Familia ISO / IEC 27000 - Sistemas de gestión de seguridad de la información

La familia de normas ISO / IEC 27000 ayuda a las organizaciones a mantener seguros los activos de
información.

El uso de esta familia de normas ayudará a su organización a administrar la seguridad de activos

tales como información financiera, propiedad intelectual, detalles de los empleados o información
que le haya sido confiada por terceros.

ISO / IEC 27001 es el estándar más conocido en la familia que proporciona los requisitos para un
sistema de gestión de seguridad de la información (ISMS).

Hay más de una docena de estándares en la familia 27000, puedes verlos aquí .

¿Qué es un ISMS?

Un ISMS es un enfoque sistemático para administrar la información sensible de la compañía para

que permanezca segura. Incluye personas, procesos y sistemas de TI mediante la aplicación de un
proceso de gestión de riesgos.

Puede ayudar a las pequeñas, medianas y grandes empresas en cualquier sector a mantener
seguros los activos de información.

ISO / IEC 27000: 2018 proporciona una descripción general de los sistemas de gestión de la
seguridad de la información (ISMS) y los términos y definiciones comúnmente utilizados en la
familia de normas ISMS ISO / IEC 27001. Diseñada para ser aplicable a todos los tipos y tamaños de
organizaciones, desde empresas multinacionales hasta pequeñas y medianas empresas, la nueva
versión, lanzada en febrero de 2018, es igualmente valiosa para agencias gubernamentales u
organizaciones sin fines de lucro.

Hay más de una docena de estándares en la familia 27000. El recientemente publicado ISO / IEC
27000 proporciona una comprensión de cómo se ajustan los estándares: sus alcances, roles,
funciones y relación entre sí.

La comunidad ISO / IEC 27001 encontrará este estándar útil, ya que reúne toda la terminología
esencial utilizada por otros estándares en la familia ISO / IEC 27000.

ISO / IEC 27000: 2018 fue desarrollado por el comité técnico conjunto ISO / IEC JTC 1, tecnología
de la información , subcomité SC 27, técnicas de seguridad de TI , cuya secretaría está en manos
de DIN, miembro de ISO para Alemania. Se puede comprar a través de su miembro nacional de ISO
o a través de la tienda ISO.

Las organizaciones ISO (The International Organization for Standardization) e IEC (International
Electrotechnical Commission) mantienen equipos de expertos dedicados al desarrollo de normas
internacionales, posibilitando que las organizaciones implementen estructuras adecuadas para la
gestión de sus activos de información, tales como información financiera, de propiedad
intelectual, datos de empleados, clientes o terceros, o sea, toda información que traiga valor para
las corporaciones.
Las normas ISO 27000 posibilitan que organizaciones de todos los tipos y tamaños implementen y
operen un Sistema de Gestión de Seguridad de la Información (SGSI). Las normas internacionales,
para este fin, se ordenan respetando el orden de numeración, tal como se elabora a continuación:

ISO/IEC 27000: Sistema de Gestión de la Seguridad de la Información – Generalidades y

vocabulario

ISO/IEC 27001: Sistema de Gestión de la Seguridad de la Información – Requisitos

ISO/IEC 27002: Buenas prácticas para controles de la seguridad de la información

Alcance Familia 27000

Las normas internacionales, pertenecientes a la familia 27000, sirven de base para la creación y
operación de Sistemas de Gestión de Seguridad de la Información (SGSI). El modelo es el resultado
del consenso entre especialistas, considerado el estado del arte en lo que se refiere a la
estandarización para el segmento de seguridad de la información.

El objetivo de la norma en cuestión es presentar un recogimiento general sobre el sistema de

gestión de seguridad de la información y ambientalizar a los lectores sobre términos técnicos
utilizados durante el proceso de estandarización.

Sistema de Gestión de la Seguridad de la Información (SGSI)

Un Sistema de Gestión de la Seguridad de la Información concentra las políticas, procedimientos,

directrices y recursos, para la gestión conjunta, en pro de la protección de los activos de
información de las organizaciones. Además, el SGSI consolida un enfoque sistemático para el
establecimiento, implantación, operación, monitoreo, revisión y mejora de la seguridad de la
información, alineados a los objetivos estratégicos del negocio. El SGSI se basa en conceptos de
evaluación y aceptación de riesgos, posibilitando la gestión eficaz de los mismos, en el día a día de
la empresa.

Principales fundamentos para obtener éxito en la implementación de un SGSI:

Generar conciencia sobre la necesidad de seguridad de la información;

Establecer responsables de la seguridad de la información;

Incorporar el compromiso de gestión e intermediar los intereses de los colaboradores;

Reforzar los valores sociales;

Evaluar cuidadosamente los riesgos, para establecer controles apropiados y obtener niveles
aceptables para la organización;

Tratar la seguridad de la información como elemento esencial en las redes y sistemas;

Actuar de forma activa en la prevención y detección de incidentes de seguridad de la información;

Garantizar un enfoque global para gestión de la seguridad de la información y establecer métodos
de evaluación continua, promoviendo modificaciones de acuerdo a las necesidades del negocio.

Importancia del SGSI

En un mundo interconectado, los procesos y recursos asociados a la información se consideran

activos críticos para los negocios. Las organizaciones, y sus sistemas, enfrentan una serie de
amenazas de seguridad, de los más variados tipos, incluyendo espionaje, sabotaje, terrorismo,
desastres naturales difíciles de adelantar, además de los ataques enfocados en sistemas de
información y redes de comunicación, que están cada vez más especializados y difíciles de
identificar y prevenir. Por las razones expuestas, la implantación de un SGSI ofrece un fuerte
apoyo para la gestión del riesgo en las organizaciones.

La adopción de un SGSI, por una empresa, independientemente del porte, debe involucrar a
colaboradores internos, asociados y proveedores, dando total consistencia al proceso. Es
importante resaltar que los sistemas de información utilizados por la empresa deben tener
alineación con las normas técnicas apropiadas, trayendo conformidad para el negocio.

Otro detalle muy importante es que las posibilidades técnicas relacionadas con la seguridad de la
información son ilimitadas, aunque en algunos casos los conceptos técnicos necesitan ser
apoyados en procedimientos tratados por el contexto del SGSI.
ISO / IEC 27000: 2018

Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la

información - Generalidades y vocabulario

La versión electrónica de este Estándar Internacional se puede descargar desde el sitio web del
Grupo de Trabajo de Tecnología de la Información de ISO / IEC (ITTF).

ISO / IEC 27000: 2018 proporciona una descripción general de los sistemas de gestión de la
seguridad de la información (ISMS). También proporciona términos y definiciones comúnmente
utilizados en la familia de estándares ISMS. Este documento es aplicable a todos los tipos y
tamaños de organización (por ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro).

Los términos y definiciones proporcionados en este documento

- cubrir términos y definiciones de uso común en la familia de normas ISMS;

- no cubre todos los términos y definiciones aplicados dentro de la familia de estándares ISMS; y

- no limite la familia de estándares ISMS al definir nuevos términos de uso.

Información general

Estado actual: publicado Fecha de publicación: 2018-02

Edición: 5 Número de páginas: 27

Comité técnico : ISO / IEC JTC 1 / SC 27 Técnicas de seguridad de TI

ICS: 01.040.35 Tecnología de la información (Vocabularios) 03.100.70 Sistemas de gestión 35.030

Seguridad informática

ISO / IEC 27001: 2013

Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la

información - Requisitos

ISO / IEC 27001: 2013 especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de la seguridad de la información dentro del contexto de la
organización. También incluye requisitos para la evaluación y el tratamiento de riesgos de
seguridad de la información adaptados a las necesidades de la organización. Los requisitos
establecidos en ISO / IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las
organizaciones, independientemente de su tipo, tamaño o naturaleza.

Información general

Estado actual: publicado Fecha de publicación: 2013-10

Edición: 2 Número de páginas: 23

Comité técnico : ISO / IEC JTC 1 / SC 27 Técnicas de seguridad de TI

ICS: 03.100.70 Sistemas de gestión 35.030 Seguridad informática

ISO 27001

La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la
serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en
las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de
adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A
se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se
puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de
la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se
encuentren implementados ya que no es obligatorio.

ISO / IEC 27002: 2013

Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de

seguridad de la información

ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad de la información
organizacional y las prácticas de gestión de la seguridad de la información, incluida la selección,
implementación y gestión de controles teniendo en cuenta los entornos de riesgo de seguridad de
la información de la organización.

Está diseñado para ser utilizado por organizaciones que tienen la intención de:

seleccionar controles dentro del proceso de implementación de un Sistema de gestión de la

seguridad de la información basado en ISO / IEC 27001;

implementar controles de seguridad de la información comúnmente aceptados;

desarrollar sus propias pautas de gestión de seguridad de la información.

Información general

Estado actual: publicado Fecha de publicación: 2013-10

Edición: 2 Número de páginas: 80

Comité técnico : ISO / IEC JTC 1 / SC 27 Técnicas de seguridad de TI

ICS: 03.100.70 Sistemas de gestión 35.030 Seguridad informática

Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones
recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella
podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes.
Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos
los controles que podemos encontrar en la norma ISO 27002.