Nombre: Jael Armas Moreira Curso: Ing.

de Software Fecha: 11 dic 2018

Normas ISO en Seguridad Informática

Introducción:
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.
La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es
ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la
norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro,
privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en
el tema y proporciona una metodología para implementar la gestión de la seguridad de la
información en una organización. También permite que una empresa sea certificada; esto
significa que una entidad de certificación independiente confirma que la seguridad de la
información ha sido implementada en esa organización en cumplimiento con la norma ISO
27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la

información y muchas empresas han certificado su cumplimiento

Desarrollo:
Las normas ISO son normas o estándares de seguridad establecidas por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que
se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables
a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el
comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.

En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad

(desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la
seguridad.

Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar,

implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o
pequeña.
La seguridad de la información, según la ISO 27001, se basa en la preservación de su
confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su
tratamiento.

Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o

procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de

proceso.

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma

por parte de los individuos o procesos autorizados cuando lo requieran.

Las normas ISO de Gestión de la Seguridad de la Información se denominan familia de normas

ISO 27000 y son las siguientes:

ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Es la norma con arreglo a la cual se certifican por auditores
externos. Su Anexo A, enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI. Esta norma está publicada en España como UNE-ISO/IEC 27001:2007.
Otros países donde también está publicada en español son, por ejemplo, Colombia, Venezuela
y Argentina.

ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.

ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información.
Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de
gestión de riesgos.

ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación
de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de
gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a
interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de
certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta
norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.

ISO 27000: Tecnología de la Información. Técnicas de Seguridad. Sistema de Gestión de la

Seguridad de la Información (SGSI). Generalidades y vocabulario.

ISO 27003: Sistema de Gestión de la Seguridad de la Información (SGSI). Guía de implantación.

ISO 27004: Tecnología de la información. Técnicas de Seguridad. Gestión de la Seguridad de la

Información. Métricas.

ISO 27007: Tecnología de la información. Técnicas de Seguridad. Guía de auditoría de un SGSI.

Iniciadas las votaciones al DIS (cinco meses)
UNE-EN ISO 27799:2010 Informática sanitaria. Gestión de la seguridad de la información en
sanidad utilizando la Norma ISO/IEC 27002 (ISO 27799:2008)

Conclusión:
Con la implementación de un Sistema de Gestión de la Seguridad de la Información y con la
obtención de la certificación, una empresa desarrolladora de software puede obtener un
aumento de la base de clientes potenciales y ventas a través de la satisfacción de solicitudes
contractuales específicas, protección del valor de las inversiones en IT, reducción de los riesgos
de pérdida de reputación, promoción de la recuperación de daños / continuidad del negocio,
formalización del inventario de recursos, Inclusión de mejoras continuas en los procesos de
Seguridad de la Información sensible y asistencia a los auditores financieros externos y
simplificación del proceso de auditoría.

Referencias:
[1] Antonio Jose Segovia, Advisera, ¿Qué es norma ISO 27001?, 2018, disponible en:

https://advisera.com/27001academy/es/que-es-iso-27001/

[2] Aula Mentor, Gobierno de España, Normas ISO sobre gestión de seguridad de la información,
2018, disponible en:

http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso_sobre_
gestin_de_seguridad_de_la_informacin.html

[3] Fundibeq, ISO – Seguridad de la información, 2018, disponible en:

http://www.fundibeq.org/informacion/infoiso/iso-seguridad-de-la-informacion