RESPONDA INDIVIDUALMENTE EL SIGUIENTE CUESTIONARIO, UTILICE PARA ELLO LA

BIBLIOGRAFÍA Y MATERIALES DE APOYO DEL CURSO, ENTRE ELLOS LAS NORMAS ISO 19011,
ISO 27001, ISO 27002, ENTREGADAS EN CLASE.
1. ¿Qué es la serie ISO 27000?
A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier
tipo de organización, pública o privada, grande o pequeña 1.

2. ¿Cuáles son los rangos de numeración reservados por ISO para la serie 27000?
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando
la serie formalmente en estos momentos.

La serie de normas de referencia y su estado de aprobación de Ediciones (entre paréntesis) a lo largo del tiempo
se indican a continuación:

a) Año 2005: g) Año 2012:

o 27001 (Ed 1). o 27033-2 (Ed 1)
b) Año 2007: o 27037 (Ed 1)
o 27002 (Ed o 27013 (Ed 1)
17799:2005) o 27010 (Ed 1)
c) Año 2008: o 27015 (Ed 1)
o 27799 (Ed 1) o 27000 (Ed 2)
o 27005 (Ed 1) h) Año 2013:
o 27011 (Ed 1) o 27014
d) Año 2009: o 27016
o 27000 (Ed 1) o 27017
o 27004 (Ed 1) o 27018
o 27033 (Ed 1) o 27019
e) Año 2010: o 27036
o 27003 (Ed 1) o 27038
o 27033-3 (Ed 1) o 27039
f) Año 2011: i) Año 2014:
o 27031 (Ed 1) o 27033-4
o 27005 (Ed 2) o 27033-5
o 27035 (Ed 1)
o 27008 (Ed 1)
o 27007 (Ed 1)
o 27006 (Ed 2)
1 http://www.iso27000.es/iso27000.html
 o 27040-442

2
http://www.iso27000.es/iso27000
.html
3. En la composición de la familia de normas ISO 27000 defina:
a. ISO 27001
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.

b. ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11
dominios.

c. ISO 27003
No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación
con éxito de un SGSI de acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño desde la
concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de
aprobación por la dirección para implementar un SGSI.

d. ISO 27006
Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de
seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades
que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de
auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001:2005 y los
SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

e. ISO 27011
Es una guía de interpretación de la implementación y gestión de la seguridad de la información en
organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002.

f. ISO 27032
Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de
esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad,
seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP).

g. ISO 27035
Proporciona una guía sobre la gestión de incidentes de seguridad en la información. 3

4. ¿Cuál es el origen de ISO 27001?

3 http://www.iso27000.es/iso27000.html
Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican
por auditores externos los SGSIs de las organizaciones. 4

5. ¿Qué se obtiene implementando ISO 27001?

Permite asegurar de un modo eficaz todos los datos importantes de la empresa, tanto financieros como
confidenciales, eliminando o minimizando el riesgo de accesos ilegales o sin permiso de terceros que podrían
realizar un mal uso de dicha información.

La ISO 27001 es una norma certificable, lo que permite a las organizaciones demostrar su compromiso y
conformidad con los mejores estándares y prácticas en materia de seguridad de la información, generando
confianza en clientes y proveedores. Esto implica un buen número de beneficios adicionales:

 Comunicar a clientes, proveedores y grupos de interés que la seguridad es una de las prioridades de la
empresa.
 Identificar los principales riesgos en materia de seguridad informática y establecer controles para
gestionarlos o eliminarlos.
 Clasificar los riesgos en función de su gravedad y posibilidades reales de que se lleguen a producir.
 Adaptar y alinear los controles a todas las áreas de la empresa.
 Crear confianza en los clientes y partes interesadas de que sus datos están debidamente protegidos.
 Cumplir con los requisitos y demostrar conformidad y compromiso con los mismos.
 Cumplimiento de las leyes y reglamentos pertinentes reduciendo así la posibilidad enfrentarse a multas
y sanciones.
 Proporcionar el marco más adecuado para la gestión de la seguridad de la información.
 Proteger la reputación de la empresa.
 Ahorrar costes por la reducción de incidentes.
 Implementar procedimientos para permitir la detección oportuna y a tiempo de brechas de seguridad.
 Asegurar que los usuarios que sí están autorizados tengan acceso a la información en el momento en
que lo necesitan.
 Conseguir ventaja competitiva.
 Se fortalece la organización interna y los procesos de mejora continua. 5

6. ¿Cuál es la diferencia entre ISO 27001 e ISO 27002?

La diferencia está en que la ISO 27002 no distingue entre los controles que son aplicables a una organización
determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realización de una evaluación de riesgos
sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qué
punto deben aplicarse.6

4 http://www.iso27000.es/iso27000.html
5 https://www.isotools.org/2015/09/08/beneficios-de-aplicar-la-norma-iso-27001/
6 https://advisera.com/27001academy/es/knowledgebase/diferencias-y-similitudes-entre-iso-27001-e-iso-27002/
7. ¿Quién debe promover la implantación de ISO 27001 en la empresa?
La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan
minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Dirección quien debe tomar
decisiones.

Además, la implantación de ISO 27001 implicará cambios de mentalidad, de sensibilización, de procedimientos y

tareas, etc., y la Dirección es la única que puede introducirlos en la organización.

Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es posible la implantación ni la
certificación de la norma en la empresa.7

8. ¿Qué tipo de empresas pueden optar por la certificación en ISO 27001?

El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de
pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones,
servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y
gobiernos entre otros.

En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información,

como prueba del compromiso con la seguridad de los datos de sus clientes. 8

9. ¿Qué aporta la ISO 27001 a la seguridad de la información de una empresa?

Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con
el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.

Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones
innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa,
por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste
más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio
interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y
responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la
respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc. 9

10. ¿Qué tiene que ver ISO 27001 con ISO 17799?
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 (Anteriormente denominada
ISO 17799) para su posible aplicación en el SGSI que implante cada organización (justificando, en el documento
denominado “Declaración de Aplicabilidad”, los motivos de exclusión de aquellos que finalmente no sean
necesarios). ISO 27002 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la
seguridad de la información.

7 http://www.iso27000.es/faqs.html
8 http://www.iso27000.es/faqs.html
9 http://www.iso27000.es/faqs.html
A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO 27002:2005, cambiando únicamente su
nomenclatura.10

11. ¿Puedo certificar mi empresa en ISO 17799?

ISO 27002 (Anteriormente denominada ISO 17799) es un conjunto de buenas prácticas de seguridad de la
información que describe 133 controles aplicables.

No es certificable, al igual que su norma antecesora BS 7799-1, y la aplicación total o parcial en cada
organización se realiza de forma totalmente libre y sin necesidad de una supervisión regular externa.

La norma que sí es certificable es ISO 27001, como también lo fue su antecesora BS 7799-2. 11

12. ¿Qué es la norma BS 25999-2?

La BS 25999-2 era una norma británica publicada en 2007, y rápidamente se convirtió en la norma principal para
la gestión de la continuidad del negocio: fue reemplazada por ISO 22301 en 2012.

Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que definen los sistemas de gestión, la
BS 25999-2 también define un sistema de gestión de la continuidad del negocio que contiene las mismas cuatro
fases de gestión: planificación, implementación, revisión y supervisión; y por último, mejora. El objetivo de estas
cuatro fases es que el sistema se actualice y mejore permanentemente para que sea útil si se produjera un
desastre.12

13. ¿Por qué mencionar conjuntamente las normas ISO 27001 e ISO 22301?
ISO 27001 define la gestión de seguridad de la información, que también incluye la gestión de la continuidad del
negocio. Sin embargo, ni ISO 27001 ni ISO 27002 describen cómo se debe implementar la gestión de la
continuidad del negocio, por eso es mejor utilizar ISO 22301 (anteriormente BS 25999-2) con este objetivo.
Además, las normas ISO 27001 e ISO 22301 contienen elementos que son casi idénticos (gestión de
documentación, auditorías internas, revisión por parte de la dirección, medidas correctivas y preventivas); por
eso estas normas son completamente compatibles. 13

14. ¿Es posible implementar ISO 22301 sin ISO 27001?

Sí. En ese caso, el énfasis estará sobre cómo garantizar la disponibilidad de la información y los procesos de
negocio ante el caso de un desastre, etc. pero sin garantizar la confidencialidad e integridad de la información. 14

15. Si hemos implementado ISO 9001, ¿Se puede utilizar algo de ella para ISO 27001?

10 http://www.iso27000.es/faqs.html
11 http://www.iso27000.es/faqs.html
12 https://advisera.com/27001academy/es/what-is-bs-25999/
13 https://advisera.com/27001academy/es/faqs/
14 https://advisera.com/27001academy/es/faqs/
Si. Algunas partes de ISO 27001, ISO 22301 (ex BS 25999-2) e ISO 9001 son prácticamente las mismas; por
ejemplo, gestión de documentación, auditorías internas, revisión por parte de la dirección y medidas correctivas.
Si se utilizaron los procedimientos mencionados para ISO 9001, también pueden ser utilizados para ISO 27001 o
ISO 22301 con algunas mínimas modificaciones. Es decir, a las organizaciones que ya han implementado ISO
9001 les será más sencillo implementar ISO 27001 o ISO 22301 (y viceversa). 15

16. ¿Es necesario implementar ISO 27001 o ISO 22301 en toda la organización?
No. Es posible establecer un alcance de la implementación para una parte de la organización solamente; esto
tiene sentido en organizaciones de gran envergadura que funcionan en diferentes ubicaciones y/o en diferentes
países. Para las organizaciones pequeñas, cuya actividad comercial se desarrolla en menor cantidad de
ubicaciones, es mejor implementar la norma para toda la organización. 16

17. ¿Qué se necesita para obtener la certificación ISO 27001?

Debe tener todos los documentos prescriptos por la norma y debe realizar al menos una auditoría interna y una
revisión por parte de la dirección. Pero, fundamentalmente, debe implementar realmente los requerimientos de la
norma y los establecidos en su propia documentación ya que durante la certificación, el auditor verificará hasta
qué punto se han materializado el sistema de seguridad de la información y/o de continuidad del negocio en su
empresa.17

18. El auditor encontró una no conformidad grave durante la auditoría de certificación.

a. ¿Esto significa que no tenemos posibilidades de obtener la certificación?
No. Si soluciona esta no conformidad, la entidad de certificación emitirá un certificado. Es muy importante que
solucione esa no conformidad dentro del plazo establecido y de manera que sea aceptable para el auditor. 18

19. ¿Qué es SGSI?

Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con
una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información.

El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –que nunca

podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua,
repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las
tecnologías.19

20. La versión 2013 del estándar ISO 27001:2013

a. ¿Cuántas cláusulas de control tiene?
15 https://advisera.com/27001academy/es/faqs/
16 https://advisera.com/27001academy/es/faqs/
17 https://advisera.com/27001academy/es/faqs/
18 https://advisera.com/27001academy/es/faqs/
19 http://www.iso27000.es/faqs.html
Contiene 10 Cláusulas.20

b. ¿Cuántos controles?
Contiene 114 controles.21

c. ¿Cuántos objetivos de control?

Contiene 14 dominios y 35 objetivos de control. 22

21. Enumere los capítulos que conforman la estructura de la norma ISO 27001

a) 0 Introducción
b) 1. Alcance
c) 2. Referencias normativas
d) 3. Términos y definiciones
e) 4. Contexto de la organización
f) 5. Liderazgo
g) 6. Planeación
h) 7. Soporte
i) 8. Operación
j) 9. Evaluación del desempeño
k) 10. Mejora

20 http://www.magazcitum.com.mx/?p=2397&cpage=1#.W-Yx-9JKi1s
21 https://www.pmg-ssi.com/2017/04/dominios-iso-27001-2013/
22 https://www.pmg-ssi.com/2017/04/dominios-iso-27001-2013/
l) Anexo A.23

23 http://www.magazcitum.com.mx/?
p=2397&cpage=1#.W-Yx-9JKi1s
22. ¿Cuáles requisitos son de obligatorio cumplimiento?
ISO 27001 requiere que se confeccione la siguiente documentación:

 Alcance del SGSI (punto 4.3)  Uso aceptable de los activos (punto A.8.1.3)
 Objetivos y política de seguridad de la  Política de control de acceso (punto A.9.1.1)
información (puntos 5.2 y 6.2)  Procedimientos operativos para gestión de
 Metodología de evaluación y tratamiento de TI (punto A.12.1.1)
riesgos (punto 6.1.2)  Principios de ingeniería para sistema seguro
 Declaración de aplicabilidad (punto 6.1.3 d) (punto A.14.2.5)
 Plan de tratamiento de riesgos (puntos 6.1.3  Política de seguridad para proveedores
e y 6.2) (punto A.15.1.1)
 Informe de evaluación de riesgos (punto  Procedimiento para gestión de incidentes
8.2) (punto A.16.1.5)
 Definición de roles y responsabilidades de  Procedimientos para continuidad del
seguridad (puntos A.7.1.2 y A.13.2.4) negocio (punto A.17.1.2)
 Inventario de activos (punto A.8.1.1)  Requisitos legales, normativos y
contractuales (punto A.18.1.1)

Y estos son los registros obligatorios:

 Registros de capacitación, habilidades,  Resultados de la revisión por parte de la

experiencia y calificaciones (punto 7.2)
 Monitoreo y resultados de medición (punto
9.1)
 Programa de auditoría interna (punto 9.2)
 Resultados de auditorías internas (punto
9.2)
dirección (punto 9.3)
 Resultados de medidas correctivas (punto
10.1)
 Registros sobre actividades de los usuarios,
excepciones y eventos de seguridad
(puntos A.12.4.1 y A.12.4.3)

Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad adicionales si lo
considera necesario.24

23. ¿Qué es la ONAC?

El Organismo Nacional de Acreditación de Colombia - ONAC es una corporación sin ánimo de lucro, regida por el
derecho privado, constituida en 2007 y que por disposición estatutaria se organizó bajo las leyes colombianas
dentro del marco del Código Civil y las normas sobre ciencia y tecnología.

ONAC tiene como objeto principal acreditar la competencia técnica de Organismos de Evaluación de la
Conformidad, ejercer como autoridad de monitoreo en buenas prácticas de laboratorio de la Organización para la
Cooperación y el Desarrollo Económico (OCDE) y desempeñar las funciones de Organismo Nacional de

24 https://advisera.com/27001academy/es/que-es-iso-27001/
Acreditación de Colombia, conforme con la designación contenida en el capítulo 26 del Decreto 1074 de 2015 y
las demás normas que los modifiquen, sustituyan o complementen. 25

24. ¿Qué es lo mínimo que debe contener una política de seguridad de la información?
La redacción del documento de política de Seguridad de la Información según ISO 27001, suele ser una labor
que genera controversia al interior de la organización. Y lo es, porque se tiende a creer que este documento, en
cumplimiento de la norma, deben estar contemplados todos los aspectos que atañen a la seguridad de la
información, de forma directa o indirecta.

La norma no plantea grandes exigencias a la hora de elaborar el documento de política de Seguridad de la

Información. Algunas de las observaciones relacionadas con el tema, y contenidas en la norma, son las
siguientes:

 Adaptabilidad

La organización no debe adaptarse a un documento. La política debe adaptarse a los requerimientos de la

organización. Por ello, se descarta la opción de copiar el documento de otra organización, más aún, si
tenemos en cuenta que son diferentes los requerimientos de un fabricante industrial que los de una gran
tienda virtual.

 Definición de los objetivos

El documento precisa definir los objetivos de seguridad de la información, su forma de aprobación y la

manera en que han de ser revisados, sin entrar en detalles acerca de estos procesos.

 Compromiso

Es tal vez la parte introductoria del documento. La Alta Dirección de la organización debe expresar sin lugar
a dudas, su compromiso total con el sistema y con su propósito final, que no debe ser otro que cumplir con
los requerimientos en materia de seguridad de la información de las partes interesadas en el sistema.

 Comunicación

El documento debe establecer quién o quiénes son los encargados de comunicar a las partes interesadas los
alcances y la evolución del sistema, no solo durante la implementación del mismo, sino en adelante, en la
medida en que se presenten revisiones, actualizaciones o mejoras.

 Revisiones

La política de Seguridad de la Información según ISO 27001, debe ser revisada en forma periódica, y estas
revisiones, así como los responsables de las mismas, y los periodos de tiempo en los que se efectuarán, son
temas que se deben incluir en el documento.

25 https://onac.org.co/presentacion
Es claro, a la luz de lo expuesto hasta este punto, que la política de Seguridad de la Información no debe ser un
documento extenso que contenga los pormenores de los procesos, las verificaciones o las auditorías del sistema .
Estos propósitos los cumplen otros documentos accesorios del sistema, como la política de control de acceso, la
de uso aceptable o la de clasificación. Mayor brevedad, a veces, como en este caso, puede representar mayor
precisión y claridad.26

25. Los activos de una organización para su identificación. ¿Qué deben tener?
Un requisito de la norma ISO 27001, incluido en la lista de Controles del Anexo A, es la correcta gestión de los
Activos de Información que dan soporte a los diferentes procesos de la organización. Esta gestión comprende
desde su identificación por medio de un inventario, fijar un responsable o Propietario de cada activo, determinar
los usos correctos y adecuados de cada uno de ellos, y su recuperación cuando sea necesario para evitar su
pérdida o difusión no controlada.27

26 https://www.isotools.org/2017/04/09/incluir-la-politica-seguridad-la-informacion-segun-iso-27001/
27 https://isowin.org/blog/activos-ISO-27001/