1177 725 1 PB
Páginas: 15 (3601 palabras)
Publicado: 20 de octubre de 2015
Scientia et Technica Año XVII, No 47, Abril de 2011. Universidad Tecnológica de Pereira. ISSN 0122-1701
334
FUNDAMENTOS DE ISO 27001 Y SU APLICACIÓN EN LAS EMPRESAS
Fundamentals of ISO 27001 and its application in enterprises
RESUMEN
En este artículo se presenta una descripción de los fundamentos de la norma ISO
27001 y su aplicación en las organizaciones. Como caso práctico se presenta unaexperiencia de implementación de la norma en una organización, esta norma
puede ser implantada en una empresa con el objetivo de obtener la certificación
o simplemente como mejores prácticas para perfeccionar algunos aspectos de
seguridad en la empresa. Adicionalmente se indica como implementar estas
buenas prácticas en empresas pequeñas que no pueden realizar la certificación.
.
PALABRAS CLAVES:ISO (International Organization for Standardization),
Planear – Hacer – Verificar – Actuar (PHVA), Sistema de Gestión de Seguridad
de la Información SGSI, procesos, ISO 27000, ISO 2700.1
ABSTRACT
This article presents an overview of the fundamentals of the ISO 27001 standard
and its application in organizations. As a case study presents an experimental
implementation of the standard in anorganization, this rule can be implemented
in a company with the goal of obtaining certification or simply as best practice
to improve some aspects of enterprise security. Additionally shown how to
implement these best practices in small businesses that can not perform the
certification.
MARTHA ISABEL LADINO A.
Ingeniera
de
Sistemas
y
Computación
Estudiante Especialización en Redes
de Datos
UniversidadTecnológica de Pereira
ladinoar@utp.edu.co
PAULA ANDREA VILLA S.
Ingeniera
de
Sistemas
y
Computación
Profesor Auxiliar
Universidad Tecnológica de Pereira
pavaji@utp.edu.co
ANA MARÍA LÓPEZ E.
Ingeniera Electricista.
Coordinadora
Programa
Ing.
Sistemas y Computación.
Universidad Tecnológica de Pereira
anamayi@utp.edu.co
KEYWORDS: ISO (International Organization for Standardization), Plan - Do
- Check- Act (PDCA), Security Management System ISMS Information,
processes, ISO 27000, ISO 2700.1
1. INTRODUCCIÓN
El amplio uso de las tecnologías de información en los
negocios hace que cada vez sea más fácil la expansión de
éstos. La comunicación con clientes que se encuentran en
una ciudad o país diferente al de ubicación de la empresa,
la posibilidad de realizar transacciones comerciales vía
web yen general, la facilidad del uso de la tecnología y
la globalización de la información para todas las personas
ha contribuido a que las organizaciones crezcan cada vez
más rápido. Sin embargo, toda esta cercanía y facilidad
de uso de la tecnología ha generado ciertos problemas a
las organizaciones, que día tras día son más vulnerables a
las amenazas que se presentan en el medio, las cuales
puedenllegar a convertirse en un verdadero riesgo para la
organización afectando el correcto funcionamiento de las
actividades del negocio.
Para contrarrestar dichas amenazas, las organizaciones
deben generar un plan de acción frente a éstas. Este plan
de acción es conocido como Sistema de Gestión de
Seguridad de la Información (SGSI) y contiene los
lineamientos que deben seguirse en la organización,los
responsables y la documentación necesaria para
Fecha de Recepción: 25 de Enero de 2010
Fecha de Aceptación: 28 de Abril de 2010
garantizar que el SGSI sea aplicado y genere una
retroalimentación.
La definición de SGSI se hace de manera formal en la
norma ISO 27001, donde están los estándares y mejores
prácticas de seguridad de la información.
2. IMPORTANCIA DE LA SEGURIDAD DE LA
INFORMACIÓN
Lainformación es el instrumento fundamental para el
funcionamiento de las empresas y la operación de los
negocios, esto hace que la información deba protegerse
como el activo más importante de la organización. En la
actualidad dado el incremento de la utilización del
internet, la evolución de la tecnología y la falta de
conocimiento para mitigar riesgos de ataques, ha
generado innumerables...
334
FUNDAMENTOS DE ISO 27001 Y SU APLICACIÓN EN LAS EMPRESAS
Fundamentals of ISO 27001 and its application in enterprises
RESUMEN
En este artículo se presenta una descripción de los fundamentos de la norma ISO
27001 y su aplicación en las organizaciones. Como caso práctico se presenta unaexperiencia de implementación de la norma en una organización, esta norma
puede ser implantada en una empresa con el objetivo de obtener la certificación
o simplemente como mejores prácticas para perfeccionar algunos aspectos de
seguridad en la empresa. Adicionalmente se indica como implementar estas
buenas prácticas en empresas pequeñas que no pueden realizar la certificación.
.
PALABRAS CLAVES:ISO (International Organization for Standardization),
Planear – Hacer – Verificar – Actuar (PHVA), Sistema de Gestión de Seguridad
de la Información SGSI, procesos, ISO 27000, ISO 2700.1
ABSTRACT
This article presents an overview of the fundamentals of the ISO 27001 standard
and its application in organizations. As a case study presents an experimental
implementation of the standard in anorganization, this rule can be implemented
in a company with the goal of obtaining certification or simply as best practice
to improve some aspects of enterprise security. Additionally shown how to
implement these best practices in small businesses that can not perform the
certification.
MARTHA ISABEL LADINO A.
Ingeniera
de
Sistemas
y
Computación
Estudiante Especialización en Redes
de Datos
UniversidadTecnológica de Pereira
ladinoar@utp.edu.co
PAULA ANDREA VILLA S.
Ingeniera
de
Sistemas
y
Computación
Profesor Auxiliar
Universidad Tecnológica de Pereira
pavaji@utp.edu.co
ANA MARÍA LÓPEZ E.
Ingeniera Electricista.
Coordinadora
Programa
Ing.
Sistemas y Computación.
Universidad Tecnológica de Pereira
anamayi@utp.edu.co
KEYWORDS: ISO (International Organization for Standardization), Plan - Do
- Check- Act (PDCA), Security Management System ISMS Information,
processes, ISO 27000, ISO 2700.1
1. INTRODUCCIÓN
El amplio uso de las tecnologías de información en los
negocios hace que cada vez sea más fácil la expansión de
éstos. La comunicación con clientes que se encuentran en
una ciudad o país diferente al de ubicación de la empresa,
la posibilidad de realizar transacciones comerciales vía
web yen general, la facilidad del uso de la tecnología y
la globalización de la información para todas las personas
ha contribuido a que las organizaciones crezcan cada vez
más rápido. Sin embargo, toda esta cercanía y facilidad
de uso de la tecnología ha generado ciertos problemas a
las organizaciones, que día tras día son más vulnerables a
las amenazas que se presentan en el medio, las cuales
puedenllegar a convertirse en un verdadero riesgo para la
organización afectando el correcto funcionamiento de las
actividades del negocio.
Para contrarrestar dichas amenazas, las organizaciones
deben generar un plan de acción frente a éstas. Este plan
de acción es conocido como Sistema de Gestión de
Seguridad de la Información (SGSI) y contiene los
lineamientos que deben seguirse en la organización,los
responsables y la documentación necesaria para
Fecha de Recepción: 25 de Enero de 2010
Fecha de Aceptación: 28 de Abril de 2010
garantizar que el SGSI sea aplicado y genere una
retroalimentación.
La definición de SGSI se hace de manera formal en la
norma ISO 27001, donde están los estándares y mejores
prácticas de seguridad de la información.
2. IMPORTANCIA DE LA SEGURIDAD DE LA
INFORMACIÓN
Lainformación es el instrumento fundamental para el
funcionamiento de las empresas y la operación de los
negocios, esto hace que la información deba protegerse
como el activo más importante de la organización. En la
actualidad dado el incremento de la utilización del
internet, la evolución de la tecnología y la falta de
conocimiento para mitigar riesgos de ataques, ha
generado innumerables...
Leer documento completo
Regístrate para leer el documento completo.