Actividad 1 “ISO 27000”.

Ortega Martínez, José Hermilo.

INSTITUTO DE ESTUDIOS UNIVERSITARIOS

CAMPUS ONLINE
MAESTRIA EN DIRECCION DE INGENIERIA DE SOFTWARE

ASEGURAMIENTO DE CALIDAD DE SOFTW ARE

Actividad 4 “ISO 27000”

ALUMNO(A): JOSE HERMILO ORTEGA MARTINEZ

FACILITADOR: Dr. Daniel Pérez Rojas
SAN BUENAVENTURA, COAHUILA, A lunes, 06 de febrero de 2017.

INDICE
INTRODUCCION .................................................................................................................................. 3

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 1
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

DESARROLLO ...................................................................................................................................... 4
TEMA 1: NORMA ISO 27000........................................................................................................... 4
1.1.- Definición ............................................................................................................................... 4
TEMA 2: CERTIFICACION EN NORMA ISO 27000 ..................................................................... 5
2.1.- Características de la certificación........................................................................................ 5
2.2.- ¿Qué empresa puede certificarse en la ISO 27000? ....................................................... 6
2.3.- Factores importantes para la certificación .......................................................................... 6
TEMA 3: (SGSI) ................................................................................................................................ 7
3.1.- Definición ............................................................................................................................... 7
3.2.- Métricas de la ISO 27004..................................................................................................... 8
3.3.- Beneficios de las métricas ................................................................................................. 11
CONCLUSION .................................................................................................................................... 12
FUENTES DE INFORMACION.......................................................................................................... 13

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 2
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

INTRODUCCION

La importancia de poder contar con una certificación hoy en día es muy grande
ya que gracias a algún estándar de normalización desde la 9000 hasta la 27000, contar
con una certificación es sinónimo de que una empresa cuenta con la capacidad
administrativa y organizativa para poder realizar trabajos de mayor calidad con altos
estándares que puedan validar que lo que los procesos que se realizan dentro de la
empresa están siendo bien monitorizados y verificados.

El ISO 27000 es un conjunto de estándares desarrollados por ISO/IEC que

proporcionan un marco de gestión de la seguridad de la información del cual en este
ensayo se hablara temas como lo son sus definiciones generales, pasos para la
certificación, que empresa puede ser certificada, factores importantes, entre otros
puntos relevantes que a continuación se exponen.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 3
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

DESARROLLO

TEMA 1: NORMA ISO 27000

1.1.- Definición

La norma ISO / IEC 27000 es un conjunto de estándares que proporcionan un

marco de gestión de la seguridad de la información. (ISO/IEC 27001:2005). Esta norma
ha sido preparada para proporcionar un modelo para establecer, operar, monitorear,
revisar, mantener y mejorar un SGSI. Este estándar internacional puede ser utilizado
por entidades internas y externas para medir la conformidad.

La ISO 27000 cuenta con una serie de estándares como lo es:

 ISO 27001  ISO 27006  ISO 27033
 ISO 27002  ISO 27007  ISO 27034
 ISO 27003  ISO 27011  ISO 27099
 ISO 27004  ISO 27031
 ISO 27005  ISO 27032

Estándares que van desde la explicación de definiciones, requerimientos,

características entre otros puntos básicos, hasta guías de seguridad completas para
diferentes entornos de aplicaciones.

Uno de los aspectos más importantes que se debe de destacar y mencionar referente a
el estándar ISO 27001 es la importancia que hace sobre el carácter “mediable de los
controles. (Carletti, E.A. 2007)

La medición de un SGSI se basa en el modelo de Planear, Hacer, Revisar y Actuar.

Principios básicos utilizables en diferentes entornos de la organización así como
procesos.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 4
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

TEMA 2: CERTIFICACION EN NORMA ISO 27000

2.1.- Características de la certificación

Previo a un proceso de certificación de una empresa, existen siempre 3 etapas

que pueden definir a grandes rasgos el proceso de certificación de cualquier estándar
en una organización.
Pasos Descripción
Pre-Auditoria Servicio previo utilizado por personal interno o externo para poder
(Opcional) realizar un estudio previo a la certificación con el cual poder
conocer un panorama general de los principales puntos de la
certificación que se busca obtener, este paso es opcional y
aunque sirve mucho por el grado de información que pueden
recabar de estas revisiones previas a una auditoria formal de
certificación, estas también pueden conllevar un gasto extra a
todo el proceso de certificación que no muchas empresas están
dispuestas a poder realizar
Auditoria formal Proceso formal divido en una serie de etapas (Depende de que
estándar ISO se desee certificar) el cual es el proceso principal
con el cual una empresa auditora externa con los conocimientos y
conocimientos necesarios de los puntos a evaluar de la
certificación, Este paso puede ser llevado en un periodo de días
corto o largo dependiendo del tamaño de la empresa y todos los
procesos a evaluar, en el caso de la certificación ISO / IEC 27000
se evalúan puntos enfocados en la seguridad de la información
que maneja toda la empresa.
Certificación Una vez conseguida una certificación, la empresa es evaluada y
(Opcional) monitorizada con el fin de poder hacer ver que los estándares
establecidos se han estado cumpliendo.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 5
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

2.2.- ¿Qué empresa puede certificarse en la ISO 27000?

Hoy en día conseguir una certificación no depende del giro o tamaño de la

empresa que desee certificarse, ya sean pequeñas, medianas o grandes empresas,
todas pueden ser candidatas a certificarse siempre cuando estas se lo propongan y
busquen cumplir con todos los requerimientos, costos y procesos que una certificación
implica, ya que si bien una empresa pudiera llegar a estar motivada por buscar una
certificación, es verdad que una limitante que existe entre el conseguir o no una
certificación es la inversión que esta podría conllevar ya que son muchos los puntos a
considerar económicamente, no solo el proceso de auditoria sino también procesos
aledaños y previos a la auditoria que deberán ser creados, revisados, analizados,
modificados, mejorados o eliminados con tal de poder conseguir estándares más
acordes a los de la certificación.

En la actualizad existe más empresas dedicadas al sector tecnológico que buscan mas
esta certificación ya que estas tienden a manejar cantidades aún mucho mayores de
información en sus bases de datos o sistemas.

2.3.- Factores importantes para la certificación

Existen muchos puntos que ayudan a poder lograr una certificación, factores
como lo pueden ser:
 Realizar un análisis diferencial del estado actual con los controles de la ISO
27002, aunque no sea un análisis profundo puede ser de manera general
 (Opcional) Consultar servicios de consultoras especializadas en el proceso.
 Pasar por las tareas de implantación de un SGSI
o Definición de políticas
o Alcances
o Análisis de Riesgos
o Etc...

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 6
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

TEMA 3: (SGSI)

3.1.- Definición

El SGSI (Sistema de gestión de seguridad de la Información) está diseñado para

segura la selección adecuada y proporcionar controles de seguridad que protegen los
activos de información y den confianza a las partes interesadas. (ISO/IEC 27000: 2005).

Los pasos para poder llegar a establecer, manejar, implementar, operar, monitorear y
revisar el SGSI son los siguientes:

•Definir alcances y limites del SGSI

•Definir politica SGSI
•Definir el enfoque
•Identificar los riesgos
Establecer y •Analizar y evaluar riesgos
manejar •Etc...

•Formular plan de tratamiento de riesgos

•Implementar plan de tratamiento
•Implementar controles seleccionados
•Definir medicion de efectividad
Manejar e •Implementar programacion de capacitacion
implementar •Etc..

•Ejecutar procedimientos de monitoreo y revision

•Realizar revisiones regulares
•Medir efectividad de controles
•Revisar evaluaciones de riesgos a intervalos
Monitorear y •Realizar auditorias SGSI
Revisar •Etc..

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 7
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

3.2.- Métricas de la ISO 27004

Gracias a las métricas, podemos entender de una manera más general el

proceso técnico que se está aplicando para crear o desarrollar un producto o software,
gracias a las métricas podemos principalmente medir puntos importantes del proceso
con el cual evaluar si se está haciendo de la manera más eficiente y eficaz o si se
puede tener una mejora en los procesos.

El costo que se invierte en una métrica debe estar ligado y proporcional al beneficio
obtenido por estas ya que si se invertida gran cantidad en las métricas se debe o se
espera que beneficie en gran medida a la organización.

Una métrica de software se define como la medición continua de procesos de desarrollo

de un software, sus productos y servicios. En la siguiente imagen se explica de manera
gráfica lo anterior mencionado.

Mediciones basadas en tecnicas

Procesos, Productos y Servicios

Ingenieria y administracion de la
informacion
IEU campus Online. Maestría en Dirección de Ingeniería de Software
Aseguramiento de calidad de software. Febrero de 2017. Pág. 8
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

Poder contar con esta ISO (27004) y sus métricas se puede determinar la eficiencia y
eficacia de la implantación de un SGSI así como de los controles relacionados,
Principalmente pueden ser usadas estas métricas para la medición de los componentes
del ciclo PDCA.

Algunos de los puntos más importantes para poder hacer efectivas las métricas de la
ISO 27004 son:
 Medición de evaluaciones de seguridad periódicas
 Ser coherente con los objetivos de seguridad
 Ser fuertes, confiables, defendibles y justificables
 Estar ligadas a los objetivos de la empresa
 Expresada en números cardinales o porcentuales

En la ISO / IEC 27004 existen una serie de métricas que van desde las internas y
externas hasta las de calidad como se muestra a continuación:
Métrica Descripción Atributos
Mantenibilidad  Comportamiento del usuario
 Personal de mantenimiento
 Software
 Modificaciones del software
Analizabilidad Esfuerzo del personal de mantenimiento cuando
 Recursos utilizados en diagnósticos de
Externas deficiencias o fallos del software
 Identificación de partes para modificar
Confiabilidad Esfuerzo del personal de mantenimiento, usuario y
sistema cuando
 Implementación de modificaciones confiables
Estabilidad Comportamiento del sistema cuando
 Comportamientos inesperados

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 9
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

Facilidad de prueba Esfuerzo del personal de mantenimiento, usuario y

software cuando
 Pruebas de software
 Modificaciones
Conformidad  Numero de funciones y ocurrencias de
problemas de conformidad
 Cumplimiento de estándares
 Cumplimiento de convenciones o
regulaciones
Desempeño Relacionada con
 Eficiencia de ejecución
 Almacenamiento
 Complejidad de algoritmo
 Tiempo
 Etc…
Complejidad  Tomando datos
 Tamaño
 Volumen
Internas  Anidaciones
 Agregación
 Costo
 Flujo
 Configuración
 Etc…
Estilizadas  Estilo de código
 Estilo de programación
 Limitaciones de datos
 Etc…

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 10
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

Efectividad  Completitud y precisión de los objetivos

Productividad Consumo de recursos
 Mental
 Físico
 Material
De calidad  Tiempo
 dinero
Seguridad  Grado de riesgo de daños
 Salud y seguridad del usuario
Satisfacción  Uso del producto del software y un contexto
determinado

Una vez expuestas estos puntos de métricas internas, externas y de calidad, se

observa como la ISO 27004 busca cubrir todos los puntos más relevantes he
importantes del software.

3.3.- Beneficios de las métricas

A continuación alguna de los beneficios más sobresalientes del uso de métricas en este
estándar:
 Mejor comprensión de riesgos y debilidades
 Medición del desempeño de los controles
 Apoyo a la toma de decisiones
 Control de situación real de seguridad de información
 Mayor eficacia de los procesos y actividades
 Identificación de problemas emergentes
 Verificación del cumplimiento de políticas

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 11
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

CONCLUSION

Como se ha mencionado anteriormente, contar con una certificación si bien

puede estar disponible para toda empresa que lo desee, puede no estar al alcance de
todos por el factor económico, La ISO 27000 ha venido a revolucionar en gran medida
la seguridad de uno de los principales activos de las empresas como lo es la
información, poder contar con estándares de seguridad para todo el manejo de entrada,
salida, control, administración, y gestión de la información viene a ser una manera en
que una empresa puede estar segura que

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 12
 Actividad 1 “ISO 27000”.
Ortega Martínez, José Hermilo.

FUENTES DE INFORMACION

1. Corletti, E. A. (2007)
2. ISO 27000 (2008)
3. Estandar internacional (2005)
4. Fernandez, C.M. (2012)
5. ISO 27000 (2005).- http://www.iso27000.es/download/doc_sgsi_all.pdf
6. ISO 27000 (2005).- http://www.iso27000.es/faqs.html
7. Criptored (2011).-
http://www.criptored.upm.es/cibsi/cibsi2011/info/Ponencias/6.%20M%C3%A9trica
s%20de%20seguridad%20en%20los%20SGSIs,%20para%20conocer%20el%20
nivel%20de%20seguridad%20de%20los%20SSOO%20y%20de%20los%20SGB
D.pdf
8. Orff (2010).-
http://orff.uc3m.es/bitstream/handle/10016/10564/PFC_agustin_Larrondo_Quiros
.pdf?sequence=1
9. Security Art Work (2011).- https://www.securityartwork.es/2011/01/12/medicion-
de-un-sgsi-disenando-el-cuadro-de-mandos/
10. Google Docs (2007).-
https://docs.google.com/viewer?a=v&pid=forums&srcid=MDUxNTg4NTE3OTMxN
jUwMDg1NDMBMTI5NTY1NjIyODUwNTgxNTExOTYBVktEcjJHUjBIZGtKATAuM
QEBdjI
11. Google Grupos (2007).-
https://groups.google.com/forum/#!topic/forosi/vNk1MlC7LNM

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Febrero de 2017. Pág. 13