SEGURIDAD Y SALUD / ARTCULO
La norma ISO 27001
del Sistema de Gestin de la
Garanta de confidencialidad, integridad y
Introduccin
La informacin es como el aparato circu-
latorio para las organizaciones y requiere
que se proteja ante cualquier amena-
za que pueda poner en peligro las em-
presas tanto pblicas como privadas,
pues en otro caso podra daarse la sa-
lud empresarial.
Carlos Manuel Fernndez La realidad nos muestra que las orga-
Coordinador de TIC nizaciones empresariales se enfrentan en
de AENOR
la actualidad con un alto nmero de ries-
gos e inseguridades procedentes de una
amplia variedad de fuentes (ver figura 1),
entre las que se encuentran los nuevos
negocios y nuevas herramientas de las
Tecnologas de la Informacin y la Co-
municacin (TIC), que los CEO (Directo-
res Generales) y CIO (Directores de Infor-
mtica) deberan aplicar.
Todas estas herramientas deben apli-
carse segn objetivos empresariales con
la mayor seguridad, garantizando la con-
fidencialidad (asegurando que slo quie-
nes estn autorizados pueden acceder a
la informacin), integridad (garantizando
 ARTCULO / SEGURIDAD Y SALUD

Seguridad de la Informacin
disponibilidad de la informacin

que la informacin es fiable y exacta) y
disponibilidad (asegurando que los usua-
rios autorizados tienen el acceso debido
a la informacin).
La informacin, como uno de los prin-
cipales activos de las organizaciones,
debe protegerse a travs de la implan-
tacin, mantenimiento y mejora de las
medidas de seguridad para que cual-
quier empresa logre sus objetivos de
negocio, garantice el cumplimiento le-
gal, de prestigio y de imagen de la com-
paa.
ISO 27001. Sistema de Gestin La piedra angular
de la Seguridad de la Informacin
del Sistema de Gestin
La norma/estndar UNE ISO/IEC 27001: ISO 27001 es el anlisis
2007 del Sistema de Gestin de la Se-
guridad de la Informacin es la solu-
y gestin de los riesgos
cin de mejora continua ms adecuada basado en los
para evaluar los riesgos fsicos (incen-
procesos de negocio
dios, inundaciones, sabotajes, vandalis-
mos, accesos indebidos e indeseados) y servicios de TI
y lgicos (virus informticos, ataques de
intrusin o denegacin de servicios) y
establecer las estrategias y controles

Figura 1. Nuevos negocios y nuevas herramientas en las TIC para los CEO y CIO

B2C WEB 3.0 Portal corporativo e-Branding

B2B BigData Redes sociales e-Mailing
Business Intelligence Wikis e-Learning

MOBILITY BYOD GIS CRM CLOUD COMPUTING

Pdas RFID ERP SaaS (Software As A Service)
Smartphone (Android, iOS) SCM IaaS (Infraestructura As A Service)
Blakberry/Iphone/HTC PaaS (Platform As A Service)

ISO 27001 - SGSI

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
(Anlisis y gestin de riesgos de TIC)

ISO 27002
ISO 27011 (ISO 27002 para TELCO)
ISO 27799 (ISO 27002 para SANIDAD)

Fuente: AENOR.

julio-septiembre 2012 CALIDAD 41

 SEGURIDAD Y SALUD / ARTCULO

Figura 2. Sistema de Gestin de la Seguridad de la Informacin ISO 27001

Definir poltica de seguridad Implantar plan de gestin

P
Establecer alcance del SGSI de riesgos
Realizar anlisis de riesgos Implantar el SGSI
Seleccionar los controles Implantar los controles

ISO IEC 27002/Anexo A. ISO IEC 27001

A.5 Poltica de seguridad A.10 Gestin de comunicaciones

de informacin
A.6 Estructura organizativa de la SI
A.7 Clasificacin y control de activos
A.8 Seguridad ligada al personal
A.9 Seguridad fsica y del entorno
A de seguridad
D
y operaciones
A.11 Control de accesos
A.12 Desarrollo y mantenimiento
de sistemas
A.13 Gestin de incidentes
A.14 Gestin continuidad de negocio
A.15 Conformidad y cumplimiento
legislacin

Revisar internamente el SGSI

Adoptar las acciones correctivas
Adoptar las acciones preventivas C Realizar auditoras internas del SGSI
Indicadores y mtricas
Revisin por direccin

Fuente: AENOR.

adecuados que aseguren una perma-
nente proteccin y salvaguarda de la in-
formacin.
El Sistema de Gestin de la Seguridad
de la Informacin (SGSI) se fundamenta
en la norma UNE-ISO/IEC 27001:2007,
que sigue un enfoque basado en proce-
sos que utilizan el ciclo de mejora conti-
nua o de Deming, que consiste en Panifi-
car-Hacer-Verificar-Actuar,ms conocido
con el acrnimo en ingls PDCA (Plan-
DO-Check-Act) (similar a la ms extendi-
da y reconocida norma ISO 9001). Asi-
mismo, tiene tambin su fundamento
en la norma UNEISO/IEC 27002:2009,
que recoge una lista de objetivos de con-
trol y controles necesarios para lograr los
objetivos de seguridad de la informacin
(ver figura 2).
La piedra angular de este sistema SG-
SI-ISO 27001 es el anlisis y gestin
de los riesgos basados en los procesos
Espaa es el segundo
pas de Europa y el sexto
del mundo por nmero
de certificados de
Seguridad de la
Informacin, con ms
de 710 reconocimientos
de negocio/servicios de TI (por ejemplo,
CRM, ERP, Business Inteligence, redes
sociales, movilidad, cloud computing,
servicios externalizados, Bring You Own
Device, BYOD, etc.).
El anlisis y gestin de los riesgos ba-
sado en procesos de negocio/servicios
de Tecnologas de Informacin es una
herramienta muy til para evaluar y con-
trolar una organizacin con respecto a
los riesgos de los sistemas de informa-
cin. De esta forma los procesos de ne-
gocio/servicios de TI se fundamentan en
los activos de las TIC que dan soporte
a los procesos de negocio/servicios de TI.
Esto exige un anlisis y gestin de
los riesgos de sistemas de informacin
realista y orientado a los objetivos de la
organizacin. Una vez que se evala el
riesgo y se aplican los controles adecua-
dos de la UNE ISO/IEC 27002:2009 o
de otros estndares nos queda un ries-
go residual que la direccin de la empre-
sa aprueba, y que se revisar al menos
una vez al ao (ver figura 3).
Es de destacar que, como todo siste-
ma de gestin, el SGSI-ISO 27001 tiene
adems del PDCA unos indicadores
(objetivo de la mtrica) y mtricas para la
medicin de la eficacia y eficiencia de los
controles, que aportan realismo da a da
a la seguridad de los SI.

42 CALIDAD julio-septiembre 2012

 ARTCULO / SEGURIDAD Y SALUD

Figura 3. Anlisis y gestin de riesgos

Procesos de Negocio / Servicios de TI

Activos de SI Anlisis y gestin de riesgos Riesgo residual

Sistemas de informacin R = F (1, 2, 3, N) Activo1 - - - -- - - - - - - - - - - - R1

(bases de datos) Integridad (1) Activo2 - - - -- - - - - - - - - - - - R2
Software Confidencialidad (2) Aplicando
Hardware Disponibilidad (3) ISO/IEC 27002
Telecomunicaciones Amenazas (4) (Seleccin de controles)
Personas Vulnerabilidades (5)
Impacto econmico (6)
N

Fuente: AENOR.

Modelo de gobierno y gestin y mejorar la seguridad de las TIC en el el primer paso hacia la consolidacin y
para las TIC nivel del servicio de las mismas. optimizacin de las TIC en nuestro pas.
La otra rea de gestin es donde se
La norma ISO 27001 tiene relacin con agrupan las actividades de desarrollo de Conclusiones
otras normas que conforman el modelo programas (software), dirigido a la cali-
de gobierno y gestin de las TIC desarro- dad del proceso de ingeniera del soft- El SGSI-ISO 27001 es un sistema activo,
llado por AENOR, basado en estndares ware, con el modelo de evaluacin, me- integrado en la organizacin, orientado a
aceptados mundialmente (ver figura 4). Se jora y madurez del software (SPICE ISO los objetivos empresariales y con una
puede decir que, gracias a este modelo, 15504-ISO 12207). proyeccin de futuro.
el Centro de Proceso de Datos (CPD) y el Este modelo significa un cambio cul- Es importante resaltar que cada vez
resto de la organizacin comienzan hablar tural que impacta en el mundo empresa- que se incorpora un nueva herramienta
el mismo lenguaje y a interconectarse de rial y de las Administraciones Pblicas en o negocio de TIC a la empresa se debe
manera ms natural y eficiente. su relacin con las TIC, que ha supuesto actualizar el anlisis de riesgos para
Este modelo propone dos certificacio-
nes a mximo nivel: una para el gobierno
corporativo de las TIC (segn la norma
ISO 38500) y otra para el Sistema de
Continuidad de Negocio (UNE 71599-2
e ISO 22301) en las empresas. Dentro
de la primera divide a su vez la gestin
en dos reas: los Sistemas de Gestin
de los Servicios de TI (UNE-ISO/IEC
20000-1) y los Sistemas de Gestin de
la Seguridad de la Informacin (UNE-
ISO/IEC 27001). Con la implantacin de
los sistemas se logra gestionar la calidad
y seguridad de los servicios de Tecnolo-
gas de Informacin y Comunicacin, lo
que trae consigo la minimizacin de los
riesgos en la seguridad de la informacin

julio-septiembre 2012 CALIDAD 43

 SEGURIDAD Y SALUD / ARTCULO

Figura 4. Modelo de gobierno y gestin de las TIC con normas y estndares ISO

Objetivo: gobierno y gestin de las TIC con estndares ISO

SGCN
Gobierno de TI
UNE 71599-2
ISO 22301 ISO/IEC 38500
IT Governace
Sistema de Gestin Continuidad del Negocio

Desarrollo de software Procesos/servicios

Nivel de madurez. Ciclo de vida de SW SGSTI

SPICE ISO 15504 ISO 20000-1
Modelo de evaluacin, mejora y madurez Sistema de Gestin de Servicios TI
de software

ISO 20000-2
ISO 12207
Gua de Buenas Prcticas
Ciclo de vida de
desarrollo de software

SGSTI
ISO 27001
Sistema de Gestin de Seguridad
de Informacin

ISO 27002
Gua de Controles
Fuente: AENOR.

poder mitigar de forma responsable los
riesgos y, por supuesto, considerando la
regla bsica de Riesgo de TI vs. Control
vs. Coste, es decir, minimizar los riesgos
con medidas de control ajustadas y con-
siderando los costes del control.
Los certificados, por tercera parte in-
dependiente, respaldan el cumplimiento
de las normas, como en el caso de la
ISO 27001. En una economa cada vez
ms globalizada, en la que los producto-
res espaoles de bienes y servicios de-
ben competir, los certificados de confor-
midad son pasaportes de calidad que
abren mercados y una garanta de con-
fianza entre empresas y consumidores
de todo el mundo.
En el momento actual, ms de 350
organizaciones se han certificado con
AENOR en la ISO 27001-SGSI, lo que
contribuye a fomentar las actividades de
proteccin de la informacin en las enti-
dades pblicas o privadas, mejorando
su seguridad de la informacin, su ima-
gen y generando confianza frente a ter-
ceros. Otros factores intrnsecos al siste-
ma son exponer su voluntad de cumplir
con la legislacin vigente y garantizar la
continuidad del negocio.
Nuestro pas ocupa primeros puestos
en la clasificacin mundial por nmero
de certificados: Espaa es el segundo
pas de Europa y el sexto del mundo por
nmero de certificados de Seguridad de
la Informacin, con ms de 710 recono-
cimientos, segn el ltimo informe de la
Organizacin Internacional de Normali-
zacin (ISO).
Este sistema est en plena actuali-
dad y expansin siendo una esplendida
herramienta para este siglo XXI, pues
supone una salvaguarda continua para
los sistemas de informacin y las nue-
vas tecnologas. Asimismo supone un
referente para otros sistemas como
son el Esquema Nacional de Seguridad,
los procesos industriales SCADA,
etc.
Y dado que se trata de un sistema
abierto siempre se podr incorporar
cualquier nueva tecnologa que irrumpa
en el mundo empresarial, por lo que su
valor aadido de permanente actuali-
zacin es un potencial muy a tener en
cuenta y a valorar en un mundo tan din-
mico y cambiante como lo es el de las
TIC.

44 CALIDAD julio-septiembre 2012