27001 para gestionar la seguridad de la información en organizaciones de cualquier tamaño, enfocándose en proteger la confidencialidad, integridad y disponibilidad de la información. Describe las secciones clave de la norma, el ciclo de mejora continua PDCA y los requisitos para la certificación. También enfatiza que su implementación puede ser liderada por diferentes áreas de la organización y no solo por TI.

1. ISO 27001
Cómo gestionar la seguridad de la información en una empresa

2. Informe sobre las amenazas para la seguridad en Internet de Symantec 2019
Seguridad informática < Seguridad de la información

3. Sistema
Mucho más que controles aislados –
separados: No se pueden hacer
seguimiento y control PHVA

4. Quién la puede implementar ?
Cualquier organización:
con o sin ánimo de lucro
Privada o pública
Grande o pequeña

5. Cómo funciona la 27001
El eje central de ISO 27001 es proteger la confidencialidad, integridad y
disponibilidad de la información en una empresa. Esto lo hace
investigando cuáles son los potenciales problemas que podrían afectar la
información (es decir, la evaluación de riesgos) y luego definiendo lo que
es necesario hacer para evitar que estos problemas se produzcan (es decir,
mitigación o tratamiento del riesgo)

6. Porqué es importante?
Funciona de la siguiente manera:
1 Cumplir requerimientos legales
2 Obtener una ventaja comercial
3 Menores costos
4 Mejor organización

7. Mejora continua
El Ciclo PDCA también es conocido como "Círculo de
Deming", ya que fue el Dr. Williams Edwards Deming
uno de los primeros que utilizó este esquema lógico
en la mejora de la calidad y le dio un fuerte impulso.
Basado en un concepto ideado por Walter A. Shewhart,
el Ciclo PDCA constituye una estrategia de mejora
continua de la calidad en cuatro pasos, también se lo
denomina espiral de mejora continua y es muy
utilizado por los diversos sistemas utilizados en las
organizaciones para gestionar aspectos tales como
calidad (ISO 9000), medio ambiente (ISO 14000), salud
y seguridad ocupacional (OHSAS 18000), o inocuidad
alimentaria (ISO 22000).
Las siglas PDCA son el acrónimo de las palabras
inglesas Plan, Do, Check, Act, equivalentes en español
a Planificar, Hacer, Verificar, y Actuar.

8. Qué contiene la norma
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las secciones de ISO 27001 son los
mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.
Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.
Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para comprender
cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.
Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y
responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

9. Qué contiene la norma
Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el
tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias,
concienciación, comunicación y control de documentos y registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de
riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición,
análisis, evaluación, auditoría interna y revisión por parte de la dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
Annexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

10. Cómo obtener la certificación?
Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y
(b) para las personas. Las organizaciones pueden obtener la certificación
para demostrar que cumplen con todos los puntos obligatorios de la
norma; las personas pueden hacer el curso y aprobar el examen para
obtener el certificado.

11. La norma me dice cómo implementar la forma ?
Eje: Bloquear puertos USB
1) Software
2) Configuración del SO
R/ La norma no lo dice

12. La implementación la debe liderar TI?
No, Cualquier área la podría liderar: Calidad, Riesgos, Auditoría, Control interno

13. El beneficio es comercial?
No,
El prinicipal beneficio es ayudar a mitigar los riesgos de nuestra infomración

14. Cómo inciar?
Comparativa •Qué tengo / qué me falta
Alcance •Impacto para la empresa
Plan •Líder, equipo, personal operativo
Riesgos
•Gestión de
riesgos
Buscar
Apoyo
• Empresas, Amigos

15. Controles A.14.2

16. Controles A.14.2