Normalización

Marcela Zhagüi P.
Ingeniería de Sistemas
Universidad Politécnica Salesiana
Calle Vieja - Av. Turuhuayco.
mzhaguip2@est.ups.edu.ec

Resumen- Actualmente las normas ISO están dirigidas para
los investigadores del área del TIC, para tener una visión
general de normativa, en la cual incluyen buenas practicas,
siendo validadas universales es decir internacionalmente. El
objetivo es validador la misión corporativa haciendo uso de las
tecnologías, aplicaciones, por lo que se pretende que estos
conlleven servicios de calidad, seguridad informática, reducir
costos y riesgos de seguridad, etc. Debido a que las
organizaciones y los sistemas de información están expuestos a
elevadas amenazas que, aprovechando cualesquiera
vulnerabilidades existentes, estás pueden someterse a activos
críticos de información a diversas formas.
incalculables de forma general, entres varias estas son las
siguientes:
 Existencia en el mercado actual.
 Mejorar los procesos y productividad de una
organización.
 Buscar mejoras en la efectividad de los proveedores.
 Mejorar la imagen frente a los clientes Ofrecer
productos o servicios de calidad. Consejos para
implementar con éxito

Keywords: Normas ISO, SGSI, políticas, reglamentos Ya que la normalización es una solución de la mejora
continua en la cual puede desarrollarse un Sistema de Gestión
I. INTRODUCCIÓN de Seguridad de la Información, permite evaluar cualquier
Esta investigación pretende proporciona una visión tipo de riesgos y/o amenazas que exponen en peligro la
general de los sistemas de gestión de seguridad de la información de una organización. Permite establecer
información, mediante la normalización. La normalización se controles, estrategias para eliminar o minimizar peligros, la
entiende como la parte de actividades que prueban dar ISO 27001 es un sistema basado en el ciclo de mejora
soluciones de aplicaciones repetitivas en el ámbito de la continua o de Deming que consiste en Planificar-Hacer-
ciencia y tecnología proporcionando un impacto al desarrollo Verificar-Actuar, se lo conoce como ciclo PDCA (Plan-Do-
de nuevas tendencias con respecto a tecnologías, en la cual Check-Act) [1].
cada normativa tiene su propia metodología, requerimientos,
estructuras y procesos organizativos de esta manera la
denominaremos gestión también se refiere a la gerencia o Tabla I
TABLA DE PDCA
administración de todos los sistemas informáticos incluidos
hardware y software y las buenas practicas que están
asociados a estas. Planificar Establecer políticas de seguridad
(Plan) Realizar análisis de riesgo
Definir competencias
Establecer un mapa de procesos
Definir autoridades y
II. NORMA ISO responsabilidades

Normalización Consiste en desarrollar y mejorar normas Hacer Implantar plan de gestión de riesgos
para regular y ordenar situaciones que son repetitivas, un (Do) Implantar el SGS
ejemplo de ello es: una norma para un producto en la cual
Verificar Revisar internamente el SGSI
debe cumplir ciertas características que reúne el producto o (Check) Realizar auditorías internas del SGSI
ya sea un servicio en estas se incluyes agentes tales como: Poner en marcha indicadores y
administración, usuarios, consumidores y principalmente el métricas
fabricante.
Actuar Adoptar acciones de mejora
(Act) Adoptar acciones correctivas
Norma es el documento establecido por consenso y/o
aprobación de un organismo a nivel nacional e internacional.
Proporcionando para uso común reglas, características para
actividades repetitivas. A. Beneficios
La norma ISO 270001 es una norma certificable, lo que
Certificación acción que lleva a cabo dicha entidad, es permite a las organizaciones demostrar su compromiso y
por ello que las empresas buscan posicionarse en este caso conformidad con los mejores estándares y prácticas de
certificarse con las normas ISO por que las ventajas son seguridad información, generando confianza entre cliente y
proveedor, entre los beneficios tenemos lo siguiente [2]:

 Identificar los principales riesgos en materia de
seguridad informática.
 Clasificar los riesgos en función a si gravedad.
 Adaptar y alinear los controles a las áreas de la
empresa.
 Cumplir requisitos y demostrar conformidad y
compromiso con los mismos.
 Proporcionar el marco más adecuado para la gestión
de la seguridad de la información.
 Se fortalece la organización interna y los procesos de
mejora continua.
C. Normas de la calidad informática
ISO 27035:2011. - Técnicas de Seguridad-Gestión de
Incidentes de Seguridad: reporte, detención y evaluación de
incidentes de seguridad y vulnerabilidades.
III. CONCLUSIONES
Existe un material extenso en el ámbito de normalización,
cada una de ellas ofrecen métodos y técnicas precisas para las
buenas practicas asociadas al concepto de ISO 27000, que
generalmente existe dentro de una empresa, la familia ISO
aplican procedimientos que permiten al fabricante de
tecnología, abordar conceptos de calidad, gestión, seguridad
y evaluación de riesgos, permitiendo llevar a una empresa al
éxito empresarial, de tal manera obtener la certificación ISO
27001.
La certificación de calidad demuestra que le empresa
posee competencias y habilidades para llevar a cabo sus
objetivos en tiempo oportuno permitiendo en el mejor de los
casos ejecutar estrategias empresariales.

Figura 1. Marco Normativo general, Familia ISO/ IEC 27000 [4]
ISO 27000: proporciona una visión general de la familia
27000, viene siendo lo que es una introducción de los
Sistemas de Gestión de Seguridad.
REFERENCIAS
[1] ISOTools, «La normaISO 27001».
[2] H. V. P, «Normas ISO y marcos de referencia para gobernanza de las
TIC,» REVISTA COLOMBIANA DE COMPUTACIÓN, vol. 18, nº 1, 05
abril 2017.
[3] M. B. MAGDALENA, «DISEÑO DELPLAN DE GESTIÓN
PARASEGURIDAD DE LA INFORMACIÓNBASADO EN
LASNORMAS ISO 27000,» Guayaquil, 2016.
[4] G. P. Mega, «Metodología de Implantación de un SGSI en un grupo
empresarial jerárquico,» Montevideo, 2009.

ISO 27001.- Es la norma principal de esta familia de

normas, define los requisitos del sistema de gestión de
seguridad de la información.

ISO 27002.- Es la norma que describe los objetivos de

control en relación a la seguridad de la información, esta
norma no es certificable

ISO 27003.- Se basan en los diseños críticos de un SGSI,

defino como se debe llevar a cabo con cada uno de los
procesos para la seguridad de la información.

ISO 27004.- Guía para la utilización de directrices de

SGSI que será pasos a seguir de esta manera habrá menos
riegos para la Seguridad de la Información.

ISO 27005.- Proporciona matrices o principales guías de

riesgos de la seguridad de la información, teniendo de manera
ordenada el manejo de los datos o información que va ser
respaldada en algún equipo de cómputo.

ISO 27040.- Guía de reducción redacción digital que

sirve para documentar los diferentes procesos de la empresa.

ISO 270039.- Guía, permite el despliegue operativo de

sistemas de detección de intrusos en la información de la
empresa [3].