[Ttulo del documento]

ISO 27001
ISO/IEC 27001 es un estndar para la seguridad de la informacin
(Information technology - Security techniques - Information security
management systems - Requirements) aprobado y publicado como
estndar internacional en octubre de 2005 por International
Organization for Standardization y por la comisin International
Electrotechnical Commission.

Origen y evolucin
La ISO 27001 como la conocemos hoy en da, ha sido resultado de la
evolucin de otros estndares relacionados con la seguridad de la
informacin.
Se trata de los siguientes:

1901 Normas BS: La British Standards Institution publica

normas con el prefijo BS con carcter internacional. Estas
son el origen de normas actuale como ISO 9001, ISO 14001 u
OHSAS 18001.
1995- BS 7799-1:1995: Mejores prcticas para ayudar a las
empresas britnicas a administrar la Seguridad de la
Informacin. Eran recomendaciones que no permitan la
certificacin ni estableca la forma de conseguirla.
1998 BS 7799-2:1999: Revisin de la anterior norma.
Estableca los requisitos para implantar un Sistema de
Gestin de Seguridad de la Informacin certificable.
1999 BS 7799-1:1999: Se revisa.
2000 ISO/IEC 17799:2000: La Organizacin Internacional
para la Estandarizacin (ISO) tom la norma britnica BS
7799-1 que dio lugar a la llamada ISO 17799, sin
experimentar grandes cambios.
2002 BS 7799-2:2002: Se public una nueva versin que
permiti la acreditacin de empresas por una entidad
certificadora en Reino Unido y en otros pases.
2005 ISO/IEC 27001:2005 e ISO/IEC17799:2005: Aparece el
estndar ISO 27001 como norma internacional certificable y
se revisa la ISO 17799 dando lugar a la ISO 27001:2005.
2007 ISO 17799: Se renombra y pasa a ser la ISO
27002:2005
2007 ISO/IEC 27001:2007: Se publica la nueva versin.
2009 Se publica un documento adicional de modificaciones
llamado ISO 27001:2007/1M:2009.

IMPLEMENTACIN DE LA ISO 27001

La implementacin de la norma ISO 27001 en una empresa se puede

hacer de diferentes formas, como grupo hemos tomado en cuenta
estos 16 pasos dados por Dejan Kosutic un estudioso del de las ISO, a
continuacin los pasos:

1. Obtener el apoyo de la direccin:

Esto puede parecer un tanto obvio y, generalmente, no es
tomado con la seriedad que merece. Pero, de acuerdo con mi
experiencia, es el principal motivo en el fracaso de los
proyectos para la implementacin de la norma ISO 27001 ya
que la direccin no destina suficientes recursos humanos para
que trabajen en el proyecto ni suficiente dinero.
2. Tomarlo como un proyecto:
Como ya se ha dicho, la implementacin de la norma ISO 27001
es un tema complejo que involucra diversas actividades, a
muchas personas y puede demandar varios meses (o ms de un
ao). Si no define claramente qu es lo que se har, quin lo
har y en qu perodo de tiempo (por ej., aplicar la gestin del
proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance:
Si se trata de una gran organizacin, probablemente tenga
sentido implementar la norma ISO 27001 solamente en una
parte de la misma, reduciendo significativamente de esta
forma, los riesgos del proyecto.
4. Redactar una Poltica de SGSI:
La Poltica de SGSI es el documento ms importante en su SGSI:
no debe ser demasiado detallado pero debe definir algunos
temas bsicos sobre la seguridad de la informacin en su
organizacin. Pero cul es su objetivo si no es minucioso? El
objetivo es que la direccin defina qu desea lograr y cmo
controlarlo.

5. Definir la metodologa de Evaluacin de riesgos:

La evaluacin de riesgos es la tarea ms compleja del proyecto
para la norma ISO 27001; su objetivo es definir las reglas para
identificar los activos, las vulnerabilidades, las amenazas, las
consecuencias y las probabilidades, como tambin definir el
nivel aceptable de riesgo. Si esas reglas no estn definidas
claramente, usted podra encontrarse en una situacin en la
que obtendra resultados inservibles.
6. Realizar la evaluacin y el tratamiento de riesgos:
Aqu, usted tiene que implementar lo que defini en el paso
anterior. En organizaciones ms grandes puede demandar
varios meses, por lo tanto, debe coordinar esta tarea con mucho
cuidado. Lo importante es obtener una visin integral de los
peligros sobre la informacin de su organizacin.
El objetivo del proceso de tratamiento de riesgos es reducir los
riesgos no
aceptables.
En este paso, se debe redactar un Informe sobre la evaluacin
de riesgos que documente todos los pasos tomados durante el
proceso de evaluacin y tratamiento de riesgos. Tambin es
necesario conseguir la aprobacin de los riesgos residuales; ya
sea en un documento separado o como parte de la Declaracin
de aplicabilidad.

7. Redactar la Declaracin de aplicabilidad:

Luego de finalizar su proceso de tratamiento de riesgos, sabr
exactamente qu controles del Anexo necesita (hay un total de
133 controles pero, probablemente, no los necesite a todos). El
objetivo de este documento (generalmente denominado DdA)
es enumerar todos los controles, definir cules son aplicables y
cules no, definir los motivos de esa decisin, los objetivos que
se lograrn con los controles y describir cmo se
implementarn.
La Declaracin de aplicabilidad tambin es el documento ms
apropiado para obtener la autorizacin de la direccin para
implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo:

Justo cuando pensaba que haba resuelto todos los documentos

relacionados con el riesgo, aqu aparece otro. El objetivo del
Plan de tratamiento del riesgo es definir claramente cmo se
implementarn los controles de la DdA, quin lo har, cundo,
con qu presupuesto, etc. Este documento es, en realidad, un
plan de implementacin enfocado sobre sus controles; sin el
cual, usted no podra coordinar los pasos siguientes del
proyecto.

9. Determinar cmo medir la eficacia de los controles:

Otra tarea que, generalmente, es subestimada. El tema aqu es,
si usted no puede medir lo que ha hecho, cmo puede estar
seguro de que ha logrado el objetivo? Por lo tanto, asegrese de
determinar cmo medir el logro de los objetivos establecidos
tanto para todo el SGSI como para cada control aplicable de la
Declaracin de aplicabilidad.

10.
Implementacin
obligatorios:

de

controles

procedimientos

Es ms fcil decirlo que hacerlo. Aqu es cuando debe

implementar los cuatro procedimientos obligatorios y los
controles.

El procedimiento
para
el
control
de
la
documentacin (procedimiento
de
gestin
de
documentacin) debe definir quin es el responsable de
aprobar y verificar los documentos, cmo identificar los
cambios y el estado de revisin, cmo distribuir los
documentos, etc. En otras palabras, este procedimiento
debe definir cmo funcionar el flujo vital (el flujo de
documentos) de la organizacin.

El procedimiento para auditoras internas tiene que definir

las responsabilidades sobre la planificacin y realizacin
de auditoras, cmo se informan los resultados y cmo se
llevan los registros. Esto significa que las reglas
principales para realizar la auditora deben estar
establecidas.

El procedimiento para medidas correctivas debe definir

cmo se identifican los incumplimientos y sus causas,
cmo se definen e implementan las acciones necesarias,
qu registros se llevan y cmo se realiza la revisin de las
medidas. El objetivo de este procedimiento es definir
cmo cada medida correctiva debera eliminar la causa
del incumplimiento para que no ocurra nuevamente.

El procedimiento para las medidas preventivas es casi el

mismo que el procedimiento para las medidas correctivas;
la nica diferencia es que el primero tiene como objetivo
eliminar la causa del incumplimiento para que
directamente no se produzca. Debido a sus semejanzas,
estos dos procedimientos generalmente se unifican en
uno solo.

Esta es, habitualmente, la tarea ms riesgosa de su proyecto ya

que, generalmente, implica la aplicacin de nuevas tecnologas
pero, sobre todo, la implementacin de nuevas conductas en su
organizacin.
Muchas
veces
las
nuevas
polticas
y
procedimientos son necesarios (en el sentido que el cambio es
necesario) y las personas, generalmente, se resisten al cambio;
es por ello que la siguiente tarea (capacitacin y
concienciacin) es vital para prevenir ese riesgo.

11. Implementar programas de capacitacin y concienciacin:

Si quiere que sus empleados implementen todas las nuevas
polticas y procedimientos, primero debe explicarles por qu son
necesarios y debe capacitarlos para que puedan actuar segn lo
esperado. La falta de estas actividades es el segundo motivo
principal por el fracaso del proyecto para la implementacin de
la norma ISO 27001.

12. Hacer funcionar el SGSI:

Esta es la parte en que ISO 27001 se transforma en una rutina
diaria dentro de su organizacin. La palabra ms importante

aqu es: registros. A los auditores les encantan los registros;

sin registros le resultar muy difcil probar que una actividad se
haya realizado realmente. Pero, ante todo, los registros
deberan ayudarle. Con ellos, usted puede supervisar qu est
sucediendo, sabr realmente si sus empleados (y proveedores)
estn realizando sus tareas segn lo requerido.

13. Supervisin del SGSI:

Qu est sucediendo en su SGSI? Cuntos incidentes tiene?
De qu tipo? Todos los procedimientos se efectan
correctamente?
Aqu es donde se cruzan los objetivos de los controles con la
metodologa de medicin; debe verificar si los resultados que
obtiene cumplen con lo que se estableci en los objetivos. Si no
se cumplen, es evidente que algo est mal y debe aplicar
medidas correctivas y/o preventivas.

14. Auditora interna:

Muchas veces las personas no son conscientes de que estn
haciendo algo mal (por otro lado, a veces s lo saben pero no
quieren que nadie lo descubra). Pero no ser consciente de los
problemas existentes o potenciales puede daar a su
organizacin, por eso debe realizar auditoras internas para
descubrir este tipo de cosas. Lo importante aqu no es activar
medidas disciplinarias, sino aplicar medidas correctivas y/o
preventivas.

15. Revisin por parte de la direccin:

La direccin no tiene que configurar el cortafuegos, pero s debe
saber qu est sucediendo en el SGSI; es decir, si todo el
mundo ejecut sus tareas, si el SGSI obtiene los resultados
deseados, etc. En base a estos aspectos, la direccin debe
tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas:

El objetivo del sistema de gestin es garantizar que todo lo que
est mal (las denominadas no conformidades) sea corregido
o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001

requiere que las medidas correctivas y preventivas se apliquen

sistemticamente; es decir, que se identifique la raz de una no
conformidad y se solucione y se controle.

CERTIFACIN DE LA ISO 27001

Existen dos tipos de certificados ISO 27001: (a) para
las organizaciones y (b) para las personas. Las organizaciones pueden
obtener la certificacin para demostrar que cumplen con todos los
puntos obligatorios de la norma; las personas pueden hacer el curso y
aprobar el examen para obtener el certificado.
Para obtener la certificacin como organizacin, se debe
adecuadamente y luego se debe aprobar la auditora que realiza la
entidad de certificacin. La auditora de certificacin se realiza
siguiendo estos pasos:

1 paso de la auditora (revisin de documentacin): los

auditores revisarn toda la documentacin.

2 paso de la auditora (auditora principal): los auditores

realizarn la auditora in situ para comprobar si todas las
actividades de una empresa cumplen con ISO 27001 y con la
documentacin del SGSI.

Visitas de supervisin: despus de que se emiti el

certificado, y durante su vigencia de 3 aos, los auditores
verificarn si la empresa mantiene su SGSI.

Proceso de certificacin ISO 27001

Se divide en dos etapas: Etapa 1 Etapa 2 de auditora y de auditora.
Etapa 1 de la auditora (tambin llamado revisin de
documentacin) el auditor de certificacin comprueba si la
documentacin cumple con la norma ISO 27001.
Etapa 2 de la auditora (tambin llamada auditora Principal) el
auditor comprueba si todas sus actividades cumplen con las
normas ISO 27001 y su documentacin.
Por lo tanto, es necesario prestar atencin tanto a escribir
documentacin
apropiada
para
sus
necesidades,
y
para
comprometerse realmente a seguridad de la informacin puesta en
prctica en su empresa.

Despus de terminar toda su documentacin y su aplicacin, es

necesario realizar estos pasos obligatorios en su proyecto ISO 27001:

Auditora interna.
Revisin de gestin.
Las acciones correctivas y preventivas.

El propsito de la auditora interna es que alguien controles

independientes si su Sistema de Gestin de Seguridad de la
Informacin (SGSI) funciona correctamente.
Revisin por la direccin es en realidad una manera formal para la
gestin de tener en cuenta todos los hechos relevantes sobre
seguridad de la informacin y tomar decisiones apropiadas. El punto
de la norma ISO 27001 es llegar a este tipo de decisiones, como parte
de un proceso normal de toma de decisiones.
Por ltimo, la empresa tiene que corregir todos los problemas
detectados por los auditores internos, gerentes o alguien ms, y
documentar cmo se resuelven estos problemas - este proceso se
llama acciones correctivas. Se recomienda tomar las medidas
preventivas tambin - para tratar de prevenir los problemas antes de
que ocurran (algo que el auditor de certificacin apreciar mucho).
Las personas pueden asistir a diversos
certificados. Los ms populares son:

cursos

para

obtener

Curso de Auditor Lder en ISO 27001: este curso de 5 das le

ensear cmo realizar auditoras de certificacin y est
orientado a auditores y consultores.
Curso de Implementador Principal de ISO 27001: este curso
de 5 das le ensear cmo implementar la norma y est
orientado a profesionales y consultores en seguridad de la
informacin.
Curso de auditor interno en ISO 27001: este curso de 2 3
das le ensear los conceptos bsicos de la norma y cmo
llevar a cabo una auditora interna; est orientado a
principiantes en este tema y a auditores internos.

BENEFICIOS ISO/IEC 27001

Los beneficios que aporta la implantacin de la ISO 27001 se centran
en los siguientes campos:

En el mbito de la organizacin, Probablemente, ste sea el

beneficio ms subestimado; pero si su empresa ha tenido un
crecimiento continuo durante los ltimos aos, es posible que
tenga problemas para determinar quin decide qu cosas,
quin es responsable de determinados activos de la
informacin, quin debe autorizar el acceso a los sistemas de
informacin, etc.
La norma ISO 27001 es especialmente til para resolver estas
cuestiones: le obligar a definir de forma muy precisa tanto las
responsabilidades como las obligaciones y, de esta forma,
ayudar a reforzar su organizacin interna.

En el cumplimiento legal de las exigencias, manifestndose la

conformidad de la empresa en el cumplimiento de los requisitos
legales que le sean de aplicacin para la regin en la que la
organizacin tenga su domicilio y para la actividad que realice.
No se debe olvidar que las empresas se encuentran integradas
en un entorno que les ofrece las ventajas que van asociadas
con la situacin y el mercado, pero tambin les obliga a seguir
unas determinadas obligaciones que son de obligado
cumplimiento y que abarcan varios campos de actuacin. La
organizacin debe aprovechar los beneficios que estn a su
alcance, pero tambin debe cumplir con las leyes y obligaciones
que le son de aplicacin, sea en el campo que sea.

En el mbito funcional, ya que se desarrolla una adecuada

gestin de los riesgos.
Si una organizacin debe cumplir con diversas normas sobre
proteccin de datos, privacidad y control de TI (especialmente si
se trata de una organizacin financiera, de salud o
gubernamental), la norma ISO 27001 puede aportar la
metodologa que permita hacerlo de la manera ms eficiente.
La empresa conoce de forma exhaustiva su organizacin y los
sistemas de informacin que aplican, los problemas que se
producen y los medios de proteccin que se aplican, para as

terminar garantizando la mejor disponibilidad de los materiales

y datos, y asegurando su continuidad sin alteraciones
perniciosas no controladas.

En el aspecto comercial, en un mercado cada vez ms

competitivo, a veces es muy difcil encontrar algo que lo
diferencie ante la percepcin de sus clientes. La norma ISO
27001 puede ser un verdadero punto a favor, especialmente si
usted administra informacin sensible de sus clientes. Se
genera credibilidad y confianza entre nuestros clientes. Estamos
en una sociedad en la que la falta de confianza de nuestros
clientes afecta a nuestras ventas de la misma manera que la
calidad y funcionalidad de nuestros productos, y por lo tanto, se
debe cuidar tanto un aspecto como el otro.

En el aspecto financiero, las organizaciones consiguen una

reduccin de los costes vinculados a los incidentes y se
consigue disminuir las primas de los seguros. No slo debemos
pensar que solo son importantes los seguros relacionados con
los accidentes en el trabajo, sino que la informacin que
poseemos tambin puede sufrir accidentes que pueden
provocar muchos gastos de recuperacin y, en el caso de que
sean usados los datos personales o la informacin de forma
fraudulenta por un uso indebido de la empresa, tambin puede
conllevar multas y el pago de perjuicios bastante considerables.

En el aspecto humano, se produce una sensibilizacin del

personal en relacin a la importancia de la correcta
manipulacin de la informacin, a la aplicacin adecuada de las
medidas de seguridad que deben aplicarse y a las
responsabilidades personales y de la empresa con relacin a la
informacin de que disponen y a los dueos de dicha
informacin.

ISO 27002
El estndar ISO/IEC 17799 tiene su origen en el British Standard BS
7799-1 que fue publicado por primera vez en 1995. En el
ao 2000 la International
Organization
for
Standardization y
la Comisin Electrotcnica Internacional publicaron el estndar
ISO/IEC 17799:2000, con el ttulo de Information Technology - Security
Techniques - Code of Practice for Information Security Management.
Tras un periodo de revisin y actualizacin de los contenidos del
estndar, se public en el ao 2005 el documento modificado ISO/IEC
17799:2005. Desde el 1 de Julio de 2007, ISO/IEC 27002 es el nuevo
nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin.
Actualmente, la ltima edicin de 2013 este estndar.
Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de
Diciembre de 2009. Otros pases donde tambin est publicada en
espaol
son,
por
ejemplo, Colombia (NTC-ISO-IEC
27002),Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISOIEC
27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC
27002)
o Per (como ISO 17799).

Generalidades.
La ISO 27002 es una gua de buenas prcticas que describe cules
deben de ser los objetivos de control que se deben aplicar sobre la
seguridad de la informacin. Funciona de la siguiente manera:
1. Las empresas que desean resguardar sus activos de informacin
implementan la norma ISO 27001, la cual consiste en la creacin de
un Sistema de Gestin de la Seguridad de la Informacin.
2. Para evaluar el desempeo del estndar anterior, se utiliza la ISO
27002 en la que estn recopilados los controles que deben ser
aplicados para evaluar el desempeo del estndar. Cabe destacar que
la ISO 27001 tambin contiene un conjunto de controles; pero estos
se refieren a los requisitos para la creacin del SGSI y; por otra parte,
los controles especificados en la ISO 27002 sirven para la evaluacin
de la misma.
En este sentido, la ISO 27002 se utiliza como un documento de
referencia y como tal, NO es certificable.

Contenido de la Norma.
En total la norma contiene 39 objetivos de control y 133 controles los
cuales estn agrupados en 11 dominios.

DOMINIOS DE LA ISO 27002 (2005)

1. Poltica de seguridad
Su objetivo es proporcionar a la gerencia la direccin y soporte
para la seguridad de la informacin, en concordancia con los
requerimientos comerciales y las leyes y regulaciones
relevantes. Esto por supuesto debe ser creado de forma
particular por cada organizacin. Se debe redactar un
"Documento de la poltica de seguridad de la informacin." Este
documento debe ser primeramente aprobado por la gerencia y
luego publicado y comunicado a todos los empleados y las
partes externas relevantes.
Las polticas de seguridad de la informacin no pueden quedar
estticas para siempre, sino que por el contrario, tienen que ser
continuamente revisadas y actualizadas para que se mantengan
en condiciones favorables y en concordancia con los cambios
tecnolgicos o cualquier tipo de cambio que se d. Por ejemplo,
si aparece un nuevo virus o nuevas tecnologas que representen
riesgos, las polticas de seguridad podran cambiar o ser
mejoradas de acuerdo a las necesidades actuales. Un caso
prctico sera el aparecimiento de las memorias USB.
Antiguamente esa tecnologa no exista, entonces no se
esperaba que existieran robos de informacin a travs de
puertos USB. Ahora las memorias USB son de uso global y por lo
tanto, las polticas de seguridad deberan considerar bloquear
puertos USB o algo por el estilo, para no permitir que se
extraiga informacin de esa manera de forma ilcita o por
personas no autorizadas.
2. Aspectos organizativos de la seguridad de la informacin
La organizacin de la seguridad de la informacin se puede dar
de dos formas: organizacin interna y organizacin con
respecto a terceros.
En cuanto a la organizacin interna, se tiene como objetivo
manejar la seguridad de la informacin dentro de la
organizacin. Se requiere un compromiso por parte de la
gerencia para apoyar activamente la seguridad dentro de la
organizacin. La gerencia debe invertir en seguridad, y no verlo
como un aspecto que no tiene relevancia.

Es fundamental tambin asignar responsabilidades. Es tpica

una tendencia humana el echarle la culpa a otros. Entonces
cuando la seguridad es atacada, casi siempre las personas
dentro de la organizacin tratan de buscar un culpable y quedar
libres de todo cargo. Por esa razn se deben asignar claramente
responsabilidades para que cuando se den los problemas, cada
quien responda por sus actos y por lo que estaba bajo su cargo.
La asignacin de responsabilidades no solamente tiene que ser
verbal, sino que escrita y en muchas ocasiones, incluso bajo un
contrato legal. Deben tambin existir acuerdos de
confidencialidad.
La organizacin en materia de seguridad de la informacin debe
tambin considerarse respecto a terceros. El objetivo de esto es
mantener la seguridad de la informacin y los medios de
procesamiento de informacin de la organizacin que son
ingresados, procesados, comunicados a, o manejados por,
grupos externos.
3. Gestin de activos
Se deben asignar responsabilidades por cada uno de los activos
de la organizacin, as como poseer un inventario actualizado
de todos los activos que se tienen, a quien/quienes les
pertenecen, el uso que se les debe dar, y la clasificacin de
todos los activos. Para esto el departamento de contabilidad
tendr que hacer un buen trabajo en cuanto a esta clasificacin
y desglose de activos, y el departamento de leyes de la
empresa tambin tendr que ser muy metdico en estos
procesos, ya que los activos son todos los bienes y recursos que
posee una empresa, incluyendo bienes muebles e inmuebles,
dinero, etc. Por lo tanto este es un asunto delicado y de gran
importancia.
4. Seguridad ligada a los recursos humanos
El objetivo de esto es asegurar que los empleados, contratistas
y terceros entiendan sus responsabilidades, y sean idneos para
los roles para los cuales son considerados, reduciendo el riesgo
de robo, fraude y mal uso de los medios. Es necesario definir
claramente los roles y responsabilidades de cada empleado.
Todo esto no debe ser simplemente mediante acuerdos
verbales, sino que se debe plasmar en el contrato de trabajo.
Tambin deben existir capacitaciones peridicas para
concientizar y proporcionar formacin y procesos disciplinarios

relacionados a la seguridad y responsabilidad de los recursos

humanos en este mbito.
Tambin se deben especificar las responsabilidades cuando se
da el cese del empleo o cambio de puesto de trabajo, para que
la persona no se vaya simplemente y deje a la organizacin
afectada de alguna manera en materia de seguridad.
5. Seguridad fsica y ambiental
La seguridad fsica y ambiental se divide en reas seguras y
seguridad de los equipos. Respecto a las reas seguras, se
refiere a un permetro de seguridad fsica que cuente con
barreras o lmites tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas, y medidas de esa
naturaleza para proteger las reas que contienen informacin y
medios de procesamiento de informacin.
Se debe tambin contar con controles fsicos de entrada, tales
como puertas con llave, etc. Adems de eso, es necesario
considerar la seguridad fsica con respecto a amenazas
externas y de origen ambiental, como incendios (para los cuales
deben haber extintores adecuados y en los lugares
convenientes), terremotos, huracanes, inundaciones, atentados
terroristas, etc.
En cuanto a la seguridad ambiental, se debe controlar la
temperatura adecuada para los equipos, seguridad del
cableado, mantenimiento de equipos, etc. La ubicacin de los
equipos tambin debe ser adecuada y de tal manera que evite
riesgos.
6. Gestin de comunicaciones y operaciones
El objetivo de esto es asegurar la operacin correcta y segura
de los medios de procesamiento de la informacin.
En primer lugar, es necesario que los procedimientos de
operacin estn bien documentados, pues no basta con tener
las ideas en la mente de los administradores, sino que se deben
plasmar en documentos que por supuesto estn autorizados por
la gerencia.
Otro aspecto fundamental es la gestin de cambios. Un cambio
relevante no se debe hacer jams sin documentarlo, adems de
la necesidad de hacerlo bajo la autorizacin pertinente y luego
de un estudio y anlisis de los beneficios que traer dicho
cambio.

Se debe tener cuidado que nadie pueda tener acceso, modificar

o utilizar los activos sin autorizacin o deteccin. Para ello debe
haber una bitcora de accesos, con las respectivas horas y
tiempos de acceso, etc.
Se deben tambin tener controles de deteccin, prevencin y
recuperacin para proteger contra cdigos maliciosos, por
ejemplo antivirus actualizados y respaldos de informacin.
En cuanto a las redes, es necesario asegurar la proteccin de la
informacin que se transmite y la proteccin de la
infraestructura de soporte.
Debe haber un continuo monitoreo para detectar actividades de
procesamiento de informacin no autorizadas. Las auditoras
son tambin necesarias.
Las fallas deben ser inmediatamente corregidas, pero tambin
registradas y analizadas para que sirvan en la toma de
decisiones y para realizar acciones necesarias.
7. Control de acceso
En primer lugar, se debe contar con una poltica de control de
acceso. Todo acceso no autorizado debe ser evitado y se deben
minimizar al mximo las probabilidades de que eso suceda.
Todo esto se controla mediante registro de usuarios, gestin de
privilegios, autenticacin mediante usuarios y contraseas, etc.
8. Adquisicin, desarrollo y mantenimiento de los sistemas
de informacin
Contemplar aspectos de seguridad es requerido al adquirir
equipos y sistemas, o al desarrollarlos. No solamente se debe
considerar la calidad y el precio, sino que la seguridad que
ofrecen.
Debe existir una validacin adecuada de los datos de entrada y
de salida, controlando el procesamiento interno en las
aplicaciones, y la integridad de los mensajes.
La gestin de claves debe ser tal que ofrezca soporte al uso de
tcnicas criptogrficas en la organizacin, utilizando tcnicas
seguras.
Deben establecerse procedimientos para el control de la
instalacin del software en los sistemas operacionales. Con esto
por ejemplo se evita el riesgo de realizar instalaciones ilegales o
sin las respectivas licencias.

Se debe restringir el acceso al cdigo fuente para evitar robos,

alteraciones, o la aplicacin de ingeniera inversa por parte de
personas no autorizadas, o para evitar en general cualquier tipo
de dao a la propiedad de cdigo fuente con que se cuente.
9. Gestin de incidentes en la seguridad de la informacin
La comunicacin es fundamental en todo proceso. Por lo tanto,
se debe trabajar con reportes de los eventos y debilidades de la
seguridad de la informacin, asegurando una comunicacin tal
que permita que se realice una accin correctiva oportuna,
llevando la informacin a travs de los canales gerenciales
apropiados lo ms rpidamente posible
10.

Gestin de la continuidad del negocio

Las consecuencias de los desastres, fallas en la seguridad,

prdida del servicio y la disponibilidad del servicio debieran
estar sujetas a un anlisis del impacto comercial. Se deben
desarrollar e implementar planes para la continuidad del
negocio para asegurar la reanudacin oportuna de las
operaciones esenciales. La seguridad de la informacin debiera
ser una parte integral del proceso general de continuidad del
negocio, y otros procesos gerenciales dentro de la organizacin.
Se debe contar con planes de continuidad del negocio que
incluyan la seguridad de la informacin. Estos planes no deben
ser estticos, sino que deben ser actualizados y ser sometidos a
pruebas, mantenimiento y reevaluacin.
11.

Cumplimiento

Es una prioridad el buen cumplimiento de los requisitos legales

para evitar las violaciones a cualquier ley; regulacin
estatutaria, reguladora o contractual; y cualquier requerimiento
de seguridad. La identificacin de la legislacin aplicable debe
estar bien definida.
Se deben definir explcitamente, documentar y actualizar todos
los requerimientos legales para cada sistema de informacin y
para la organizacin en general.
Es necesario implementar los procedimientos apropiados para
asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso del material con
respecto a los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de software patentado.

El cumplimiento de los requisitos legales se aplica tambin a la

proteccin de los documentos de la organizacin, proteccin de
datos y privacidad de la informacin personal, prevencin del
uso indebido de los recursos de tratamiento de la informacin, y
a regulaciones de los controles criptogrficos.

NOVEDADES DE LA ISO 27002:2013 CON RESPECTO A

LA ISO 27002:2005

199BS-7799-2
8

200BS-7799-1
2

200 ISO/IEC
27001:2005
5

201 ISO/IEC
27001:2013
3

Linkografa:
http://www.iso27000.es/herramientas.html#seccion5
http://www.iso27001standard.com/es/que-es-iso-27001/
http://www.iso27001standard.com/blog/2011/09/13/becomingiso-27001-certified-how-to-prepare-for-certification-audit/
http://nimbosystems.com/wp/?p=52
http://www.monografias.com/trabajos67/estandarinternacional/estandar-internacional2.shtml