EVA - Espacio Virtual de Asesoria
A+ A-

Red de los Servidores Públicos

Artículos Artículos

Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000

Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000

Compartir Twittear

Las Tecnologías de Información y Comunicaciones (TIC) son recursos esenciales para la productividad y competitividad de las organizaciones; sin embargo, como cualquier recurso, está sujeto a múltiples amenazas que se pueden materializar en riesgos, con múltiples consecuencias. 



Hoy en día las amenazas tecnológicas son parte de nuestra cotidianeidad y más aún de la vida organizacional, las cuales van desde diversas formas de virus, pasando por los recientes ataques de ransomware hasta amenazas sofisticadas como los ataques día cero (en inglés, zero-day attack) lo cual requiere la implementación de controles que puedan ser gestionados a través de un adecuado enfoque de seguridad de la información. 




La seguridad de la información es una disciplina asociada tradicionalmente a la gestión de TIC, cuyo propósito es mantener niveles aceptables de riesgo de la información organizacional y de los dispositivos tecnológicos que permiten su recolección, procesamiento, acceso, intercambio, almacenamiento, transformación y adecuada presentación. Ha sido definida por la norma ISO/IEC 27000 como la preservación de la confidencialidad, integridad y disponibilidad de la información (ISO/IEC, 2014). 




La adopción temprana de la ISO 27001 en todo el mundo en comparación con otros estándares de gestión (Freixo & Rocha, 2014; Tunçalp, 2014), pone de manifiesto la importancia que ha tomado la seguridad de la información, lo cual se ratifica a partir del número de certificaciones otorgadas por la Organización Internacional para la Estandarización (ISO) en los últimos años, presentando un crecimiento exponencial, al pasar de un total de 5797 certificaciones en el año 2006, a 27536 en 2015, siendo Japón y el Reino Unido los países con mayor número de empresas certificadas, de acuerdo al último informe de la entidad (ISO, 2017). No obstante, las normas establecen el deber ser, y no la forma como se logra, de allí la importancia de establecer metodologías que permitan orientar a las organizaciones en la forma como se debe abordar este tipo de procesos, con el respaldo de las normas internacionales promulgadas para tal fin. 




Este artículo propone una metodología para llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), para lo cual parte de la diferenciación entre seguridad de la información y seguridad informática, seguido de una explicación de las principales normas de la familia ISO/IEC 27000 como base para la presentación de las cinco fases que hacen parte de la metodología de implementación basada en la ISO/IEC 27003:2010. 


Inicie sesión o Regístrese Si quiere comentar esta publicación

Artículos relacionados


Paola Ambrosio

Contratista del Estado

Entidad: AGENCIA DE DESARROLLO RURAL

Equipo: Tecnología

Ingresar a la Red

Olvidé mi contraseña

Últimos integrantes 0 integrantes

Ver todos los integrantes