Iso 27000

INFORMATICA Y
TELECOMUNICACIONES
NORMA ISO 27000
CARRERA: Ingeniera Informtica

ASIGNATURA: Tecnologa de Informacin y Comunicacin I
INFORMATICA Y
TELECOMUNICACIONES
ndice
NORMA ISO 27000 .......................................................................................................................................... 1
ndice ............................................................................................................................................................... 2
Introduccin .................................................................................................................................................... 3
Abstract ........................................................................................................................................................... 4
Resumen Ejecutivo ......................................................................................................................................... 5
Glosario ........................................................................................................................................................... 6
ISO/IEC 27000 ................................................................................................................................................. 7
1.1
Seguridad de la Informacin ........................................................................................................... 7
1.2
Qu es el Plan-Do-Check-Act? ....................................................................................................... 8
1.3
Familia ISO/IEC 27000 ..................................................................................................................... 9
1.4
ISO/IEC27001 ................................................................................................................................. 10
1.5
ISO/IEC 27002 ................................................................................................................................ 15
1.6
ISO/IEC 27002:2005 ....................................................................................................................... 17
1.7
ISO/IEC 27003 ................................................................................................................................ 18
1.8
ISO/IEC 27004 ................................................................................................................................ 25
1.9
ISO/IEC 27005 ................................................................................................................................ 33
1.10
ISO/IEC 27006:2007 ....................................................................................................................... 35
1.11
ISO/IEC 27007 ................................................................................................................................ 37
1.12
ISO/IEC 27799:2008 ....................................................................................................................... 40
1.13
ISO/IEC 27035:2011 ....................................................................................................................... 42
1.14
ISO/IEC 27002:2013 ....................................................................................................................... 45
1.15
ISO/IEC 27000:2014 ....................................................................................................................... 49
Conclusin por Javier Navarro.......................................................................... Error! Marcador no definido.

Conclusin por Marcos Muoz......................................................................... Error! Marcador no definido.
Bibliografa........................................................................................................ Error! Marcador no definido.
Introduccin
En el siguiente documento se detalla especficamente la norma ISO / IEC 27000 - Seguridad de la
Informacin.
Cabe sealar que este informe ha sido creado con fines acadmicos para tener conocimiento sobre
las tcnicas, directrices, certificaciones y / o en otros asuntos relacionados con la seguridad, que sirven de
utilidad cuando se libera dentro de una organizacin brechas de seguridad que violan la informacin.
Es importante tener en cuenta que cada informacin que se maneja en la organizacin,

independientemente de su categora, juega un papel importante, ya que pone de manifiesto muchas de las
posesiones, los recursos utilizados, as como las personas que lo protegen.
La norma ISO/IEC 27000 ha sido creada en un conjunto de otras normas ms pertenecientes a este
grupo, para facilitar la seguridad de la informacin.
Abstract
The following document will be detailed specifically ISO / IEC 27000 standard - Information Security.
It should be noted that this report has been created for academic purposes to have knowledge
about techniques, guidelines, certifications, and / or other issues related to security , that serve as useful
when released within an organization security breaches that violate information.
It is important to note that every information managed in the organization, regardless of category,
plays an important role as it highlights many of the possessions, resources used, and people who protect
it.
ISO / IEC 27000 standard has been created in a number of other rules more in this group, to
facilitate information security.
Resumen Ejecutivo
La Familia de Normas ISO 27000 permite el buen uso de sistemas de gestin, respaldando y
resguardando la seguridad de la informacin de cada organizacin, para ello se describir en los siguientes
captulos
algunas
normas
y/o
guas
referentes
a
este
tema.
Estas normas han sido creadas con el propsito de entender y hacer uso de la seguridad de
informacin, describiendo sus pasos, usos, procedimientos, basados en planes de actuacin de manera
interna y externa.
La seguridad de la informacin es un tema que no se puede dejar pasar por alto o ignorarlo, ya que
la informacin se entiende en informtica un conjunto de datos procesados que constituyen salidas
referentes al estado de la organizacin cul sea quien la tenga en poder, adems detallando a los
interesados que la manejan.
La solucin a este problema de seguridad de informacin, es la creacin de las normas ISO/IEC
27000 para as evitar inconvenientes o no conformidades, ya que han existido noticias referentes a
informacin las cuales dejan en conocimiento las vulnerabilidades de cada organizacin.
Muchos sabemos que hay grupos de gente preocupados de daar alguna entidad u organizacin
destruyendo o robando informacin til, es por eso que ISO/IEC 27000 nos abre las puertas a cmo
podemos enfrentar estos problemas que generan grandes prdidas a muchas organizaciones a niveles tanto
econmicos como propiedad intelectual, entre otros del mismo nivel de importancia.
Glosario
ISO: International Organization for Standardization.

IEC: International Electrotechnical Commission.
SGSI: Sistema de Gestin de Seguridad de la Informacin.
BSI: British Standards Institution
AENOR: Asociacin Espaola de Normalizacin y Certificacin
ISMS: Information Security Management System.
CE: Comisin Electrotcnica Internacional
ISO/IEC 27000
1.1 Seguridad de la Informacin
La ISO 27000 proviene de la norma BS 7799 de BSI (equivalente a AENOR en Espaa), creada en 1995 con
el propsito de ayudar a cualquier empresa con buenas prcticas, a la gestin de la seguridad de la
informacin, siendo publicada oficialmente el 1 de mayo del 2009 por la IEC, con el fin de proporcionar una
visin general de las normas que componen la serie 27000, adems de incluir una introduccin a los SGSI,
as como tambin una breve descripcin del proceso Plan-Do-Check-Act y los trminos y definiciones que
se emplean en todas las series.
Cabe destacar que esta norma tuvo una segunda modificacin denominndose ISO/IEC 27000:2012 y una
tercera denominada ISO/IEC 27000:2014. En esta ltima edicin, no se explica el Plan-Do-Check-Act,
evitando as, la creacin de un marco referencial para la mejora continua.
La norma 27000 es un conjunto de estndares desarrollados o en fase de

desarrollo por ISO e IEC, los cuales proporcionan un marco de gestin de la
seguridad de la informacin, cuyo objetivo es definir los requisitos para un SGSI
basado en la ISO 27001, y en conjunto a otras normas de la ISO 27000.
Con esto, se proporciona la seleccin de controles de seguridad adecuados,
con el fin de proteger la informacin, se recomienda que cualquier empresa
independiente el rubro y su ubicacin, preferentemente de aspecto
multinacional cuales tengan o manejen informacin crtica, o gestionen informacin de otras empresas.
Est compuesta por 3 grandes rasgos:
ISMS
Valoracin de Riesgo.
Controles
Hay versiones traducidas al espaol, poniendo en detalle y atencin en la versin descargada que se quiera
implementar, el texto original est en ingls, con una versin en francs del ao 2014 que se puede
descargar en el siguiente enlace: standards.iso.org/ittf/PubliclyAvailableStandards.
1.2 Qu es el Plan-Do-Check-Act?
1
Este es modelo cclico desarrollado en el ao 1920

por Walter Shewhart y popularizado por Edward
Deming, dando conocimiento a este ciclo con el
nombre de Ciclo de Deming.
El objetivo es establecer y gestionar un
sistema de gestin en cualquier nivel de la
organizacin, con el fin de que el proceso sea
donde est implementado sea sostenible y se
encuentre en mejora continua. Este modelo tiene
4 fases fundamentales las cuales permiten que el
sistema de gestin sea utilizado e implementado
para cualquier organizacin.
Plan: Identificar cual es el problema, se puede utilizar herramientas como diagramas de causa y
efecto ayudando a la identificacin del problema raz, adems sirven como insumo diseando un
mapa de proceso con el fin de solucionar el problema.
Hacer: Ac estn las posibles soluciones al problema y previo a eso, realizar un anlisis de estas
soluciones para seleccionar aquella que ms se adapte a las necesidades y recursos de la
organizacin, finalizando con un desarrollo de programas piloto para implementar la solucin ya
seleccionada. Cabe recordar que en esta fase solo hay un intento o prueba de lo propuesto.
Check (Verificacin): Medicin y ejecucin del piloto implementado ya en la fase anterior,

recogiendo y analizando los resultados que arroje, as se puede establecer solo si es necesario,
mejoras en el proceso y adems, definir el alcance y las reas que ser implementada.
Es posible repetir la fase hacer posterior a los resultados arrojados por los anlisis.
Act (actuar): Posterior a la implementacin completa del proceso que se llevar a cabo, es necesario
recordar que es un modelo cclico por lo tanto es importante volver a la primera fase y continuar
con las fases posteriores al modelo (Planificacin, ejecucin y validacin).
METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN Y GESTIN DE RIESGOS PARA LA

PLATAFORMA SIEM DE UNA ENTIDAD FINANCIERA BASADA EN LA NORMA ISO/IEC 27035 E ISO/IEC 27005. Plan - Do - Check - Act
(PDCA) [2015]
1.3 Familia ISO/IEC 27000
Snchez C, Luis Enrique, Familia ISO 27000 [2011], Mtricas de seguridad en los SGSI, para conocer el nivel de
seguridad de los SSOO de los SGBD
1.4 ISO/IEC27001
Sistema de gestin de seguridad de la informacin
Esta norma fue aprobada y publicada en el ao 2005 por la International Organization for Standardization
y por la International Electrotechnical Commission, quienes
especifican los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestin de la seguridad de la
informacin, para as minimizar los riesgos en la informacin al
asegurar que se identifican y valoran los activos y sus riesgos,
considerando el impacto para la organizacin, y adems se adoptan
los controles y procedimientos ms eficaces y coherentes con la estrategia de negocio.
Cabe destacar que esta norma tuvo una revisin en el ao 2013, por lo que su nombre completo
actualmente es ISO/IEC 27001:2013.
Los requerimientos establecidos en este estndar internacional son genricos y estn diseados para ser
aplicados a todo tipo de organizaciones, sin importar el tipo, tamao y naturaleza.
En el siguiente grfico se puede observar el incremento de certificaciones que se han ido adquiriendo por
las empresas desde el ao 2007 al 2012, debido a que esta es la principal norma de seguridad en la
informacin en el mundo.
3
Kosutic, D. (2012).Encuesta ISO sobre certificaciones. [Figura]. Recuperado de

http://advisera.com/27001academy/es/que-es-iso-27001/?icn=free-what-is-iso-27001&ici=top-iso27001-txt
3
10
Para adquirir esta norma ISO se debe cumplir con los siguientes requisitos:
1) Obtener el apoyo de la direccin: El principal motivo del fracaso de los proyectos para la implementacin
de esta ISO, es que la direccin, no destina los suficientes recursos humanos para que trabajen en el
proyecto
ni
el
dinero
suficiente
para
sustentarlo.
2) Utilizar una metodologa para gestin de proyectos: Se debe tomar como un proyecto para que se pueda
implementar, ya que tiene una alta demanda de actividades a realizar, por lo tanto, a las personas les
puede tomar meses o ms de un ao, si no define bien qu es lo que har, con quien y en qu momento.
Esto dar como resultado que nunca se finalice la actividad encomendada a la persona.
3) Definir el alcance del SGSI: Cuando hay una organizacin, hay sentido la implementacin de esta norma,
para
as
reducir
los
riesgos
del
proyecto.
4) Redactar una poltica de alto nivel sobre seguridad de la informacin: Este documento es importante,
ya que no debe ser muy detallado, pero a su vez, definir temas bsicos sobre la seguridad de la informacin
para cualquier organizacin. El objetivo es que la direccin de la empresa pueda definir qu es lo que desea
lograr, y cmo mantener el control.
5) Definir la metodologa de evaluacin de riesgos: Es la tarea ms compleja, su objetivo a cumplir es
la definicin de las reglas para poder identificar: activos, vulnerabilidades, amenazas, consecuencias y
probabilidades. Adems, definir el nivel aceptable de riesgo, si no se definen de manera clara, la
organizacin puede encontrarse en una situacin con la que le puede generar resultados inservibles.
6) Realizar la evaluacin y el tratamiento de riesgos: Se debe coordinar con mucho cuidado por la
cantidad de tiempo que demanda la implementacin del paso anterior, por lo tanto, es necesario
generar una visin integral de los peligros sobre la informacin de la organizacin.
Su objetivo consiste en reducir los riesgos no aceptables, por lo tanto, se debe redactar un informe
sobre la evaluacin de riesgos, que a su vez, documente los pasos tomados durante este proceso. Se
debe conseguir la aprobacin de los riesgos residuales, estos pueden ser de 2 maneras: Documento
separado,
o
como
parte
de
la
Declaracin
de
aplicabilidad.
7) Redactar la Declaracin de aplicabilidad: Finalizando el tratamiento de riesgos, se puede saber
exactamente qu controles de anexo se necesita (con un total de 133, pero probablemente no se
ocupen
todos).
El objetivo general es enumerar todos los controles, diferenciando los aplicables de los que no lo
son,
describiendo
su
implementacin.
Este documento es el ms apropiado para obtener la autorizacin de la direccin con el fin de
implementar
el
SGSI.
8) Redactar el Plan de tratamiento de riesgos: El objetivo del Plan de tratamiento del riesgo es definir
claramente cmo se implementan los controles de la Dda (Declaracin de aplicabilidad, punto 6), quin
lo
har,
cuando
y
con
qu
presupuesto.
Este documento es un plan de implementacin en el cual si no existe, no hay poder de coordinacin de
los pasos que siguen para poder continuar con la realizacin del proyecto.
9) Definir la forma de medir la efectividad de sus controles y de su SGSI: Si no se puede medir lo que
se ha hecho, no hay manera de estar seguro de cmo se ha conseguido el objetivo, por lo tanto, hay
11
que asegurar de qu manera se medir el logro de los objetivos que se han establecido tanto para el
SGSI
como
para
control
del
documento
de
aplicabilidad.
10) Implementar todos los controles y procedimientos necesarios: Se debe implementar los
procedimientos obligatorios, cuales son los siguientes:
Procedimiento para el control de la documentacin: Definir quin es el responsable de aprobar y

verificar los documentos, como identificar los cambios y el estado de revisin, como hacer la
distribucin de documentos.
Procedimiento para auditoras internas: Definir las responsabilidades sobre planificacin de

auditoras llevando a cabo su realizacin, como informar los resultados y llevar los registros,
teniendo en cuenta que las reglas principales deben estar establecidas.
Procedimiento para medidas correctivas: Definir como identificar incumplimientos y sus causas,
las acciones necesarias, registros documentados, y revisin de las medidas. Su objetivo es
eliminar la causa del incumplimiento para que no se repita.
Procedimiento para medidas preventivas: Similar al punto anterior, teniendo su diferencia en el

objetivo, por lo tanto, este procedimiento junto con el anterior, se unifican formando solo uno.
11) Implementar programas de capacitacin y concienciacin: Se debe explicar a los empleados, porque
son necesarios y a la vez, capacitarlos para que puedan actuar frente a esta implementacin, es por esto
que se necesitan hacer estos 2 pasos, para que no haya un fracaso en la implementacin de la ISO 27001
12) Realizar todas las operaciones diarias establecidas en la documentacin de su SGSI:

En este punto, la norma ISO 27001 se transforma en una rutina diaria de una organizacin, por lo tanto se
debe tener en cuenta la documentacin de actividades, ya que sin los registros necesarios, es muy difcil
probar una actividad que se haya realizado, por lo tanto los registros debera ser la ayuda principal, para
supervisar lo que sucede, sabiendo as que las tareas se hacen segn lo requerido.
13) Monitorear y medir su SGSI: Aqu es donde se cruzan los objetivos de los controles, con la metodologa
de
medicin.
Se debe verificar si los resultados que se obtienen se cumplen con lo establecido en los objetivos,
si no hay cumplimiento, hay evidencia de un mal proceso, por lo tanto se necesita la aplicacin de medidas
correctivas y/o preventivas.
14) Realizar la auditora interna: Es necesario ya que las personas no son conscientes de que hacen mal,
aunque haya casos en que si lo saben pero no quieren que sean descubiertos, por esto, es necesario
12
detectar
los
problemas
y/o
potenciales
que
pueden
daar
la
organizacin.
La solucin ptima no son las medidas disciplinarias, sino, la aplicacin de medidas correctivas y/o
preventivas.
15) Realizar la revisin por parte de la direccin: La direccin debe saber de manera crtica que est
sucediendo con el SGSI, es decir, si todos ejecutaron las tareas correspondientes, si hay resultados
deseados, entonces bajo a estos aspectos, la direccin debe tomar decisiones importantes sobre las
actividades
del
SGSI.
16) Implementar medidas correctivas: El objetivo principal del SGSI es garantizar que todo lo malo, sea
corregido,
posiblemente,
evitado.
Por lo tanto, la norma ISO 27001 requiere de las medidas correctivas y preventivas, sean aplicadas
de manera sistemtica, o mejor dicho, identificar la raz de una no conformidad, dando paso a la solucin y
control del inconveniente.
Documentacin obligatoria
ISO 27001 requiere que se confeccione la siguiente documentacin:
Alcance del SGSI.
Objetivos y poltica de seguridad de la informacin.
Metodologa de evaluacin y tratamiento de riesgos.
Declaracin de aplicabilidad.
Plan de tratamiento de riesgos.
Informe de evaluacin de riesgos.
Definicin de roles y responsabilidades de seguridad.
Inventario de activos.
Uso aceptable de los activos.
Poltica de control de acceso.
Procedimientos operativos para gestin de TI.
Principios de ingeniera para sistema seguro.
Poltica de seguridad para proveedores.
Procedimiento para gestin de incidentes.
Procedimientos para continuidad del negocio.
Requisitos legales, normativos y contractuales.

Registros Obligatorios.
Registros de capacitacin, habilidades, experiencia y calificaciones

13
Monitoreo y resultados de medicin
Programa de auditora interna
Resultados de auditoras internas
Resultados de la revisin por parte de la direccin
Resultados de medidas correctivas
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad.
Las ventajas que podr adquirir la empresa con esta norma son:
1. Cumplir con los requerimientos legales
2. Obtener una ventaja comercial
3. Menores costos
4. Una mejor organizacin
Para adquirir la certificacin primero se debe tener claro si la obtendr como organizacin o como persona,
es por ello que se debe realizar lo siguiente:
Como organizacin:
Cumplir con los requisitos y documentos descritos.
Aprobar una auditora que consta en la revisin de los documentos y la auditora in situ para
comprobar si todas las actividades de la empresa cumplen con ISO 27001 y con la documentacin
del SGSI.
Despus de que se emiti el certificado, y durante su vigencia de 3 aos, los auditores realizarn
un seguimiento para verificar si se mantiene la SGSI.
Como persona:
Asistir a diversos cursos para obtener certificados, tales como: Curso de Auditor Lder en ISO
27001,curso de Implementador Principal de ISO 27001 y un curso de auditor interno en ISO 27001.
14
1.5 ISO/IEC 27002

Diferencia con BS 7799 y la norma ISO/IEC 17799.
La ISO/IEC 27002 es la que proporciona directrices para los controles indicados en la ISO 27001. Esta no es
una norma de gestin, por ende, no se obtiene certificacin, sino ms bien define cmo ejecutar un sistema.
ISO 27001
ISO 27002
1. Exige la realizacin de una evaluacin
1. No distingue entre los controles que
de riesgos sobre cada control para
son aplicables a una organizacin
identificar si es necesario disminuir los
determinada y los que no lo son.
riesgos y, en caso que sea necesario,

hasta qu punto deben aplicarse.
2. No es una norma de gestin.
2. Es una norma de gestin.
3. Define cmo ejecutar un sistema.
3. Define el sistema de gestin de

seguridad de la informacin (SGSI).
La norma BS 7799 y la norma ISO/IEC 17799, puede ser utilizada por cualquier tipo de organizacin o
compaa, privada o pblica.
Tiene por objetivo proporcionar una base comn para la elaboracin de las normas de seguridad
de las organizaciones, un mtodo de gestin eficaz de la seguridad y establecer informes de confianza en
las transacciones y las relaciones entre empresas.
15
Norma BS 7799
ISO/IEC 17799
1. Proporciona las condiciones que se

refieren a la gestin de la seguridad de
la informacin.
1. Se presenta bajo la forma de

notas de orientacin y
recomendaciones.
2. Especificaciones relativas a
la gestin de la seguridad de la
informacin.
2. Cdigo de buenas
prcticas relativo a la gestin de la
seguridad de la informacin.
3. BS 7799-2 y sus derivados nacionales

ofrecen un esquema de certificacin
3. no es un sistema que permite una

certificacin de la seguridad
La norma BS 7799 se origina en Inglaterra a mediados del ao 1995, promulgada por BSI, detallado en el
primer captulo de este informe. El objetivo principal de esta norma es brindar las buenas prcticas para la
GSI.
La norma ISO/IEC 17799 (o tambin ISO 27002), fue publicada por primera vez como ISO/IEC 17799:2000
por la ISO y la CE el ao 2000 con el ttulo de:
Informacin tecnolgica, tcnicas de seguridad - Cdigo de prctica para el manejo de la seguridad de la

informacin 4
Esta norma se ha revisado y a su vez, ha tenido actualizaciones de la norma original, denominando su

primera
modificacin
como
ISO/IEC
17799:2005.
Hay que recordar que el origen de esta norma ISO tiene su origen con la norma BS 7799-1, que corresponde
a la primera versin derivada de la primera norma descrita en el primer prrafo.
Titulo original:Information technology - Security techniques - Code of practice for information security
management.
16
1.6 ISO/IEC 27002:2005

Descripcin general
La ISO/IEC 27002:2005 establece las directrices y principios generales para iniciar, implementar, mantener
y mejorar la gestin de seguridad de la informacin en una organizacin. El objetivo de esta norma es
entregar informacin a los responsables de la implementacin de la seguridad dentro de la organizacin,
se definen 133 controles de seguridad divididas en 11 categoras principales. Esta gua no es certificable y
contiene las buenas prcticas de los objetivos de control y controles en las siguientes reas de gestin de
seguridad de la informacin:
Poltica de seguridad: Trata de que exista una normativa comn de seguridad que regule sobre como
como va a trabajar toda la organizacin.

Organizacin de la seguridad de la informacin: Establece una estructura organizativa (de terceros,
responsables, comits, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la
informacin.
Gestin de activos: Incorpora herramientas para establecer que debe ser protegido, que nivel de
proteccin requiere y quien es el responsable de dicha proteccin.
Seguridad de los recursos humanos: Establece todas las medidas de seguridad que se tomaran al
personal, ya que ellos son quienes utilizan los sistemas y la informacin.
Seguridad fsica y del entorno: Incluye las medidas de seguridad fsicas que se deben adoptar en los
edificios, salas, cableado, racks etc. para proteger los sistemas y su informacin.
Administracin de las comunicaciones y operaciones: Esta determina las medidas de seguridad que
debe contemplar la organizacin en sus operaciones y uso de las comunicaciones, esto es monitorear,
proteger y controlar las redes comunicacionales.
Control de acceso: Determina las medidas de control de acceso a la informacin de los distintos
niveles en los que se pueda plantear.
Adquisicin desarrollo y mantenimiento de los sistemas de informacin: Trata de los aspectos que
se deben contemplar sobre el mantenimiento de sistemas y al desarrollo de aplicativos que utiliza en sus
operaciones.
Gestin de incidentes en la seguridad de la informacin: Establece responsabilidades y
procedimientos para responder a incidentes de seguridad, entrar informes de debilidades y fallo en la
seguridad de los sistemas y servicios en la organizacin.
Administracin de la continuidad del negocio: Para establecer una continuidad de los procesos de
negocios se debe identificar eventos que podran interrumpirlo y desarrollar planes de contingencia y
continuidad del negocio los que se deben probar y actualizar constantemente.
Cumplimiento: Son los cumplimientos de los requisitos legales; cumplimiento de las normas y
polticas de seguridad y cumplimiento tcnico; consideraciones sobre las auditorias de los sistemas de
informacin.
Los objetivos de control y controles de esta norma, deben ejecutarse para satisfacer los requisitos que
fueron identificados en la evaluacin del riesgo. Esta norma est destinada a ser una base comn y gua
prctica para el desarrollo de medidas de seguridad.
Actualmente esta norma se encuentra obsoleta y fue reemplazada por la norma ISO/IEC 27002:2013
17
1.7 ISO/IEC 27003

Implementacin de un SGSI.
Esta norma fue publicada en el ao 2010, la cual establece una gua con la finalidad de implantar un Sistema
de Gestin de Seguridad de la Informacin, cuyo objetivo es proporcionar orientacin prctica en el
desarrollo del plan de implementacin del SGSI.
Este sistema de gestin incluye la estructura organizacional, polticas, actividades de planificacin,

responsabilidades, prcticas, procedimientos, procesos y recursos, basado en el modelo PDCA.5
Las fases de implementacin son:
1. Obtener la aprobacin gerencial para iniciar un proyecto SGSI

2. Definir el alcance, lmites y polticas del SGSI: En esta fase se define detalladamente el alcance y los
lmites del SGSI y desarrollar la poltica del SGSI, obteniendo el aval de la direccin.
3. Realizar un anlisis de requerimientos de seguridad de la informacin: En esta fase se definen los
requerimientos relevantes a ser soportados por el SGSI, adems de identificar los activos de
informacin y obtener el estado actual de la seguridad dentro del alcance.
5
Fuente: NTP 27001:2008
18
4. Realizar una evaluacin del riesgo y planificar el tratamiento del riesgo: En esta fase se define la
metodologa de evaluacin del riesgo, se identifican, analizan y evalan los riesgos de seguridad de
informacin para seleccionar las opciones de tratamiento del riesgo y seleccionar los objetivos de
control y los controles.
5. Disear el SGSI: En esta fase se completa el plan final de implementacin del SGSI a travs del
diseo de seguridad de la organizacin basado en las opciones seleccionadas para el tratamiento
del riesgo, as como tambin los requisitos relativos a registro y documentacin, adems del diseo
de los controles que integran las disposiciones de seguridad en los procesos de TIC, fsicos y
organizacionales y del diseo de los requisitos especficos del SGSI.
El siguiente esquema hace un resumen de las 5 fases ya mencionadas, y una breve descripcin de lo que se
hace en cada una de ellas.
6
Fuente: PNTP-ISO/IEC 27003
19
FASE DE
IMPLEMENTACIN
ISO/IEC 27003
Obtener la aprobacin
de la direccin para la
implementacin de un
SGSI
NRO. DE
PASO
ACTIVIDAD, REFERENCIA ISO/IEC 27003
PASO PREREQUISITO
DOCUMENTO DE SALIDA
Obtener objetivos del negocio de la

organizacin
Ninguno
Lista de objetivos de negocio de

la organizacin
Lograr la comprensin de los sistemas de

gestin existentes
Ninguno
Descripcin de sistemas de
gestin existentes
5.2 Definir objetivos, necesidades de

seguridad de informacin, requerimientos
del negocio para un SGSI
1,2
Resumen de los objetivos,

necesidades de seguridad de
informacin y requerimientos de
negocio para el SGSI
Obtener las normas reglamentarias, de

cumplimiento y de la industria aplicables
a la empresa
Ninguno
Resumen de las normas

reglamentarias, de cumplimiento
y de la industria aplicables a la
empresa
5.3 Definir alcance preliminar del SGSI
3,4
Descripcin de alcance preliminar

del SGSI(5.3.1)
Definicin de roles y
responsabilidades del SGSI (5.3.2)
5.4 Crear el caso de negocio y el plan de

proyecto para aprobacin de la direccin
Caso de negocio y plan de

proyecto propuesto
5.5 Obtener aprobacin de la direccin y

compromiso para iniciar un proyecto para
implementar un SGSI
Aprobacin de la direccin para

iniciar un proyecto para
implementar un SGSI
Definir lmites organizacionales
Descripcin de lmites
organizacionales
Definir alcance y
poltica de un SGSI
Funciones y estructura de la
organizacin
Intercambio de informacin a
travs de lmites
Procesos de negocio y
responsabilidad sobre los activos
de informacin dentro y fuera del
alcance
6.3 Definir lmites de las tecnologas de

la informacin y las comunicaciones
Descripcin de los lmites de las

TIC
Descripcin de sistemas de
informacin y redes de
telecomunicacin describiendo lo
20
comprendido y lo fuera del

alcance
10
6.4 Definir lmites fsicos
Descripcin de lmites fsicos

para el SGSI
Descripcin de la organizacin y
sus caractersticas geogrficas
describiendo alcance interno y
externo
Realizar un anlisis de
la organizacin
11
6.5 Finalizar lmites para el alcance del

SGSI
8,9,10
Un documento describiendo el
alcance y los lmites del SGSI
12
6.6 Desarrollar la poltica del SGSI
11
Poltica del SGSI aprobada por la

direccin
13
7.2 Definir los requerimientos de

seguridad de la informacin que den
soporte al SGSI
12
Lista de las principales funciones,

ubicaciones, sistemas de
informacin, redes de
comunicacin
Requerimientos de la
organizacin referentes a
confidencialidad, disponibilidad e
integridad
Requerimientos de la
organizacin relacionados a
requisitos legales y
reglamentarios, contractuales y
de seguridad de informacin del
negocio
Lista de vulnerabilidades
conocidas de la organizacin
14
7.3 Identificar activos dentro del alcance

del SGSI
13
Descripcin de los principales

proceso de la organizacin
Identificacin de activos de
informacin de los principales
procesos de la organizacin
Clasificacin de proceso/activos
crticos
15
7.4 Generar una evaluacin de seguridad

de la informacin
21
14
Documento del estado actual

de seguridad de la informacin de
la organizacin y su evaluacin
incluyendo controles de
seguridad existentes.
Documento de las deficiencias

de la organizacin evaluadas y
valoradas
Realizar una
evaluacin del riesgo y
Seleccionar Opciones
de Tratamiento del
Riesgo
16
8.2 Realizar una evaluacin del riesgo
15
Alcance para la evaluacin del

riesgo
Metodologa de evaluacin del

riesgo aprobada, alineada con el
contexto de gestin de riesgos de
la organizacin.
Criterio de aceptacin del

riesgo.
17
8.3 Seleccionar objetivos de control y

controles
16
Evaluacin del riesgo de alto nivel

documentada
Identificar la necesidad de una

evaluacin del riesgo ms
detallada
Evaluacin de riesgos detallada
Resultados totales de la
evaluacin de riesgos
18
8.4 Obtener aprobacin de la direccin

para implementar un SGSI
17
Riesgos y las opciones

identificadas para el tratamiento
del mismo
Objetivos de control y controles

para la reduccin de riesgos
seleccionados.
Disear el SGSI
19
Aprobacin de la direccin del riesgo

residual
18
Aprobacin de la direccin
documentada del riesgo residual
propuesto (debera ser la salida
de 8.4)
20
Autorizacin de la direccin para

implementar y operar el SGSI
19
Autorizacin de la direccin
documentada para implementar y
operar SGSI (debera ser la salida
de 8.4)
21
Preparar declaracin de aplicabilidad
18
Declaracin de aplicabilidad
22
9.2 Disear la seguridad de la

organizacin
20
Estructura de la organizacin y
sus roles y responsabilidades
relacionados con la seguridad de
la informacin
22
Identificacin de
documentacin relacionada al
SGSI
Plantillas para los registros del

SGSI e instrucciones para su uso y
almacenamiento
Documento de poltica de
seguridad de informacin
Lnea base de polticas de

seguridad de la informacin y
procedimientos (y si es aplicable
planes para desarrollar polticas,
procedimientos, etc. especficos)
23
9.3 Disear la seguridad de la informacin

fsica y de las TIC
20, 21
Implementacin del plan de

proyecto para el proceso de
implementacin para los
controles de seguridad fsicos y de
las TIC seleccionados
24
9.4 Disear la seguridad de la

informacin especfica del SGSI
22,23
Procedimientos describiendo el
reporte y los procesos de revisin
por la direccin.
25
Descripciones para auditoras,

seguimientos y mediciones
26
Programa de entrenamiento y
concientizacin
27
9.5 Producir el plan final del proyecto

SGSI
25
28
El plan final del proyecto SGSI
28
Plan de proyecto de
implementacin aprobado por la
direccin para los procesos de
implementacin
Plan de proyecto de
implementacin del SGSI
especfico de la organizacin
cubriendo el plan de ejecucin de
las actividades para seguridad de
la informacin organizacional,
fsica y de las TIC, as como
tambin los Requerimientos
especficos para implementar un
SGSI de acuerdo al resultado de
las actividades incluidas en
ISO/IEC 27003
23
Ac se ha mostrado cada uno de los pasos a considerar para la implementacin de la SGSI en base a las
fases descritas en el punto 2. Su propsito es:
Proveer una lista de verificacin de actividades requeridas para establecer e implementar un SGSI.
Apoyar el seguimiento del progreso de la implementacin de un SGSI.
Relacionar las actividades de implementacin de un SGSI con sus respectivos requisitos en NTPISO/IEC 27001.7
Fuente: PNTP-ISO/IEC 27003 Anexo A / Descripcin de Lista de Verificacin.

24
1.8 ISO/IEC 27004

Recomendaciones para evaluar la seguridad de la informacin.
Nombre actual, ISO/IEC 27004:2009. Sin certificacin.

Es una gua utilizada para el desarrollo y uso de mtricas y tcnicas aplicables con el fin de determinar la
eficacia de un SGSI, y controles o grupos implementados segn la ISO/IEC 27001. No est traducida al
espaol, pero sin embargo est en Argentina (IRAM-ISO/IEC 27004) y Uruguay (UNIT-ISO/IEC 27004).
Principalmente, mide los componentes de la fase Do del ciclo

PDCA.
Esta norma, nace con 2 fines principales:
Marcar criterios de cara a una correcta medicin para la eficacia

del SGSI
Establece la determinacin y efectividad de un SGSI (No aporta
coleccin de mtricas o indicadores aunque su definicin principal
lo dice as), mediante actividades y procesos, sin establecer medidores o usar resultados a
conseguir.
Tiene 4 objetivos principales:
1. Facilitar la mejora de la efectividad de la seguridad de la informacin.

2. Evaluar la efectividad del SGSI y su mejora continua.
3. Lograr informacin objetiva y anlisis para ayudar en la revisin de la gerencia, la toma de
decisiones y justificar mejoras en los controles.
4. Evaluar la efectividad de los controles de seguridad y los objetivos de control.
Esta norma se basa en el modelo PDCA, orientada principalmente en el modelo Do, como entrada para el
modelo Check (Monitorizar y revisar) para as adoptar decisiones de mejora del SGSI mediante el modelo
Act.8
Snchez C, Luis Enrique, Mtricas de Seguridad los SGSI, para conocer el nivel de seguridad de los SSOO de los
SGBD, CIBSI [2011] Figura [En Lnea] Rescatado de http://www.criptored.upm.es
25
Se deben seguir las fases del modelo PDCA, haciendo coincidir la implementacin de las fases seguidas en
la ISO 27001.
Hay que destacar que desde el principio de este ciclo, hay que considerar la escalabilidad de las mtricas
ya que conforme se van agrupando, se deber proporcionar menos informacin de detalle aportando de
ms alto nivel para la toma de decisiones.
Modelo y mtodo para las mediciones de seguridad
Es necesario desarrollar un programa de cmo ejecutar la medicin de seguridad de la informacin, as se

pueden determinar decisiones, o determinar la eficiencia de los controles de seguridad, por lo tanto, este
programa debe estar basado en un modelo de mediciones de seguridad de la informacin.
26
Para desarrollar este modelo es necesario definir los atributos considerados relevantes para medir lo que
es necesario.
Para ello se pueden separar en dos:
Subjetivos: Criterio humano implicado.
Objetivos: Basados en una regla numrica, que puede ser aplicada por humanos o recursos
automatizados.
Por lo tanto, se pueden utilizar tambin las siguientes actividades, como ejemplo tenemos:
Encuestas, Observaciones, Cuestionarios, Valoracin de conocimientos, Inspecciones, Re-ejecuciones,
Consulta al Sistema, Testing o monitorizacin (fase check del modelo PDCA).
Seleccin de mediciones de un SGSI:

Estas mediciones estn especificadas en la norma, para poder cuantificar la eficiencia, de los procesos y
controles, por lo tanto estas pueden ser requeridas para:
Gobierno Corporativo.
Cumplimiento de regulaciones y/o requisitos legales.
Operaciones o gestin organizacional.
Certificacin de un SGSI.
Clientes, Partners, socios de negocio, entre otros.
Mejoras de implementacin y/o eficiencia del SGSI.
Mejora de procesos.
De modo que, hay que tener en cuenta los pasos a seguir para la organizacin y operacin para un programa
de mediciones corresponden a:
27
Definicin de procesos.
Desarrollo de mediciones aplicables.
Implementacin del programa.
Revisin de mediciones.
Se debe revisar en pasos posteriores y continuos, verificando que el SGSI de la misma informacin vlida,
que las fuentes y otros atributos an son correctos, y los beneficios son positivos, sino, las mediciones
pueden ser mantenidas, eliminadas, sustituidas y/o modificadas.
Fase Do (Operacin de mediciones del SGSI):
Esta fase establece el enlace entre las mediciones que son adecuadas para cubrir la organizacin en un
momento dado. Los resultados de las mediciones deben estar ya revisados y aprobados, as, se decidir
cules sern los recursos que se asignan para la implementacin de las mediciones.
La direccin debe acordar el conjunto de mediciones ya planificadas para hacer las tareas con los recursos
e infraestructura correspondiente.
Los objetivos de la fase Do son:

Definicin y documentacin de roles y responsabilidades que participan en el desarrollo, implementacin
y mantenimiento de las mediciones dentro del contexto del SGSI.
Polticas y procedimientos que definan el empleo de las mediciones en la organizacin, difusin de la

informacin medida, auditora y revisin de los procesos de medicin.
Procesos de monitorizacin de las mediciones para evaluar su uso.
Procesos de eliminacin, modificacin y adicin de nuevas mediciones, para asegurar que las mismas
envuelven a toda la organizacin.
28
Fase Check (Mejoras de las mediciones del SGSI):

Se debe tener en cuenta la facilitacin de mejoras de los procesos de medicin, y adems, permitir la
informacin a travs de las mediciones disponibles, apoyando la toma de decisiones.
Estas mediciones deben ser evaluadas, detectadas y ajustadas a las necesidades del SGSI, asegurando la
evolucin de este, cubriendo objetivos de seguridad.
Hay condiciones iniciales para la identificacin frecuencial de las fases, revisiones y establecimiento de
mecanismos haciendo posible la activacin o lanzamiento automtico de las fases de revisin, cuales son
2:
Definir un criterio para evaluar la informacin (anlisis).
Definir un criterio para evaluar el proceso de mediciones (validacin).
Las mediciones deben ser revisadas, cuando ocurran cambios en la organizacin, as podemos asegurar que
dada las mediciones realizadas, reflejan el estado actual de seguridad, por lo tanto, los datos deben seguir
siendo vlidos.
Estas revisiones deben realizarse igual a intervalos planeados, verificando si an se siguen ejecutando igual
en el momento que se dise, adems de incluir una evaluacin externa, que permite una visin
independiente del programa.
El propsito de las revisiones es asegurar que:
Las mediciones son correctamente revisadas al ocurrir cambios en los objetivos de negocio
Las mediciones no se suelen emplear, son quitadas e ingresan nuevas mediciones necesarias
Los recursos que soportan estas mediciones son los adecuados
Las decisiones sern documentadas para permitir futuras comparaciones, o analizar tendencias.
Los resultados deben ser difundidos a todo el personal interesado es decir: Directivos, gerentes,
tcnicos y personal relacionado a la seguridad de la informacin.
El formato debe ser acorde a las necesidades de cada grupo o perfil que va dirigido e informar los
aspectos que se necesitan, detallando el grado de acuerdo a su funcin o rol en la organizacin.
Es importante que los reportes que se hagan faciliten la realimentacin de la informacin, basada
en lo que puedan aportar los consumidores de esta, generar adems los mecanismos necesarios para
analizar e implementar este ciclo de retorno.
29
La Direccin
Encargada de establecer y mantener acuerdos en sus mediciones, adems se debe recordar, que la
implementacin debe ser acorde a los estndares internacionales, teniendo en cuenta la aceptacin de
los requerimientos de mediciones.
Para proveer la evidencia de estos acuerdos, la direccin debe demostrar adems la
implementacin, operacin, revisin, monitorizacin, mantenimiento y mejora de todo el programa de
mediciones de la siguiente manera:
Establecimiento del programa de mediciones.

Asegurar que el programa sea implementado.
Establecer roles y responsabilidades en el programa de mediciones.
Comunicar a todo el personal interviniente el programa de mediciones y sus indicadores de progreso.
Proveer suficientes recursos para establecer, implementar, operar, monitorizar, revisar, mantener y
mejorar el programa de mediciones.
Asegurar que las auditoras internas del programa de mediciones, como una parte de las auditoras
SGSI, sean las correctas.
Las revisiones del programa de mediciones sean parte del SGSI
Adems de esto, se debe asignar y proveer recursos para el programa de mediciones, teniendo en
cuenta los aspectos como polticas de seguridad, asignacin de responsables, servicios, preparacin,
presupuestos y recursos
Estos acuerdos deben ser comunicados a la organizacin. Tambin, seguido de esto, la direccin
deber asignar los roles y responsabilidades para la ejecucin y uso de las mediciones, cuales son:
Propietario de la medicin.
Persona o unidad responsable del requerimiento de mediciones.
Persona o unidad responsable de recolectar y almacenar los atributos de informacin de una

entidad objeto de medicin.
Persona o unidad responsable de la comunicacin a la organizacin, de la importancia del

programa de mediciones y sus resultados, para asegurar su aceptacin y empleo.
Persona o unidad responsable de la evaluacin del programa de mediciones, para asegurar que
se corresponde con los controles de seguridad.
Personas que intervienen y dirigen el programa de mediciones.

30
Previo a esto, la direccin debe tener en cuenta que es necesario establecer autorizaciones, certificaciones
y/o acreditaciones al personal, as llevando a cabo las tareas y criterios para la formacin de los mismos
(refirindose a las mediciones).
Finalmente, debe asegurar que todo el personal sea consciente de lo relevante e importante de
que es el programa de mediciones y como c/u de ellos puede contribuir a la mejora de los objetivos del
SGSI.9
Corletti Estrada Alejandro, Funcionamiento e implementacin de norma ISO/IEC 27004, Monografas [2007] Figura
[3] Rescatado de http://www.monografias.com
31
10
10
Corletti Estrada Alejandro, Funcionamiento e implementacin de norma ISO/IEC 27004 junto a norma ISO27001,
Monografas [2007] Figura [En Lnea] Rescatado de http://www.monografias.com
32
1.9 ISO/IEC 27005

Comparacin con BS 7799.
La norma BS 7799-3:2006 est bajo el estndar Britnico de la BSI la cual se public con el
nombre de Sistemas de gestin de seguridad de la informacin, Normas para la gestin del riesgo
de la seguridad de la informacin.
Esta norma tiene por objetivo identificar, tratar, evaluar y gestionar los riesgos en la
seguridad de la informacin los cuales son procesos claves si se desea garantizar la seguridad en
los procesos de negocio.
Esta norma cubre los aspectos tales como:
Anlisis del riesgo

Gestin del riesgo
Toma de decisiones
Revisin del anlisis y gestin del riesgo
Monitorizacin del perfil del riesgo
Gestin del riesgo en el contexto de la gestin corporativa
Cumplimiento con otros estndares y regulaciones basados en riesgo
La BS 7799-3:2006 es la gua para soportar los requisitos que se establecieron en la ISO/IEC

27001:2005 cubriendo todos los aspectos en el ciclo de anlisis y gestin del riesgo en la
colaboracin de un sistema de gestin de la seguridad de la informacin.
La ISO/IEC 27005 fue publicada en junio de 2008 por primera vez, actualmente se realiz
una nueva versin mejorada en el ao 2011, se basa en gran parte a la ISO 13335, de igual forma
ha tomado diversos temas relacionados con el ciclo de vida de la gestin de riesgos conforme a la
norma britnica BS 7799-3.
Esta norma contiene recomendaciones generales para la gestin de riesgos en sistemas de
seguridad de la informacin y est diseada como ayuda cuando se requiera aplicar
satisfactoriamente un SGSI basado en un enfoque de gestin de riesgos. Puede ser aplicada a
cualquier tipo de organizacin que desean gestionar los riesgos que puedan complicar la seguridad
de su informacin, no recomiendan una metodologa concreta y depender del alcance que tenga
el SGSI o donde se posiciona la organizacin. En Chile esta norma tiene la nomenclatura NChISO27005 y en noviembre de 2009 la declaran norma oficial de la republica aprobada por el
Instituto Nacional de Normalizacin.
Esta gua promueve el clculo de riesgos por el mtodo de las frecuencias con que ocurren
e impactos, de igual forma habla de activos, amenazas y vulnerabilidades, incluyendo anexos con
listados y tablas al efecto.
Esta gua contiene los siguientes tem:

33
Prembulo
Introduccin
Referencias normativas
Trminos y definiciones
Breve descripcin de los trminos ms usados en la norma
Estructura del estndar
Descripcin de la estructura de la norma
Fundamentos del proceso de gestin de riesgos (ISRM)
Indicaciones sobre como evaluar y tratar los riesgos de seguridad de la informacin
Establecimiento del contexto
Evaluacin de riesgos (ISRA)
Tratamientos de riesgos
Aceptacin del riesgo
Comunicacin del riesgo
Monitorizacin y revisin del riesgo
Anexo A: Definiendo el mbito del proceso
Anexo B: Valoracin de activos y evaluacin de impacto
Anexo C: Ejemplos de amenazas ms comunes
Anexo D: Vulnerabilidades y mtodos de evaluacin
Anexo E: Aproximacin a ISRA
34
1.10 ISO/IEC 27006:2007

Especifica requisitos especficos para la certificacin de SGSI.
Esta norma fue publicada en marzo de 2007 y especifica los requisitos necesarios para la
certificacin de SGSI la cual es utilizada con la norma 17021-1, la norma genrica de acreditacin. sta no
es un estndar de acreditacin por s misma, sino que ayuda a la interpretacin de los criterios de
acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin ISO/IEC 27001.
Esta norma, consta de las siguientes fases o captulos:
Prefacio: Presenta las actividades de las organizaciones ISO e IEC.

Introduccin: Muestra los antecedentes de ISO 27006 y gua de uso para esta norma.
Alcance: Informa a quien se le aplica el estndar.
Referencias de normativa: Indica otras normas que sirven de referencia.
Trminos y definiciones: Muestra los trminos utilizados en esta norma.
Principios: Los principios que rigen a la norma.
Requisitos generales: Entrega los aspectos que deben cumplir las entidades de certificacin de
SGSI:
Materia Legal y contractual.
Gestin de imparcialidad.
Responsabilidad y financiacin.
Requerimientos estructurales: Estructura organizativa que deben disponer las entidades de

certificacin de SGSI.
Estructura organizacional y la alta direccin.
Comit para salvaguardar la imparcialidad.
Requerimientos de recursos: Competencias que son requeridas para el personal de direccin,

administracin y auditoras de la entidad de certificacin, as como para los auditores externos,
expertos tcnicos externos y subcontratas.
Personal involucrado en las actividades de certificacin.
Uso de los auditores externos individuales y expertos tcnicos externos.
Registros de personal.
Externalizacin.
Requisitos de informacin: Informacin pblica, documentos de certificacin, relacin de clientes

certificados, referencias a la certificacin y marcas, confidencialidad e intercambio de informacin
entre la entidad de certificacin y sus clientes:
Informacin pblica accesible.
Documentos de certificacin.
35
Directorio de clientes certificados.

Referencia para la certificacin y uso de marcas.
Confidencialidad.
Intercambio de informacin entre un organismo de certificacin y sus clientes.
Requerimientos de proceso: Requisitos generales del proceso de certificacin, auditora inicial y
certificacin, auditoras de seguimiento, certificacin, auditoras especiales, suspensin, retirada o
modificacin de alcance de la certificacin, apelaciones, reclamaciones y registros de solicitantes
y clientes.
Requisitos generales.
Audiencia inicial y certificacin.
Actividades de vigilancia.
Recertificacin.
Auditorias especiales.
Suspender, retirar o reducir el alcance de la certificacin.
Apelaciones.
Quejas.
Registros de los solicitantes y clientes.
Requisitos del sistema de gestin de los organismos de certificacin: Contiene las siguientes
opciones:
o Opcin Requisitos del sistema de gestin de acuerdo con la norma ISO 9001.
o Opcin Requisitos del sistema de gestin general.
Contiene adems cuatro anexos:
Anexo A Anlisis de la complejidad de la organizacin de un cliente y aspectos especficos del sector:

Mide el potencial de riesgo de la organizacin (con tablas orientativas) y categoras de riesgo de la
seguridad de la informacin especficas del sector.
Anexo B reas de ejemplo de competencia del auditor: Contiene consideraciones de competencias
generales y especficas (conocimiento de controles del Anexo A de ISO 27001:2005 y conocimientos sobre
SGSI).
Anexo C Tiempos de auditora: Introduccin, procedimiento para determinar la duracin de la auditora
y tabla de tiempos de auditora (se incluyen comparativas de tiempo de auditora de sistemas de calidad
ISO 9001 y medioambiente ISO 14001).
Anexo D Gua para la revisin de controles implantados del Anexo A de ISO 27001:2005: Tabla de
apoyo para el auditor sobre cmo auditar los controles, sean ya tcnicos u organizativos.
36
1.11 ISO/IEC 27007

Auditoria al SGSI (ISMS)
Esta norma fue publicada en noviembre del ao 2011, no certificable, cuyo fin es proporcionar una
gua para los organismos acreditados de certificacin, as como tambin a los auditores internos, auditores
externos de la organizacin y otros que auditan SGSI contra la norma ISO / IEC 27001.
Su objetivo es evaluar si la organizacin auditada est cumpliendo con las obligaciones establecidas
en la norma ISO / IEC 27001 en relacin con su SGSI.
Esta norma refleja gran parte de la norma ISO 1900111, su objetivo es aportar orientacin adicional al SGSI.
Tambin est basada en la norma ISO 1702112.Adems cubre los aspectos especficos de la auditora
de cumplimiento, tales como:
La gestin del programa de auditora ISMS, en la que se determina lo que se debe auditar, cundo
y cmo; la asignacin de los auditores apropiados, la gestin de riesgos de auditora, el
mantenimiento de registros de auditora; mejora continua del proceso.
La realizacin de una auditora ISMS MS, en la cual se debe realizar un proceso de auditora,
planificacin, la ejecucin, las actividades de auditora clave, incluyendo el trabajo de campo,
anlisis, informes y seguimientos
La gestin de los auditores ISMS: competencias, habilidades y atributos de evaluacin.
Esta gua tiene las siguientes finalidades:
Corroborar la mitigacin realizada por los controles de seguridad de la informacin sobre los riesgos
de la organizacin.
Verificar que es correcta la relacin de los controles de seguridad con la contabilidad general o de
los sistemas y procesos de contratacin para que los auditores verifiquen los datos.
Comprobar que las obligaciones contractuales de los proveedores son satisfactorias.
Realizar una revisin y control por la direccin.
11
Estndar de auditora para sistemas de gestin de la calidad y medioambiental
12
Evaluacin de la conformidad
37
Operaciones rutinarias del SGSI de una organizacin para garantizar la buena marcha de la
organizacin.
Auditar despus de producirse incidentes en la seguridad de la informacin como parte del anlisis.
Generar acciones correctivas.
Actualmente esta norma est en revisin, en la cual consiste citar versiones actuales de las normas de la
familia ISO 27000 ya actualizadas y la norma 1901113
Cabe destacar que esta norma debe evaluar si la organizacin auditada est cumpliendo con las
obligaciones establecidas en la norma ISO/IEC 27001 en relacin con el SGSI.
Diseo e implementacin del SGSI
Para una organizacin esto es influenciado por las necesidades y objetivos, requerimientos de seguridad,
procesos, tamao y estructura de la organizacin.
Se espera que estos procesos y los sistemas de apoyo cambien con el transcurso del tiempo, por
eso se espera que la implementacin del SGSI cubra las necesidades de la organizacin.
Ejemplo: Una situacin simple requiere solamente una solucin a nivel SGSI simple.
Es necesario que la organizacin debe y adems, necesita identificar y manejar muchas actividades para
poder funcionar de manera efectiva, ya que cualquier actividad tiene una demanda de recursos y se
maneja para permitir que la transformacin de los insumos en outputs, puede ser considerada como un
proceso.
Segn el estndar ISO 27007, la implementacin del SGSI se basa por el ciclo de Deming14.
13
Directrices para la Auditora de los Sistemas de Gestin
14
Plan Do Check Act Explicado en el primer captulo.
38
15
Qu tipo de organizaciones abarca esta norma?
Empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro. Esta norma es
especfica en cuanto a los requerimientos para establecer, implementar, operar, monitorear, revisar
mantener y mejorar un SGSI en el contexto de los riesgos comerciales generales de la organizacin.
Se explica adems los requerimientos para la implementacin de controles de seguridad
personalizados de acuerdo a necesidades de organizaciones por s solas, o parte de ellas.
Cabe destacar que un SGSI se disea con el fin de asegurar la informacin, proporcionando
controles de seguridad que protejan estos activos y den confianza a las partes interesadas.
Referencias de normativa
Para establecer esta norma, se ha utilizado las ltimas referencias incluyendo algunas ya aplicadas:
ISO/IEC 19011: 2002 - Directrices para los sistemas de gestin de calidad y medio ambiente / o
auditora
ISO/IEC 27001:2005 - Tecnologa de la informacin - Tcnicas de seguridad - gestin de seguridad
de la informacin - Requisitos de los sistemas
ISO/IEC 27000:2009 - Tecnologa de la informacin - Tcnicas de seguridad - gestin de seguridad
de la informacin - Requisitos de los sistemas - Visin de conjunto y vocabulario.
15
Gonzalez, Maria Jesus - Funcionamiento SGSI en conjunto con el principio PDCA[2013] Figura [En Lnea] Rescatado
de:https://marishuyglez.wordpress.com/isoiec-27007/
39
1.12 ISO/IEC 27799:2008

Informtica de la salud-Gestin de la seguridad de la informacin en salud utilizando
ISO/IEC 27002
Esta norma fue publicada en el ao 2008, la cual especifica un conjunto de controles detallados para la
gestin de seguridad de la informacin de salud y proporciona informacin sobre mejores prcticas de
seguridad.
Mediante la implementacin de esta norma internacional, las organizaciones sanitarias y otros custodios
de la informacin de salud, sern capaces de garantizar un nivel mnimo de seguridad, lo que permitir a
la organizacin mantener la confidencialidad, integridad y disponibilidad de la informacin mdica
personal.
Cabe destacar que la norma ISO 27799: 2008 es un complemento de la norma ISO / IEC 27002: 2005,
adems de contener la aplicacin de la norma ISO 27001.
Es aplicable a la informacin sanitaria, es decir tambin informacin sobre mbitos de la salud:
Palabras y cifras o coeficientes.

Grabaciones.
Dibujos.
Videos y/o imgenes mdicas.
Radiografas.
40
Sobre cualquier medio es decir, escrito u impreso en papel o de manera electrnica, adems de cualquier
medio de transmisin, cules pueden ser:
Valijas o Mensajera.
Fax.
Redes informticas (sistemas interconectados como por ejemplo SOME en hospitales).
Correos electrnicos.
Mediante una gestin orientada a las necesidades del sector sanitario, hay un control sobre los
entornos especficos operativos sobre la seguridad de la informacin.
La proteccin y seguridad personal es importante para todos los entes u individuos adems de
empresas, instituciones y gobiernos, por esto existen requisitos especiales en el sector de la salud que
deben cumplirse para poder asegurar la confidencialidad, integridad, capacidad de auditora y
disponibilidad de la informacin mdica personal.
Alcance y propsito
16
Este tipo de informacin es considerada una de las ms

importantes en el aspecto de informacin personal, ya que la
confidencialidad es esencial porque as se puede mantener la
privacidad de los individuos sujetos a atencin.
La integridad se debe proteger, ya que garantiza la
seguridad del paciente agregando a la vez, un componente
importante, que es el aseguramiento del ciclo de vida de la
informacin, sea auditable.
La disponibilidad de esta informacin referente a la salud
es fundamental para permitir la asistencia sanitaria, y a su vez, que sea eficaz. Los sistemas informticos de
salud deben cumplir netamente y solo con demandas nicas de que el funcionamiento este en caso de:
Catstrofes naturales
Fallos de sistema
Ataques de denegacin de servicio
Por lo tanto, es necesaria la proteccin de confidencialidad, integridad y disponibilidad de la

informacin, y tener experiencia mdica especfica del sector.
Cabe recordar que esta norma no suplanta a la ISO 27001 ni a la norma ISO 27002, sino que las
complementa de manera que puedan ser aplicadas en organizaciones de cualquier tipo, recordando as que
la norma 27799:2008 se ha creado con el fin de proteger la informacin de centros sanitarios o mdicos
como ejemplo clnicas, hospitales, consultas con especialistas.
16
Derechos y Deberes del Paciente, Gobierno de Chile, Ministerio de Salud
41
1.13 ISO/IEC 27035:2011

Tcnicas de Seguridad - Gestin de Incidentes de Seguridad - Seguridad de la informacin
El 12 de octubre de 2004 la ISO public el reporte tcnico ISO/IEC TR 18044:200417. El objetivo de

presentar este documento fue con el fin de manejar incidentes de seguridad de informacin para los
administradores de sistemas y seguridad, sistemas de informacin, y tambin de cualquier organizacin.
Esta planeacin consta de 4 procesos:
Planeacin y preparacin: Para gestionar los incidentes que ocurran a nivel de seguridad, es
necesario realizar una planeacin y preparacin para la respuesta a la materializacin de los
incidentes ocurridos.
Uso: Fase de implementacin del plan de gestin de los incidentes a nivel de seguridad, en este
proceso se detecta, reporta, analiza y clasifica y adems, comunicar los resultados de la
investigacin del incidente.
Revisin: En este paso, se puede validar ya el proceso en caso de que solo fuese necesario, as se
definen lo que se aprendi y base a esto, se pueden incorporar y/o implementar mecanismos de
mejora segn las vulnerabilidades ya detectadas.
Mejoras: En este ltimo punto, el proceso de gestin de incidentes demostr ser un proceso ya
iterativo, por lo tanto, debe haber una mejora constante, tanto en las normas como en la
implementacin.
En el ao 2011, este documento cambia de manera drstica, ya que pasa a ser una norma internacional,
perteneciendo a la familia de las normas ISO/IEC 27000, quedando con el nombre de ISO/IEC 27035:2011
Gestin de incidentes de seguridad de la informacin, definiendo as un enfoque ya estructurado y de
manera planificada destacando estos 4 puntos:
17
Detectar informar y evaluar los incidentes de seguridad de informacin

Responder a incidente y gestionar incidentes de seguridad de la informacin
Detectar evaluar y gestionar las vulnerabilidades de seguridad de la informacin
Mejorar continuamente la seguridad de la informacin y la gestin de incidentes, dando como
resultado la gestin de incidentes de seguridad de la informacin y las vulnerabilidades
Tecnologa de informacin, tcnicas de seguridad, informacin de seguridad y manejo de incidentes.
42
18
Esta norma adems especifica los lineamientos para tener una efectividad en la gestin de incidentes de
seguridad.
En un SGSI, la implementacin de las polticas y controles no garantizan la totalidad de la
proteccin de la informacin y de los sistemas que procesan.
Todas las piezas deben unirse sin ser forzadas. Debe recordar que los componentes que est re ensamblando fueron
desmontados por usted, por lo que si no puede unirlos debe existir una razn. Pero sobre todo, no use un martillo
Manual de mantenimiento de IBM, ao 1925
Posterior a esto hay un riesgo residual, por lo tanto se puede materializar por existencia de
vulnerabilidades aunque sean pequeas y tambin, los controles que se implementaron no son efectivos.
Cuando ocurre este tipo de inconvenientes, hay que implementar si o si un sistema de
administracin de aquellos incidentes de seguridad que puedan hacer realidad el riesgo residual.
Para ello se ha organizado en 5 fases determinadas por la ICONTEC19 el 2011
Fases
Estas fases son similares al reporte tcnico de ISO/IEC TR 18044:2004 :
Planeacin y Preparacin: Definir la poltica de gestin de incidentes de seguridad, junto a la

poltica de seguridad de la informacin y anlisis de riesgo, con el objetivo de concientizar a la
gerencia, determinando un equipo de respuesta a incidentes relacionados a la seguridad de la
informacin.
18
METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN Y GESTIN DE RIESGOS PARA LA

PLATAFORMA SIEM DE UNA ENTIDAD FINANCIERA BASADA EN LA NORMA ISO/IEC 27035 E ISO/IEC 27005. Estructura ISO/IEC
27035 [2015]. Figura [En Lnea]
19
Instituto Colombiano de Normas Tcnicas y Certificaciones.
43
Deteccin y reporte: Realiza la recoleccin asociada al incidente. Esta es la primera fase del
proceso operacional de la gestin.
Evaluacin y Decisin: Evaluar la informacin recolectada, generando un anlisis para validar si lo

que ocurre es un incidente a nivel de seguridad.
Respuesta: Que se har previo al incidente de seguridad, utilizando un anlisis ms crtico o de

nivel forense si se requiere, esto va a depender de la decisin que se tome en la fase previa a
esta, generando un informe para las personas y/o reas que estn involucradas.
Lecciones aprendidas: Se debe realizar una mejora del proceso o del SGSI, si se necesita, es
posible validar el proceso de gestin de incidentes para poder implementar una mejora, como
resultado generado sobre el incidente de seguridad.
44
1.14 ISO/IEC 27002:2013

Tecnologa de la informacin - Tcnicas de seguridad - Cdigo de prcticas para los controles de
Esta norma fue publicada en el ao 2013, con el fin de proporcionar directrices para las normas de
seguridad de la informacin organizacional y las prcticas de gestin de seguridad informacin, en la cual
se incluye la seleccin, implementacin y gestin de control, teniendo en cuenta el entorno de riesgo.
Esta norma est asociada con el Anexo A de la ISO/IEC 270001:201320.
20
Anexo A ISO27001:2013
45
Anexos ISO/IEC 27001:2013
Cabe recordar que la norma ISO/IEC 27002 extiende la informacin de anexos renovados dentro
de la ISO/IEC 27001:2013.
Estos anexos incluyen informacin relevante sobre lo que no debe olvidarse para gestionar la
El hecho de conocer y entender las mejores prcticas existentes en el mercado da una ventaja
enorme adems de ayudar a entender en qu camino debera seguirse.
La nueva estructura del anexo A, agrega 3 dominios de control con los cuales incluye un total de
113 controles, 20 menos que en la versin anterior.
Los nuevos dominios que aparecen son:
Criptografa Separada de adquisicin, desarrollo y mantenimiento de la informacin.

Relacin con proveedores.
Gestin de comunicaciones y Operaciones separa en 2 nuevos dominios:
Operaciones de seguridad.
Seguridad de las comunicaciones.
46
Es importante que las empresas conozcan sobre este estndar, adems de poder utilizarlo como
gua, o empresas que estn organizadas revisen cambios para poder ajustar sus declaraciones de
aplicabilidad.
El Anexo A refleja los controles ya descritos en la norma ISO.IEC 27002, cabe destacar que las
empresas que quieran certificarse, no estn obligados ya a implementar todos los controles de este anexo,
por lo tanto, se convierte en una gua para as evitar la omisin de controles importantes, al momento en
que una organizacin implemente su SGSI, por lo tanto pasa a ser una mayor tolerancia en este mbito.
47
Se adopta en esta versin, el Anexo SL (anteriormente Gua ISO 83) dentro del SGSI. Este anexo
describe lineamientos para un sistema de gestin genrico, otorgando una ayuda importante a empresas
cuales deben certificar mltiples normas del SGSI.
Lo importante es tener en cuenta lo siguiente: toda organizacin es diferente y sus requerimientos

impuestos por la norma deben ser interpretados de acuerdo al contexto que tenga la empresa.
En qu ayuda este anexo?
Dentro de ISO/IEC 27002, lo nombrado anteriormente describe dominios de control y mecanismos

de control que sirven para la implementacin dentro de una organizacin, siguiendo directrices de ISO
27001(que es de donde extiende el anexo A).
Adems, se encuentran los controles necesarios para buscar y mitigar el impacto o la posibilidad de
ocurrencia de riesgos a los cuales la organizacin pueda exponer.
Esta gua sirve para el control de seguridad de la empresa, y prcticas eficaces para la seguridad de
la informacin, para esto se debe tener en cuenta que los controles de la ISO/IEC 27001 y 27002 se han
mezclado, con el fin que su estructura en dominios de control sea ms coherente.
Podemos encontrar los siguientes controles:
Con dispositivos mviles y teletrabajo, seccin 6 Organizacin de la seguridad de la informacin

Control de accesos (Relacin con acceso al sistema operativo, aplicaciones y a la informacin)
Criptografa (Controles sugeridos para una organizacin) seccin 10
Recuperacin de desastres, seccin 17
como
Hay versiones especficas de la norma 27002, que son enfocadas a tipos diferentes de empresas
ejemplo:
manufactureras,
salud,
financiero,
entre
otras.
Varias normas ISO toman como referencia la norma mencionada, por lo tanto estn enfocadas en
la correcta gestin de la seguridad.
Cabe destacar que se debe recordar y tener en cuenta los cambios sobre los estndares, aunque
no influyan directamente sobre la efectividad en el mbito de la seguridad de la informacin, pueden
ayudar a incrementar la eficiencia.
48
1.15 ISO/IEC 27000:2014

Tecnologa de la informacin - Tcnicas de seguridad - Sistemas de gestin de seguridad de la informacin
- Informacin general y vocabulario
Esta norma fue publicada en el ao 2014, cuyo objetivos es proporcionar una visin general de los
sistemas de seguridad de la informacin de gestin (ISMS), y los trminos y definiciones que se utilizan
comnmente en la familia de normas de SGSI, por lo que es aplicable a todos los tipos y tamaos de
organizacin, como por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin
fines de lucro, etc.
La ISO provee un modelo para seguir ajustando y operando los manejos del sistema, adems de
incorporar caractersticas con expertos en esta rea alcanzando un consenso y trayendo esta norma a nivel
internacional.
Familia de estndares SGSI
Estas normas estn destinadas a ayudar a todo tipo de organizaciones, tomando en cuenta el
tamao de un SGSI y cmo debe operar, se conforma de normas internacionales bajo la norma general con
el ttulo de Tecnologa de la informacin - Tcnicas de seguridad que se detallan a continuacin:
ISO/IEC 27000, Sistemas de gestin de seguridad de la informacin - Informacin general y

vocabulario.
ISO/IEC 27001, Sistemas de gestin de seguridad de la informacin - Requisitos.
ISO/IEC 27002, Cdigo de prcticas para el control de seguridad de la informacin.
ISO/IEC 27003, la gestin de seguridad de la informacin orientacin para la implementacin del
sistema.
ISO/IEC 27004, la gestin de la seguridad de la informacin - Medicin.
ISO/IEC 27005, la gestin de riesgos de seguridad de informacin.
ISO/IEC 27006, Requisitos para los organismos que realizan la auditora y la certificacin de
seguridad de la informacin de sistemas de gestin.
ISO/IEC 27007, Directrices para los sistemas de gestin de seguridad de la informacin de
auditora.
ISO/IEC TR 27008, Directrices para los auditores sobre los controles de seguridad de la
informacin.
ISO/IEC 27010, la gestin de seguridad de la informacin para la colaboracin intersectorial e
inter-organizacional y comunicaciones.
ISO/IEC 27011, directrices de gestin de seguridad de la informacin para las organizaciones de
telecomunicaciones.
49
basado en la norma ISO / IEC 27002

ISO / IEC 27013, Gua para el desarrollo integral de la norma ISO / IEC 27001 e ISO / IEC 20000-1.
ISO / IEC 27014, seguridad de la informacin del Gobierno.
ISO / IEC TR 27015, directrices de gestin de seguridad de la informacin para los servicios
financieros.
ISO / IEC TR 27016, la informacin de gestin de seguridad - Economa de las Organizaciones.21
Propsitos
Este grupo tiene estndares para:
Definir requerimientos para un SGSI para aquellos que acrediten dichos sistemas.
Proveer soporte directo, detallando la orientacin y/o la interpretacin para el proceso general
para establecer, mantener y mejorar un SGSI.
Directrices especficas del sector de direccin para el SGSI
Directrices para la evaluacin de la conformidad.
Los trminos y definiciones provistas en esta norma internacional son:
Cubren comnmente el uso de trminos y condiciones en la familia de normas de SGSI.
No cubren todos los trminos y definiciones aplicadas dentro de la familia de normas de SGSI.
no se limita a la familia de normas de SGSI en la definicin de nuevos trminos de uso.
El Anexo A provee de manera clara cmo las formas verbales son usadas para expresar requerimientos y/o
directrices en la familia de normas de SGSI.
21
El ttulo general de "Tecnologa de la informacin - Tcnicas de seguridad" indica que estas normas son
preparadas por la Joint Technical Committee ISO/IEC JTC1, Information technology, Subcommittee SC 27, IT
Security techniques.
50
22
Alcance
Esta Norma Internacional proporciona una visin general de los sistemas de gestin de seguridad de la
informacin, y trminos y definiciones utilizados comnmente en la familia de normas de SGSI . Esta Norma
Internacional es aplicable a todos los tipos y tamaos de organizacin (empresas comerciales, agencias
gubernamentales, no para organizaciones de lucro).
22
Estructura de funcionamiento norma ISO/IEC 27000:2014,Figura [En Lnea], Recuperado de:

http://www.ideasparapymes.com/red-proveedores/productos/ISO%2027000.png
51
Las siguientes definiciones se basan en la norma ISO IEC 27000: 2014, seccin 2 - Trminos y definiciones.
1. Control de Acceso: Autorizacin de acceso y restriccin de acceso, medidas para autorizar de forma
selectiva y restringir la entrada, contacto o uso de activos. Se establecen de acuerdo con los
requerimientos de negocio y seguridad
2. Rendicin de cuentas (Responsabilidad): Asignacin de acciones y decisiones a una entidad.
3. Modelo analtico: Algoritmo o de clculo combinando una o ms bases derivadas o medidas en un

conjunto de criterios de decisin para su utilizacin en toma de decisiones y apoyo.
4. Activos: Cosa o caracterstica tangible o intangible con un valor a una organizacin.
5. Ataque: Intento no autorizado de acceder, usar, modificar, exponer, robar, desactivar o destruir un
archivo.
6. Atributo: Rasgo distintivo, caracterstica o propiedad de un objeto que puede ser identificado o
aislado cuantitativamente o cualitativamente.
7. Auditora: Proceso de recopilacin de pruebas para evaluar y comprobar si ciertos criterios se

cumplen.
8. Alcance de Auditoria: Declaracin especfica del foco, extensin, y lmites de una auditora en
particular
9. Autenticacin: Confirmacin de una reivindicacin de caracterstica a una entidad que parece ser
cierto o hecho.
10. Autenticidad: Propiedad o caracterstica de una entidad nica.
11. Disponibilidad: Propiedad o caracterstica definiendo si es accesible o utilizable cuando una entidad
exige el acceso.
52
12. Medida Base: Atributo o propiedad de una entidad y el mtodo utilizado para cuantificar.
13. Continuidad de Negocio: capacidad corporativa de ofrecer sus productos y servicios a niveles
aceptables despus de ciertos incidentes que hayan ocurrido.
14. Competencia: Capaz de aplicar conocimientos y habilidades para alcanzar resultados previstos.
15. Confidencialidad: Caracterstica que se aplica a la informacin para proteger y preservar su

contenido y evitar que caiga en manos no autorizadas.
16. Conformidad: Cumplimiento de requisito

17. Consecuencia: Resultado de un evento, un solo evento puede tener muchas o pocas consecuencias
y las consecuencias puede influir de manera en que una organizacin pueda lograr sus objetivos.
18. Contexto: Temas internos y externos que son relevantes para su propsito, y la influencia de estas
puede influir en los objetivos y resultados que los SGSI puedan o no lograr.
19. Mejora Continua: Conjunto de actividades con el fin de mejorar el rendimiento de los procesos,
productos, servicios, sistemas y organizaciones.
20. Control: En gestin de seguridad de la informacin, significa el mtodo de administracin, direccin,

tcnica que se utiliza para modificar, o gestionar la informacin de riesgos de seguridad.
21. Objetivo de Control: Declaracin que describe lo que se espera de los controles de seguridad logren
22. Correccin: Cualquier accin que se toma para eliminar una no conformidad.
23. Accin Correctiva: Medidas utilizadas para eliminar causas existentes con objetivo de prevenir la
recurrencia de las no conformidades.
24. Datos: Coleccin o conjunto de valores asignados a las medidas o indicadores, medida; variable
compuesta de valores, indicador; medida o variables utilizada en la evaluacin o estimacin de un
atributo o propiedad de un objeto.
53
25. Criterios de decisin: Factores como umbrales, objetivos o patrones que se utilizan para determinar
si se deben tomar medidas o si se debe realizar ms investigacin antes de tomar una decisin.
26. Medida derivada: Funcin de dos o ms valores de medidas bases.
27. Informacin documentada: Informacin que debe ser controlada y mantenida y adems puede
venir de cualquier fuente.
28. Eficacia: Grado en que se logra un efecto previsto.
29. Eficiencia: Relacin entre resultados obtenidos (outputs o salidas) y recursos utilizados (inputs o
entrada).
30. Evento: Ocurrencia, varias o una sola, o tambin una no ocurrencia (cuando algo no ocurre y se
esperaba que pasara).
31. Gestin Ejecutiva: Personas responsables de la implementacin de las estrategias y polticas

necesarias para lograr un propsito en la organizacin.
32. Contexto externo: Factores y fuertes que existen ms all de sus propios lmites que influyen en la
forma que trata de alcanzar sus objetivos.
33. Gobierno de Seguridad de la Informacin: Sistema que utiliza para dirigir y controlar las actividades
de seguridad de la informacin de una organizacin.
34. Consejo de Administracin: Personas responsables para el rendimiento general y conformidad de

una organizacin:
35. Orientacin (Directrices): En el contexto de esta norma, las directrices son los pasos que toman
para alcanzar los objetivos y aplicar polticas.
36. Indicador: Medida o variables utilizadas para evaluar o estimar un atributo o propiedad de un
objeto.
54
37. Necesidad de informacin: Idea de que es necesaria o requerida la informacin, con el fin resolver
problemas para gestionar riesgos, y tambin lograr las metas y objetivos.
38. Facilidades de Procesamiento de Informacin: Cualquier sistema, servicio o infraestructura o en

cualquier ubicacin fsica que alberga estos 3.
39. Seguridad de la informacin: Proteger, preservar la confidencialidad, integridad y disponibilidad de

la informacin.
40. Seguridad de la Informacin continua: Conjunto integrado de polticas, procedimientos y procesos

que se utilizan para asegurar que un predefinido nivel de seguridad contina durante un desastre
o una crisis.
41. Seguridad de la Informacin de eventos: Sistema, servicio o estado de la red, condicin o suceso
que indica que seguridad de la informacin pudo haberse visto violada o comprometida o que una
poltica de seguridad puede haber fallado.
42. Incidentes de seguridad de Informacin: Compone uno o ms eventos deseados o inesperados que
podra poner en peligro la seguridad de la informacin y/o debilitar, adems de afectar las
operaciones comerciales.
43. Gestin de Incidentes de seguridad de la Informacin: Procesos que las organizaciones utilizan para
hacer frente a los incidentes de seguridad de informacin.
44. Sistema de gestin de seguridad de la informacin: Incluye todas las polticas, procedimientos,
documentos, registros, planes, directrices, acuerdos, contratos, procesos, prcticas, mtodos,
actividades, roles, responsabilidades, relaciones, herramientas, tcnicas, tecnologas, recursos y las
estructuras que las organizaciones utilizan para proteger y preservar la informacin, para gestionar
y controlar los riesgos de seguridad de la informacin, para lograr los objetivos de negocio
45. El intercambio de informacin de la comunidad: Grupo de personas o de organizaciones que estn

de acuerdo para compartir informacin.
46. Sistema de Informacin: Conjunto de componentes que se utilizan para manejar la informacin.
47. Integridad: Proteger con exactitud la informacin.

55
48. Contexto interno: Factores y fuerzas dentro de sus lmites que influyen en la forma en que trata de
alcanzar sus objetivos.
49. Proyecto ISMS: Trabajo que hacen las organizaciones para implementar SGSI.
50. Nivel de Riesgo: Magnitud considerando consecuencias y probabilidades de un riesgo.
51. Riesgo: Probabilidad de que algo podra suceder.
52. Gestin: Actividades que se utilizan para coordinar, dirigir y el control de las organizaciones.
53. Sistema de gestin: Conjunto de elementos interrelacionados o que interactan, las organizaciones
la utilizan para establecer polticas, objetivos y todos los procesos necesarios para asegurar que las
polticas se siguen y los objetivos se cumplen.
54. Medida: Variables compuesta de valores.
55. Medicin: Proceso que se utiliza para determinar un valor, se utiliza para obtener informacin
acerca de la efectividad de una informacin de SGSI y que controles utiliza.
56. Funcin de medicin: Algoritmo o clculo que combina 2 o ms medidas de base (12).
57. Mtodo de medicin: Secuencia lgica de operaciones genricas que utiliza escalas de medicin
para cuantificar atributos.
58. Resultados de medicin: Necesidad de informacin, compone uno o ms indicadores junto con los
detalles que explican cmo estos indicadores se han de interpretar:
59. Revisin: Determinar el estado de una actividad, proceso o sistema, con el fin de determinar el
estado, es posible que se necesite supervisin y comprobacin contina observando crticamente
la actividad, proceso o sistema.
56
60. Disconformidad: Incumplimiento de un requisito.
61. No rechazo: Tcnicas y servicios utilizados para proporcionar de manera innegable sobre un
presunto caso que ocurri realmente o una supuesta accin. Garantiza que las personas no puedan
negar posteriormente algn evento ocurrido o accin llevada a cabo por una entidad.
62. Riesgo: Efecto de la incertidumbre de los objetivos segn la norma ISO 31000.
63. Admisin de Riesgos: La organizacin o entidad aceptar la tolerancia o convivencia con un riesgo
en particular y est dispuesto a que ocurra. Debe ser constantemente monitoreado y
peridicamente revisado,
64. Anlisis de Riesgo: Proceso utilizado para comprender la naturaleza, fuentes, y causas de los riesgos
que se han identificado para estimar el nivel de riesgo.
65. Medicin de Riesgo: Se compone de 3 procesos; identificacin, anlisis, evaluacin. La primera

busca, reconoce y describe riesgos que puedan afectar a los objetivos esperados, la segunda est
descrita en el punto anterior Anlisis de riesgos(64), y la ltima comparar los anlisis buscando
resultados con los criterios de riesgos con el fin de aceptar si es aceptable o tolerable.
66. Comunicacin de riesgos: Dialogo entre una organizacin y sus partes interesadas, son referidas
sobre la existencia de riesgos, naturaleza, forma, probabilidad, e importancia
67. Criterios de Riesgo: Trminos de referencia utilizados para evaluar la importancia y significado de
los riesgos de una organizacin.
68. Evaluacin del riesgo: Proceso encargado de comprar los resultados de anlisis de riesgos (64) con
los criterios de riesgo (67) con el fin de determinar si es un riesgo realmente o no.
69. Identificacin de Riesgos: Proceso que consiste en encontrar, reconocer y describir los riesgos que
podran afectar la consecucin de un objetivo de la organizacin.
57
70. Gestin de Riesgos: Conjunto coordinado de actividades, mtodos y tcnicas que utilizan las
organizaciones para hacer frente al riesgo e incertidumbre que influye en lo bien que logra sus
objetivos la organizacin.
71. Proceso de Gestin de Riesgos: Gestin de polticas, procedimientos y prcticas para establecer el
contexto para comunicarse, y consultar las partes interesadas con el motivo de identificar, analizar,
evaluar, tratar, monitorear y revisar los riesgos.
72. Dueo del Riesgo: Personas o entidad que se la ha dado autoridad para gestionar un riesgo en
particular y es responsable por ello.
73. Tratamiento del Riesgo: Procesos de modificacin encargado de la seleccin y aplicacin de una o
ms opciones de tratamiento, si se ha aplicado, se convierte en un control de riesgo o modifica un
control ya existente.
74. Escala: Conjunto ordenado de valores, que se pueden distinguir uno de otros sobre la base de cmo
los valores en la misma escala estn relacionados entre s, hay 4 tipos; nominal, ordinal, intervalo,
y proporcin. La primera es basada en categoras (ejemplo: mujeres vs hombres), la segunda en
valores (ejemplo: 1, 2, 3, 4), la tercera en cantidades (ejemplo: fechas y temperaturas) y la ltima
especifica la cantidad o el nmero (ejemplo: duracin y longitud).
75. Estndar de Seguridad de Aplicacin: Documento que describe formas oficialmente o formalmente
autorizadas en el que la seguridad se pueda lograr o alcanzar.
76. Partes Interesadas: Persona u organizacin que puede afectar o ser afectado por una decisin o
una actividad.
77. Terceros: Cualquier persona u rgano que se reconoce como independiente de las personas
directamente involucradas en un problema.
78. Amenaza: Evento potencial que puede convertirse en un verdadero evento provocando un
incidente no deseado.
79. Alta Direccin: Gente en la parte superior de una organizacin dispuesta a proporcionar recursos,
coordinar, dirigir, organizar, y controlar.
58
80. Entidad de Comunicacin de informacin de confianza: Organizacin autnoma que apoya el

intercambio de informacin entre miembros de una comunidad.
81. Unidad de medida: Cantidad o magnitud particular que se utiliza para la comparacin de las
mediciones de la misma clase.
82. Validacin: Proceso que utiliza pruebas objetivas para confirmar que los requisitos han sido
definidos con un uso previsto o aplicacin conocida.
83. Verificacin: Proceso que utiliza pruebas objetivas para confirmar que realmente se han cumplido
los requisitos esperados.
84. Vulnerabilidad: Debilidad de un activo o control que potencialmente podra ser explotado por una
o ms amenazas (78).
59
Normas ISO 27000, sobre prcticas recomendadas en Seguridad de la informacin.
El siguiente cuadro, muestra las Normas ISO 27000 dedicadas a la Seguridad de la informacin,
demostrando su descripcin y uso en las organizaciones y utilizando otras normas y estndares cuyos
propsitos se basan en la orientacin de la seguridad informtica.
Cabe destacar que el activo ms preciado en una organizacin es su informacin, quienes la
manejan es una tarea clave para el xito y desarrollo de los objetivos y metas propuestas con el fin de
alcanzar las expectativas previstas por cada entidad o personas que pertenecen a la organizacin.
23
23
Normas ISO 27000 Sobre Gestin de Seguridad de la informacin, Figura [En lnea], Recuperado de:
http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_gestin_de_seguridad_de_la_infor
macin.html
60

Iso 27000

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27000

Cargado por

Copyright:

Formatos disponibles

INFORMATICA Y

NORMA ISO 27000

CARRERA: Ingeniera Informtica

Seguridad de la Informacin ........................................................................................................... 7

Familia ISO/IEC 27000 ..................................................................................................................... 9

ISO/IEC 27002 ................................................................................................................................ 15

ISO/IEC 27002:2005 ....................................................................................................................... 17

ISO/IEC 27003 ................................................................................................................................ 18

ISO/IEC 27004 ................................................................................................................................ 25

ISO/IEC 27005 ................................................................................................................................ 33

ISO/IEC 27006:2007 ....................................................................................................................... 35

ISO/IEC 27007 ................................................................................................................................ 37

ISO/IEC 27799:2008 ....................................................................................................................... 40

ISO/IEC 27035:2011 ....................................................................................................................... 42

ISO/IEC 27002:2013 ....................................................................................................................... 45

ISO/IEC 27000:2014 ....................................................................................................................... 49

Conclusin por Javier Navarro.......................................................................... Error! Marcador no definido.

Es importante tener en cuenta que cada informacin que se maneja en la organizacin,

ISO: International Organization for Standardization.

La norma 27000 es un conjunto de estndares desarrollados o en fase de

Este es modelo cclico desarrollado en el ao 1920

Check (Verificacin): Medicin y ejecucin del piloto implementado ya en la fase anterior,

METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN Y GESTIN DE RIESGOS PARA LA

1.3 Familia ISO/IEC 27000

Kosutic, D. (2012).Encuesta ISO sobre certificaciones. [Figura]. Recuperado de

Procedimiento para el control de la documentacin: Definir quin es el responsable de aprobar y

Procedimiento para auditoras internas: Definir las responsabilidades sobre planificacin de

Procedimiento para medidas preventivas: Similar al punto anterior, teniendo su diferencia en el

12) Realizar todas las operaciones diarias establecidas en la documentacin de su SGSI:

ISO 27001 requiere que se confeccione la siguiente documentacin:

Alcance del SGSI.

Objetivos y poltica de seguridad de la informacin.

Metodologa de evaluacin y tratamiento de riesgos.

Plan de tratamiento de riesgos.

Informe de evaluacin de riesgos.

Definicin de roles y responsabilidades de seguridad.

Uso aceptable de los activos.

Poltica de control de acceso.

Procedimientos operativos para gestin de TI.

Principios de ingeniera para sistema seguro.

Poltica de seguridad para proveedores.

Procedimiento para gestin de incidentes.

Procedimientos para continuidad del negocio.

Requisitos legales, normativos y contractuales.

Registros de capacitacin, habilidades, experiencia y calificaciones

Monitoreo y resultados de medicin

Programa de auditora interna

Resultados de auditoras internas

Resultados de la revisin por parte de la direccin

Resultados de medidas correctivas

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad.

Cumplir con los requisitos y documentos descritos.

1.5 ISO/IEC 27002

1. Exige la realizacin de una evaluacin

1. No distingue entre los controles que

de riesgos sobre cada control para

son aplicables a una organizacin

identificar si es necesario disminuir los

determinada y los que no lo son.

riesgos y, en caso que sea necesario,

2. No es una norma de gestin.

2. Es una norma de gestin.