trabajo-final-sistemas - MIGUEL ANGEL JACOME CABAL

Vista previa del material en texto

Matriculas: 51621306-42
	Nombres:
	MIGUEL ANGEL JACOME CABAL
	Nombre del maestro:
	Materia:
	Sistemas de información 3
	Nombre del trabajo:
	SGSI ISO27001
	Grupo:
	SCO7MT111
	Fecha de entrega:
	18-11-17
	Calificación:
	
Introducción 
En este trabajo investigaremos sobre que es un Sistema de Gestión de la Seguridad de la Información. Además de poder investigar para que sirve y lo que incluye y por ultimo como implementarlo en la empresa, en nuestro caso será en nuestra empresa llamada “Chinotronix”. También podremos investigar un poco más sobre la ISO27001.
La gestión de la seguridad de la información se tiene que realizar con procesos sistemáticos, documentados que sean conocidos por toda la institución. 
Todo ese proceso se puede considerar una norma conocida como la ISO 9001, el cual es un sistema de gestión de la calidad empleado en la seguridad de la información.
Sistema de gestión de la seguridad de la información
Es la abreviatura de SGSI (Information Security Management System) al que da lugar la ISO 27001. Esta es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Los tres términos que son base para la seguridad de la información son:
· Confidencialidad: Lo cual quiere decir que la información no debe ser divulgada ni revelada a personal no autorizado que exista en la empresa.
· Integridad: Mantener la información completa y exacta y sus métodos y procesos.
· Disponibilidad: 
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.Tambien se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento
Con un SGSI en la organización este conoce los riesgos en los que puede encontrarse la información y puede minimizar, controlar todo eso mediante una sistemática definida, y mejora constantemente. 
¿Cómo se implementa un SGSI?
Los pasos para poder implementar el SGSI en una organización son:
· Planear: Estudiar la situación actual en aspectos de seguridad
· Hacer: Implantación de medidas de seguridad
· Verificar: Comprobar la efectividad de las medidas implantadas
· Actuar: mantenimiento, evaluación y planes de mejora
Requisitos para implantar, mantener y mejorar un SGSI
· Organización de la seguridad de la información
· Políticas de seguridad
· Gestión de activos
· Control de acceso 
· Seguridad de los recursos humanos
· Cumplimiento
· Seguridad física y del entorno
· Adquisición, desarrollo y mantenimiento de los sistemas de información 
· Gestión de las comunicaciones y operaciones
· Gestión de la continuidad del negocio 
· Gestión de incidentes de seguridad de la información 
Estos son los beneficios de la ISO 27001
· Se genera un compromiso importante con la seguridad de la información. El control y la seguridad garanticen a la empresa y se demuestre ese esfuerzo.
· La conformidad de la organización por el cumplimiento de todos los requisitos de la aplicación 
· A la dirección le ayuda a generar las políticas y los objetivos de seguridad necesarios en términos de confidencialidad, integridad y disponibilidad.
¿Cómo certificarse con ISO 27001?
· Obtener el apoyo de la dirección en todo el proceso implementación.
· Utilizar una metodología de gestión de proyectos.
· Definir el alcance del Sistema de Seguridad.
· Redactar una política específica.
· Definir una metodología de evaluación de riesgos.
· Redactar el Plan de Tratamiento de Riesgos.
· Definir la forma en que se medirán los avances.
· Implementación de controles.
· Capacitar y formar a los equipos de trabajo.
· Realizar las operaciones diarias descritas en la norma.
· Monitorizar las acciones.
· Realizar una auditoría con personal que pertenezca a la empresa.
· Efectuar una revisión por parte de la dirección.
· Implementar las medidas correctivas pertinentes.
Cuando es solicitado la certificación ISO un grupo de profesionales externos a la organización revisara la documentación requerida, cuando haya terminado la verificación de la documentación, el auditor hará una visita a la empresa para ver que se estén cumpliendo los indicadores establecidos por la ISO 27001. Si no es así se le da un plazo para que puedan corregir todo lo necesario. En caso de que sea positivo, la empresa quedara certificada.
Luego de haberse certificado, se realizaran auditorias periódicas cada tres años, para monitorizar los esfuerzos de la organización en materia de Seguridad de la información.
Conclusión 
En conclusión el Sistema de Gestión de la Seguridad de la Información además de la ISO 270001 son de gran importancia en una organización, porque contando con estas dos se puede tener un mejor manejo, y cuidado de la información que es de gran importancia para una organización. Además hoy en día deberían estar implantando esto todas la empresas para que su seguridad en la información este cada vez más protegida y evitar las amenazas como el robo de la información debido a los ataques de los hackers.