Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TELECOMUNICACIONES
INFORMATICA Y
TELECOMUNICACIONES
ndice
NORMA ISO 27000 .......................................................................................................................................... 1
ndice ............................................................................................................................................................... 2
Introduccin .................................................................................................................................................... 3
Abstract ........................................................................................................................................................... 4
Resumen Ejecutivo ......................................................................................................................................... 5
Glosario ........................................................................................................................................................... 6
ISO/IEC 27000 ................................................................................................................................................. 7
1.1
1.2
Qu es el Plan-Do-Check-Act? ....................................................................................................... 8
1.3
1.4
ISO/IEC27001 ................................................................................................................................. 10
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
1.14
1.15
Introduccin
En el siguiente documento se detalla especficamente la norma ISO / IEC 27000 - Seguridad de la
Informacin.
Cabe sealar que este informe ha sido creado con fines acadmicos para tener conocimiento sobre
las tcnicas, directrices, certificaciones y / o en otros asuntos relacionados con la seguridad, que sirven de
utilidad cuando se libera dentro de una organizacin brechas de seguridad que violan la informacin.
La norma ISO/IEC 27000 ha sido creada en un conjunto de otras normas ms pertenecientes a este
grupo, para facilitar la seguridad de la informacin.
Abstract
The following document will be detailed specifically ISO / IEC 27000 standard - Information Security.
It should be noted that this report has been created for academic purposes to have knowledge
about techniques, guidelines, certifications, and / or other issues related to security , that serve as useful
when released within an organization security breaches that violate information.
It is important to note that every information managed in the organization, regardless of category,
plays an important role as it highlights many of the possessions, resources used, and people who protect
it.
ISO / IEC 27000 standard has been created in a number of other rules more in this group, to
facilitate information security.
Resumen Ejecutivo
La Familia de Normas ISO 27000 permite el buen uso de sistemas de gestin, respaldando y
resguardando la seguridad de la informacin de cada organizacin, para ello se describir en los siguientes
captulos
algunas
normas
y/o
guas
referentes
a
este
tema.
Estas normas han sido creadas con el propsito de entender y hacer uso de la seguridad de
informacin, describiendo sus pasos, usos, procedimientos, basados en planes de actuacin de manera
interna y externa.
La seguridad de la informacin es un tema que no se puede dejar pasar por alto o ignorarlo, ya que
la informacin se entiende en informtica un conjunto de datos procesados que constituyen salidas
referentes al estado de la organizacin cul sea quien la tenga en poder, adems detallando a los
interesados que la manejan.
La solucin a este problema de seguridad de informacin, es la creacin de las normas ISO/IEC
27000 para as evitar inconvenientes o no conformidades, ya que han existido noticias referentes a
informacin las cuales dejan en conocimiento las vulnerabilidades de cada organizacin.
Muchos sabemos que hay grupos de gente preocupados de daar alguna entidad u organizacin
destruyendo o robando informacin til, es por eso que ISO/IEC 27000 nos abre las puertas a cmo
podemos enfrentar estos problemas que generan grandes prdidas a muchas organizaciones a niveles tanto
econmicos como propiedad intelectual, entre otros del mismo nivel de importancia.
Glosario
ISO/IEC 27000
1.1 Seguridad de la Informacin
La ISO 27000 proviene de la norma BS 7799 de BSI (equivalente a AENOR en Espaa), creada en 1995 con
el propsito de ayudar a cualquier empresa con buenas prcticas, a la gestin de la seguridad de la
informacin, siendo publicada oficialmente el 1 de mayo del 2009 por la IEC, con el fin de proporcionar una
visin general de las normas que componen la serie 27000, adems de incluir una introduccin a los SGSI,
as como tambin una breve descripcin del proceso Plan-Do-Check-Act y los trminos y definiciones que
se emplean en todas las series.
Cabe destacar que esta norma tuvo una segunda modificacin denominndose ISO/IEC 27000:2012 y una
tercera denominada ISO/IEC 27000:2014. En esta ltima edicin, no se explica el Plan-Do-Check-Act,
evitando as, la creacin de un marco referencial para la mejora continua.
ISMS
Valoracin de Riesgo.
Controles
Hay versiones traducidas al espaol, poniendo en detalle y atencin en la versin descargada que se quiera
implementar, el texto original est en ingls, con una versin en francs del ao 2014 que se puede
descargar en el siguiente enlace: standards.iso.org/ittf/PubliclyAvailableStandards.
1.2 Qu es el Plan-Do-Check-Act?
1
Plan: Identificar cual es el problema, se puede utilizar herramientas como diagramas de causa y
efecto ayudando a la identificacin del problema raz, adems sirven como insumo diseando un
mapa de proceso con el fin de solucionar el problema.
Hacer: Ac estn las posibles soluciones al problema y previo a eso, realizar un anlisis de estas
soluciones para seleccionar aquella que ms se adapte a las necesidades y recursos de la
organizacin, finalizando con un desarrollo de programas piloto para implementar la solucin ya
seleccionada. Cabe recordar que en esta fase solo hay un intento o prueba de lo propuesto.
Act (actuar): Posterior a la implementacin completa del proceso que se llevar a cabo, es necesario
recordar que es un modelo cclico por lo tanto es importante volver a la primera fase y continuar
con las fases posteriores al modelo (Planificacin, ejecucin y validacin).
Snchez C, Luis Enrique, Familia ISO 27000 [2011], Mtricas de seguridad en los SGSI, para conocer el nivel de
seguridad de los SSOO de los SGBD
1.4 ISO/IEC27001
Sistema de gestin de seguridad de la informacin
Esta norma fue aprobada y publicada en el ao 2005 por la International Organization for Standardization
y por la International Electrotechnical Commission, quienes
especifican los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestin de la seguridad de la
informacin, para as minimizar los riesgos en la informacin al
asegurar que se identifican y valoran los activos y sus riesgos,
considerando el impacto para la organizacin, y adems se adoptan
los controles y procedimientos ms eficaces y coherentes con la estrategia de negocio.
Cabe destacar que esta norma tuvo una revisin en el ao 2013, por lo que su nombre completo
actualmente es ISO/IEC 27001:2013.
Los requerimientos establecidos en este estndar internacional son genricos y estn diseados para ser
aplicados a todo tipo de organizaciones, sin importar el tipo, tamao y naturaleza.
En el siguiente grfico se puede observar el incremento de certificaciones que se han ido adquiriendo por
las empresas desde el ao 2007 al 2012, debido a que esta es la principal norma de seguridad en la
informacin en el mundo.
3
10
Para adquirir esta norma ISO se debe cumplir con los siguientes requisitos:
1) Obtener el apoyo de la direccin: El principal motivo del fracaso de los proyectos para la implementacin
de esta ISO, es que la direccin, no destina los suficientes recursos humanos para que trabajen en el
proyecto
ni
el
dinero
suficiente
para
sustentarlo.
2) Utilizar una metodologa para gestin de proyectos: Se debe tomar como un proyecto para que se pueda
implementar, ya que tiene una alta demanda de actividades a realizar, por lo tanto, a las personas les
puede tomar meses o ms de un ao, si no define bien qu es lo que har, con quien y en qu momento.
Esto dar como resultado que nunca se finalice la actividad encomendada a la persona.
3) Definir el alcance del SGSI: Cuando hay una organizacin, hay sentido la implementacin de esta norma,
para
as
reducir
los
riesgos
del
proyecto.
4) Redactar una poltica de alto nivel sobre seguridad de la informacin: Este documento es importante,
ya que no debe ser muy detallado, pero a su vez, definir temas bsicos sobre la seguridad de la informacin
para cualquier organizacin. El objetivo es que la direccin de la empresa pueda definir qu es lo que desea
lograr, y cmo mantener el control.
5) Definir la metodologa de evaluacin de riesgos: Es la tarea ms compleja, su objetivo a cumplir es
la definicin de las reglas para poder identificar: activos, vulnerabilidades, amenazas, consecuencias y
probabilidades. Adems, definir el nivel aceptable de riesgo, si no se definen de manera clara, la
organizacin puede encontrarse en una situacin con la que le puede generar resultados inservibles.
6) Realizar la evaluacin y el tratamiento de riesgos: Se debe coordinar con mucho cuidado por la
cantidad de tiempo que demanda la implementacin del paso anterior, por lo tanto, es necesario
generar una visin integral de los peligros sobre la informacin de la organizacin.
Su objetivo consiste en reducir los riesgos no aceptables, por lo tanto, se debe redactar un informe
sobre la evaluacin de riesgos, que a su vez, documente los pasos tomados durante este proceso. Se
debe conseguir la aprobacin de los riesgos residuales, estos pueden ser de 2 maneras: Documento
separado,
o
como
parte
de
la
Declaracin
de
aplicabilidad.
7) Redactar la Declaracin de aplicabilidad: Finalizando el tratamiento de riesgos, se puede saber
exactamente qu controles de anexo se necesita (con un total de 133, pero probablemente no se
ocupen
todos).
El objetivo general es enumerar todos los controles, diferenciando los aplicables de los que no lo
son,
describiendo
su
implementacin.
Este documento es el ms apropiado para obtener la autorizacin de la direccin con el fin de
implementar
el
SGSI.
8) Redactar el Plan de tratamiento de riesgos: El objetivo del Plan de tratamiento del riesgo es definir
claramente cmo se implementan los controles de la Dda (Declaracin de aplicabilidad, punto 6), quin
lo
har,
cuando
y
con
qu
presupuesto.
Este documento es un plan de implementacin en el cual si no existe, no hay poder de coordinacin de
los pasos que siguen para poder continuar con la realizacin del proyecto.
9) Definir la forma de medir la efectividad de sus controles y de su SGSI: Si no se puede medir lo que
se ha hecho, no hay manera de estar seguro de cmo se ha conseguido el objetivo, por lo tanto, hay
11
que asegurar de qu manera se medir el logro de los objetivos que se han establecido tanto para el
SGSI
como
para
control
del
documento
de
aplicabilidad.
10) Implementar todos los controles y procedimientos necesarios: Se debe implementar los
procedimientos obligatorios, cuales son los siguientes:
Procedimiento para medidas correctivas: Definir como identificar incumplimientos y sus causas,
las acciones necesarias, registros documentados, y revisin de las medidas. Su objetivo es
eliminar la causa del incumplimiento para que no se repita.
11) Implementar programas de capacitacin y concienciacin: Se debe explicar a los empleados, porque
son necesarios y a la vez, capacitarlos para que puedan actuar frente a esta implementacin, es por esto
que se necesitan hacer estos 2 pasos, para que no haya un fracaso en la implementacin de la ISO 27001
medicin.
Se debe verificar si los resultados que se obtienen se cumplen con lo establecido en los objetivos,
si no hay cumplimiento, hay evidencia de un mal proceso, por lo tanto se necesita la aplicacin de medidas
correctivas y/o preventivas.
14) Realizar la auditora interna: Es necesario ya que las personas no son conscientes de que hacen mal,
aunque haya casos en que si lo saben pero no quieren que sean descubiertos, por esto, es necesario
12
detectar
los
problemas
y/o
potenciales
que
pueden
daar
la
organizacin.
La solucin ptima no son las medidas disciplinarias, sino, la aplicacin de medidas correctivas y/o
preventivas.
15) Realizar la revisin por parte de la direccin: La direccin debe saber de manera crtica que est
sucediendo con el SGSI, es decir, si todos ejecutaron las tareas correspondientes, si hay resultados
deseados, entonces bajo a estos aspectos, la direccin debe tomar decisiones importantes sobre las
actividades
del
SGSI.
16) Implementar medidas correctivas: El objetivo principal del SGSI es garantizar que todo lo malo, sea
corregido,
posiblemente,
evitado.
Por lo tanto, la norma ISO 27001 requiere de las medidas correctivas y preventivas, sean aplicadas
de manera sistemtica, o mejor dicho, identificar la raz de una no conformidad, dando paso a la solucin y
control del inconveniente.
Documentacin obligatoria
Declaracin de aplicabilidad.
Inventario de activos.
Las ventajas que podr adquirir la empresa con esta norma son:
1. Cumplir con los requerimientos legales
2. Obtener una ventaja comercial
3. Menores costos
4. Una mejor organizacin
Para adquirir la certificacin primero se debe tener claro si la obtendr como organizacin o como persona,
es por ello que se debe realizar lo siguiente:
Como organizacin:
Aprobar una auditora que consta en la revisin de los documentos y la auditora in situ para
comprobar si todas las actividades de la empresa cumplen con ISO 27001 y con la documentacin
del SGSI.
Despus de que se emiti el certificado, y durante su vigencia de 3 aos, los auditores realizarn
un seguimiento para verificar si se mantiene la SGSI.
Como persona:
Asistir a diversos cursos para obtener certificados, tales como: Curso de Auditor Lder en ISO
27001,curso de Implementador Principal de ISO 27001 y un curso de auditor interno en ISO 27001.
14
La ISO/IEC 27002 es la que proporciona directrices para los controles indicados en la ISO 27001. Esta no es
una norma de gestin, por ende, no se obtiene certificacin, sino ms bien define cmo ejecutar un sistema.
ISO 27001
ISO 27002
La norma BS 7799 y la norma ISO/IEC 17799, puede ser utilizada por cualquier tipo de organizacin o
compaa, privada o pblica.
Tiene por objetivo proporcionar una base comn para la elaboracin de las normas de seguridad
de las organizaciones, un mtodo de gestin eficaz de la seguridad y establecer informes de confianza en
las transacciones y las relaciones entre empresas.
15
Norma BS 7799
ISO/IEC 17799
2. Especificaciones relativas a
la gestin de la seguridad de la
informacin.
2. Cdigo de buenas
prcticas relativo a la gestin de la
seguridad de la informacin.
La norma BS 7799 se origina en Inglaterra a mediados del ao 1995, promulgada por BSI, detallado en el
primer captulo de este informe. El objetivo principal de esta norma es brindar las buenas prcticas para la
GSI.
La norma ISO/IEC 17799 (o tambin ISO 27002), fue publicada por primera vez como ISO/IEC 17799:2000
por la ISO y la CE el ao 2000 con el ttulo de:
modificacin
como
ISO/IEC
17799:2005.
Hay que recordar que el origen de esta norma ISO tiene su origen con la norma BS 7799-1, que corresponde
a la primera versin derivada de la primera norma descrita en el primer prrafo.
Titulo original:Information technology - Security techniques - Code of practice for information security
management.
16
Los objetivos de control y controles de esta norma, deben ejecutarse para satisfacer los requisitos que
fueron identificados en la evaluacin del riesgo. Esta norma est destinada a ser una base comn y gua
prctica para el desarrollo de medidas de seguridad.
Actualmente esta norma se encuentra obsoleta y fue reemplazada por la norma ISO/IEC 27002:2013
17
Esta norma fue publicada en el ao 2010, la cual establece una gua con la finalidad de implantar un Sistema
de Gestin de Seguridad de la Informacin, cuyo objetivo es proporcionar orientacin prctica en el
desarrollo del plan de implementacin del SGSI.
18
4. Realizar una evaluacin del riesgo y planificar el tratamiento del riesgo: En esta fase se define la
metodologa de evaluacin del riesgo, se identifican, analizan y evalan los riesgos de seguridad de
informacin para seleccionar las opciones de tratamiento del riesgo y seleccionar los objetivos de
control y los controles.
5. Disear el SGSI: En esta fase se completa el plan final de implementacin del SGSI a travs del
diseo de seguridad de la organizacin basado en las opciones seleccionadas para el tratamiento
del riesgo, as como tambin los requisitos relativos a registro y documentacin, adems del diseo
de los controles que integran las disposiciones de seguridad en los procesos de TIC, fsicos y
organizacionales y del diseo de los requisitos especficos del SGSI.
El siguiente esquema hace un resumen de las 5 fases ya mencionadas, y una breve descripcin de lo que se
hace en cada una de ellas.
6
19
FASE DE
IMPLEMENTACIN
ISO/IEC 27003
Obtener la aprobacin
de la direccin para la
implementacin de un
SGSI
NRO. DE
PASO
PASO PREREQUISITO
DOCUMENTO DE SALIDA
Ninguno
Ninguno
Descripcin de sistemas de
gestin existentes
1,2
Ninguno
3,4
Definicin de roles y
responsabilidades del SGSI (5.3.2)
Descripcin de lmites
organizacionales
Definir alcance y
poltica de un SGSI
Funciones y estructura de la
organizacin
Intercambio de informacin a
travs de lmites
Procesos de negocio y
responsabilidad sobre los activos
de informacin dentro y fuera del
alcance
Descripcin de sistemas de
informacin y redes de
telecomunicacin describiendo lo
20
10
Descripcin de la organizacin y
sus caractersticas geogrficas
describiendo alcance interno y
externo
Realizar un anlisis de
la organizacin
11
8,9,10
Un documento describiendo el
alcance y los lmites del SGSI
12
11
13
12
Requerimientos de la
organizacin referentes a
confidencialidad, disponibilidad e
integridad
Requerimientos de la
organizacin relacionados a
requisitos legales y
reglamentarios, contractuales y
de seguridad de informacin del
negocio
Lista de vulnerabilidades
conocidas de la organizacin
14
13
Identificacin de activos de
informacin de los principales
procesos de la organizacin
Clasificacin de proceso/activos
crticos
15
21
14
Realizar una
evaluacin del riesgo y
Seleccionar Opciones
de Tratamiento del
Riesgo
16
15
17
16
Resultados totales de la
evaluacin de riesgos
18
17
Disear el SGSI
19
18
Aprobacin de la direccin
documentada del riesgo residual
propuesto (debera ser la salida
de 8.4)
20
19
Autorizacin de la direccin
documentada para implementar y
operar SGSI (debera ser la salida
de 8.4)
21
18
Declaracin de aplicabilidad
22
20
Estructura de la organizacin y
sus roles y responsabilidades
relacionados con la seguridad de
la informacin
22
Identificacin de
documentacin relacionada al
SGSI
Documento de poltica de
seguridad de informacin
23
20, 21
24
22,23
Procedimientos describiendo el
reporte y los procesos de revisin
por la direccin.
25
26
Programa de entrenamiento y
concientizacin
27
25
28
28
Plan de proyecto de
implementacin aprobado por la
direccin para los procesos de
implementacin
Plan de proyecto de
implementacin del SGSI
especfico de la organizacin
cubriendo el plan de ejecucin de
las actividades para seguridad de
la informacin organizacional,
fsica y de las TIC, as como
tambin los Requerimientos
especficos para implementar un
SGSI de acuerdo al resultado de
las actividades incluidas en
ISO/IEC 27003
23
Ac se ha mostrado cada uno de los pasos a considerar para la implementacin de la SGSI en base a las
fases descritas en el punto 2. Su propsito es:
Proveer una lista de verificacin de actividades requeridas para establecer e implementar un SGSI.
Apoyar el seguimiento del progreso de la implementacin de un SGSI.
Relacionar las actividades de implementacin de un SGSI con sus respectivos requisitos en NTPISO/IEC 27001.7
Snchez C, Luis Enrique, Mtricas de Seguridad los SGSI, para conocer el nivel de seguridad de los SSOO de los
SGBD, CIBSI [2011] Figura [En Lnea] Rescatado de http://www.criptored.upm.es
25
Se deben seguir las fases del modelo PDCA, haciendo coincidir la implementacin de las fases seguidas en
la ISO 27001.
Hay que destacar que desde el principio de este ciclo, hay que considerar la escalabilidad de las mtricas
ya que conforme se van agrupando, se deber proporcionar menos informacin de detalle aportando de
ms alto nivel para la toma de decisiones.
Para desarrollar este modelo es necesario definir los atributos considerados relevantes para medir lo que
es necesario.
Objetivos: Basados en una regla numrica, que puede ser aplicada por humanos o recursos
automatizados.
Por lo tanto, se pueden utilizar tambin las siguientes actividades, como ejemplo tenemos:
Encuestas, Observaciones, Cuestionarios, Valoracin de conocimientos, Inspecciones, Re-ejecuciones,
Consulta al Sistema, Testing o monitorizacin (fase check del modelo PDCA).
Gobierno Corporativo.
Certificacin de un SGSI.
Mejora de procesos.
De modo que, hay que tener en cuenta los pasos a seguir para la organizacin y operacin para un programa
de mediciones corresponden a:
27
Definicin de procesos.
Revisin de mediciones.
Se debe revisar en pasos posteriores y continuos, verificando que el SGSI de la misma informacin vlida,
que las fuentes y otros atributos an son correctos, y los beneficios son positivos, sino, las mediciones
pueden ser mantenidas, eliminadas, sustituidas y/o modificadas.
Esta fase establece el enlace entre las mediciones que son adecuadas para cubrir la organizacin en un
momento dado. Los resultados de las mediciones deben estar ya revisados y aprobados, as, se decidir
cules sern los recursos que se asignan para la implementacin de las mediciones.
La direccin debe acordar el conjunto de mediciones ya planificadas para hacer las tareas con los recursos
e infraestructura correspondiente.
28
Estas mediciones deben ser evaluadas, detectadas y ajustadas a las necesidades del SGSI, asegurando la
evolucin de este, cubriendo objetivos de seguridad.
Hay condiciones iniciales para la identificacin frecuencial de las fases, revisiones y establecimiento de
mecanismos haciendo posible la activacin o lanzamiento automtico de las fases de revisin, cuales son
2:
Las mediciones deben ser revisadas, cuando ocurran cambios en la organizacin, as podemos asegurar que
dada las mediciones realizadas, reflejan el estado actual de seguridad, por lo tanto, los datos deben seguir
siendo vlidos.
Estas revisiones deben realizarse igual a intervalos planeados, verificando si an se siguen ejecutando igual
en el momento que se dise, adems de incluir una evaluacin externa, que permite una visin
independiente del programa.
Las mediciones son correctamente revisadas al ocurrir cambios en los objetivos de negocio
Las mediciones no se suelen emplear, son quitadas e ingresan nuevas mediciones necesarias
Los recursos que soportan estas mediciones son los adecuados
Las decisiones sern documentadas para permitir futuras comparaciones, o analizar tendencias.
Los resultados deben ser difundidos a todo el personal interesado es decir: Directivos, gerentes,
tcnicos y personal relacionado a la seguridad de la informacin.
El formato debe ser acorde a las necesidades de cada grupo o perfil que va dirigido e informar los
aspectos que se necesitan, detallando el grado de acuerdo a su funcin o rol en la organizacin.
Es importante que los reportes que se hagan faciliten la realimentacin de la informacin, basada
en lo que puedan aportar los consumidores de esta, generar adems los mecanismos necesarios para
analizar e implementar este ciclo de retorno.
29
La Direccin
Encargada de establecer y mantener acuerdos en sus mediciones, adems se debe recordar, que la
implementacin debe ser acorde a los estndares internacionales, teniendo en cuenta la aceptacin de
los requerimientos de mediciones.
Para proveer la evidencia de estos acuerdos, la direccin debe demostrar adems la
implementacin, operacin, revisin, monitorizacin, mantenimiento y mejora de todo el programa de
mediciones de la siguiente manera:
Propietario de la medicin.
Persona o unidad responsable de la evaluacin del programa de mediciones, para asegurar que
se corresponde con los controles de seguridad.
Previo a esto, la direccin debe tener en cuenta que es necesario establecer autorizaciones, certificaciones
y/o acreditaciones al personal, as llevando a cabo las tareas y criterios para la formacin de los mismos
(refirindose a las mediciones).
Finalmente, debe asegurar que todo el personal sea consciente de lo relevante e importante de
que es el programa de mediciones y como c/u de ellos puede contribuir a la mejora de los objetivos del
SGSI.9
Corletti Estrada Alejandro, Funcionamiento e implementacin de norma ISO/IEC 27004, Monografas [2007] Figura
[3] Rescatado de http://www.monografias.com
31
10
10
Corletti Estrada Alejandro, Funcionamiento e implementacin de norma ISO/IEC 27004 junto a norma ISO27001,
Monografas [2007] Figura [En Lnea] Rescatado de http://www.monografias.com
32
La norma BS 7799-3:2006 est bajo el estndar Britnico de la BSI la cual se public con el
nombre de Sistemas de gestin de seguridad de la informacin, Normas para la gestin del riesgo
de la seguridad de la informacin.
Esta norma tiene por objetivo identificar, tratar, evaluar y gestionar los riesgos en la
seguridad de la informacin los cuales son procesos claves si se desea garantizar la seguridad en
los procesos de negocio.
Esta norma cubre los aspectos tales como:
La ISO/IEC 27005 fue publicada en junio de 2008 por primera vez, actualmente se realiz
una nueva versin mejorada en el ao 2011, se basa en gran parte a la ISO 13335, de igual forma
ha tomado diversos temas relacionados con el ciclo de vida de la gestin de riesgos conforme a la
norma britnica BS 7799-3.
Esta norma contiene recomendaciones generales para la gestin de riesgos en sistemas de
seguridad de la informacin y est diseada como ayuda cuando se requiera aplicar
satisfactoriamente un SGSI basado en un enfoque de gestin de riesgos. Puede ser aplicada a
cualquier tipo de organizacin que desean gestionar los riesgos que puedan complicar la seguridad
de su informacin, no recomiendan una metodologa concreta y depender del alcance que tenga
el SGSI o donde se posiciona la organizacin. En Chile esta norma tiene la nomenclatura NChISO27005 y en noviembre de 2009 la declaran norma oficial de la republica aprobada por el
Instituto Nacional de Normalizacin.
Esta gua promueve el clculo de riesgos por el mtodo de las frecuencias con que ocurren
e impactos, de igual forma habla de activos, amenazas y vulnerabilidades, incluyendo anexos con
listados y tablas al efecto.
Prembulo
Introduccin
Referencias normativas
Trminos y definiciones
Breve descripcin de los trminos ms usados en la norma
Estructura del estndar
Descripcin de la estructura de la norma
Fundamentos del proceso de gestin de riesgos (ISRM)
Indicaciones sobre como evaluar y tratar los riesgos de seguridad de la informacin
Establecimiento del contexto
Evaluacin de riesgos (ISRA)
Tratamientos de riesgos
Aceptacin del riesgo
Comunicacin del riesgo
Monitorizacin y revisin del riesgo
Anexo A: Definiendo el mbito del proceso
Anexo B: Valoracin de activos y evaluacin de impacto
Anexo C: Ejemplos de amenazas ms comunes
Anexo D: Vulnerabilidades y mtodos de evaluacin
Anexo E: Aproximacin a ISRA
34
Esta norma fue publicada en marzo de 2007 y especifica los requisitos necesarios para la
certificacin de SGSI la cual es utilizada con la norma 17021-1, la norma genrica de acreditacin. sta no
es un estndar de acreditacin por s misma, sino que ayuda a la interpretacin de los criterios de
acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin ISO/IEC 27001.
Esta norma, consta de las siguientes fases o captulos:
36
Esta norma fue publicada en noviembre del ao 2011, no certificable, cuyo fin es proporcionar una
gua para los organismos acreditados de certificacin, as como tambin a los auditores internos, auditores
externos de la organizacin y otros que auditan SGSI contra la norma ISO / IEC 27001.
Su objetivo es evaluar si la organizacin auditada est cumpliendo con las obligaciones establecidas
en la norma ISO / IEC 27001 en relacin con su SGSI.
Esta norma refleja gran parte de la norma ISO 1900111, su objetivo es aportar orientacin adicional al SGSI.
Tambin est basada en la norma ISO 1702112.Adems cubre los aspectos especficos de la auditora
de cumplimiento, tales como:
La gestin del programa de auditora ISMS, en la que se determina lo que se debe auditar, cundo
y cmo; la asignacin de los auditores apropiados, la gestin de riesgos de auditora, el
mantenimiento de registros de auditora; mejora continua del proceso.
La realizacin de una auditora ISMS MS, en la cual se debe realizar un proceso de auditora,
planificacin, la ejecucin, las actividades de auditora clave, incluyendo el trabajo de campo,
anlisis, informes y seguimientos
La gestin de los auditores ISMS: competencias, habilidades y atributos de evaluacin.
Corroborar la mitigacin realizada por los controles de seguridad de la informacin sobre los riesgos
de la organizacin.
Verificar que es correcta la relacin de los controles de seguridad con la contabilidad general o de
los sistemas y procesos de contratacin para que los auditores verifiquen los datos.
11
12
Evaluacin de la conformidad
37
Operaciones rutinarias del SGSI de una organizacin para garantizar la buena marcha de la
organizacin.
Auditar despus de producirse incidentes en la seguridad de la informacin como parte del anlisis.
Actualmente esta norma est en revisin, en la cual consiste citar versiones actuales de las normas de la
familia ISO 27000 ya actualizadas y la norma 1901113
Cabe destacar que esta norma debe evaluar si la organizacin auditada est cumpliendo con las
obligaciones establecidas en la norma ISO/IEC 27001 en relacin con el SGSI.
Para una organizacin esto es influenciado por las necesidades y objetivos, requerimientos de seguridad,
procesos, tamao y estructura de la organizacin.
Se espera que estos procesos y los sistemas de apoyo cambien con el transcurso del tiempo, por
eso se espera que la implementacin del SGSI cubra las necesidades de la organizacin.
Ejemplo: Una situacin simple requiere solamente una solucin a nivel SGSI simple.
Es necesario que la organizacin debe y adems, necesita identificar y manejar muchas actividades para
poder funcionar de manera efectiva, ya que cualquier actividad tiene una demanda de recursos y se
maneja para permitir que la transformacin de los insumos en outputs, puede ser considerada como un
proceso.
Segn el estndar ISO 27007, la implementacin del SGSI se basa por el ciclo de Deming14.
13
14
38
15
Empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro. Esta norma es
especfica en cuanto a los requerimientos para establecer, implementar, operar, monitorear, revisar
mantener y mejorar un SGSI en el contexto de los riesgos comerciales generales de la organizacin.
Se explica adems los requerimientos para la implementacin de controles de seguridad
personalizados de acuerdo a necesidades de organizaciones por s solas, o parte de ellas.
Cabe destacar que un SGSI se disea con el fin de asegurar la informacin, proporcionando
controles de seguridad que protejan estos activos y den confianza a las partes interesadas.
Referencias de normativa
Para establecer esta norma, se ha utilizado las ltimas referencias incluyendo algunas ya aplicadas:
ISO/IEC 19011: 2002 - Directrices para los sistemas de gestin de calidad y medio ambiente / o
auditora
ISO/IEC 27001:2005 - Tecnologa de la informacin - Tcnicas de seguridad - gestin de seguridad
de la informacin - Requisitos de los sistemas
ISO/IEC 27000:2009 - Tecnologa de la informacin - Tcnicas de seguridad - gestin de seguridad
de la informacin - Requisitos de los sistemas - Visin de conjunto y vocabulario.
15
Gonzalez, Maria Jesus - Funcionamiento SGSI en conjunto con el principio PDCA[2013] Figura [En Lnea] Rescatado
de:https://marishuyglez.wordpress.com/isoiec-27007/
39
Esta norma fue publicada en el ao 2008, la cual especifica un conjunto de controles detallados para la
gestin de seguridad de la informacin de salud y proporciona informacin sobre mejores prcticas de
seguridad.
Mediante la implementacin de esta norma internacional, las organizaciones sanitarias y otros custodios
de la informacin de salud, sern capaces de garantizar un nivel mnimo de seguridad, lo que permitir a
la organizacin mantener la confidencialidad, integridad y disponibilidad de la informacin mdica
personal.
Cabe destacar que la norma ISO 27799: 2008 es un complemento de la norma ISO / IEC 27002: 2005,
adems de contener la aplicacin de la norma ISO 27001.
40
Sobre cualquier medio es decir, escrito u impreso en papel o de manera electrnica, adems de cualquier
medio de transmisin, cules pueden ser:
Valijas o Mensajera.
Fax.
Redes informticas (sistemas interconectados como por ejemplo SOME en hospitales).
Correos electrnicos.
Mediante una gestin orientada a las necesidades del sector sanitario, hay un control sobre los
entornos especficos operativos sobre la seguridad de la informacin.
La proteccin y seguridad personal es importante para todos los entes u individuos adems de
empresas, instituciones y gobiernos, por esto existen requisitos especiales en el sector de la salud que
deben cumplirse para poder asegurar la confidencialidad, integridad, capacidad de auditora y
disponibilidad de la informacin mdica personal.
Alcance y propsito
16
Catstrofes naturales
Fallos de sistema
Ataques de denegacin de servicio
16
41
Planeacin y preparacin: Para gestionar los incidentes que ocurran a nivel de seguridad, es
necesario realizar una planeacin y preparacin para la respuesta a la materializacin de los
incidentes ocurridos.
Uso: Fase de implementacin del plan de gestin de los incidentes a nivel de seguridad, en este
proceso se detecta, reporta, analiza y clasifica y adems, comunicar los resultados de la
investigacin del incidente.
Revisin: En este paso, se puede validar ya el proceso en caso de que solo fuese necesario, as se
definen lo que se aprendi y base a esto, se pueden incorporar y/o implementar mecanismos de
mejora segn las vulnerabilidades ya detectadas.
Mejoras: En este ltimo punto, el proceso de gestin de incidentes demostr ser un proceso ya
iterativo, por lo tanto, debe haber una mejora constante, tanto en las normas como en la
implementacin.
En el ao 2011, este documento cambia de manera drstica, ya que pasa a ser una norma internacional,
perteneciendo a la familia de las normas ISO/IEC 27000, quedando con el nombre de ISO/IEC 27035:2011
Gestin de incidentes de seguridad de la informacin, definiendo as un enfoque ya estructurado y de
manera planificada destacando estos 4 puntos:
17
42
18
Esta norma adems especifica los lineamientos para tener una efectividad en la gestin de incidentes de
seguridad.
En un SGSI, la implementacin de las polticas y controles no garantizan la totalidad de la
proteccin de la informacin y de los sistemas que procesan.
Todas las piezas deben unirse sin ser forzadas. Debe recordar que los componentes que est re ensamblando fueron
desmontados por usted, por lo que si no puede unirlos debe existir una razn. Pero sobre todo, no use un martillo
Manual de mantenimiento de IBM, ao 1925
Posterior a esto hay un riesgo residual, por lo tanto se puede materializar por existencia de
vulnerabilidades aunque sean pequeas y tambin, los controles que se implementaron no son efectivos.
Cuando ocurre este tipo de inconvenientes, hay que implementar si o si un sistema de
administracin de aquellos incidentes de seguridad que puedan hacer realidad el riesgo residual.
Para ello se ha organizado en 5 fases determinadas por la ICONTEC19 el 2011
Fases
Estas fases son similares al reporte tcnico de ISO/IEC TR 18044:2004 :
18
43
Deteccin y reporte: Realiza la recoleccin asociada al incidente. Esta es la primera fase del
proceso operacional de la gestin.
Lecciones aprendidas: Se debe realizar una mejora del proceso o del SGSI, si se necesita, es
posible validar el proceso de gestin de incidentes para poder implementar una mejora, como
resultado generado sobre el incidente de seguridad.
44
20
Anexo A ISO27001:2013
45
Cabe recordar que la norma ISO/IEC 27002 extiende la informacin de anexos renovados dentro
de la ISO/IEC 27001:2013.
Estos anexos incluyen informacin relevante sobre lo que no debe olvidarse para gestionar la
seguridad de la informacin.
El hecho de conocer y entender las mejores prcticas existentes en el mercado da una ventaja
enorme adems de ayudar a entender en qu camino debera seguirse.
La nueva estructura del anexo A, agrega 3 dominios de control con los cuales incluye un total de
113 controles, 20 menos que en la versin anterior.
Los nuevos dominios que aparecen son:
46
Es importante que las empresas conozcan sobre este estndar, adems de poder utilizarlo como
gua, o empresas que estn organizadas revisen cambios para poder ajustar sus declaraciones de
aplicabilidad.
El Anexo A refleja los controles ya descritos en la norma ISO.IEC 27002, cabe destacar que las
empresas que quieran certificarse, no estn obligados ya a implementar todos los controles de este anexo,
por lo tanto, se convierte en una gua para as evitar la omisin de controles importantes, al momento en
que una organizacin implemente su SGSI, por lo tanto pasa a ser una mayor tolerancia en este mbito.
47
Se adopta en esta versin, el Anexo SL (anteriormente Gua ISO 83) dentro del SGSI. Este anexo
describe lineamientos para un sistema de gestin genrico, otorgando una ayuda importante a empresas
cuales deben certificar mltiples normas del SGSI.
como
Hay versiones especficas de la norma 27002, que son enfocadas a tipos diferentes de empresas
ejemplo:
manufactureras,
salud,
financiero,
entre
otras.
Varias normas ISO toman como referencia la norma mencionada, por lo tanto estn enfocadas en
la correcta gestin de la seguridad.
Cabe destacar que se debe recordar y tener en cuenta los cambios sobre los estndares, aunque
no influyan directamente sobre la efectividad en el mbito de la seguridad de la informacin, pueden
ayudar a incrementar la eficiencia.
48
Esta norma fue publicada en el ao 2014, cuyo objetivos es proporcionar una visin general de los
sistemas de seguridad de la informacin de gestin (ISMS), y los trminos y definiciones que se utilizan
comnmente en la familia de normas de SGSI, por lo que es aplicable a todos los tipos y tamaos de
organizacin, como por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin
fines de lucro, etc.
La ISO provee un modelo para seguir ajustando y operando los manejos del sistema, adems de
incorporar caractersticas con expertos en esta rea alcanzando un consenso y trayendo esta norma a nivel
internacional.
Estas normas estn destinadas a ayudar a todo tipo de organizaciones, tomando en cuenta el
tamao de un SGSI y cmo debe operar, se conforma de normas internacionales bajo la norma general con
el ttulo de Tecnologa de la informacin - Tcnicas de seguridad que se detallan a continuacin:
49
Propsitos
Definir requerimientos para un SGSI para aquellos que acrediten dichos sistemas.
Proveer soporte directo, detallando la orientacin y/o la interpretacin para el proceso general
para establecer, mantener y mejorar un SGSI.
Directrices especficas del sector de direccin para el SGSI
Directrices para la evaluacin de la conformidad.
Los trminos y definiciones provistas en esta norma internacional son:
No cubren todos los trminos y definiciones aplicadas dentro de la familia de normas de SGSI.
El Anexo A provee de manera clara cmo las formas verbales son usadas para expresar requerimientos y/o
directrices en la familia de normas de SGSI.
21
El ttulo general de "Tecnologa de la informacin - Tcnicas de seguridad" indica que estas normas son
preparadas por la Joint Technical Committee ISO/IEC JTC1, Information technology, Subcommittee SC 27, IT
Security techniques.
50
22
Alcance
Esta Norma Internacional proporciona una visin general de los sistemas de gestin de seguridad de la
informacin, y trminos y definiciones utilizados comnmente en la familia de normas de SGSI . Esta Norma
Internacional es aplicable a todos los tipos y tamaos de organizacin (empresas comerciales, agencias
gubernamentales, no para organizaciones de lucro).
22
51
Las siguientes definiciones se basan en la norma ISO IEC 27000: 2014, seccin 2 - Trminos y definiciones.
1. Control de Acceso: Autorizacin de acceso y restriccin de acceso, medidas para autorizar de forma
selectiva y restringir la entrada, contacto o uso de activos. Se establecen de acuerdo con los
requerimientos de negocio y seguridad
5. Ataque: Intento no autorizado de acceder, usar, modificar, exponer, robar, desactivar o destruir un
archivo.
6. Atributo: Rasgo distintivo, caracterstica o propiedad de un objeto que puede ser identificado o
aislado cuantitativamente o cualitativamente.
8. Alcance de Auditoria: Declaracin especfica del foco, extensin, y lmites de una auditora en
particular
9. Autenticacin: Confirmacin de una reivindicacin de caracterstica a una entidad que parece ser
cierto o hecho.
11. Disponibilidad: Propiedad o caracterstica definiendo si es accesible o utilizable cuando una entidad
exige el acceso.
52
12. Medida Base: Atributo o propiedad de una entidad y el mtodo utilizado para cuantificar.
13. Continuidad de Negocio: capacidad corporativa de ofrecer sus productos y servicios a niveles
aceptables despus de ciertos incidentes que hayan ocurrido.
14. Competencia: Capaz de aplicar conocimientos y habilidades para alcanzar resultados previstos.
18. Contexto: Temas internos y externos que son relevantes para su propsito, y la influencia de estas
puede influir en los objetivos y resultados que los SGSI puedan o no lograr.
19. Mejora Continua: Conjunto de actividades con el fin de mejorar el rendimiento de los procesos,
productos, servicios, sistemas y organizaciones.
21. Objetivo de Control: Declaracin que describe lo que se espera de los controles de seguridad logren
22. Correccin: Cualquier accin que se toma para eliminar una no conformidad.
23. Accin Correctiva: Medidas utilizadas para eliminar causas existentes con objetivo de prevenir la
recurrencia de las no conformidades.
24. Datos: Coleccin o conjunto de valores asignados a las medidas o indicadores, medida; variable
compuesta de valores, indicador; medida o variables utilizada en la evaluacin o estimacin de un
atributo o propiedad de un objeto.
53
25. Criterios de decisin: Factores como umbrales, objetivos o patrones que se utilizan para determinar
si se deben tomar medidas o si se debe realizar ms investigacin antes de tomar una decisin.
27. Informacin documentada: Informacin que debe ser controlada y mantenida y adems puede
venir de cualquier fuente.
29. Eficiencia: Relacin entre resultados obtenidos (outputs o salidas) y recursos utilizados (inputs o
entrada).
30. Evento: Ocurrencia, varias o una sola, o tambin una no ocurrencia (cuando algo no ocurre y se
esperaba que pasara).
32. Contexto externo: Factores y fuertes que existen ms all de sus propios lmites que influyen en la
forma que trata de alcanzar sus objetivos.
33. Gobierno de Seguridad de la Informacin: Sistema que utiliza para dirigir y controlar las actividades
de seguridad de la informacin de una organizacin.
35. Orientacin (Directrices): En el contexto de esta norma, las directrices son los pasos que toman
para alcanzar los objetivos y aplicar polticas.
36. Indicador: Medida o variables utilizadas para evaluar o estimar un atributo o propiedad de un
objeto.
54
37. Necesidad de informacin: Idea de que es necesaria o requerida la informacin, con el fin resolver
problemas para gestionar riesgos, y tambin lograr las metas y objetivos.
41. Seguridad de la Informacin de eventos: Sistema, servicio o estado de la red, condicin o suceso
que indica que seguridad de la informacin pudo haberse visto violada o comprometida o que una
poltica de seguridad puede haber fallado.
42. Incidentes de seguridad de Informacin: Compone uno o ms eventos deseados o inesperados que
podra poner en peligro la seguridad de la informacin y/o debilitar, adems de afectar las
operaciones comerciales.
43. Gestin de Incidentes de seguridad de la Informacin: Procesos que las organizaciones utilizan para
hacer frente a los incidentes de seguridad de informacin.
44. Sistema de gestin de seguridad de la informacin: Incluye todas las polticas, procedimientos,
documentos, registros, planes, directrices, acuerdos, contratos, procesos, prcticas, mtodos,
actividades, roles, responsabilidades, relaciones, herramientas, tcnicas, tecnologas, recursos y las
estructuras que las organizaciones utilizan para proteger y preservar la informacin, para gestionar
y controlar los riesgos de seguridad de la informacin, para lograr los objetivos de negocio
46. Sistema de Informacin: Conjunto de componentes que se utilizan para manejar la informacin.
48. Contexto interno: Factores y fuerzas dentro de sus lmites que influyen en la forma en que trata de
alcanzar sus objetivos.
49. Proyecto ISMS: Trabajo que hacen las organizaciones para implementar SGSI.
52. Gestin: Actividades que se utilizan para coordinar, dirigir y el control de las organizaciones.
53. Sistema de gestin: Conjunto de elementos interrelacionados o que interactan, las organizaciones
la utilizan para establecer polticas, objetivos y todos los procesos necesarios para asegurar que las
polticas se siguen y los objetivos se cumplen.
55. Medicin: Proceso que se utiliza para determinar un valor, se utiliza para obtener informacin
acerca de la efectividad de una informacin de SGSI y que controles utiliza.
56. Funcin de medicin: Algoritmo o clculo que combina 2 o ms medidas de base (12).
57. Mtodo de medicin: Secuencia lgica de operaciones genricas que utiliza escalas de medicin
para cuantificar atributos.
58. Resultados de medicin: Necesidad de informacin, compone uno o ms indicadores junto con los
detalles que explican cmo estos indicadores se han de interpretar:
59. Revisin: Determinar el estado de una actividad, proceso o sistema, con el fin de determinar el
estado, es posible que se necesite supervisin y comprobacin contina observando crticamente
la actividad, proceso o sistema.
56
61. No rechazo: Tcnicas y servicios utilizados para proporcionar de manera innegable sobre un
presunto caso que ocurri realmente o una supuesta accin. Garantiza que las personas no puedan
negar posteriormente algn evento ocurrido o accin llevada a cabo por una entidad.
62. Riesgo: Efecto de la incertidumbre de los objetivos segn la norma ISO 31000.
63. Admisin de Riesgos: La organizacin o entidad aceptar la tolerancia o convivencia con un riesgo
en particular y est dispuesto a que ocurra. Debe ser constantemente monitoreado y
peridicamente revisado,
64. Anlisis de Riesgo: Proceso utilizado para comprender la naturaleza, fuentes, y causas de los riesgos
que se han identificado para estimar el nivel de riesgo.
66. Comunicacin de riesgos: Dialogo entre una organizacin y sus partes interesadas, son referidas
sobre la existencia de riesgos, naturaleza, forma, probabilidad, e importancia
67. Criterios de Riesgo: Trminos de referencia utilizados para evaluar la importancia y significado de
los riesgos de una organizacin.
68. Evaluacin del riesgo: Proceso encargado de comprar los resultados de anlisis de riesgos (64) con
los criterios de riesgo (67) con el fin de determinar si es un riesgo realmente o no.
69. Identificacin de Riesgos: Proceso que consiste en encontrar, reconocer y describir los riesgos que
podran afectar la consecucin de un objetivo de la organizacin.
57
70. Gestin de Riesgos: Conjunto coordinado de actividades, mtodos y tcnicas que utilizan las
organizaciones para hacer frente al riesgo e incertidumbre que influye en lo bien que logra sus
objetivos la organizacin.
71. Proceso de Gestin de Riesgos: Gestin de polticas, procedimientos y prcticas para establecer el
contexto para comunicarse, y consultar las partes interesadas con el motivo de identificar, analizar,
evaluar, tratar, monitorear y revisar los riesgos.
72. Dueo del Riesgo: Personas o entidad que se la ha dado autoridad para gestionar un riesgo en
particular y es responsable por ello.
73. Tratamiento del Riesgo: Procesos de modificacin encargado de la seleccin y aplicacin de una o
ms opciones de tratamiento, si se ha aplicado, se convierte en un control de riesgo o modifica un
control ya existente.
74. Escala: Conjunto ordenado de valores, que se pueden distinguir uno de otros sobre la base de cmo
los valores en la misma escala estn relacionados entre s, hay 4 tipos; nominal, ordinal, intervalo,
y proporcin. La primera es basada en categoras (ejemplo: mujeres vs hombres), la segunda en
valores (ejemplo: 1, 2, 3, 4), la tercera en cantidades (ejemplo: fechas y temperaturas) y la ltima
especifica la cantidad o el nmero (ejemplo: duracin y longitud).
75. Estndar de Seguridad de Aplicacin: Documento que describe formas oficialmente o formalmente
autorizadas en el que la seguridad se pueda lograr o alcanzar.
76. Partes Interesadas: Persona u organizacin que puede afectar o ser afectado por una decisin o
una actividad.
77. Terceros: Cualquier persona u rgano que se reconoce como independiente de las personas
directamente involucradas en un problema.
78. Amenaza: Evento potencial que puede convertirse en un verdadero evento provocando un
incidente no deseado.
79. Alta Direccin: Gente en la parte superior de una organizacin dispuesta a proporcionar recursos,
coordinar, dirigir, organizar, y controlar.
58
81. Unidad de medida: Cantidad o magnitud particular que se utiliza para la comparacin de las
mediciones de la misma clase.
82. Validacin: Proceso que utiliza pruebas objetivas para confirmar que los requisitos han sido
definidos con un uso previsto o aplicacin conocida.
83. Verificacin: Proceso que utiliza pruebas objetivas para confirmar que realmente se han cumplido
los requisitos esperados.
84. Vulnerabilidad: Debilidad de un activo o control que potencialmente podra ser explotado por una
o ms amenazas (78).
59
El siguiente cuadro, muestra las Normas ISO 27000 dedicadas a la Seguridad de la informacin,
demostrando su descripcin y uso en las organizaciones y utilizando otras normas y estndares cuyos
propsitos se basan en la orientacin de la seguridad informtica.
Cabe destacar que el activo ms preciado en una organizacin es su informacin, quienes la
manejan es una tarea clave para el xito y desarrollo de los objetivos y metas propuestas con el fin de
alcanzar las expectativas previstas por cada entidad o personas que pertenecen a la organizacin.
23
23
Normas ISO 27000 Sobre Gestin de Seguridad de la informacin, Figura [En lnea], Recuperado de:
http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_gestin_de_seguridad_de_la_infor
macin.html
60