Normas ISO del SC27

ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en
Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación
internacional y la unificación de estándares en la industria.

ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han
establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1
(Joint Technical Committee).

Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de
seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone
de una página web donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones
y temas de trabajo.

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye
ISO 27001.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y

conocido por toda la organización.

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida
como ISO 9001, como el sistema de calidad para la seguridad de la información.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un

presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y
adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

En las siguientes secciones (a las que puede acceder directamente a través del submenú de la izquierda o
siguiendo los marcadores de final de página) se desarrollarán los conceptos fundamentales de un SGSI según
la norma ISO 27001.

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.

ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder
de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita
(escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes
externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad,
integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una
organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la información:

• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no

autorizados.

• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de
los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un
proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo
empresarial. Este proceso es el que constituye un SGSI.

¿Para qué sirve un SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una
organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser
esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial
necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de
amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos
de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el
“hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también
se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente
desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y
fallos técnicos.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la
protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de
nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión
efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en
consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad
debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad
basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y

procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de
exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume,
minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se
revisa y mejora constantemente.

¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la

documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un
Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1

Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros
ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones,
alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

Documentos de Nivel 2

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la
planificación, operación y control de los procesos de seguridad de la información.

Documentos de Nivel 3

Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las
actividades específicas relacionadas con la seguridad de la información.

Documentos de Nivel 4

Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI;
están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en
cualquier formato o tipo de medio):

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación
clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido
consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la
organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).

• Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la

dirección y el enfoque de la organización en la gestión de la seguridad de la información.

• Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el
propio funcionamiento del SGSI.

• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación

de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de
información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y
fijación de niveles de riesgo aceptables.

• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente

mencionada a los activos de información de la organización.

• Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las
responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de
las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los
recursos disponibles, etc.

• Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de
los procesos de seguridad de la información, así como para la medida de la eficacia de los controles
implantados.

• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.

• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que
contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los
procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentación

Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que
defina las acciones de gestión necesarias para:

• Aprobar documentos apropiados antes de su emisión.

• Revisar y actualizar documentos cuando sea necesario y renovar su validez.

• Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.

• Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo.

• Garantizar que los documentos se mantienen legibles y fácilmente identificables.>

• Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son
transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su
clasificación.
• Garantizar que los documentos procedentes del exterior están identificados.

• Garantizar que la distribución de documentos está controlada.

• Prevenir la utilización de documentos obsoletos.

• Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.

ISO 27000.ES

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El

aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer
nivel para la organización.

La serie 27000

Beneficios

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y

tecnologías.
LA SERIE ISO 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración
reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye son (toda la
información disponible públicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en
la página web del subcomité JTC1/SC27):

• ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la
serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve
descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000.
En España, esta norma aún no está traducida. El original en inglés y su traducción al francés pueden
descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards.

• ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la
norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo
A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la
implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar
sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta
norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR
(también en lengua gallega). En 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC
27001:2007/1M:2009). Otros países donde también está publicada en español son, por ejemplo, Colombia
(NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile
(NCh-ISO27001) o México (NMX-I-041/02-NYCE). El original en inglés y la traducción al francés pueden
adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO
SC27, con fecha prevista de publicación en 2012.

• ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados
en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un
anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009
desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros países donde también está publicada en
español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002),
Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Perú (como ISO 17799; descarga gratuita). El
original en inglés y su traducción al francés pueden adquirirse en iso.org. Actualmente, este estándar se
encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.

• ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos
necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe
el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de
implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI.
Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo
largo de los años con recomendaciones y guías de implantación. En España, esta norma aún no está traducida.
El original en inglés puede adquirirse en iso.org.
• ISO/IEC 27004:
Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas
y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de
controles implementados según ISO/IEC 27001. En España, esta norma aún no está traducida. El original en
inglés puede adquirirse en iso.org

• ISO/IEC 27005:
Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la
seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está
diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de
gestión de riesgos. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-
4:2000. El original en inglés puede adquirirse en iso.org. En España, esta norma aún no está traducida, sin
embargo, sí lo está en países como México (NMX-I-041/05-NYCE), Chile (NCh-ISO27005) o Colombia
(NTC-ISO-IEC 27005).

• ISO/IEC 27006:
Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC
17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos
específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación
de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de
acreditación por sí misma. El original en inglés puede adquirirse en iso.org. En España, esta norma aún no
está traducida, sin embargo, sí lo está en México (NMX-I-041/06-NYCE).

• ISO/IEC 27007:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como
complemento a lo especificado en ISO 19011.

• ISO/IEC 27008:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de auditoría de los controles
seleccionados en el marco de implantación de un SGSI.

• ISO/IEC 27010:
En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía
para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.

• ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la
seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002.
Está publicada también como norma ITU-T X.1051. En España, aún no está traducida. El original en inglés
puede adquirirse en iso.org.

• ISO/IEC 27012:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en un conjunto de requisitos
(complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestión de
seguridad de la información en organizaciones que proporcionen servicios de e-Administración.

• ISO/IEC 27013:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de implementación integrada
de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
• ISO/IEC 27014:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la
seguridad de la información.

• ISO/IEC 27015:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones
del sector financiero y de seguros.

• ISO/IEC 27031:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de continuidad de negocio en
cuanto a tecnologías de la información y comunicaciones.

• ISO/IEC 27032:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía relativa a la ciberseguridad.

• ISO/IEC 27033:
Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el
10 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de
seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (prevista para 2011);
27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para
2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-6,
convergencia IP (prevista para 2012); 27033-7, redes inalámbricas (prevista para 2012).

• ISO/IEC 27034:
En fase de desarrollo, con publicación prevista en 2010. Consistirá en una guía de seguridad en aplicaciones
informáticas.

• ISO/IEC 27035:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía de gestión de incidentes de
seguridad de la información.

• ISO/IEC 27036:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de seguridad de outsourcing
(externalización de servicios).

• ISO/IEC 27037:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de identificación, recopilación
y preservación de evidencias digitales.

• ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y
aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos
de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité
JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde
el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede
adquirirse online en AENOR

CONTENIDO ISO 27002:2005

ISO 27002:2005 (anterior ISO 17799:2005)

0 Introducción: conceptos generales de seguridad de la información y SGSI.

1 Campo de aplicación: se especifica el objetivo de la norma.

2 Términos y definiciones: breve descripción de los términos más usados en la norma.

3 Estructura del estándar: descripción de la estructura de la norma.

4 Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de
la información.

5 Política de seguridad: documento de política de seguridad y su gestión.

6 Aspectos organizativos de la seguridad de la información: organización interna; terceros.

7 Gestión de activos: responsabilidad sobre los activos; clasificación de la información.

8 Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio
de puesto de trabajo.

9 Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

10 Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de

la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código
malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los
soportes; intercambio de información; servicios de comercio electrónico; supervisión.

11 Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario;
responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de
acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.

12 Adquisición, desarrollo y mantenimiento de los sistemas de información:<0b> requisitos de

seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles
criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte;
gestión de la vulnerabilidad técnica.

13 Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la

seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.

14 Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la

continuidad del negocio.

15 Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de

seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.

ISO/IEC 27002

El pasado 1 de Julio la Organización Internacional para la Estandarización, ISO, aprobó como estaba
previsto el cambio de dominación de la ISO/IEC 17799:2005 por ISO 27002:2005. Esta norma publicada en
su primera versión en el año 2000 y corregida y ampliada en el 2005 es el referente en cuanto a las
recomendaciones de las mejores prácticas en la gestión de la seguridad de la información. Con este paso la
norma se incorpora a la familia ISO 27000 (ver: La familia de Normas ISO/IEC 27000).

La norma que es una guía de buenas practicas, recoge los objetivos de control y los controles recomendables y
no es certificable. La certificación se realiza con la norma ISO/IEC 27001, que recoge un resumen de estos
controles en su Anexo A, como base para desarrollar los Sistemas de Gestión de la Seguridad de la
Información, SGSI, de las organizaciones.

La norma no cambia el contenido y su texto sigue incluyendo 39 objetivos de control y 133 controles,
agrupados en los siguientes once dominios:

Política de seguridad

Aspectos organizativos para la seguridad

Clasificación y control de activos

Seguridad ligada al personal

Seguridad física y del entorno

Gestión de comunicaciones y operaciones

Control de accesos

Desarrollo y mantenimiento de sistemas

Gestión de incidentes de seguridad de la información

Gestión de continuidad de negocio

Conformidad

Otros estándares

Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas
publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos.

Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la
información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la
norma ISO 27001 con un menor esfuerzo.

En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias

relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más
conocidos y relevantes.

Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas
dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en
todo el mundo. Puede consultar nuestra sección de Herramientas para encontrar enlaces a muchos de ellos.
Acceda directamente a las secciones de su interés en el submenú de la izquierda o siguiendo los marcadores
de final de página.

ITIL

“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de
servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y
experiencia de cada proveedor de servicios.

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y
OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica
para mejor comprensión en su publicación y difusión.

ITIL v2 (versión 2) sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers
Set”, “Service Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y
“Environmental”.

Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:

• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es
gestionado además de la mejor forma posible.

• Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente.

• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización.

• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las
aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones.
• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la
administración de sistemas como máquinas, redes o sistemas operativos, entre otros.

• Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las

áreas ITIL de soporte y entrega de servicio.

• Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de
desarrollo propio.

• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de

externalización y gestión del cambio, entre otros.

Actualmente existe una nueva versión ITIL V3 que fue publicada en mayo de 2007 que incluye cinco libros
principales, concretamente: Diseño de Servicios de TI, Introducción de los Servicios de TI, Operación de los
Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte
de las prácticas actuales de la versión 2 en torno al Ciclo de Vida de los Servicios.

CobiT

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association)
en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y
aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de
una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el
ámbito de la empresa.

Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para
tecnologías de la información y similares).

Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos
fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan
evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en
ISO 27001.

CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada
proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control
detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de
cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los
procesos de negocio.

No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título
personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified
Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT"CGEIT.

COSO-Enterprise Risk Management / SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector
privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes
financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una
definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones
pueden evaluar sus sistemas de control.

COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de
contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association
(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of
Management Accountants (IMA).

El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995
y COSO de 1992/94).

Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de
riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una
matriz tridimensional, en forma de cubo.

Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas
por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por
la tercera dimensión del cubo.

Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.

Información adicional en el informe ejecutivo y marco general de la norma.

COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI.

COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se
trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo
en muchas empresas y por sus implicaciones indirectas en la seguridad de la información, conviene
mencionarlo en esta sección.
La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a
una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez
tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.

Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de
control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de
información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un
informe de la empresa.

Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control
interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos
procedimientos y una estructura de control interno adecuados para la información financiera. El marco más
empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo
empresarial de COSO.

Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de
los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente, ISACA
ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con
referencias cruzadas a CobiT.