Tema 04: Estándar para el Aseguramiento y Gestión de la

Seguridad

Estimado Estudiante

Estoy seguro que estas muy contento con lo aprendido hasta el momento, te comento que el avance
logrado también me emociona, ahora que has entendido la importancia de gestionar las tecnologías te
quiero comentar que también existen riesgos; como en todo lo que el ser humano ha inventado, en el
mundo de la informática es más peligroso porque al enemigo nunca lo vez. Ahora que existen millones
moviéndose en las redes como en la bolsa de valores, banca por internet, compras y ventas online, etc, se
podrá dormir tranquilo?. Para esto existe una norma ISO que su certificación ayuda al Director de TI estar
tranquilo, así que empecemos esta nueva pero cuidadosa aventura.
 Introducción

BIENVENIDOS AL TEMA
La práctica de gestionar las TI originó nuevos retos y nuevas complicaciones, entre ellas, proteger de
programas mal intencionados que debido a sus efectos letales en la información tomaron conceptos de
virus, troyanos, malware, etc. Estas infiltraciones estaban fundamentadas en “huecos” de los sistemas
operativos o navegadores web, también en habilidades superiores de personas que buscaban la fama y el
estrellato informático que se extendió como práctica de las grandes empresas; ganando como recompensa
buenos sueldos o reconocimientos.

A medida que el tiempo y las tecnologías se inmiscuían, estas tenían que solucionar problemas que antes no
existían; como bien diría Bill Gates; así es cómo la seguridad en internet tomó una gran relevancia
originando que la mayoría de los países hayan legislado y tipificar a la información, comunicación y el
secreto como propiedad y que la infiltración, robo o inmiscuirse sea considerado delito. En este contexto se
detuvieron y condenaron a expertos informáticos, pero debido a que la red también permitió el anonimato
para preservar la libertad ocasionó que se formaran redes y comunidades. Una de las más peligrosas y de
gran presencia mediática ha sido Anonymous que con mensajes intimidantes como “somos legión”, “no
olvidamos”, “no perdonamos”, han logrado poner en jaque a gobiernos, organizaciones y empresas. Así
también, los últimos escándalos como el de Julian Assange y el robo de la información confidencial de los
sistemas clasificados de EE.UU a los que se les llamo WikiLeaks y el de Edward Snowden que reveló los
sistemas de escucha y grabación de todas las empresas tecnológicas que estaban replicados en la NSA.
Frente a este escenario resulta obvio que todas las empresas y estados estén preocupados por la seguridad
de la información.

Las empresas han requerido optar normas estandarizadas a nivel internacional como el ISO 27000
encargada de delimitar políticas de seguridad que estén difundidas en toda la organización, como el uso y
precaución con los usb, gestión de las copias de seguridad, control de acceso a servidores, etc. Hoy en día
es factible hasta robar información por un puerto usb de manera remota como lo manifestaría la BBC para
concientizar el nivel de seguridad que deben prever las organizaciones.
 Aprendizajes Esperados

Conozcamos ahora las capacidades y actitudes a desarrollar

en este primer tema:

Conozcamos ahora las capacidades y actitudes a desarrollar en este cuarto tema:

Capacidad

Identifica y aplica estándares para

gestionar las operaciones y las
contingencias básicas que se deben
considerar para asegurar la continuidad.
Identifica y aplica estándares para
implementar procesos de seguridad y
control.

Actitudes

Es responsable de las medidas de

seguridad y control para los procesos
gestionados.
Es creativo al anticiparse a eventuales
riesgos.
Mapa Conceptual

Haz clic para ver el mapa conceptual

 1.1. Seguridad de la Información

¿Por qué es importante la gestión de la seguridad de la

información?

Hoy en día uno no se imagina una empresa sin

tecnología, existen algunas que su plataforma de
ventas no es físico si no virtual. Por lo que la
inversión en la seguridad informática debe ser
tratada con igual o mayor énfasis a la custodia
física de instalaciones, dinero, personal, etc.

En economías de países emergentes la seguridad de

la información está vinculada y clasificada como
gastos no indispensables para el funcionamiento de
los sistemas informáticos, evadiendo así la
responsabilidad propia y ajena; como la custodia de
datos personales de clientes, frecuencias y estilos
de vida, los que fácilmente pueden ser
comercializadas a terceros con otros fines,
convirtiendo así a la empresa en cómplice de delitos
por omisión de responsabilidad. Esta mirada a la
seguridad de la información nos lleva a evaluar los
factores de riesgo y considerar a las medidas
respectivas como una inversión y la falta de estos
métodos no sean parte de una ganancia o ingreso
por un juego de riesgos.
Del análisis de la seguridad vista como inversión se
debe de tener su contraparte natural o retorno de la
inversión en términos reales y cuantificables, así
como beneficios intangibles que puedan ser
valorados desde el mismo cliente o inversionista
para incrementar las relaciones comerciales, es así
como se puede optar por certificaciones
internacionales que ayuden a gestionar y valorar la inversión.
El reto de la seguridad de la información es aplicar normas, metodologías y herramientas que sean
capaces de responder a decir de Fernandez, C. (2012). “a la confidencialidad (asegurando que sólo
quienes estén autorizados pueden acceder a la información), integridad (garantizando que la
información es fiable y exacta) y disponibilidad (asegurando que los usuarios autorizados tienen el
acceso debido a la información)”. La lógica de la seguridad de la información inicia con un inventario
de los productos y servicios recibidos o brindados, así como un análisis de riegos ponderando su
impacto económico, por último la aceptación del riesgo residual que se puede comprender como el
margen que la empresa o institución está conforme de aceptar y deberá revisar estos niveles.

Análisis y gestión de riesgos

 1.1.1. Beneficios

Es el conjunto de aspectos tangibles e intangibles que permitirán la valoración de la inversión en la

seguridad de la información y la implementación de normas internacionales:

a) Reduce los riesgos de seguridad de la información

Fortalece la seguridad de la información en el entorno actual al (re)hacer hincapié en los requisitos

de control de la seguridad de la información de negocio, actualización de las actuales políticas,
controles, etc.
De manera integral y exhaustiva reduce la probabilidad de amenazas a la información de seguridad
o vulnerabilidades no reconocidas.
Enfoque de gestión de riesgos profesional, normalizada y racional que aporta consistencia a través
de múltiples sistemas en el tiempo, centrándose en áreas de mayor riesgo.
Aumenta la capacidad de transferir los riesgos de manera selectiva a las aseguradoras y permite la
negociación para reducir las primas de seguros mediante los controles que se implementan.
Administradores y personal estarán cada vez más familiarizados con los términos y los controles de
seguridad de la información.

b) Beneficios de la estandarización y certificación

Las normas están basadas en la gestión de los procesos y su enfoque en la calidad por lo que se
requiere añadir procesos a los existentes.
Evita especificar, aplicar y revisar por separado el sistema.
Permite a la organización concentrar sus esfuerzos y recursos en identificar y satisfacer requisitos
por encima de los básicos de control.
Generalmente aceptadas y bien establecidas con un incremento en la concienciación y aceptación a
nivel mundial.
Buenas prácticas reconocidas y aceptadas en seguridad de la información.
Ahorra tiempo y dinero mediante la adopción directa de buenas prácticas.
Proporciona una terminología común para discutir, especificar, desarrollar y evaluar las necesidades
en seguridad de la información y los controles.
Revisar los sistemas, datos y flujos de información con el potencial para reducir la sobrecarga de
duplicidades y otros sistemas/datos/procesos innecesarios.
Satisfacer las peticiones de partners, auditores tributarios y proveedores para justificar los
controles de seguridad de la información, así como una ventaja competitiva para imprimir el
cumplimiento de norma de seguridad en el área de marketing y ventas.
1.1.2. Costes

Costes de concienciación y formación.

Los costos únicos iniciales para actualizar y/o complementar diversos controles existentes.
Revisión/mantenimiento anual de las políticas, directrices, procedimientos, etc, de seguridad de la
información para mantener el cumplimiento con la norma.
Tiempo dedicado por el personal/dirección en las visitas anuales de seguimiento.
Visitas de pre-certificación y de certificación iniciales por entidades de certificación acreditadas por
la norma ISO/IEC 27001.
Renovación de certificación trianual.
1.2. ISO/IEC 27000

¿Cómo aprovecha rentabilizar la certificación ISO 27001?

La norma ISO/IEC 27000 tiene un inicio común a muchas de las normas más
representativas a nivel mundial, es decir que ha nacido de la BSI (British
Standards Institution) la Organización Británica de Estándares. Es así como
en 1995 aparece la norma BS 7799 como un conjunto de buenas prácticas
para la gestión y la seguridad de la información. La primera parte de esta
norma salió bajo el rótulo de la BS 7799-1 denominada Guía de Buenas
Prácticas sin considerar ningún esquema de certificación, sino más bien,
consideraciones independientes del tamaño o tipo de empresa. Es en 1998
que se publica la segunda parte bajo el código BS 7799-2 en la que
consideraba la estructura y requisitos para la formulación de un Sistema de
Gestión de Seguridad de la Información (SGSI), con especificaciones
orientadas a la certificación por empresas independientes y acreditadoras.

Con la finalidad de integrarlo a los sistemas de gestión existentes la ISO

decidió en 1999 revisar las dos partes de la BS 7799 logrando publicar en el
año 2000 la norma ISO 17799 de la primera parte sin considerar cambios
sustanciales a los originales. Es en el 2002 que la BSI revisa la segunda
parte para su adecuación al estilo de los actuales sistemas de gestión por
procesos dando a conocer la norma BS 7799-2:2002. Para el 2005 ya
existían cerca de 1700 empresas certificadas con la norma BS7799-2 por lo
que la ISO publicó este esquema bajo el rótulo de Estándar ISO 27001 para
gestionar el SGSI y actualizó la ISO 17799 renombrándola incluso con el
nombre de ISO 27002:2005 en el año 2007. Mientras que la BSI continuó
sus avances respecto a la seguridad de la información publicando la BS7799-
3:2006 centrada en la gestión del riesgo de los sistemas de información, así
como normas de aplicación específica, que paralelamente la ISO ha ido
incorporando y adaptando a sus estándares internacionales.

El objetivo de la norma en sí misma es "proporcionar los requisitos para

establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad
de la Información (SGSI)". En cuanto a su adopción, esto debería ser una decisión estratégica.
Además, "El diseño y la aplicación de la información del sistema de gestión de seguridad de una
organización están influenciados por las necesidades de la organización y los objetivos, requisitos
de seguridad, los procesos organizativos utilizados y el tamaño y estructura de la organización".
Lo innovador en la versión 2005 de la norma emplea el modelo PDCA, Plan-Do-Check-Act para
estructurar los procesos y reflejen los principios establecidos en las directrices OECD (conciencia,
responsabilidad, respuesta, evaluación de riesgos, diseño e implementación de la seguridad, gestión
de la seguridad y reevaluación). En la actualidad la norma se encuentra en su versión 2013 para las
dos primeras partes del ISO 27000, en esta última versión se pone más énfasis en la medición y
evaluación del SGSI de una organización. Una sección sobre la subcontratación de servicios de
seguridad se añadió a esta versión, y se prestó mayor atención al contexto organizacional de
seguridad de la información. Así también se debe establecer las equivalencias y contextos a los
cambios útiles para la migración a la nueva versión. Muchos de estos cambios tienen su base en la
evolución y aplicación de las nuevas tecnologías.
Diferencias y equivalencia entre versiones de la norma 27000
1.2.1. Familia ISO 27000

ISO 27000: Es un vocabulario claramente definido para toda la norma, no es certificable y sirve como base
para toda la familia del ISO 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad
de la información. Esta norma puede ser adaptada por las acreditadoras de cada país, para el caso del Perú la
norma se ha publicado mediante el Comité Técnico Permanente de Codificación e Intercambio Electrónico de
Datos (EDI), bajo la Norma Técnica Peruana NTP-ISO/IEC 27001:2008 basada en la versión 2005, aunque
presenta la aclaración que se debe adaptar de manera independiente a las nuevas versiones actualizadas.
Existen condiciones de transición para las versiones futuras. Su aplicación no requiere de la totalidad de los
controles manifestados, si no el sustento del porqué obviar el control de manera sólida.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información, en este caso no es certificable sólo sirve como
referencia para realizar el SGSI (Sistema de Gestión de Seguridad Informática), además de las
recomendaciones y prácticas que se evaluarán para certificar el ISO 27001, contiene 39 objetivos de control y
133 controles agrupados en 11 dominios, en el Perú está vigente su adaptación aún bajo su nombre anterior
NTP-ISO/IEC 17799:2007.
ISO 27003: Son directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001.
No está certificable actualmente.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un
SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los
conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación
satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
ISO 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los
sistemas de gestión de la seguridad de la información. Esta norma específica requisitos específicos para la
certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación.
ISO 27007: Es la guía de auditoría de un SGSI.
ISO 27011: Es una guía de gestión de seguridad de la información especificada para telecomunicaciones.
ISO 27031: Es una guía de continuidad de negocio en cuanto a tecnologías de la información y
comunicaciones.
ISO 27032: Es una guía relativa de ciberseguridad.
ISO 27034: Es una guía de seguridad en aplicaciones.
ISO 27799: Es un estándar de gestión de seguridad de la información en el sector sanitario.
 1.2.2. Detalles de la NTP-ISO/IEC 27001:2008

La norma inicia con un prefacio que fundamenta y define la autoría intelectual, delimita una introducción
general basada en los objetivos de la norma y la presenta como un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información
(SGSI). También se incluye en la introducción la concepción del enfoque basado en procesos. “Una
organización necesita identificar y manejar muchas actividades para poder funcionar de manera efectiva.
Cualquier actividad que usa recursos y es manejada para permitir la transformación de insumos en outputs,
se puede considerar un proceso. Con frecuencia el output de un proceso forma directamente el insumo del
siguiente proceso. La aplicación de un sistema de procesos dentro de una organización, junto con la
identificación y las interacciones de estos procesos, y su gestión, puede considerarse un enfoque del
proceso”, (NTP 2009, pp05). El modelo PDCA está vinculado a toda la estructura de la norma y cada una de
las partes de la misma tiene su vinculación con el Plan, Hacer (do en inglés), Chequear, Actuar.

El enfoque de procesos de la norma es compatible y alineada con la ISO 9001:2000 y la ISO 14001:2004,
siendo una de las fortalezas para su gestión en la empresa.
El alcance de la norma está especificada en los aspectos generales, manifestando que está orientada a
todos los tipos de organización (empresas comerciales, agencias gubernamentales, organizaciones sin fines
de lucro). Por otra parte la aplicación de la norma está especificada para toda organización, por lo que la
exclusión de los controles debe estar justificada y aceptar la evidencia de la aceptación de los riesgos de su
exclusión.
La norma específica un marco conceptual por lo que incluye el área de término y definiciones para una
interpretación común:

Activo: cualquier cosa que tenga valor para la organización.

Disponibilidad: la propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada.
Confidencialidad: la propiedad que esa información esté disponible y no sea divulgada a personas,
entidades o procesos no autorizados.
Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la
información; además también puede estar involucradas otras propiedades como la autenticidad,
responsabilidad, no repudio y confiabilidad.
Evento de seguridad de la información: una ocurrencia identificada del estado de un sistema
servicio o red indicando una posible violación de la política de seguridad de la información o falla en
las salvaguardas, o una situación previamente desconocida que puede ser relevante para la
seguridad.
Incidente de seguridad de la información: un solo o una serie de eventos de seguridad de la
información no deseados o inesperados que tienen una significativa probabilidad de comprometer las
operaciones comerciales y amenazan la seguridad de la información.
Sistema de gestión de seguridad de la información: esa parte del sistema gerencial general, basado
en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la información.
Integridad: la propiedad de salvaguardar la exactitud e integridad de los activos.
Riesgo residual: el riesgo remanente después del tratamiento del riesgo.
Aceptación de riesgo: decisión de aceptar el riesgo.
Análisis de riesgo: uso sistemático de la información para identificar fuentes y para estimar el
riesgo.
Análisis de riesgo: uso sistemático de la información para identificar fuentes y para estimar el
riesgo.
Valuación del riesgo: proceso general de análisis del riesgo y evaluación del riesgo.
Evaluación del riesgo: proceso de comparar el riesgo estimado con el criterio de riesgo dado para
determinar la importancia del riesgo.
 Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización con relación al
riesgo.
Tratamiento del riesgo: proceso de tratamiento de la selección e implementación de medidas para
modificar el riesgo.
Enunciado de aplicabilidad: enunciado documentado que describe los objetivos de control y los
controles que son relevantes y aplicables al SGSI de la organización.

La norma está centrada en el SGSI o en sus siglas del inglés como el ISMS y lo delimita en sus procesos de
establecer el ISMS, implementar y operar el ISMS, monitorear y revisar el ISMS, así como mantener y
mejorar el ISMS.
La documentación del ISMS para presentar a la certificación, así como su respectivo control de versiones y
trazabilidad deberá incluir lo siguiente:

Declaración documentada de la política de seguridad.

El alcance del ISMS.
Los procedimientos y controles que soportan el ISMS.
Una descripción de la metodología de evaluación del riesgo.
Informe de evaluación del riesgo.
Plan de tratamiento del riesgo.
Procedimientos documentados necesarios en la organización para garantizar la planificación
efectiva, funcionamiento y control de sus procesos de seguridad de la información y describir cómo
medir la efectividad de los controles.
Registros exigidos por la NTP.
Declaración de aplicabilidad.

La Gerencia en esta norma es la que asume la responsabilidad y compromiso para el establecimiento,

implementación, operación, monitoreo, revisión, mantenimiento y mejora del ISMS, asegurando la
disponibilidad y gestión de los recursos requeridos.
El control y monitoreo se realizará mediante auditorías internas al ISMS con intervalos periódicos para
determinar si los objetivos de control, controles, procesos y procedimientos identificados están siendo
ejecutados dentro de lo diseñado. Así también establece un sistema de revisión periódica planificada con
una recomendación de frecuencia, la misma que puede ser una vez por año para garantizar su idoneidad
continua, adecuación y efectividad.
Al ser el ISMS el centro de la gestión de la seguridad dentro de la norma se establece también su revisión
respectiva con un intervalo de al menos una vez por año, con una revisión de las entradas y salidas. Se
plantea además un sistema de mejora continua y de acciones correctivas para mantener la eficiencia del
ISMS.
Las acciones correctivas presentan los siguientes procedimientos documentados:

Identificación de las no conformidades.

Determinar las causas de las no conformidades.
Evaluar la necesidad de acciones para asegurar que las no conformidades no vuelvan a producirse.
Determinar e implementar la acción correctiva necesaria.
Registrar los resultados de las acciones tomadas.
Revisar las acciones correctivas tomadas.

Las acciones preventivas que se determinan en base a los resultados de la evaluación del riesgo, presentan
los siguientes procedimientos documentados:

Identificar las no conformidades potenciales y sus causas.

Evaluar las necesidades de una acción con el fin de prevenir ocurrencias de no conformidades.
Determinar e implementar las acciones preventivas necesarias.
Registrar los resultados de las acciones tomadas.
Revisar las acciones preventivas tomadas.
El modelo PDCA y la norma 27000
 1.2.3. Detalles de la Norma ISO/IEC 27001:2013

La norma ISO/IEC 27001:2013 incorpora cambios importantes de su antecesora versión 2005, entre ellas
están la visión del liderazgo y responsabilidad, así también distribuye el SGSI en áreas funcionales; más
que un documento o un apartado de la norma. Por otro lado la filosofía PDCA se encuentra activa en toda el
área funcional de la norma cumpliendo su rol cíclico. El cambio en la estructura está en concordancia con el
anexo SL de ISO/IEC del Suplemento Consolidado de las Directivas ISO/IEC; este anexo pretende
estandarizar la estructura en forma y enfoque de las normas ISO con la finalidad de ser compatibles entre
ellas y sea menos complicada la convivencia, implementación y auditoria de varias familias de normas ISO
relacionadas en una misma empresa.
Las nuevas adaptaciones de las TI a la empresa está basada en que cada vez más la gestión TI es
externalizada, tercerizada a empresas externas o delegadas ciertas partes a sistemas que no son propiedad
de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar
de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los
propios departamentos de la Organización).
Los cambios significativos detallados por partes podrían resumirse en los siguientes detalles según Gonzáles
Trejo 2013.

Introducción: elimina la adaptación del enfoque del proceso y la vincula con la alineación con el
anexo SL de la ISO/IEC sección 1.
Alcance: detalla la obligatoriedad de los requisitos especificados en los capítulos 4 al 10 para
obtener la conformidad de cumplimiento al momento de certificar.
Referencias normativas: incluye a la norma ISO 27000:2013 en una referencia normativa
obligatoria y única, ya que contiene todos los nuevos términos y definiciones.
Términos y definiciones: la terminología será manejada por la ISO 27000:2013 – Fundamentos y
vocabulario: La sección 3 agrupa y aporta al objetivo de contar con una sola guía de términos y
definiciones.
Contexto de la organización: Esta cláusula hace hincapié en identificar los problemas externos e
internos que rodean a la organización.

1. Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.
2. Introduce una nueva figura (las partes interesadas) como un elemento primordial para la
definición del alcance del SGSI.
3. Establece la prioridad de identificar y definir formalmente las necesidades de las partes
interesadas con relación a la seguridad de la información y sus expectativas con relación al
SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir
para el proceso de gestión de riesgos.

Liderazgo: Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando

de manera puntual cómo debe demostrar su compromiso, por ejemplo:

1. Garantizando que los objetivos del SGSI y “La política de seguridad de la información”,
anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.
2. Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos,
tecnológicos, etcétera).
3. Garantizando que los roles y responsabilidades claves para la seguridad de la información se
asignen y se comuniquen adecuadamente.

Planeación: Esta es una nueva sección enfocada en la definición de los objetivos de seguridad como
un todo, los cuales deben ser claros y se debe contar con planes específicos para alcanzarlos.

Se presentan grandes cambios en el proceso de evaluación de riesgos:

1. El proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y
las amenazas.
 2. Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la
confidencialidad, integridad y disponibilidad de la información.
3. El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las
consecuencias generadas (impacto), si el riesgo se materializa.
4. Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.
5. Los requerimientos del SOA no sufrieron transformaciones significativas.

Soporte: Marca los requerimientos de soporte para el establecimiento, implementación y mejora del
SGSI, que incluye:

1. Recursos
2. Personal competente
3. Conciencia y comunicación de las partes interesadas

Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y
“registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación
correspondiente al SGSI.

El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado

conjunto de estos.

Operación: Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas
de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar.

Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de
seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de
la información de manera periódica por medio de un programa previamente elegido.

Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere
para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.

Evaluación del desempeño: La base para identificar y medir la efectividad y desempeño del SGSI
continúan siendo las auditorías internas y las revisiones del SGSI.

Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades
anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así
como quién debe analizar la información recolectada.

Mejora: El principal elemento del proceso de mejora son las no-conformidades identificadas, las
cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se
repitan y que las acciones correctivas sean efectivas.

Aquí se observa uno de los cambios más importantes porque las medidas preventivas se fusionarán con la
evaluación y tratamiento del riesgo, algo más natural e intuitivo que permite enfrentar los riesgos y las
oportunidades con base en cuándo estos se identifican y cómo se tratan. Además, se distingue entre las
correcciones que se ejecutan como una respuesta directa a una “no conformidad”, en oposición a las
acciones correctoras que se realizan para eliminar la causa de la no conformidad.

Anexos: El Anexo A – Referencia de objetivos y controles continúa formando parte de este

estándar, pero los anexos “B” y “C” se han eliminado.

Sin ser intención de este artículo brindar una descripción completa de los cambios efectuados, se detallan
algunos de los principales:

El número de dominios del anexo aumenta de 11 a 14, de esta manera, donde algunos controles se incluían
de forma “artificial” en ciertas áreas donde no encajaban perfectamente, ahora se organizan mejor.

Estructura y controles de la norma

 1.2.4. Estructura de la Norma ISO/IEC 27002:2013

La norma en su versión 2013 ha sido actualizada en la manera que se adecua también al anexo SL de la
ISO/IEC sección 1. Incluye nuevos controles la fusión, actualización y eliminación de muchos de estos, sigue
el objetivo de trabajar con los proveedores de servicios para seguir la tendencia de tercerizar los servicios
de informática en la empresa pero asegurando la calidad y la seguridad. Así también añade el control de la
seguridad en los proyectos que pueden ser parte de la infraestructura tecnológica.
La continuidad del negocio respecto a la seguridad ha padecido una variación y ahora se habla en realidad
de Continuidad de la Seguridad de la Información incluida en el Sistema de Gestión.
También se ha reducido en la versión 2013 la cantidad de controles a 114 contra los 133 de la versión
2005. De los respectivos listados de controles se deduce que de los 133 controles de la versión 2005. Esta
información es de vital importancia al momento con comprender la evaluación de las normas, así como la
adecuación que se debe realizar en las empresas que ya tienen instalada esta norma y se debe realizar la
adecuación para mantener la certificación que tiene controles periódicos para la validación.
 Bibliografía

Fernández, S. C., Piattini V. M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. España. Editorial AENOR.

Este libro contiene toda la literatura necesaria para comprender la Gobernanza de las TI en base a las
normas ISO, incluye la gestión de las TI.

Moyano, F., S. & Bruque, C., S. & Martínez, J., P. (2011). Gestión de la Calidad en empresas
tecnológicas de TQM a ITIL. Colombia. Editorial. StarBook.

Este libro contiene la historia de los estándares de las buenas prácticas de gestión de TI y su adecuación a
la gestión empresarial desde las que habían aplicado la calidad total hasta la gestión de las tecnologías
como servicio.

Cao, A., J. Análisis detallado de la nueva versión ISO 27001:2013. España.

Este libro se encuentra en la url

https://dl.dropboxusercontent.com/u/182383/Descargas%20Blog/ISO%2027001_2013-vFINAL.pdf
Este texto muestra la diferencia entre la norma 27001 y 27002 en sus versiones 2005 y 2013, brinda
recomendaciones para la adaptación.

Collazos, B., M. La nueva versión ISO 27001-2013 Un cambio en la integración de los sistemas de
gestión. CIP - Perú.

Este libro se encuentra en la url http://www.cip.org.pe/index.php/eventos/conferencias-ceremonias-y-

patrocinios/item/download/125_2f7be404f0dba27dabc8efd91bd14668.html
Este texto inicia con la definición de la ISO y su avance a través de la norma 27000 con sus cambios y
equivalencias entre las últimas versiones.

Ormella, M., C. Las Nuevas Versiones de la Norma ISO 27001 y 27002- Argentina.

Este libro se encuentra en la url

http://www.criptored.upm.es/descarga/NuevasVersionesISO27001eISO27002.pdf
Este texto inicia con la definición de la ISO y su avance a través de la norma 27000 con sus cambios y
equivalencias entre las últimas versiones.
 Lecturas Recomendadas

Para saber más

Ponemos a tu disposición y te invitamos a revisar dos

interesantes documentos que te ayudaran a reforzar y
ampliar los temas que hemos estudiado, estos los
encontrarás en la base de datos e-libros que utiliza nuestra
universidad:

BASE DE DATOS EBSCO

SEGURIDAD DE LA INFORMACIÓN RETO DEL

FUTURO. (2004). E Semanal, 23(624), 34-36.

Breve descripción

Los avances tecnológicos hacen que el tema de la

seguridad sea una preocupación para los directivos de las
organizaciones en la protección de su negocio. Analiza de
dónde provienen los ataques frecuentes.

Documento 2: Evaluación: seguridad de un sistema de información

http://site.ebrary.com/lib/bibsipansp/docDetail.action?docID=10316459&p00=seguridad%20informacion

Breve descripción

Realiza un análisis de la importancia de la información, hace un recuento histórico de los ataques que han
sufrido las principales organizaciones y países, así como la cuantificación de los costos por pérdidas y
rentabilidad de la seguridad.
 Conclusiones

Esta semana se puede concluir con las siguientes párrafos.

1. La información es uno de los principales activos que

pueden estar contenidos en sistemas informáticos,
documentación, conocimiento y otros medios por lo que
debe ser protegido.
2. Las pérdidas económicas por robo de información,
bloqueo de sistemas, desconfianza de nuestros clientes y
proveedores pueden ser cuantiosas y afectar la
continuidad del negocio.
3. La norma ISO 27000 es una familia que agrupa diversas
normas siendo algunas certificables y la más conocida es
la 27001 mientras que existen otras orientadas a ramas
específicas como la salud, así también existen normas
paralelas aplicadas a los sistemas bancarios y buenas
prácticas de gestión de la seguridad.
 Metacognición

Las siguientes preguntas te ayudarán a reflexionar

sobre tus propios aprendizajes, es un ejerció
recomendado para razonar e identificar nuestro esfuerzo
intelectual, la finalidad es regular nuestras acciones y
procesos mentales

¿De la temática abordada que te llamó más la atención?

¿Consideras que aprendiste con los contenidos

abordados?

¿Tuviste dificultad con algún tema o actividad? ¿Cómo

los solucionaste?

¿Qué acciones realizaste para aprender?