6A6-ENERO-JUNIO-2020-Tema-4- Norma-ISO-27001-2005

Puede(n) participar en este Foro, contestando al menos una de las siguientes preguntas o reactivos o enunciados:

A.- Explique, ¿Qué entiende usted por Norma ISO 27001:2005?. Escriba comentarios acerca de ello.
B.- ¿Conoce usted el alcance y la aplicación de las normas de sistemas de gestión de seguridad de la información, así como, su función para ayudar a la organización a implementarlo con efectividad, consistencia y satisfacción del cliente?. Escriba un párrafo relacionado con ello.
C.- Explique, ¿Cómo podría usted analizar el alcance y/o aplicación, de las "Normas de Sistemas de Gestión de Seguridad de la Información (basadas en ISO 27001:2005)" ; así como, su función, para ayudar a una organización dada, a poder implementarlo con efectividad, consistencia y satisfacción del cliente?.
D.- Escriba, ¿Qué entiende usted por Norma ISO 27001:2005?.
E.- Explique, ¿Qué entiende usted por Familia ISO 27000?. Escriba comentarios acerca de ello.
F.- ¿Conoce usted acerca de la evolución de la familia ISO 27000?. Escriba un párrafo relacionado con ello.
G.- ¿Conoce usted, algunas características o aspectos relevantes, acerca de la Evolución de la Familia ISO 27000?. Dibuje una línea de tiempo o escriba comentarios acerca de ello.
H.- ¿Conoce usted acerca de los objetivos de control y controles?. Escriba un párrafo relacionado con ello.
I.- Escriba, ¿Qué entiende usted por política de seguridad y organización para la seguridad de la información?.
J.- Escriba, ¿Qué entiende usted por seguridad física y ambiental?.
K.- Escriba, ¿Qué entiende usted por administración de activos?.
L.- Escriba, ¿Qué entiende usted por seguridad de los recursos humanos?.
M.- ¿Conoce usted acerca de la gestión de las comunicaciones y operaciones, así como, control de accesos?. Escriba un párrafo relacionado con ello.
N.- ¿Conoce usted acerca de la adquisición, desarrollo y mantenimiento de sistemas de información?. Escriba un párrafo relacionado con ello.
O.- Escriba, ¿Qué entiende usted por gestión de incidentes de la seguridad de la información?.
P.- Escriba, ¿Qué entiende usted por gestión de la continuidad del negocio y cumplimiento?.
Q.- ¿Conoce usted acerca de la terminología concerniente con sistemas de gestión de seguridad de la información?. Escriba un párrafo relacionado con ello.
R.- Explique brevemente, ¿Cómo podría usted interpretar los requisitos de la norma ISO 27001:2005 para aplicarlos en la implantación de un sistema de gestión de seguridad de la información?.
S.- Explique brevemente, ¿Cómo podría usted desarrollar e implementar un "Plan de Seguridad de la Información", a empresas de su entorno?. Escriba aspectos relevantes del "Plan de Seguridad a Implementar", citando detalles de la organización elegida; así como, la forma en que se aplicó
T.- Explique brevemente, ¿Cómo podría usted desarrollar un diagrama de la evolución de la Familia ISO 27000 para identificar sus avances en cada versión?. Puede adjuntar un mapa conceptual o mental o dibujo o infografía; si así lo desea; y poder compartir en el foro (en erangel.foroactivo.mx no hay problema, puede adjuntar una imagen; pero en ERangel Forum debe subir primero la imagen a la plataforma e indicar en su mensaje, el nombre del recurso compartido para que los usuarios sepan cuál es).


ATTE: M.C. EDGAR - RANGEL - LUGO.

A.- Explique, ¿Qué entiende usted por Norma ISO 27001:2005?
R= Entiendo que son estándares internacionales que ha sido desarrollado para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc, necesitaran contar con esta norma.


E.- Explique, ¿Qué entiende usted por Familia ISO 27000?
R= Entiendo que son estándares de seguridad de la información, contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

I.- Escriba, ¿Qué entiende usted por política de seguridad y organización para la seguridad de la información?
R= Las políticas de seguridad son un conjunto de reglas, normas y protocolos de actuación que se encargan de velar por la seguridad informática de la empresa. Se trata de una especie de plan realizado para combatir todos los riesgos a los que está expuesta la empresa en el mundo digital.

Organización para la seguridad de la información
Primero hay que pensar si es requerida la existencia de un Departamento que concentre funciones de seguridad de la información o no, esto dependerá más del tamaño de la organización y de la necesidad o preocupación del negocio por los asuntos de seguridad.La necesidad por la seguridad está relacionada con la dependencia del negocio a la tecnología y a los niveles de servicios deseados o requeridos para mantener los objetivos del negocio.

L.- Escriba, ¿Qué entiende usted por seguridad de los recursos humanos?.
R=Los datos que se administran en el área de Recursos Humanos presentan mayor interés a nivel interno que externo-más allá de que algún competidor directo pueda estar interesado-, sin embargo, se deben cuidar ambos frentes.
Los datos contenidos en herramientas de gestión (Software de Administración de Recursos Humanos, bases de datos, Planillas Excel, etc.) tienen la posibilidad de ser accedidos por personal con conocimientos técnicos y con permisos especiales sobre ellos como, por ejemplo, administradores de redes, administradores de bases de datos, etc.

La red, tanto la local como la externa, e Internet deben ser estrictamente analizadas por especialistas y hay que realizar un monitoreo continuo sobre los accesos e intentos de acceso a la información confidencial. Hoy es imposible -o casi imposible- por cuestiones operativas, aislar un servidor de las redes, y si se hace, hay que analizar otro tipo de riesgos a los cuales se verá sometido por no estar en red, como back-up, actualizaciones, etc.

Escriba, ¿Qué entiende usted por seguridad física y ambiental?
R=se puede expresar como los medios de procesamiento de información crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia.
Dentro de la seguridad Ambiental existen diversas reglas o normas básicas que se implementan dentro de la seguridad ambiental las cuales son:
- Protecciones eléctricas, de agua y gas.
- Instalaciones de Aire Acondicionado y Sistemas de Refrigeración y ventilación fluida.
- Protección ante Incendios y métodos eficaces de Evacuación guiados.
- Sistemas de Detección en casos de accidentes ambientales, como fuego.

Puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. ISO 27001:2005 se ha convertido en la principal norma a nivel mundial paea la seguridad de la información y certificación su cumplimiento se puede ver la cantidad de certificados en los últimos años. Esta norma protege la confidencialidad, integridad y disponibilidad de oa información en una empresa.

G.- ¿Conoce usted, algunas características o aspectos relevantes, acerca de la Evolución de la Familia ISO 27000?
Dentro de esta norma existen 3 características que garantiza su eficacia poe ejemplo:
*confidencialidad:dando acceso únicamente a aquellos que están autorizados a la información.
*integridad: se asegura la información y los métodos de proceso sean completos y exactos.
* disponibilidad: asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

D.- Escriba, ¿Qué entiende usted por Norma ISO 27001:2005?.
Es una familia de estándares de internacionales para sistemas de gestión de la seguridad de la información que proporcionan un marco de gestión de la seguridad de la información y también una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.

E.- Explique, ¿Qué entiende usted por Familia ISO 27000?. Escriba comentarios acerca de ello.
ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. La familia 27000 contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

ISO 27001 Se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento.
El objetivo principal de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información es decir, la evaluación de riesgos y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan es decir como combatir el riesgo.



La información constituye uno de los recursos principales de una organización, por lo tanto se debe proteger, mediante un conjunto de actividades, controles y políticas de seguridad que se deben implementar en base a recursos humanos, hardware y software.
La seguridad de la información depende de la gestión y los procedimientos adecuados, de los empleados de la organización, proveedores, clientes, accionistas y del nivel de seguridad de los medios técnicos.
Esto quiere decir después de detectar los riesgos en una empresa, se deben de plantear ciertas medidas de seguridad para la protección de la información de la empresa y así evitar el robo de la misma.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001

Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.