ISO 27000 y los Sistemas de Informacion

La creación de normas en cualquier área siempre será de vital importancia pues

ayuda a seguir una línea la cual proporciona las herramientas necesarias para que
la gestión de recursos sea la más óptima y eficiente y así lograr los objetivos que
quien hace uso de estas se ha fijado.

La realidad nos enfrenta a que las empresas luchan diariamente con un enorme
número de riesgos e inseguridad que proviene de una elevada variedad de fuentes
diferentes, entra las que podemos entrar los nuevos negocios y nuevas
herramientas relacionadas con la tecnología de la información y la comunicación,
que los directores generales y los directores informáticos de la organización deben
aplicar.

La información es un activo vital para el éxito y la continuidad en el mercado de

cualquier organización, por lo que el aseguramiento de dicha información y de los
sistemas que la procesan debe ser un objetivo de primer nivel para la
organización.

Para la adecuada gestión de la seguridad de la información, es necesario

implantar un sistema que aborde esta tarea de forma metódica, documentada y
basada en unos objetivos claros de seguridad y una evaluación de los riesgos a
los que está sometida la información de la organización.

Los sistemas de gestión sectoriales son herramientas que han sido especialmente
adaptadas a la actividad principal de cada empresa, lo que a su vez brinda la
posibilidad de añadir una certificación específica a la genérica, que encontramos
dentro de los diferentes sistemas de gestión. Por ejemplo ISO 22000 de Sistemas
de Gestión de la Inocuidad de los Alimentos, o la ISO 14000 de Sistemas de
Gestión Ambiental, ISO 9001 Sistemas de Gestión de Calidad, ISO 30001
Sistemas de Gestión de Riesgos, ISO 45000 Sistemas de Gestión de Seguridad y
Salud Laboral, pero en lo que se refiere a la seguridad de la información, las
empresas tienen a su disposición los Sistemas de Gestión de la Seguridad de la
Información, que se implantan bajo los requisitos de la norma ISO 27000.

La ISO 27000 es una norma que define de qué manera se debe implantar un
Sistema de Gestión de la Seguridad de la Información en una empresa u
organización. Su implantación ofrece a la organización o empresa la ventaja de
proteger su información de la forma más fiable posible, persiguiéndose para ello
un total de tres objetivos principales:

1. Preservar la confidencialidad de sus datos.

2. Conservar la integridad de sus datos.
3. Disponibilidad de la información protegida.

Una de las mejores características de la norma ISO 27001 es que se puede

desarrollar en cualquier tipo de organización y puede ser de igual forma con o sin
fines de lucro, pública o privada, pequeña mediana o grande, la gran ventaja es
que dicha norma fue escrita por los mejores especialistas en el tema y proporciona
un método efectivo para desarrollar la gestión de la seguridad de la información
dentro de una organización, de igual manera, permite que una organización o
empresa de certificación independiente confirme que la seguridad de la
información ha sido implementada en esa organización dándole cumplimiento a la
norma ISO 27001.

No en vano, tal es su importancia que la implantación de este tipo de herramienta

garantiza que los riesgos de seguridad de la información son controlados por la
organización eficientemente, tanto de forma interna como al resto de las
empresas.

Es interesante tener en cuenta que los sistemas de gestión implantados balo los
requisitos de la norma ISO 27000 son totalmente compatibles con otros sistemas
de gestión como son los sistemas de gestión de la calidad, etc.

MSc. Fanny Vanessa Verano Hidalgo

¿Qué es ISO 27000?

Las normas que forman la serie ISO/IEC-27000 son un conjunto de estándares

creados y gestionados por la Organización Internacional para la Estandarización
(ISO) y la Comisión Electrónica Internacional (IEC). Ambas organizaciones
internacionales están participadas por multitud de países, lo que garantiza su
amplia difusión, implantación y reconocimiento en todo el mundo.

Las series 27000 están orientadas al establecimiento de buenas prácticas en

relación con la implantación, mantenimiento y gestión del Sistema de Gestión de
Seguridad de la Información (SGSI) o por su denominación en inglés Information
Security Management System (ISMS). Estas guías tienen como objetivo
establecer las mejores prácticas en relación con diferentes aspectos vinculados a
la gestión de la seguridad de la información, con una fuerte orientación a la mejora
continua y la mitigación de riesgos.

Los pilares principales de la familia 27000, son las normas 27001 y 27002, la
principal diferencia entre estas dos normas, es que 27001 se basa en una gestión
de la seguridad de forma continua apoyada en la identificación de los riesgos de
forma constante en el tiempo, por otra parte, la norma ISO 27002, es una guía de
buenas prácticas que describe una serie de objetivos de control y gestión que
deberían ser perseguidos por las organizaciones, siendo un conjunto de
estándares internacionales sobre la Seguridad de la Información, la familia ISO
27000 contiene un conjunto de buenas prácticas para el establecimiento,
implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad
de la Información:

 ISO 27001: Especifica los requerimientos necesarios para implantar y

gestionar un SGSI. Esta norma es certificable.

MSc. Fanny Vanessa Verano Hidalgo

 ISO 27002: define un conjunto de buenas prácticas para la implantación del
SGSI, a través de 114 controles, estructurados en 14 dominios y 35
objetivos de controles.

 ISO 27003: proporciona una guía para la implantación de forma correcta un

SGSI, centrándose en los aspectos importantes para realizar con éxito
dicho proceso.

 ISO 27004: proporciona pauta orientadas a la correcta definición y

establecimiento de métricas que permitan evaluar de forma correcta el
rendimiento del SGSI

 ISO 27005: define como se debe realizar la gestión de riesgos vinculados a

los sistemas de gestión de la información orientado en cómo establecer la
metodología a emplear.

 ISO 27006: establece los requisitos que deben cumplir aquellas

organizaciones que quieran ser acreditadas para certificar a otras en el
cumplimiento de la ISO/IEC-27001

 ISO 27007:es una guía que establece los procedimientos para realizar
auditorías internas o externas con el objetivo d verificar y certificar
implementaciones de la ISO/IEC-27001

 ISO 27008: define como se deben evaluar los controles del SGSI con el fin
de revisar la adecuación técnica de los mismos, de forma que sean eficaces
para la mitigación de riesgos.

 ISO 27009: complementa la norma 27001 para incluir requisitos y nuevos

controles añadidos que son de aplicación en sectores específicos, con el
objetivos de hacer más eficaz su implantación.

 ISO 27010: indica cómo debe ser tratada la información cuando es

compartida entre varias organizaciones, qué riesgos pueden aparecer y los

MSc. Fanny Vanessa Verano Hidalgo

 controles que se deben emplear para mitigarlos, especialmente cuando
están relacionados con la gestión de la seguridad en infraestructuras
críticas.

 ISO 27011: establece los principios para implantar, mantener y gestionar un

SGSI en organizaciones de telecomunicaciones, indicando como implantar
los controles de manera eficiente.

 ISO 27013: establece una guía para la integración de las normas 27001
(SGSI) y 20000 Sistema de Gestión de Servicios (SGS) en aquellas
organizaciones que implementan ambas.

 ISO 27014: establece principios para el gobierno de la seguridad de la

información, para que las organizaciones puedan evaluar, monitorizar y
comunicar las actividades relacionadas con la seguridad de la información.

 ISO 27015: facilita los principios de implantación de un SGSI en empresas

que prestan servicios financieros, tales como servicios bancarios o banca
electrónica.

 ISO 27016: proporciona una guía para la toma de decisiones económicas

vinculadas a la gestión de la seguridad de la información, como apoyo a la
dirección de las organizaciones.

 ISO 27017: proporciona una guía de 37 controles específicos para los

servicios cloud, estos controles están basados en la norma 27002.

 ISO 27018: complementa a las normas 27001 y 27002 en la implantación

de procedimientos y controles para proteger datos personales en aquellas
organizaciones que proporcionan servicios en cloud para terceros.

 ISO 27019: facilita una guía basada en la norma 27002 para aplicar a las
industrias vinculadas al sector de la energía, de forma que puedan
implantar un SGSI.

MSc. Fanny Vanessa Verano Hidalgo

Destacan del mencionado conjunto la 27001 donde se especifican los
requerimientos necesarios para implantar, mantener y gestionar un SGSI, dentro
del proceso de mejora continua conocido como Ciclo Deming o PDCA, acrónimo
de Plan-Do-Check-Act, en relación con las fases de Planificar, Hacer, Verificar y
Actuar, con el fin de establecer, implementar, mantener y mejorar el Sistema
Gestión de la Seguridad en la Información, así como dar cumplimiento de manera
complementaria a los controles establecidos en la ISO 27002, conjunto de 114
controles, agrupados en 14 dominios, que tienen como objetivo facilitar buenas
prácticas en relación con la gestión del SGSI pero además existen una serie de
indicadores y métricas para medir de forma objetiva la eficacia y eficiencia de los
controles, de manera que se configure un sistema activo y totalmente integrado
con la organización empresarial y sus objetivos, cabe señalar que cada vez que se
incorpora una nueva herramienta o aplicativo informático en la empresa se debe
actualizar el plan de riesgos y los controles establecidos, con el fin de ajustar al
máximo las medidas de control para detectar, eliminar o mitigar los riesgos y
amenazas.

La norma ISO 27001 es un sistema activo, que se encuentra integrado en la

organización, orientado a los objetivos empresariales y con una proyección de
vistas al futuro, recuerden es muy importante resaltar que cada vez se introduce
una nueva herramienta de TIC a la organización se tiene que actualizar el análisis
de riesgos para mitigar de forma responsable todos los riesgos y considerar la
regla básica del riego, es decir, minimizar los riesgos empleando medidas de
control ajustadas y considerando los costos del control.

¿A quiénes les podría interesar?

 Gerentes, Ingenieros, Jefes u otras personas interesadas en desarrollar sus

capacidades profesionales en el ámbito de la Gestión de Seguridad de la
Información.
 Profesionales responsables de la implementación de Sistemas de Gestión
de Seguridad de la Información dentro de sus organizaciones.
MSc. Fanny Vanessa Verano Hidalgo
  Docentes o instructores interesados en incrementar su conocimiento en
Sistemas de Gestión de Seguridad.

La implementación de los Sistemas de Gestión hace que se gestione la calidad y

la seguridad de los servicios de Tecnologías de la Información y la Comunicación
(TIC), con lo que se consigue disminuir los riesgos en torno a la Seguridad de la
Información y aumentar la seguridad de las TIC.

Esta norma tiene como beneficios:

 Habilita y potencializa el uso de las más actuales herramientas de

colaboración y de gestión de la información, protegiendo el valor de la
confidencialidad, la integridad y la disponibilidad de la información para el
negocio.
 La implementación del sistema de gestión de seguridad de la información
se constituye en una herramienta para la comunicación eficaz entre la alta
dirección empresarial, los responsables de la gestión y custodia de la
información y los clientes y demás interesados.
 Previene y reduce eficazmente el nivel de riesgo, mediante la implantación
de los controles adecuados; de este modo, prepara a la organización ante
posibles emergencias y garantiza la continuidad del negocio.
 Permite a la dirección monitorear, evaluar, asignar y gestionar los recursos
necesarios para la seguridad de la información.
 Incrementa el nivel de conciencia del personal respecto a los tópicos de
seguridad de la información.

MSc. Fanny Vanessa Verano Hidalgo