ISO/IEC 27000-series

La serie de normas ISO/IEC 27000 son estndares de seguridad publicados

por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la
informacin para desarrollar, implementar y mantener Especificaciones para
los Sistemas de Gestin de la Seguridad de la Informacin (SGSI). la mayora
de estas normas se encuentran en preparacin e incluyen:
ISO/IEC 27000 - es un vocabulario estndar para el SGSI. Se
encuentra en desarrollo actualmente.
ISO/IEC 27001 - es la certificacin que deben obtener las
organizaciones. Norma que especifica los requisitos para la
implantacin del SGSI. Es la norma ms importante de la familia.
Adopta un enfoque de gestin de riesgos y promueve la mejora
continua de los procesos. Fue publicada como estndar internacional
en octubre de 2005.
ISO/IEC 27002 - Information technology - Security techniques - Code
of practice for information security management. Previamente BS
7799 Parte 1 y la norma ISO/IEC 17799. Es cdigo de buenas
prcticas para la gestin de seguridad de la informacin. Fue
publicada en julio de 2005 como ISO 17799:2005 y recibi su nombre
oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es
el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero de
2010, No est certificada actualmente.
ISO/IEC 27004 - son mtricas para la gestin de seguridad de la
informacin. Es la que proporciona recomendaciones de quin,
cundo y cmo realizar mediciones de seguridad de la informacin.
Publicada el 7 de diciembre de 2009, no se encuentra traducida al
espaol actualmente.
ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la
informacin. Es la que proporciona recomendaciones y lineamientos
de mtodos y tcnicas de evaluacin de riesgos de Seguridad en la
Informacin, en soporte del proceso de gestin de riesgos de la
norma ISO/IEC 27001. Es la ms relacionada a la actual British
Standard BS 7799 parte 3. Publicada en junio de 2008.
ISO/IEC 27006:2007 - Requisitos para la acreditacin de las
organizaciones que proporcionan la certificacin de los sistemas de
gestin de la seguridad de la informacin. Esta norma especfica
requisitos especficos para la certificacin de SGSI y es usada en
conjunto con la norma 17021-1, la norma genrica de acreditacin.
ISO/IEC 27007 - Es una gua para auditar al SGSI. Se encuentra en
preparacin.
ISO/IEC 27016 - Es una norma de anlisis financiero y econmico para
los SGSI.

 ISO/IEC 27799:2008 - Es una gua para implementar ISO/IEC 27002 en

la industria de la salud.
ISO/IEC 27035:2011 - Seguridad de la informacin Tcnicas de
Seguridad Gestin de Incidentes de Seguridad. Este estndar hace
foco en las actividades de: deteccin, reporte y evaluacin de
incidentes de seguridad y sus vulnerabilidades.

FUNDAMENTOS DE SEGURIDAD INFORMTICA

Estndares BS 7799 (Reino Unido)
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI
(British Standards Institution, la organizacin inglesa equivalente a AENOR
en Espaa) es responsable de la publicacin de importantes normas como:
1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -britnica o no- un conjunto de buenas
prcticas para la gestin de la seguridad de su informacin.
El estndar britnico BS 7799 es un estndar aceptado ampliamente que ha
sido utilizado como base para elaborar otros estndares de seguridad de la
informacin incluyendo el ISO 17799
La versin actual de estndar tiene dos partes:

BS7799-1:1999 Information Security Management. Code of Practice

for Information Security Management (Cdigo de prcticas para la
Gestin de la Informacin de Seguridad). Es la gua de buenas
prcticas, para la que no se establece un modelo de certificacin.

BS7799-2:1999 Information Security Management. Specification for

Information Security Management Systems (Especificacin para
Sistemas de Gestin de Seguridad de la Informacin). Establece los
requisitos de un sistema de seguridad de la informacin (SGSI) para
ser certificable por una entidad independiente.

ISO/IEC 27001
Estndar para la seguridad de la informacin.
ISO/IEC 27001 es un estndar para la seguridad de la informacin
(Information technology - Security techniques - Information security

management systems - Requirements) aprobado y publicado como estndar

internacional en octubre de 2005 por International Organization for
Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un sistema de gestin de la seguridad de la informacin (SGSI)
segn el conocido como Ciclo de Deming: PDCA - acrnimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las
mejores prcticas descritas en ISO/IEC 27002, anteriormente conocida como
ISO/IEC 17799, con orgenes en la norma BS 7799-2:2002, desarrollada por
la entidad de normalizacin britnica, la British Standards Institution (BSI).

ISO 27001: Ciclo de Deming

ISO 27001
La norma ISO 27001 incluye el ciclo de Deming, como bien sabemos
consiste en Planificar-Hacer-Verificar-Actuar (PHVA) y puede ser aplicado a
todos los procesos. La metodologa PHVA se puede describir de la siguiente
forma:
Planificar: se establecen los objetivos y los procesos necesarios para
conseguir resultados segn las necesidades de los clientes y la
poltica de seguridad de la organizacin.
Hacer: se implantan los procesos.
Verificar: se revisan y se evalan tanto lo servicios como los
procesos comprndolos con las polticas, los objetivos y los requisitos
de informacin sobre los resultados.
Actuar: comienzan a emprender acciones para mejorar el
rendimiento del Sistema de Gestin Ambiental de forma continua.

Planificacin
Se debe realizar una planificacin de la implantacin y la prestacin de la
gestin de servicios. El alcance puede venir definido dentro de parte del
plan de gestin de servicios. La gestin de servicios tiene que estar
planificada. Como mnimo, en dichas planificaciones se debe incluir lo
siguiente:

El alcance de la gestin de los servicios de la empresa.

Los requisitos y los objetivos que tiene que cumplir la gestin de
servicios.
Los procesos que se deben realizar.
La infraestructura de las funciones y las responsabilidades de gestin,
incluyendo al responsable del proceso y la gestin de proveedores
externos a la organizacin.
La interfaz entre todos los procesos de gestin de servicios y el modo
en el que se tiene que coordinar las actividades llevadas a cabo por la
empresa.
Enfocar lo que se tiene que hacer para poder identificar, evaluar y
gestionar los problemas y los riesgos de llevar a cabo los objetivos
que se han definido.
El intercambio de informacin con proyectos que ya estn creados o
en proceso.
Los recursos, las instalaciones y el presupuesto necesario para
conseguir todos los objetivos que han sido definidos.
Es la herramienta ms adecuada para dar soporte a todos los
procesos del Sistema de Gestin de Seguridad de la Informacin.

Tiene que existir una gestin clara por parte de la direccin y las
responsabilidades tienen que estar documentadas, revisadas, autorizadas,
comunicadas e implementadas.

En cualquier plan especfico de un proceso que se elabore debe ser

compatible con el plan de gestin de servicios de la empresa.
Un plan de gestin de servicios tiene que incluir:

Implementacin de gestin de servicios.

Facilitar los procesos de gestin de servicios.
Los cambios en los procesos de gestin de servicios.
Las mejoras en los procesos de gestin de servicios.
Nuevos servicios.

Hacer
Implantar los objetivos y planificar la gestin de servicios. La empresa tiene
que implantar el plan de gestin de servicios para poder gestionar de una
forma mucho ms segura la informacin y se debe incluir:

La asignacin de fondos y presupuestos.

Asignacin de funciones y responsabilidades.
Documentacin y mantenimiento de polticas, procedimientos y
definiciones para cada proceso.
Identificar y gestionar los riesgos para el servicio.
Gestionar equipos.
Servicio de atencin al cliente y operaciones.
Informe de progreso y coordinacin de procesos de gestin de
servicios.

Verificar
Se tiene que supervisar y verificar todos los objetivos y el plan de gestin de
servicios establecido por la organizacin, para comprobar que se cumplen.
La empresa tiene que realizar una planificacin para poder implementar la
supervisin y la verificacin de los procesos de gestin de servicios y los
servicios asociados.
La norma ISO 27001 nos dice que los resultados de la verificacin deben
ofrecer informacin sobre el programa de mejora del servicio. Entre todos
los elementos que se tienen que supervisar, evaluar y analizar se
encuentran:

Los logros respecto de los objetivos del servicio definido.

La satisfaccin de los clientes.
La utilizacin de recursos.
Las tendencias.
Las no conformidades.
Todos los resultados de los anlisis que pueden generar una mejora.

Las empresas tienen que aplicar los mtodos ms adecuados para poder
supervisar y evaluar los procesos de gestin de servicios en el Sistema de
Gestin de Seguridad de la Informacin.

Todos los mtodos tienen que demostrar las capacidades que presentan los
procesos para conseguir los resultados planificados.
Actuar
El objetivo que persigue esta fase es mejorar la eficacia de las prestaciones
y la gestin de los servicios.
Se debe realizar una poltica, que sea pblica, para mejorar el servicio.
Cualquier falta de conformidad con la norma ISO 27001 tiene que ser
remediada. Todas las funciones y las responsabilidades que sean necesarias
para realizar las actividades de mejora del servicio se tienen que definir de
forma clara.
Todas las mejoras de los servicios que propone la organizacin deben pasar
por ser revisadas, registradas, priorizadas y autorizadas. Se puede utilizar
un plan de mejora del servicio para poder controlar la actividad.
La empresa tiene que disponer de un proceso que identifique, evale y
gestione todas las actividades de mejora.
Se tienen que incluir las mejoras del proceso individual para que la persona
responsable del proceso pueda implantar los recursos necesarios y las
mejoras de toda la empresa.
La empresa puede realizar una serie de actividades con las que recopilar
datos para llevar a cabo evaluaciones comparativas de la capacidad de la
empresa; identificar, planificar e implementar las mejoras necesarias;
consultar a las partes interesadas; generar objetivos para conseguir mejorar
la calidad de la seguridad de la informacin y disminuir los costes. Se tienen
que considerar las aportaciones que se realizan referentemente a las
mejoras que se realizan en el Sistema de Gestin de Seguridad de la
Informacin ISO 27001. Se debe revisar la poltica de seguridad y los
procedimientos siempre que sean necesarios.

Estructura
La versin actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra
normalizada por el Instituto Colombiano de Normas y Tcnicas y
Certificacin ICONTEC. Dicha norma es una adopcin idntica (IDT) por
traduccin de la norma ISO/IEC 27001:2013.
Esta norma se encuentra dividida en dos partes; la primera se compone de
10 puntos entre los cuales se encuentran:
1. Objeto y campo de aplicacin: Especifica la finalidad de la norma y su
uso dentro de una organizacin.
2. Referencias normativas

3. Trmino y definiciones: Los trminos y definiciones usados se basan

en la norma ISO/IEC 27000.
4. Contexto de la organizacin: Se busca determinar las necesidades y
expectativas dentro y fuera de la organizacin que afecten directa o
indirectamente al sistema de gestin de la seguridad de la
informacin. Adicional a esto, se debe determinar el alcance.
5. Liderazgo: Habla sobre la importancia de la alta direccin y su
compromiso con el sistema de gestin, estableciendo polticas,
asegurando la integracin de los requisitos del sistema de seguridad
en los procesos de la organizacin, as como los recursos necesarios
para su implementacin y operatividad.
6. Planificacin: Se deben valorar, analizar y evaluar los riesgos de
seguridad de acuerdo a los criterios de aceptacin de riesgos,
adicional mente se debe dar un tratamiento a los riesgos de la
seguridad de la informacin. Los objetivos y los planes para logar
dichos objetivos tambin se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organizacin, la
competencia de personal, la toma de conciencia por parte de las
partes interesadas, la importancia sobre la comunicacin en la
organizacin. La importancia de la informacin documentada,
tambin se trata en este punto.
8. Operacin: El cmo se debe planificar y controlar la operacin, as
como la valoracin de los riesgos y su tratamiento.
9. Evaluacin de desempeo: Debido a la importancia del ciclo PHVA
(Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento,
medicin, anlisis y evaluacin del sistema de gestin de la
informacin.
10.Mejora: Habla sobre el tratamiento de las no conformidades, las
acciones correctivas y a mejora continua.
La segunda parte, est conformada por el anexo A, el cual establece los
objetivos de control y los controles de referencia.

ISO 27001:2013
Existen varios cambios con respecto a la versin 2005 en esta versin 2013.
Entre ellos destacan:
Desaparece la seccin "enfoque a procesos" dando mayor flexibilidad
para la eleccin de metodologas de trabajo para el anlisis de riesgos y
mejoras.
Cambia su estructura conforme al anexo SL comn al resto de
estndares de la ISO.
Pasa de 102 requisitos a 130.
Considerables cambios en los controles establecidos en el Anexo A,
incrementando el nmero de dominios a 14 y disminuyendo el nmero
de controles a 114.

 Inclusin de un nuevo dominio sobre "Relaciones con el Proveedor" por

las crecientes relaciones entre empresa y proveedor en la nube.
Se parte del anlisis de riesgos para determinar los controles necesarios
y compararlos con el Anexo A, en lugar de identificar primero los activos,
las amenazas y sus vulnerabilidades.

Beneficios que aporta a los objetivos de la organizacin

Demuestra la garanta independiente de los controles internos y cumple

los requisitos de gestin corporativa y de continuidad de la actividad
comercial.
Demuestra independientemente que se respetan las leyes y normativas
que sean de aplicacin.
Proporciona una ventaja competitiva al cumplir los requisitos
contractuales y demostrar a los clientes que la seguridad de su
informacin es primordial.
Verifica independientemente que los riesgos de la organizacin estn
correctamente identificados, evaluados y gestionados al tiempo que
formaliza unos procesos, procedimientos y documentacin de proteccin
de la informacin.
Demuestra el compromiso de la cpula directiva de su organizacin con
la seguridad de la informacin.
El proceso de evaluaciones peridicas ayuda a supervisar continuamente
el rendimiento y la mejora.

Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que
suele tener una duracin entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la informacin y el alcance, entendiendo por
alcance el mbito de la organizacin que va a estar sometido al Sistema de
Gestin de la Seguridad de la Informacin elegido. En general, es
recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma
rigurosa sus sistemas de informacin y sus procesos de trabajo a las
exigencias de las normativas legales de proteccin de datos (p.ej., en
Espaa la conocida LOPD y sus normas de desarrollo, siendo el ms
importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de
la Ley Orgnica de Proteccin de Datos) o que hayan realizado un
acercamiento progresivo a la seguridad de la informacin mediante la
aplicacin de las buenas prcticas de ISO/IEC 27002, partirn de una
posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por
representantes de todas las reas de la organizacin que se vean afectadas

por el SGSI, liderado por la direccin y asesorado por consultores externos

especializados en seguridad informtica generalmente Ingenieros o
Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas,
proteccin de datos y sistemas de gestin de seguridad de la informacin
(que hayan realizado un curso de implantador de SGSI).

Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de
certificacin externa, independiente y acreditada audita el sistema,
determinando su conformidad con ISO/IEC 27001, su grado de implantacin
real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones
interesadas eran certificadas segn el estndar britnico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin
ISO/IEC 27001 en su primera certificacin con xito o mediante su
recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado
reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de
Gestin de la Seguridad de la Informacin (SGSI) con el Sistema de Gestin
de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio
Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el punto de poder
llegar a certificar una organizacin en varias normas y con base en un
sistema de gestin comn.

ISO/IEC 27002
Cdigo de prcticas
informacin

para

los

controles

de

seguridad

de

la

ISO 27002:2013
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para
la seguridad de la informacin publicado por la Organizacin Internacional
de Normalizacin y la Comisin Electrotcnica Internacional. La versin ms
reciente es la ISO/IEC 27002:2013.
ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad
de la informacin de la organizacin y las prcticas de gestin de seguridad
de la informacin, incluida la seleccin, implementacin y gestin de
control, teniendo en cuenta el medio ambiente, el riesgo y la seguridad de
la informacin de la organizacin.
Est diseado para ser utilizado por las organizaciones que pretenden:

1. Seleccionar los controles dentro del proceso de implementacin de un

Sistema de Gestin de Seguridad de la Informacin basado en la
norma ISO / IEC 27001;
2. Implementar controles de seguridad de la informacin generalmente
aceptadas;
3. Desarrollar sus propias directrices de gestin de seguridad de la
informacin.

Precedentes y evolucin histrica

El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1
que fue publicado por primera vez en 1995. En el ao 2000 la Organizacin
Internacional de Normalizacin y la Comisin Electrotcnica Internacional
publicaron el estndar ISO/IEC 17799:2000, con el ttulo de Information
technology - Security techniques - Code of practice for information security
management. Tras un periodo de revisin y actualizacin de los contenidos
del estndar, se public en el ao 2005 el documento modificado ISO/IEC
17799:2005.
Con la aprobacin de la norma ISO/IEZAC 27001 en octubre de 2005 y la
reserva de la numeracin 27.000 para la Seguridad de la Informacin, el
estndar IGFSO/DIEC 17799:2005 pas a ser renombrado como ISO/IEC
27002 en el ao 2007.

Directrices del estndar

ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La versin de 2013 del estndar describe los siguientes catorce dominios
principales:
1.
2.
3.
4.
5.
6.
7.

Organizacin de la Seguridad de la Informacin.

Seguridad de los Recursos Humanos.
Gestin de los Activos.
Control de Accesos.
Criptografa.
Seguridad Fsica y Ambiental.
Seguridad de las Operaciones: procedimientos y responsabilidades;
proteccin contra malware; resguardo; registro de actividad y

monitorizacin; control del software operativo; gestin de las

vulnerabilidades tcnicas; coordinacin de la auditora de sistemas de
informacin.
8. Seguridad de las Comunicaciones: gestin de la seguridad de la red;
gestin de las transferencias de informacin.
9. Adquisicin de sistemas, desarrollo y mantenimiento: requisitos de
seguridad de los sistemas de informacin; seguridad en los procesos
de desarrollo y soporte; datos para pruebas.
10.Relaciones con los Proveedores: seguridad de la informacin en las
relaciones con los proveedores; gestin de la entrega de servicios por
proveedores.
11.Gestin de Incidencias que afectan a la Seguridad de la Informacin:
gestin de las incidencias que afectan a la seguridad de la
informacin; mejoras.
12.Aspectos de Seguridad de la Informacin para la Gestin de la
Continuidad del Negocio: continuidad de la seguridad de la
informacin; redundancias.
13.Conformidad: conformidad con requisitos legales y contractuales;
revisiones de la seguridad de la informacin.
Dentro de cada seccin, se especifican los objetivos de los distintos
controles para la seguridad de la informacin. Para cada uno de los
controles se indica asimismo una gua para su implantacin. El nmero total
de controles suma 114 entre todas las secciones aunque cada organizacin
debe considerar previamente cuntos sern realmente los aplicables segn
sus propias necesidades.
Certificacin
La norma ISO/IEC 17799 es una gua de buenas prcticas y no especifica los
requisitos necesarios que puedan permitir el establecimiento de un sistema
de certificacin adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements) s es certificable
y especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin segn el
famoso Crculo de Deming: PDCA - acrnimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas
descritas en ISO/IEC 17799 y tiene su origen en la norma britnica British
Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el
propsito de poder certificar los Sistemas de Gestin de la Seguridad de la
Informacin implantados en las organizaciones y por medio de un proceso
formal de auditora realizado por un tercero.

ISO/IEC 27003
Gua para la implementacin de
Seguridad de la Informacin.

un

Sistema

de

Gestin de

ISO 27003
ISO 27003 es un estndar internacional que constituye una gua para la
implantacin de un SGSI.
Se trata de una norma adaptada tanto para los que quieren lanzarse a
implantar un SGSI como para los consultores en su trabajo diario, debido a
que resuelve ciertas cuestiones que venan careciendo de un criterio
normalizado.
ISO-27003 focaliza su atencin en los aspectos requeridos para un diseo
exitoso y una buena implementacin del Sistema de Gestin de Seguridad
de la Informacin SGSI segn el estndar ISO 27001.

Contiene una descripcin del proceso de delimitacin del SGSI, y adems el

diseo y ejecucin de distintos planes de implementacin.
Especifica el proceso de conseguir una aprobacin para la implementacin
de un SGSI, define el proyecto para dicho acometido, el cual es llamado en
la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cmo
abordar la planificacin de la gestin para implementar el SGSI.
La norma tiene el siguiente contenido:
1.
2.
3.
4.
5.
6.
7.
8.
9.

Alcance.
Referencias Normativas.
Trminos y Definiciones.
Estructura de esta Norma.
Obtencin de la aprobacin de la alta direccin para iniciar un SGSI.
Definicin del alcance del SGSI, lmites y polticas.
Evaluacin de requerimientos de seguridad de la informacin.
Evaluacin de Riesgos y Plan de tratamiento de riesgos.
Diseo del SGSI.

Anexo
Anexo
Anexo
Anexo
Anexo

A: lista de chequeo para la implementacin de un SGSI.

B: Roles y responsabilidades en seguridad de la informacin
C: Informacin sobre auditoras internas.
D: Estructura de las polticas de seguridad.
E: Monitoreo y seguimiento del SGSI.

ISO/IEC 27004
Medicin de la Seguridad de la Informacin.
ISO 27004
ISO 27004 facilita una serie de mejores prcticas para poder medir el
resultado de un SGSI basado en ISO 27001.
El estndar concreta cmo configurar el programa de medicin, qu
parmetros medir, cmo medirlos, y ayuda a las empresas a crear objetivos
de rendimiento y criterios de xito.
La medicin de la seguridad aporta proteccin a los sistemas de la
organizacin y da respuesta a las amenazas de la misma.

ISO-27004 expone que el tipo de medidas requeridas depender del tamao

y complejidad de la organizacin, de la relacin coste beneficio y del nivel
de integracin de la seguridad de la informacin en los procesos de la propia
organizacin.
La norma ISO27004 establece cmo se deben constituir estas medidas y
cmo se deben documentar e integrar los datos obtenidos en el SGSI.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de
la seguridad de la informacin son:

Seleccin procesos y objetos de medicin.

Las empresas deben definir lo que hay que medir y el alcance de la medida.
Slo se consideran en la medicin los procesos bien documentados que son
consistentes y repetibles. Objetos de medicin puede ser el rendimiento de
los controles o de procedimientos, el comportamiento del personal.
Definicin de las lneas base.
Los valores base que muestran el punto de referencia deben definirse para
cada objeto que se est midiendo.
Recopilacin de datos.
Los datos deben ser dimensionales precisos y oportunos. Se pueden
emplear tcnicas automatizadas de recogida de datos para lograr una
recoleccin estandarizada y presentar informes.
Desarrollo de un mtodo de medicin.
Segn ISO 27004, la secuencia lgica de operaciones se aplica en diversos
atributos del objeto seleccionado para la medicin. Se usan indicadores
como fuentes de datos para mejorar el rendimiento de los programas de
seguridad de la informacin.
Interpretacin de los valores medidos.
Mediante procesos y la tecnologa para el anlisis y la interpretacin de los
valores se deben identificar las brechas entre el valor inicial y el valor de
medicin real.
Comunicacin de los valores de medicin.
Los resultados de medicin del SGSI se comunicarn a las partes
interesadas. Se puede hacer en forma de grficos, cuadros de mando
operacionales, informes o boletines de noticias.

ISO/IEC 27005
Gestin de riesgos de la Seguridad de la Informacin.
ISO 27005
ISO 27005 es el estndar internacional que se ocupa de la gestin de
riesgos de seguridad de informacin. La norma suministra las directrices
para la gestin de riesgos de seguridad de la informacin en una empresa,
apoyando particularmente los requisitos del sistema de gestin de
seguridad de la informacin definidos en ISO 27001.

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la

intencin de gestionar los riesgos que puedan complicar la seguridad de la
informacin de su organizacin. No recomienda una metodologa concreta,
depender de una serie de factores, como el alcance real del Sistema de
Gestin de Seguridad de la Informacin (SGSI), o el sector comercial de la
propia industria.

Los usuarios elijen el mtodo que mejor se adapte para, por ejemplo, una
evaluacin de riesgos de alto nivel seguido de un anlisis de riesgos en
profundidad sobre las zonas de alto riesgo.
La norma incorpora algunos elementos iterativos, por ejemplo si los
resultados de la evaluacin no son satisfactorios.
ISO 27005 sustituy a la Gestin de la Informacin y Comunicaciones
Tecnologa de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO
/ IEC TR 13335-4:2000.
Las secciones de contenido son:

Prefacio.
Introduccin.
Referencias normativas.
Trminos y definiciones.
Estructura.
Fondo.
Descripcin del proceso de ISRM.
Establecimiento Contexto.
Informacin sobre la evaluacin de riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la Informacin.
Admisin de Riesgos Seguridad de la informacin.
Comunicacin de riesgos de seguridad de informacin.
Informacin de seguridad Seguimiento de Riesgos y Revisin.
Anexo A: Definicin del alcance del proceso.
Anexo B: Valoracin de activos y evaluacin de impacto.
Anexo C: Ejemplos de amenazas tpicas.
Anexo D: Las vulnerabilidades y mtodos de evaluacin
vulnerabilidad.
Enfoques ISRA: Anexo E.

de

la

Se trata de un estndar que cuenta con una parte principal concentrada en

24 pginas, tambin cuenta con anexos en los que se incluye ejemplos y
ms informacin de inters para los usuarios.
En estos anexos podemos encontrar tabulados amenazas, vulnerabilidades
e impactos, lo que puede resultar til para abordar los riesgos relacionados
con los activos de la informacin en evaluacin.

ISO/IEC 27006
Gua para la certificacin del SGSI.
ISO 27006
ISO 27006 tiene como ttulo oficial Tecnologa de la informacin -. Tcnicas
de seguridad Requisitos para los organismos que realizan la auditora y
certificacin de sistemas de informacin de gestin de la seguridad, se
compone de 10 captulos y 4 anexos.
El estndar ISO 27006 responde a una gua para los organismos de
certificacin en los procesos formales que hay que seguir al auditar SGSI.
Los procedimientos descritos en dicha norma dan la garanta de que el
certificado emitido de acuerdo a ISO 27001 es vlido.

ISO-27006 est pensada para apoyar la acreditacin de organismos de

certificacin que ofrecen la certificacin del Sistema de Gestin de
Seguridad de la Informacin. Se encarga de especificar los requisitos y
suministrar una gua para la auditora y la certificacin del sistema.
Cualquier organizacin certificada en ISO27001 debe cumplir tambin con
los requisitos de la norma ISO27006.
El proceso de certificacin consiste en auditar el SGSI para el cumplimiento
de ISO 27001. Los auditores de certificacin solo tienen inters pasajero en
los controles reales de seguridad de informacin que estn siendo
administrados por el sistema de gestin. Se supone que cualquier empresa

con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de
informacin con diligencia.
Esta norma se public en 2007 y se revis en 2011.
La prxima versin es probable que sea diferente debido a los cambios
relevantes en las normas en las que se basa.
Los requisitos generales a los que hace referencia son:
Orientacin especfica del SGSI en relacin con la imparcialidad.
Listado del trabajo que pudiera estar en conflicto.
Inclusin de una lista de todas las actividades que se pueden realizar
fuera.

ISO/IEC 27007
Gua para auditar.
ISO 27007
ISO 27007 forma parte de la familia de normas del Sistema de Gestin de
Seguridad de la Informacin SGSI .
La norma suministra una gua
certificacin para auditar SGSI.

para

las

entidades

acreditadas

de

ISO-27007 refleja en gran parte a la norma ISO 19001 (estndar de auditora

para sistemas de gestin de la calidad y medioambiental). Se encarga de
aportar orientacin adicional al SGSI.

Por otro lado tambin se basa en ISO 17021, Evaluacin de la conformidad.

El estndar acoge:
La gestin del programa de auditora del SGSI: establecer qu, cundo y
cmo se debe auditar, asignar auditores apropiados, gestionar los

riesgos de auditora, mantenimiento de los registros de la misma, mejora

continua del proceso.
Ejecucin de la auditora relativa al SGSI, sta incluye el proceso de
auditora, la planificacin, la realizacin de actividades clave, trabajo de
campo, anlisis, presentacin de informes y seguimiento.
Gestin de los auditores del SGSI: competencias, atributos, habilidades,
evaluacin

Esta gua tiene los siguientes fines:

Confirmar que los controles de seguridad de la informacin mitigan de

forma correcta los riesgos de la organizacin.

Verificar que los controles de seguridad en relacin con la contabilidad

general o de los sistemas y procesos de contratacin son correctas para
que los auditores corroboren los datos.

Ratificar que las obligaciones contractuales de los proveedores son

satisfactorias en relacin a la seguridad de la informacin.

Revisar por la direccin, sin olvidar las operaciones rutinarias que forman
parte del SGSI de una organizacin, para asegurarnos que todo est en
orden.

Auditar tras incidentes de seguridad de la informacin como parte del

anlisis y generar acciones correctivas.