SGSI

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI
Sistema de Gestión de la Seguridad de la Información
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto

central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un

proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por

analogía con una norma tan conocida como ISO 9001, como el sistema de
calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los
riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologías.
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la

Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de

datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organización o de fuentes externas) o de la fecha de
elaboración.
EDSEL ENRIQUE URUEÑA LEÓN

La seguridad de la información, según ISO 27001, consiste en la preservación

de su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización. Así pues, estos tres
términos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y

sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada

correctamente, se debe hacer uso de un proceso sistemático, documentado y
conocido por toda la organización, desde un enfoque de riesgo empresarial.
Este proceso es el que constituye un SGSI.
¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e
imagen empresarial necesarios para lograr los objetivos de la organización y
asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un

número cada vez más elevado de amenazas que, aprovechando cualquiera de

las vulnerabilidades existentes, pueden someter a activos críticos de

información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los
virus informáticos, el “hacking” o los ataques de denegación de servicio son
algunos ejemplos comunes y conocidos, pero también se deben considerar los
riesgos de sufrir incidentes de seguridad causados voluntaria o
involuntariamente desde dentro de la propia organización o aquellos
provocados accidentalmente por catástrofes naturales y fallos técnicos.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las

condiciones variables del entorno, la protección adecuada de los objetivos de
negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los
que un SGSI es una herramienta de gran utilidad y de importante ayuda para la
gestión de las organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente

por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa
toda la organización, con la gerencia al frente, tomando en consideración
también a clientes y proveedores de bienes y servicios. El modelo de gestión
de la seguridad debe contemplar unos procedimientos adecuados y la
planificación e implantación de controles de seguridad basados en una
evaluación de riesgos y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

establecer estas políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de exposición
siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por todos, que se revisa y
mejora constantemente.

¿Qué incluye un SGSI?
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha

mostrado gráficamente la documentación del sistema como una pirámide de
cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la
Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término

se usa también en otros ámbitos. Sería el documento que inspira y dirige todo
el sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se

realicen de forma eficaz la planificación, operación y control de los procesos de
seguridad de la información.
Instrucciones, checklists y formularios: documentos que describen cómo se

realizan las tareas y las actividades específicas relacionadas con la seguridad
de la información.
Registros: documentos que proporcionan una evidencia objetiva del

cumplimiento de los requisitos del SGSI; están asociados a documentos de los
otros tres niveles como output que demuestra que se ha cumplido lo indicado
en los mismos.

De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,

incluyendo una identificación clara de las dependencias, relaciones y límites
que existen entre el alcance y aquellas partes que no hayan sido
consideradas (en aquellos casos en los que el ámbito de influencia del SGSI
considere un subconjunto de la organización como delegaciones, divisiones,
áreas, procesos, sistemas o tareas concretas).
• Política y objetivos de seguridad: documento de contenido genérico que

establece el compromiso de la dirección y el enfoque de la organización en la
gestión de la seguridad de la información.
• Procedimientos y mecanismos de control que soportan al SGSI: aquellos

procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: descripción de la metodología a emplear

(cómo se realizará la evaluación de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relación a los activos de
información contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables .
• Informe de evaluación de riesgos: estudio resultante de aplicar la

metodología de evaluación anteriormente mencionada a los activos de
información de la organización.
• Plan de tratamiento de riesgos: documento que identifica las acciones de la

dirección, los recursos, las responsabilidades y las prioridades para gestionar
los riesgos de seguridad de la información, en función de las conclusiones
obtenidas de la evaluación de riesgos, de los objetivos de control
identificados, de los recursos disponibles, etc.
• Procedimientos documentados: todos los necesarios para asegurar la

planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.
• Registros: documentos que proporcionan evidencias de la conformidad con

los requisitos y del funcionamiento eficaz del SGSI.
• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas

inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación
Para los documentos generados se debe establecer, documentar, implantar y

mantener un procedimiento que defina las acciones de gestión necesarias
para:

• Aprobar documentos apropiados antes de su emisión.
• Revisar y actualizar documentos cuando sea necesario y renovar su validez.
• Garantizar que los cambios y el estado actual de revisión de los documentos

están identificados.
• Garantizar que las versiones relevantes de documentos vigentes están

disponibles en los lugares de empleo.
• Garantizar que los documentos se mantienen legibles y fácilmente

identificables.
• Garantizar que los documentos permanecen disponibles para aquellas

personas que los necesiten y que son transmitidos, almacenados y
finalmente destruidos acorde con los procedimientos aplicables según su
clasificación.
• Garantizar que los documentos procedentes del exterior están identificados.
• Garantizar que la distribución de documentos está controlada.
• Prevenir la utilización de documentos obsoletos.
• Aplicar la identificación apropiada a documentos que son retenidos con algún

propósito.
¿Cómo se implementa un SGSI?
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la

Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestión de la calidad.
• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el SGSI.

• Check (verificar): monitorizar y revisar el SGSI.
• Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI
• Definir el alcance del SGSI en términos del negocio, la organización, su

localización, activos y tecnologías, incluyendo detalles y justificación de
cualquier exclusión.
• Definir una política de seguridad que:
– Incluya el marco general y los objetivos de seguridad de la información de

la organización;
– Considere requerimientos legales o contractuales relativos a la seguridad

de la información;
– Esté alineada con el contexto estratégico de gestión de riesgos de la

organización en el que se establecerá y mantendrá el SGSI;
– Establezca los criterios con los que se va a evaluar el riesgo;
– Esté aprobada por la dirección.
• Definir una metodología de evaluación del riesgo apropiada para el SGSI y

los requerimientos del negocio, además de establecer los criterios de
aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo
primordial de esta metodología es que los resultados obtenidos sean
comparables y repetibles (existen numerosas metodologías estandarizadas
para la evaluación de riesgos, aunque es perfectamente aceptable definir una
propia).
• Identificar los riesgos:
– Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
– Identificar las amenazas en relación a los activos;
– Identificar las vulnerabilidades que puedan ser aprovechadas por dichas

amenazas;
– Identificar los impactos en la confidencialidad, integridad y disponibilidad

de los activos.
• Analizar y evaluar los riesgos:
– Evaluar el impacto en el negocio de un fallo de seguridad que suponga la

pérdida de confidencialidad, integridad o disponibilidad de un activo de
información;

– Evaluar de forma realista la probabilidad de ocurrencia de un fallo de

seguridad en relación a las amenazas, vulnerabilidades, impactos en los
activos y los controles que ya estén implementados;
– Estimar los niveles de riesgo;
– Determinar, según los criterios de aceptación de riesgo previamente

establecidos, si el riesgo es aceptable o necesita ser tratado.
• Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
– Aplicar controles adecuados;
– Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y

criterios establecidos para la aceptación de los riesgos;
– Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
– Transferir el riesgo a terceros, p. ej., compañías aseguradoras o

proveedores de outsourcing.
• Seleccionar los objetivos de control y los controles del Anexo A de ISO

27001 para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluación del riesgo.
• Aprobar por parte de la dirección tanto los riesgos residuales como la

implantación y uso del SGSI.
• Definir una declaración de aplicabilidad que incluya:
– Los objetivos de control y controles seleccionados y los motivos para su

elección;

– Los objetivos de control y controles que actualmente ya están

implantados;
– Los objetivos de control y controles del Anexo A excluidos y los motivos

para su exclusión; este es un mecanismo que permite, además, detectar
posibles omisiones involuntarias.
En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO

17799) proporciona una completa guía de implantación que contiene 133
controles, según 39 objetivos de control agrupados en 11 dominios. Esta norma
es referenciada en ISO 27001, en su segunda cláusula, en términos de
“documento indispensable para la aplicación de este documento” y deja abierta
la posibilidad de incluir controles adicionales en el caso de que la guía no
contemplase todas las necesidades particulares.
Do: Implementar y utilizar el SGSI
• Definir un plan de tratamiento de riesgos que identifique las acciones,

recursos, responsabilidades y prioridades en la gestión de los riesgos de
• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los

objetivos de control identificados, incluyendo la asignación de recursos,
responsabilidades y prioridades.
• Implementar los controles anteriormente seleccionados que lleven a los

objetivos de control.
• Definir un sistema de métricas que permita obtener resultados

reproducibles y comparables para medir la eficacia de los controles o grupos
de controles.
• Procurar programas de formación y concienciación en relación a la

seguridad de la información a todo el personal.
• Gestionar las operaciones del SGSI.
• Gestionar los recursos necesarios asignados al SGSI para el

mantenimiento de la seguridad de la información.
• Implantar procedimientos y controles que permitan una rápida detección y

respuesta a los incidentes de seguridad.
Check: Monitorizar y revisar el SGSI
La organización deberá:
• Ejecutar procedimientos de monitorización y revisión para:
– Detectar a tiempo los errores en los resultados generados por el

procesamiento de la información;

– Identificar brechas e incidentes de seguridad;
– Ayudar a la dirección a determinar si las actividades desarrolladas por las

personas y dispositivos tecnológicos para garantizar la seguridad de la
información se desarrollan en relación a lo previsto;
– Detectar y prevenir eventos e incidentes de seguridad mediante el uso de

indicadores;
– Determinar si las acciones realizadas para resolver brechas de seguridad

fueron efectivas.
• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento

de la política y objetivos del SGSI, los resultados de auditorías de seguridad,
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
• Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
• Revisar regularmente en intervalos planificados las evaluaciones de riesgo,

los riesgos residuales y sus niveles aceptables, teniendo en cuenta los
posibles cambios que hayan podido producirse en la organización, la
tecnología, los objetivos y procesos de negocio, las amenazas identificadas,
la efectividad de los controles implementados y el entorno exterior -
requerimientos legales, obligaciones contractuales, etc.-.
• Realizar periódicamente auditorías internas del SGSI en intervalos

planificados.
• Revisar el SGSI por parte de la dirección periódicamente para garantizar

que el alcance definido sigue siendo el adecuado y que las mejoras en el
proceso del SGSI son evidentes.
• Actualizar los planes de seguridad en función de las conclusiones y nuevos

hallazgos encontrados durante las actividades de monitorización y revisión.
• Registrar acciones y eventos que puedan haber impactado sobre la

efectividad o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
• Implantar en el SGSI las mejoras identificadas.
• Realizar las acciones preventivas y correctivas adecuadas en relación a la

claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias
propias y de otras organizaciones.
• Comunicar las acciones y mejoras a todas las partes interesadas con el

nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva
de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Téngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantación que ya se lleven a
cabo cuando otras de planificación aún no han finalizado; o que se monitoricen
controles que aún no están implantados en su totalidad.
¿Qué tareas tiene la Gerencia en un SGSI?
Uno de los componentes primordiales en la implantación exitosa de un Sistema

de Gestión de Seguridad de la Información es la implicación de la dirección. No
se trata de una expresión retórica, sino que debe asumirse desde un principio
que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por
tanto, de decisiones y acciones que sólo puede tomar la gerencia de la
organización. No se debe caer en el error de considerar un SGSI una mera
cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se
están gestionando riesgos e impactos de negocio que son responsabilidad y
decisión de la dirección.
El término Dirección debe contemplarse siempre desde el punto de vista del

alcance del SGSI. Es decir, se refiere al nivel más alto de gerencia de la parte
de la organización afectada por el SGSI (recuérdese que el alcance no tiene
por qué ser toda la organización).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la
dirección se detallan en los siguientes puntos:
Compromiso de la dirección
La dirección de la organización debe comprometerse con el establecimiento,

implementación, operación, monitorización, revisión, mantenimiento y mejora
del SGSI. Para ello, debe tomar las siguientes iniciativas:
• Establecer una política de seguridad de la información.
• Asegurarse de que se establecen objetivos y planes del SGSI.
• Establecer roles y responsabilidades de seguridad de la información.
• Comunicar a la organización tanto la importancia de lograr los objetivos de

seguridad de la información y de cumplir con la política de seguridad, como
sus responsabilidades legales y la necesidad de mejora continua.
• Asignar suficientes recursos al SGSI en todas sus fases.
• Decidir los criterios de aceptación de riesgos y sus correspondientes

niveles.

• Asegurar que se realizan auditorías internas.
• Realizar revisiones del SGSI, como se detalla más adelante.
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI,

es imprescindible la asignación de recursos. Es responsabilidad de la dirección
garantizar que se asignan los suficientes para:
• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el

SGSI.
• Garantizar que los procedimientos de seguridad de la información apoyan

los requerimientos de negocio.
• Identificar y tratar todos los requerimientos legales y normativos, así como

las obligaciones contractuales de seguridad.
• Aplicar correctamente todos los controles implementados, manteniendo de

esa forma la seguridad adecuada.
• Realizar revisiones cuando sea necesario y actuar adecuadamente según

los resultados de las mismas.
• Mejorar la eficacia del SGSI donde sea necesario.
Formación y concienciación
La formación y la concienciación en seguridad de la información son elementos

básicos para el éxito de un SGSI. Por ello, la dirección debe asegurar que todo
el personal de la organización al que se le asignen responsabilidades definidas
en el SGSI esté suficientemente capacitado. Se deberá:
• Determinar las competencias necesarias para el personal que realiza tareas

en aplicación del SGSI.
• Satisfacer dichas necesidades por medio de formación o de otras acciones

como, p. ej., contratación de personal ya formado.
• Evaluar la eficacia de las acciones realizadas.
• Mantener registros de estudios, formación, habilidades, experiencia y

cualificación.
Además, la dirección debe asegurar que todo el personal relevante esté

concienciado de la importancia de sus actividades de seguridad de la
información y de cómo contribuye a la consecución de los objetivos del SGSI.
Revisión del SGSI

A la dirección de la organización se le asigna también la tarea de, al menos una

vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y
eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a
tomar decisiones, entre las que se pueden enumerar:
• Resultados de auditorías y revisiones del SGSI.
• Observaciones de todas las partes interesadas.
• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar

el rendimiento y eficacia del SGSI.
• Información sobre el estado de acciones preventivas y correctivas.
• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en

evaluaciones de riesgos anteriores.
• Resultados de las mediciones de eficacia.
• Estado de las acciones iniciadas a raíz de revisiones anteriores de la

dirección.
• Cualquier cambio que pueda afectar al SGSI.
• Recomendaciones de mejora.
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y

tomar decisiones y acciones relativas a:
• Mejora de la eficacia del SGSI.
• Actualización de la evaluación de riesgos y del plan de tratamiento de

riesgos.
• Modificación de los procedimientos y controles que afecten a la seguridad

de la información, en respuesta a cambios internos o externos en los
requisitos de negocio, requerimientos de seguridad, procesos de negocio,
marco legal, obligaciones contractuales, niveles de riesgo y criterios de
aceptación de riesgos.
• Necesidades de recursos.
• Mejora de la forma de medir la efectividad de los controles.
¿Se integra un SGSI con otros sistemas de gestión?
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una

herramienta de la que dispone la gerencia para dirigir y controlar un
determinado ámbito, en este caso, la seguridad de la información.
La gestión de las actividades de las organizaciones se realiza, cada vez con

más frecuencia, según sistemas de gestión basados en estándares

internacionales: se gestiona la calidad según ISO 9001, el impacto medio-

ambiental según ISO 14001 o la prevención de riesgos laborales según
OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de
Las empresas tienen la posibilidad de implantar un número variable de estos

sistemas de gestión para mejorar la organización y beneficios sin imponer una
carga a la organización.
El objetivo último debería ser llegar a un único sistema de gestión que

contemple todos los aspectos necesarios para la organización, basándose en
el ciclo PDCA de mejora continua común a todos estos estándares. Las
facilidades para la integración de las normas ISO son evidentes mediante la
consulta de sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre

esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación
existente y se puede intuir la posibilidad de integrar el sistema de gestión de
seguridad de la información en los sistemas de gestión existentes ya en la
organización. Algunos puntos que suponen una novedad en ISO 27001 frente a
otros estándares son la evaluación de riesgos y el establecimiento de una
declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al
resto de normas en un futuro.
En las secciones de Faqs y de Artículos del documento, podrá encontrar más

informaciones acerca de la integración del SGSI con otros sistemas de gestión.
ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado de

cualquier organización. El aseguramiento de dicha información y de los
sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organización.
Para la adecuada gestión de la seguridad de la información, es necesario

implantar un sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y una evaluación
de los riesgos a los que está sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de

desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.

Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI

(British Standards Institution, la organización británica equivalente a AENOR en
España) es responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas
prácticas para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas,

para la que no se establece un esquema de certificación. Es la segunda parte
(BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos
de un sistema de seguridad de la información (SGSI) para ser certificable por
una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se

adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de

sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema

se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y
actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1
de Julio de 2007, manteniendo el contenido así como el año de publicación
formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI

publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de
información.

En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro

con la historia de ISO 27001 e ISO 17799.
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de

estándares. Los rangos de numeración reservados por ISO van de 27000 a
27019 y de 27030 a 27044.
• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es

Noviembre de 2008. Contendrá términos y definiciones que se emplean en
toda la serie 27000. La aplicación de cualquier estándar necesita de un
vocabulario claramente definido, que evite distintas interpretaciones de
conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a
diferencia de las demás de la serie, que tendrán un coste.
• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la

serie y contiene los requisitos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo
a la cual se certifican por auditores externos los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de
transición para aquellas empresas certificadas en esta última. En su Anexo A,
enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde
el 1 de Julio de 2007), para que sean seleccionados por las organizaciones
en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación
de todos los controles enumerados en dicho anexo, la organización deberá
argumentar sólidamente la no aplicabilidad de los controles no
implementados. Desde el 28 de Noviembre de 2007, esta norma está
publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse
online en AENOR. Otros países donde también está publicada en español
son, por ejemplo, Colombia , Venezuela y Argentina. El original en inglés y la
traducción al francés pueden adquirirse en ISO.org.
• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO

17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha
mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO 27002:2005. En España, aún no está
traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida
en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799;
descarga gratuita). El original en inglés y su traducción al francés pueden
adquirirse en ISO.org.
• ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo

de 2009. Consistirá en una guía de implementación de SGSI e información
acerca del uso del modelo PDCA y de los requerimientos de sus diferentes
fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de

documentos publicados por BSI a lo largo de los años con recomendaciones

y guías de implantación.

Noviembre de 2008. Especificará las métricas y las técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles
relacionados. Estas métricas se usan fundamentalmente para la medición de
los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
• ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para

la gestión del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada
en un enfoque de gestión de riesgos. El conocimiento de los conceptos,
modelos, procesos y términos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones
sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan
comprometer la organización de la seguridad de la información. Su
publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC
TR 13335-4:2000. En España, esta norma aún no está traducida. El original
en inglés puede adquirirse en ISO.org.
• ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos

para la acreditación de entidades de auditoría y certificación de sistemas de
gestión de seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro
de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de
auditoría y certificación de sistemas de gestión) los requisitos específicos
relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los
criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de
certificación de ISO 27001, pero no es una norma de acreditación por sí
misma. En España, esta norma aún no está traducida. El original en inglés
puede adquirirse en ISO.org.

de 2010. Consistirá en una guía de auditoría de un SGSI.
• ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero

de 2008. Consistirá en una guía de gestión de seguridad de la información
específica para telecomunicaciones, elaborada conjuntamente con la ITU
(Unión Internacional de Telecomunicaciones).

de 2010. Consistirá en una guía de continuidad de negocio en cuanto a
tecnologías de la información y comunicaciones.

Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

• ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre

2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de
redes, arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways,
acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs
y diseño e implementación de seguridad en redes. Provendrá de la revisión,
ampliación y renumeración de ISO 18028.

Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.
• ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de

seguridad de la información en el sector sanitario aplicando ISO 17799
(actual ISO 27002). Esta norma, al contrario que las anteriores, no la
desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO
27799:2008 define directrices para apoyar la interpretación y aplicación en la
salud informática de la norma ISO / IEC 27002 y es un complemento de esa
norma. ISO 27799:2008 especifica un conjunto detallado de controles y
directrices de buenas prácticas para la gestión de la salud y la seguridad de
la información por organizaciones sanitarias y otros custodios de la
información sanitaria en base a garantizar un mínimo nivel necesario de
seguridad apropiado para la organización y circunstancias que van a
mantener la confidencialidad, integridad y disponibilidad de información
personal de salud. ISO 27799:2008 se aplica a la información en salud en
todos sus aspectos y en cualquiera de sus formas, toma la información
(palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes
médicas), sea cual fuere el medio utilizado para almacenar (de impresión o
de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el
medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o
por correo), ya que la información siempre debe estar adecuadamente
protegida. El original en inglés o francés puede adquirirse en ISO.org.
Contenido
En esta sección se hace un breve resumen del contenido de las normas ISO
27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas
completas, debe saber que éstas no son de libre difusión sino que han de ser
adquiridas.
Para los originales en inglés, puede hacerlo online en la tienda virtual de la

propia organización:
http://www.iso.org/iso/en/prods-services/ISOstore/store.html
Las normas en español pueden adquirirse en España en AENOR (vea en la

sección Serie 27000 cuáles están ya traducidas):
http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp

Las entidades de normalización responsables de la publicación y venta de

normas en cada país hispanoamericano (es decir, las homólogas del AENOR
español) las puede encontrar listadas en nuestra sección de Enlaces, bajo
Acreditación y Normalización.
ISO 27001:2005
• Introducción: generalidades e introducción al método PDCA.
• Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el

tratamiento de exclusiones.
• Normas para consulta: otras normas que sirven de referencia.
• Términos y definiciones: breve descripción de los términos más usados en

la norma.
• Sistema de gestión de la seguridad de la información: cómo crear,

implementar, operar, supervisar, revisar, mantener y mejorar el SGSI;
requisitos de documentación y control de la misma.
• Responsabilidad de la dirección: en cuanto a compromiso con el SGSI,

gestión y provisión de recursos y concienciación, formación y capacitación del
personal.
• Auditorías internas del SGSI: cómo realizar las auditorías internas de

control y cumplimiento.
• Revisión del SGSI por la dirección: cómo gestionar el proceso periódico

de revisión del SGSI por parte de la dirección.
• Mejora del SGSI: mejora continua, acciones correctivas y acciones

preventivas.
• Objetivos de control y controles: anexo normativo que enumera los

objetivos de control y controles que se encuentran detallados en la norma
ISO 27002:2005.
• Relación con los Principios de la OCDE: anexo informativo con la

correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.
• Correspondencia con otras normas: anexo informativo con una tabla de

correspondencia de cláusulas con ISO 9001 e ISO 14001.
• Bibliografía: normas y publicaciones de referencia.
ISO 27002:2005 (anterior ISO 17799:2005)
• Introducción: conceptos generales de seguridad de la información y SGSI.
• Campo de aplicación: se especifica el objetivo de la norma.


la norma.
• Estructura del estándar: descripción de la estructura de la norma.
• Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y

tratar los riesgos de seguridad de la información.
• Política de seguridad: documento de política de seguridad y su gestión.
• Aspectos organizativos de la seguridad de la información: organización

interna; terceros.
• Gestión de activos: responsabilidad sobre los activos; clasificación de la

información.
• Seguridad ligada a los recursos humanos: antes del empleo; durante el

empleo; cese del empleo o cambio de puesto de trabajo.
• Seguridad física y ambiental: áreas seguras; seguridad de los equipos.
• Gestión de comunicaciones y operaciones: responsabilidades y

procedimientos de operación; gestión de la provisión de servicios por
terceros; planificación y aceptación del sistema; protección contra código
malicioso y descargable; copias de seguridad; gestión de la seguridad de las
redes; manipulación de los soportes; intercambio de información; servicios de
comercio electrónico; supervisión.
• Control de acceso: requisitos de negocio para el control de acceso; gestión

de acceso de usuario; responsabilidades de usuario; control de acceso a la
red; control de acceso al sistema operativo; control de acceso a las
aplicaciones y a la información; ordenadores portátiles y teletrabajo.
• Adquisición, desarrollo y mantenimiento de los sistemas de

información: requisitos de seguridad de los sistemas de información;
tratamiento correcto de las aplicaciones; controles criptográficos; seguridad
de los archivos de sistema; seguridad en los procesos de desarrollo y
soporte; gestión de la vulnerabilidad técnica.
• Gestión de incidentes de seguridad de la información: notificación de

eventos y puntos débiles de la seguridad de la información; gestión de
incidentes de seguridad de la información y mejoras.
• Gestión de la continuidad del negocio: aspectos de la seguridad de la

información en la gestión de la continuidad del negocio.
• Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las

políticas y normas de seguridad y cumplimiento técnico; consideraciones
sobre las auditorías de los sistemas de información.
• Bibliografía: normas y publicaciones de referencia.

Puede descargarse una lista de todos los controles que contiene esta norma
aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27006:2007
(Esta norma referencia directamente a muchas cláusulas de ISO 17021 -

requisitos de entidades de auditoría y certificación de sistemas de gestión-, por
lo que es recomendable disponer también de dicha norma, que puede
adquirirse en español en AENOR).
• Preámbulo: presentación de las organizaciones ISO e IEC y sus

actividades.
• Introducción: antecedentes de ISO 27006 y guía de uso para la norma.
• Campo de aplicación: a quién aplica este estándar.
• Referencias normativas: otras normas que sirven de referencia.

la norma.
• Principios: principios que rigen esta norma.
• Requisitos generales: aspectos generales que deben cumplir las entidades

de certificación de SGSIs.
• Requisitos estructurales: estructura organizativa que deben tener las

entidades de certificación de SGSIs.
• Requisitos en cuanto a recursos: competencias requeridas para el

personal de dirección, administración y auditoría de la entidad de
certificación, así como para auditores externos, expertos técnicos externos y
subcontratas.
• Requisitos de información: información pública, documentos de

certificación, relación de clientes certificados, referencias a la certificación y
marcas, confidencialidad e intercambio de información entre la entidad de
certificación y sus clientes.
• Requisitos del proceso: requisitos generales del proceso de certificación,

auditoría inicial y certificación, auditorías de seguimiento, recertificación,
auditorías especiales, suspensión, retirada o modificación de alcance de la
certificación, apelaciones, reclamaciones y registros de solicitantes y clientes.
• Requisitos del sistema de gestión de entidades de certificación:

opciones, opción 1 (requisitos del sistema de gestión de acuerdo con ISO
9001) y opción 2 (requisitos del sistema de gestión general).
• Anexo A - Análisis de la complejidad de la organización de un cliente y

aspectos específicos del sector: potencial de riesgo de la organización

(tabla orientativa) y categorías de riesgo de la seguridad de la información

específicas del sector de actividad.
• Anexo B - Áreas de ejemplo de competencia del auditor:

consideraciones de competencia general y consideraciones de competencia
específica (conocimiento de los controles del Anexo A de ISO 27001:2005 y
conocimientos sobre SGSIs).
• Anexo C - Tiempos de auditoría: introducción, procedimiento para

determinar la duración de la auditoría y tabla de tiempos de auditoría
(incluyendo comparativa con tiempos de auditoría de sistemas de calidad -
ISO 9001- y medioambientales -ISO 14001-).
• Anexo D - Guía para la revisión de controles implantados del Anexo A

de ISO 27001:2005: tabla de apoyo para el auditor sobre cómo auditar los
controles, sean organizativos o técnicos.
ISO 27799:2008
Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de

la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002).
Esta norma, al contrario que las anteriores, no la desarrolla el subcomité
JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices
para apoyar la interpretación y aplicación en la salud informática de la norma
ISO / IEC 27002 y es un complemento de esa norma.
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el

gobierno de la información; Infomación sanitara a proteger; Amenazas y
vulnerabilidades)
• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía;

Acuerdo de la dirección; establecimiento, operación, mantenimiento y
mejora de un SGSI; Planning; Doing; Checking, Auditing)
• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la

información; Organización; gestión de activos; RRHH; Físicos;
Comunicaciones; Accesos; Adquisición; Gestión de Incidentes;
Continuidad de negocio; Cumplimiento legal)
• Anexo A: Amenazas
• Anexo B: Tareas y documentación de un SGSI

• Anexo C: Beneficios potenciales y atributos de herramientas
• Anexo D: Estándares relacionados
Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y

estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y

confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del

sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO

14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de

gravedad.
• Conformidad con la legislación vigente sobre información personal,

propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la

competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la

compra sistemática de productos y tecnologías.
¿Cómo adaptarse?

Arranque del proyecto
• Compromiso de la Dirección: una de las bases fundamentales sobre las que

iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de
la organización. No sólo por ser un punto contemplado de forma especial por
la norma sino porque el cambio de cultura y concienciación que lleva consigo
el proceso hacen necesario el impulso constante de la Dirección.
• Planificación, fechas, responsables: como en todo proyecto de envergadura,

el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos
positivos sobre el resto de fases.
Planificación

• Definir alcance del SGSI: en función de características del negocio,

organización, localización, activos y tecnología, definir el alcance y los límites
del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho,
es recomendable empezar por un alcance limitado.
• Definir política de seguridad: que incluya el marco general y los objetivos de

seguridad de la información de la organización, tenga en cuenta los requisitos
de negocio, legales y contractuales en cuanto a seguridad, esté alineada con
la gestión de riesgo general, establezca criterios de evaluación de riesgo y
sea aprobada por la Dirección. La política de seguridad es un documento
muy general, una especie de "declaración de intenciones" de la Dirección, por
lo que no pasará de dos o tres páginas.
• Definir el enfoque de evaluación de riesgos: definir una metodología de

evaluación de riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de riesgos y determinar el
nivel de riesgo aceptable. Existen muchas metodologías de evaluación de
riesgos aceptadas internacionalmente (ver sección de Herramientas); la
organización puede optar por una de ellas, hacer una combinación de varias
o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cómo definirla (en el futuro, ISO 27005 proporcionará
ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sería
rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación
de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún

valor para la organización y que quedan dentro del alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos

del inventario.

• Identificar los impactos: los que podría suponer una pérdida de la

confidencialidad, la integridad o la disponibilidad de cada uno de los activos.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de

seguridad (es decir, que una amenaza explote una vulnerabilidad) y la
probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y
determinar si el riesgo es aceptable (en función de los niveles definidos
previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede

reducido (mitigado mediante controles), eliminado (p. ej., eliminando el
activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o
un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en

función de la evaluación anterior. Utilizar para ello los controles del Anexo A
de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser
justificadas) y otros controles adicionales si se consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de

implantar el SGSI: hay que recordar que los riesgos de seguridad de la
información son riesgos de negocio y sólo la Dirección puede tomar
decisiones sobre su aceptación o tratamiento. El riesgo residual es el que
queda, aún después de haber aplicado controles (el "riesgo cero" no existe
prácticamente en ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement

of Applicability) es una lista de todos los controles seleccionados y la razón
de su selección, los controles actualmente implementados y la justificación de
cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las
decisiones tomadas en cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,

responsabilidades y prioridades en la gestión de los riesgos de seguridad de
la información.

• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los

objetivos de control identificados.
• Implementar los controles: todos los que se seleccionaron en la fase

anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad

de la información.
• Desarrollo del marco normativo necesario: normas, manuales,

procedimientos e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes

de seguridad.
Seguimiento
• Ejecutar procedimientos y controles de monitorización y revisión: para

detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, determinar si las actividades de seguridad de la
información están desarrollándose como estaba planificado, detectar y
prevenir incidentes de seguridad mediante el uso de indicadores y comprobar
si las acciones tomadas para resolver incidentes de seguridad han sido
eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de

auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y
feedback de todos los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los
requisitos de seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en la

organización, tecnología, procesos y objetivos de negocio, amenazas,
eficacia de los controles o el entorno tienen una influencia sobre los riesgos
evaluados, el riesgo residual y el nivel de riesgo aceptado.

• Realizar regularmente auditorías internas: para determinar si los controles,

procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de
seguridad de la organización, están implementados y mantenidos con
eficacia y tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el

alcance definido sigue siendo el adecuado, identificar mejoras al proceso del
SGSI, a la política de seguridad o a los objetivos de seguridad de la
información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la

monitorización y las revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el

rendimiento del SGSI: sirven como evidencia documental de conformidad con
los requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan

propuesto en la fase anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel

adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la

eficacia de cualquier acción, medida o cambio debe comprobarse siempre.
Aspectos Clave
Fundamentales

• Compromiso y apoyo de la Dirección de la organización.
• Definición clara de un alcance apropiado.
• Concienciación y formación del personal.
• Evaluación de riesgos exhaustiva y adecuada a la organización.
• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicación.
• Integración del SGSI en la organización.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a

conseguir.
• Realización de comités de dirección con descubrimiento continuo de no

conformidades o acciones de mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones

continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles

asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de

protección requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del

negocio.
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes

descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de

negocio.

• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y

medidas de tipo organizativo.
• Falta de comunicación de los progresos al personal de la organización.
Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un

centro de trabajo, un proceso de negocio clave, un único centro de proceso
de datos o un área sensible concreta; una vez conseguido el éxito y
observados los beneficios, ampliar gradualmente el alcance en sucesivas
fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a

cuestiones exclusivamente técnicas es un error frecuente que rápidamente
sobrecarga de problemas la implantación; adquirir experiencia de otras
implantaciones, asistir a cursos de formación o contar con asesoramiento de
consultores externos especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y

resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa -incluso

si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de
excusas para desarrollar las buenas prácticas, además de ser uno de los
puntos fundamentales de la norma.
• La certificación como objetivo: aunque se puede alcanzar la conformidad con

la norma sin certificarse, la certificación por un tercero asegura un mejor
enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de
alcanzar el éxito.
• No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener

información relativa a la gestión de la seguridad de la información de otros
métodos y marcos reconocidos.
• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles

como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias;
es conveniente pedir ayuda e implicar a auditores internos y responsables de
otros sistemas de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado

en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

• Registrar evidencias: deben recogerse evidencias al menos tres meses

antes del intento de certificación para demostrar que el SGSI funciona
adecuadamente.
Otros Estándares
Las normas publicadas bajo la serie ISO 27000 son estándares alineados con
el conjunto de normas publicadas por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission) actuales o
futuras y que son desarrolladas mediante comités técnicos específicos.
Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas
prácticas en seguridad de la información en base a otros modelos de gestión,
obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001
con un menor esfuerzo.
En relación a la seguridad de la información, gestión del riesgo, continuidad de
negocio y materias relacionadas, se incluye a continuación una selección de los
estándares y métodos de referencia más conocidos y relevantes.
Además de los aquí resumidos, existen muchos otros estándares, guías,
metodologías y buenas prácticas dedicados a distintos aspectos de la
seguridad de la información, publicados por prestigiosas instituciones en todo el
mundo.
Normas ISO del SC27

ISO es la Organización Internacional para la Estandarización,
creada en Febrero de 1947 y con sede en Ginebra, que cuenta
con la representación de 153 países con el objetivo de lograr la coordinación
internacional y la unificación de estándares en la industria.
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) han establecido un comité técnico conjunto
específico para las Tecnologías de la Información denominado JTCI (Joint
Technical Committee).
Dentro de dicho comité, el subcomité SC27 es el encargado del
desarrollo de proyectos en técnicas de seguridad, labor que
realiza a través de cinco grupos de trabajo (WG1, WG2, WG3,
WG4 y WG5). Dispone de una página web (www.jtc1sc27.din.de/en) donde se
puede acceder a información sobre su ámbito, organización, agenda de
reuniones y temas de trabajo.
Cada país miembro establece subcomités espejo que coordinan los trabajos a
nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo
hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad -
Tecnología de la Información" y de sus correspondientes grupos de trabajo
GT1, GT2, GT3, GT4 y GT5.
El Ministerio de Administraciones Públicas español ofrece en su página web
una información detallada sobre todos estos aspectos, en especial de las
aportaciones españolas realizadas a través del GT1.

ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información -

SGSI.
Las actividades de este grupo de trabajo incluyen:
• Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000.
• Identificación de requisitos para futuros estándares y directrices relativas a
los SGSI.
• Colaboración con otros grupos de trabajo del SC27, en particular con el
WG4 en cuanto a estándares relativos a la implementación de objetivos de
control y controles definidos en ISO/IEC 27001.
• Contacto y colaboración con otros comités y organizaciones relacionadas
con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad),
ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.
ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía.

• Identificación de las necesidades y los requisitos de técnicas y mecanismos
de seguridad en sistemas y aplicaciones de TI.
• Desarrollo de terminología, modelos generales y estándares de dichas
técnicas y mecanismos para su uso en servicios de seguridad.
• Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no,
que cubran aspectos como confidencialidad, autenticación, no repudio,
gestión de claves, integridad, etc.
ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad.

• Desarrollo de estándares de evaluación y certificación de la seguridad de
sistemas, componentes y productos de tecnologías de la información.
• Tratamiento de los tres aspectos a considerar en este ámbito: criterios de
evaluación, metodología de aplicación de dichos criterios y procedimientos
administrativos para la evaluación, la certificación y los esquemas de
acreditación.
• Coordinación con los comités ISO responsables de estándares de
comprobación y gestión de calidad para no duplicar esfuerzos.
ISO JTC1 / SC27 / WG4: servicios y controles de seguridad.

• El desarrollo y mantenimiento de estándares y directrices relativas a
servicios y aplicaciones que apoyen la implantación de objetivos de control y
controles definidos en ISO/IEC 27001.

• Identificación de requisitos y desarrollo de futuros estándares en áreas

como continuidad de negocio, ciberseguridad, externalización (outsourcing),
etc.
• Colaboración con otros grupos de trabajo del SC27, en particular con el
WG1.
• Contacto y colaboración con otros comités y organizaciones relacionadas
con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad),
ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.
ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad.

• Desarrollo y mantenimiento de estándares y directrices relativos a los
aspectos de seguridad de la gestión de identidad, biometría y protección de
datos personales.
• Identificación de requisitos y desarrollo de futuros estándares en áreas
como control de acceso basado en roles (RBAC), provisioning,
identificadores, single sign-on, anonimato y credenciales, infraestructuras de
privacidad, tecnologías para la mejora de la privacidad (PETs), técnicas de
autenticación biométrica, protección de datos biométricos, etc.
• Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de
gestión, WG2 en técnicas de seguridad y WG3 en evaluación.
• Contacto y colaboración con otros comités y organizaciones tales como
ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc.
Puede obtenerse una lista actualizada de los estándares en vigor publicados

por el subcomité 27 en el siguiente enlace.
Puede obtenerse una lista actualizada de los estándares en desarrollo del
subcomité 27 en el siguiente enlace.
ISO/IEC 20000
Es el primer estándar internacional certificable para la gestión de servicios TI.
Proviene del estándar británico BS 15000.
ISO 20000-1: especificaciones en las cuales se describe la adopción de un
proceso de mejora integrado para el desempeño y gestión de los servicios
acorde a los requisitos del negocio y del cliente. Este documento comprende 10
secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de
gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación
e implantación de servicios nuevos o modificados”, “Proceso de entrega de
servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de
control” y “Procesos de liberación”.
ISO 20000-2: código de prácticas donde se describen las mejores prácticas
para la gestión de los servicios y dentro del ámbito indicado por la norma ISO
20000-1.

ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma

predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores
prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de
obligada aplicación para la implantación en la norma ISO 20000, sí suele ser
una adecuada referencia para aquellas organizaciones que desean la
implantación de éste norma mediante la introducción de un paso intermedio.
ITIL
“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las
mejores prácticas en la gestión de servicios TI e incluye opciones que pueden
ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de
cada proveedor de servicios.
Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con
el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos
de publicaciones formen parte de la misma estructura lógica para mejor
comprensión en su publicación y difusión.
ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques
principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software
Support”, “Networks”, “Computer Operations” y “Environmental”:
Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:

• Soporte al servicio: asegurar que el cliente (externo o interno) recibe

adecuadamente un servicio, que es gestionado además de la mejor forma
posible.
• Entrega del servicio: administración de los servicios de soporte y
mantenimiento que se prestan al cliente.
• Planificación de la implantación: determina las ventajas de implantar ITIL en
una determinada organización.
• Administración de aplicaciones: conjunto de buenas prácticas para la
gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo
en definición de requisitos e implementación de soluciones.
• Administración de la infraestructura de tecnologías de la información y
comunicaciones: gestión de la administración de sistemas como máquinas,
redes o sistemas operativos, entre otros.
• Administración de seguridad: proceso para la implantación de
requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de
servicio.
• Administración de activos de software: pautas necesarias para la gestión
del software adquirido y/o de desarrollo propio.
• Entrega de servicios desde un punto de vista de negocio: fidelización de
clientes, servicios de externalización y gestión del cambio, entre otros.
NIST Serie 800
El National Institute of Standards and Technology (NIST), fundado en 1901, es

un organismo federal no regulador que forma parte de la Administración de
Tecnología (Technology Administration) del Departamento de Comercio
(Department of Commerce) de los EE.UU.
La misión del NIST consiste en elaborar y promover patrones de medición,
normas y tecnología con el fin de incrementar la productividad, facilitar el
comercio y mejorar la calidad de vida.
Distintos principios y prácticas en seguridad comunes y de aplicación tanto en
agencias gubernamentales como en corporaciones privadas están recogidos
en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles
para su libre descarga.
Estas guías y directrices son documentos muy elaborados y de reconocido
prestigio, que cubren múltiples aspectos relacionados con la seguridad de la
información y que pueden servir de apoyo a la hora de desarrollar políticas,
procedimientos y controles.
CobiT
El IT Governance Institute fue establecido por ISACA (Information Systems
Audit and Control Association) en 1998 para aclarar y orientar en cuestiones
actuales y futuras relativas a la administración, seguridad y aseguramiento TI.
Como consecuencia de su rápida difusión internacional, ambas instituciones

disponen de una amplia gama de publicaciones y productos diseñados para

apoyar una gestión efectiva de las TI en el ámbito de la empresa.
Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT
(Objetivos de control para tecnologías de la información y similares).
Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y
COSO, que incorpora aspectos fundamentales de otros estándares
relacionados; por tanto, aquellas empresas y organizaciones que hayan
evolucionado según las prácticas señaladas por CobiT están más cerca de
adaptarse y lograr la certificación en ISO 27001.
CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo
con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de
control de alto nivel para el proceso, los objetivos de control detallados,
directrices de gestión y el modelo de madurez para el objetivo) que dan una
visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo
de vida de tipo PDCA que lo integra en los procesos de negocio.
No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí
ofrece la posibilidad a título personal de obtener certificaciones como “Certified
Information Systems Auditor” (CISA), “Certified Information Security Manager”
(CISM) y "Certified in the Governance of Enterprise IT" CGEIT.
UNE 71502:2004
Norma española certificable, desarrollada en base a BS7799-2:2002, que
establece las especificaciones para los sistemas de gestión de seguridad de la
información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo
A.
Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la
Información, especifica los requisitos para establecer, implantar,
documentar y evaluar un SGSI dentro del contexto de los riesgos
identificados por la organización.
Fue publicada en Febrero de 2004 ante la perspectiva de la
publicación de la norma internacional para el 2008-2009. Sin embargo, la
publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de la

norma española. Con la traducción al español de ISO 27001 y su publicación

como UNE-ISO/IEC 27001, UNE 71502 quedará anulada el 31-12-2008.
Puede adquirirse en AENOR.
Normas para consulta:
UNE71501-1 IN – Parte 1: Conceptos y modelos para la seguridad TI
UNE71501-2 IN – Parte 2: Gestión y planificación de la seguridad TI
UNE71501-3 IN – Parte 3: Técnicas para la gestión de la seguridad TI
UNE-ISO/IEC 17799:2002 Código de buenas prácticas para la gestión de la
Aquellas empresas y organizaciones que hayan evolucionado según las
prácticas señaladas por UNE 71502:2004 requieren de un esfuerzo mínimo
para su reconocimiento internacional bajo la norma ISO 27001.
Puede descargar esta tabla comparativa en formato .pdf aquí.
BS 7799-3
BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799,
dedicada a la gestión de riesgos de seguridad de la información.

ISO 27001 (evolucionada a partir de BS 7799-2) indica que las

organizaciones deben identificar, evaluar, tratar y gestionar los
riesgos de seguridad de la información, pero no da indicaciones
más detalladas de cómo realizar dicho proceso ni de cómo situar dichos
riesgos en el marco de los riesgos generales de la empresa.
BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de
riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección,
re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos
de seguridad de la información en el contexto del gobierno corporativo y
conformidad con otros estándares y regulaciones sobre el riesgo.
PAS 99
BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS
= Publicly Available Specification), que especifica los requisitos comunes de los
sistemas de gestión y puede ser utilizado por las organizaciones como un
marco de integración de sistemas.
Hoy en día, es bastante habitual que las organizaciones tengan
implantados varios sistemas de gestión: calidad según ISO 9001,
medio ambiente según ISO 14001, seguridad y salud laboral según
OHSAS 18001, seguridad de la información según ISO 27001... Todos estos
sistemas tienen metodologías, procesos, objetivos, documentación, etc., en
común, lo que abre el camino a la integración de los mismos en un solo
sistema de gestión, buscando sinergias, mejoras en la productividad, mayor
sencillez de uso y facilidad de implantación y mantenimiento.
PAS 99 da directrices sobre cómo abordar un proceso de integración de
sistemas de gestión, teniendo en cuenta los seis requisitos comunes
establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check-
Act). BSI pone a disposición otras publicaciones relacionadas con la integración
de sistemas.
BS 25999
Cada vez resulta más importante para las empresas el disponer de planes de
continuidad de negocio que minimicen la inactividad de la organización en caso
de cualquier tipo de interrupción.
BSI (British Standards Institution) publicó en 2006 BS25999-1, que
es un código de buenas prácticas dedicado a la gestión de la
continuidad de negocio.
Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una
organización puede desarrollar e implementar la continuidad de negocio,
incluyendo una completa lista de controles basada en las mejores prácticas de
BCM (Business Continuity Management). Está pensada para su uso por
cualquier organización grande, mediana o pequeña, tanto del sector público
como privado.
En 2007, fue publicada BS 25999-2, que especifica los requisitos para
establecer, implementar, operar, supervisar, revisar, probar, mantener y
mejorar un sistema de gestión de continuidad de negocio documentado en el

contexto de la gestión global de riesgos de una organización. En base a esta

norma pueden ser certificados los sistemas de gestión de continuidad de
negocio.
BS 25777
BSI (British Standards Institution) publicó en 2006 un documento llamado PAS
77 (PAS = Publicly Available Specification), que es un código de buenas
prácticas que establece un marco y da unas directrices generales
para crear un plan de continuidad de servicios de tecnologías de la
información. Desarrollado por BSI en conjunto con Adam Continuity,
Dell Corporation, Unisys y SunGard, está orientado para organizaciones de
todo tipo.
BSI tiene el objetivo de desarrollar este documento PAS como un estándar
llamado BS 25777 a lo largo de 2008 y 2009.
Está previsto que en otoño de 2008 se publique BS 25777-1, que será un
código de buenas prácticas sobre cómo abordar la gestión de la continuidad de
servicios TI en una organización.
A finales de 2009, se publicará la segunda parte, BS 25777-2, que especificará
los requisitos para establecer, implementar, operar, supervisar, revisar, probar,
mantener y mejorar un sistema de gestión de continuidad de servicios TI. En
base a esta segunda parte, podrán ser auditados y certificados los sistemas de
gestión de las organizaciones por entidades de certificación.
COSO-Enterprise Risk Management / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO)
es una iniciativa del sector privado estadounidense formada en 1985. Su
objetivo principal es identificar los factores que causan informes financieros
fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha
establecido una definición común de controles internos, normas y criterios
contra los cuales las empresas y organizaciones pueden evaluar sus sistemas
de control.
COSO está patrocinado y financiado por cinco de las principales asociaciones
e institutos profesionales de contabilidad: American Institute of Certified Public
Accountants (AICPA), American Accounting Association (AAA), Financial
Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute
of Management Accountants (IMA).
El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a
modelos anteriores (CoCo de 1995 y COSO de 1992/94).
Existe una relación directa entre los objetivos que la entidad desea lograr y los
componentes de la gestión de riesgos corporativos, que representan lo que
hace falta para lograr aquellos. La relación se representa con una matriz
tridimensional, en forma de cubo.

Las cuatro categorías de objetivos (estrategia, operaciones, información y

conformidad) están representadas por columnas verticales, los ocho
componentes lo están por filas horizontales y las unidades de la entidad, por la
tercera dimensión del cubo.
Desde este enlace se puede acceder a la lista completa de publicaciones que
incorpora.
Información adicional en el informe ejecutivo y marco general de la norma.
COSO se puede combinar con CobiT o con ITIL como modelo de control para
procesos y gestión TI.
COSO está teniendo una difusión muy importante en relación a la conocida
como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de
seguridad de la información pero, por el impacto que está teniendo en muchas
empresas y por sus implicaciones indirectas en la seguridad de la información,
conviene mencionarlo en esta sección.
La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para
proteger a los inversores frente a una falsa presentación de la situación de las
empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para
empresas nacionales estadounidenses como para extranjeras que coticen en
las bolsas de aquel país.
Además del registro en un servicio de inspección pública, SOX exige el
establecimiento de un sistema de control interno para la elaboración de
informes financieros. La ley requiere una mayor transparencia de información,
amplía los deberes de publicación y formaliza los procesos que preceden a la
elaboración de un informe de la empresa.
Es la ya famosa Sección 404 la que establece que la gerencia debe generar un
informe anual de control interno, en el cual se confirme la responsabilidad de la
dirección en la implantación y mantenimiento de unos procedimientos y una
estructura de control interno adecuados para la información financiera. El
marco más empleado por las empresas para cumplir con esta obligación es,
precisamente, el de gestión del riesgo empresarial de COSO.
Este sistema de control tiene también un importante reflejo en el área de
seguridad de la información. Uno de los marcos que más se utilizan para

implantar el sistema en esta área es CobiT. Más específicamente, ISACA ha

publicado un documento de controles TI para Sarbanes-Oxley, basado en
directrices de COSO, con referencias cruzadas a CobiT.
Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable.

Esto quiere decir que la organización que tenga implantado un SGSI puede
solicitar una auditoría a una entidad certificadora acreditada y, caso de superar
la misma con éxito, obtener una certificación del sistema según ISO 27001.
En las siguientes secciones, se abordan diferentes temas relacionados con la

certificación.
Acceda directamente a cada una de ellas desde el menú del recuadro verde de
la izquierda o descargue en pdf el documento completo.
Implantación del SGSI
Evidentemente, el paso previo a intentar la certificación es la implantación en la

organización del sistema de gestión de seguridad de la información según ISO
27001. Este sistema deberá tener un historial de funcionamiento demostrable
de al menos tres meses antes de solicitar el proceso formal de auditoría para
su primera certificación.
ISO 27001 exige que el SGSI contemple los siguientes puntos:

• Implicación de la Dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.
• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta
en marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a
todo el personal.
• Monitorización constante y registro de todas las incidencias.

• Realización de auditorías internas.

• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del
propio SGSI y de su alcance.
• Mejora continua del SGSI.
La documentación del SGSI deberá incluir:

• Política y objetivos de seguridad.
• Alcance del SGSI.
• Procedimientos y controles que apoyan el SGSI.
• Descripción de la metodología de evaluación del riesgo.
• Informe resultante de la evaluación del riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo y control de los procesos de
seguridad de la información y de medición de la eficacia de los controles.
• Registros.
• Declaración de aplicabilidad (SOA -Statement of Applicability-).
• Procedimiento de gestión de toda la documentación del SGSI.

Hay una serie de controles clave que un auditor va a examinar siempre en

profundidad:
• Política de seguridad.
• Asignación de responsabilidades de seguridad.
• Formación y capacitación para la seguridad.
• Registro de incidencias de seguridad.
• Gestión de continuidad del negocio.
• Protección de datos personales.
• Salvaguarda de registros de la organización.
• Derechos de propiedad intelectual.

El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO
14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y
sus semejanzas en la documentación necesaria, con objeto de facilitar la
integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea

posible y práctico. En el caso ideal, es posible llegar a un solo sistema de
gestión y control de la actividad de la organización, que se puede auditar en
cada momento desde la perspectiva de la seguridad de la información, la
calidad, el medio ambiente o cualquier otra.
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable

de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que
se desarrolla de la siguiente forma:
• Solicitud de la auditoría por parte del interesado a la entidad de certificación
y toma de datos por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento
conjunto del plan de auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que
aporte información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que
se trata del análisis de la documentación por parte del Auditor Jefe y la
preparación del informe de la documentación básica del SGSI del cliente,
destacando los posibles incumplimientos de la norma que se verificarán en la
Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo
máximo entre la Fase 1 y Fase 2 es de 6 meses.
• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se
revisan in situ las políticas, la implantación de los controles de seguridad y la
eficacia del sistema en su conjunto. Se inicia con una reunión de apertura
donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y
recursos necesarios, así como posibles cambios de última hora. Se realiza
una revisión de las exclusiones según la Declaración de Aplicabilidad
(documento SOA), de los hallazgos de la Fase 1, de la implantación de
políticas, procedimientos y controles y de todos aquellos puntos que el
auditor considere de interés. Finaliza con una reunión de cierre en la que se
presenta el informe de auditoría.
• Certificación: en el caso de que se descubran durante la auditoría no
conformidades graves, la organización deberá implantar acciones correctivas;
una vez verificada dicha implantación o, directamente, en el caso de no
haberse presentado no conformidades, el auditor podrá emitir un informe
favorable y el SGSI de organización será certificado según ISO 27001.

• Auditoría de seguimiento: semestral o, al menos, anualmente, debe

realizarse una auditoría de mantenimiento; esta auditoría se centra,
generalmente, en partes del sistema, dada su menor duración, y tiene como
objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
• Auditoría de re-certificación: cada tres años, es necesario superar una
auditoría de certificación formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o,

anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en
http://www.iso27001certificates.com. Para aquellas organizaciones que lo han
autorizado, también está publicado el alcance de certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de

certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la
certificación, porque supone la oportunidad de recibir la confirmación por parte

de un experto ajeno a la empresa de que se está gestionando correctamente la

seguridad de la información, añade un factor de tensión y de concentración en
una meta a todos los miembros del proyecto y de la organización en general y
envía una señal al mercado de que la empresa en cuestión es confiable y es
gestionada transparentemente.
La entidad de certificación
Las entidades de certificación son organismos de evaluación de la

conformidad, encargados de evaluar y realizar una declaración objetiva de que
los servicios y productos cumplen unos requisitos específicos. En el caso de
ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización
se ha diseñado, implementado, verificado y mejorado conforme a lo detallado
en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de

una actividad empresarial privada con un gran auge en el último par de
décadas, debido a la creciente estandarización y homologación de productos y
sistemas en todo el mundo. La organización que desee certificarse puede
contactar a diversas entidades certificadoras y solicitar presupuesto por los
servicios ofrecidos, comparando y decidiéndose por la más conveniente, como
hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos,

han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo
de acreditación, comprueba, mediante evaluaciones independientes e
imparciales, la competencia de las entidades de certificación para la actividad
objeto de acreditación. En cada país suele haber una sola entidad de
acreditación (en algunos, hay más de una), a la que la Administración encarga
esa tarea. En España, es ENAC (Entidad Nacional de Acreditación); para otros
países, puede consultarse una lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2

-antes de derogarse- suele hacerse en base al documento EA 7/03 "Directrices
para la acreditación de organismos operando programas de
certificación/registro de sistemas de gestión de seguridad en la información".
En el futuro, será la norma ISO 27006 la que regule directamente estas
cuestiones.
Las entidades de acreditación establecen acuerdos internacionales para

facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de
criterios comunes. Para ello, existen diversas asociaciones como IAF
(International Accreditation Forum) o EA (European co-operation for
Accreditation).
El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha

diseñado, implementado, verificado y mejorado conforme a lo detallado en la
norma. En general, se distinguen tres clases de auditores:

• De primera parte: auditor interno que audita la organización en nombre de

sí misma, normalmente, como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación;
• De segunda parte: auditor de cliente, es decir, que audita una organización
en nombre de un cliente de la misma; por ejemplo, una empresa que audita a
su proveedor de outsourcing;
• De tercera parte: auditor independiente, que audita una organización como
tercera parte imparcial; normalmente, porque la organización tiene la
intención de lograr la certificación y contrata para ello los servicios de una
entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también

de una certificación personal. Esto quiere decir que, nuevamente un tercero,
certifica que posee las competencias profesionales y personales necesarias
para desempeñar la labor de auditoría de la materia para la que está
certificado.
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que
pueden formular requisitos distintos para homologar a sus auditores. Pero, en
general, la certificación de auditores se ciñe a la norma ISO 19011 de
directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la
competencia y evaluación de los auditores. Al auditor se le exigen una serie de
atributos personales, conocimientos y habilidades, educación formal,
experiencia laboral y formación como auditor.
Existen diversas organizaciones internacionales de certificación de auditores,

con el objeto de facilitar la estandarización de requerimientos y garantizar un
alto nivel de profesionalidad de los auditores, además de homologar a las
instituciones que ofrecen cursos de formación de auditor. Algunas de estas
organizaciones son IRCA, RABQSA o IATCA.
IRCA (International Register of Certificated Auditors) es el mayor organismo

mundial de certificación de auditores de sistemas de gestión. Tiene su sede en
el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por
tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación
de auditores de sistemas de gestión de seguridad de la información. Su página
web, también en español, es una buena fuente de consulta de los requisitos y
los grados de auditor. Dispone de un enlace directo a las últimas novedades
del IRCA desde nuestra sección de boletines.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre

ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil,
tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían
crear un clima de confianza y colaboración entre auditor y auditado. El auditado
debe tomar el proceso de auditoría siempre desde un punto de vista
constructivo y de mejora continua, y no de fiscalización de sus actividades.
Para ello, el auditor debe fomentar en todo momento un ambiente de
tranquilidad, colaboración, información y trabajo conjunto.
Herramientas

Esta sección incluye enlaces a diferentes herramientas y recursos relacionados

con sistemas de gestión de seguridad de la información. Una parte de estas
herramientas son gratuitas.
Navegue a través del submenú lateral por los distintos apartados.
Normas, guías y buenas prácticas generales
www.iso27001certificates.com
Base de datos con todas las empresas certificadas en BS7799-2 e ISO
27001.
www.iso.org/...
Normas ISO de descarga gratuita relativas a tecnologías de la información.
www.aenor.es/...
Compra de normas UNE / ISO.
www.iso27000.es/download/ControlesISO27002-2005.pdf
Lista en español de los controles de ISO 27002:2005.
www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-
V2.pdf
Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de
ISO/IEC 27002:2005.
www.bsi-global.com/en/Shop/
Compra de normas de la "British Standards Institution".
www.oecd.org/dataoecd/15/29/34912912.pdf
Directrices de la OCDE para la seguridad de sistemas y redes de
información: hacia una cultura de seguridad. En español.
www.ism3.com
ISM3 (ISM Cubo) es un estándar de madurez de seguridad de la información
compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001,
desarrollado por el español Vicente Aceituno.
www.bsi.de/english/gshb/guidelines/guidelines.pdf
Guía en inglés de buenas prácticas de seguridad de la información del
"Bundesamt für Sicherheit in der Informationstechnik" de Alemania.
www.bsi.de/english/gshb/manual/index.htm
"IT-Grundschutz", manual de más de 2.300 páginas sobre gestión de
seguridad de la información editado por el "Bundesamt für Sicherheit in der

Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras

normas.
www.bsi.de/english/...
Estándar de requerimientos generales de un SGSI según el "Bundesamt für
Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO
27001, entre otras normas.
Metodología de gestión de seguridad de la información del "Bundesamt für
Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO
27001, entre otras normas.
www.dsd.gov.au/library/infosec/acsi33.html
Manual de seguridad TIC en inglés del gobierno australiano (ACSI 33).
www.isfsecuritystandard.com
Estándar de seguridad de la información del "Information Security Forum".
www.isaca.org/cobit
CobiT (Control Objectives for Information and related Technology). Marco
para el buen gobierno de las TI. Versiones en diversos idiomas, incluido
español.
www.isaca.org/...
Guía de alineamiento de CobiT, ITIL e ISO 17799.
www.isaca.org/...
Guía de alineamiento de CobiT con múltiples estándares.
www.isecom.org/osstmm
OSSTMM (Open Source Security Testing Methodology Manual). También en
español.
cordis.europa.eu/infosec/src/down.htm
ITSEC (Information Technology Security Evaluation Criteria). Editado por la
Comisión Europea.
cordis.europa.eu/infosec/src/down.htm
ITSEM (Information Technology Security Evaluation Manual). Editado por la
Comisión Europea.
www.tisn.gov.au/agd/...
Manual de gestión de ataques DoS y DDoS del Trusted Information Sharing
Network de Australia.
www.frc.org.uk/...

Turnbull Guidance del Financial Reporting Council.
www.theiia.org/guidance/technology/gait
Guide to the Assessment of IT General Controls Scope Based on Risk (GAIT)
del Institute of Internal Auditors. Metodología de evaluación de controles de
tecnologías de la información. Sirve de apoyo para la implantación de
Sarbanes-Oxley.
csrc.nist.gov/publications/CSD_DocsGuide.pdf
Resumen de todas las guías publicadas por NIST (National Institute of
Standards and Technology de EEUU).
csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
Guía de métricas de seguridad. Publicada por NIST (National Institute of
Standards and Technology de EEUU).
csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf
Borrador de la guía de desarrollo de métricas de seguridad. Publicada por
NIST (National Institute of Standards and Technology) de EEUU.
www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish
.rtf
Versión en español de la guía de implantación y de métricas para cada
objetivo de control de ISO 27002 publicada por el "ISO27k implementers’
forum".
www.infodev-security.net/handbook
Manual de seguridad de las tecnologías de la información para países en vías
de desarrollo del Banco Mundial.
www.isaca.org/Template.cfm...
IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance
Institute.
www.ncinfragard.org/pdf/...
Guía de aseguramiento de activos críticos de información. Publicada por la
Critical Infrastructure Assurance Office de EEUU.
www.fas.org/irp/offdocs/dcid6-9.pdf
Directiva de EEUU sobre seguridad física de edificios e instalaciones.
www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1
Guías de configuración de seguridad de la National Security Agency de
EEUU.
wiki.internet2.edu/...
Guía de prácticas y soluciones de seguridad TI.

www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-
ES.pdf
Guía en español de creación de un equipo de respuesta a incidentes de
seguridad informática.
www.sans.org/reading_room/whitepapers/incident/1791.php
Propuesta de proceso de gestión de incidentes de seguridad para Pymes.
www2.norwich.edu/mkabay/infosecmgmt/csirtm.pdf
Cómo gestionar un equipo de respuesta a incidentes de seguridad
informática.
portal.aragob.es/pls...
Guía básica en español de seguridad para Pymes y autónomos (Gobierno de
Aragón).
www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
Guía en español de gestión de la seguridad de la información para Pymes
(Gobierno Región de Murcia).
www.sabsa-institute.org
SABSA, una metodología de desarrollo de arquitecturas de seguridad
corporativas.
pegasus.javeriana.edu.co/~regisegu/
Guía en español de una metodología para la gestión centralizada de registro
de eventos de seguridad en Pymes.
www.bsi-global.com/en/Shop/Publication-Detail/?pid=000000000030168495
PAS 99:2006, Especificación de los requisitos comunes del sistema de
gestión como marco para la integración. Guía de BSI (British Standards
Institution) en español de cómo integrar diversos sistemas de gestión.
www.treasury.nsw.gov.au/procurement/ict-map
Mapa de procesos TIC con procedimientos documentados del gobierno de
Nueva Gales del Sur.
www.gcio.nsw.gov.au/library/a-to-z
Biblioteca de procedimientos documentados de procesos TIC del gobierno de
Nueva Gales del Sur.
Herramientas para análisis de riesgos
www.enisa.europa.eu/rmra/rm_home.html
Inventario de metodologías y herramientas de análisis y gestión de riesgos de
ENISA (European Network and Information Security Agency). Incluye sistema
de comparativas.

www.enisa.europa.eu/rmra/...
Guía de evaluación y gestión del riesgo para Pymes.
www.csi.map.es/csi/pg5m20.htm
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información), promovida por el Ministerio de Administraciones Públicas de
España.
www.ar-tools.com
EAR (Entorno de análisis de riesgos). Herramienta en español, basada en
Magerit, no gratuita. Diseñada por José Antonio Mañas, redactor de Magerit.
www.ar-tools.com/pilar
PILAR. Herramienta de análisis de riesgos, basada en Magerit, en español,
exclusiva para las Administraciones Públicas españolas. Diseñada por José
Antonio Mañas, redactor de Magerit.
www.sigea.es
GxSGSI. Software de análisis de riesgos, en español, de la empresa SIGEA.
www.bsi-global.com/en/Shop...
BS 7799-3:2006 es el estándar de gestión del riesgo de la seguridad de la
información de la British Standards Institution.
www.saiglobal.com/shop/script/...
AS/NZS 4360:2004 es el estándar australiano de gestión de riesgos de la
seguridad de la información, de amplia difusión internacional.
www.ssi.gouv.fr/es/confianza/ebiospresentation.html
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).
Metodología de gestión de los riesgos de seguridad de sistemas de
información desarrollada por la "Direction Centrale de la Sécurité des
Systèmes d’Information" francesa. Disponible en español. Está acompañada
por un software multilingüe -francés, inglés, alemán, español- con
descargables para varias plataformas -Windows, Linux, Solaris-.
Estándar de análisis de riesgos del "Bundesamt für Sicherheit in der
Informationstechnik" de Alemania.
www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES
MEHARI (Méthode Harmonisée d'Analyse de Risques). Método de análisis y
gestión del riesgo desarrollado por el Clusif (Club de la Sécurité des
Systèmes d’Information Français).
www.cert.org/octave

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation).

Metodología de evaluación de riesgos desarrollada por el Software
Engineering Institute (SEI) de la Carnegie Mellon University. Incluye
OCTAVE-S, una versión para pequeñas empresas (menos de 100
empleados).
oattool.aticorp.org/Tool_Info.html
Octave Automated Tool es un software -no gratuito- que implementa la
metodología de evaluación de riesgos OCTAVE.
www.cramm.com
CRAMM (CCTA Risk Analysis and Management Method). Metodología y
herramienta de análisis y gestión de riesgos desarrollada por la "Central
Computer and Telecommunications Agency" del Reino Unido y gestionada
por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y
Express, incluye software y no es gratuita.
www.riskwatch.com/products/isa.asp
RiskWatch es un software no gratuito de realización de análisis de riesgos.
www.securityforum.org/html/current_iram.htm
IRAM (Information Risk Analysis Methodologies) es una metodología de
análisis de riesgos del Information Security Forum sólo disponible para sus
miembros.
www.securityforum.org/html/sample.htm#ira
FIRM (Fundamental Information Risk Management) es una metodología de
gestión de riesgos del Information Security Forum sólo disponible para sus
miembros.
www.citicus.com/oursoftware_softwarecapabilities.asp
Citicus ONE es un software comercial (disponible en varios idiomas, pero no
en español) de gestión de riesgos de seguridad de la información, basado en
la metodología FIRM.
"Risk management guide for information technology systems". Publicada por
www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-e.html
Guías en inglés de evaluación de riesgos de sistemas de información del
"Canadian Government Communications Security Establishment".
Documentos ITSG-04, MG-2, MG-3 y MG-4.
www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg-f.html
Guías en francés de evaluación de riesgos de sistemas de información del
"Canadian Government Communications Security Establishment".
Documentos ITSG-04, MG-2, MG-3 y MG-4.
www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_e.pdf
Guía en inglés de evaluación de riesgos de la Policía de Canadá.
www.rcmp-grc.gc.ca/tsb/pubs/it_sec/g2-001_f.pdf
Guía en francés de evaluación de riesgos de la Policía de Canadá.
www.theirm.org/...
Estándar de gestión del riesgo de IRM, AIRMIC y ALARM (en español).
www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/de
fault.mspx
Security Risk Management Guide de Microsoft.
www.palisade-europe.com/risk/es
@RISK, de Palisade, es un software general de análisis de riesgos. Existe
versión en español y tiene coste.
www.riskworld.net
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -
no gratuito- de evaluación del riesgo de "C&A Systems Security Ltd.".
www.aexis.de/RA2ToolPage.htm
RA2 art of risk. Software de análisis de riesgos y soporte de SGSI. No es
gratuito.
www.njcu.edu/assoc/njcuitma/documents/addendums/...
Ejemplo de análisis de impacto en el negocio realizado por Gartner.
www.sans.org/reading_room/whitepapers/auditing/1664.php
Whitepaper de SANS de alineación de gestión de riesgos con BS7799-3.
www.sans.org/reading_room/whitepapers/auditing/1204.php
Whitepaper de SANS sobre gestión del riesgo.
metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf
Introducción al análisis y modelado de amenazas.
www.asisonline.org/guidelines/guidelinesgsra.pdf
Guía de evaluación de riesgos de seguridad de ASIS.
www.fdic.gov/news/news/financial/2004/FIL11404a.html
Directrices para la gestión del riesgo por uso de aplicaciones de software
libre.
Herramientas para directivos y gerentes

www.dti.gov.uk/files/file9971.pdf
Guía del aseguramiento del negocio del "Department of Trade and Industry"
del Reino Unido.
Guía de seguridad de la información para directivos del "Department of Trade
and Industry" del Reino Unido.
Introducción a la seguridad de la información para directivos del "Department
of Trade and Industry" del Reino Unido.
Introducción a las principales amenazas de seguridad de la información para
directivos de Pymes del "Department of Trade and Industry" del Reino Unido.
Introducción a la gestión del riesgo de "The International Underwriting
Association" del Reino Unido.
www.ssi.gouv.fr/es/confianza/tdbssi.html
TDBSSI (Esquema Orientativo de la Seguridad de los Sistemas de
Información). Herramienta de síntesis y de visualización para el seguimiento
de las acciones vinculadas con la seguridad de la información, desarrollada
por la "Direction Centrale de la Sécurité des Systèmes d’Information"
francesa. Disponible en español.
csrc.nist.gov/publications/nistpubs/800-100/NIST-SP-800-100.zip
Guía de seguridad de la información para gerentes, del NIST (National
Institute of Standards and Technology de EEUU).
www.cert.org/governance
Governing for Enterprise Security, iniciativa del CERT de EEUU.
www.asisonline.org/guidelines/guidelineschief.pdf
Guía del CSO (Chief Security Officer), publicada por ASIS.
Herramientas de auto-evaluación
autoevaluacion.forosec.com/forosec
Herramienta de auto-evaluación online en español del estado de la seguridad
informática en una organización. ForoSec, basándose en controles de la
ISO17799, presenta al usuario un cuestionario sobre procedimientos y
técnicas de seguridad de la información en su organización y, en función de
las respuestas, ofrece un diagnóstico de la situación, una clasificación en tres
niveles según el grado de conformidad con la norma y unas
recomendaciones de actuación para cada una de las cuestiones.

www.securityhealthcheck.dti.gov.uk
Auto-evaluación online del estado de la seguridad de la información en una
organización, por el "Department of Trade and Industry" del Reino Unido.
www.sans.org/score/ISO_17799checklist2.php
Cuestionario de auto-evaluación para la verificación del estado de los
controles de ISO 17799:2005 del SANS Institute en formatos PDF y WORD.
www.snia.org/ssif/education/risk_assessment
Auto-evaluación online como método de iniciación en conceptos y mejores
prácticas de seguridad de la información del “Storage Security Industry
Forum”.
www.educause.edu/ir/library/pdf/SEC0421.pdf
Auto-evaluación de seguridad de la información para Universidades.
www.bitsinfo.org/downloads/Publications...
Herramienta de BITs para la evaluación del riesgo operacional de la
csrc.nist.gov/publications/nistir/ir7358/NISTIR-7358.pdf
Program Review for Information Security Management Assistance (PRISMA)
del NIST de EEUU. Metodología de revisión del nivel de madurez de un plan
de seguridad de la información.
www.csoonline.com/read/030104/workdanger_a.html
Auto-evaluación online que ayuda a evaluar el cumplimiento de escritorio
despejado en una organización. Necesita de Flash Player 6.
www.interpol.int/Public/TechnologyCrime/CrimePrev/companyChecklist.asp
Checklist sobre seguridad de la información de la INTERPOL.
Herramientas de implantación de SGSI
www.audisec.es
Global SGSI es la herramienta de gestión de SGSIs de la consultora
española Audisec. Cubre la evaluación de riesgos y las distintas etapas del
ciclo de vida de un SGSI.
www.ecija.com/v1/images2005/SGSI.pdf
Écija SGSI es la herramienta de gestión de SGSIs de la consultora española
Écija. Cubre la evaluación de riesgos y las distintas etapas del ciclo de vida
de un SGSI.
isms.axur.net
Axur ISMS es una herramienta de gestión de un SGSI, incluyendo evaluación
de riesgos. Está disponible en inglés y, progresivamente, en otros idiomas.

www.gammassl.co.uk/topics/ics/Brocv07forPDF.pdf
AWICMSM (Advanced Web-based Internal Control Management System
Methodology), junto con la metodología "Fast Track ISMS", es la herramienta
comercial de implantación de ISO 27001 de la consultora inglesa "Gamma
Secure Systems Limited".
www.callio.com
"Callio Secura 17799" es una herramienta software comercial para
desarrollar, implantar, administrar y certificar un SGSI según las normas ISO
17799 / BS 7799 / UNE 71502.
www.infogov.co.uk/...
Proteus es un software comercial que cubre todas las fases de implantación
de un SGSI. Disponible en español.
www.isms.jipdec.jp/doc/JIP-ISMS114-10E.pdf
Guía de implantación de un SGSI en una organización médica.
www.atsec.com/downloads/pdf/iso-27001/ISMS-Implementation-Guide-and-
Examples.pdf
Guía de implantación de un SGSI con consejos y ejemplos.
www.gcio.nsw.gov.au/documents/Information%20Security%20Guideline%20V1.
1.pdf
Guía de implantación de un SGSI con consejos y recomendaciones del
gobierno de Nueva Gales del Sur.
www.is2me.org
Metodología en español de implantación de seguridad de la información en
PyMEs.
csrc.nist.gov/publications/nistpubs/...
Guía 800-53 de implantación de controles de seguridad de la información del
checklists.nist.gov/repository/category.html
NIST Security Configuration Checklists Repository: un conjunto de listas de
comprobación relativas a la seguridad en los más diversos sistemas
informáticos.
www.iso27001security.com/ISO_27000_implementation_guidance_v1_Spanish
.rtf
Versión en español de la guía de implantación y de métricas para cada
objetivo de control de ISO 27002 publicada por el "ISO27k implementers’
forum".
docs.google.com/View?docid=dgc8zfmj_6c3vp4w

Checklist de documentación de un SGSI publicada por el "ISO27k

implementers’ forum".
www.iso.org/iso/iso_catalogue/...
Documento ISO/TC 176/SC 2/N544R2(r) que expone el enfoque por
procesos.
Herramientas de implantación de políticas
www.ssi.gouv.fr/es/confianza/pssi.html
La guía PSSI. Guía de redacción de políticas de seguridad de la información
de la "Direction Centrale de la Sécurité des Systèmes d’Information" francesa.
Disponible en español.
www.arcert.gov.ar/politica/modelo.htm
Modelo de Política de Seguridad de la Información para la Administración de
Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799
homologada por IRAM, Instituto Argentino de Normalización).
www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_e.asp
Política de Seguridad del Gobierno de Canadá. En inglés.
www.tbs-sct.gc.ca/pubs_pol/gospubs/TBM_12A/gsp-psg_f.asp
Política de Seguridad del Gobierno de Canadá. En francés.
www.ccn.cni.es/series.html
Los documentos CCN-STIC del Centro Criptológico Nacional español
incluyen normas, instrucciones, guías y recomendaciones para garantizar la
seguridad de los Sistemas de las TIC en la Administración.
www.ucisa.ac.uk/ist
Toolkit de la "Universities and Colleges Information Systems Association" del
Reino Unido para la generación de políticas de seguridad de la información
basado en BS-7799:2002.
www.sans.org/resources/policies
Conjunto de plantillas de políticas de seguridad del SANS Institute.
Guía de protección de activos de información del "Department of Trade and
Industry" del Reino Unido.
Guía de creación de una política de seguridad del "Department of Trade and
Industry" del Reino Unido.

Guía de tipos de políticas de seguridad de la información del "Department of

Trade and Industry" del Reino Unido.
www.cccure.org/Documents/Security_Policy/pol_guidefinal.pdf
Guía de creación de una política de seguridad.
csrc.nist.gov/publications/nistpubs/index.html
Guías sobre distintos aspectos técnicos de la seguridad de la información del
NIST (National Institute of Standards and Technology) de EEUU. Sirven de
apoyo a la hora de redactar políticas.
www.isaca.org/...
Muchas de las directrices de ISACA para auditores de sistemas de
información son útiles también como apoyo para redactar políticas de
seguridad.
www.noticebored.com/html/policy_manual.html
Plantilla para manual de políticas de seguridad de la información basado en
ISO 17799. No gratuito.
www.sans.org/reading_room/whitepapers/policyissues/1331.php
Guía de desarrollo de una política de seguridad de la información.
www.senado.es/legis8/publicaciones/pdf/senado/bocg/I0041.PDF
Normativa de uso de sistemas de información del Senado español.
Herramientas de concienciación y sensibilización
www.criptored.upm.es/guiateoria/gt_m142r.htm
"Concientización en seguridad de la información", una guía en español
publicada por la Universidad de los Andes. [El término "concientización" se
usa sobre todo en Hispanoamérica.]
www.enisa.europa.eu/...
Guía de ENISA en español para la confección de un plan de concienciación
en seguridad de la información.
www.enisa.europa.eu/...
Guía de ENISA en inglés sobre planes de concienciación en seguridad y la
medición de su eficacia.
www.cse-cst.gc.ca/tutorials/english/toc.htm
Programa de formación de introducción a la seguridad de la información para
técnicos de TI en inglés del Gobierno de Canadá.
www.cse-cst.gc.ca/tutorials/french/toc.htm

Programa de formación de introducción a la seguridad de la información para

técnicos de TI en francés del Gobierno de Canadá.
www.infosecuritylab.com/downloads.php
Software de formación y concienciación en seguridad de la información. No
gratuito.
www.noticebored.com/index.html
Conjunto de herramientas y servicios de concienciación. No gratuito.
www.thesecurityawarenesscompany.com
Conjunto de herramientas y servicios de concienciación. No gratuito.
www.ussecurityawareness.org
Larga lista de enlaces a otras páginas relacionadas con concienciación y
seguridad de la información en general.
www.educause.edu/content.asp?page_id=7103&bhcp=1
Videos de concienciación sobre seguridad informática.
csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf
"Building an Information Technology Security Awareness and Training
Program". Guía para generar un plan de concienciación y formación en
seguridad de la información publicado por el NIST (National Institute of
Standards and Technology) de EEUU.
csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf
"Information Technology Security Training Requirements: A Role- and
Performance-Based Model". Guía para un plan de formación basado en
funciones y responsabilidades publicado por el NIST (National Institute of
Standards and Technology) de EEUU. Va acompañado de 2 anexos:
AppendixA-D y Appendix_E.
Improving_Security_from_the_Inside_Out_NSI
NSI (National Security Institute) contribuye con este documento que trata la
concienciación interna en seguridad, que la dirección la compre, ir más allá
de políticas, construcción de un comportamiento que se base en un modelo,
entre otros.
www.microsoft.com/technet/security/understanding/awareness.mspx
Material y guías de concienciación gratuitos en inglés de Microsoft (120 MB).
www.iwar.org.uk/comsec/resources/sa-tools/
Conjunto de documentos de concienciación en seguridad de la información.
www.iwar.org.uk/comsec/resources/ia-awareness-posters/
Posters de sensibilización en seguridad de la información.

security.arizona.edu/presentations.html
Conjunto de presentaciones en PowerPoint sobre concienciación en
seguridad de la información de la Universidad de Arizona.
www.noticebored.com/html/7_steps.html
7 pasos para diseñar un plan de sensibilización en seguridad de la
información.
www.bitsinfo.org/downloads/Publications...
BITs, consorcio sin ánimo de lucro formado por CEOs, cuyos miembros
pertenecen a 100 de las mayores instituciones de EEUU. Consideraciones
clave para la seguridad de los datos en su almacenamiento y transporte.
www.microsoft.com/downloads/...
Guía de Microsoft de protección de la empresa frente a la ingeniería social.
www.commonwealthfilms.com
Venta de vídeos de concienciación en seguridad de la información en inglés.
www2.norwich.edu/mkabay/infosecmgmt/videos/index.htm
Resúmenes de videos de "Commonwealth Films" sobre concienciación en
www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_e.htm
Guía en inglés de concienciación en seguridad de la Policía de Canadá.
www.rcmp-grc.gc.ca/tsb/pubs/phys_sec/g1-030_f.htm
Guía en francés de concienciación en seguridad de la Policía de Canadá.
www.infosecwriters.com/text_resources/pdf/Improving_Security_from_the_Insid
e_Out_NSI.pdf
Documento con recomendaciones para un plan de concienciación del
National Security Institute de EEUU.
www.securitycartoon.com
Una viñeta diaria orientada a la concienciación de usuarios en seguridad de
la información.
Herramientas de auditoría
www.theiia.org/guidance/technology/gtag
Global Technology Audit Guide (GTAG) del Institute of Internal Auditors. Una
serie de guías para auditores de sistemas de información.
www.ffiec.gov/ffiecinfobase/index.html

Guías de auditoría de sistemas de información del Federal Financial

Institutions Examination Council de EEUU.
www.isaca.org/...
Normas, directrices y procedimientos de ISACA para auditores de sistemas
de información.
www.sans.org/score/checklists/ISO_17799_2005.doc
Checklist de auditoría de los controles del Anexo A de ISO 27001.
iase.disa.mil/stigs/checklist/index.html
Checklists de seguridad de sistemas del Information Assurance Support
Environment.
www.iso.org/tc176/ISO9001AuditingPracticesGroup
Guías de auditoría en inglés del ISO 9001 Auditing Practices Group.
www.inlac.org/documentos.html
Traducción al español de las guías de auditoría en inglés del ISO 9001
Auditing Practices Group.
Herramientas de continuidad de negocio
www.bsi-global.com/...
BS 25999-1: Estándar británico de buenas prácticas de gestión de
www.bsi-global.com/...
BS 25999-2: Estándar británico certificable que indica los requisitos para un
sistema de gestión de continuidad de negocio.
www.thebci.org/gpgdownloadpage.htm
Guía de buenas prácticas de gestión de continuidad de negocio de "The
Business Continuity Institute".
www.thebci.org/10Standards.pdf
Buenas prácticas de gestión de continuidad de negocio de "The Business
Continuity Institute".
www.singaporestandardseshop.sg/product/...
Estándar SS507:2004 de Singapur sobre continuidad de negocio y
recuperación de desastres.
Introducción a la gestión de continuidad de negocio del "Department of Trade
and Industry" del Reino Unido.

Guía para planes de contingencia de sistemas TI. Publicada por el NIST
(National Institute of Standards and Technology) de EEUU.
www.drii.org/DRII/ProfessionalPractices/about_professional_detail.aspx
Prácticas profesionales de continuidad de negocio del Disaster Recovery
Institute International.
www.tisn.gov.au/agd/...
Guía de continuidad de negocio para Pymes del gobierno australiano.
www.nfpa.org/assets/files/PDF/CodesStandards/1600-2007.pdf
Estándar de gestión de desastres y planes de continuidad de negocio de la
National Fire Protection Association de EEUU.
www.ongei.gob.pe/seguridad/seguridad2_archivos/Lib5131/Libro.pdf
Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de
Información del Gobierno de Perú.
www.ibhs.org/business_protection/ofb_toolkit.asp
Guía práctica de continuidad de negocio para Pymes del Institute for
Business & Home Safety de EEUU.
www.asisonline.org/guidelines/guidelinesbc.pdf
Guía de continuidad de negocio de ASIS.
www.ffiec.gov/ffiecinfobase/booklets/bcp/bus_continuity_plan.pdf
Guía de evaluación de continuidad de negocio en instituciones financieras del
FFIEC de EEUU.
www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf
Guía de implantación de BS 25999 publicada por Avalution Consulting y BSI
Americas.
www.redbooks.ibm.com/abstracts/sg246547.html?Open
IBM System Storage Business Continuity: Part 1 Planning Guide.
www.redbooks.ibm.com/abstracts/sg246548.html?Open
IBM System Storage Business Continuity: Part 2 Solutions Guide.
www.bis.org/publ/joint17.pdf
Principios de alto nivel de continuidad de negocio del Basel Committee on
Banking Supervision.
www.sans.org/reading_room/whitepapers/recovery/1658.php
Cómo realizar un Business Impact Analysis (BIA).

www.continuitycentral.com/feature0501.htm
Checklist de continuidad de negocio para pequeñas empresas
www.office-shadow.com
Office Shadow es un software comercial de planificación de la gestión de
www.strohlsystems.com/Software/LDRPS/default.asp
LDRPS es un software comercial de planificación de la gestión de continuidad
de negocio.
www.businessprotection.com
Business Protector Gateway: software comercial de planificación de la
gestión de continuidad de negocio.
www.ebrp.net
eBRP: software comercial de planificación de la gestión de continuidad de
negocio.
www.contingenz.com
IMCD: software comercial de planificación de la gestión de continuidad de
negocio.
www.mcqsoft.com
Software comercial de planificación de la gestión de continuidad de negocio.
www.coop-systems.com
COOP: software comercial de planificación de la gestión de continuidad de
negocio.
www.evergreen-data.com/mitigator.html
Mitigator: software comercial de planificación de la gestión de continuidad de
negocio.
www.drsbytamp.com
TAMP: software comercial de planificación de la gestión de continuidad de
negocio.
www.linusrevive.com
Revive: software comercial de planificación de la gestión de continuidad de
negocio.
www.cpa-ltd.com/products_rpwin.htm
RecoveryPAC: software comercial de planificación de la gestión de
www.cpacsweb.com/recpac.html

Software comercial en varias versiones de planificación de la gestión de

FAQs (Preguntas frecuentes):
Norma ISO 27001
¿Qué es ISO?
ISO (International Organization for Standardization) es una federación
internacional con sede en Ginebra (Suiza) de los institutos de normalización de
157 países (uno por cada país). Es una organización no gubernamental (sus
miembros no son delegados de gobiernos nacionales), puesto que el origen de
los institutos de normalización nacionales es diferente en los distintos países
(público, privado…).
ISO desarrolla estándares requeridos por el mercado que representen un
consenso de sus miembros (previo consenso nacional entre industrias,
expertos, gobierno, usuarios, consumidores…) acerca de productos,
tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de
aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da
autoridad legal para forzar su implantación. Sólo en aquellos casos en los que
un país ha decidido adoptar un determinado estándar como parte de su
legislación, puede convertirse en obligatorio.
ISO garantiza un marco de amplia aceptación mundial a través de los 3000
grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.
¿Qué es un estándar?
Es una publicación que recoge el trabajo en común de los comités de
fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones técnicas y mejores prácticas
en la experiencia profesional con el objeto de ser utilizada como regulación,
guía o definición para las necesidades demandadas por la sociedad y
tecnología.
Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales,
productos, procesos o servicios que utilizan todas las partes interesadas
(productores, vendedores, compradores, usuarios y reguladores).
En principio, son de uso voluntario, aunque la legislación y las
reglamentaciones nacionales pueden hacer referencia a ellos.
¿Qué es AENOR y cuál es su relación con ISO?

AENOR es una entidad española de normalización y certificación en todos los
sectores industriales y de servicios.

En su vertiente de normalización, tiene encomendada esta tarea por la

Administración española y es el representante de España en ISO.
En su vertiente de certificación, opera en el mercado como cualquier otra
entidad privada de certificación y no tiene concedida ninguna exclusividad.
¿Qué es la norma ISO 27001?

Es un estándar ISO que proporciona un modelo para establecer, implementar,
utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan-
Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras
normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio
ambiente, etc.).
Es un estándar certificable, es decir, cualquier organización que tenga
implantado un SGSI según este modelo puede solicitar una auditoría externa
por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la
certificación en ISO 27001.
¿Cuál es el origen de ISO 27001?

Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte
2, norma que fue publicada por primera vez en 1998 y ya era un estándar
certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
Puede consultar la historia de ISO 27001 en el archivo sonoro:
http://www.iso27000.es/download/HistoriaISO27001.pps
¿Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada
17799)?
ISO 27002 es un conjunto de buenas prácticas en seguridad de la información.
Contiene 133 controles aplicables (en relación a la gestión de la continuidad de
negocio, la gestión de incidentes de seguridad, control de accesos o regulación
de las actividades del personal interno o externo, entre otros muchos), que
ayudarán a la organización a implantar medidas que reduzcan sus riesgos en
cuanto a seguridad de la información. Su origen está en la norma de BSI
(British Standards Institution) BS7799-Parte 1, que fue publicada por primera
vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
27002 para su posible aplicación en el SGSI que implante cada organización
(justificando, en el documento denominado “Declaración de Aplicabilidad”, los
motivos de exclusión de aquellos que finalmente no sean necesarios). ISO
27002 es para ISO 27001, por tanto, una relación de controles necesarios para
garantizar la seguridad de la información.
A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO
27002:2005, cambiando únicamente su nomenclatura.
¿Puedo certificar mi empresa en ISO 27002?

ISO 27002 es un conjunto de buenas prácticas de seguridad de la información

que describe 133 controles aplicables. No es certificable, al igual que su norma
antecesora BS 7799-1, y la aplicación total o parcial en cada organización se
realiza de forma totalmente libre y sin necesidad de una supervisión regular
externa.
La norma que sí es certificable es ISO 27001, como también lo fue su
antecesora BS 7799-2.
¿Qué es la serie ISO 27000?

ISO ha reservado la serie de numeración 27000 para las normas relacionadas
con sistemas de gestión de seguridad de la información. En 2005 incluyó en
ella la primera de la serie (ISO 27001). En próximos años está prevista la
incorporación de nuevas normas que supongan un apoyo para las
organizaciones que implanten y certifiquen un SGSI según ISO 27001.
Entre otras, serán 27000 (términos y definiciones), 27002 (objetivos de control
y controles), 27003 (guía de implantación de un SGSI), 27004 (métricas y
técnicas de medida de la efectividad de un SGSI), 27005 (guía para la gestión
del riesgo de seguridad de la información) y 27006 (proceso de acreditación de
entidades de certificación y el registro de SGSIs).
Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la
visita de nuestra sección http://www.iso27000.es/iso27000.html.
¿Qué aporta la ISO 27001 a la seguridad de la información de una

empresa?
Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los
riesgos que afectan al negocio, con el objetivo de implantar contramedidas,
procesos y procedimientos para su apropiado control y mejora continua.
Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la
información, evitando las inversiones innecesarias, ineficientes o mal dirigidas
que se producen por contrarrestar amenazas sin una evaluación previa, por
desestimar riesgos, por la falta de contramedidas, por implantar controles
desproporcionados y de un coste más elevado del necesario, por el retraso en
las medidas de seguridad en relación a la dinámica de cambio interno de la
propia organización y del entorno, por la falta de claridad en la asignación de
funciones y responsabilidades sobre los activos de información, por la ausencia
de procedimientos que garanticen la respuesta puntual y adecuada ante
incidencias o la propia continuidad del negocio, etc.
¿ISO 27001 tiene que ver sólo con la seguridad informática de una
empresa?
La información crítica de una empresa está presente en los sistemas
informáticos, pero también en papel, en diferentes tipos de archivos y soportes,
se transmite a terceros, se muestra en diversos formatos audiovisuales, se
comparte en conversaciones telefónicas y reuniones y está presente en el
propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un
marco de gestión de la seguridad de toda la información de la empresa.

La presencia masiva de sistemas informáticos en el tratamiento de la

información lleva a menudo a centrar la atención sólo en la informática, dejando
así expuesta información esencial para las actividades del negocio.
La evaluación de riesgos previa a la implantación de controles debe partir de un
análisis de los impactos que podría suponer para la organización la pérdida de
la confidencialidad, la integridad o la disponibilidad de cualquier parte de su
información. Esto es un estudio en términos de negocio, independiente del
soporte de la información.
La aplicación posterior de controles considera temas como los aspectos
organizativos, la clasificación de la información, la inclusión de la seguridad en
las responsabilidades laborales, la formación en seguridad de la información, la
conformidad con los requisitos legales o la seguridad física, además de
controles propiamente técnicos.
¿Quién debe promover la implantación de ISO 27001 en la empresa?

La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que
los riesgos que se intentan minimizar mediante un SGSI son, en primera
instancia, riesgos para el negocio, es la Dirección quien debe tomar decisiones.
Además, la implantación de ISO 27001 implicará cambios de mentalidad, de
sensibilización, de procedimientos y tareas, etc., y la Dirección es la única que
puede introducirlos en la organización.
Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es
posible la implantación ni la certificación de la norma en la empresa.
¿En qué términos entiende mejor la Dirección la importancia de ISO

27001?
La Dirección de la empresa conoce los riesgos del negocio, la tolerancia en su
aceptación y las obligaciones con sus clientes y accionistas mejor que nadie.
Por tanto, los términos en que debe entender la Dirección la importancia de
ISO 27001 son los de los riesgos asumibles, la continuidad de negocio y los
costes de “no-seguridad”. La Dirección no tiene por qué verse confrontada con
tecnologías y descripción de amenazas desde el punto de vista técnico.
¿Aporta un retorno de inversión la certificación en ISO 27001 de la

empresa?
Como cualquier otro proyecto de la empresa, la certificación requiere de una
inversión de mayor o menor importancia en función de las prácticas actuales en
seguridad.
El retorno de la inversión es realmente efectivo en el tiempo, considerando,
entre otras razones, que con ISO 27001:
• Se aprovecha el hecho comprobado de que el coste de la implementación
de controles apropiados de seguridad puede ser hasta 7 veces menor cuando
se consideran al principio del diseño e implantación de las soluciones de
negocio.

• Las inversiones en tecnología se ajustan a unas necesidades y prioridades

conocidas de un entorno controlado. Se evitan compras innecesarias y
sobredimensionadas o la necesidad inesperada de productos.
• Muchos errores se evitan gracias a los controles adoptados; los que se
detectan regularmente se solucionan con medidas de coste razonable y sin
causar daños, y los que finalmente se producen se solucionan y controlan
mediante procedimientos establecidos.
• Se asegura la continuidad de negocio en el tiempo mínimo requerido ante
cualquier incidencia, por grave que sea.
• Se evita la fuga de información esencial a competidores y medios públicos
que pueda perjudicar el crecimiento, pérdida de competitividad y reputación
de la empresa en el mercado en el que participa.
• Es una buena herramienta para el aprovechamiento de nuevas
oportunidades de negocio.
• Se demuestra a clientes, proveedores, inversores, al mercado y a la
sociedad en general un alto nivel de concienciación en la protección de la
información y conformidad y cumplimento de la legalidad.
¿Qué tipo de empresas se están certificando en ISO 27001?

El estándar se puede adoptar por la mayoría de los sectores comerciales,
industriales y de servicios de pequeñas, medianas o grandes entidades y
organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios
públicos, minoristas, sectores de manufactura, industrias de servicios diversos,
sector del transporte y gobiernos entre otros.
En la actualidad destaca su presencia en empresas dedicadas a servicios de
tecnologías de la información, como prueba del compromiso con la seguridad
de los datos de sus clientes.
¿Qué es la norma UNE 71502?

Es una norma española certificable de ámbito local que surgió como versión
adaptada de BS7799-2 y que también guarda relación con UNE-ISO/IEC17799
mediante su Anexo A.
Publicada en Febrero de 2004 y elaborada por el comité técnico AEN/CTN 71
de la Tecnología de la Información, especifica los requisitos para establecer,
implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos
identificados por la organización.
¿Es mejor certificarse en ISO 27001 o en UNE 71502?

Ambas evolucionan desde el mismo estándar certificable BS7799-2 y la
diferencia fundamental radica en el ámbito internacional de las normas ISO y el
local -España- de la UNE 71502. Probablemente, a corto-medio plazo, las
empresas certificadas en UNE 71502 pasarán a estarlo en ISO 27001, como
estándar único e internacional de certificación.
¿Es ISO 27001 compatible con ISO 9001?

ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO
9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de
riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la
integración de todos ellos en un solo sistema de gestión. La propia norma
incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con
ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación
necesaria para facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea
posible y práctico. En el caso ideal, es posible llegar a un solo sistema de
gestión y control de la actividad de la organización, que se puede auditar en
cada momento desde la perspectiva de la seguridad de la información, la
calidad, el medio ambiente o cualquier otra.
Nuestra sección de Artículos (http://www.iso27000.es/articulos.html) contiene
referencias específicas y experiencias sobre este tema.
¿Cómo se relaciona ISO 27001 con otros estándares de seguridad de la

información?
Ciertamente, existen otros estándares relacionados con seguridad de la
información (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde
diferentes puntos de vista como a controles de seguridad, buen gobierno,
gestión de servicios TI, seguridad de producto…
La organización debería considerar cuál es la mejor opción en relación a sus
necesidades.
Quiero implantar ISO 27001, ¿por dónde empiezo?

Si está planteándose abordar ISO 27001 en su organización, puede empezar
por:
• Recopilar información en páginas web como esta que está visitando y
asistir a eventos informativos.
• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej.,
ISO (http://www.iso.org), AENOR (http://www.aenor.es) en España, DGN
(http://www.economia.gob.mx/index.jsp?P=85) en México, ICONTEC
(http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile,
IRAM (http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO).
• Realizar un curso de formación, de los muchos que hay en el mercado, de
introducción a la norma, a su implantación y su auditoría. En nuestra sección
de Eventos podrá encontrar algunos (http://www.iso27000.es/eventos.html).
• Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con
los controles de ISO 27002. Aunque no sea un análisis exhaustivo,
proporciona una idea aproximada de la distancia que le separa de la
conformidad con la norma y el camino que habrá que recorrer.
• En muchos casos, es necesario contratar los servicios de una empresa
consultora especializada que le ayude algunas fases del proceso. Sin
embargo, recuerde que las decisiones de negocio no deben ser trasladadas a
nadie externo a la organización.

• Deberá pasar por todas las tareas propias de implantación de un SGSI:

definición de política, determinación del alcance, análisis de riesgos,
tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden
aportarle puntual información.
• Paralelamente, formar y concienciar a todo el personal. En nuestra sección
de Herramientas (http://www.iso27000.es/herramientas.html) encontrará
informaciones útiles sobre planes de sensibilización.
• Una vez implantado el sistema y en funcionamiento, deberá recopilar
evidencias al menos durante tres meses antes de pasar a la auditoría de
certificación. Precisamente, son esas evidencias y registros históricos los que
indican al auditor externo que el sistema de gestión funciona de manera
adecuada.
• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto
con una o varias entidades de certificación acreditadas para pedir
formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden
diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria” muy
recomendable para afrontar con garantías una primera certificación en la
norma. En nuestra sección de Certificación
(http://www.iso27000.es/certificacion.html) encontrará informaciones útiles.
SGSI
¿Qué es un SGSI?
Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta
gestión debe realizarse mediante un proceso sistemático, documentado y
conocido por toda la organización. Podría considerarse, por analogía con una
norma tan conocida como la ISO 9000, como el sistema de calidad para la
El propósito de un sistema de gestión de la seguridad de la información no es
garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los
riesgos de la seguridad de la información son conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, continua, repetible, eficiente y adaptada a los
cambios que se produzcan en la organización, los riesgos, el entorno y las
tecnologías.
¿Qué es un ISMS?
Son las siglas en inglés (Information Security Management System) de SGSI
(Sistema de Gestión de Seguridad de la Información).
¿En qué ayudan los sistemas de gestión en general?

Aseguran que una organización es dirigida de un modo eficiente y eficaz.
Formalizan y sistematizan la gestión en procedimientos escritos, instrucciones,
formularios y registros que aseguren la eficiencia de la organización y su
mejora continua.

¿Qué información protege un SGSI?

Los activos de información de una organización, independientemente del
soporte que se encuentren; p. ej., correos electrónicos, informes, escritos
relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes,
presentaciones, contratos, registros de clientes, información confidencial de
trabajadores y colaboradores...
¿Qué es exactamente la seguridad de la información?

La seguridad de la información es la preservación de la confidencialidad,
integridad y disponibilidad de la misma y de los sistemas implicados en su
tratamiento dentro de una organización. Estos tres factores se definen como:
• Confidencialidad: acceso a la información por parte únicamente de quienes
estén autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso.
• Disponibilidad: acceso a la información y los sistemas de tratamiento de la
misma por parte de los usuarios autorizados cuando lo requieran.
Tengo un firewall, actualizo regularmente el antivirus y realizo copias de

backup. ¿Qué aporta un SGSI a mi empresa?
Estas medidas no son más que unos pocos controles técnicos que, por sí
mismos, no significan que se esté gestionando la seguridad. Un SGSI implica
que la organización ha estudiado los riesgos a los que está sometida toda su
información, ha evaluado qué nivel de riesgo asume, ha implantado controles
(no sólo tecnológicos, sino también organizativos) para aquellos riesgos que
superan dicho nivel, ha documentado las políticas y procedimientos
relacionados y ha entrado en un proceso continuo de revisión y mejora de todo
el sistema.
El SGSI da así la garantía a la empresa de que los riesgos que afectan a su
información son conocidos y gestionados. No se debe olvidar, por tanto, que no
hay seguridad total sino seguridad gestionada.
¿Existe algún producto que cubra los principales aspectos de seguridad

de la información?
No. Por influencia de la publicidad y las campañas de venta agresivas, es un
error común pensar que el nivel de seguridad depende exclusivamente del
presupuesto dedicado a la compra de productos relacionados.
La seguridad exige de un plan de gestión del riesgo continuado, políticas
adecuadas a cada empresa y una seguridad establecida en base a múltiples y
diferentes barreras. Siempre hay que recordar que la seguridad no es un
producto sino un proceso.
Si la seguridad total no existe, ¿qué diferencia aporta un SGSI?

Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la
continuidad adecuada de las actividades de negocio hasta en los casos más

extremos y de adaptar la seguridad a los cambios continuos que se producen

en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos
acercamos a ella mediante una mejora continua. Es más apropiado hablar en
términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico
que el gasto en seguridad sea mayor que los impactos potenciales de los
riesgos que pretende evitar.
¿En qué consiste la gestión del riesgo y el ciclo de vida PDCA?

Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles
razonables y asumibles en coste todos los riesgos en seguridad que podrían
afectar a la información.
PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-
Check-Act (Planificar-Hacer-Verificar-Actuar).
En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos.
En la fase DO, se seleccionan e implementan los controles que reduzcan el
riesgo a los niveles considerados como aceptables y en CHECK y ACT se
cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de
los controles según los nuevos niveles obtenidos y requeridos.
Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al
cambio continuo que se produce en la empresa y su entorno.
Certificación
¿Por qué dentro de la serie es certificable únicamente la 27001?

Es la norma que define el modelo completo de gestión de seguridad de la
información según ciclo PDCA aunque, para algunos procesos, se apoya en
otras normas relacionas no certificables, como ISO 27002.
¿Quién certifica a mi empresa en ISO 27001?

Una entidad de certificación acreditada, mediante una auditoría. Esta entidad
establece el número de días y auditores necesarios, puede realizar una pre-
auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es
favorable, la empresa recibirá la certificación.
Para mayor detalle, consulte nuestra sección de Certificación
(http://www.iso27000.es/certificacion.html).
¿En qué ayuda a las empresas la auditoría de certificación?

Supone la oportunidad de recibir la confirmación por parte de un experto ajeno
a la empresa de que se está gestionando correctamente la seguridad de la
información.
Añade un factor de tensión y de concentración en un objetivo a todos los
miembros del proyecto y de la organización en general, lo que redunda en
beneficio de la implantación del sistema. Da una señal al mercado de que la
empresa en cuestión es confiable y es gestionada transparentemente.

Es el requisito indispensable para acceder a la certificación y poder utilizar el

sello de certificación junto al de la propia empresa.
¿Por qué crece el número de empresas certificadas?

El acta Sarbanes-Oxley en EEUU y la publicación de directivas en el ámbito EU
y en cada estado miembro ha activado las alarmas en la dirección de las
empresas. Adicionalmente a los requisitos legales establecidos para auditorías
financieras, gestión de riesgos, financiación, plan de desastres, continuidad de
negocio, etc., crece el número de requisitos legales relacionados con la
protección de los datos de carácter personal.
ISO27001 ayuda a considerar y adoptar los controles necesarios en los
procesos de negocio y tratamiento de la información para satisfacer las
demandas de la empresa, legales y de los clientes en materia de seguridad de
la información.
¿Obliga mi certificación a la de mis empresas de servicio externas

(outsourcing)?
No necesariamente. ISO27001 indica los controles a considerar para servicios
de outsourcing desde el ámbito de su empresa (requisitos contractuales,
niveles de servicio, obligaciones legales, auditoría, etc.). La seguridad de los
sistemas de información que están fuera del ámbito es responsabilidad de la
empresa externa, que debe cumplir regularmente con los compromisos
contractuales exigidos por el cliente.
¿Dónde puedo ver si una empresa está certificada?

El registro oficial de organizaciones certificadas en ISO 27001 o BS 7799-2 a
nivel mundial está en http://www.iso27001certificates.com.
¿Quién acredita a las entidades certificadoras?

Cada país tiene una entidad de acreditación (algunos, varias) que se encarga
de supervisar que las entidades de certificación (las que, finalmente, auditan y
certifican los sistemas de gestión de las empresas) están capacitadas para
desempeñar su labor y se ajustan a los esquemas establecidos. En España, es
ENAC (Entidad Nacional de Acreditación; http://www.enac.es) quien tiene esta
misión.
También se da el caso de entidades certificadoras que expiden certificados
bajo esquema de acreditación de una entidad de acreditación extranjera. En
ISO 27001, se da frecuentemente el caso con UKAS (entidad nacional de
acreditación del Reino Unido), por el origen inglés de la norma y su corta vida
aún como ISO.
¿Cómo es el proceso de certificación?

El proceso de certificación puede resumirse en las siguientes fases:
• Solicitud por parte del interesado a la entidad de certificación y toma de
datos por parte de la misma.

• Respuesta en forma de oferta por parte de la entidad certificadora.

• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento
conjunto del plan de auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que
aporte información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: revisión del alcance, política de seguridad,
Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos
clave.
• Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación
de los controles de seguridad y verificación de la efectividad del sistema.
• Certificación: acciones correctivas en caso de no conformidades graves,
revisión y emisión de certificado en caso de informe favorable.
• Auditoría de seguimiento: auditoría semestral o anual de mantenimiento.
• Auditoría de re-certificación: cada tres años, una auditoría de certificación
formal completa.
¿Alguien puede obligarme a certificarme en ISO 27001?

Como obligación legal, a día de hoy, no. Sin embargo, como en toda relación
comercial, el cliente puede exigir a su proveedor ciertas condiciones previas
para ser considerado siquiera como opción de contratación.
Hay administraciones públicas que están empezando a exigir certificados de
este tipo a las empresas que quieran acceder a concursos públicos de
productos o servicios relacionados con sistemas de información. Igualmente, es
previsible que empresas privadas comiencen en algún momento a exigírselo a
sus proveedores siempre que vaya a haber algún tipo actividad relacionada con
información sensible.
Lista de términos relacionados con la serie ISO 27000 y la seguridad de la

información, definidos en el contexto de las mismas. Se incluye la
correspondencia en inglés de cada uno de los términos.
GLOSARIO
Acción correctiva
(Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la

causa de una no-conformidad asociada a la implementación y operación
del SGSI con el fin de prevenir su repetición.
Acción preventiva

(Inglés: Preventive action). Medida de tipo pro-activo orientada a

prevenir potenciales no-conformidades asociadas a la implementación y
operación del SGSI.
Accreditation body
Véase: Entidad de acreditación.
Aceptación del Riesgo
(Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de

aceptar un riesgo.
Activo
(Inglés: Asset). En relación con la seguridad de la información, se refiere

a cualquier información o sistema relacionado con el tratamiento de la
misma que tenga valor para la organización. Según [ISO/IEC 13335-
1:2004]: Cualquier cosa que tiene valor para la organización.
Alcance
(Inglés: Scope). Ámbito de la organización que queda sometido al SGSI.

Debe incluir la identificación clara de las dependencias, interfaces y
límites con el entorno, sobre todo si sólo incluye una parte de la
organización.
Alerta
(Inglés: Alert). Una notificación formal de que se ha producido un

incidente relacionado con la seguridad de la información que puede
evolucionar hasta convertirse en desastre.
Amenaza
(Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un

incidente no deseado, el cual puede causar el daño a un sistema o la
organización.
Análisis de riesgos
(Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático

de la información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo

(Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa

una escala de puntuaciones para situar la gravedad del impacto.
Análisis de riesgos cuantitativo
(Inglés: Quantitative risk analysis). Análisis de riesgos en función de las

pérdidas financieras que causaría el impacto.
Asset
Véase: Activo.
Assets inventory
Véase: Inventario de activos.
Audit
Véase: Auditoría.
Auditor
(Inglés: Auditor). Persona encargada de verificar, de manera

independiente, la calidad e integridad del trabajo que se ha realizado en
un área particular.
Auditor de primera parte
(Inglés: First party auditor). Auditor interno que audita la organización en

nombre de ella misma. En general, se hace como mantenimiento del
sistema de gestión y como preparación a la auditoría de certificación.
Auditor de segunda parte
(Inglés: Second party auditor). Auditor de cliente, es decir, que audita

una organización en nombre de un cliente de la misma. Por ejemplo, una
empresa que audita a su proveedor de outsourcing.
Auditor de tercera parte
(Inglés: Third party auditor). Auditor independiente, es decir, que audita

una organización como tercera parte independiente. Normalmente,
porque la organización tiene la intención de lograr la certificación.
Auditor jefe
(Inglés: Lead auditor). Auditor responsable de asegurar la conducción y

realización eficiente y efectiva de la auditoría, dentro del alcance y del
plan de auditoría aprobado por el cliente.
Auditoría

(Inglés: Audit). Proceso planificado y sistemático en el cual un auditor

obtiene evidencias objetivas que le permitan emitir un juicio informado
sobre el estado y efectividad del SGSI de una organización.
Autenticación
(Inglés: Authentication). Proceso que tiene por objetivo asegurar la

identificación de una persona o sistema.
Authentication
Véase: Autenticación.
Availability
Véase: Disponibilidad.
BS7799
Estándar británico de seguridad de la información, publicado por primera

vez en 1995. En 1998, fue publicada la segunda parte. La parte primera
es un conjunto de buenas prácticas para la gestión de la seguridad de la
información -no es certificable- y la parte segunda especifica el sistema
de gestión de seguridad de la información -es certificable-. La parte
primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de
ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de
estos últimos.
BSI
British Standards Institution. Comparable al AENOR español, es la

Organización que ha publicado la serie de normas BS 7799, además de
otros varios miles de normas de muy diferentes ámbitos.
Business Continuity Plan
Véase: Plan de continuidad del negocio.
Certification body
Véase: Entidad de certificación.
CIA
Acrónimo inglés de confidencialidad, integridad y disponibilidad, los

parámetros básicos de la seguridad de la información.

CID
Acrónimo español de confidencialidad, integridad y disponibilidad, los

parámetros básicos de la seguridad de la información.
CISA
Certified Information Systems Auditor. Es una acreditación ofrecida por

ISACA.
CISM
Certified Information Systems Manager. Es una acreditación ofrecida por

ISACA.
CISSP
Certified Information Systems Security Professional. Es una acreditación

ofrecida por ISC2.
CCEB
Criterio Común para la Seguridad de Tecnología de Información.
Checklist
Lista de apoyo para el auditor con los puntos a auditar, que ayuda a
mantener claros los objetivos de la auditoría, sirve de evidencia del plan
de auditoría, asegura su continuidad y profundidad y reduce los
prejuicios del auditor y su carga de trabajo. Este tipo de listas también se
pueden utilizar durante la implantación del SGSI para facilitar su
desarrollo.
Clear desk policy
Véase: Política de escritorio despejado.
CobiT
Control Objectives for Information and related Technology. Publicados y

mantenidos por ISACA. Su misión es investigar, desarrollar, publicar y
promover un conjunto de objetivos de control de Tecnología de
Información rectores, actualizados, internacional y generalmente
aceptados para ser empleados por gerentes de empresas y auditores.
Compromiso de la Dirección

(Inglés: Management commitment). Alineamiento firme de la Dirección

de la organización con el establecimiento, implementación, operación,
monitorización, revisión, mantenimiento y mejora del SGSI.
Confidencialidad
(Inglés: Confidenciality). Acceso a la información por parte únicamente

de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]:"
característica/propiedad por la que la información no está disponible o
revelada a individuos, entidades, o procesos no autorizados.
Confidenciality
Véase: Confidencialidad.
Contramedida
(Inglés: Countermeasure). Véase: Control.
Control
Las políticas, los procedimientos, las prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. (Nota: Control es
también utilizado como sinónimo de salvaguarda o contramedida.
Control correctivo
(Inglés: Corrective control). Control que corrige un riesgo, error, omisión

o acto deliberado antes de que produzca pérdidas. Supone que la
amenaza ya se ha materializado pero que se corrige.
Control detectivo
(Inglés: Detective control). Control que detecta la aparición de un riesgo,

error, omisión o acto deliberado. Supone que la amenaza ya se ha
materializado, pero por sí mismo no la corrige.
Control disuasorio
(Inglés: Deterrent control). Control que reduce la posibilidad de

materialización de una amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo
(Inglés: Preventive control). Control que evita que se produzca un riesgo,

error, omisión o acto deliberado. Impide que una amenaza llegue
siquiera a materializarse.
Control selection
Véase: Selección de controles.

Corrective action
Véase: Acción correctiva.
Corrective control
Véase: Control correctivo.
COSO
Committee of Sponsoring Organizations of the Treadway Commission.

Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Se
centra en el control interno, especialmente el financiero.
Countermeasure
Contramedida. Véase: Control.
Declaración de aplicabilidad
(Inglés: Statement of Applicability; SOA). Documento que enumera los

controles aplicados por el SGSI de la organización -tras el resultado de
los procesos de evaluación y tratamiento de riesgos- además de la
justificación tanto de su selección como de la exclusión de controles
incluidos en el anexo A de la norma.
Desastre
(Inglés: Disaster). Cualquier evento accidental, natural o

malintencionado que interrumpe las operaciones o servicios habituales
de una organización durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Detective control
Véase: Control detectivo.
Deterrent control
Véase: Control disuasorio.
Directiva
(Inglés: Guideline). Según [ISO/IEC 13335-1:2004]: una descripción que

clarifica qué debería ser hecho y cómo, con el propósito de alcanzar los
objetivos establecidos en las políticas.
Disaster
Véase: Desastre.

Disponibilidad
(Inglés: Availability). Acceso a la información y los sistemas de

tratamiento de la misma por parte de los usuarios autorizados cuando lo
requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de
permanecer accesible y disponible para su uso cuando lo requiera una
entidad autorizada.
DRII
Instituto Internacional de Recuperación de Desastres.
DTI
Secretaría de Industria y Comercio del Reino Unido. Edita muchas guías

prácticas en el ámbito de la seguridad de la información.
EDPAF
Fundación de Auditores del Procesamiento Electrónico de Datos

(actualmente ISACF).
ENAC
Entidad Nacional de Acreditación. Es el organismo español de

acreditación, auspiciado por la Administración, que acredita organismos
que realizan actividades de evaluación de la conformidad, sea cual sea
el sector en que desarrollen su actividad. Además de laboratorios,
entidades de inspección, etc., también acredita a las entidades de
certificación, que son las que a su vez certificarán a las empresas en las
diversas normas.
Entidad de acreditación
(Inglés: Accreditation body). Un organismo oficial que acredita a las

entidades certificadoras como aptas para certificar según diversas
normas. Suele haber una por país. Son ejemplos de entidades de
acreditación: ENAC (España), UKAS (Reino Unido), EMA (México), OAA
(Argentina)...
Entidad de certificación
(Inglés: Certification body). Una empresa u organismo acreditado por

una entidad de acreditación para auditar y certificar según diversas
normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de
sistemas de gestión.
ESF

Foro europeo de seguridad, en el que cooperan más de 70

multinacionales fundamentalmente europeas con el objeto de llevar a
cabo investigaciones relativas a los problema comunes de seguridad y
control en TI.
Evaluación de riesgos
(Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de

comparar el riesgo estimado contra un criterio de riesgo dado con el
objeto de determinar la importancia del riesgo.
Evento
(Inglés: information security event). Según [ISO/IEC TR 18044:2004]:

Suceso identificado en un sistema, servicio o estado de la red que indica
una posible brecha en la política de seguridad de la información o fallo
de las salvaguardias, o una situación anterior desconocida que podría
ser relevante para la seguridad.
Evidencia objetiva
(Inglés: Objective evidence). Información, registro o declaración de

hechos, cualitativa o cuantitativa, verificable y basada en observación,
medida o test, sobre aspectos relacionados con la confidencialidad,
integridad o disponibilidad de un proceso o servicio o con la existencia e
implementación de un elemento del sistema de seguridad de la
información.
Fase 1 de la auditoría
Fase en la que, fundamentalmente a través de la revisión de

documentación, se analiza en SGSI en el contexto de la política de
seguridad de la organización, sus objetivos, el alcance, la evaluación de
riesgos, la declaración de aplicabilidad y los documentos principales,
estableciendo un marco para planificar la fase 2.
Fase 2 de la auditoría
Fase en la que se comprueba que la organización se ajusta a sus

propias políticas, objetivos y procedimientos, que el SGSI cumple con
los requisitos de ISO 27001 y que está siendo efectivo.
First party auditor
Véase: Auditor de primera parte.

Gestión de claves
(Inglés: Key management). Controles referidos a la gestión de claves

criptográficas.
Gestión de riesgos
(Inglés: Risk management). Proceso de identificación, control y

minimización o eliminación, a un coste aceptable, de los riesgos que
afecten a la información de la organización. Incluye la valoración de
riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]:
actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo.
Guideline
Véase: Directiva.
Humphreys, Ted
Experto en seguridad de la información y gestión del riesgo, considerado

"padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001
e ISO 27002.
I4
Instituto Internacional para la Integridad de la Información, asociación

similar a la ESF, con metas análogas y con sede principal en los EE.UU.
Es manejado por el Instituto de Investigación de Standford.
IBAG
Grupo asesor de empresas de Infosec, representantes de la industria

que asesoran al Comité de Infosec. Este comité está integrado por
funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisión Europea en asuntos relativos a la
seguridad de TI.
IEC
International Electrotechnical Commission. Organización internacional

que publica estándares relacionados con todo tipo de tecnologías
eléctricas y electrónicas.
IIA
Instituto de Auditores Internos.
Impacto

(Inglés: Impact). El coste para la empresa de un incidente -de la escala

que sea-, que puede o no ser medido en términos estrictamente
financieros -p.ej., pérdida de reputación, implicaciones legales, etc-.
Impact
Véase: Impacto.
Incidente
Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de

seguridad de la información inesperados o no deseados que poseen una
probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la información.
Information processing facilities
Véase: Servicios de tratamiento de información.
Information Systems Management System
Véase: SGSI.
Information security
Véase: Seguridad de la información.
INFOSEC
Comité asesor en asuntos relativos a la seguridad de TI de la Comisión

Europea.
Integridad
(Inglés: Integrity). Mantenimiento de la exactitud y completitud de la

información y sus métodos de proceso. Según [ISO/IEC 13335-1:2004]:
propiedad/característica de salvaguardar la exactitud y completitud de
los activos.
Integrity
Véase: Integridad.
Inventario de activos
(Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de

información, software, documentos, servicios, personas, reputación de la
organización, etc.) dentro del alcance del SGSI, que tengan valor para la
organización y necesiten por tanto ser protegidos de potenciales riesgos.
IRCA

International Register of Certified Auditors. Acredita a los auditores de

diversas normas, entre ellas ISO 27001.
ISACA
Information Systems Audit and Control Association. Publica CobiT y

emite diversas acreditaciones en el ámbito de la seguridad de la
información.
ISACF
Fundación de Auditoría y Control de Sistemas de Información.
ISC2
Information Systems Security Certification Consortium, Inc. Organización

sin ánimo de lucro que emite diversas acreditaciones en el ámbito de la
ISMS
Information Systems Management System. Véase: SGSI.
ISO
Organización Internacional de Normalización, con sede en Ginebra

(Suiza). Es una agrupación de organizaciones nacionales de
normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
ISO 17799
Código de buenas prácticas en gestión de la seguridad de la información

adoptado por ISO transcribiendo la primera parte de BS7799. A su vez,
da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007.
No es certificable.
ISO 19011
“Guidelines for quality and/or environmental management systems

auditing”. Guía de utilidad para el desarrollo de las funciones de auditor
interno para un SGSI.
ISO 27001
Estándar para sistemas de gestión de la seguridad de la información

adoptado por ISO transcribiendo la segunda parte de BS 7799. Es
certificable. Primera publicación en 2005
ISO 27002

Código de buenas prácticas en gestión de la seguridad de la información

(transcripción de ISO 17799). No es certificable. Cambio de oficial de
nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de
2007.
ISO 9000
Normas de gestión y garantía de calidad definidas por la ISO.
ISO/IEC TR 13335-3
“Information technology . Guidelines for the management of IT Security

.Techniques for the management of IT Security.” Guía de utilidad en la
aplicación de metodologías de evaluación del riesgo.
ISO/IEC TR 18044
„Information technology . Security techniques. Information security

incident management“ Guía de utilidad para la gestión de incidentes de
ISSA
Information Systems Security Association.
ISSAP
Information Systems Security Architecture Professional. Una

acreditación de ISC2.
ISSEP
Information Systems Security Engineering Professional. Una

ISSMP
Information Systems Security Management Professional. Una

ITIL
IT Infrastructure Library. Un marco de gestión de los servicios de

tecnologías de la información.
ITSEC
Criterios de evaluación de la seguridad de la tecnología de información.

Se trata de criterios unificados adoptados por Francia, Alemania,
Holanda y el Reino Unido. También cuentan con el respaldo de la
Comisión Europea (véase también TCSEC, el equivalente de EEUU).

JTC1
Joint Technical Committee. Comité técnico conjunto de ISO e IEC

específico para las TI.
Key management
Véase: Gestión de claves.
Lead auditor
Véase: Auditor jefe.
Major nonconformity
Véase: No conformidad grave.
Management commitment
Véase: Compromiso de la Dirección.
NBS
Oficina Nacional de Normas de los EE.UU.
NIST
(ex NBS) Instituto Nacional de Normas y Tecnología, con sede en

Washington, D.C.
No conformidad
(Inglés: Nonconformity). Situación aislada que, basada en evidencias

objetivas, demuestra el incumplimiento de algún aspecto de un
requerimiento de control que permita dudar de la adecuación de las
medidas para preservar la confidencialidad, integridad o disponibilidad
de información sensible, o representa un riesgo menor.
No conformidad grave
(Inglés: Major nonconformity). Ausencia o fallo de uno o varios

requerimientos de la ISO 27001 que, basada en evidencias objetivas,
permita dudar seriamente de la adecuación de las medidas para

preservar la confidencialidad, integridad o disponibilidad de información

sensible, o representa un riesgo inaceptable.
Nonconformity
Véase: No conformidad.
Objective evidence
Véase: Evidencia objetiva.
Objetivo
(Inglés: Objetive). Declaración del resultado o fin que se desea lograr

mediante la implementación de procedimientos de control en una
actividad de TI determinada.
OCDE
Organización de Cooperación y Desarrollo Económico. Tiene publicadas

unas guías para la seguridad de la información.
PDCA
Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de

las actividades de planificar (establecer el SGSI), realizar (implementar y
operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar
(mantener y mejorar el SGSI).
Plan de continuidad del negocio
(Inglés: Bussines Continuity Plan). Plan orientado a permitir la

continuación de las principales funciones del negocio en el caso de un
evento imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos
(Inglés: Risk treatment plan). Documento de gestión que define las

acciones para reducir, prevenir, transferir o asumir los riesgos de
seguridad de la información inaceptables e implantar los controles
necesarios para proteger la misma.
Política de seguridad
(Inglés: Security policy). Documento que establece el compromiso de la

Dirección y el enfoque de la organización en la gestión de la seguridad
de la información. Según [ISO/IEC 27002:2005]: intención y dirección
general expresada formalmente por la Dirección.

Política de escritorio despejado
(Inglés: Clear desk policy). La política de la empresa que indica a los

empleados que deben dejar su escritorio libre de cualquier tipo de
informaciones susceptibles de mal uso al finalizar el día.
Preventive action
Véase: Acción preventiva.
Preventive control
Véase: Control preventivo.
Qualitative risk analysis
Véase: Análisis de riesgos cualitativo.
Quantitative risk analysis
Véase: Análisis de riesgos cuantitativo.
Residual Risk
Véase: Riesgo Residual.
Riesgo
(Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar

una vulnerabilidad para causar una pérdida o daño en un activo de
información. Según [ISO Guía 73:2002]: combinación de la probabilidad
de un evento y sus consecuencias.
Riesgo Residual
(Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que

permanece tras el tratamiento del riesgo.
Risk
Véase: Riesgo.
Risk acceptance
Véase: Aceptación del riesgo.
Risk analysis

Véase: Análisis de riesgos.
Risk assessment
Véase: Valoración de riesgos.
Risk evaluation
Véase: Evaluación de riesgos.
Risk management
Véase: Gestión de riesgos.
Risk treatment
Véase: Tratamiento de riesgos.
Risk treatment plan
Véase: Plan de tratamiento de riesgos.
Safeguard
Salvaguardia. Véase: Control.
Salvaguardia
(Inglés: Safeguard). Véase: Control.
Sarbanes-Oxley
Ley de Reforma de la Contabilidad de Compañías Públicas y Protección

de los Inversores aplicada en EEUU desde 2002. Crea un consejo de
supervisión independiente para supervisar a los auditores de compañías
públicas y le permite a este consejo establecer normas de contabilidad
así como investigar y disciplinar a los contables. También obliga a los
responsables de las empresas a garantizar la seguridad de la
información financiera.
Scope
Véase: Alcance.
Second party auditor
Véase: Auditor de segunda parte.
Security Policy
Véase: Política de seguridad.

Segregación de tareas
(Inglés: Segregation of duties). Reparto de tareas sensibles entre

distintos empleados para reducir el riesgo de un mal uso de los sistemas
e informaciones deliberado o por negligencia.
Segregation of duties
Véase: Segregación de tareas.
Seguridad de la información
Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad,

integridad y disponibilidad de la información; además, otras propiedades
como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser
también consideradas.
Selección de controles
Proceso de elección de los controles que aseguren la reducción de los

riesgos a un nivel aceptable.
SGSI
(Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información.

Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión
que, basado en el análisis de riesgos, establece, implementa, opera,
monitoriza, revisa, mantiene y mejora la seguridad de la información.
(Nota: el sistema de gestión incluye una estructura de organización,
políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
Servicios de tratamiento de información
(Inglés: Information processing facilities). Según [ISO/IEC 27002:2005]:

cualquier sistema, servicio o infraestructura de tratamiento de
información o ubicaciones físicas utilizados para su alojamiento.
Sistema de Gestión de la Seguridad de la Información
(Inglés: Information Systems Management System). Ver SGSI.
SOA
Statement of Applicability. Véase: Declaración de aplicabilidad.
SSCP
Systems Security Certified Practitioner. Una acreditación de ISC2.

Statement of Applicability
Véase: Declaración de aplicabilidad.
TCSEC
Criterios de evaluación de la seguridad de los sistemas de computación,

conocidos también con el nombre de Orange Book (Libro naranja),
definidos originalmente por el Ministerio de Defensa de los EE.UU.
Véase también ITSEC, el equivalente europeo.
Third party auditor
Véase: Auditor de tercera parte.
Threat
Véase: Amenaza.
TickIT
Guía para la Construcción y Certificación del Sistema de Administración

de Calidad del Software.
Tratamiento de riesgos
(Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de

selección e implementación de medidas para modificar el riesgo.
UNE 71502
Norma española de ámbito local como versión adaptada de BS7799-2

(actual ISO 27001), que también guarda relación con UNE-
ISO/IEC17799 mediante su Anexo A.
Valoración de riesgos
(Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso

completo de análisis y evaluación de riesgos.
Vulnerabilidad
(Inglés: Vulnerability). Debilidad en la seguridad de la información de una

organización que potencialmente permite que una amenaza afecte a un
activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto
de activos que puede ser explotado por una amenaza.

Vulnerability
Véase: Vulnerabilidad.
WG1, WG2, WG3, WG4, WG5
WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomité SC27 de JTC1

(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se
encargan del desarrollo de los estándares relacionados con técnicas de
Fuente bibliográfica: http://www.iso27000.es/ Consultado: 19 de Agosto

de 2008

SGSI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SGSI

Cargado por

Copyright:

Formatos disponibles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto

La gestión de la seguridad de la información debe realizarse mediante un

Este proceso es el que constituye un SGSI, que podría considerarse, por

Garantizar un nivel de protección total es virtualmente imposible, incluso en el

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la

En el contexto aquí tratado, se entiende por información todo aquel conjunto de

EDSEL ENRIQUE URUEÑA LEÓN

La seguridad de la información, según ISO 27001, consiste en la preservación

• Confidencialidad: la información no se pone a disposición ni se revela a

• Integridad: mantenimiento de la exactitud y completitud de la información y

• Disponibilidad: acceso y utilización de la información y los sistemas de

Para garantizar que la seguridad de la información es gestionada

¿Para qué sirve un SGSI?

Las organizaciones y sus sistemas de información están expuestos a un

EDSEL ENRIQUE URUEÑA LEÓN

las vulnerabilidades existentes, pueden someter a activos críticos de

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

EDSEL ENRIQUE URUEÑA LEÓN

¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha

Manual de seguridad: por analogía con el manual de calidad, aunque el término

Procedimientos: documentos en el nivel operativo, que aseguran que se

Instrucciones, checklists y formularios: documentos que describen cómo se

Registros: documentos que proporcionan una evidencia objetiva del

EDSEL ENRIQUE URUEÑA LEÓN

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,

• Política y objetivos de seguridad: documento de contenido genérico que

• Procedimientos y mecanismos de control que soportan al SGSI: aquellos

• Enfoque de evaluación de riesgos: descripción de la metodología a emplear

• Informe de evaluación de riesgos: estudio resultante de aplicar la

• Plan de tratamiento de riesgos: documento que identifica las acciones de la

• Procedimientos documentados: todos los necesarios para asegurar la

• Registros: documentos que proporcionan evidencias de la conformidad con

• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas

Para los documentos generados se debe establecer, documentar, implantar y

EDSEL ENRIQUE URUEÑA LEÓN

• Aprobar documentos apropiados antes de su emisión.

• Revisar y actualizar documentos cuando sea necesario y renovar su validez.

• Garantizar que los cambios y el estado actual de revisión de los documentos

• Garantizar que las versiones relevantes de documentos vigentes están

• Garantizar que los documentos se mantienen legibles y fácilmente

• Garantizar que los documentos permanecen disponibles para aquellas

• Garantizar que los documentos procedentes del exterior están identificados.

• Garantizar que la distribución de documentos está controlada.

• Prevenir la utilización de documentos obsoletos.

• Aplicar la identificación apropiada a documentos que son retenidos con algún

¿Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la

• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.

EDSEL ENRIQUE URUEÑA LEÓN

• Check (verificar): monitorizar y revisar el SGSI.

• Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

• Definir el alcance del SGSI en términos del negocio, la organización, su

• Definir una política de seguridad que:

– Incluya el marco general y los objetivos de seguridad de la información de

– Considere requerimientos legales o contractuales relativos a la seguridad

– Esté alineada con el contexto estratégico de gestión de riesgos de la

– Establezca los criterios con los que se va a evaluar el riesgo;