Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la
seguridad de la información de manera similar a lo realizado con las normas de gestión
de la calidad, la serie ISO 9000.
Fuente: http://www.segu-info.com.ar/articulos/73-familia-iso-27000.htm
En la revista ITAudit aparece un breve artículo respecto a los principales puntos a contemplar a la
hora de abordar una certificación ISO 27001. A continuación resumo los puntos más destacados:
- Determinar el nivel de madurez ISO 27001: Debemos identificar en qué estado de madurez se
encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No
va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación
de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión
de la mejora continua.
- Analizar el retorno de inversión: Es muy importante demostrar que el esfuerzo realizado no será
un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos
colaterales que supondrán un retorno de inversión a considerar. Es difícil justificar el ahorro por
los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los índices
de incidentes se han reducido.
Fuente: http://blog.segu-info.com.ar/2007/07/principales-claves-para-implantar-
la.html#axzz1MizYhCOn
• ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del
riesgo en la seguridad de la información. Apoya los conceptos generales especificados en
la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la
seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento
de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC
27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la
intención de gestionar los riesgos que puedan comprometer la organización de la
seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-
3:1998 y ISO/IEC TR 13335-4:2000.
Fuente: http://www.gestion-calidad.com/iso-27000.html
ISO 27000
organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por
que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros
de seguridad y una evaluación de los riesgos a los que está sometida la información de la
organización.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica
Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
seguridad de su información.
La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se
establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO,
gestión.
En 2005, con más de 1700 empresas certificadas en BS 7799-2, este esquema se publicó por
ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO 17799. Esta última
norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así
Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos
de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que
incluye son (toda la información disponible públicamente sobre el desarrollo de las normas de la
• ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que
componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la
Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones
que se emplean en toda la serie 27000. En España, esta norma aún no está traducida. El
original en inglés y su traducción al francés pueden descargarse gratuitamente de
standards.iso.org/ittf/PubliclyAvailableStandards.
• ISO/IEC 27001:
• ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como
año de edición. Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene
39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en
su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles
de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de
Diciembre de 2009 (a la venta en AENOR). Otros países donde también está publicada en
español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Perú (como ISO 17799;
descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en iso.org.
Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con
fecha prevista de publicación en 2012.
• ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos
críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC
27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta
en marcha de planes de implementación, así como el proceso de obtención de aprobación por la
dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en
la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías
de implantación. En España, esta norma aún no está traducida. El original en inglés puede
adquirirse en iso.org.
• ISO/IEC 27004:
• ISO/IEC 27005:
• ISO/IEC 27006:
• ISO/IEC 27007:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de
un SGSI, como complemento a lo especificado en ISO 19011.
• ISO/IEC 27008:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de
los controles seleccionados en el marco de implantación de un SGSI.
• ISO/IEC 27010:
En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2 partes, que
consistirá en una guía para la gestión de la seguridad de la información en comunicaciones
inter-sectoriales.
• ISO/IEC 27011:
• ISO/IEC 27012:
• ISO/IEC 27013:
• ISO/IEC 27014:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de gobierno
corporativo de la seguridad de la información.
• ISO/IEC 27015:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de SGSI para
organizaciones del sector financiero y de seguros.
• ISO/IEC 27031:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de continuidad
de negocio en cuanto a tecnologías de la información y comunicaciones.
• ISO/IEC 27032:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía relativa a la
ciberseguridad.
• ISO/IEC 27033:
• ISO/IEC 27034:
En fase de desarrollo, con publicación prevista en 2010. Consistirá en una guía de seguridad en
aplicaciones informáticas.
• ISO/IEC 27035:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de gestión de
incidentes de seguridad de la información.
• ISO/IEC 27036:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de seguridad de
outsourcing (externalización de servicios).
• ISO/IEC 27037:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de identificación,
recopilación y preservación de evidencias digitales.
• ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la
interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la
información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la
desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede
adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-
ISO/IEC 27799:2010 y puede adquirirse online en AENOR
Contenido
En esta sección se hace un breve resumen del contenido de las normas de la serie 27000 ya
publicadas. Si desea acceder a las normas completas, debe saber que éstas no son de libre
Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización:
iso.org
Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000
hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en
ISO 27000:2009
0 Introduction
1 Scope
3.1 Introduction
Bibliography
ISO 27001:2005
0.1 Generalidades
exclusiones.
1.1 Generalidades
1.2 Aplicación
de la misma.
-4.3.1 Generalidades
6 Auditorías internas del SGSI: cómo realizar las auditorías internas de control y
cumplimiento.
7 Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del
7.1 Generalidades
Anexo A: (normativo) Objetivos de control y controles - anexo normativo que enumera los
Anexo B: (informativo) Relación con los Principios de la OCDE con la correspondencia entre los
4 Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos
de seguridad de la información.
terceros.
teletrabajo.
técnica.
y mejoras.
sistemas de información.
Índice
Puede descargarse una lista de todos los controles que contiene esta norma aquí:
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27003:2010
- Foreword
- Introduction
1 Scope
2 Normative references
4.3 Diagrams
5.4 Create the business case and the project plan for management approval
6.5 Integrate each scope and boundaries to obtain the ISMS scope and boundaries
6.6 Develop the ISMS policy and obtain approval from management
Bibliography
ISO 27004:2009
0 Introduction
0.1 General
1 Scope
2 Normative references
- 5.4.1 Overview
6 Management responsibilities
6.1 Overview
7.1 Overview
- 7.5.1 Overview
- 7.5.8 Stakeholders
8 Measurement operation
8.1 Overview
9.1 Overview
10.1 Overview
10.2 Evaluation criteria identification for the Information Security Measurement Programme
10.3 Monitor, review, and evaluate the Information Security Measurement Programme
Bibliography
ISO 27005:2008
Foreword
1 Scope
2 Normative references
5 Background
7 Context establishment
Annex A (informative) Defining the scope and boundaries of the information security
A.3 List of the legislative and regulatory references applicable to the organization
E.2.3 Example 3 Assessing a value for the likelihood and the possible consequences of risks
Bibliography
ISO 27006:2007
(Esta norma referencia directamente a muchas cláusulas de ISO 17021 -requisitos de entidades
3 Terms and definitions: breve descripción de los términos más usados en la norma.
5 General requirements: aspectos generales que deben cumplir las entidades de certificación
de SGSIs.
certificación de SGSIs.
7.5 Outsourcing
8.5 Confidentiality
solicitantes y clientes.
9.4 Recertification
9.7 Appeals
9.8 Complaints
(requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema
de gestión general).
10.1 Options
27001:2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean
organizativos o técnicos.
ISO 27011:2008
1 Scope
2 Normative references
3.1 Definitions
3.2 Abbreviations
4 Overview
5 Security policy
7 Asset management
10.5 Back-up
10.10 Monitoring
11 Access control
15 Compliance
A.15 Compliance
Annex B – Additional implementation guidance
Bibliography
ISO 27033-1:2009
1 Scope
2 Normative references
4 Abbreviated terms
5 Structure
6 Overview
6.1 Background
7.1 Introduction
8 Supporting Controls
8.1 Introduction
9.1 Background
10.1 Introduction
Annex A
Annex B: Security Related Controls, and clauses within this part of ISO/IEC 27033
ISO 27799:2008
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
Checking, Auditing)
• Anexo A: Amenazas
Beneficios
comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las
áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001…).
otras.
de productos y tecnologías.
¿Cómo adaptarse?
Arranque del proyecto
• Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un
proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por
ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y
Dirección.
esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
Planificación
• Definir alcance del SGSI: en función de características del negocio, organización, localización,
activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar
importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con
el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen
influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y
etc.
• Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la
criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del SGSI es
Dirección.
organización puede optar por una de ellas, hacer una combinación de varias o crear la suya
propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO 27005 sí
profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable -ni sería
rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún valor para la
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es
decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo;
estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido
(mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma
evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en
cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se
consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI:
hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo
que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente
en ningún caso).
una lista de todos los controles seleccionados y la razón de su selección, los controles
actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en
Implementación
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control
identificados.
información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Seguimiento
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de
seguridad.
procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una
influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido
sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a
revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del
SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del
SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase
anterior.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier
Aspectos clave
Fundamentales
• Organización y comunicación.
Factores de éxito
• Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte
Riesgos
organizativo.
Consejos básicos
un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta;
una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en
sucesivas fases.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las
• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin
certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y
tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la
"guinda del pastel", no es bueno que sea la meta en sí misma. El objetivo principal es la gestión
• Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la calidad o
ISO 14001 para medio ambiente) ya implantados en la organización son útiles como estructura
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de
la certificación.
• Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la mejora del SGSI
a lo largo de los años posteriores requeriran también esfuerzo y recursos.