SECCIÓN TEC.

DEL DEPARTAMENTO DE ELECTRICA Y

ELECTRONICA

NRC:
6163

ASIGNATURA:
Gestión de la seguridad en tecnologías de la información

Investigación Bibliográfica 1.1

TEMA:
Normas de seguridad

ESTUDIANTE:
Solis Mañay Andres Sebastián

DOCENTE:
Ing. Carlos Casa Guayta

FECHA:
26/05/2021

1
 CONSULTA BIBLIOGRÁFICA

1. TEMA:
Normas de seguridad
2. Introducción:

¿Qué es una norma ISO?

Las normas ISO son documentos que especifican requerimientos que pueden ser
empleados en organizaciones para garantizar que los productos y/o servicios
ofrecidos por dichas organizaciones cumplen con su objetivo. Hasta el momento
ISO (International Organization for Standardization), ha publicado alrededor de
19.500 normas internacionales que se pueden obtener desde la página oficial de
ISO
¿Para qué sirven las normas ISO?

El objetivo perseguido por las normas ISO es asegurar que los productos y/o
servicios alcanzan la calidad deseada. Para las organizaciones son instrumentos
que permiten minimizar los costos, ya que hacen posible la reducción de errores
y sobre todo favorecen el incremento de la productividad.

Los estándares internacionales ISO son clave para acceder a mercados

nacionales e internacionales y de este modo, estandarizar el comercio en todos
los países favoreciendo a los propios organismos públicos.

¿Cómo obtener una norma ISO?

Para obtener un certificado es necesario acreditar ante una entidad certificadora

que se están haciendo las cosas conforme a la norma ISO que se pretende
conseguir. Un proceso que consta de tres fases: documental, evaluación y
calificación. Si el resultado de la fase de calificación es apto, se obtiene la
Certificación. En caso de no apto, la entidad certificadora detallará los errores
detectados.[ CITATION ISO19 \l 12298 ]
Ilustracion.1.- Logo de estándar de ISO

2
3. Desarrollo
¿Qué es ISO 27000?

Las normas que forman la serie ISO/IEC-27000 son un conjunto de estándares creados
y gestionados por la Organización Internacional para la Estandarización (ISO) y la
Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales están
participadas por multitud de países, lo que garantiza su amplia difusión, implantación y
reconocimiento en todo el mundo.
Las series 27000 están orientadas al establecimiento de buenas prácticas en relación con
la implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la
Información (SGSI) o por su denominación en inglés Information Security Management
System (ISMS). Estas guías tienen como objetivo establecer las mejores prácticas en
relación con diferentes aspectos vinculados a la gestión de la seguridad de la
información, con una fuerte orientación a la mejora continua y la mitigación de riesgos.

Tipos de Normas ISO formado de la serie 27000

 ISO 27000: Facilita las bases y lenguaje común para el resto de las normas de la
serie
 ISO 27001: Especifica los requerimientos necesarios para implantar y gestionar
un SGSI. Esta norma es certificable.
 ISO 27002: define un conjunto de buenas prácticas para la implantación del
SGSI, a través de 114 controles, estructurados en 14 dominios y 35 objetivos de
controles.
 ISO 27003: proporciona una guía para la implantación de forma correcta un
SGSI, centrándose en los aspectos importantes para realizar con éxito dicho
proceso.
 ISO 27004: proporciona pauta orientadas a la correcta definición y
establecimiento de métricas que permitan evaluar de forma correcta el
rendimiento del SGSI
 ISO 27005: define como se debe realizar la gestión de riesgos vinculados a los
sistemas de gestión de la información orientado en cómo establecer la
metodología a emplear.
 ISO 27006: establece los requisitos que deben cumplir aquellas organizaciones
que quieran ser acreditadas para certificar a otras en el cumplimiento de la
ISO/IEC-27001
 ISO 27007:es una guía que establece los procedimientos para realizar auditorías
internas o externas con el objetivo d verificar y certificar implementaciones de la
ISO/IEC-27001  
 ISO 27008: define como se deben evaluar los controles del SGSI con el fin de
revisar la adecuación técnica de los mismos, de forma que sean eficaces para la
mitigación de riesgos.

3
  ISO 27009: complementa la norma 27001 para incluir requisitos y nuevos
controles añadidos que son de aplicación en sectores específicos, con el objetivo
de hacer más eficaz su implantación.
 ISO 27010: indica cómo debe ser tratada la información cuando es compartida
entre varias organizaciones, qué riesgos pueden aparecer y los controles que se
deben emplear para mitigarlos, especialmente cuando están relacionados con la
gestión de la seguridad en infraestructuras críticas.
 ISO 27011: establece los principios para implantar, mantener y gestionar un
SGSI en organizaciones de telecomunicaciones, indicando como implantar los
controles de manera eficiente.
 ISO 27013: establece una guía para la integración de las normas 27001 (SGSI) y
20000 Sistema de Gestión de Servicios (SGS) en aquellas organizaciones que
implementan ambas.
 ISO 27014: establece principios para el gobierno de la seguridad de la
información, para que las organizaciones puedan evaluar, monitorizar y
comunicar las actividades relacionadas con la seguridad de la información.
 ISO 27015: facilita los principios de implantación de un SGSI en empresas que
prestan servicios financieros, tales como servicios bancarios o banca electrónica.
 ISO 27016: proporciona una guía para la toma de decisiones económicas
vinculadas a la gestión de la seguridad de la información, como apoyo a la
dirección de las organizaciones.
 ISO 27017: proporciona una guía de 37 controles específicos para los servicios
cloud, estos controles están basados en la norma 27002.
 ISO 27018: complementa a las normas 27001 y 27002 en la implantación de
procedimientos y controles para proteger datos personales en aquellas
organizaciones que proporcionan servicios en cloud para terceros.
 ISO 27019: facilita una guía basada en la norma 27002 para aplicar a las
industrias vinculadas al sector de la energía, de forma que puedan implantar un
SGSI.[ CITATION Glo20 \l 12298 ]

¿Qué es la ISO 31000?

La ISO 31000 es una norma internacional que ofrece las directrices y principios para
gestionar el riesgo de las organizaciones.
Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de
Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones
de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma
efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren
continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de
riesgos en cada una de sus actividades.
Como complemento a esta norma se ha desarrollado otro estándar: la ISO 31010
“Gestión del riesgo. Técnicas de evaluación de riesgos”. Esta norma provee de una serie
de técnicas para la identificación y evaluación de riesgos, tanto positivos como
negativos.

4
 ¿Qué es la norma ISO 31000?
ISO 31000 es la norma internacional para la Gestión de Riesgos. Al proporcionar
principios y Guía exhaustivos, esta norma ayuda a las organizaciones en sus análisis y
evaluaciones de riesgos. Tanto si trabaja en una empresa pública, privada o comunitaria,
puede beneficiarse de la norma ISO 31000, puesto que se aplica a la mayoría de las
actividades empresariales, incluyendo la planificación, operaciones de gestión y
procesos de comunicación. Aunque todas las organizaciones gestionan los riesgos de
algún modo, las recomendaciones de mejores prácticas de esta norma internacional se
desarrollaron para mejorar las técnicas de gestión y garantizar la seguridad en el lugar
de trabajo en todo momento.

Mediante la implantación de los principios y Guía de la norma ISO 31000 en su

organización, podrá mejorar su eficacia operativa, su gobernanza y la confianza de las
partes interesadas, al mismo tiempo que minimiza cualquier posible pérdida. Esta norma
internacional también le ayuda a fomentar el desempeño de Seguridad y Salud,
establecer una base sólida para la toma de decisiones y fomentar una gestión proactiva
en todas las áreas.[ CITATION bsi23 \l 12298 ]

Estructura de la norma ISO 31000

La variedad y complejidad de los riesgos es muy diversa por lo que éste estándar
internacional desarrollado por la ISO (International Organization for Standardization)
no está pensado para un sistema particular de gestión, más bien es una guía de buenas
prácticas para las actividades relacionadas con la gestión de riesgos.
El diseño y la implantación de la gestión de riesgos dependerán de las diversas
necesidades de cada organización, de sus objetivos concretos, contexto, estructura,
operaciones, procesos actividades, servicios, etc.
El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva
gestión de riesgos:
Los principios para la gestión de riesgos: para una mayor eficacia, la gestión del riesgo
en una organización la estructura de soporte o marco de Trabajo. El objetivo de este
elemento es integrar el proceso de gestión de riesgos con la dirección, para que esta
adquiera un fuerte compromiso con la implantación de la Gestión del Riesgo.

En este caso la norma establece una serie de órdenes que debe cumplir la gerencia para
asegurar la efectividad de la gestión de riesgos el proceso de gestión de riesgos: este
proceso consta de tres etapas: establecimiento del contexto, valoración de riesgos y
tratamiento de los mismos.[ CITATION Ann18 \l 12298 ]

5
4. Conclusiones

 El enfoque de estas normas es ayudar a la empresa a tener en todo momento un

comportamiento transparente y ético que forme parte indisoluble de su modelo
general de gestión.

 Las Normas ISO son un referente de calidad a nivel mundial y permiten a las
organizaciones la estandarización y mejoramiento de sus procesos, su
funcionamiento y reconocimiento, lo cual es de vital importancia para la
sobrevivencia de las empresas en un mundo globalizado

 La Normalización dentro de una empresa fija las bases para el presente y el

futuro con el propósito de establecer un orden para el beneficio de todos los
interesados, esta normalización puede ser aplicada a cualquier empresa y puede
ser adaptada a los requerimientos particulares de cada organización.

5. Referencias

bsigroup. (2019 de 06 de 23). Norma ISO 31000 - Gestión de Riesgos. Obtenido de

https://www.bsigroup.com/es-ES/ISO-31000-Gestion-de-Riesgos/

GlobalSUITE. (20 de 04 de 2020). ISO 27000 y el conjunto de estándares de Seguridad de la

Información. Obtenido de https://www.globalsuitesolutions.com/es/la-familia-de-
normas-iso-27000/

ISOTools. (15 de 05 de 2019). Normas ISO. Obtenido de .isotools.org:

https://www.isotools.org/normas/

Pérez, A. (19 de 06 de 2018). Qué son los estándares ISO 31000. Obtenido de OBS Business
School: https://www.obsbusiness.school/blog/que-son-los-estandares-iso-31000