VISIÓN DE LA ULC

UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora

PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

UNIVERSIDAD LATINOAMERICANA CIMA

FACULTAD DE CONTABILIDAD Y FINANZAS

TITULO DEL INFORME/TRABAJO

ACADEMICO, ETC

Curso: Auditoria de Sistemas

Docente: Oscar Jiménez

Portugal Herrera,Debora (2015300451)

Tacna – Perú
2019
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

ESTANDARES DE SEGURIDAD DE INFORMACIÒN

RESUMEN

En la actualidad, la información es el valor más importante de cualquier

compañía. Siendo que, dicha información debe ser protegida más aún si su acceso por
parte de personas no autorizadas pueda generar perjuicio para la organización, en ese
sentido, la preservación de la información se constituye como indicador de buena salud de
la empresa. Sin embargo, no podemos utilizar cualquier sistema al azar, sino solamente
aquellos que tengan un grado de confiabilidad y difusión en la comunidad empresarial. Este
artículo busca proporcionar un alcance acerca de los principales estándares de seguridad
de información con la finalidad de mostrar sus características particulares y sus fortalezas
frente a otros sistemas, asimismo debes señalar que dicho estándares poseen un grado de
confiabilidad a partir del uso por parte de las empresas, pues son ellas las que por medio
de la práctica evaluaran su capacidad de gestionar las amenazas y riesgos que implica el
uso y preservación de la información. Se tocaran específicamente tres estándares de
seguridad de información. A saber: ISO, COSO y el UNE. Pues, como bien encontrará el
lector, existen múltiples estándares para tales fines, siendo el propósito del presente artículo
señalar las principales características de cada uno de ellos.
Palabras clave: estándar, seguridad, información, empresa, riesgo

ABSTRACT
At present, information is the most important value of any company. Being that, said
information must be protected even more if its access by unauthorized persons could cause
damage to the organization, in that sense, the preservation of the information constitutes an
indicator of good health of the company. However, we cannot use any system at random,
but only those that have a degree of reliability and diffusion in the business community. This
article seeks to provide a scope about the main information security standards in order to
show their particular characteristics and their strengths compared to other systems, you
should also point out that these standards have a degree of reliability from the use by the
companies, because they are the ones that through practice evaluate their capacity to
manage the threats and risks involved in the use and preservation of information. Three
information security standards will be specifically touted. Namely: ISO, COSO and UNE.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

Well, as you will find the reader, there are multiple standards for such purposes, the purpose
of this article being to indicate the main characteristics of each of them.
Keywords: standard, security, information, company, risk

1. INTRODUCCIÓN
En nuestro país, la cultura de la seguridad informática tomará tiempo hasta
que se instaure, pues la mayoría de la empresas conciben la seguridad informática
como un gasto y no una inversión, por tanto, aún no ha llegado en nuestro país a
un grado aceptable, siendo muchas las empresas que ni tan siquiera han oído
hablar aún de dicha modalidad de protección.

De otro lado, existe la normativa Internacional ISO 27001 de implantación

absolutamente voluntaria y optativa que exige, para su obtención, el cumplimiento
de muchos de los aspectos que la legislación vigente, en materia de protección de
datos, obliga a cumplir para no incurrir en las importantes sanciones que conlleva
su incumplimiento.

Por todo lo anterior, a través de este artículo, pretendemos acercar a los

estudiantes, más destacables sobre esta familia de normas que es facultativa, y
hacerles ver los enormes beneficios que podría ocasionar en las organizaciones la
implantación de las medidas de seguridad exigidas por las mismas.

2. MATERIALES Y MÈTODO

Para la elaboración del presente artículo se han utilizado tanto material de

libros como de páginas web. Por ejemplo, se consultó el material de Dussan, C. (2006)
Políticas de seguridad informática y Ojeda, M. (2017) Los mejores estándares de seguridad
para tu compañía. Asimismo se recurrió a consultar los portales web “El Portal ISO
27000.es” e “ISO 27000”, todos los cuales se encuentran debidamente referenciados.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

El método que se ha empleado es el documental y análisis de información, pues

tanto la redacción como las conclusiones aterrizadas fueron posibles gracias a la lectura del
material antes mencionado.

3. MEDIDAS DE SEGURIDAD Y AMENAZAS

La implementación de dichas Medidas de Seguridad, no sólo es un coste,
sino que también puede ser muy beneficioso para el funcionamiento de cualquier
Organización, como activo fundamental de las organizaciones actuales, pues la
información es poder y si, una Organización ve vulnerados sus activos de
información, puede llegar a ser una gran pérdida, económica, de imagen
corporativa, o de confianza de sus clientes, etc.

El recabo de datos personales, por parte de una Organización, requiere

una serie de Medidas, como ya hemos adelantado anteriormente. Dichas Medidas
pueden verse incrementadas, en algunos casos que ya expondremos más
adelante, cuando el recabo o el tratamiento de los mismos se realiza a través de
redes de telecomunicaciones. En estos casos, dependiendo del tipo de datos de
que se trate, las Medidas a aplicar serán mucho más severas o rigurosas que las
que haya que adoptar en el tratamiento de esos mismos datos en nuestros
sistemas de información.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

4. PRINCIPALES ESTANDARES DE SEGURIDAD DE

INFORMACIÓN

3.1 FAMILIA ISO/ 27000

a. Historia: La UNE-ISO/IEC 17799:2002 proviene del BS7799, mediante la
cual se adopta la ISO/IEC 17799:2002, la que a su vez se revisa el 15 de junio de 2005 y
se transforma en la nueva ISO. No obstante, en España sigue estando vigente la UNE-
ISO/IEC 17799:2002, por no haber sido aprobada aún la traducción de la ISO/IEC
17799:2002.

b. Definiciones y características: La seguridad de la información trata de algo

más amplio que la protección de datos de carácter personal, ahondando en toda la
información vital para la empresa, más allá de datos de carácter personal.

Segùn Dussan (2006) este estándar se caracteriza por la preservación de los

siguientes aspectos fundamentales en el trato de cualquier tipo de datos:
 Confidencialidad: Asegurando que solo aquellas personas autorizadas
puedan acceder a la información.
 Integridad: Asegurando que la información y métodos de proceso sean
completos y exactos.
 Disponibilidad: asegurando el acceso a la información cuando sea requerido.

c. Requisitos: En la adecuación al estándar de calidad existen tres requisitos

principales:
 Valorar los riesgos de la organización, identificando las amenazas,
evaluando la vulnerabilidad y la probabilidad de ocurrencia de ésta, así como los posibles
impactos que dichas amenazas puedan ocasionar en caso de producirse, efectivamente,
los daños que las mismas pudieran ocasionar.
 Requisitos legales, estatutarios, y regulatorios que ha de satisfacer la
organización.
 Principios, objetivos y requisitos para hacer frente a las operaciones.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

d. Controles: Una vez realizada la valoración de los riesgos, hay que realizar
la planificación de los controles a aplicar para la obtención de un Sistema de Gestión de
la Seguridad de la Información, teniendo presentes los propios controles que la ISO 17799
establece.

En el proceso de implementación de tales controles, para la consecución de una

certificación ISO en Sistemas de Gestión de la Seguridad de la Información, hay que tener
presentes dos fases perfectamente diferenciadas: el análisis de riesgos, del que ya hemos
hablado, y la implantación de los controles a los que también hemos hecho referencia.

Normalmente, lo que se realiza es un análisis de riesgos y se colabora con la

empresa en la implantación de los controles que eviten o minimicen, en la medida de lo
posible, dichos riesgos.

3.2 COSO-ENTERPRISE RISK MANAGEMENT / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es

una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es
identificar los factores que causan informes financieros fraudulentos y hacer
recomendaciones para reducir su incidencia. COSO ha establecido una definición común
de controles internos, normas y criterios contra los cuales las empresas y organizaciones
pueden evaluar sus sistemas de control.

Existe una relación directa entre los objetivos que la entidad desea lograr y los
componentes de la gestión de riesgos corporativos, que representan lo que hace falta para
lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

Las cuatro categorías de objetivos (estrategia, operaciones, información y

conformidad) están representadas por columnas verticales, los ocho componentes lo están
por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo. No se
trata de un marco o estándar específico de seguridad de la información pero, por el impacto
que está teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad
de la información, conviene mencionarlo en esta sección.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para

proteger a los inversores frente a una falsa presentación de la situación de las empresas.
Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales
estadounidenses como para extranjeras que coticen en las bolsas de aquel país.

Además del registro en un servicio de inspección pública, SOX exige el

establecimiento de un sistema de control interno para la elaboración de informes
financieros. La ley requiere una mayor transparencia de información, amplía los deberes de
publicación y formaliza los procesos que preceden a la elaboración de un informe de la
empresa.

Fuente: ISO (2010) Otros estándares. Extraído de

http://www.iso27000.es/otros.html#seccion11

3.3 UNE 71502:2004

Norma española certificable, desarrollada en base a BS7799-2:2002, que
establece las especificaciones para los sistemas de gestión de seguridad de la información.
Guarda relación con UNE-ISO/IEC17799:2002.

Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información,

especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro
del contexto de los riesgos identificados por la organización.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

Fue publicada en Febrero de 2004 ante la perspectiva de la publicación de la

norma internacional para el 2008-2009. Sin embargo, la publicación anticipada de ISO
27001 en el año 2005 acortó la vigencia de la norma española. Con la traducción al español
de ISO 27001 y su publicación como UNE-ISO/IEC 27001, UNE 71502 quedó anulada en
favor de la norma internacional a fecha 31 de Diciembre de 2008.

DISCUSIÒN Y RESULTADOS

Ojeda (2017) indica que hay siete criterios para determinar la idoneidad de un
sistema de seguridad informática, los cuales son: eficiencia, efectividad, confiabilidad,
cumplimiento, disponibilidad, integridad y confidencialidad de la información. Por otra parte,
debemos indicar que, al existir diversos estándares de seguridad de la información,
debemos señalar las particularidades de los principales. ISO (2010) indica que el SGSI es
uno de los estándares que mejor se coordina y articula con otros sistemas de seguridad,
proporcionando una amplia gama de posibilidades de coordinarse con otros sistemas. En
ese sentido, algunos autores opinan que es muy útil desde el punto de vista de la gestión y
por lo tanto en la eficiencia. Otra parte tenemos el COSO-Enterprise Risk Management /
SOX, el cual es un estándar de estrategia, operaciones, informaciones y conformidad, y ha
tenido buenos resultados en algunas empresas a pesar de no estar destinada
específicamente a la seguridad de la información. Asimismo Dussan (2006) resalta las
virtudes de los estándares ISO para el acceso fácil a la información, particularidad que
constituye una fortaleza.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

CONCLUSIONES

1. Como se ha podido observar a lo largo del artículo, se hace

imprescindible proteger la información corporativa de una organización, no sólo
para evitar posibles sanciones, sino para proteger uno de los activos
fundamentales de las organizaciones, a saber, la información.

2. Se hace evidente que para llegar a esta protección las

organizaciones deben destinar recursos a esta finalidad, tanto económicos,
como humanos. Para proteger dicha información tanto a nivel corporativo como
de forma externa, no hay que ver este destino de recursos como algo negativo
para la empresa, sino como algo absolutamente positivo, pues adoptar un
Sistema de Gestión de la Seguridad de la Información no sólo nos permite dar
cumplimiento a la legislación vigente en materia de protección de datos
personales, sino también y más importante, organizar los activos de la
compañía, protegerlos, evaluar los riesgos, las amenazas, aplicar controles
que palien o eviten el daño que éstas puedan producir y, en definitiva, generar
una confianza en la cúpula de la organización, en los empleados de la misma
y, lo que es más importante, en los clientes, en el sentido de que se está
trabajando bien, de forma organizada, segura y eficaz.

3. De este modo, insistimos mucho en el hecho de que lo que en

principio puede parecer un coste, no lo es tanto si se vislumbran los beneficios
que puede ocasionar esa inversión; no sólo es un “seguro de vida” de la
organización, que pueda respaldarnos en caso de necesidad. Es mucho más
que eso, se trata de un seguro y de una forma de captar la confianza de nuevos
clientes, de nuevos inversores y, por tanto, ampliar las posibilidades de
negocio, así como la satisfacción interna del trabajo bien gestionado, realizado
y protegido.
 VISIÓN DE LA ULC
UNIVERSIDAD LATINOAMERICANA CIMA Ser referente regional en educación Universitaria y formadora
PROCESO DE LICENCIAMIENTO INSTITUCIONAL de emprendedores exitosos, mediante la investigación y su
“COMPROMISO DE TODOS” integración con la comunidad y el medio ambiente.

REFERENCIAS BILBIOGRÁFICAS

1. Dussan, C. (2006) Políticas de seguridad informática. Vol. 2

No.1 (Enero-Junio) Revista Entramado. Pp. 86-92. Recuperado de:

https://www.redalyc.org/html/2654/265420388008/?fbclid=IwAR33wfFjn1rvf

hf6v0ATAnxNHtcmgKZQITMyS5z-6mm6YNdvhB1j9RbSqwQ

2. Ojeda, M. (2017) Los mejores estándares de seguridad para tu

compañía. GB Advisors. Recuperado de: https://www.gb-

advisors.com/es/estandares-de-seguridad-para-tu-compania/ ç

3. El Portal ISO 27000.es. Recuperado de:

http://www.iso27000.es/otros.html#seccion11

4. ISO (2010) Sistema de Gestión de la Seguridad de la

Información. ISO 27000. Extraído de:

http://www.iso27000.es/download/doc_sgsi_all.pdf