República Bolivariana de Venezuela.

Ministerio del Poder Popular para la Defensa.

Universidad Nacional Experimental Politécnica de la
Fuerza Armada Nacional Bolivariana (UNEFA)
Ingeniería de Sistemas
Control de Calidad
VIII Semestre- Sección 02

ESTÁNDARES ISO/IEC 27000

PROFESOR.

ALUMNO

Fonseca Jesús CI: 18.037.008

Marrero Jacqueline CI: 18.003.740
Molina Francisco CI: 26.414.525
Torres Karellys CI: 20.328.809
Romero, Juan C.I 18.829.020
Hernandez Dony CI: 14.013.869
Mogollon Luz CI: 13.853.795
Moreno Luis CI: 14.301.922

Caracas, Noviembre de 2012.

INTRODUCCIÓN
ISO

ISO (Organización Internacional de Normalización). Es la mayor

organización mundial en el desarrollo de estándares internacionales para las
especificaciones de productos, servicios y buenas prácticas, para el logro de que
las industrias sean más eficientes y eficaces, lo que permite mayor integración en
el comercio internacional.
Desde su creación ha publicado más de 19 000 normas internacionales,
que cubren muchos aspectos como: la tecnología, los negocios, la seguridad
alimentaria, desarrollo de software, seguridad de la información, la atención
médica, e incluso producción agrícola.
ISO es una organización no gubernamental, integrada por miembros de 164
países. El Consejo de la ISO se ocupa de las cuestiones de la mayoría de
gobierno. Se reúne dos veces al año y está integrado por 20 organismos
miembros. La membrecía al Consejo es abierta a todos los organismos miembros
y gira para asegurarse de que es representativa de la comunidad de miembros.

IEC

La Comisión Electrotécnica Internacional es una organización de

normalización en los campos eléctrico, electrónico y tecnologías relacionadas.
Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).
Su primer presidente fue Lord Kelvin, tenía su sede en Londres hasta que
en 1948 se trasladó a Ginebra. Integrada por los organismos nacionales de
normalización, en las áreas indicadas, de los países miembros, en 2003
pertenecían a la CEI más de 60 países.

Misión IEC
 La misión de la IEC es promover entre sus miembros la cooperación
internacional en todas las áreas de la normalización Electrotécnica. Para lograr lo
anterior, han sido formulados los siguientes objetivos:
 Conocer las necesidades del mercado mundial eficientemente
 Promover el uso de sus normas y esquemas de aseguramiento de la
conformidad a nivel mundial.
 Asegurar e implementar la calidad de producto y servicios mediante sus
normas.
 Establecer las condiciones de intemperabilidad de sistemas complejos.
 Incrementar la eficiencia de los procesos industriales.
 Contribuir a la implementación del concepto de salud y seguridad humana..
 Contribuir a la protección del ambiente.
 Dar a conocer los nuevos campos electrónicos

Esencialmente la IEC enfoca su atención a la existencia de un lenguaje

técnico universal, que comprenda definiciones, símbolos eléctricos y electrónicos o
unidades de medición, rangos normalizados, requisitos y métodos de prueba,
características de los sistemas como tensión e intensidad y frecuencia, requisitos
dimensionales, requisitos de seguridad eléctrica, tolerancias de componentes de
equipo eléctrico y electrónico, entre otros.

ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado
de cualquier organización. El aseguramiento de dicha información y de los
sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organización.
Para la adecuada gestión de la seguridad de la información, es necesario
implantar un sistema que aborde esta tarea de una forma metódica, documentada
y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a
los que está sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie
ISO 27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la
izquierda o siguiendo los marcadores de final de página.

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el
concepto central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la organización.
Su objetivo es garantizar un nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito
de un sistema de gestión de la seguridad de la información es garantizar que los
riesgos de la seguridad de la información sean conocidos, asumidos, gestionados
y minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías.
Historia de la ISO 27000

Aunque el concepto de esta serie única fue concebida y anunciada en 2005,

algunas de las normas constitutivas son anteriores a esta. 

Las semillas de las normas fueron sembradas originalmente por el DTI

(Departamento de Comercio e Industria) del Gobierno del Reino Unido, se le
asignaron varias tareas importantes en esta área. Algunas de ellas fueron las de:

 Crear un criterio de evaluación de la seguridad de los productos de

seguridad de TI,
 Creación de un código de buena práctica de seguridad para la
seguridad de la información.

La primera de ellas dio lugar a la creación de lo que se conocía como ITSEC.  El
segundo dio lugar a la publicación de un documento denominado DISCO PD003,
que siguió a un mayor desarrollo de la NCC (National Computing Centre)
establecido en Manchester y a una gran cantidad de consorcios de organizaciones
de usuarios.

El PD0003 fue organizado en 10 secciones, cada sección esbozar numerosos

controles. A pesar de que este documento fue publicado en la década de 1990 su
formato y contenido están incluido en la actual ISO 17799/27002 estándar.

El documento PD0003 continúo su desarrollo bajo la custodia el grupo BSI

(British Standards Institution). Con el tiempo se convirtió en un estándar formal,
conocido como BS7799, en 1995.

El desarrollo continuo ahora en dos frentes principales. BSI desarrollando otra

norma, una especificación de un Sistema de Gestión de Seguridad. Esto fue
publicado en 1998 como BS7799-2, y fue finalmente publicada para convertirse
en la norma ISO 27001. Mientras que la BS7799-1 quedó bajo los auspicios de la
ISO, siendo la vía rápida para convertirse en la norma ISO / IEC 17799 en
diciembre de 2000. 

A pesar de su reciente publicación, una importante revisión de la norma ISO

17799 se inició en la reunión de Oslo en abril de 2001. Las conclusiones fueron
discutidas durante un largo período de tiempo y en varias reuniones del Grupo de
Trabajo (Seúl 2001, Berlín y Varsovia de 2002, la ciudad de Quebec y París
2003). Tras la reunión de Singapur en 2004, una nueva versión de la norma fue
puesta a voto y pasó. La nueva reunión de Berlín 2004 avanzó esto en un
Proyecto de Norma Internacional. Esto fue ratificado en una reunión en Fortaleza
en 2004 y confirmado en abril de 2005, en la reunión de Viena. La nueva versión
de la norma ISO / IEC 17799 fue publicado finalmente en junio de 2005.
BS7799-2 siguió una ruta menos complicada. Ya estaba muy alineado con el
enfoque adoptado por otras normas ISO, como ISO 9000, y por lo tanto su
adopción como norma ISO 27001 fue más sencilla, con menos comentarios para
procesar. Esto fue publicado en octubre de 2005.
A finales de 2007, para alinear el sistema de numeración de serie, ISO 17799 fue
renombrado como ISO 27002.

DESCRIPCIÓN
 ISO 27000

Publicada el 1 de Mayo de 2009. Contiene las especificaciones de la serie,

fundamentos de la certificación, una introducción a los Sistemas de Gestión de
Seguridad de la Información, conceptos y vocabulario utilizados en la serie, para
poder desarrollar, implementar, y mantener los sistemas de gestión de seguridad
(SGSI). Está siendo revisada, con fecha prevista de segunda edición Mayo de
2013.
 Plan, Do, Check, Act

El ciclo de Deming,
también conocido como
círculo PDCA,
presentado por Edwards
Deming, es una
estrategia de mejora
continua de la calidad en cuatro pasos, (Planificar, Hacer, Verificar, Actuar)

También se denomina espiral de mejora continua.

 ISO 27001: 2005

Publicada en octubre de 2005, especifica los requisitos para la implantación del

Sistema de Gestión de Seguridad de la Información (SGSI), basado en la
certificación que desea obtener la organización.

Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los

procesos.

Enumera los objetivos de control y controles presentes en la ISO 27002:2005,

para ser tomados en cuenta por las organizaciones en el desarrollo de sus SGSI;
la implementación de todos los controles no es obligatoria,sin embargo la
organización deberá explicar porque los controles no fueron aplicados.

 ISO 27002 (previamente BS 7799 Parte 1 y la norma ISO/IEC 17799)

Fue publicada en Julio de 2005 como ISO 17799 y fue renombrado ISO/IEC
27002 el 01 Julio de 2007.
Hace referencia a las buenas practicas para la gestión de seguridad de la
información, describe los 39 objetivos de control y 133 controles recomendables
en cuanto a seguridad de la información.

Evaluación y tratamiento del riesgo: Indicaciones sobre cómo evaluar y tratar los
riesgos de seguridad de la información.

Política de Seguridad: Documento de política de seguridad y su gestión.

Aspectos Organizativos: Organización interna; organización externa.

Gestión de Activos: Responsabilidad sobre los activos; clasificación de la

información.
Recursos Humanos: Anterior al empleo; durante el empleo; finalización o cambio
de empleo.

Física y Ambiental: Áreas seguras; seguridad de los equipos.

Comunicaciones y Operaciones: Procedimientos y responsabilidades de

operación; gestión de servicios de terceras partes; planificación y aceptación del
sistema; protección contra software malicioso; backup; gestión de seguridad de
redes; utilización de soportes de información; intercambio de información y
software; servicios de comercio electrónico; monitorización.

Control Accesos: Requisitos de negocio para el control de accesos; gestión de

acceso de usuario; responsabilidades del usuario; control de acceso en red;
control de acceso al sistema operativo; control de acceso a las aplicaciones e
informaciones; informática y conexión móvil.

Adquisición, desarrollo y mantenimiento de sistemas: Requisitos de seguridad de

los sistemas de información; procesamiento correcto en aplicaciones; controles
criptográficos; seguridad de los ficheros del sistema; seguridad en los procesos de
desarrollo y soporte; gestión de vulnerabilidades técnicas.

Gestión de incidentes: Comunicación de eventos y puntos débiles de seguridad de

la información; gestión de incidentes y mejoras de seguridad de la información.

Gestión Continuidad de negocio: Aspectos de la seguridad de la información en la

gestión de continuidad del negocio.

 ISO 27003

Publicada el 01 de Febrero de 2010. Directrices para la implementación de un

SGSI, describe el proceso de especificación y diseño desde la concepción hasta la
puesta en marcha de planes de implementación, así como el proceso de obtención
de aprobación por la dirección para implementar un SGSI
En él se describe el proceso de especificación del SGSI y el diseño desde el
inicio hasta la elaboración de planes de implementación del proyecto, que abarca
la preparación y planificación de actividades antes de la puesta en práctica real, y
teniendo como elementos clave:

Gestión de aprobación y autorización final para proceder con la ejecución del

proyecto;
Alcance y definición de los límites en materia de TIC y ubicaciones físicas;
La evaluación de riesgos de seguridad de información y la planificación de los
tratamientos adecuados de riesgo, cuando sea necesario definir la información de
requisitos de control de seguridad;
El diseño del SGSI;
Planificación de la ejecución del proyecto.

 ISO 27004

Publicada el 15 de Diciembre de 2009. Determina métricas de la gestión de

seguridad y controles, determinar la eficacia de la organización, del SGSI y de los
controles la seguridad de la información.

Da recomendaciones de como, cuando y quien debe aplicar los controles a la

seguridad.

Anexo A sugiere una plantilla en la que para describir una métrica, mientras que el
Anexo B ofrece algunos ejemplos prácticos.

El estándar es muy detallada en términos de la mecánica de los procesos de

medición. Se laboriosamente describe cómo recoger "medidas básicas", utilice la
agregación y cálculos matemáticos para generar "medidas de derivados", a
continuación, aplicar técnicas de análisis y criterios de decisión para crear
"indicadores" que se utiliza con fines de gestión del SGSI. Por desgracia, no
ofrece mucha orientación sobre la cual basar las medidas, las medidas derivadas
o indicadores podría ser en realidad vale la pena todo este esfuerzo en términos
de seguridad de la información de gestión.

 ISO 27005

Gestión de riesgos de la Seguridad de la Información. Publicada en segunda

edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008).
Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de
evaluación de riesgos de Seguridad en la Información.

Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está

diseñada para ayudar a la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de riesgos.

Aunque la norma define el riesgo como "una combinación de las consecuencias

que se derivarían de la ocurrencia de un evento no deseado y la probabilidad de la
ocurrencia del evento", el proceso de análisis del riesgo descrita en la norma
indica la necesidad de identificar los activos de información en riesgo , las
amenazas potenciales o fuente de amenaza, las vulnerabilidades potenciales y las
posibles consecuencias (impactos) si los riesgos se materializan. Ejemplos de
amenazas, vulnerabilidades e impactos se tabulan en los anexos, estos pueden
ser de utilidad para los riesgos en relación con los activos de información en
evaluación. Se deduce claramente que las herramientas automatizadas de
seguridad del sistema de evaluación de vulnerabilidad no son suficientes para el
análisis de riesgos, sin tener en cuenta las vulnerabilidades, además de otras
amenazas e impactos.

 ISO 27006
Publicada en segunda edición el 1 de Diciembre de 2011. Contiene requisitos para
la acreditación de las organizaciones que proporcionan la certificación de los
sistemas de gestión de la Seguridad de la Información. Esta norma especifica
requisitos para la certificación de SGSI. Es decir, ayuda a interpretar los criterios
de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación
de ISO 27001, pero no es una norma de acreditación por sí misma.

El ámbito de aplicación de la norma ISO / IEC 27006 es el de "especificar los

requisitos y proporcionar orientación para los organismos que realizan la auditoría
y certificación de un sistema de gestión de seguridad (SGSI), además de los
requisitos contenidos en la norma ISO / IEC 17021 e ISO / IEC 27001. Está
pensado principalmente para apoyar la acreditación de organismos de certificación
que ofrecen certificación SGSI ".

Cualquier organismo debidamente acreditado para la emisión de certificados ISO /

IEC 27001, deberán cumplir los requisitos de la norma ISO / IEC 27006, más la
norma ISO / IEC 17021-1 e ISO 19011 en materia de su competencia, idoneidad y
confiabilidad para realizar su trabajo correctamente.

 ISO 27007

Publicada el 14 de Noviembre de 2011. Es una guía de auditoría de un SGSI,

como complemento a lo especificado en ISO 19011.

La norma abarca los aspectos específicos de la auditoría del SGSI:

Gestión del programa de auditoría de SGSI (determinando qué auditar, cuándo y

cómo; asignación de auditores apropiados, la gestión de riesgos de auditoría, el
mantenimiento de registros de auditoría; mejora continua del proceso);

Realización de un SGSI MS auditoría (proceso de auditoría - la planificación,

conducción, las principales actividades de auditoría, incluyendo el trabajo de
campo, análisis, reporte y seguimiento-);
Gestión de ISMS auditores (competencias, habilidades, atributos, evaluación).

 ISO/IEC TR 27008:

Esta norma de ISMS "auditoría técnica" complementa la norma ISO / IEC

27007.Se concentra en la auditoría de los controles de seguridad de la
información, mientras que '27007 se centra en la auditoría del sistema de gestión.

Se centra en la revisión de los controles de seguridad de la información, incluida la

comprobación del cumplimiento técnico, frente a un estándar de la aplicación de
seguridad sobre la información, que establece la propia organización.

 ISO/IEC 27010:

proporciona una guía sobre seguridad en el intercambio de la información y las

comunicaciones entre l industrias del mismo sector, o en diferentes sectores de la
industria y con los gobiernos, ya sea en tiempos de crisis y para proteger las
infraestructuras críticas o para el reconocimiento mutuo en circunstancias
normales de trabajo, cumpliendo con reglamentación legal, y las obligaciones
contractuales.

A veces es necesario compartir información confidencial sobre las amenazas, las

vulnerabilidades de seguridad de información y / o incidentes entre o dentro de
una comunidad de organizaciones, por ejemplo, cuando las empresas privadas,
los gobiernos, la policía y los organismos de tipo CERT-están colaborando en la
investigación, evaluación y resolución de graves ataques cibernéticos pan-
organizacionales e internacionales a menudo o pan-jurisdiccional. Tal información
es a menudo muy sensible y puede ser necesario, por ejemplo, estar restringida a
ciertos individuos dentro de las organizaciones receptoras. Estos intercambios de
información suelen ocurrir en un ambiente muy cargado y estresante bajo intensas
presiones de tiempo, por lo cual se debe crear el ambiente más propicio para el
establecimiento de relaciones de trabajo de confianza y acordar adecuados
controles de seguridad de información.

 ISO/IEC 27011:

Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la

implementación y gestión de la seguridad de la información en organizaciones del
sector de telecomunicaciones basada en ISO/IEC 27002.

Esta Recomendación especifica los requisitos para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar un sistema de gestión seguridad
de información (SGSI) en el contexto de los riesgos del negocio de
telecomunicaciones. Especifica los requisitos para la aplicación de controles de
seguridad adaptados a las necesidades de telecomunicaciones.

 SO/IEC 27013:2012

Proporciona una guía de integración en la implantación de ISO/IEC 27001 y de

ISO/IEC 20000-1 para aquellas organizaciones que tienen como objetivo:

a) Implantar ISO/IEC 27001 cuando ISO/IEC 20000-1 ya está implantada o

viceversa.
b) Implantar ambas normas ISO/IEC 27001 y ISO/IEC 20000-1 al mismo tiempo;
c) Integrar los sistemas de gestión ya implantados de ambas normas ISO/IEC
27001 y ISO/IEC 20000-1

 ISO/IEC 27014:

En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de

gobierno corporativo de la seguridad de la información.

El ámbito de aplicación abarca "orientación sobre los principios y procesos para la

gestión de seguridad de la información, mediante el cual las organizaciones
pueden evaluar, dirigir y supervisar la gestión de seguridad de la información".

 ISO/IEC 27015:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de

SGSI para organizaciones del sector financiero y de seguros.

Aunque este sector ya cuenta con una franja de riesgo y las normas de seguridad
tales como ISO TR 13569 Directrices de Seguridad "Banca de información", la
norma amplifica y extiende algunas de las recomendaciones de la norma ISO /
IEC 27002 para las organizaciones de servicios financieros - por ejemplo,
recomendar que las actividades de sensibilización de seguridad debe abarcar los
clientes, no sólo a los empleados. Da ejemplos de los tipos de mensaje para crear
conciencia que, un banco haría bien transmitir a sus empleados, por ejemplo,
sobre "el uso de troyanos keyloggers, phishing y de ingeniería social para robar
credenciales de acceso de los clientes a partir de los sistemas de identidad.

 ISO/IEC TR 27016:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de

valoración de los aspectos financieros de la seguridad de la información.

 ISO/IEC 27017:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de

seguridad para Cloud Computing. (Computación en nube).

Será acompañado por la norma ISO / IEC 27018 y cubre los aspectos de
privacidad del cloud computing.

Cloud Computing: es una tecnología que utiliza el Internet y servidores centrales

remotos para mantener datos y aplicaciones. La computación en nube permite a
los consumidores ya las empresas a utilizar las aplicaciones sin necesidad de
instalar y acceder a sus archivos personales en cualquier computadora con
acceso a internet. Esta tecnología permite una computación mucho más eficiente
por el almacenamiento de datos centralizar el procesamiento y ancho de banda.

 ISO/IEC 27031:

Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la

adecuación de las tecnologías de información y comunicación (TIC) de una

organización para la continuidad del negocio. El documento toma como referencia

el estándar BS 25777.

La norma:

 Propone una estructura o marco (métodos y procesos) para cualquier

organización - privadas, gubernamentales y no gubernamentales
 Identifica y especifica todos los aspectos pertinentes, incluidos los criterios
de rendimiento, diseño y detalles de implementación, para mejorar la
preparación para las TIC en el marco del SGSI de la organización,
ayudando a asegurar la continuidad del negocio.
 Permite a una organización medir su preparación continua para la
seguridad y por lo tanto sobrevivir a un desastre.

El ámbito de aplicación de esta norma abarca todos los eventos e incidentes de

seguridad (no sólo la información relacionada) que podrían tener un impacto en la
infraestructura de las TIC y los sistemas. Por lo tanto, se extiende a las prácticas
de manejo de incidentes de seguridad de información y de gestión, planificación y
disposición de servicios TIC.

 ISO/IEC 27032:

En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía

relativa a la ciberseguridad.

 ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente
en 7 partes:

27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 );

27033-2, directrices de diseño e implementación de seguridad en redes (prevista

para 2012);

27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de

2010);

27033-4, aseguramiento de las comunicaciones entre redes mediante gateways

de seguridad (prevista para 2012);

27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013);

27033-6, convergencia IP (prevista para 2013);

27033-7, redes inalámbricas (prevista para 2013).

 ISO/IEC 27034:

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones

informáticas, consistente en 5 partes:

27034-1, conceptos generales (publicada el 21 de Noviembre de 2011);

27034-2, marco normativo de la organización (prevista para 2013);

27034-3, proceso de gestión de seguridad en aplicaciones (prevista para 2013);

27034-4, validación de la seguridad en aplicaciones (prevista para 2013);

27034-5, estructura de datos de protocolos y controles de seguridad de

aplicaciones (prevista para 2013).

 ISO/IEC 27035:

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de

incidentes de seguridad en la información.

La norma establece un proceso de 5 etapas fundamentales:

 Prepárate para hacer frente a los incidentes por ejemplo, preparar una
política de gestión de incidencias, y establecer un equipo competente para
conocer de los incidentes.
Identificar y reportar incidentes de seguridad de información.
Evaluar los incidentes y tomar decisiones sobre la forma en que se han de
abordar las cosas, por ejemplo de parche y volver al trabajo rápidamente, o
recoger pruebas forenses incluso si se retrasa la resolución de los
problemas.
Responder a los incidentes, es decir contenerlos, investigarlas y
resolverlas.
Aprender las lecciones, más que simplemente identificar las cosas que
podrían haberse hecho mejor, esta etapa consiste en realmente hacer
cambios que mejoren los procesos.

El estándar proporciona plantillas para la documentación de eventos de seguridad,

incidentes y vulnerabilidades.

 ISO/IEC 27036:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en

cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión
general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la
cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de
servicios).

 ISO / IEC 27037:2012

(Information technology -- Security techniques -- Guidelines for identification,
collection, acquisition and preservation of digital evidence) publicada en Octubre
15 de 2012.

Proporciona directrices para las actividades específicas en el manejo de

evidencias digitales, como son: identificación, recopilación, consolidación y
preservación de evidencia digital que puede ser de valor probatorio.
Proporciona orientación a las personas con respecto a las situaciones comunes
que se encuentran en todo el proceso de manipulación de evidencia digital y
ayuda a las organizaciones en sus procedimientos disciplinarios y para facilitar el
intercambio de pruebas potencialmente probatorias de carácter digital en la
jurisprudencia.

Proporciona orientación para los dispositivos y condiciones siguientes:

Los medios digitales de almacenamiento utilizados en ordenadores estándar como

discos duros, discos flexibles, discos ópticos y magneto ópticos, dispositivos de
datos con funciones similares.

Los teléfonos móviles, asistentes personales digitales (PDA), dispositivos

electrónicos personales (PED), tarjetas de memoria.

Navegación móvil para los sistemas.

Las cámaras digitales y de video (incluyendo CCTV).

Ordenador estándar con conexiones de red.

Las redes basadas en TCP / IP y otros protocolos digitales.

Dispositivos con funciones similares a las anteriores.

 ISO/IEC 27038:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de
especificación para seguridad en la redacción digital, pretende establecer:

Requisitos Redacción - en realidad una visión general del proceso de

redacción;
Procesos redacción, como la impresión, la edición de los documentos
originales de varias maneras, trabajos con meta datos (por ejemplo,
propiedades de documentos y registros de cambios) y, en el caso de la
"mejorada" redacción, teniendo en cuenta el contexto más amplio, así como
 el contenido específico.
 El mantenimiento de registros y las notas con el fin de ser capaz de explicar
/ justificar las decisiones y acciones de censura;
 Las herramientas de software de censura - un conjunto básico de requisitos
funcionales;
 Pruebas Redacción - cinco formas básicas para comprobar si la redacción
ha sido exitosa
 Un anexo informativo sobre redacción de documentos PDF.

 ISO/IEC 27039:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía

para la selección, despliegue y operativa de sistemas de detección y prevención
de intrusión (IDS/IPS).

IDS (Sistema de Detección de Intrusos) son sistemas ampliamente automatizados

para la identificación de los ataques y las intrusiones en una red o sistema de los
hackers y dar la alarma. IPS (Sistema de Prevención de Intrusos) Sistema
automatizado que responden automáticamente a ciertos tipos de ataques
previamente identificados, por ejemplo mediante el cierre de los puertos de red
específicos a través de un firewall para bloquear el tráfico o hacker.

 ISO/IEC 27040:

En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía

para la seguridad en medios de almacenamiento.

La norma tiene por objeto:

Llamar la atención sobre los riesgos comunes de seguridad de la

información relacionados con la protección de la confidencialidad, integridad
y disponibilidad de información en las tecnologías de almacenamiento.
Alentar a las organizaciones a mejorar su protección de la información
almacenada mediante adecuados controles de seguridad de la información.
Mejorar la seguridad, por ejemplo, facilitar las revisiones o auditorías de la
seguridad de la información, controlar la protección de almacenamiento de
 datos.

 ISO/IEC 27041

El objetivo principal de esta norma es en la garantía de los procesos relacionados

con la investigación forense de la evidencia digital. La credibilidad, la confianza y
la integridad son requisitos fundamentales para todos los métodos forenses: esta
norma promueve los aspectos de garantía de la investigación de la evidencia
digital.

La norma ofrecerá orientación en asegurar la idoneidad y adecuación de los

métodos de investigación de la evidencia forense digital. Se describen los métodos
a través del cual todas las etapas del proceso de investigación puede ser
demostrado, convertirse en evidencia apropiada (correcta y adecuada en sí
mismos, y se realizó correctamente).

 ISO 27799:

Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para

apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en
cuanto a la seguridad de la información sobre los datos de salud de los pacientes.

Especifica un conjunto de controles detallados para la gestión de seguridad de

información de salud y proporciona información sobre la mejores de práctica de
seguridad. Mediante la implementación de esta norma internacional, las
organizaciones sanitarias y otros custodios de información sanitaria será capaz de
garantizar un nivel mínimo necesario de seguridad que sea apropiado a las
circunstancias de su organización y que mantendrá la confidencialidad, integridad
y disponibilidad de la información de salud personal.

Se aplica a la información de salud en todos sus aspectos; cualquier forma de

información (palabras, estadísticas, sonidos, dibujos, vídeos e imágenes médicas),
cualquiera que sea el medio utilizado para almacenarla (impresa o
almacenamiento electrónico) y los mecanismos que utiliza para transmitir (a mano,
por fax, a través de redes informáticas o por correo), ya que la información
siempre debe estar debidamente protegidos.

Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable, por
ende, la organización que tenga implantado un Sistema de Gestión de Seguridad

de la Información (SGSI), puede solicitar una auditoría a una entidad certificadora

acreditada.
Este sistema deberá tener un historial de funcionamiento demostrable, de al
menos tres meses, antes de solicitar el proceso formal de auditoría para su
primera certificación.

El proceso de certificación tiene dos pasos:

1. Implantación del Sistema de Gestión de la Seguridad de la Información.

2. Auditoría y certificación.

Implantación del SGSI

El paso previo al proceso de certificación, es la implantación en la organización del
sistema de gestión de seguridad de la información según ISO 27001.
ISO 27001 exige que el SGSI contemple los siguientes puntos:
1. Implicación de la dirección de ubicación física del sistema.
2. Alcance del SGSI y política de seguridad.
3. Inventario de todos los activos de información.
4. Metodología de evaluación del riesgo.
5. Identificación de amenazas, vulnerabilidades e impactos.
6. Análisis y evaluación de riesgos.
7. Selección de controles para el tratamiento de riesgos.
8. Aprobación por parte de la dirección del riesgo residual.
9. Declaración de aplicabilidad.
10.Plan de tratamiento de riesgos.
11.Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
12.Definición de un método de medida de la eficacia de los controles y puesta
en marcha del sistema.
13.Formación y concienciación en lo relativo a seguridad de la información a
todo el personal.
14.Monitorización constante y registro de todas las incidencias.
15.Realización de auditorías internas.
16.Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del
propio SGSI y de su alcance.
17.Mejora continua del SGSI.
18.La documentación del SGSI deberá incluir:
19.Política y objetivos de seguridad.
20.Alcance del SGSI.
21.Procedimientos y controles que apoyan el SGSI.
22.Descripción de la metodología de evaluación del riesgo.
23.Informe resultante de la evaluación del riesgo.
24.Plan de tratamiento de riesgos.
25.Procedimientos de planificación, manejo y control de los procesos de
seguridad de la información y de medición de la eficacia de los controles.
26.Registros.
27.Declaración de aplicabilidad.
28.Procedimiento de gestión de toda la documentación del SGSI.
PROCESOS DE
IMPLANTACIÓN
Auditoría y certificación
Una vez implantado el SGSI en la organización, se puede pasar a la fase de
auditoría y certificación, que se desarrolla de la siguiente forma:
 Solicitud de la auditoría por parte del interesado a la entidad de certificación
y toma de datos por parte de la misma.
 Respuesta en forma de oferta por parte de la entidad certificadora.
 Compromiso.
 Designación de auditores, determinación de fechas y establecimiento
conjunto del plan de auditoría.
 Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que
aporte información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
o Fase 1 de la auditoría: no necesariamente tiene que ser in situ,
puesto que se trata del análisis de la documentación por parte del
Auditor Jefe y la preparación del informe de la documentación básica
del SGSI del cliente, destacando los posibles incumplimientos de la
norma que se verificarán en la Fase 2. Este informe se envía junto al
plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase
2 es de 6 meses.
o Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la
que se revisan in situ las políticas, la implantación de los controles de
seguridad y la eficacia del sistema en su conjunto. Se inicia con una
reunión de apertura donde se revisa el objeto, alcance, el proceso, el
personal, instalaciones y recursos necesarios, así como posibles
cambios de última hora. Se realiza una revisión de las exclusiones
según la Declaración de Aplicabilidad (documento SOA), de los
hallazgos de la Fase 1, de la implantación de políticas,
procedimientos y controles y de todos aquellos puntos que el auditor
considere de interés. Finaliza con una reunión de cierre en la que se
presenta el informe de auditoría.
 Certificación: en el caso de que se descubran durante la
auditoría no conformidades graves, la organización deberá
implantar acciones correctivas; una vez verificada dicha
implantación o, directamente, en el caso de no haberse
presentado no conformidades, el auditor podrá emitir un
informe favorable y el SGSI de organización será certificado
según ISO 27001.
 Auditoría de seguimiento: semestral o, al menos, anualmente,
debe realizarse una auditoría de mantenimiento; esta auditoría
se centra, generalmente, en partes del sistema, dada su
menor duración, y tiene como objetivo comprobar el uso del
SGSI y fomentar y verificar la mejora continua.
 Auditoría de re-certificación: cada tres años, es necesario
superar una auditoría de certificación formal completa como la
descrita.
PROCESO DE
AUDITORIA
La Entidad de Certificación
Las entidades de certificación son organismos de evaluación de la conformidad,
encargados de evaluar y realizar una declaración objetiva de que los servicios y
productos cumplen unos requisitos específicos. En el caso de ISO 27001,
certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo detallado en la norma.
Para que las entidades de certificación puedan emitir certificados reconocidos, han
de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de
acreditación, comprueba, mediante evaluaciones independientes e imparciales, la
competencia de las entidades de certificación para la actividad objeto de
acreditación.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2,
solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de
organismos operando programas de certificación/registro de sistemas de gestión
de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha
supuesto la derogación del anterior documento.
Las entidades de acreditación establecen acuerdos internacionales para facilitar el
reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes.
Para ello, existen diversas asociaciones como IAF (International Accreditation
Forum) o EA (European co-operation for Accreditation).

BENEFICIOS (aspectos importantes y beneficios)

Antes de mencionar los beneficios de ISO 27000 se desarrollara un breve

esquema que muestra el Sistema de Gestión de Seguridad de la Información
basado en el enfoque de procesos descrito en la norma ISO 27000.
ISO 27000 adopta el modelo “Planear-Hacer-Verificar-Actuar”, el cual es aplicado
en El desarrollo de los procesos del sistema. La figura muestra como el Sistema
de Gestión de la Seguridad de la Información toma como insumos los
requerimientos en materia de Seguridad de la Información así como las
expectativas de las partes interesadas para a través de las acciones necesarias,
producir como salida elementos de Seguridad de la Información que satisfacen los
requerimientos y expectativas de la empresa.

Beneficios que aporta ISO 27000

• Brinda la facilidad en el establecimiento de una metodología para la

Administración de la información bajo unos lineamientos de seguridad y reglas
estructuradas.
• Reduce el riesgo de pérdida, robo de información.
• Ofrece a los usuarios acceso a la información a través de medios seguros.
• Facilita el monitoreo continuo de los riesgos y los controles al manejo de la
información.
• Pude ser emplearse en la realización de auditorías, ya que permite identificar con
facilidad la información vulnerable que puede ser cambiada.
• Garantiza la confidencialidad y disponibilidad de la información con base en la
mejora de los procesos de TI.
• Ayuda a la integración con otros sistemas de gestión, tales como ISO 9001 e ISO
14001.

• Permite solucionar fallas en la operatividad de los negocios

• Proporciona confianza y reglas de fácil compresión al personal de la organización

que trabaje bajo dichas normas.

• Reduce costos y mejora en la aplicación de los procesos y servicios.

• Permite que los clientes y socios obtengan un ambiente de confianza debido a la
garantía de calidad y confidencialidad de la información manejada.

ECESIDADES SATISFACE ISO

Necesidades que satisface ISO 27000

- Administración

ISO 27000 Permite satisfacer las necesidades de administración de TI debido a

que es un estándar desarrollado con la finalidad de proporcionar un modelo para
establecer, implementar, operar, monitorear y mejorar la Seguridad de la
Información de la empresa.

- Regulación
ISO 27000 Puede ser adoptado como marco de referencia para dar cumplimiento
a la regulación aplicable a la empresa en materia de TI. Es común que las
empresas sujetas a regulaciones de carácter internacional como Sarbanes Oxley y
COSO, tomen como referencia estándares de seguridad como ISO 27000 para
garantizar la veracidad, confidencialidad, disponibilidad e integridad de la
información.

- Control

El estándar se puede aplicar para mantener un ambiente de control en materia de

Seguridad de la Información; debido a que una de sus premisas es brindar
recomendaciones a los responsables de planear, implantar o mantener controles
para garantizar la Seguridad de la Información. ISO 27000 a través de las
prácticas permite desarrollar los estándares de controles de seguridad que pueden
ser aplicadas en una empresa en específico.

- En Seguridad

La finalidad esencial de ISO 27000 es brindar un estándar desarrollado que

proporciona un modelo para establecer, implementar, monitorear, revisar,
mantener y mejorar un Sistema de Administración de Seguridad de Información,
en busca de satisfacer las necesidades de cada organización bajo unas normas
que integran un conjunto de requerimientos del Sistema de Administración de
Seguridad de Información que son certificables.

- Estrategia
ISO 27000 menciona que la adopción de un ISMS debe ser una decisión tomada
a nivel estratégico, definiendo objetivos que satisfagan los requerimientos de
seguridad de los procesos del negocio.
Ejemplo en la aplicación de los estándares ISO 27000
En materia de seguridad antivirus, la norma explica en su capítulo sobre la
Gestion de Comunicaciones y Operaciones, en la sección sobre códigos
maliciosos (Controls against malicious code) que “es necesario tomar
precauciones para prevenir y detectar la introducción de software malicioso“, y se
detallan los siguientes puntos respecto a los controles a implementar:
1. La empresa debe contar con la “instalación y actualización periódica de
software de detección y reparación anti-virus, para examinar computadoras
y medios informáticos, ya sea como medida precautoria o rutinaria“.
2. La empresa debe verificar “la presencia de virus en archivos de medios
electrónicos de origen incierto o no autorizado, o en archivos recibidos a
través de redes no confiables, antes de su uso” y “la presencia de software
malicioso en archivos adjuntos a mensajes de correo electrónico y archivos
descargados por Internet antes de su uso“.
También extiende a modo de resumen que “se deben implementar controles de
detección y prevención para la protección contra software malicioso, y
procedimientos adecuados de concientización de usuarios“. Es decir, contar con
una solución antivirus con capacidades proactivas de detección.
Por último, la ISO 27001 también extiende, respecto a la importancia de
“concientizar a los usuarios acerca de los peligros del software no autorizado o
malicioso [...] En particular, es esencial que se tomen precauciones para detectar y
prevenir virus informáticos en computadoras personales“. El trabajo de ESET
Latinoamérica en la región a través de sus iniciativas educativas son otros
aportes de ESET para que las organizaciones estén acordes a lo que indican las
normas más prestigiosas del mercado.

CONCLUSIÓN
 RESEÑA BIBLIOGRÁFICA

 Ciclo de Deming, tomado de es.wikipedia.org/wiki/Círculo_de_Deming,

Consultado 05/11/2012
 Articulo Cloud Computin, consultado en
 http://www.wikinvest.com/concept/Cloud_Computing en fecha 10/11/2012

 ISO 27000, En su página http://www.iso27000.es/ Auditoria y Certificación

iso27000.es, EL PORTAL DE ISO 27001 EN ESPAÑOL,
http://www.iso27000.es/iso27000.html

 Oficinas IEC Derechos de autor © IEC 2012

http://translate.google.com/translate?hl=es&sl=en&u=http://www.iec.ch/
&prev=/search%3Fq%3DIEC%26hl%3Des%26biw%3D1280%26bih
%3D640%26prmd
%3Dimvns&sa=X&ei=VWigUMfmG8uo0AGBqIHYAg&ved=0CCIQ7gEwAA

 http://www.itnews.ec/marco/000175.aspx
Comisión Electrotécnica Internacional (IEC), Fuente: Guilenia.com

 http://es.wikipedia.org/wiki/Comisi%C3%B3n_Electrot
%C3%A9cnica_InternacionalComisión Electrotécnica Internacional