05) Surez, D. (2008). IS0 27000: Garantizar la seguridad de la informacin.

Revista Normas y
Estndares, No. 25, septiembre 2008, pp. 114-115.

114

Normas y Estndares

ISO 27000: Garantizar la

Seguridad de la Informacin
LA IMPLANTACIN DE ESTA NORMA OFRECE GARANTAS DE PROTECCIN DE LA
INFORMACIN PARA LAS EMPRESAS Y SUS CLIENTES

Dinnorah
Surez
DIRECTORA GENERAL
Genera, Formacin y
Consultora
GRUPO IFO, Instituto de
Formacin Online

Medio y frica), Espaa ocupaba el

en la Ley de Proteccin de Datos

segundo puesto, precedida

(LOPD), pudiendo por lo tanto

nicamente por Alemania, con el

fusionarse todos ellos dentro de un

mayor nmero de ordenadores

modelo de gestin cuyo eje principal

infectados por bots o programas

es proteger la informacin que se

informticos que realizan diversas

trata da a da.

funciones imitando el comportamiento

del ser humano.
Estos alarmantes datos hacen que la

odas las organizaciones,

Para poder obtener un nivel ptimo

de seguridad, es necesario considerar
aspectos que van ms all de la mera

implantacin de Sistemas de Gestin

instalacin de un firewall o corta

de la Seguridad de la Informacin

fuegos. Es imprescindible, como en

independientemente de su

todo sistema de gestin que se precie,

tamao, sector de actividad,

la implicacin del personal en la

o localizacin geogrfica, poseen una

preocupacin comn: la necesidad de
preservar y custodiar de manera
adecuada la informacin que manejan,
llegando a ser sta en muchos casos
factor determinante para su
consolidacin y continuidad en el
mercado actual, fidelizando al crear
confianza entre los clientes.
Sin embargo, el desarrollo de las
Tecnologas de la Informacin, con el

Disponibilidad,
Confidencialidad e
Integridad son la clave de la
Seguridad de la Informacin
de cualquier tipo de
organizacin

consecuente crecimiento de las redes

implantacin de los distintos

dispositivos y procesos, relacionados
tanto con la actividad o negocio, como
con los propios datos que se manejan,
la integracin de las TI, el grado de
seguridad de las instalaciones, el
know how o saber hacer, y cmo no,
la formacin y sensibilizacin de todos
los trabajadores (incluyendo la
direccin). Esto, en definitiva, forma
parte de un SGSI.
En cuanto a la Pymes, Fundetec

digitales, hace que hoy en da la

destaca en su ltimo informe que

informacin se vea continuamente

alrededor de un 95% de las pequeas

amenazada por diversos factores:

(SGSI) se convierta en un factor

y medianas empresas afirman haber

virus, gusanos, piratas informticos,

decisivo a la hora de garantizar la

implantado un sistema de seguridad,

que acechan los sistemas informticos

supervivencia de las empresas

pero sin haber realizado previamente

tras cada clic de ratn.

espaolas a travs de la diferenciacin,

un anlisis de los puntos crticos a

aportando a la vez un valor aadido.

considerar. Este hecho puede llevar a

Symantec Corp public el pasado

septiembre su informe sobre

Disponibilidad, Confidencialidad e

engao al empresario y a su equipo al

Amenazas a la Seguridad en Internet

Integridad son la clave de la

desconocer sus debilidades y los

correspondiente al primer semestre de

Seguridad de la Informacin de

mtodos de proteccin necesarios

2007, en el que destac que dentro

cualquier tipo de organizacin,

para salvaguardar su negocio de los

de la regin EMEA (Europa, Oriente

conceptos que se manejan igualmente

actuales peligros.

n 25
septiembre 2008

Material compilado con fines acadmicos, se prohbe su reproduccin total o parcial sin la autorizacin de cada autor.

115

Normas y Estndares
La necesidad de la certificacin
A travs de la familia de normas de
la serie ISO 27000, las empresas
asegurarn ante sus grupos de inters
(principalmente a partners, clientes,
trabajadores, proveedores, etc.), que
han implementado medidas para
garantizar una adecuada gestin de la
seguridad de la informacin que
tratan.
de seguridad en el mbito empresarial

estar formado por representantes de

formar parte de los requisitos a

As, la ISO 27001 podr llegar a

comienza a considerarse con la

todas las reas de la

cumplir, por parte de las

seriedad y rigurosidad que se merece.

empresa/institucin que se vean

organizaciones, ante entidades,

A corto plazo, con toda probabilidad,

afectadas por el SGSI, liderado por la

organismos y administracin pblica,

pasar a ser un factor imprescindible

direccin y asesorado por consultores

de cara a garantizar un adecuado

en la gestin interna de las

externos especializados en Seguridad

tratamiento de la informacin que

organizaciones. Por ello, empresas

Informtica, Derecho de las Nuevas

manejan, asegurando niveles

consultoras especializadas ofrecen sus

Tecnologas, Proteccin de Datos y

concretos y adecuados de seguridad

servicios para realizar implantaciones

Sistemas de Gestin,

para interrelacionar sistemas de

y auditoras internas de los SGSI, con

clientes, control de stocks,

el fin de que cada vez sean ms las

norma en una organizacin de tamao

facturacin, pedidos, productos, etc.

entidades certificadas en el estndar

medio oscila entre los seis y los doce

ISO 27.001.

meses, en funcin del grado de

Desde hace relativamente poco

tiempo, la implantacin de sistemas
de gestin relacionados con aspectos

El equipo destinado a la
implantacin de la ISO 27001 debe

El tiempo de implantacin de esta

avance en materia de Seguridad de la

Informacin y de su alcance.

Familia ISO 27000

A semejanza de otras familias de normas ISO, la 27000 est
formada por:
 ISO 27000: Contendr trminos y definiciones que se
emplean en toda la serie 27000. La aplicacin de
cualquier estndar necesita de un vocabulario claramente
definido.
 ISO 27001. Es la norma principal de la serie y contiene los
requisitos del Sistema de Gestin de Seguridad de la
Informacin. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla
la ISO 27002:2005 para que sean seleccionados por las
organizaciones en el desarrollo de sus SGSI.
 ISO 27002: Desde el 1 de Julio de 2007. Es una gua de
buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a Seguridad de la
Informacin. No es certificable.
 ISO 27003: Consistir en una gua de implementacin de
SGSI e informacin acerca del uso del modelo PDCA y de
los requerimientos de sus diferentes fases.
 ISO 27004: Especificar las mtricas y las tcnicas de
medida aplicables para determinar la eficacia de un SGSI y
de los controles relacionados.

 ISO 27005: Consistir en una gua de tcnicas para la gestin

del riesgo de la Seguridad de la Informacin y servir, por

tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI.
 ISO 27006: Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de Sistemas de Gestin
de Seguridad de la Informacin.
 ISO 27007: Consistir en una gua de auditora de un SGSI.
 ISO 27011: Consistir en una gua de gestin de seguridad
de la informacin especfica para telecomunicaciones.
 ISO 27031: Consistir en una gua de continuidad de
negocio en cuanto a tecnologas de la informacin y
comunicaciones.
 ISO 27032: Consistir en una gua relativa a la ciberseguridad.
 ISO 27033: Es una norma consistente en 7 partes: gestin
de seguridad de redes, arquitectura de seguridad de redes,
escenarios de redes de referencia, aseguramiento de las
comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante
VPNs y diseo e implementacin de seguridad en redes.
 ISO 27034: Consistir en una gua de seguridad en aplicaciones.
 ISO 27799: Es un estndar de gestin de seguridad de la
informacin en el sector.

n 25
septiembre 2008