NORMA

ISO27001:2014
EL ABORADO POR: ISAURA GUADALUPE SARMIENTO
PANTI
 NORMA ISO 27001:2014
El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha
provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven
una revolución tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a
un avance en las tecnologías conocidas como SMAC (las siglas inglesas de social, móvil,
analíticas y nube).

Gracias a la Asociación Española de Normalización (AENOR), entidad líder en certificación de

Sistemas de Gestión, Productos y Servicios, y responsable del desarrollo y difusión de las
normas UNE, ya se cuenta con la última versión de la norma UNE-ISO/IEC 27001:2014 dedicada
a  la gestión de la seguridad de la información en las empresas.
¿QUÉ ES LA NORMA ISO
27001:2014?
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2014 y ahora su nombre
completo es ISO/IEC 27001:2014.
OBJETO Y CAMPO DE APLICACIÓN
NORMA ISO 27001:2014

Esta norma internacional especifica los riesgos para el establecimiento, implementación,

mantenimiento y mejora continua de un sistema de gestión de seguridad de la información en el
contexto de la organización. Esta norma también incluye los requisitos para la apreciación y el
tratamiento de los riesgos de la seguridad de la información a la medida de las necesidades de
la organización. Los requisitos establecidos en esta norma internacional son genéricos y
aplicables a todas las organización, cualquiera que sea su tipo, tamaño o naturaleza.
NOVEDADE
S
 La nueva versión de esta norma adopta el concepto de “Estructura de Alto Nivel” bajo el
Anexo SL utilizado en todas las normas de Sistemas de Gestión que posibilita su incorporación
con otros sistemas (calidad, medio ambiente o salud en el trabajo) de forma más sencilla. 

 Otra novedad es que la nueva versión de la norma intensifica y refuerza la mejora continua,
fundamentándose en el ciclo Deming o PHVA (Planificar, Hacer, Verificar y Actuar).

 Destaca una mayor consideración y relevancia de la organización, al liderazgo y compromiso

de los directivos y a las necesidades de las partes interesadas. Así como una mayor relevancia a
la definición y seguimiento de los objetivos de seguridad de la información.

 La nueva versión ISO27001 incluye 114 controles respecto a los 133 de la ISO/IEC

27001:2005 que estudian reforzar los análisis relacionados a la criptografía y con los
proveedores.
ANEXO ISO TOTAL DE
27001:2014.DOMINIO CONTROLES
A.5 Políticas de Seguridad de la Información

La Política de Seguridad de la Información de una organización debe definir las decisiones que ha tomado la
organización en relación a la seguridad del almacenamiento y procesamiento de la información. Este conjunto
de decisiones debería basarse en requisitos legales y regulatorios, en la demanda del mercado, en los
objetivos de negocio y en la filosofía y cultura de la empresa.

En base a la Política de Seguridad de la Información se tomarán muchas medidas de seguridad y se definirán

otras políticas y documentos y todos deberán estar alineados con la Política de Seguridad de la Información.

Todos los miembros de la organización, deben conocer la Política de Seguridad de la Información y deben
comprometerse a cumplirla.
A.6 Organización de la Seguridad de Información

Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la
seguridad de la información dentro de la organización.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y

conocido por toda la organización.

• Una Política de Seguridad de Información

• Un Responsable de Seguridad de Información

• Un Comité de Gestión de Seguridad de Información Objetivo: Establecer un marco de referencia de gestión para
iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.
A.7 Seguridad en los Recursos Humanos
Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y son
convenientes para los roles para los que se les considera.

La seguridad en esta gestión debe tener en cuenta la selección y contratación, la formación de

empleados y la salida de la empresa.

A.8 Gestión de Activos

Objetivo: Identificar los activos de la organización y definir responsabilidades de protección apropiadas

Responsabilidad por los Activos: Lograr mantener la protección adecuada de los activos de la organización. Todos los
activos se deben incluir y deben tener un dueño designado. Se deben identificar los dueños para todos los activos y
asignar la responsabilidad para el mantenimiento de los controles adecuados.
A.9 Control de Accesos
Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información.

Como parte de este dominio se desarrollan los lineamientos para la política de control de acceso, la gestión de
accesos de usuarios, los controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información.
Además incluye las consideraciones para el manejo de ordenadores portátiles y teletrabajo.

A.10 Criptografía
Objetivo: Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad
y/o integridad de la información.

La introducción de algún control tiene que determinarse siempre conforme a la identificación de cualquier riesgo
que la empresa no asume, y cuya inversión no puede llegar a más que el valor del activo el cual se protege, por lo
que entonces no llegaría a ser rentable.
A.11 Seguridad Física y Ambiental
Objetivo: Impedir acceso físico no autorizado, daño e interferencia a la información y a las instalaciones de
procesamiento de la información de la organización.

Los instalaciones que estén involucradas con los activos de información deben cumplir con las normas de
seguridad física y ambiental, para garantizar que la información manejada en éstas permanezca siempre
protegida de accesos físicos por parte de personal no autorizado o por factores ambientales que no se puedan
controlar.

A.12 Seguridad en las Operaciones

Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la información sean correctas y
seguras.
A.13 Seguridad en las Comunicaciones
Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de
procesamiento de la información de apoyo.

Manejo de los Medios

Evitar la divulgación, modificación, retiro o destrucción de activos no autorizada, y la
interrupción en las actividades del negocio. Estos medios se deberían controlar y proteger de
forma física. Intercambio de la Información Mantener la seguridad de la información y del
software que se intercambian dentro de la organización y con cualquier entidad externa.

Intercambio de la Información
Mantener la seguridad de la información y del software que se intercambian dentro de la
organización y con cualquier entidad externa.
A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas
Objetivo: Garantizar que la seguridad de la información es una parte integral de los sistemas de
información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de
información que proporcionen servicios sobre redes públicas.
Este domino está dirigido a aquellas organizaciones que desarrollen software internamente o que tengan
un contrato con otra organización que sea la encargada de desarrollarlo. Se tiene que establecer los
requisitos en la etapa de implementación o desarrollo del software para que sea seguro.

A.15 Relaciones con Proveedores

Objetivo: Asegurar protección a los activos de la organización que son accesibles por los proveedores.

(RSE) Responsabilidad Social Empresarial: “Hacer negocios basados en principios ético y apegados a la ley .
La empresa (no el empresario) tiene un rol ante la sociedad, ante el entorno en el cual opera.
A.16 Gestión de Incidentes de Seguridad de la Información
Objetivo: Asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad de la información,
incluyendo la comunicación sobre eventos de seguridad y debilidades.

Un incidente de seguridad es un evento o un conjunto de eventos, no deseados o no esperados, que tienen una
probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la información.

El procedimiento de gestión de incidencias debe documentar cláramente los roles y responsabilidades de los actores
participantes.
A.17 Aspectos de la Seguridad de la Información
dentro de la Continuidad
el Negocio
Objetivo: La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de
continuidad del negocio de la organización.

A.18 Cumplimiento
Objetivo: Evitar infracciones de las obligaciones legales, estatutarias , regulatorias o contractuales relacionadas
a la seguridad de la información y a cualquier requisito de seguridad.