ISO 26000

El tema de Responsabilidad Social a nivel internacional y nacional cada día cobra mayor interés
entre las Organizaciones debido a la conciencia y necesidad de mantener un comportamiento
socialmente responsable que permita contribuir al Desarrollo Sostenible.

La Norma ISO 26000:2010 hace énfasis en que el desempeño de una organización con la sociedad
y con su impacto con el medio ambiente será una parte crítica al medir su desempeño integral y su
habilidad para operar de manera eficaz.

ISO 26000:2010 proporciona orientación sobre los Principios y Materias Fundamentales de

Responsabilidad Social que ayudan a integrar un comportamiento socialmente responsable en
cualquier organización del sector privado, público y sin fines de lucro, independientemente si son
grandes, medianas o pequeñas y operan en países desarrollados o en países en desarrollo.

Guía de Responsabilidad Social

ISO 26000 no es una norma de sistema de gestión. No contiene requisitos y, como tal, no puede
utilizarse para la certificación. Cualquier oferta para certificar, o declaraciones para certificar,
según ISO 26000 sería una tergiversación de su intención y propósito.

Responsabilidad Social: Responsabilidad de una Organización ante los impactos que sus

decisiones y actividades ocasionan en la sociedad y en el medio ambiente, mediante un

comportamiento ético y transparente que:

 contribuya al desarrollo sostenible, incluyendo la salud y el bienestar de la

sociedad;

 tome en consideración las expectativas de sus partes interesadas,

 cumpla con la legislación aplicable y sea coherente con la normativa internacional

de comportamiento, y

 está integrada en toda la Organización y se lleve a la práctica en sus relaciones.

 Organización: Entidad o grupo de personas e instalaciones con responsabilidades,

autoridades y relaciones establecidas y objetivos identificables.

 Impacto de una organización: Cambio positivo o negativo que se genera en la sociedad, la

economía o el medio ambiente, producido en su totalidad o parcialmente, como

consecuencia de las decisiones y actividades pasadas y presentes de una Organización.

 Medio ambiente: Entorno natural en el cual una organización opera, incluyendo aire, el

agua, el suelo, los recursos naturales, la flora, la fauna, los seres humanos, el espacio

exterior y sus interrelaciones.

 Comportamiento ético: Comportamiento acorde con los principios de correcta o buena

conducta aceptados en el contexto de una situación determinada y que es coherente con

la normativa internacional de comportamiento.

 Desarrollo sostenible: Desarrollo que satisface las necesidades del presente sin

comprometer la capacidad de las generaciones futuras para satisfacer sus propias

necesidades.

 Partes interesadas: Individuo o grupo que tiene interés en cualquier decisión o actividad

de la Organización.

 Normativa internacional de comportamiento: Expectativas de comportamiento

organizacional socialmente responsable derivadas del acuerdo internacional

consuetudinario, principios de derecho internacional generalmente aceptados o acuerdos

intergubernamentales, reconocidos de manera universal o casi universal.

 Igualdad de Género: Trato equitativo para mujeres y hombres.

 Gobernanza de la Organización: Sistema por el cual una Organización toma e implementa

decisiones con el fin de lograr sus objetivos.

 Transparencia: Apertura respecto a las decisiones y actividades que afectan a la sociedad,

la economía y el medio ambiente, y voluntad de comunicarlas de manera clara, exacta,

oportuna, honesta y completa.

 Trabajador: Persona que desempeña un trabajo, ya sea un empleado o alguien que trabaja

por cuenta propia.

  Se mejora la reputación de la empresa al trasmitir a la sociedad su
compromiso con esta y con el desarrollo sostenible.
 Se consigue una mejora y un aumento de la ventaja competitiva, ya que
conseguimos una diferenciación con las otras empresas que comparten su
mercado.
 En el campo de la gestión interna de la organización, aporta una
capacidad para motivar y promover el compromiso y la productividad de
los trabajadores y así conseguir que este talento interno que dispone la
empresa se mantenga dentro de la organización. Una buena situación interna
repercute positivamente a los clientes directos y también a los inversionistas,
donantes, patrocinadores y comunidad financiera.
 Mejora la relación con las empresas, gobiernos, medios de
comunicación, proveedores, organizaciones de la competencia, clientes y
la sociedad que compone el entorno de la empresa.

* Falta de conocimiento del tema y de su aplicación al interior de la empresa.

* La retorica aun precede a la práctica
*Todas las iniciativas son voluntarias y por lo general no existe un monitoreo firme ni
sanciones firmes.
*La dirección debe buscar un equilibrio que responda tanto a las peticiones de los  accionistas
como a la sociedad en genera.
*La responsabilidad social puede llegar a generar cierta controversia porque significa dejar de
ser individualistas y perseguirlo de forma colectiva.

Las principales características de la ISO 26000 son:

 Es una norma global dirigida a todo tipo de organizaciones, sin importar si operan en
países desarrollados o en países en desarrollo.
 Es un estándar único aplicable a cualquier tipo de organización.
 La ISO 26000 contiene recomendaciones no requisitos, ya que no es una norma
jurídica, tiene carácter voluntario.
 No está elaborada para ser certificada.
 No es un sistema de gestión ni es compatible con otras normas ya existentes tanto el
ámbito de la responsabilidad social como en otros, por ejemplo, calidad.
 Trata de hacer operativa la Responsabilidad Social para ayudar a las organizaciones a
su implementación y mantenimiento.
 Contiene sugerencias, ideas e indicaciones sobre cómo ponerla en práctica
 ISO 27001
ISO 27001:2013 

Sistemas de Gestión de la Seguridad de la Información

las ventajas y las desventajas que presenta la nueva ISO 27001:2013.

Las ventajas son las siguientes:

 Mejora la integración con otros Sistemas de Gestión, ya que se encuentra con la

estructura de alto nivel (Anexo SL), donde los términos y las definiciones ayudan a
implementar.

 Todas las defunciones que encontramos en el estándar ISO 27001 y las

inconsistencias se han eliminado.

 Los riesgos en la Seguridad de la Información debe ser abordada en su conjunto.

 Todos los documentos que se encuentran requeridos están claramente

establecidos y hacen referencia, tanto al tamaño de la organización como a la complejidad
de esta.

 Se mencionan todas las acciones preventivas que no existían anteriormente.

Las desventajas de la norma ISO 27001 son:

 Es una abstracción y es un nivel alto, que no se encuentran detallados.

 Todos los requisitos son un tanto más difíciles de interpretar, ya que se incorporan
nuevos conceptos.

 No se menciona en ningún momento en toda la norma el enfoque que se le dá al

PDCA.

 No se mencionan en ningún momento las políticas dentro del Sistema de Gestión

de Seguridad de la Información.

 No podemos encontrar una descripción detallada de la identificación de los

riesgos

1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN. (inglés:

Information security incident management). Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad
de la información.
2. GESTIÓN DE RIESGOS. (inglés: Risk management). Actividades coordinadas
para dirigir y controlar una organización con respecto al riesgo. Se compone
de la evaluación y el tratamiento de riesgos.
3. HUMPHREYS, TED. Experto en seguridad de la información y gestión del
riesgo, considerado “padre” de las normas BS 7799 e ISO 17799 y, por tanto,
de ISO 27001 e ISO 27002.
4. IDENTIFICACIÓN DE RIESGOS. (inglés: Risk identification). Proceso de
encontrar, reconocer y describir riesgos.
5. International Electrotechnical Commission. Organización internacional que
publica estándares relacionados con todo tipo de tecnologías eléctricas y
electrónicas.
6. Instituto de Auditores Internos.
7. (inglés: Impact). El coste para la empresa de un incidente -de la escala que
sea-, que puede o no ser medido en términos estrictamente financieros -p.ej.,
pérdida de reputación, implicaciones legales, etc.
8. INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN. (inglés: Information
security incident). Evento único o serie de eventos de seguridad de la
información inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la
seguridad de la información.
9. (inglés: Integrity). Propiedad de la información relativa a su exactitud y
completitud.
10. INVENTARIO DE ACTIVOS. (inglés: Assets inventory). Lista de todos
aquellos recursos (físicos, de información, software, documentos, servicios,
personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para
la organización y necesiten por tanto ser protegidos de potenciales riesgos.
11. ACCIÓN CORRECTIVA. (inglés: Corrective action). Acción para eliminar la
causa de una no conformidad y prevenir su repetición. Va más allá de la
simple corrección.
12. ACCIÓN PREVENTIVA. (inglés: Preventive action). Medida de tipo proactivo
orientada a prevenir potenciales no conformidades. Es un concepto de ISO
27001:2005. En ISO 27001:2013, ya no se emplea; ha quedado englobada
en Riesgos y Oportunidades.
13. ACEPTACIÓN DEL RIESGO. (inglés: Risk acceptance). Decisión informada de
asumir un riesgo concreto.
14. (inglés: Asset). En relación con la seguridad de la información, se refiere a
cualquier información o elemento relacionado con el tratamiento de la
misma (sistemas, soportes, edificios, personas…) que tenga valor para la
organización.
15. (inglés: Scope). Ámbito de la organización que queda sometido al SGSI.
 16. (inglés: Threat). Causa potencial de un incidente no deseado, que puede
provocar daños a un sistema o a la organización.
17. ANÁLISIS DE RIESGOS. (inglés: Risk analysis). Proceso para comprender la
naturaleza del riesgo y determinar el nivel de riesgo.
18. ANÁLISIS DE RIESGOS CUALITATIVO. (inglés: Qualitative risk analysis).
Análisis de riesgos en el que se usa algún tipo de escalas de valoración para
situar la gravedad del impacto y la probabilidad de ocurrencia.
19. ANÁLISIS DE RIESGOS CUANTITATIVO. (inglés: Quantitative risk analysis).
Análisis de riesgos en función de las pérdidas financieras que causaría el
impacto.
20. (inglés: Auditor). Persona encargada de verificar, de manera independiente,
el cumplimiento de unos determinados requisitos.
21. AUDITOR DE PRIMERA PARTE. (inglés: First party auditor). Auditor interno
que audita la organización en nombre de ella misma.
22. AUDITOR DE SEGUNDA PARTE. (inglés: Second party auditor). Auditor que
audita una organización en nombre de otra. Por ejemplo, cuando una
empresa audita a su proveedor de outsourcing, o cuando una
administración pública ordena una auditoría de una empresa.
23. AUDITOR DE TERCERA PARTE. (inglés: Third party auditor). Auditor que
audita una organización en nombre de una tercera parte independiente
que emite un certificado de cumplimiento.
24. AUDITOR JEFE. (inglés: Lead auditor). Auditor responsable de asegurar la
conducción y realización eficiente y efectiva de la auditoría, dentro del
alcance y del plan de auditoría acordado.
25. AUDITORÍA. (inglés: Audit). Proceso sistemático, independiente y
documentado para obtener evidencias de auditoriía y evaluarlas
objetivamente para determinar el grado en el que se cumplen los criterios
de auditoría.
26. AUTENTICACIÓN. (inglés: Authentication). Provisión de una garantía de
que una característica afirmada por una entidad es correcta.

Se establecer ciertas condiciones a la hora de establecer un acuerdo definiendo los

requisitos necesarios que satisfacen la seguridad de la información:

 La política de Seguridad de la Información.

 Los controles que aseguran la protección del activo.

 Capacitar los métodos, procedimientos y seguridad tanto para el usuario como

para el administrador.
 Asegurar el conocimiento del usuario en temas y responsabilidades de Seguridad
de la Información.

 Disposición para trasferir personal, cuando se apropiado.

 Las responsabilidades con respecto a la instalación y el mantenimiento del

software.

 Genera una clara estructura y formatos.

 Especificar procesos de cambio en la gestión.

 Política de control de acceso.

 Arreglar reportes, notificar e investigar los diferentes accidentes sobre Seguridad

de la Información.

 Describir el producto que ha sido provisto y generar una descripción de la

información que se encuentra disponible con la clasificación de seguridad realizada por la
organización.

 Obtener el objetivo de nivel de servicio y los niveles que no son aceptables.

 Definir el criterio de comprobación de funcionamiento, control y reporte.

 Se debe tener derecho de controlar y anular cualquier actividad que se encuentre

relacionada con los activos de información de la empresa.

 Derecho a auditar las responsabilidades definidas en el acuerdo, para que estas

auditorías sean realizadas por terceras personas.

 Establecer el proceso necesario para resolver todos los problemas lo más rápido
posible.

 Requisitos continuos de servicios, en el que se incluyen las medidas de

disponibilidad y la confiabilidad.

 Establecer todas las responsabilidades de las diferentes partes del acuerdo.

 Determinar cuáles son las responsabilidades con respecto a temas legales y
asegurarse de que los requerimientos legales sean conocidos.

 Definir cuáles son los derechos de propiedad intelectual y la asignación del

copyright, además de cualquier tipo de protección.

 Implicar a los subcontratados en los controles de seguridad.

 Generar condiciones para renegociar los acuerdos.

 ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario

a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más
claro de la serie y la relación entre los diferentes documentos que la conforman.
 UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información
(SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la
norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información.
Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su
Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO
27002 (anteriormente denominada ISO 17799).

 ISO/IEC 27002: (anteriormente denominada ISO 17799). Guía de buenas prácticas

que describe los objetivos de control y controles recomendables en cuanto a seguridad de
la información con 11 dominios, 39 objetivos de control y 133 controles.

 ISO/IEC 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una

guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los
requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y
en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones
y guías de implantación.

 ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de
medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y
de los controles relacionados.

 ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del
riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la
implantación de un SGSI. Incluye partes de la ISO 13335.

 ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación
de entidades de auditoría y certificación de sistemas de gestión de seguridad de la
información.

 ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011 y revisada el 09 de Octubre de 2017. No certificable. Es
una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. En
España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org.

 ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles
seleccionados en el marco de implantación de un SGSI. En España, esta norma no está
traducida. El original en inglés puede adquirirse en iso.org. Actualmente en proceso de
revisión para su actualización.

 ISO/IEC 27009:
Publicada el 15 de Junio de 2016. No certificable. define los requisitos para el uso de la norma
ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector industrial). El
documento explica cómo refinar e incluir requisitos adicionales a los de la norma ISO/IEC
27001 y cómo incluir controles o conjuntos de control adicionales a los del Anexo A.

 ISO/IEC 27010:
Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015. Consiste en una
guía para la gestión de la seguridad de la información cuando se comparte entre
organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio
y difusión de información sensible, tanto públicas como privadas, a nivel nacional e
internacional, dentro de la misma industria o sector de mercado o entre sectores. En
particular, puede ser aplicable a los intercambios de información y participación en relación
con el suministro, mantenimiento y protección de una organización o de la infraestructura
crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.

 ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008 y revisada en Diciembre de 2016. Es una guía de
interpretación de la implementación y gestión de la seguridad de la información en
organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada
también como norma ITU-T X.1051. El original en inglés puede adquirirse en iso.org.

 ISO/IEC 27013:
Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015. Es una guía de
implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y
de ISO/IEC 20000-1 (gestión de servicios TI). Actualmente finalizando el proceso de revisión
para su actualización.

 ISO/IEC 27014:
Publicada el 23 de Abril de 2013. Consiste en una guía de gobierno corporativo de la seguridad
de la información.

 ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del
sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. Desde 24 de Julio,
de 2017 se anuncia que no será actualizada en relación a las novedades de la norma ISO/IEC
27002:2013 aunque sigue disponible para su adquisición por parte de los interesados.

 ISO/IEC TR 27016:
Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la
seguridad de la información.

 ISO/IEC 27017:
Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para Cloud Computing
alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube.

 ISO/IEC 27018:
Publicada el 29 de Julio de 2014. Es un código de buenas prácticas en controles de protección
de datos para servicios de computación en cloud computing.
  ISO/IEC TR 27019:
Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de
sistemas de control específicos relacionados con el sector de la industria de la
energía. Actualizada como ISO/IEC 27019:2017 en Octubre de 2017 para su alineación con
ISO/IEC 27002:2013, además de la aplicación a los sistemas de control de procesos (p.ej. PLCs)
utilizados por la industria de la energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y
calor y para el control de los procesos de soporte asociados, también incluye un requisito para
adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a
la orientación específica del sector de servicios de energía.

 ISO/IEC 27021:
En desarrollo, el desarrolla los requisitos de las competencias requeridas para los
profesionales dedicados a los sistemas de gestión para la seguridad de la información.

 ISO/IEC TR 27023:
Publicada el 02 de Julio de 2015. No certificable. Es una guía de correspondencias entre las
versiones del 2013 de las normas ISO/IEC 27001 y ISO/IEC 27002 como apoyo a la transición de
las versiones publicadas en 2005. En España, esta norma no está traducida. El original en
inglés puede adquirirse en iso.org

 ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de
las tecnologías de información y comunicación (TIC) de una organización para la continuidad
del negocio. El documento toma como referencia el estándar BS 25777. En España, esta norma
no está traducida. El original en inglés puede adquirirse en iso.org

 ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de
seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias
en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las
redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP).
Cubre las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta
norma establece una descripción general de Seguridad Cibernética, una explicación de la
relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes
interesadas y una descripción de su papel en la seguridad cibernética, una orientación para
abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes
interesadas a que colaboren en la solución de problemas en la ciberseguridad.

 ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 6 partes:
27033-1, conceptos generales (Publicada el 15 de Diciembre de 2009 y revisada el 10 de
Octubre de 2015); 27033-2, directrices de diseño e implementación de seguridad en redes
(Publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (Publicada el 3
de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante
gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5, aseguramiento de
comunicaciones mediante VPNs (Publicada el 29 de Julio de 2013); 27033-6, securización de
redes IP wireless (Publicada en Junio de 2016).

 ISO/IEC 27034:
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas,
consistente en 7 partes: 27034-1, conceptos generales (Publicada el 21 de Noviembre de 2011);
27034-2, marco normativo de la organización (Publicadael 15 de Agosto de 2015); 27034-3,
proceso de gestión de seguridad en aplicaciones (publicada en Mayo 2018); 27034-4,
validación de la seguridad en aplicaciones (en fase de desarrollo); 27034-5, estructura de datos
y protocolos y controles de seguridad de aplicaciones (Publicada el 09 de Octubre de 2017);
27034-6, guía de seguridad para aplicaciones de uso específico (Publicada en Octubre de
2016); 27034-7, marco predictivo de en la seguridad (publicada en Mayo 2018).

 ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de
seguridad en la información. Consta de 3 partes: 27035-1, Principios en la gestión de
incidentes (Publicada en Noviembre de 2016); 27035-2, guías para la elaboración de un plan de
respuesta a incidentes (Publicada en Noviembre de 2016); 27035-3, guía de operaciones en la
respuesta a incidentes (que el momento está parado sus desarrollo).

 ISO/IEC 27036:
Guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general
y conceptos (Publicadael 24 de Marzo de 2014); 27036-2, requisitos comunes (Publicada el 27
de Febrero de 2014); 27036-3, seguridad en la cadena de suministro TIC (Publicada el 08 de
Noviembre de 2013); 27036-4, guía de seguridad para entornos de servicios Cloud
(Publicada en Octubre de 2016).

 ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las
actividades relacionadas con la identificación, recopilación, consolidación y preservación de
evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria,
dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de
video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor
probatorio y en el intercambio entre las diferentes jurisdicciones.

 ISO/IEC 27038:
Publicada el 13 de Marzo de 2014. Es una guía de especificación para seguridad en la
redacción digital.

 ISO/IEC 27039:
Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliege y operativa de
sistemas de detección y prevención de intrusión (IDS/IPS). Existe una (corrección al contenido
inicial de 28 de Abril de 2016).

 ISO/IEC 27040:
Publicada el 05 de Enero de 2015. Es una guía para la seguridad en medios de
almacenamiento.

 ISO/IEC 27041:
Publicada el 19 de Junio de 2015. Es una guía para la garantizar la la idoneidad y adecuación de
los métodos de investigación.

 ISO/IEC 27042:
Publicada el 19 de Junio de 2015. Es una guía con directrices para el análisis e interpretación
de las evidencias digitales.

 ISO/IEC 27043:
Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos de investigación para la
recopilación de evidencias digitales.

 ISO/IEC 27050:
Norma desarrollada en tres partes sobre la información almacenada en dispositivos
electrónicos en relación a su identificación, preservación, recolección, procesamiento, revisión,
análisis y producción: 27050-1, conceptos generales (Publicada en Noviembre de 2016); 27050-
2, Guía para el gobierno y gestión (En desarrollo); 27050-3, código de buenas prácticas (En
desarrollo).

 ISO/IEC TR 27103:2018:
Publicada el 22 de Febrero de 2018. Norma desarrollada Primera edición para proporcionar
orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad.

 ISO 27799:
Publicada el 12 de Junio de 2008 dispone de una segunda revisión actualizada desde Julio
2016. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en
el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los
datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el
subcomité JTC1/SC27, sino el comité técnico TC 215.
CARACTERISTICAS

Principales características
Análisis de riesgo
La norma exige que la empresa haga un análisis de riesgos de seguridad
periódicamente y siempre que se propongan o se establezcan cambios
significativos. Para que este análisis se haga de la manera correcta, es necesario
establecer criterios de aceptación de riesgo así como la definición de cómo esos
riesgos serán medidos.

También se deben evaluar las posibles consecuencias de los riesgos identificados,

la probabilidad de que ocurran y sus niveles.

Compromiso de alta dirección

La norma también exige que la alta dirección demuestre compromiso con el
SGSI, además de ser esa parte de la empresa ella misma la responsable por la
seguridad de la información. Los líderes son también responsables de asegurar
que todos los recursos para la implantación del sistema estén disponibles y
asignados correctamente, y además tienen la obligación de orientar a los
colaboradores para que el sistema sea verdaderamente eficiente.

Definición de objetivos y estrategias

Durante la planificación, la empresa necesita tener muy claro cuáles son sus
objetivos de seguridad y cuáles serán las estrategias establecidas para alcanzar
esos objetivos. Los objetivos, sin embargo, no pueden ser genéricos, deben ser
mensurables y tener en cuenta los requisitos de seguridad.

Recursos y competencias
La organización también debe garantizar que todos los recursos necesarios no
sólo para la implementación, sino que también para el mantenimiento del sistema
estén disponibles. Además, es necesario establecer cuáles son las competencias
necesarias y garantizar que las personas responsables sean suficientemente
calificadas, incluso con documentación comprobatoria.

Documentación de la información
La norma exige que toda la información sea apropiadamente documentada, con
identificación, definición y formato. La información debe actualizarse siempre
que haya cambios en las definiciones iniciales del proyecto, siendo necesario que
se aprueben los cambios antes de que sean formalizados y consolidados.
Seguimiento de rendimiento
En ese momento, los objetivos definidos en pasos anteriores deben ser medidos y
acompañados, a través de la aplicación de indicadores que posibiliten análisis de
la eficiencia del sistema.

Mejora continua
Una vez que se alcancen los objetivos en cuanto al sistema, es necesario que la
empresa implemente y mantenga un sistema de mejora continua a fin de corregir
no conformidades. Esta mejora se puede llevar a cabo, por ejemplo, usando
análisis críticos por la dirección y también con auditorías internas.