Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
Este documento presenta los conceptos básicos y la metodología de la norma ISO 17799 para la gestión de la seguridad de la información. La norma establece once dominios de control que cubren esta gestión, como la política de seguridad, aspectos organizativos, clasificación de activos, seguridad del personal, y conformidad legal. Siguiendo esta norma, las organizaciones pueden mejorar la seguridad de sus sistemas, garantizar la continuidad del negocio, y aumentar la confianza de clientes y socios.
Este documento explica las normas ISO 27001 y 27002. Detalla las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y las fases del proceso de certificación.
Este documento presenta una introducción a las normas ISO 27001 e ISO 27002. Explica las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y cómo implementar un sistema de gestión de seguridad de la información siguiendo el ciclo de mejora continua Plan-Do-Check-Act.
Este documento proporciona una guía sobre la implementación de la norma ISO 27001. Explica los beneficios de la certificación, que incluyen ventajas comerciales, operacionales y tranquilidad. También describe los principios básicos de la gestión de la seguridad de la información, como los tipos de riesgos, activos, incidentes y amenazas. Además, introduce el ciclo PHVA utilizado para la mejora continua del sistema de gestión de seguridad de la información de acuerdo con ISO 27001.
Este documento proporciona una introducción general a la norma ISO/IEC 27001 y compara las versiones de 2005 y 2013. Resume los principales cambios entre las versiones, incluidos nuevos dominios de seguridad, más requisitos de gestión y controles actualizados. También explica brevemente el propósito de un sistema de gestión de seguridad de la información certificado conforme a ISO/IEC 27001.
El documento lista las normas de la familia ISO/IEC 27000, incluyendo el año de publicación y breves descripciones del objetivo de cada norma. Se actualiza periódicamente para incluir normas nuevas y revisiones. Cubre normas relacionadas con gestión de seguridad de la información, seguridad de redes, seguridad en aplicaciones, y más.
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
El documento presenta una introducción a las normas ISO 27001 e ISO 27002 sobre seguridad de la información. Explica conceptos clave como seguridad de la información, riesgo, confidencialidad, integridad y disponibilidad. También describe amenazas comunes como hackers, crackers y phreaks. Finalmente, resalta la importancia de implementar controles de seguridad, políticas y auditorías para cumplir con estas normas internacionales.
Este documento presenta los conceptos básicos y la metodología de la norma ISO 17799 para la gestión de la seguridad de la información. La norma establece once dominios de control que cubren esta gestión, como la política de seguridad, aspectos organizativos, clasificación de activos, seguridad del personal, y conformidad legal. Siguiendo esta norma, las organizaciones pueden mejorar la seguridad de sus sistemas, garantizar la continuidad del negocio, y aumentar la confianza de clientes y socios.
Este documento explica las normas ISO 27001 y 27002. Detalla las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y las fases del proceso de certificación.
Este documento presenta una introducción a las normas ISO 27001 e ISO 27002. Explica las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y cómo implementar un sistema de gestión de seguridad de la información siguiendo el ciclo de mejora continua Plan-Do-Check-Act.
Este documento proporciona una guía sobre la implementación de la norma ISO 27001. Explica los beneficios de la certificación, que incluyen ventajas comerciales, operacionales y tranquilidad. También describe los principios básicos de la gestión de la seguridad de la información, como los tipos de riesgos, activos, incidentes y amenazas. Además, introduce el ciclo PHVA utilizado para la mejora continua del sistema de gestión de seguridad de la información de acuerdo con ISO 27001.
Este documento proporciona una introducción general a la norma ISO/IEC 27001 y compara las versiones de 2005 y 2013. Resume los principales cambios entre las versiones, incluidos nuevos dominios de seguridad, más requisitos de gestión y controles actualizados. También explica brevemente el propósito de un sistema de gestión de seguridad de la información certificado conforme a ISO/IEC 27001.
El documento lista las normas de la familia ISO/IEC 27000, incluyendo el año de publicación y breves descripciones del objetivo de cada norma. Se actualiza periódicamente para incluir normas nuevas y revisiones. Cubre normas relacionadas con gestión de seguridad de la información, seguridad de redes, seguridad en aplicaciones, y más.
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
El documento presenta una introducción a las normas ISO 27001 e ISO 27002 sobre seguridad de la información. Explica conceptos clave como seguridad de la información, riesgo, confidencialidad, integridad y disponibilidad. También describe amenazas comunes como hackers, crackers y phreaks. Finalmente, resalta la importancia de implementar controles de seguridad, políticas y auditorías para cumplir con estas normas internacionales.
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ
Se presenta el listado de las normas ISO asociadas a la familia ISO 27000 publicadas a octubre del 2016, incluye una breve descripción del contenido de éstas.
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información en una empresa mediante la protección de la confidencialidad, integridad y disponibilidad de la información. Se basa en la gestión de riesgos identificando y tratando sistemáticamente los potenciales problemas que podrían afectar la información. Ayuda a proteger los activos de información y otorga confianza a los clientes a través de la selección de controles de seguridad adecuados y la adopción de un enfoque por procesos para
Este documento presenta información sobre la norma ISO 27000. Explica que ISO 27000 es una familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la información. También describe los conceptos clave de seguridad de la información, el sistema de gestión de seguridad de la información, y los objetivos y beneficios de implementar un sistema de gestión de seguridad de la información basado en ISO 27001.
La norma ISO 27001 describe cómo gestionar la seguridad de la información en una empresa. Fue publicada por primera vez en 2005 y actualizada en 2013. Establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en la evaluación y tratamiento de riesgos, así como en el ciclo PDCA de mejora continua.
Este documento presenta la asignatura "Calidad en los Sistemas de Información" que forma parte de la carrera de Ingeniería Informática. Introduce conceptos clave de calidad como definición, control de calidad, calidad de sistemas de información e importancia de la calidad. Explica los objetivos generales del curso y la unidad 1 que cubre conceptos básicos de calidad como definición, quien define la calidad e importancia de la calidad en un mundo globalizado.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
Gestión de servicios IT, fundamentos de ITILRamiro Cid
Presentación de los fundamentos ITIL, como marco de trabajo para una eficiente y efectiva gestión de los servicios IT.
Se hace una breve mención a la historia de ITIL y a los detalles respecto a la certificación en la misma.
En el presente trabajo se desarrollan los componentes de los 2 dominios que conforman ITIL: Soporte al servicio y provisión al servicio.
El documento presenta una introducción a la norma ISO 27000, que establece los requisitos para gestionar la seguridad de la información. La norma tiene su origen en BS 7799 de 1995 y ha evolucionado a través de revisiones hasta convertirse en la serie ISO 27000. Esta serie incluye estándares relacionados con la gestión de riesgos, auditorías, seguridad en redes y continuidad del negocio. La adopción de la norma ofrece beneficios como la reducción de riesgos y la confianza de clientes y socios.
Charla impartida por el Doctor Antonio Guzmán,miembro del Grupo de Arquitecturas de Altas Prestaciones de la Universidad Rey Juan Carlos de Madrid, en el Curso de Verano 2009 de Seguridad Informática en la Universidad de Salamanca.
Este documento describe la familia de estándares ISO 27000, que proporciona un marco para la gestión de la seguridad de la información. Explica varios estándares clave como ISO 27001, que contiene los requisitos para un sistema de gestión de seguridad de la información, ISO 27002, que provee directrices de buenas prácticas, e ISO 27005 que establece directrices para la gestión de riesgos en la seguridad de la información. Además, cubre otros estándares relacionados con la medición, certificación y sect
Este documento proporciona información sobre ISO 27000, la familia de normas internacionales para la gestión de la seguridad de la información. Explica que ISO 27000 define los términos y conceptos clave, ISO 27001 especifica los requisitos de un sistema de gestión de seguridad de la información certificable, y que otras normas como ISO 27002 y ISO 27005 proporcionan guías sobre buenas prácticas y gestión de riesgos respectivamente. También resume los beneficios de implementar un sistema de gestión de seguridad de la información cert
Este documento presenta una introducción a los estándares y normas de seguridad ISO 27000. Explica por qué son importantes las normas de seguridad, e introduce los conceptos clave de un Sistema de Gestión de Seguridad de la Información. Resume las normas ISO 27001, 27002 y 27005, y describe brevemente los orígenes y beneficios de la serie ISO 27000 de normas de seguridad.
SqlClient es un recurso para la administración de bases de datos que utiliza el lenguaje de consulta estructurado SQL. Contiene clases como MySqlConnection que permiten conectarse a una base de datos MySQL y realizar operaciones como carga masiva de datos. Para implementar SqlClient, es necesario instalar el conector MySQL y utilizar clases como MySqlConnection y MySqlDataAdapter.
El documento describe las normas y estándares de seguridad más importantes. La familia de normas ISO/IEC 27000 proporciona un marco para la gestión de la seguridad de la información mediante la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) certificable conforme a la norma ISO/IEC 27001. Esta norma especifica los requisitos para establecer, implementar, controlar, revisar y mejorar un SGSI. La norma ISO/IEC 27002 proporciona recomendaciones sobre las medidas de seg
Estandares y modelos de calidad del softwareaagalvisg
La calidad del software puede parecer un concepto alejado de la vida diaria de la mayoría de las personas, pero nada más lejos de la realidad, en este documento encontraras los estándares para crear un software de calidad.
Este documento trata sobre la programación en cliente-servidor de bajo nivel utilizando sockets y canales. Explica conceptos como sockets, dominios y tipos de sockets, y la creación, implementación y supresión de sockets. También describe el desarrollo del lado del servidor y cliente con sockets, incluyendo constructores y métodos importantes. El objetivo es comprender la comunicación entre procesos a través de sockets para desarrollar aplicaciones cliente-servidor.
The objectives of the present document are :
* To provide the certified clients of ISONIKE Ltd with the necessary information on the Transition Arrangements from
ISO/IEC 27001:2013 to ISO/IEC 27001:2022 certification.
* To provide the future clients of ISONIKE Ltd with the necessary information on the Transition Arrangements from
ISO/IEC 27001:2013 to ISO/IEC 27001:2022 certification.
* To provide the certified clients with the necessary steps for moving forward with the Transition of the Certification
Este documento proporciona información sobre la norma ISO/IEC 27001, que establece los requisitos para un sistema de gestión de seguridad de la información. Se explica brevemente el origen y evolución de esta norma y las normas relacionadas de la serie ISO 27000. También resume los principales cambios introducidos en la versión de 2013 de la norma ISO 27001.
Este documento presenta la Norma Técnica Colombiana NTC-ISO/IEC 27001, la cual establece los requisitos para el establecimiento, implementación, operación y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI) dentro de una organización. La norma promueve un enfoque basado en procesos y el ciclo Planificar-Hacer-Verificar-Actuar para la gestión de la seguridad de la información. Además, incluye anexos con objetivos y controles de seguridad
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ
Se presenta el listado de las normas ISO asociadas a la familia ISO 27000 publicadas a octubre del 2016, incluye una breve descripción del contenido de éstas.
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información en una empresa mediante la protección de la confidencialidad, integridad y disponibilidad de la información. Se basa en la gestión de riesgos identificando y tratando sistemáticamente los potenciales problemas que podrían afectar la información. Ayuda a proteger los activos de información y otorga confianza a los clientes a través de la selección de controles de seguridad adecuados y la adopción de un enfoque por procesos para
Este documento presenta información sobre la norma ISO 27000. Explica que ISO 27000 es una familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la información. También describe los conceptos clave de seguridad de la información, el sistema de gestión de seguridad de la información, y los objetivos y beneficios de implementar un sistema de gestión de seguridad de la información basado en ISO 27001.
La norma ISO 27001 describe cómo gestionar la seguridad de la información en una empresa. Fue publicada por primera vez en 2005 y actualizada en 2013. Establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en la evaluación y tratamiento de riesgos, así como en el ciclo PDCA de mejora continua.
Este documento presenta la asignatura "Calidad en los Sistemas de Información" que forma parte de la carrera de Ingeniería Informática. Introduce conceptos clave de calidad como definición, control de calidad, calidad de sistemas de información e importancia de la calidad. Explica los objetivos generales del curso y la unidad 1 que cubre conceptos básicos de calidad como definición, quien define la calidad e importancia de la calidad en un mundo globalizado.
O documento apresenta uma introdução sobre segurança da informação, definindo o que é, por que é necessária e como estabelecer requisitos. Apresenta também os principais pontos para o início de um programa de segurança, como política, atribuição de responsabilidades, conscientização e análise de riscos.
Gestión de servicios IT, fundamentos de ITILRamiro Cid
Presentación de los fundamentos ITIL, como marco de trabajo para una eficiente y efectiva gestión de los servicios IT.
Se hace una breve mención a la historia de ITIL y a los detalles respecto a la certificación en la misma.
En el presente trabajo se desarrollan los componentes de los 2 dominios que conforman ITIL: Soporte al servicio y provisión al servicio.
El documento presenta una introducción a la norma ISO 27000, que establece los requisitos para gestionar la seguridad de la información. La norma tiene su origen en BS 7799 de 1995 y ha evolucionado a través de revisiones hasta convertirse en la serie ISO 27000. Esta serie incluye estándares relacionados con la gestión de riesgos, auditorías, seguridad en redes y continuidad del negocio. La adopción de la norma ofrece beneficios como la reducción de riesgos y la confianza de clientes y socios.
Charla impartida por el Doctor Antonio Guzmán,miembro del Grupo de Arquitecturas de Altas Prestaciones de la Universidad Rey Juan Carlos de Madrid, en el Curso de Verano 2009 de Seguridad Informática en la Universidad de Salamanca.
Este documento describe la familia de estándares ISO 27000, que proporciona un marco para la gestión de la seguridad de la información. Explica varios estándares clave como ISO 27001, que contiene los requisitos para un sistema de gestión de seguridad de la información, ISO 27002, que provee directrices de buenas prácticas, e ISO 27005 que establece directrices para la gestión de riesgos en la seguridad de la información. Además, cubre otros estándares relacionados con la medición, certificación y sect
Este documento proporciona información sobre ISO 27000, la familia de normas internacionales para la gestión de la seguridad de la información. Explica que ISO 27000 define los términos y conceptos clave, ISO 27001 especifica los requisitos de un sistema de gestión de seguridad de la información certificable, y que otras normas como ISO 27002 y ISO 27005 proporcionan guías sobre buenas prácticas y gestión de riesgos respectivamente. También resume los beneficios de implementar un sistema de gestión de seguridad de la información cert
Este documento presenta una introducción a los estándares y normas de seguridad ISO 27000. Explica por qué son importantes las normas de seguridad, e introduce los conceptos clave de un Sistema de Gestión de Seguridad de la Información. Resume las normas ISO 27001, 27002 y 27005, y describe brevemente los orígenes y beneficios de la serie ISO 27000 de normas de seguridad.
SqlClient es un recurso para la administración de bases de datos que utiliza el lenguaje de consulta estructurado SQL. Contiene clases como MySqlConnection que permiten conectarse a una base de datos MySQL y realizar operaciones como carga masiva de datos. Para implementar SqlClient, es necesario instalar el conector MySQL y utilizar clases como MySqlConnection y MySqlDataAdapter.
El documento describe las normas y estándares de seguridad más importantes. La familia de normas ISO/IEC 27000 proporciona un marco para la gestión de la seguridad de la información mediante la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) certificable conforme a la norma ISO/IEC 27001. Esta norma especifica los requisitos para establecer, implementar, controlar, revisar y mejorar un SGSI. La norma ISO/IEC 27002 proporciona recomendaciones sobre las medidas de seg
Estandares y modelos de calidad del softwareaagalvisg
La calidad del software puede parecer un concepto alejado de la vida diaria de la mayoría de las personas, pero nada más lejos de la realidad, en este documento encontraras los estándares para crear un software de calidad.
Este documento trata sobre la programación en cliente-servidor de bajo nivel utilizando sockets y canales. Explica conceptos como sockets, dominios y tipos de sockets, y la creación, implementación y supresión de sockets. También describe el desarrollo del lado del servidor y cliente con sockets, incluyendo constructores y métodos importantes. El objetivo es comprender la comunicación entre procesos a través de sockets para desarrollar aplicaciones cliente-servidor.
The objectives of the present document are :
* To provide the certified clients of ISONIKE Ltd with the necessary information on the Transition Arrangements from
ISO/IEC 27001:2013 to ISO/IEC 27001:2022 certification.
* To provide the future clients of ISONIKE Ltd with the necessary information on the Transition Arrangements from
ISO/IEC 27001:2013 to ISO/IEC 27001:2022 certification.
* To provide the certified clients with the necessary steps for moving forward with the Transition of the Certification
Este documento proporciona información sobre la norma ISO/IEC 27001, que establece los requisitos para un sistema de gestión de seguridad de la información. Se explica brevemente el origen y evolución de esta norma y las normas relacionadas de la serie ISO 27000. También resume los principales cambios introducidos en la versión de 2013 de la norma ISO 27001.
Este documento presenta la Norma Técnica Colombiana NTC-ISO/IEC 27001, la cual establece los requisitos para el establecimiento, implementación, operación y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI) dentro de una organización. La norma promueve un enfoque basado en procesos y el ciclo Planificar-Hacer-Verificar-Actuar para la gestión de la seguridad de la información. Además, incluye anexos con objetivos y controles de seguridad
Este documento presenta una guía para la implementación exitosa de ISO 27001. Explica que la planeación incluye el desarrollo de consultores, la administración del proyecto, la integración de sistemas de gestión y la identificación de responsabilidades. Recomienda un enfoque estructurado que incluye planear, hacer, verificar y actuar, con pasos como definir el alcance, realizar una evaluación de riesgos y seleccionar controles. También enfatiza la importancia de integrar con sistemas de seguridad existentes y
Este documento presenta una comparación entre las versiones ISO 27001:2005 e ISO 27001:2013. Explica los cambios de estructura y conceptos clave, incluyendo 11 dominios de seguridad en 2005 versus 14 en 2013. También describe 21 controles eliminados e introduce 14 nuevos. Resalta que 2013 fortalece el concepto de seguridad de la información y el sistema de gestión de seguridad de la información.
Norma. ntc iso-iec 27001
NTC 27001
NTC ISO 27001
NTC ISO-IEC 27001
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013.
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
ISO-27001 trabaja bajo el método de mejora continua o Círculo de Deming, y es la única norma certificable de la serie. Ésta se acompaña de ISO 27002, que es una guía que contiene una serie de recomendaciones y buenas prácticas para que las organizaciones puedan mejorar la seguridad de su información.
Este documento describe los servicios de nube administrada de Rackspace. Rackspace es líder en el mercado de la nube administrada y ofrece una variedad de servicios como nube privada, híbrida y pública para satisfacer las necesidades de transformación digital y TI de los clientes. Rackspace ayuda a los clientes a crear y operar aplicaciones a gran escala de manera eficiente a través de su experiencia y soporte las 24 horas del día los 7 días de la semana.
Este documento presenta las principales novedades de COBIT 5, la guía más reciente de gobierno corporativo de TI. Miguel García-Menéndez discute que COBIT 5 introduce un nuevo marco y jerarquía que toma en cuenta los resultados del proyecto "Taking Governance Forward". Además, COBIT 5 enfatiza la sincronización entre el negocio y TI y se configura como un marco de referencia para el gobierno corporativo general, no solo de TI. Finalmente, COBIT 5 presenta nuevos programas de formación, certificación y evalu
Balanced Scorecard De It Por Franco It Grcfrancoit_grc
Este documento describe los beneficios y desafíos de implementar un Balanced Scorecard de TI utilizando COBIT 5. Explica cómo COBIT 5 puede usarse para alinear las actividades de TI con la estrategia y objetivos de la organización a través de una cascada de objetivos. También presenta cómo construir un Balanced Scorecard de TI con métricas basadas en las metas y procesos de TI de COBIT 5. Finalmente, discute cómo auditar una implementación de Balanced Scorecard mediante entrevistas y revisión de documentación y evidencia.
Este documento proporciona información sobre ISO 27001-2012, un sistema de gestión de seguridad de la información (SGSI). Detalla lo que es un SGSI, cómo implantar uno basado en ISO 27001, los beneficios de la certificación ISO 27001, y una propuesta de proyecto para 2012. También presenta a EuroHelp y sus actividades relacionadas con la seguridad de la información y el desarrollo de software.
Realizado en el XIII Encuentro Iberoamericano de Protección de Datos, principalmente orientado a la directiva de seguridad para la Ley peruana 29733, las referencias internacionales ISO/IEC utilizadas y el aporte del ISO/IEC JTC1/SC27/WG5 en materia de Protección de Datos Personales.
El documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo de derechos de acceso por usuario, el segundo trata sobre el monitoreo de asignación de privilegios por un auditor externo, y el tercero cubre el monitoreo de asignación de privilegios por el jefe de sistemas a los usuarios. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados y definiciones.
La ley busca proteger los datos personales obtenidos por las empresas y controlar su tratamiento para asegurar la privacidad y los derechos de los individuos. La ley protege el derecho de acceso, rectificación, cancelación y oposición de los titulares sobre sus datos. También establece principios como el consentimiento para el tratamiento de datos y la protección de datos sensibles. Las empresas deben clasificar y proteger los datos, establecer medidas de seguridad y designar a un responsable de protección de datos.
El documento describe un proyecto para mejorar el sistema de información de mailing de una empresa en Andalucía. El proyecto tuvo como objetivos asegurar la confidencialidad, disponibilidad e integridad de la información, identificar riesgos para el sistema de información, y establecer planes para tratar dichos riesgos. Las actividades realizadas incluyeron sensibilización del personal, inventario de activos, análisis y evaluación de riesgos, y planes de tratamiento. Los resultados fueron mejorar la seguridad de la información y reducir incidencias y
Este documento apresenta um projeto de revisão da norma ABNT NBR ISO/IEC 27002 sobre controles de segurança da informação. Ele descreve a estrutura da norma, incluindo os objetivos, escopo, referências normativas e termos e definições. Além disso, fornece diretrizes gerais sobre gestão de riscos, seleção e implementação de controles de segurança da informação.
Este documento presenta los antecedentes y principios de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México. Explica que la ley busca regular el tratamiento de datos personales para garantizar la privacidad y autodeterminación de las personas. También define los términos clave como datos personales, sujetos de la ley, y establece ocho principios como licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad que deben seguir los responsables del tratamiento de datos
El documento describe los estándares ISO 27001 para la seguridad de la información. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. La certificación ISO 27001 ofrece varias ventajas como demostrar el cumplimiento de leyes y la protección de activos de información.
El documento describe los estándares ISO 27001 para sistemas de gestión de seguridad de la información. ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. La certificación ISO 27001 demuestra el compromiso de una organización con la protección de la información y puede proporcionar ventajas competitivas.
La norma ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. Siguiendo los pasos de ISO 27001, las organizaciones pueden realizar un análisis de riesgos, desarrollar controles, establecer una política de seguridad, y revisar periódicamente el sistema para mejorar continuamente la protección de la información. La certificación ISO 27001 ofrece beneficios como mejorar la competitividad y la imagen de una organización a través de una operación basada en la
El documento habla sobre el estándar ISO 27001 para la seguridad de la información. Explica que ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También describe el proceso de certificación de acuerdo a este estándar y los beneficios que proporciona a las organizaciones.
La ISO 27001 es un estándar internacional para sistemas de gestión de seguridad de la información. Establece los requisitos para implementar, mantener y mejorar un sistema de gestión de seguridad de la información basado en un ciclo de mejora continua. La certificación ISO 27001 demuestra que una organización protege adecuadamente la confidencialidad, integridad y disponibilidad de su información.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Este documento proporciona una introducción al estándar ISO 27001 para la seguridad de la información. Explica que la norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También cubre la evolución de la norma, el proceso de implementación, la certificación, otros estándares relacionados con la seguridad de la información, y los beneficios de la certificación ISO 27001.
El documento describe el estándar ISO 27001 para la seguridad de la información. Establece los requisitos para implementar un sistema de gestión de seguridad de la información que siga el ciclo PDCA. La certificación demuestra el compromiso de una organización con la seguridad de la información y puede mejorar su reputación. El estándar cubre aspectos como la política de seguridad, gestión de activos, seguridad física, gestión de incidentes y continuidad del negocio.
La norma ISO 27000 proporciona un marco de gestión de la seguridad de la información para cualquier organización. Está compuesta por una serie de estándares que cubren temas como los requisitos para sistemas de gestión de seguridad de la información, buenas prácticas de seguridad, guías de implementación y auditoría. El estándar principal es ISO 27001, que especifica los requisitos para la certificación de sistemas de gestión de seguridad de la información de una organización.
La norma ISO 27001 especifica los requisitos de un sistema de gestión de seguridad de la información certificable. La información es un activo vital para el éxito de una organización, por lo que es necesario implementar un sistema documentado para gestionar la seguridad de la información basado en una evaluación de riesgos. ISO 27000 provee un marco de trabajo para este sistema y consiste en una serie de estándares relacionados con la seguridad de la información.
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
ISO/IEC 27000 es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series. ISO/IEC 27000 es un grupo de estándares internacionales titulados: Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Seguridad de la Información - Visión de conjunto y vocabulario. Tiene como fin ayudar a organizaciones de todo tipo y tamaño a implementar y operar un Sistema de Gestión de la Seguridad de la Información (SGSI).
La norma ISO/IEC 27000 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1 Tecnología de la Información, SC 27 Técnicas de Seguridad.
ISO/IEC 27000 proporciona:
Una visión general de normas sobre Sistemas de Gestión de la Seguridad de la Información (SGSI)
Una introducción a los Sistemas de Gestión de la Seguridad de la Información (SGSI)
Una breve descripción del proceso para Planificar - Hacer - Verificar - Actuar (Plan - Do - Check - Act, PDCA).
Los términos y las definiciones utilizadas en la familia de normas Sistemas de Gestión de la Seguridad de la Información (SGSI)
Esta norma internacional es aplicable a todo tipo de organizaciones desde empresas comerciales hasta organizaciones sin ánimo de lucro.
El documento describe los primeros pasos para desarrollar un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Estos incluyen definir el alcance del SGSI, establecer una política de seguridad, asignar roles y responsabilidades de seguridad, y llevar a cabo una campaña de concienciación y capacitación para involucrar al personal.
Este documento proporciona un resumen de la serie de normas ISO 27000, que establecen un marco de gestión de la seguridad de la información. La serie ISO 27000 incluye normas como ISO 27001, que especifica los requisitos de un sistema de gestión de seguridad de la información certificable, e ISO 27002, que proporciona recomendaciones sobre buenas prácticas de seguridad de la información. El documento explica el origen y contenido de las principales normas de la serie ISO 27000 y cómo las organizaciones pueden implementar un
Este documento presenta la familia de normas ISO/IEC 27000, que proporciona un marco de gestión de la seguridad de la información. Describe los orígenes y beneficios de la norma, así como los objetivos y normas específicas que componen la familia 27000. Finalmente, resume las fortalezas y debilidades de la implementación de este marco normativo, señalando que puede llevar de 6 a 12 meses y es recomendable con ayuda externa.
La norma ISO/IEC 27001 especifica los requisitos para establecer un Sistema de Gestión de la Seguridad de la Información según el ciclo PDCA. Su objetivo es que las organizaciones gestionen adecuadamente la seguridad de la información mediante procesos como la identificación de riesgos, el establecimiento de controles y la mejora continua. La certificación de un SGSI conforme a esta norma implica una auditoría externa que verifica su correcta implantación y eficacia.
ISO 27001 es una norma internacional para la gestión de la seguridad de la información que describe cómo implementarla en una organización. Se basa en un enfoque de gestión de riesgos para proteger la confidencialidad, integridad y disponibilidad de la información. Siguiendo los pasos establecidos en la norma, las organizaciones pueden obtener la certificación de que cumplen con sus requisitos de seguridad.
Este documento presenta información sobre la norma internacional ISO 27000 para la gestión de la seguridad de la información. Explica los conceptos clave de esta norma y su evolución a través del tiempo, destacando normas como ISO 27001, ISO 27002 e ISO 27003. Además, describe los componentes clave de un sistema de gestión de seguridad de la información conforme a esta norma internacional.
Este documento presenta una introducción a los estándares y normas de seguridad ISO 27000. Explica por qué son importantes las normas de seguridad, e introduce los conceptos clave de un Sistema de Gestión de Seguridad de la Información. Resume los orígenes e historia de la serie ISO 27000, así como algunos de sus estándares específicos como ISO 27001 y 27002. Finalmente, destaca los beneficios de implementar estas normas de seguridad.
ISO 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para implementar un sistema de gestión de seguridad de la información. La norma puede ser adoptada por cualquier tipo de organización y permite que una empresa obtenga una certificación de un tercero que confirme que su sistema de seguridad cumple con los requisitos de ISO 27001. La norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información siguiendo el ciclo Plan-Do-
La norma ISO 27000 proporciona un marco de gestión de la seguridad de la información. Tuvo su origen en la norma británica BS 7799 de 1995 y contiene una serie de estándares relacionados con la seguridad de la información, incluyendo ISO 27001 con los requisitos del sistema de gestión de seguridad de la información y ISO 27002 que ofrece una guía de buenas prácticas.
Similar a Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion (20)
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
1. ISO/IEC 27001 y 27002 para la Gestión de
Seguridad de la Información
Abstract—With the increasing significance of
information technology, there is an urgent need for
adequate measures of information security. Systematic
information security management is one of most important
initiatives for IT management. At least since reports about
privacy and security breaches, fraudulent accounting
practices, and attacks on IT [1]. systems appeared in
public, organizations have recognized their responsibilities
to safeguard physical and information assets. The standards
ISO/IEC 27001 and 27002 are international standards that
are receiving growing recognition and adoption.
Keywords—Security; Standards; ISO/IEC 27001;
ISO/IEC 27002; 27 K
Resumen—Con la creciente importancia de las
tecnologías de la información, hay una necesidad urgente de
adoptar medidas adecuadas de seguridad de la información.
Un sistema de gestión de seguridad de la información
(SGSI) es una de las iniciativas más importantes para la
gestión de TI [1]. Ya que al menos los informes acerca de
privacidad y brechas de seguridad, las prácticas contables
fraudulentas, y los ataques a los sistemas de TI. Las
organizaciones han reconocido la importancia y la urgente
necesidad de incorporar la seguridad de la información,
para proteger y garantizar la privacidad y los derechos de la
organización. Las normas de seguridad se pueden utilizar
como guía o marco para desarrollar y mantener un sistema
de gestión de seguridad de la información (SGSI) adecuada.
Las normas ISO/IEC 27001 y 27002 son normas
internacionales que están recibiendo cada vez mayor
reconocimiento y adopción para la seguridad de la
información [2]. Con la norma ISO/IEC 27001 Las
organizaciones pueden obtener la certificación para
demostrar que cumplen con todos los puntos obligatorios de
la norma.
Palabras clave—Seguridad; Normas; ISO/IEC 27001;
ISO/IEC 27002; ISO 27 K
I. INTRODUCCIÓN
La información es el activo más importante de cada
organización [1]. Evidentemente se tendrán otros activos,
pero todos ellos serán adquiridos de algún modo, sin
embargo si tenemos algún problema de seguridad con la
información de la empresa no será posible volver a
adquirir. Este él es el motivo por lo que debe dedicar
todos los esfuerzos necesarios para garantizas la seguridad
de la información corporativa. Habitualmente la gestión
de seguridad de la información en una empresa esta
descoordinada, no sigue un criterio común definido, de
cada departamento o área, especialmente en de TI, tiene
sus propias políticas y procedimientos, establecidos sin
una visión global de las necesidades de la organización,
incluso alegados de los objetivos del negocio. La
implantación de un sistema de gestión de seguridad de la
información (SGSI), es la manera más eficaz de conseguir
esta coordinación y gestión necesaria para orientar los
esfuerzos y recursos, dedicados a la seguridad de la
información, hacia una dirección que refuerce la
consecución de los objetivos de la organización. Para la
protección de la información y sistemas de información
las normas y estándares ISO/IEC 27001, ISO/IEC 27002
protegen la confidencialidad, integridad y disponibilidad
de la información en una empresa. Esto lo hace
investigando cuáles son los potenciales problemas que
podrían afectar la información y luego definiendo lo que
es necesario hacer para evitar que estos problemas se
produzcan.
La norma ISO/IEC 27001 puede ser implementada en
cualquier tipo de organización, con o sin fines de lucro,
privada o pública, pequeña o grande. Está redactada por
los mejores especialistas del mundo en el tema y
proporciona una metodología para implementar la gestión
de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto
significa que una entidad de certificación independiente
confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la
norma ISO 27001 [3].
La norma ISO/IEC 27002 (anteriormente denominada
ISO 17799) consiste en una guía de buenas prácticas que
permiten a las organizaciones mejorar la seguridad de su
información. Con este fin, define una serie de objetivos de
control y gestión que deberían ser perseguidos por las
organizaciones [4].
II. ESTÁNDARES INTERNACIONALES
Las Normas Internacionales ISO aportan una contribución
positiva al mundo en que vivimos. Facilitan el comercio,
la difusión del conocimiento, diseminan los avances
innovadores en tecnología, y comparten buenas prácticas
de gestión y evaluación de la conformidad.
Las normas ISO proporcionan soluciones y beneficios
para casi todos los sectores de actividad, incluida la
agricultura, construcción, ingeniería mecánica,
fabricación, distribución, transporte, dispositivos médicos,
tecnologías de la información y comunicación, medio
ambiente, energía, gestión de la calidad, evaluación de la
conformidad y servicios. ISO es la Organización
Internacional de Normalización.
Juan Gabriel Gonzales Yauris
Escuela Profesional de Ingeniería de Sistemas
Universidad Nacional José María Arguedas
Andahuaylas, Apurímac
jgonzalesyauris@gmail.com
2. Los 161 miembros que la componen son los organismos
nacionales de normalización de países industrializados, en
desarrollo y en transición, de todos los tamaños y de todas
las regiones del mundo. El portafolio de ISO, con más de
18 100 normas, provee de herramientas prácticas a las
empresas, los gobiernos y la sociedad, para el desarrollo
sostenible de las variables económicas, ambientales y
sociales.
Las normas ISO/IEC 27001 e ISO/IEC 27002 se
desarrollaron en cooperación con la "Comisión
Internacional Electrotécnica" (IEC), es una organización
de normalización en los campos eléctrico, electrónico y
tecnologías relacionadas. Numerosas normas se
desarrollan conjuntamente con la ISO.
III. DESARROLLO Y DIFUSIÓN DE LOS
ESTÁNDARES ISO/IEC 27001 E ISO/IEC 27002
A. Desarrollo de los Estándares
A semejanza de otras normas ISO, ISO/IEC 27000
[11]. Es un conjunto de estándares desarrollados (o en
fase de desarrollo) por ISO (Organización Internacional
de Normalización) e IEC (Comisión Electrotécnica
Internacional), que proporcionan un marco de gestión de
la seguridad de la información utilizable por cualquier tipo
de organización, pública o privada, grande o pequeña e
indica cómo puede una organización implantar un sistema
de gestión de seguridad de la información (SGSI) basado
en ISO 27001 en conjunto con otras normas de la serie
27k pero también con otros sistemas de gestión.
Desde 1901, y como primera entidad de normalización
a nivel mundial, BSI (Instituto Británico de
Normalización,) por sus siglas en inglés. Es el responsable
de la publicación de importantes normas.
La norma BS 7799 de BSI apareció por primera vez en
1995 ver Figura 1, con objeto de proporcionar a cualquier
empresa (británica o no) un conjunto de buenas prácticas
para la gestión de la seguridad de su información. La
primera parte de la norma (BS 7799-1) fue una guía de
buenas prácticas, para la que no se establecía un esquema
de certificación. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que estableció los
requisitos de un sistema de seguridad de la información
(SGSI) para ser certificable por una entidad
independiente.
Las dos partes de la norma BS 7799 se revisaron en
1999 y la primera parte se adoptó por ISO, sin cambios
sustanciales, como ISO 17799 en el año 2000. En 2002,
se revisó BS 7799-2 para adecuarse a la filosofía de
normas ISO de sistemas de gestión. En 2005, con más de
1700 empresas certificadas en BS 7799-2, esta norma se
publicó por ISO, con algunos cambios, como estándar
ISO 27001. Al tiempo se revisó y actualizó ISO 17799.
Esta última norma se renombró como ISO 27002:2005 el
1 de Julio de 2007, manteniendo el contenido así como el
año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de
ISO 27001:2005, BSI publicó la BS 7799-3:2006,
centrada en la gestión del riesgo de los sistemas de
información. La revisión más reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es
ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo,
ISO ha continuado, y continúa aún, desarrollando otras
normas dentro de la serie 27k que sirvan de apoyo a las
organizaciones en la interpretación e implementación de
ISO/IEC 27001, que es la norma principal y única
certificable dentro de la serie.
Historia de las normas ISO/IEC 27001 e ISO/IEC
27002
Figura 1. Desarrollo de las normas ISO 27001 e ISO
27002 [12].
B. La difusión actual y Certificación de la Norma
ISO/IEC 27001
El número de certificaciones ha aumentado
considerablemente en los últimos años como
demostración de la relevancia que tiene la protección de la
información para el desarrollo de las actividades de las
organizaciones y para mantener y desarrollar el tejido
industrial de los diferentes países y en todo el mundo.
La norma ISO 27001, al igual que su antecesora BS
7799-2, es certificable. Esto quiere decir que la
organización que tenga implantado un SGSI puede
solicitar una auditoría a una entidad certificadora
acreditada y, caso de superar la misma con éxito, obtener
una certificación del sistema según ISO 27001.
Al final del año 2013 en todo el mundo hubo 22293
ver Figura 2 certificaciones según la norma ISO 27001
[5]. Un crecimiento del 14% (2673), se había emitido en
105 países y economías, dos más que en el año anterior.
Los tres países principales para el número total de
certificados emitidos fueron Japón, la India y el Reino
Unido, mientras que los tres primeros para el crecimiento
en el número de certificados en el 2013 fueron Italia, la
India y el Reino Unido[5].
Existe información regular aportada por ISO en el
documento encuestas realizadas por ISO [6] donde se
informa de manera detallada el resultado en el número de
certificaciones acreditadas con referencia a las regiones,
países, sectores industriales de mayor implantación, entre
otros, para la ISO/IEC 27001 como para otros sistemas de
gestión ver Figura 3.
Certificaciones de la Norma ISO/IEC 27001
3. Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5]
Evolución de las Certificaciones ISO / IEC 27001
Figura 3. Distribución mundial de la norma ISO/IEC 27001
certificados en 2013 [6].
C. Entidades Certificadoras.
Las entidades de certificación son organismos de
evaluación de la conformidad, encargados de evaluar y
realizar una declaración objetiva de que los servicios y
productos cumplen unos requisitos específicos.
Existen numerosas entidades de certificación en cada
país, ya que se trata de una actividad empresarial privada
con un gran auge en el último par de décadas, debido a la
creciente estandarización y homologación de productos y
sistemas en todo el mundo. La organización que desee
certificarse puede contactar a diversas entidades
certificadoras y solicitar presupuesto por los servicios
ofrecidos, comparando y decidiéndose por la más
conveniente, como hace con cualquier otro producto o
servicio.
Para que las entidades de certificación puedan emitir
certificados reconocidos, han de estar acreditadas. Esto
quiere decir que un tercero, llamado organismo de
acreditación, comprueba, mediante evaluaciones
independientes e imparciales, la competencia de las
entidades de certificación para la actividad objeto de
acreditación. En cada país suele haber una sola entidad de
acreditación (en algunos, hay más de una), a la que la
Administración encarga esa tarea.
La acreditación de entidades de certificación para
ISO/IEC 27001 o para BS 7799-2 -antes de derogarse
solía hacerse en base al documento EA 7/03 "Directrices
para la acreditación de organismos operando programas
de Certificación/Registro de sistemas de gestión de
seguridad en la información". La aparición de la norma
ISO/IEC 27006 ha supuesto la derogación del anterior
documento. En el caso de ISO 27001, certifican, mediante
la auditoría, que un sistema de gestión de seguridad de la
información SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo
detallado en la norma.
Las entidades de acreditación establecen acuerdos
internacionales para facilitar el reconocimiento mutuo de
acreditaciones y el establecimiento de criterios comunes.
Para ello, existen diversas asociaciones.
IV. ISO/IEC 27001
A. Concepto .
Publicada el 15 de Octubre de 2005, revisada el 25 de
Septiembre de 2013. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad
de la información. Tiene su origen en la BS 7799-2:2002
(que ya quedó anulada) y es la norma con arreglo a la cual
se certifican por auditores externos los SGSI de las
organizaciones. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005, para que sean
seleccionados por las organizaciones en el desarrollo de
sus SGSI.
El eje central de ISO 27001 es proteger la
confidencialidad, integridad y disponibilidad de la
información en una empresa. Esto lo hace investigando
cuáles son los potenciales problemas que podrían afectar
la información (es decir, la evaluación de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos
problemas se produzcan (es decir, mitigación o
tratamiento del riesgo). Por lo tanto, la filosofía principal
de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos ver figura 4 y luego
tratarlos sistemáticamente.
Figura 4. Estructura ISO/IEC 27001 [3].
Como este tipo de implementación demandará la
gestión de múltiples políticas, procedimientos, personas,
bienes, etc., ISO/IEC 27001 ha detallado cómo
amalgamar todos estos elementos dentro del sistema de
gestión de seguridad de la información (SGSI).
ISO/IEC 27001 se divide en 11 secciones más el
anexo A; las secciones 0 a 3 son introductorias (y no son
obligatorias para la implementación), mientras que las
secciones 4 a 10 son obligatorias, lo que implica que una
organización debe implementar todos sus requerimientos
si quiere cumplir con la norma. Los controles del Anexo
A deben implementarse sólo si se determina que
corresponden en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas
ISO/IEC de la Organización Internacional para la
4. Normalización, los títulos de las secciones de ISO 27001
son los mismos que en ISO 22301:2012, en la nueva ISO
9001:2015 y en otras normas de gestión, lo que permite
integrar más fácilmente estas normas.
Sección 0 – Introducción: Explica el objetivo de
ISO 27001 y su compatibilidad con otras normas
de gestión.
Sección 1 – Alcance: Explica que esta norma es
aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas: Hace
referencia a la norma ISO/IEC 27000 como
estándar en el que se proporcionan términos y
definiciones.
Sección 3 – Términos y definiciones: De nuevo,
hacen referencia a la norma ISO/IEC 27000.
Sección 4 – Contexto de la organización: Esta
sección es parte de la fase de Planificación del
ciclo PDCA (Planificación, Implementación,
Revisión y Mantenimiento; por sus siglas en
inglés), define los requerimientos para
comprender cuestiones externas e internas,
también define las partes interesadas, sus
requisitos y el alcance del SGSI.
Sección 5 – Liderazgo: Esta sección es parte de
la fase de Planificación del ciclo PDCA y define
las responsabilidades de la dirección, el
establecimiento de roles y responsabilidades y el
contenido de la política de alto nivel sobre
seguridad de la información.
Sección 6 – Planificación: Esta sección es parte
de la fase de Planificación del ciclo PDCA y
define los requerimientos para la evaluación de
riesgos, el tratamiento de riesgos, la Declaración
de aplicabilidad, el plan de tratamiento de riesgos
y la determinación de los objetivos de seguridad
de la información.
Sección 7 – Apoyo: Esta sección es parte de la
fase de Planificación del ciclo PDCA y define los
requerimientos sobre disponibilidad de recursos,
competencias, concienciación, comunicación y
control de documentos y registros.
Sección 8 – Funcionamiento: Esta sección es
parte de la fase de Planificación del ciclo PDCA
y define la implementación de la evaluación y el
tratamiento de riesgos, como también los
controles y demás procesos necesarios para
cumplir los objetivos de seguridad de la
información.
Sección 9 – Evaluación del desempeño: Esta
sección forma parte de la fase de Revisión del
ciclo PDCA y define los requerimientos para
monitoreo, medición, análisis, evaluación,
auditoría interna y revisión por parte de la
dirección.
Sección 10 – Mejora: Esta sección forma parte
de la fase de Mejora del ciclo PDCA y define los
requerimientos para el tratamiento de no
conformidades, correcciones, medidas
correctivas y mejora continua.
Anexo A: Este anexo proporciona un catálogo de
114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones A.5 a
A.18).
B. Beneficios
Hay 4 ventajas comerciales esenciales que una
empresa puede obtener con la implementación de esta
norma para la seguridad de la información:
Cumplir con los requerimientos legales: cada vez hay
más y más leyes, normativas y requerimientos
contractuales relacionados con la seguridad de la
información. La buena noticia es que la mayoría de ellos
se pueden resolver implementando ISO 27001 ya que esta
norma le proporciona una metodología perfecta para
cumplir con todos ellos.
Obtener una ventaja comercial: si su empresa obtiene
la certificación y sus competidores no, es posible que
usted obtenga una ventaja sobre ellos ante los ojos de los
clientes a los que les interesa mantener en forma segura su
información.
Menores costos: la filosofía principal de ISO 27001 es
evitar que se produzcan incidentes de seguridad, y cada
incidente, ya sea grande o pequeño, cuesta dinero; por lo
tanto, evitándolos su empresa va a ahorrar mucho dinero.
Y lo mejor de todo es que la inversión en ISO 27001 es
mucho menor que el ahorro que obtendrá.
Una mejor organización: en general, las empresas de
rápido crecimiento no tienen tiempo para hacer una pausa
y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qué
hay que hacer, cuándo y quién debe hacerlo. La
implementación de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no están
relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados.
C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001
La norma ISO 27001 fue publicada por primera vez en
2005 y luego fue revisada en 2013; por lo tanto, la
versión válida actual es la ISO/IEC 27001:2013 [9]. Los
cambios más importantes de la revisión 2013 están
relacionados con la estructura de la parte principal de la
norma, las partes interesadas, los objetivos, el monitoreo
y la medición; asimismo, el Anexo A ha disminuido la
cantidad de controles (de 133 a 114) y ha incrementado la
cantidad de secciones (de 11 a 14). En la revisión 2013 se
eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados
procedimientos.
Sin embargo, todos estos cambios en realidad no
modificaron mucho la norma en su conjunto, su filosofía
principal sigue centrándose en la evaluación y
tratamiento de riesgos y se mantienen las mismas fases
del ciclo de Planificación, Implementación, Revisión y
Mantenimiento (PDCA) [11]. Esta nueva revisión de la
norma es más fácil de leer y comprender y es mucho más
sencilla de integrar con otras normas de gestión como
ISO 9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC
27001:2005 deben hacer la transición a la nueva revisión
2013 hasta septiembre de 2015 si quieren mantener la
validez de su certificación.
D. Ciclo Deming en la norma ISO/IEC 27001
Para establecer y gestionar un Sistema de Gestión de
la Seguridad de la Información en base a ISO 27001, se
5. utiliza el ciclo continuo PDCA, tradicional en los
sistemas de gestión de la calidad [11]. El ciclo PDCA,
ciclo de Deming o ciclo de mejora continua es uno de los
temas que con más frecuencia aparece en el mundo
moderno de TI, tanto así que se ha ido incorporando a la
definición de estándares y mejores prácticas como ISO-
27001 o ITIL.
ISO-27001 se creó teniendo en cuenta un proceso de
seguridad de la información basada en el famoso ciclo de
Deming ciclo de mejora continua o ciclo PDCA (por las
iniciales de Plan, Do, Check y Act), creando con ello lo
que se llamó el Sistema de Gestión de la Seguridad de la
Información.
Ciclo Deming o Mejora Continua
Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11].
E. Procesos de Certificación
Para certificar su empresa según esta norma
internacional deberá conocer el proceso completo. Todos
los procesos deben cumplir los requerimientos de la
norma. Además, puede ser necesario añadir nuevos
procesos requeridos por este estándar internacional [10].
Existen dos tipos de certificados ISO/IEC 27001: para
las organizaciones y para las personas. Las organizaciones
pueden obtener la certificación para demostrar que
cumplen con todos los puntos obligatorios de la norma;
las personas pueden hacer el curso y aprobar el examen
para obtener el certificado.
Para obtener la certificación como organización,
Defina y documente correctamente los procesos, defina
indicadores y comience su medición, registre la actividad
de su empresa y forme a sus empleados para que
conozcan y ejecuten los procesos tal como se ha definido.
Por otro lado, trabajar con una empresa de consultoría
experta en ISO/IEC 27001 le ayudará:
A comprender mejor la norma y lo que pide.
A implementar los procesos con la experiencia del
equipo consultor, de manera que sea más fácil
implantarlos y aporte más valor a su empresa.
Reducir el tiempo de implantación al estar mucho
más enfocados.
A incrementar sus posibilidades a la hora de
certificarse.
Una vez haya implantado el estándar y esté
funcionando un tiempo, es decir, existan todas las
evidencias necesarias para que el auditor pueda
comprobar que efectivamente el SGSI de la empresa está
conforme a la norma ISO/IEC 27001 y hay registros e
indicadores que evidencian la implantación, el control, el
gobierno y sobretodo la mejora continua, usted puede
contactar con la certificadora para contratar la auditoría de
certificación.
La auditoría de certificación consiste en que la
empresa será auditada por un equipo auditor externo, que
vendrá a nuestra empresa y revisará si efectivamente
cumplimos los requerimientos de la norma. Si es así,
emitirá su recomendación para certificarnos y
obtendremos el sello de la certificadora como que
cumplimos con la ISO/IEC 27001 ver Figura 5.
En la FASE 1 el equipo auditor revisará toda la
documentación que conforma el SGSI de la organización
y realizará observaciones sobre potenciales no
conformidades.
En la FASE 2 el equipo auditor revisa ya toda la
organización, para comprobar si existen las evidencias de
que mantenemos un SGSI según la norma.
La certificación de un SGSI es un proceso mediante el
cual una entidad de certificación externa, independiente y
acreditada audita el sistema, determinando su
conformidad con ISO/IEC 27001, su grado de
implantación real y su eficacia y, en caso positivo, emite
el correspondiente certificado.
Certificación en la Norma ISO/IEC 27001
Figura 6. Proceso de implantación y certificación en la
norma ISO/IEC 27001 [10].
La implantación de un SGSI apropiado puede tomar
algunos meses a varios años, dependiendo en gran medida
de la madurez de la gestión de la seguridad de TI dentro
de una organización. Aquellas empresas y organizaciones
que hayan evolucionado según las prácticas señaladas por
COBIT o ITIL están más cerca de adaptarse y lograr la
certificación.
Existen algunas alternativas nacionales como La
Oficina Nacional de Gobierno Electrónico e Informática
(ONGEI) para las empresas peruanas que requieran
certificarse en la Norma Técnica Peruana (NTP-ISO/IEC
27001:2008 Tecnología de la Información: Sistemas de
Gestión de Seguridad de la Información. Requisitos),
Podrán realizar dicha certificación de forma opcional y
con recursos propios de cada entidad [7]. Cuyos controles
deberán ser implementados de acuerdo a las
recomendaciones de la Norma Técnica Peruana NTP-
ISO/IEC 17799:2007 EDI Tecnología de la Información:
Código de Buenas Prácticas para la gestión de la
Seguridad de la Información. 2da edición, dispuesto por la
RM 246-2007-PCM.
V. ISO/IEC 27002
Desde el 1 de Julio de 2007, es el nuevo nombre de
ISO 17799:2005, manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que describe los objetivos
de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene
39 objetivos de control y 133 controles, agrupados en 11
dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo
que resume los controles de ISO 27002:2005.
6. La ISO/IEC 27002:2013 proporciona directrices para
las normas de seguridad de información de la
organización y las buenas prácticas de gestión de
seguridad de la información, incluyendo la selección,
implementación y gestión de los controles, teniendo en
cuenta el medio ambiente riesgo seguridad de la
información de la organización (s) [8].
Está diseñado para ser utilizado por las organizaciones
que pretenden:
Seleccionar los controles dentro del proceso de
implantación de un Sistema de Gestión de
Seguridad de la Información basado en ISO / IEC
27001;
Implementar controles de seguridad de la
información generalmente aceptadas;
Desarrollar sus propias directrices de gestión de
seguridad de información.
La norma ISO/IEC 27002:2005 comprende la norma
ISO/IEC 17799:2005. Establece los lineamientos y
principios generales para iniciar, implementar, mantener y
mejorar la gestión de seguridad de la información en una
organización. Los objetivos trazados proporcionan una
guía general sobre los objetivos comúnmente aceptados de
gestión de la seguridad de la información. ISO/IEC
27002:2005 contiene las mejores prácticas de los
objetivos de control y controles en las siguientes áreas de
gestión de seguridad de la información:
política de seguridad;
organización de la seguridad de la información;
gestión de activos;
recursos humanos de seguridad;
seguridad física y ambiental;
comunicaciones y gestión de operaciones;
control de acceso;
los sistemas de información de adquisición,
desarrollo y mantenimiento;
información de gestión de incidentes de
seguridad;
gestión de la continuidad del negocio;
cumplimiento.
Los objetivos de control en ISO/IEC 27002:2005 están
destinadas a ejecutarse para satisfacer los requisitos
identificados por una evaluación de riesgos. ISO/IEC
27002:2005 pretende ser una base común y guía práctica
para el desarrollo de estándares de seguridad de la
organización y las prácticas eficaces de gestión de la
seguridad, y para ayudar a construir la confianza en las
actividades interinstitucionales [9].
VI. CONCLUSIONES
La información y los sistemas de están expuestos a
riesgos de seguridad cada vez más. A través del aumento
del apoyo a los procesos de negocio que ofrece la
tecnología de información, así como el aumento del nivel
de la creación de redes dentro de las empresas y con las
partes externas. Un SGSI efectivo ayuda a reducir los
riesgos y prevenir las violaciones de seguridad.
Las normas ISO/IEC 27001 y 27002 constituyen un
marco para diseñar y operar un SGSI, basados en
experiencias duraderas de desarrollo. Con estas normas se
les ofrece a las empresas la oportunidad de alinear sus
procedimientos y métodos de TI para garantizar un nivel
adecuado de seguridad de la información con una norma
internacional.
La certificación de un SGSI según ISO/IEC 27001
también proyecta una imagen positiva a través de la
verificación de un sistema de gestión de seguridad de la
información. Esta norma también es llamada como un
punto de referencia y una base para la evaluación en
materia de seguridad de la información aquí un certificado
según la norma ISO/IEC 27001 demuestra una disposición
con respecto a los servicios de seguridad de la
información. Las organizaciones pueden demostrar que
los servicios de TI son seguros.
Las normas ISO 27001 y 27002 han sido ampliamente
difundidos en Europa, América del norte y Asia. La
importancia de la certificación de seguridad de la
información cumple con las decisiones que una empresa
brinda sus servicios en TI.
REFERENCIAS
[1] A. Alexander C. Pelnekar, “Diseño de un sistema de gestión de
seguridad de información,” Alfaomega, 2007, pp. 9-25.
[2] E. Humphreys, “Information Security Management System
Standards, Normas en Sistemas de Gestión de Seguridad de la
Información” Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 7-
11.
[3] ISO 27001, “Tecnología de la Información, Técnicas de
Seguridad, Sistemas de gestion de seguridad de la Información ,
Requisitos,” Organización Internacional de Normalización, ISO,
Ginebra, 2009.
[4] ISO 27002, "Tecnología de la Información, Técnicas de
Seguridad, Código de Prácticas para la Gestión de Seguridad,"
Organización Internacional de Normalización, ISO, Ginebra,
2009.
[5] ISO, “The ISO Survey of Management System Standard
Certifications 2013, Executive summary,” Available:
http://www.iso.org/iso/iso_survey_executive-
summary.pdf?v2013. [Último acceso: 21 Noviembre 2014].
[6] ISO, «ISO Survey, estudio realizado por ISO» ISO, 2013.
Available:
http://www.iso.org/iso/home/standards/certification/iso-
survey.htm?certificate=ISO/IEC%2027001&countrycode=#standa
rdpick. [Último acceso: 15 noviembre 2014].
[7] ONGEI, “Norma tecnica peruana NTP-ISO/IEC 27001:2008”.
Available http://www.ongei.gob.pe/docs/isoiec27001.pdf. [Último
acceso: 12 noviembre 2014]
[8] ISO,”ISO/IEC 27002:2013” Available:
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail
_ics.htm?csnumber=54533 [Último acceso: 23 Noviembre 2014].
[9] ISO,”ISO/IEC 27002:2015” Available:
http://www.iso.org/iso/catalogue_detail?csnumber=50297 [Último
acceso: 25 Noviembre 2014].
[10] C. Pelnekar, “Planificación y ejecución de la ISO 27001,Planning
for and Implementing ISO 27001,” ISACA Journal, Vol. 4, No. 4,
2011, pp. 1-8.
[11] ISO 27000, "Tecnología de la Información, Técnicas de
Seguridad, Código de Prácticas para la Gestión de Seguridad,"
Información general y Vocabulario Organización Internacional de
Normalización, ISO, Ginebra, 2009.
[12] A López y J Ruiz, ”Historia ISO 27001” Available:
www.iso27000.es/download/HistoriaISO27001.pps [Último
acceso: 23 Noviembre 2014].
[13] ISO, "Técnicas de seguridad de TI,". Available: www.iso.org
[Último acceso: 24 Noviembre 2014].
[14] A López y J Ruiz, ”Historia ISO 27001” Available:
www.iso27000.es/download/HistoriaISO27001.pps [Último
acceso: 23 Noviembre 2014].