Norma ISO 27000

ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de

desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de
organizacin, pblica o privada, grande o pequea.
En este apartado se resumen las distintas normas que componen la serie
ISO 27000 y se indica cmo puede una organizacin implantar un sistema
de gestin de seguridad de la informacin (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su inters a travs del submen de
la izquierda o siguiendo los marcadores de final de pgina.
ISO/IEC 27000: Publicada el 1 de Mayo de 2009 y revisada con una segunda
edicin de 01 de Diciembre de 2012. Esta norma proporciona una visin
general de las normas que componen la serie 27000, una introduccin a los
Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin
del ciclo Plan-Do-Check-Act y trminos y definiciones que se emplean en
toda la serie 27000.
Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y
estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de informacin.
Los clientes tienen acceso a la informacin a travs medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratgicos por la garanta de calidad y
confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar las debilidades
del sistema y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO
14001, OHSAS 18001).
Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
Conformidad con la legislacin vigente sobre informacin personal,
propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
Confianza y reglas claras para las personas de la organizacin.

 Reduccin de costes y mejora de los procesos y servicio.

Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de procesos en vez de en la
compra sistemtica de productos y tecnologas.

Factores de xito

La concienciacin del empleado por la seguridad. Principal objetivo a

conseguir.
Realizacin de comits a distintos niveles (operativos, de direccin, etc.)
con gestin continua de no conformidades, incidentes de seguridad,
acciones de mejora, tratamiento de riesgos...
Creacin de un sistema de gestin de incidencias que recoja notificaciones
continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles
asumibles.
La seguridad no es un producto, es un proceso.
La seguridad no es un proyecto, es una actividad continua y el programa
de proteccin requiere el soporte de la organizacin para tener xito.
La seguridad debe ser inherente a los procesos de informacin y del
negocio.

Riesgos

Exceso de tiempos de implantacin: con los consecuentes costes

descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc.
Temor ante el cambio: resistencia de las personas.
Discrepancias en los comits de direccin.
Delegacin de todas las responsabilidades en departamentos tcnicos.
No asumir que la seguridad de la informacin es inherente a los procesos
de negocio.
Planes de formacin y concienciacin inadecuados.

 Calendario de revisiones que no se puedan cumplir.

Definicin poco clara del alcance.
Exceso de medidas tcnicas en detrimento de la formacin, concienciacin
y medidas de tipo organizativo.
Falta de comunicacin de los progresos al personal de la organizacin.

Consejos bsicos

Mantener la sencillez y restringirse a un alcance manejable y reducido: un

centro de trabajo, un proceso de negocio clave, un nico centro de proceso
de datos o un rea sensible concreta; una vez conseguido el xito y
observados los beneficios, ampliar gradualmente el alcance en sucesivas
fases.
Comprender en detalle el proceso de implantacin: iniciarlo en base a
cuestiones exclusivamente tcnicas es un error frecuente que rpidamente
sobrecarga de problemas la implantacin; adquirir experiencia de otras
implantaciones, asistir a cursos de formacin o contar con asesoramiento de
consultores externos especializados.
Gestionar el proyecto fijando los diferentes hitos con sus objetivos y
resultados.
La autoridad y compromiso decidido de la Direccin de la empresa -incluso
si al inicio el alcance se restringe a un alcance reducido- evitarn un muro
de excusas para desarrollar las buenas prcticas, adems de ser uno de los
puntos fundamentales de la norma.
La certificacin como objetivo: aunque se puede alcanzar la conformidad
con la norma sin certificarse, la certificacin por un tercero asegura un
mejor enfoque, un objetivo ms claro y tangible y, por lo tanto, mejores
opciones de alcanzar el xito. Eso s, la certificacin es la "guinda del
pastel", no es bueno que sea la meta en s misma. El objetivo principal es la
gestin de la seguridad de la informacin alineada con el negocio.
No reinventar la rueda: apoyarse lo ms posible en estndares, mtodos y
guas ya establecidos, as como en la experiencia de otras organizaciones.
Servirse de lo ya implementado: otros sistemas de gestin (como ISO
9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en
la organizacin son tiles como estructura de trabajo, ahorrando tiempo y
esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a
responsables y auditores internos de otros sistemas de gestin.

 Reservar la dedicacin necesaria diaria o semanal: el personal involucrado

en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.
Registrar evidencias: deben recogerse evidencias al menos tres meses
antes del intento de certificacin para demostrar que el SGSI funciona
adecuadamente. No precipitarse en conseguir la certificacin.
Mantenimiento y mejora continua: tener en consideracin que el
mantenimiento y la mejora del SGSI a lo largo de los aos posteriores
requeriran tambin esfuerzo y recursos.

RESUMEN EJECUTIVO.
La Serie ISO 27000 de normas se ha reservado expresamente por la norma ISO en materia de
seguridad de la informacin. Esto, por supuesto, se alinea con una serie de otros temas,
incluyendo la norma ISO 9000 (gestin de la calidad) e ISO 14000 (gestin medioambiental).
Al igual que con los temas arriba mencionados, la serie 27000 se rellenar con una serie de normas
individuales y de los documentos.
Entre las principales normas referentes a la seguridad de la informacin tenemos:
ISO 27001. El objetivo de la propia norma es "proporcionar un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin".
Regarding its adoption, this should be a strategic decision. En cuanto a su adopcin, esto debe ser una
decisin estratgica. Further, "The design and implementation of an organization's ISMS is influenced by
their needs and objectives, security requirements, the process employed and the size and structure of the
organization". Adems, "El diseo y la implementacin de un SGSI organizacin est influida por sus
necesidades y objetivos, requisitos de seguridad, el proceso empleado y el tamao y la estructura de la
organizacin".
The standard defines its 'process approach' as "The application of a system of processes within an
organization, together with the identification and interactions of these processes, and their management".
La norma define su "enfoque basado en procesos" como "La aplicacin de un sistema de procesos dentro
de una organizacin, junto con la identificacin y las interacciones de estos procesos y su gestin". It
employs the PDCA, Plan-Do-Check-Act model to structure the processes, and reflects the principles set
out in the OECG guidelines (see oecd.org).

The content sections of the standard are: Las secciones de contenido de la norma son:

Management ResponsibilityResponsabilidad de la Direccin

Internal Audits Auditoras internas

ISMS Improvement Mejora del SGSI

Annex A - Control objectives and controls Anexo A - los objetivos de control y los
controles de

Annex B - OECD principles and this international standard Anexo B - Principios de la

OCDE y de esta norma internacional

Annex C - Correspondence between ISO 9001, ISO 14001 and this standard Anexo C Correspondencia entre ISO 9001, ISO 14001 y esta norma

ISO 27002. The ISO 27002 standard is the rename of the ISO 17799 standard, and is a code of practice
for information security.Es el cambio de nombre de la norma ISO 17799, y es un cdigo de prcticas para
la seguridad de la informacin. It basically outlines hundreds of potential controls and control mechanisms,
which may be implemented, in theory, subject to the guidance provided within ISO 27001. Bsicamente
describe cientos de posibles controles y mecanismos de control, que pueden ser aplicadas, en teora, con
sujecin a la orientacin proporcionada en la norma ISO 27001.
The standard "established guidelines and general principles for initiating, implementing, maintaining, and
improving information security management within an organization". La norma "establece las directrices y
principios generales para iniciar, implementar, mantener y mejorar la gestin de seguridad de la
informacin dentro de una organizacin". The actual controls listed in the standard are intended to
address the specific requirements identified via a formal risk assessment. Los controles reales que figuran
en la norma estn destinados a atender las necesidades especficas identificadas a travs de una
evaluacin de riesgo formal. The standard is also intended to provide a guide for the development of
"organizational security standards and effective security management practices and to help build
confidence in inter-organizational activities". La norma tiene tambin por objeto proporcionar una gua
para el desarrollo de "normas de seguridad de la organizacin y prcticas de gestin eficaz de seguridad
y para ayudar a construir la confianza en las actividades entre la organizacin".
The basis of the standard was originally a document published by the UK government, which became a
standard 'proper' in 1995, when it was re-published by BSI as BS7799. La base de la norma fue
originalmente un documento publicado por el gobierno del Reino Unido, que se convirti en un estndar
"adecuado" en 1995, cuando fue re-publicado por la BSI como BS 7799. In 2000 it was again republished, this time by ISO ,as ISO 17799. En 2000 se volvi a re-publicar, esta vez por la ISO, como ISO
17799. A new version of this appeared in 2005, along with a new publication, ISO 27001. Una nueva
versin de este apareci en 2005, junto con una nueva publicacin, la norma ISO 27001. These two

documents are intended to be used together, with one complimenting the other. Estos dos documentos
estn destinados a ser utilizados en conjunto.
ISO's future plans for this standard are focused largely around the development and publication of industry
specific versions (for example: health sector, manufacturing, and so on). Planes de futuro de la ISO para
esta norma se centran en gran medida en torno al desarrollo y publicacin de versiones especficas de la
industria (por ejemplo: sector de la salud, la fabricacin, y as sucesivamente). Note that this is a lengthy
process, so the new standards will take some time to appear.
Las secciones de contenido son:

Structure Estructura

Risk Assessment and Treatment Evaluacin del riesgo y tratamiento

Security Policy Poltica de Seguridad

Organization of Information Security Organizacin de la Seguridad de la Informacin

Asset Management Gestin de Activos

Human Resources Security De Recursos Humanos de Seguridad

Physical Security Seguridad Fsica

Communications and Ops Management De Comunicaciones y Gestin de Operaciones

Access Control Control de Acceso

Information Systems Acquisition, Development, Maintenance Sistemas de Informacin de

Adquisicin, desarrollo, mantenimiento

Information Security Incident management Gestin de la informacin a Incidentes de

Seguridad

Business Continuity Continuidad del Negocio

Compliance Conformidad

MARCO TEORICO

ISO 27000

Uno de los activos ms valiosos que hoy en da posee las diferentes empresas, es la informacin y
parece ser que con la globalizacin, sta peligra ya que cada vez sufre grandes amenazas en

cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital para el xito y

sobrevivencia de las empresas en cualquier mercado. Con todo esto todo parece indicar que uno
de los principales objetivos de toda organizacin es el aseguramiento de dicha informacin, as
como tambin de los sistemas que la procesan.

Para exista una adecuada gestin de la seguridad de la informacin dentro de las organizaciones,
es necesario implantar un sistema que aborde esta tarea de una forma metdica y lgica,
documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a
los que est sometida la informacin de la organizacin.
Para lograr estos objetivos, existen organizaciones o entes especializados en redactar estndares
necesarios y especiales para el resguardo y seguridad de la informacin, estos estndares son
llamado o reconocidos como ISO.

Qu son las normas ISO?

Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestin de calidad y
seguridad que estaban apareciendo en distintos pases y organizaciones del mundo.
Los organismos de normalizacin de cada pas producen normas que resultan del consenso entre
representantes del estado y de la industria. De la misma manera las normas ISO surgen del
consenso entre representantes de los distintos pases integrados a la I.S.O.
Existen grandes familias de normas ISO:
Las de la familia 9000, las de la familia 14000 y las de la familia 27000 adems de otras
complementarias (ISO 8402; ISO 10011).

Quin elabora estas normas?

Existe la organizacin ISO, que significa International Organization for Standardization (Organizacin
Internacional para la Estandarizacin), constituye una organizacin no gubernamental organizada
como una Federacin Mundial de Organismos Nacionales de Normalizacin, creada en 1947, con
sede en Ginebra (Suiza). Rene las entidades mximas de normalizacin de cada pas, por
ejemplo, BSI (British Standards Institute), DIN (Deutsches Institut fr Normung), INN (Instituto
Nacional de Normalizacin-Chile) etc.

FAMILIA DE ISO 27000

SERIE ISO 27000

La ISO 27000 es realmente una serie de estndares desarrollados, por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission) En este
apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo
puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI)
basado en ISO 27001.
Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
Esta ISO Contiene trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de
cualquier estndar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos tcnicos y de gestin, que proporcionan un marco de gestin de la
seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.