Sistema de gestión de la seguridad de la

información
Vergara Ávila Moises Eduardo
Universidad Popular del Cesar
Valledupar, Colombia
mevergara@unicesar.edu.co

 las empresas existen los llamados estándares de seguridad de la

Resumen—Este documento tiene como tema principal los
estándares, más específicamente los estándares o normas de la
seguridad informática, una breve definición de que es un estándar
además de la diferencia que hay entre estándar y modelo, cuáles
son sus ventajas y desventajas, así como las normas ISO enfocadas
en la seguridad informática y los diferentes modelos y
certificaciones.
Palabras clave—ISO, Estándar, SGSI, Seguridad.
información, que son herramientas que utilizan las
organizaciones para minimizar vulnerabilidades, aumentar su
protección y capacitar a su personal fortificando así la
protección de dicho activo, esto permite que las empresas
formen un gran muro contra delincuentes que intenten robar o
destruir su información, a continuación se hablara más a fondo
de dichos estándares.

Abstract— This document has as its main theme the standards,
beyond the information security standards, a brief definition of
what is the same standard, the difference between the standards
and the standards. Focus on computer security and the different
models and certifications.
Keywords— ISO, Standard, ISMS, Security.
I. INTRODUCCIÓN
La información, ha sido vital a lo largo de la historia, y con el
paso del se ha vuelto más y más importante, en especial cuando
se habla de información importante para una organización ya
que ayuda a la toma de decisiones a evitar que se comentan
errores incluso para eliminar empresas rivales, por este motivo
cada vez las organizaciones buscan formas de mantener segura
ese valioso activo ya que con el paso del tiempo aumenta el
número de personas que buscan debilidades en la seguridad de
una empresa por cual pueda tener acceso a información valiosa
que puede ser usada para destruir dicha empresa.
II. ¿QUÉ ES UN ESTANDAR?
Son un grupo de normas que desarrollo la SGSI y la IEC para
establecer una base o estructura de gestión de la seguridad
informática, con el fin de que las empresas de cualquier tipo las
implementen, asi proteger la información vital de cada entidad.
III. DIFERENCIAS ENTRE UN MODELO Y ESTÁNDAR
Modelo: es un sistema diseñado espacial mente para satisfacer
y cubrir puntos críticos en la seguridad.
Estándar: son los conocimientos o acciones mínimas que se
deben tener en cuenta para proteger información y evitar las
infiltraciones.
IV. MODELO VENTAJAS Y DESVENTAJAS
Ventajas: al ser un diseño su implementación es mucho más
segura y estable, lo que ofrece mayor seguridad. Su diseño es
único.

Teniendo en cuenta lo anterior, existe algo llamado estándares
las cuales son normar comúnmente aceptadas que permite la
colaboración entre distintas empresas e instituciones, pero eso
no significa que no pueda ver competencia entre ella, antes por
el contrario ayuda a que dicho competencia se haga de forma
limpia y en equidad, los estándares establecidos entre las
diversas organizaciones no solo beneficia a ellas como tal si
también a sus clientes ya que al estar normalizadas los clientes
tienen múltiples opciones.
Desventajas: mayores costos, esfuerzos de implementación,
formación, planificación requieren tiempo y recursos.
V. ESTANDAR VENTAJAS Y DESVENTAJAS
Ventaja: permite entender y crear un plan de gestión de normas
en la seguridad de información, para establecer una mayor
confianza con las partes interesadas de que su información está
segura. permite instaurar una estructura o marco idónea para la
gestión de la seguridad informática. ahorra costos.

Volviendo al tema de la información y su gran importancia para Desventajas: tiene puntos vulnerables que pueden suponer un
problema de seguridad lo que es menos confiable que uno
modelado.
VI. ISO 17799
ISO / IEC 17799: 2005 establece pautas y principios generales
para iniciar, implementar, mantener y mejorar la gestión de la
seguridad de la información en una organización. Los objetivos
descritos proporcionan orientación general sobre los objetivos
comúnmente aceptados de la gestión de la seguridad de la
información [1].
La principal funcion de esta norma es normalizar la gestion de
la seguridad para que las empresas tengan una guia paso por
paso de como llevar a cabo la gestion de su informcion de forma
integra, ya que como se sabe la informacion se ha vuelto uno de
los activos mas importantes de una empresa, y este estandar es
una grana ayuda mas que todo para el sector empresarial.
ISO / IEC 17799: 2005 contiene las mejores prácticas de
control de objetivos y controles en las siguientes áreas de
gestión de seguridad de la información [1]:
• politica de seguridad;
• organización de la seguridad de la información;
• gestión de activos;
• seguridad de los recursos humanos;
• seguridad física y ambiental;
• gestión de comunicaciones y operaciones;
• control de acceso;
• adquisición, desarrollo y mantenimiento de sistemas de
información;
• gestión de incidentes de seguridad de la información;
• gestión de la continuidad del negocio;
• Cumplimiento.
Esta norma tiene un objetivo muy claro el cual es brindar un
punto de partida general para las normas de seguridad con las
cuales debe contar una organización, y así poder hacer un uso
de su información con el nivel de riesgo mínimo.
La ISO 17799 está pensado como una base común y una guía
práctica para desarrollar estándares de seguridad
organizacionales y prácticas de administración de seguridad
efectivas, y para ayudar a construir confianza en actividades
inter-organizacionales [1].
VII. ISO 27000
La ISO 27000 es una norma que busca la mejor manera de
instalar un SGSI dentro de una empresa, y esta norma hace
énfasis en los tres puntos más importantes para información de
una organización que son, la confidencialidad, la integridad y
la disponibilidad, llevando a cabo estos tres pilares se puede
garantizar que la información de una empresa esta optimizada
totalmente lo cual ayudara en la toma de decisiones.
ISO / IEC 27000: 2018 proporciona una visión general de los
sistemas de gestión de seguridad de la información (SGSI).
También proporciona términos y definiciones que se usan
comúnmente en la familia de estándares ISMS. Este documento
es aplicable a todos los tipos y tamaños de organizaciones (por
ejemplo, empresas comerciales, agencias gubernamentales,
organizaciones sin fines de lucro) [2].
Para aquellos no tienen claro lo que es un SGSI es el acrónimo
para Sistema de Gestión de los Sistemas de información, que en
ingles se conoce como ISMS (information security
management system) que son un conjunto de reglas para la
gestión de la información.
VIII. ISO 27001
contar con una certificación en ISO 27001 demuestra que se
cuentan con las habilidades para gestionar la seguridad de una
empresa con las normas básica regidas internacionalmente, esto
también es una garantía para todos sus usuarios con los que
cuente actualmente, ya que al ser acreedor de este certificado
demuestra que su empresa maneja muy bien la integridad de sus
datos, lo que habla muy bien de ella y puede ser la causa de
nuevos clientes.
la ISO 27001 está basada en el estándar BS7799 estándar credo
por British Standards Institution (BSI) la cual está compuesta
de diversos controles de seguridad, y un buen uso de sus
metodologías indicadas. Se puede decir también que es la
versión mejorada de la ISO 17799, teniendo como resultado
otro sistema de gestión de la información más sólido.
ISO / IEC 27001: 2013 especifica los requisitos para establecer,
implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información dentro del contexto de
la organización. También incluye requisitos para la evaluación
y el tratamiento de los riesgos de seguridad de la información
adaptados a las necesidades de la organización. Los requisitos
establecidos en ISO / IEC 27001: 2013 son genéricos y están
destinados a ser aplicables a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza [3].
IX. ISO 27002
la ISO 27002 nace como la norma internacional que sirve para
perfeccionar los procedimientos que se viene haciendo con las
antiguas normar como lo son la 17799:2005, siendo una guía
para los controles teniendo en cuenta su nivel de exposición
que tienen los activos más importantes de una organización,
esta al igual que la ISO 27001 está desarrollada de forma
genérica para que pueda ser aplicada a cualquier tipo de
empresa, sea grande, pequeña, privadas o públicas y no se
restringe solo a organizaciones de tecnología.
se puede decir que la ISO 27002 tiene como objetivo principal,
adaptar y actualizar la gestión de la información de una empresa
al mismo tiempo que darle conservación a dicho sistema,
incluyendo los puntos de verificación teniendo en cuenta las
amanezcas que presente la empresa.
ISO / IEC 27002: 2013 proporciona pautas para los estándares
de seguridad de la información de la organización y las
prácticas de gestión de la seguridad de la información, incluida
la selección, implementación y gestión de los controles,
teniendo en cuenta el entorno de riesgo de seguridad de la
información de la organización [4].
la certificación en la ISO 27002 tiene muchos beneficios como
lo son, un enfoque directo en la política de los controles, además
de minimizar los riesgos de la no implementación de un sistema
de gestión de la información, aumentando los conocimientos
sobre la seguridad de la información, también permite
prevención antes las posibles amenazas en contra de los activos
y a la reducción de costos al evitar intentos de violentar la
información de la organización.
Está diseñado para ser utilizado por organizaciones que
pretenden [4]:
 seleccionar controles dentro del proceso de
implementación de un Sistema de Gestión de
Seguridad de la Información basado en ISO / IEC
27001;
 implementar controles de seguridad de la
información comúnmente aceptados;
 Desarrollar sus propias pautas de gestión de
seguridad de la información.
X. ISO 27003 A LA ISO 27005
la ISO 27003 son el conjunto de instrucciones para la labor de
la implementación de un SGSI, la cual brinda apoyo a la ISO
27001, cabe aclarar que la ISO 27003 no tiene certificado
debido a que solo sirve de refuerzo a la ISO 27001.
ISO / IEC 27003: 2010 se enfoca en los aspectos críticos
necesarios para el diseño e implementación exitosos de un
Sistema de Gestión de Seguridad de la Información (SGSI) de
acuerdo con ISO / IEC 27001: 2005. Describe el proceso de
especificación y diseño del SGSI desde el inicio hasta la
producción de los planes de implementación. Describe el
proceso para obtener la aprobación de la gerencia para
implementar un SGSI, define un proyecto para implementar un
SGSI (referido en ISO / IEC 27003: 2010 como el proyecto
SGSI) y proporciona orientación sobre cómo planificar el
proyecto SGSI, lo que resulta en una Plan final de
implementación del proyecto ISMS [5].
la ISO 27004 es la estructura para gestionar la seguridad de la
información de una empresa, brindando tips de técnicas para el
análisis de riesgo que al que se expone los activos de una
organización como lo es la información.
ISO / IEC 27004: 2016 proporciona pautas destinadas a ayudar
a las organizaciones a evaluar el desempeño de seguridad de la
información y la efectividad de un sistema de administración de
seguridad de la información para cumplir con los requisitos de
ISO / IEC 27001: 2013 [6].
la 27005 al igual que la ISO 27003 brinda soporte a la ISO
27001, tratando la administración de los riesgos en la seguridad
de la información sugiriendo medidas para aumentar la
seguridad de la información para reducir los riegos que se
pueden presentar.
La ISO 27005 respalda los conceptos generales especificados
en ISO / IEC 27001 y está diseñado para ayudar a la
implementación satisfactoria de la seguridad de la información
basada en un enfoque de gestión de riesgos [7].
La ISO 27005 está pensada para su aplicación en cualquiera
organización como empresas comerciales, del gobierno o sin
ánimo de lucro siempre y cuando su objetivo se a la gestión de
los riesgos que se le puedan presentar a su compañía.
El conocimiento de los conceptos, modelos, procesos y
terminologías descritos en ISO / IEC 27001 e ISO / IEC 27002
es importante para una comprensión completa de este
documento [7].
XI. ITIL
ITIL es un marco de referencia internacional para la gestión de
los servicios de la tecnología de la información. “esta
metodología fue desarrollada a finales de 1980, y corresponde
a la expresión biblioteca de infraestructura de tecnologías de la
información(ITIL) y se ha convertido en un estándar mundial
de fato en la gestión de servicios informáticos” [8].
por esto que una gran variedad de organizaciones alrededor del
mundo escoge la implementación de este modelo debido a su
excelente praxis para presentación de los servicios
tecnológicos, esto ha causado que cada vez más empresas opten
por contratar personas certificados en esta metodología.
Cualquier persona puede obtener varias de las
certificaciones oficiales de ITIL dichas certificaciones son
otorgadas por la ITIL Certification management board (ICMB)
estas certificaciones son evaluadas por los institutos EXIN e
ISEB.
existe tres niveles de certificación ITIL para profesionales:
1. Foundation Certificate(certificado básico): es el
primer nivel de certificación el cual tiene al
comprender la terminología propia de ITIL junto
con su conocimiento fundamental
2. Practitioner's Certificate(certificado de
responsable): para las personas que llevan a cargo
el diseño de los procesos de gestión del sector de
tecnologías de la información.
3. Manager's Certificate (Certificado de Director):
este certificado es el nivel más rango de los tres
mencionados y certifica que tiene un alto grado de
conocimiento en la administración del
departamento de información además puede liderar
 la implantación de dicha metodología en una
organización.
XII. COBIT
Cobit (Objetivo de Control para la Tecnología de la
Información y Tecnología Relacionada) es un marco de
referencia que describe las mejores prácticas que pueden
utilizar las compañías para controlar la información mediante la
Tecnología de Información (Ti) y los riesgos que conllevan [9].
Es un modelo de evaluación y análisis que se le hace a una
información y un seguimiento, para tener un balance entre los
beneficios y la utilización de sus activos, manteniendo los
niveles de riesgo bajos, Cobit es utilizado por organizaciones
que tienen como base fundamental los procesos de negocios y
la tecnología.
a continuación, se presentan Los 5 pilares de la última versión
de cobit la cual es CobiT 5:
1. complacer las necesidades de los accionistas.
2. consideración de la organización en todos los ámbitos.
3. Aplicar un único modelo de referencia integrado.
4. considerar un enfoque holístico.
5. alejar el gobierno de la administración.
XIII. OSSTMM
El manual de la metodología abierta de comprobación de la
seguridad (OSTMM, Open Source Security Testing
Methodology Manual) representa uno de los estándares
profesionales más completos y utilizados en Auditoria de
Seguridad para analizar la seguridad de los sistemas [10].
Es uno de los manuales más completos con el cual se pueden
realizar pruebas de seguridad de la información, este manual
actualmente está en la versión número tres, y está basado en un
análisis científico objetivo, buscando una metodología solidad
y repetible
OSSTMM se divide en general en seis secciones donde nos
permite identificar las diferentes vulnerabilidades:
 seguridad en los procesos.
 seguridad en las tecnologías de internet.
 seguridad en la comunicación.
 seguridad inalámbrica.
 seguridad física.
XIV. CERTIFICADO CISA
Las siglas CISA corresponden a Certified Information Systems
Auditor, o lo que es lo mismo, se trata de una certificación para
auditores que tiene reconocimiento a nivel mundial. La CISA
cuenta con el respaldo de la Asociación de Control y Auditoría
de Sistemas de Información (ISACA) y, para poder obtener
dicha certificación, hay que cumplir una serie de requisitos
impuestos por este organismo [11].
La Certified Information Systems Auditor se creó en el año
1978 y fueron muchos los motivos que se establecieron para
que finalmente la CISA comenzara a funcionar. Hay que
destacar que esta certificación era necesaria para poder contar
con una herramienta que motivara a los auditores de este tipo
de sistemas. Así, podrían mantener sus habilidades y demostrar
que los programas de mantenimiento pueden ser efectivos. Así
mismo, la CISA fue creada para poder desarrollar una
herramienta que se utilice como método de evaluación para
aquellos profesionales que se dediquen a realizar auditorías de
los sistemas de información. Y, por último, esta certificación
existe con la intención de poder suministrar ayuda y criterios de
gestión para seleccionar a los desarrolladores y al personal en
general [11].
Las personas que quieran acceder a la CISA tienen que superar
un examen que se basa en el Código Profesional de Ética de
ISACA. Los principales requisitos para poder presentarse son
que el candidato cuente con más de 5 años de experiencia, tanto
en control de seguridad informática como interno, así como en
la elaboración de auditorías. También hay que contar con un
programa formativo de manera continuada. Si no se cumplen
estos requisitos, ISACA establece algunas equivalencias que
pueden servir para realizar el examen [11].
XV. CERTIFICACIÓN CISM
Esta certificación la cual es muy útil a para los administradores
de seguridad informática, define los principales estándares en
el desarrollo profesional, que director de proyecto debe tener,
este certificado está respaldado por la ISACA (Information
System Audit and Control Association)
XVI. CERTIFICACIÓN CISSP
CISSP (Certified Information Systems Security Professional)
es un certificado de alto nivel profesional otorgado por la (ISC)
este comprobante es de ayuda para las distintas empresas ya que
permite identificar a los profesionales en el sector de la
seguridad de la información.
dicho certificado tiene la aprobación de ni más ni menos el
Departamento de Defensa de los Estados Unidos debido a su
alta calidad, con el objetivo de mantener su estatus de CISSP
aquellas personas certificadas tienen que presentar un examen
para demostrar que siguen activos en el campo de la seguridad
de la información, y deben obtener un puntaje mínimo
establecido, de lo contrario tendrán que repetir el examen para
no perder su certificación.
XVII. CERTIFICACIÓN COMPTIA SECURITY
certificado de la organización CompTia, la cual es una
proveedora de certificados neutral, por su transparencia tiene
una gran reputación en cuanto a la aplicación de sus exámenes
de forma más compleja que permite aprobar a los altamente
calificados.
El programa de certificación de Comptia es usadas por distintas
organizaciones líderes mundiales de la talla de Amazon, Apple,
Canon, Dell, IBM, Intel, Lenovo entre otras, todo esto por la
alta fiabilidad de sus pruebas.
XVIII. CERTIFICACION CGIT
Es un certificado para administradores de tecnología, está
orientada al reconocimiento de una extensa categoría de
profesionales, por sus habilidades y puesta en prácticas de
gobierno de TI, esta dirigidos para profesionales encargados de
administrar y asesorar temas relacionados con el gobierno de
TI.
XIX. CONCLUSIONES
Los estándares enfocados en la seguridad de la información son
gran aportes a pequeñas y grandes empresas, ya ayuda a
mantener hilo de conocimiento en las cuales los profesionales
pueden seguir, así poder desempeñar su labor en cualquier
organización. Claro está que siga las normas antes
mencionadas.
https://www.iso.org/standard/42105.html. [Último
acceso: 12 mayo 2019].
[6] «International Organization for Standardization,» ISO,
diciembre 2016. [En línea]. Available:
https://www.iso.org/standard/64120.html. [Último
acceso: 12 mayo 2019].
[7] «International Organization for Standardization,» ISO,
julio 2018. [En línea]. Available:
https://www.iso.org/standard/75281.html. [Último
acceso: 12 mayo 2019].
[8] F. J. Toro Lopez, ADMINISTRACION DE
PROYECTOS DE INFORMATICA, Bogota: Ecoe
Ediciones, 2013.
[9] O. Fonseca Luna, Sistemas de Control Interno Para
Organizaciones, Lima - Peru: Instituto de Investigacion
en Accountability y Control - IICO, 2011.
[10] F. D. Gallo, Seguridad Informatica, España: COOMA,
2011.
[11] E. d. Expertos, «Univerisdad Internaciona de Valencia,»
VIU, 19 septiembre 2018. [En línea]. Available:
https://www.universidadviu.com/que-es-la-certificacion-
cisa/. [Último acceso: 15 mayo 2019].

Las certificaciones mantienen la calidad de dichos estándares

además de demostrar que las personas tienen capacidades de
implementación, actualización, y mantenimientos de los
sistemas de información de una empresa.
XXI. BIOGRAFÍA
Por ultimo gracias a los estándares de seguridad las empresas
pueden estar tranquilas al saber que uno de sus activos más Moises Eduardo Vergara Ávila nació en
importante como lo es la información está segura, de personas Colombia – La Jagua de Ibirico, el 3 de
maliciosas que intentan obtenerla de forma ilegal. septiembre de 1996. Estudiante de Ingeniería
de Sistema en la Universidad Popular del
Cesar.

XX. REFERENCIAS

[1] «International Organization for Standardization,» ISO,

JUNIO 2005. [En línea]. Available:
https://www.iso.org/standard/39612.html. [Último
acceso: 10 MAYO 2019].
[2] «International Organization for Standardization,» ISO,
febrero 2018. [En línea]. Available:
https://www.iso.org/standard/73906.html. [Último
acceso: 10 mayo 2019].
[3] «International Organization for Standardization,» ISO,
octubre 2013. [En línea]. Available:
https://www.iso.org/standard/54534.html. [Último
acceso: 11 mayo 2019].
[4] «International Organization for Standardization,» ISO,
octubre 2013. [En línea]. Available:
https://www.iso.org/standard/54533.html. [Último
acceso: 11 mayo 2019].
[5] «International Organization for Standardization,» ISO,
febrero 2010. [En línea]. Available: