ISO/IEC 27000-series

La serie de normas ISO/IEC 27000 son estándares de seguridad publicados

por la Organización Internacional para la Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC).

La serie contiene las mejores prácticas recomendadas en Seguridad de la

información para desarrollar, implementar y mantener Especificaciones para
los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría
de estas normas se encuentran en preparación e incluyen:

 ISO/IEC 27000 - es un vocabulario estándar para el SGSI. Se

encuentra en desarrollo actualmente.
 ISO/IEC 27001 - es la certificación que deben obtener las
organizaciones. Norma que especifica los requisitos para la
implantación del SGSI. Es la norma más importante de la familia.
Adopta un enfoque de gestión de riesgos y promueve la mejora
continua de los procesos. Fue publicada como estándar internacional
en octubre de 2005.
 ISO/IEC 27002 - Information technology - Security techniques - Code
of practice for information security management. Previamente BS
7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas
prácticas para la gestión de seguridad de la información. Fue
publicada en julio de 2005 como ISO 17799:2005 y recibió su nombre
oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
 ISO/IEC 27003 - son directrices para la implementación de un SGSI. Es
el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero de
2010, No está certificada actualmente.
 ISO/IEC 27004 - son métricas para la gestión de seguridad de la
información. Es la que proporciona recomendaciones de quién,
cuándo y cómo realizar mediciones de seguridad de la información.
Publicada el 7 de diciembre de 2009, no se encuentra traducida al
español actualmente.
 ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la
información. Es la que proporciona recomendaciones y lineamientos
de métodos y técnicas de evaluación de riesgos de Seguridad en la
Información, en soporte del proceso de gestión de riesgos de la
norma ISO/IEC 27001. Es la más relacionada a la actual British
Standard BS 7799 parte 3. Publicada en junio de 2008.
 ISO/IEC 27006:2007 - Requisitos para la acreditación de las
organizaciones que proporcionan la certificación de los sistemas de
gestión de la seguridad de la información. Esta norma específica
requisitos específicos para la certificación de SGSI y es usada en
conjunto con la norma 17021-1, la norma genérica de acreditación.
 ISO/IEC 27007 - Es una guía para auditar al SGSI. Se encuentra en
preparación.
 ISO/IEC 27016 - Es una norma de análisis financiero y económico para
los SGSI.
  ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en
la industria de la salud.
 ISO/IEC 27035:2011 - Seguridad de la información – Técnicas de
Seguridad – Gestión de Incidentes de Seguridad. Este estándar hace
foco en las actividades de: detección, reporte y evaluación de
incidentes de seguridad y sus vulnerabilidades.

FUNDAMENTOS DE SEGURIDAD INFORMÁTICA

Estándares BS 7799 (Reino Unido)

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI

(British Standards Institution, la organización inglesa equivalente a AENOR
en España) es responsable de la publicación de importantes normas como:

1979 Publicación BS 5750 - ahora ISO 9001

1992 Publicación BS 7750 - ahora ISO 14001

1996 Publicación BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas
prácticas para la gestión de la seguridad de su información.

El estándar británico BS 7799 es un estándar aceptado ampliamente que ha

sido utilizado como base para elaborar otros estándares de seguridad de la
información incluyendo el ISO 17799

La versión actual de estándar tiene dos partes:

 BS7799-1:1999 Information Security Management. Code of Practice

for Information Security Management (Código de prácticas para la
Gestión de la Información de Seguridad). Es la guía de buenas
prácticas, para la que no se establece un modelo de certificación.

 BS7799-2:1999 Information Security Management. Specification for

Information Security Management Systems (Especificación para
Sistemas de Gestión de Seguridad de la Información). Establece los
requisitos de un sistema de seguridad de la información (SGSI) para
ser certificable por una entidad independiente.

ISO/IEC 27001

Estándar para la seguridad de la información.

ISO/IEC 27001 es un estándar para la seguridad de la información

(Information technology - Security techniques - Information security
management systems - Requirements) aprobado y publicado como estándar
internacional en octubre de 2005 por International Organization for
Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un sistema de gestión de la seguridad de la información (SGSI)
según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las
mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como
ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por
la entidad de normalización británica, la British Standards Institution (BSI).

ISO 27001: Ciclo de Deming

ISO 27001

La norma ISO 27001 incluye el ciclo de Deming, como bien sabemos

consiste en Planificar-Hacer-Verificar-Actuar (PHVA) y puede ser aplicado a
todos los procesos. La metodología PHVA se puede describir de la siguiente
forma:

 Planificar: se establecen los objetivos y los procesos necesarios para

conseguir resultados según las necesidades de los clientes y la
política de seguridad de la organización.
 Hacer: se implantan los procesos.
 Verificar: se revisan y se evalúan tanto lo servicios como los
procesos comprándolos con las políticas, los objetivos y los requisitos
de información sobre los resultados.
 Actuar: comienzan a emprender acciones para mejorar el
rendimiento del Sistema de Gestión Ambiental de forma continua.
Planificación

Se debe realizar una planificación de la implantación y la prestación de la

gestión de servicios. El alcance puede venir definido dentro de parte del
plan de gestión de servicios. La gestión de servicios tiene que estar
planificada. Como mínimo, en dichas planificaciones se debe incluir lo
siguiente:

 El alcance de la gestión de los servicios de la empresa.

 Los requisitos y los objetivos que tiene que cumplir la gestión de
servicios.
 Los procesos que se deben realizar.
 La infraestructura de las funciones y las responsabilidades de gestión,
incluyendo al responsable del proceso y la gestión de proveedores
externos a la organización.
 La interfaz entre todos los procesos de gestión de servicios y el modo
en el que se tiene que coordinar las actividades llevadas a cabo por la
empresa.
 Enfocar lo que se tiene que hacer para poder identificar, evaluar y
gestionar los problemas y los riesgos de llevar a cabo los objetivos
que se han definido.
 El intercambio de información con proyectos que ya estén creados o
en proceso.
 Los recursos, las instalaciones y el presupuesto necesario para
conseguir todos los objetivos que han sido definidos.
 Es la herramienta más adecuada para dar soporte a todos los
procesos del Sistema de Gestión de Seguridad de la Información.

Tiene que existir una gestión clara por parte de la dirección y las
responsabilidades tienen que estar documentadas, revisadas, autorizadas,
comunicadas e implementadas.
En cualquier plan específico de un proceso que se elabore debe ser
compatible con el plan de gestión de servicios de la empresa.

Un plan de gestión de servicios tiene que incluir:

 Implementación de gestión de servicios.

 Facilitar los procesos de gestión de servicios.
 Los cambios en los procesos de gestión de servicios.
 Las mejoras en los procesos de gestión de servicios.
 Nuevos servicios.

Hacer

Implantar los objetivos y planificar la gestión de servicios. La empresa tiene

que implantar el plan de gestión de servicios para poder gestionar de una
forma mucho más segura la información y se debe incluir:

 La asignación de fondos y presupuestos.

 Asignación de funciones y responsabilidades.
 Documentación y mantenimiento de políticas, procedimientos y
definiciones para cada proceso.
 Identificar y gestionar los riesgos para el servicio.
 Gestionar equipos.
 Servicio de atención al cliente y operaciones.
 Informe de progreso y coordinación de procesos de gestión de
servicios.

Verificar

Se tiene que supervisar y verificar todos los objetivos y el plan de gestión de

servicios establecido por la organización, para comprobar que se cumplen.

La empresa tiene que realizar una planificación para poder implementar la

supervisión y la verificación de los procesos de gestión de servicios y los
servicios asociados.

La norma ISO 27001 nos dice que los resultados de la verificación deben
ofrecer información sobre el programa de mejora del servicio. Entre todos
los elementos que se tienen que supervisar, evaluar y analizar se
encuentran:

 Los logros respecto de los objetivos del servicio definido.

 La satisfacción de los clientes.
 La utilización de recursos.
 Las tendencias.
 Las no conformidades.
 Todos los resultados de los análisis que pueden generar una mejora.

Las empresas tienen que aplicar los métodos más adecuados para poder
supervisar y evaluar los procesos de gestión de servicios en el Sistema de
Gestión de Seguridad de la Información.
Todos los métodos tienen que demostrar las capacidades que presentan los
procesos para conseguir los resultados planificados.

Actuar

El objetivo que persigue esta fase es mejorar la eficacia de las prestaciones

y la gestión de los servicios.

Se debe realizar una política, que sea pública, para mejorar el servicio.
Cualquier falta de conformidad con la norma ISO 27001 tiene que ser
remediada. Todas las funciones y las responsabilidades que sean necesarias
para realizar las actividades de mejora del servicio se tienen que definir de
forma clara.

Todas las mejoras de los servicios que propone la organización deben pasar
por ser revisadas, registradas, priorizadas y autorizadas. Se puede utilizar
un plan de mejora del servicio para poder controlar la actividad.

La empresa tiene que disponer de un proceso que identifique, evalúe y

gestione todas las actividades de mejora.

Se tienen que incluir las mejoras del proceso individual para que la persona
responsable del proceso pueda implantar los recursos necesarios y las
mejoras de toda la empresa.

La empresa puede realizar una serie de actividades con las que recopilar
datos para llevar a cabo evaluaciones comparativas de la capacidad de la
empresa; identificar, planificar e implementar las mejoras necesarias;
consultar a las partes interesadas; generar objetivos para conseguir mejorar
la calidad de la seguridad de la información y disminuir los costes. Se tienen
que considerar las aportaciones que se realizan referentemente a las
mejoras que se realizan en el Sistema de Gestión de Seguridad de la
Información ISO 27001. Se debe revisar la política de seguridad y los
procedimientos siempre que sean necesarios.

Estructura

La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra

normalizada por el Instituto Colombiano de Normas y Técnicas y
Certificación ICONTEC. Dicha norma es una adopción idéntica (IDT) por
traducción de la norma ISO/IEC 27001:2013.

Esta norma se encuentra dividida en dos partes; la primera se compone de

10 puntos entre los cuales se encuentran:

1. Objeto y campo de aplicación: Especifica la finalidad de la norma y su

uso dentro de una organización.
2. Referencias normativas
 3. Término y definiciones: Los términos y definiciones usados se basan
en la norma ISO/IEC 27000.
4. Contexto de la organización: Se busca determinar las necesidades y
expectativas dentro y fuera de la organización que afecten directa o
indirectamente al sistema de gestión de la seguridad de la
información. Adicional a esto, se debe determinar el alcance.
5. Liderazgo: Habla sobre la importancia de la alta dirección y su
compromiso con el sistema de gestión, estableciendo políticas,
asegurando la integración de los requisitos del sistema de seguridad
en los procesos de la organización, así como los recursos necesarios
para su implementación y operatividad.
6. Planificación: Se deben valorar, analizar y evaluar los riesgos de
seguridad de acuerdo a los criterios de aceptación de riesgos,
adicional mente se debe dar un tratamiento a los riesgos de la
seguridad de la información. Los objetivos y los planes para logar
dichos objetivos también se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organización, la
competencia de personal, la toma de conciencia por parte de las
partes interesadas, la importancia sobre la comunicación en la
organización. La importancia de la información documentada,
también se trata en este punto.
8. Operación: El cómo se debe planificar y controlar la operación, así
como la valoración de los riesgos y su tratamiento.
9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA
(Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento,
medición, análisis y evaluación del sistema de gestión de la
información.
10.Mejora: Habla sobre el tratamiento de las no conformidades, las
acciones correctivas y a mejora continua.

La segunda parte, está conformada por el anexo A, el cual establece los

objetivos de control y los controles de referencia.

ISO 27001:2013

Existen varios cambios con respecto a la versión 2005 en esta versión 2013.
Entre ellos destacan:

 Desaparece la sección "enfoque a procesos" dando mayor flexibilidad

para la elección de metodologías de trabajo para el análisis de riesgos y
mejoras.
 Cambia su estructura conforme al anexo SL común al resto de
estándares de la ISO.
 Pasa de 102 requisitos a 130.
 Considerables cambios en los controles establecidos en el Anexo A,
incrementando el número de dominios a 14 y disminuyendo el número
de controles a 114.
 Inclusión de un nuevo dominio sobre "Relaciones con el Proveedor" por
las crecientes relaciones entre empresa y proveedor en la nube.
 Se parte del análisis de riesgos para determinar los controles necesarios
y compararlos con el Anexo A, en lugar de identificar primero los activos,
las amenazas y sus vulnerabilidades.

Beneficios que aporta a los objetivos de la organización

 Demuestra la garantía independiente de los controles internos y cumple

los requisitos de gestión corporativa y de continuidad de la actividad
comercial.
 Demuestra independientemente que se respetan las leyes y normativas
que sean de aplicación.
 Proporciona una ventaja competitiva al cumplir los requisitos
contractuales y demostrar a los clientes que la seguridad de su
información es primordial.
 Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que
formaliza unos procesos, procedimientos y documentación de protección
de la información.
 Demuestra el compromiso de la cúpula directiva de su organización con
la seguridad de la información.
 El proceso de evaluaciones periódicas ayuda a supervisar continuamente
el rendimiento y la mejora.

Implantación

La implantación de ISO/IEC 27001 en una organización es un proyecto que

suele tener una duración entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la información y el alcance, entendiendo por
alcance el ámbito de la organización que va a estar sometido al Sistema de
Gestión de la Seguridad de la Información elegido. En general, es
recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma

rigurosa sus sistemas de información y sus procesos de trabajo a las
exigencias de las normativas legales de protección de datos (p.ej., en
España la conocida LOPD y sus normas de desarrollo, siendo el más
importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de
la Ley Orgánica de Protección de Datos) o que hayan realizado un
acercamiento progresivo a la seguridad de la información mediante la
aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una
posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por

representantes de todas las áreas de la organización que se vean afectadas
por el SGSI, liderado por la dirección y asesorado por consultores externos
especializados en seguridad informática generalmente Ingenieros o
Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías,
protección de datos y sistemas de gestión de seguridad de la información
(que hayan realizado un curso de implantador de SGSI).

Certificación

La certificación de un SGSI es un proceso mediante el cual una entidad de

certificación externa, independiente y acreditada audita el sistema,
determinando su conformidad con ISO/IEC 27001, su grado de implantación
real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones

interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación

ISO/IEC 27001 en su primera certificación con éxito o mediante su
recertificación trienal, puesto que la certificación BS 7799-2 ha quedado
reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de

Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión
de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio
Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder
llegar a certificar una organización en varias normas y con base en un
sistema de gestión común.

ISO/IEC 27002

Código de prácticas para los controles de seguridad de la

información

ISO 27002:2013

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para

la seguridad de la información publicado por la Organización Internacional
de Normalización y la Comisión Electrotécnica Internacional. La versión más
reciente es la ISO/IEC 27002:2013.

ISO / IEC 27002: 2013 proporciona directrices para las normas de seguridad
de la información de la organización y las prácticas de gestión de seguridad
de la información, incluida la selección, implementación y gestión de
control, teniendo en cuenta el medio ambiente, el riesgo y la seguridad de
la información de la organización.

Está diseñado para ser utilizado por las organizaciones que pretenden:
 1. Seleccionar los controles dentro del proceso de implementación de un
Sistema de Gestión de Seguridad de la Información basado en la
norma ISO / IEC 27001;
2. Implementar controles de seguridad de la información generalmente
aceptadas;
3. Desarrollar sus propias directrices de gestión de seguridad de la
información.

Precedentes y evolución histórica

El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1

que fue publicado por primera vez en 1995. En el año 2000 la Organización
Internacional de Normalización y la Comisión Electrotécnica Internacional
publicaron el estándar ISO/IEC 17799:2000, con el título de Information
technology - Security techniques - Code of practice for information security
management. Tras un periodo de revisión y actualización de los contenidos
del estándar, se publicó en el año 2005 el documento modificado ISO/IEC
17799:2005.

Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y la

reserva de la numeración 27.000 para la Seguridad de la Información, el
estándar IGFSO/DIEC 17799:2005 pasó a ser renombrado como ISO/IEC
27002 en el año 2007.

Directrices del estándar

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la

gestión de la seguridad de la información a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestión de la
seguridad de la información. La seguridad de la información se define en el
estándar como "la preservación de la confidencialidad (asegurando que sólo
quienes estén autorizados pueden acceder a la información), integridad
(asegurando que la información y sus métodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2013 del estándar describe los siguientes catorce dominios

principales:

1. Organización de la Seguridad de la Información.

2. Seguridad de los Recursos Humanos.
3. Gestión de los Activos.
4. Control de Accesos.
5. Criptografía.
6. Seguridad Física y Ambiental.
7. Seguridad de las Operaciones: procedimientos y responsabilidades;
protección contra malware; resguardo; registro de actividad y
 monitorización; control del software operativo; gestión de las
vulnerabilidades técnicas; coordinación de la auditoría de sistemas de
información.
8. Seguridad de las Comunicaciones: gestión de la seguridad de la red;
gestión de las transferencias de información.
9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de
seguridad de los sistemas de información; seguridad en los procesos
de desarrollo y soporte; datos para pruebas.
10.Relaciones con los Proveedores: seguridad de la información en las
relaciones con los proveedores; gestión de la entrega de servicios por
proveedores.
11.Gestión de Incidencias que afectan a la Seguridad de la Información:
gestión de las incidencias que afectan a la seguridad de la
información; mejoras.
12.Aspectos de Seguridad de la Información para la Gestión de la
Continuidad del Negocio: continuidad de la seguridad de la
información; redundancias.
13.Conformidad: conformidad con requisitos legales y contractuales;
revisiones de la seguridad de la información.

Dentro de cada sección, se especifican los objetivos de los distintos

controles para la seguridad de la información. Para cada uno de los
controles se indica asimismo una guía para su implantación. El número total
de controles suma 114 entre todas las secciones aunque cada organización
debe considerar previamente cuántos serán realmente los aplicables según
sus propias necesidades.

Certificación

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los

requisitos necesarios que puedan permitir el establecimiento de un sistema
de certificación adecuado para este documento.

La norma ISO/IEC 27001 (Information technology - Security techniques -

Information security management systems - Requirements) sí es certificable
y especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información según el
famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas
descritas en ISO/IEC 17799 y tiene su origen en la norma británica British
Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el
propósito de poder certificar los Sistemas de Gestión de la Seguridad de la
Información implantados en las organizaciones y por medio de un proceso
formal de auditoría realizado por un tercero.
ISO/IEC 27003

Guía para la implementación de un Sistema de Gestión de

Seguridad de la Información.

ISO 27003

ISO 27003 es un estándar internacional que constituye una guía para la

implantación de un SGSI.

Se trata de una norma adaptada tanto para los que quieren lanzarse a
implantar un SGSI como para los consultores en su trabajo diario, debido a
que resuelve ciertas cuestiones que venían careciendo de un criterio
normalizado.

ISO-27003 focaliza su atención en los aspectos requeridos para un diseño

exitoso y una buena implementación del Sistema de Gestión de Seguridad
de la Información – SGSI – según el estándar ISO 27001.

Contiene una descripción del proceso de delimitación del SGSI, y además el

diseño y ejecución de distintos planes de implementación.

Especifica el proceso de conseguir una aprobación para la implementación

de un SGSI, define el proyecto para dicho acometido, el cual es llamado en
la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cómo
abordar la planificación de la gestión para implementar el SGSI.

La norma tiene el siguiente contenido:

1. Alcance.
2. Referencias Normativas.
3. Términos y Definiciones.
4. Estructura de esta Norma.
5. Obtención de la aprobación de la alta dirección para iniciar un SGSI.
6. Definición del alcance del SGSI, límites y políticas.
7. Evaluación de requerimientos de seguridad de la información.
8. Evaluación de Riesgos y Plan de tratamiento de riesgos.
9. Diseño del SGSI.
  Anexo A: lista de chequeo para la implementación de un SGSI.
 Anexo B: Roles y responsabilidades en seguridad de la información
 Anexo C: Información sobre auditorías internas.
 Anexo D: Estructura de las políticas de seguridad.
 Anexo E: Monitoreo y seguimiento del SGSI.

ISO/IEC 27004

Medición de la Seguridad de la Información.

ISO 27004

ISO 27004 facilita una serie de mejores prácticas para poder medir el
resultado de un SGSI basado en ISO 27001.

El estándar concreta cómo configurar el programa de medición, qué

parámetros medir, cómo medirlos, y ayuda a las empresas a crear objetivos
de rendimiento y criterios de éxito.

La medición de la seguridad aporta protección a los sistemas de la

organización y da respuesta a las amenazas de la misma.

ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño

y complejidad de la organización, de la relación coste beneficio y del nivel
de integración de la seguridad de la información en los procesos de la propia
organización.

La norma ISO27004 establece cómo se deben constituir estas medidas y

cómo se deben documentar e integrar los datos obtenidos en el SGSI.

Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de
la seguridad de la información son:

 Selección procesos y objetos de medición.

Las empresas deben definir lo que hay que medir y el alcance de la medida.
Sólo se consideran en la medición los procesos bien documentados que son
consistentes y repetibles. Objetos de medición puede ser el rendimiento de
los controles o de procedimientos, el comportamiento del personal.

 Definición de las líneas base.

Los valores base que muestran el punto de referencia deben definirse para
cada objeto que se está midiendo.

 Recopilación de datos.

Los datos deben ser dimensionales precisos y oportunos. Se pueden

emplear técnicas automatizadas de recogida de datos para lograr una
recolección estandarizada y presentar informes.

 Desarrollo de un método de medición.

Según ISO 27004, la secuencia lógica de operaciones se aplica en diversos

atributos del objeto seleccionado para la medición. Se usan indicadores
como fuentes de datos para mejorar el rendimiento de los programas de
seguridad de la información.

 Interpretación de los valores medidos.

Mediante procesos y la tecnología para el análisis y la interpretación de los

valores se deben identificar las brechas entre el valor inicial y el valor de
medición real.

 Comunicación de los valores de medición.

Los resultados de medición del SGSI se comunicarán a las partes

interesadas. Se puede hacer en forma de gráficos, cuadros de mando
operacionales, informes o boletines de noticias.

ISO/IEC 27005

Gestión de riesgos de la Seguridad de la Información.

ISO 27005

ISO 27005 es el estándar internacional que se ocupa de la gestión de

riesgos de seguridad de información. La norma suministra las directrices
para la gestión de riesgos de seguridad de la información en una empresa,
apoyando particularmente los requisitos del sistema de gestión de
seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la
intención de gestionar los riesgos que puedan complicar la seguridad de la
información de su organización. No recomienda una metodología concreta,
dependerá de una serie de factores, como el alcance real del Sistema de
Gestión de Seguridad de la Información (SGSI), o el sector comercial de la
propia industria.

Los usuarios elijen el método que mejor se adapte para, por ejemplo, una
evaluación de riesgos de alto nivel seguido de un análisis de riesgos en
profundidad sobre las zonas de alto riesgo.

La norma incorpora algunos elementos iterativos, por ejemplo si los

resultados de la evaluación no son satisfactorios.

ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones

Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO
/ IEC TR 13335-4:2000.

Las secciones de contenido son:

 Prefacio.
 Introducción.
 Referencias normativas.
 Términos y definiciones.
 Estructura.
 Fondo.
 Descripción del proceso de ISRM.
 Establecimiento Contexto.
 Información sobre la evaluación de riesgos de seguridad (ISRA).
 Tratamiento de Riesgos Seguridad de la Información.
 Admisión de Riesgos Seguridad de la información.
 Comunicación de riesgos de seguridad de información.
 Información de seguridad Seguimiento de Riesgos y Revisión.
 Anexo A: Definición del alcance del proceso.
 Anexo B: Valoración de activos y evaluación de impacto.
 Anexo C: Ejemplos de amenazas típicas.
 Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
 Enfoques ISRA: Anexo E.
Se trata de un estándar que cuenta con una parte principal concentrada en
24 páginas, también cuenta con anexos en los que se incluye ejemplos y
más información de interés para los usuarios.

En estos anexos podemos encontrar tabulados amenazas, vulnerabilidades

e impactos, lo que puede resultar útil para abordar los riesgos relacionados
con los activos de la información en evaluación.

ISO/IEC 27006

Guía para la certificación del SGSI.

ISO 27006

ISO 27006 tiene como título oficial “Tecnología de la información -. Técnicas

de seguridad Requisitos para los organismos que realizan la auditoría y
certificación de sistemas de información de gestión de la seguridad”, se
compone de 10 capítulos y 4 anexos.

El estándar ISO 27006 responde a una guía para los organismos de

certificación en los procesos formales que hay que seguir al auditar SGSI.
Los procedimientos descritos en dicha norma dan la garantía de que el
certificado emitido de acuerdo a ISO 27001 es válido.

ISO-27006 está pensada para apoyar la acreditación de organismos de

certificación que ofrecen la certificación del Sistema de Gestión de
Seguridad de la Información. Se encarga de especificar los requisitos y
suministrar una guía para la auditoría y la certificación del sistema.

Cualquier organización certificada en ISO27001 debe cumplir también con

los requisitos de la norma ISO27006.

El proceso de certificación consiste en auditar el SGSI para el cumplimiento

de ISO 27001. Los auditores de certificación solo tienen interés pasajero en
los controles reales de seguridad de información que están siendo
administrados por el sistema de gestión. Se supone que cualquier empresa
con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de
información con diligencia.

Esta norma se publicó en 2007 y se revisó en 2011.

La próxima versión es probable que sea diferente debido a los cambios

relevantes en las normas en las que se basa.

Los requisitos generales a los que hace referencia son:

 Orientación específica del SGSI en relación con la imparcialidad.

 Listado del trabajo que pudiera estar en conflicto.
 Inclusión de una lista de todas las actividades que se pueden realizar
fuera.

ISO/IEC 27007

Guía para auditar.

ISO 27007

ISO 27007 forma parte de la familia de normas del Sistema de Gestión de

Seguridad de la Información – SGSI –.

La norma suministra una guía para las entidades acreditadas de

certificación para auditar SGSI.

ISO-27007 refleja en gran parte a la norma ISO 19001 (estándar de auditoría

para sistemas de gestión de la calidad y medioambiental). Se encarga de
aportar orientación adicional al SGSI.

Por otro lado también se basa en ISO 17021, Evaluación de la conformidad.

El estándar acoge:

 La gestión del programa de auditoría del SGSI: establecer qué, cuándo y

cómo se debe auditar, asignar auditores apropiados, gestionar los
 riesgos de auditoría, mantenimiento de los registros de la misma, mejora
continua del proceso.

 Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de

auditoría, la planificación, la realización de actividades clave, trabajo de
campo, análisis, presentación de informes y seguimiento.

 Gestión de los auditores del SGSI: competencias, atributos, habilidades,

evaluación…

Esta guía tiene los siguientes fines:

 Confirmar que los controles de seguridad de la información mitigan de

forma correcta los riesgos de la organización.

 Verificar que los controles de seguridad en relación con la contabilidad

general o de los sistemas y procesos de contratación son correctas para
que los auditores corroboren los datos.

 Ratificar que las obligaciones contractuales de los proveedores son

satisfactorias en relación a la seguridad de la información.

 Revisar por la dirección, sin olvidar las operaciones rutinarias que forman
parte del SGSI de una organización, para asegurarnos que todo está en
orden.

 Auditar tras incidentes de seguridad de la información como parte del

análisis y generar acciones correctivas.