Que es la ISO 27000

Es una familia de estándares internacionales para Sistemas de Gestión de la
Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la
seguridad de la información
Esta norma contiene términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información.
Este estándar internacional ha sido preparado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la Información (SGSI).
Este estándar promueve la adopción de un enfoque del proceso para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una
organización.

Gobierno de la ISO 27000
A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de estándares
desarrollados -o en fase de desarrollo- por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de gestión
de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con
otras normas de la serie 27k pero también con otros sistemas de gestión.
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España)
es responsable de la publicación de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO 14001
- BS 8800. Publicada en 1996. Origen de OHSAS 18001.

BSI publicó la BS 7799-3:2006. Es la segunda parte (BS 7799-2). posteriormente a la publicación de ISO 27001:2005. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas. se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. Asimismo. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO. como ISO 17799 en el año 2000. centrada en la gestión del riesgo de los sistemas de información. con algunos cambios. ISO ha continuado.un conjunto de buenas prácticas para la gestión de la seguridad de su información. desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007. Al tiempo se revisó y actualizó ISO 17799. manteniendo el contenido así como el año de publicación formal de la revisión. para la que no se establecía un esquema de certificación. con más de 1700 empresas certificadas en BS 7799-2. con objeto de proporcionar a cualquier empresa -británica o no. esta norma se publicó por ISO. publicada por primera vez en 1998. En 2002. y continúa aún. sin cambios sustanciales. la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Definición de normas de auditoria de la ISO27000 ISO 27001 . En Marzo de 2006.La norma BS 7799 de BSI apareció por primera vez en 1995. En 2005. que es la norma principal y única certificable dentro de la serie. como estándar ISO 27001.

ISO 27006 . ISO 27005 Establece las directrices para la gestión del riesgo en la seguridad de la información. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. ISO 27002 Es el nuevo nombre de ISO17799:2005. ISO 27002 ISO 27003 Consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. agrupados en 11 dominios. ISO 27004 Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. Contiene 39 objetivos de control y 133 controles.Publicada el 15 de Octubre de 2005. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. No es certificable. manteniendo 2005como año de edición.

Es la norma de acreditación que guía a los organismos de certificación en los procesos formales que deben seguir al auditar Sistemas de Información de sus clientes Gestión de la Seguridad (SGSI) en contra de la norma ISO / IEC 27001 para certificar o registrarlos compatible.Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. ISO 27011 Esta guía de implementación de SGSI para la industria de Telecomunicaciones fue desarrollado conjuntamente por la UIT-T e ISO / IEC JTC 1 / SC 27. operar. una situación simple requiere una solución SGSI simple. Esta Recomendación especifica los requisitos para establecer. mantener y mejorar un sistema documentado de gestión de seguridad de la información (SGSI) en el contexto de los riesgos de negocio globales de la telecomunicación. monitorear. requerimientos de seguridad. monitorear. ISO 27031 ISO / IEC 27031 proporciona orientación sobre los conceptos y principios que sustentan el papel de la tecnología de la información y las comunicaciones para asegurar la continuidad del negocio.1051 e ISO / IEC 27011. Como resultado Se espera que estos y sus sistemas de apoyo cambien con el transcurso del tiempo. revisar. Se espera que la implementación de un SGSI se extienda en concordancia con las necesidades de la organización. revisar. con el texto idéntico siendo publicado tanto como la UIT-T X. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos. mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). implementar. Especifica los requisitos para la aplicación de controles de seguridad a medida de las necesidades de telecomunicaciones individuales o partes de los mismos ". operar. implementar. ISO 27007 Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer. El estándar: . por ejemplo. los procesos empleados y el tamaño y estructura de la organización.

diseño y detalles de implementación. y sus interconexiones. ISOI / IEC 27033 proporciona orientación detallada sobre la aplicación de los controles de seguridad de red que se introducen en la norma ISO / IEC 27002 . definida como la "preservación de la confidencialidad. la seguridad y. "[Citado de la FCD de 27033-1]. Identifica y especifica todos los aspectos pertinentes. y seguridad de la red. dispuestos a sobrevivir a un desastre de una manera coherente y reconocido. incluidos los criterios de rendimiento. Aquellos individuos dentro de una organización que son responsables de seguridad de la información en general. que no existe en ningún físico forma”. ISO 27032 Oficialmente. Permite una organización para medir su continuidad TIC. A su vez "el ciberespacio" (completo con artículo definido) se define como "el entorno complejo que resulta de la interacción de las personas. por tanto. ayudando a asegurar la continuidad del negocio.Sugiere una estructura o marco (en realidad un conjunto de métodos y procesos) para cualquier organización . ISO 27033 El propósito de la norma ISO / IEC 27033 es proporcionar una guía detallada sobre los aspectos de seguridad de la gestión. deben ser capaces de adaptar el material en este estándar para satisfacer sus necesidades específicas. para mejorar la preparación de las TIC como parte del SGSI de la organización. el funcionamiento y el uso de redes de sistemas de información. además de seguridad de la información que se transfiere a través de enlaces de comunicaciones. en particular. la norma ISO / IEC 27032 direcciones "ciber seguridad" o "seguridad ciberespacio". ISO 27034 . Se aplica a la seguridad de los dispositivos conectados en red y la gestión de su seguridad. software y servicios en Internet a través de redes y dispositivos conectados a la misma tecnología.privado. aplicaciones de redes / servicios y los usuarios de la red. gubernamental y no gubernamental. integridad y disponibilidad de la información en el ciberespacio".

Definición de estándares de auditoria de la ISO 27000 La ISO 27000 En fase de desarrollo. pero no es una norma de acreditación por sí misma. El objetivo es garantizar que las aplicaciones informáticas proporcionan el nivel deseado o necesario de seguridad en apoyo del Sistema de Gestión de Seguridad de la Información de la organización. (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001. que se aborden adecuadamente muchos riesgos de seguridad de las TIC. gerentes de negocios y de TI. Es decir. desarrolladores y auditores. implementación y uso de sistemas de aplicación. es decir. Especifica los requerimientos para la implementación de los controles de seguridad de la información Personalizada para las necesidades de la organización. implementar. ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001. Especifica los requerimientos para establecer. el diseño y la programación o la adquisición. ISO/IEC 27006 Especifica Técnicas de seguridad Y los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. es realmente una serie de estándares. Esos sistemas están sujetos a la familia de estándares ISMS Estándares de requerimientos específicos ISO/IEC 27001 sistema de gestión de seguridad de la información Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. . El Sistema de gestión de la seguridad de la información o ISMS familia de estándares consiste en estándares inter relacionados ya publicados o en desarrollo y contiene un numero significante de componentes El propósito de la iso 27000 es describir la dirección de los sistemas de seguridad de la información. los usuarios finales de las TIC. operar y monitorear los sistemas de gestión de seguridad de la información.ISO / IEC 27034 ofrece una guía sobre seguridad de la información a las que especifican. y en última instancia.

incluyendo la comprobación de la conformidad técnica de los controles del sistema de información. objetivos de control y controles usados para implementar y controlar la seguridad de informacion especificadas en la ISO 27001. ISO/IEC 27007 Consiste en una Guía de auditoria de un SGSI conocida como guía en la competencia de los auditores de sistemas de gestión de seguridad de la información. ISO/IEC 27004 Provee una guía y consejos en el desarrollo y uso de las medidas en orden de determinar la eficacia de un SGSI .Estándar que describe las guias generales ISO/IEC 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO/IEC 27003 Guía de implementación de la gestión de sistemas de seguridad de la información para establecer implementar operar monitorear los requerimientos de sus diferentes fases. en cumplimiento con los estándares de seguridad de informacion establecidos por la organización. Provee una guía en la implementación en los controles de seguridad de la información. Provee una guía para conducir una auditoria interna o externa según las necesidades de la organización. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. ISO/IEC 27008 Reporte técnico que provee una guía para revisar la implementación y operaciones de control. similitudes y diferencias de la (ISO 27001-2005 gestion de seguridad de la información) y de (ISO 20000-1 Gestión de servicios TI) ISO/IEC 27014 . ISO/IEC 27013 Provee a las organizaciones con un mejor entendimiento de las características. ISO/IEC 27005 Establece las guias para la gestión del riesgo en la seguridad de la información.

ISO/IEC TR 27015 Es una guía del SISTEMA DE GESTION DE SEGURIDAD DE IINFORMACION orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. tanto públicas como privadas. NORMAS QUE DESCRIBEN GUIAS ESPECÍFICAS DEL SECTOR ISO/IEC 27010 Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. En particular. dentro de la misma industria o sector de mercado o entre sectores. mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. ISO/IEC 27016 Reporte técnico que proveerá una metodología permitiendo a las organizaciones un mejor entendimiento económico y una valoración de los aspectos financieros de la seguridad de la información. en el cual las organizaciones pueden evaluar dirigir y monitorear la gestión de seguridad de información. ISO/IEC 27011 Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensibles. . valorara los riesgos potenciales de los activos de información y determina el nivel óptimo de recursos a ser aplicados en aquellos activos de información. puede ser aplicable a los intercambios de información y participación en relación con el suministro.Guía sobre los principios y procedimientos para el gobierno de la seguridad de información. a nivel nacional e internacional.

39 objetivos de control y 133 controles.Certificaciones ISO La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC: ISO 27000: Publicada en mayo de 2009. ISO 27011: En fase de desarrollo. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. Consistirá en una guía de auditoría de un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. por tanto. contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. ISO/IEC 27003: En fase de desarrollo. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve. ISO 27006: Publicada en febrero de 2007. Requisitos”. ISO/IEC 27002: (anteriormente denominada ISO 17799). ISO 27005: Publicada en junio de 2008. probable publicación en 2009. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. ISO 27004: Publicada en diciembre de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Incluye partes de la ISO 13335. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. de apoyo a la ISO 27001 y a la implantación de un SGSI. Consistirá en una guía de gestión de seguridad de la información específica . su fecha prevista de publicación es finales de 2008. UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). En su Anexo A. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. Fecha de la de la versión española 29 noviembre de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información ISO 27007: En fase de desarrollo. su fecha prevista de publicación es Mayo de 2010.

por redes informáticas o por correo). ampliación y remuneración de ISO 18028. dibujos. no la desarrolla el subcomité JTC1/SC27. Es una norma consistente en 7 partes: gestión de seguridad de redes. sino el comité técnico TC 215. Esta norma. conjuntamente con la ITU (Unión ISO 27031: En fase de desarrollo. sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano. elaborada Internacional de Telecomunicaciones).para telecomunicaciones. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Consistirá en una guía relativa a la ciberseguridad. ISO 27034: En fase de desarrollo. vídeos y imágenes médicas). arquitectura de seguridad de redes. su fecha prevista de publicación es Febrero de 2009. su fecha prevista de publicación es entre 2010 y 2011. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. toma la información (palabras y números. Provendrá de la revisión. escenarios de redes de referencia. ya que la información siempre debe estar adecuadamente protegida. aseguramiento de las comunicaciones entre redes mediante gateways. al contrario que las anteriores. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad. . ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas. su fecha prevista de publicación es Mayo de 2010. integridad y disponibilidad de información personal de salud. por fax. acceso remoto. ISO 27799: Publicada el 12 de Junio de 2008. grabaciones sonoras. ISO 27033: En fase de desarrollo. Consistirá en una guía de seguridad en aplicaciones. ISO 27032: En fase de desarrollo.

¿Qué se debe documentar? . • Garantizar que la distribución de documentos está controlada. • Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos. La documentación se debe elaborar de la manera más sencilla posible. • Garantizar que los cambios y el estado actual de revisión de los documentos están identificados. Escriba lo que piense. de los recursos empleados. • Revisar y actualizar documentos cuando sea necesario y renovar su validez. sujetos a constante modificación. Piense lo que hace. Y ¿en cuánto tiempo se hace? Depende del compromiso. Haga lo que escribió. almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. Los manuales deben ser organismos vivos. • Aplicar la identificación apropiada a documentos que son retenidos con algún propósito. • Garantizar que los documentos se mantienen legibles y fácilmente identificables. • Garantizar que los documentos procedentes del exterior están identificados. implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: • Aprobar documentos apropiados antes de su emisión. documentar. y de factores externos que pueden influir. • Prevenir la utilización de documentos obsoletos. del conocimiento.Documentos y mejoras prácticas Para los documentos generados se debe establecer. y disponibles para todos los que los requieran. • Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo.

El proceso de tratamiento de riesgos consiste en seleccionar y aplicar las medidas más adecuadas.como se mencionó “un Control es mucho (pero mucho). 1. • Un funcionamiento efectivo y eficiente de la organización. para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. • Conformidad con las leyes y reglamentos vigentes. para evitar de este modo los daños intrínsecos al factor de riesgo. implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone)………. la alta dirección. Aspectos Organizativos Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Des concepto” sobre lo que uno piensa que es un control. así como el impacto que tiene en su plan de negocio el emprendedor debe analizar cuál es el nivel de oportunidad en caso de asumir el riesgo.  Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. sabrá de lo que se está hablando. mas que eso…” Todo aquel que haya sido responsable alguna vez de esta tarea. Es decir. 3. o bien aprovechar las ventajas que pueda reportarnos. para ser riguroso. Estos como mínimo deben tener.Evaluación y tratamiento de riesgos Una vez analizado y cuantificado los riesgos. La Política de Seguridad. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. con el fin de poder modificar el riesgo. 2. pues aquí se puede apreciar claramente la complejidad que se presenta el diseño. en realidad debería dividirse en dos documentos:  Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora. preparación. baja a un nivel más de detalle. Gestión de Activos . • Controles internos efectivos. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad. Políticas de Seguridad La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. planificación.

Se define el grado de responsabilidad que hay hacia los activos y las personas encargadas. los controles físicos. contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Estas áreas deberían estar protegidas físicamente contra accesos no autorizados. seguridad de oficinas o despachos y recursos. Gestión de comunicaciones y operaciones . Considerando el perímetro de seguridad. Los servicios de procesamiento de información sensible deberían ubicarse en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada adecuados. fraude y mal uso de las instalaciones y medios.  Selección y política personal  Términos y condiciones de la relación laboral  Se tendrá en cuenta la seguridad en el desempeño de las funciones del empleo y la finalización o cambio del puesto del puesto de trabajo. Asi como:  Inclusión de la seguridad en las responsabilidades laborales. daños o intromisiones en las instalaciones y a la información de la organización. protección contra amenazas externas y del entorno.  Una vez hecho esto se deberá clasificar la información de la siguiente:  Directrices de clasificación. robo o puesta en peligro de los activos y interrupción de las actividades de la organización. Seguridad física y ambiental Evitar el acceso físico no autorizado. Seguridad del Talento Humano (antes y durante contratación) Sea segura que los empleados. el trabajo en áreas segura y áreas aisladas de carga y descarga. marcado y tratamiento de la información.  Acuerdos sobre el uso aceptable de los activos. al hablar de responsabilidad de los activos o recursos se hace hincapié al:  Inventario de activos. daños e interferencias. La seguridad de equipos busca evitar la pérdida. 6.  Responsable de los activos. 5. Reducir el riesgo de robo. 4. daño.

se debe especificar la prestación del servicio. Gestión interna de soporte y recuperación que busca Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. Requisitos de negocio para el control de acceso. 7. seguridad de los archivos de sistema. quien dice ser”. En la supervisión de los servicios contratados a terceros. responsabilidades de usuario. control de acceso al sistema operativo. control de acceso a la red. seguridad en los procesos de desarrollo y soporte. Requisitos de seguridad de los sistemas de información. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado. ordenadores portátiles y teletrabajo. gestión de la vulnerabilidad técnica. segregación de tares y separación de los recursos para el desarrollo y producción. gestión de incidentes de seguridad de la información y mejoras. tratamiento correcto de las aplicaciones. La gestión de redes por otra parte asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo. control de cambios operacionales. controles criptográficos. Control de accesos No se debe confundir la actividad de control de accesos con autenticación. gestión de acceso de usuario. fuera de lo correcto. 9. 8.  Verificar el desvío de cualquier acceso.I. acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro. monitorización de los servicios contratados y gestión de los cambios en los servicios contratados. teniendo presente para esto las medidas y controles para los software maliciosos y códigos móviles. Gestión de incidentes de seguridad Notificación de eventos y puntos débiles de la seguridad de la información. es aquí donde se realiza la documentación de procedimientos operativos. La planificación y aceptación del sistema es otro punto a tratar en el se revisa la planificación de capacidades y aceptación del sistema Las protecciones contra software maliciosos y código móvil. esta última tiene por misión identificar que verdaderamente “sea. desarrollo y mantenimiento de S. control de acceso a las aplicaciones y a la información.Se tiene en cuenta los procedimientos y responsabilidades de operación. . es decir que tiene dos tareas derivadas:  Encauzar (o enjaular) al usuario debidamente. Adquisición.

realizó a una audiencia compuesta por especialistas en seguridad de la información y de auditorías TI. La seguridad en la . Las decisiones de la Gerencia fueron acometidas de manera instintiva y con poca base de análisis en datos reales mayoritariamente. La Gerencia de ServiceCo decidió implantar un ISO27k (que implica tanto ISO/IEC 27001 como 27002). Una vez ganada la certificación en ISO 9001 hace ya 10 años aproximadamente. El caso desvela algunas relaciones sorprendentes entre la gestión de la seguridad de la información y la gestión general de negocio y muchos beneficios de negocio. “la implantación de ISO27k tenía sentido en el negocio. especificaciones de un Sistema de Gestión de la Seguridad de la Información. Hace un par de años. la Gerencia reconoció la necesidad de aplicar cambios y acometer un análisis serio de las debilidades y fortalezas de la organización. Introducción Este caso se deriva de la presentación que el Director General de la empresa ficticia “ServiceCo”. hardware y software a sus clientes. El DG explicó su satisfacción de poder hablar sobre esta materia dada la ilusión por los resultados de negocio generados en la compañía aportados por la seguridad de la información. Situación de negocio de serviceco ServiceCo proporciona servicios TIC. una compañía de servicios TIC.Análisis de casos prácticos de las normas ISO 2700 El valor de negocio de la norma iso 27000 Este caso de estudio toma en consideración a una empresa que presta servicios TIC y que ha implantado ISO/IEC 27002:2005. obteniendo como resultado ventajas significativas para el negocio. Con una rotación de la plantilla en aumento. los empleados se acostumbraron a trabajar de un modo adecuado y en relación a los procedimientos de calidad documentados y a las guías establecidas. Según las palabras del Gerente de ServiceCo. código de buenas prácticas para la Gestión de la Seguridad de la Información. y que fue certificada en ISO/IEC 27001:2005. el ambiente laboral empezó a cambiar de forma negativa. sin embargo.

Y. Nuestros clientes no sólo comprenden que nuestra inversión en ISO27k les aporta beneficios sino que además están preparados para gastar una pequeña diferencia a favor de una infraestructura TI segura. Shell international y Unilever. ISO27k ha garantizado que nosotros tengamos ahora establecidos controles que mantienen la disponibilidad de los sistemas y que reducen el riesgo de que las vulnerabilidades puedan ser aprovechadas.información interna de ServiceCo reduciría el riesgo y. por tanto nos proporcionaría los medios para implantar los controles de seguridad según las mejores prácticas. estamos viendo más invitaciones a presentación de ofertas desde empresas que incorporan ISO/IEC 27001 como uno de los prerrequisitos de la lista a cumplir.”. nuestros empleados están desperdiciando menos tiempo en Internet navegando por sitios no relevantes para su trabajo. . Desde la obtención de la certificación ISO/IEC 27001. actualmente ayuda a la organización a ahorrar y a ganar dinero. en consecuencia. Beneficios directos Aumento de la fiabilidad y seguridad de los sistemas: “Como ocurre en cualquier otro negocio.”. hemos visto un incremento importante en nuestra línea base de beneficios y algunos nuevos clientes nos indican que prefieren mantener relaciones con compañías que disponen de una certificación en seguridad reconocida. el coste relacionado con infracciones serias.”. ISO27k es un conocido marco de seguridad desarrollado originalmente por algunas de las compañías líderes a nivel internacional (BT. ServiceCo depende de sus sistemas de información. entre otras). Indicó asimismo los siguientes beneficios directos e indirectos de ISO27k en ServiceCo. Las visitas de seguimiento tras la certificación y las auditorías de recertificación en ISO/IEC 27001 aseguran que la organización se mantiene actualizada en relación a las más recientes vulnerabilidades y mejoras prácticas. Seguridad de la información rentable y consistente: “Hemos implantado medidas de seguridad rentables y adaptadas a las necesidades de nuestro negocio. Aumento de beneficios: “Las ventas y los márgenes han aumentado y las percepciones de los clientes sobre nuestro negocio han mejorado. por cierto. HSBC. además de los nuestros propios. Adicionalmente. Nuestro certificado en ISO/IEC 27001 demuestra que somos de confianza en relación a garantizar los datos de nuestros clientes. Beneficios de negocio de iso27k El DG manifestó “ISO27k no es únicamente seguridad de la información o TIC.

Dado que gran parte de la seguridad se basa en los controles internos. Mediante ISO27k introdujimos procesos de contratación más completos con el objeto de reducir el riesgo de contratar personal no adecuado al puesto o que potencialmente podría poner nuestro negocio en riesgo. procedimientos y guías claras facilitan las cosas a nuestro empleados. Racionalización de los sistemas: “El análisis adecuado de nuestra información y los requisitos de la seguridad de la información indican que gastamos nuestro dinero de un modo prudente.ServiceCo tenía muchas protecciones técnicas desplegadas por toda la organización pero la valoración del riesgo descubrió que algunas de nuestras protecciones ofrecían poco o ningún beneficio y proporcionarían un mejor retorno de la inversión si fueran reconfiguradas para proteger aquellos activos que requerían un nivel más alto de protección. la atmosfera ha mejorado y se ha reducido el cambio negativo iniciado por la plantilla. El nivel de profesionalidad ha mejorado en todas la compañía. Los empleados reconocen ahora que su ganancia del potencial depende de cómo los clientes perciben la marca de la compañía y que cualquier publicidad negativa podría afectarles. ISO27k ha diferenciado ServiceCo de nuestros competidores y ha proporcionado a la compañía de una marca única para la venta y que ha llevado a la compañía a un mejor entorno de trabajo para toda nuestra plantilla. Cumplimiento con la legislación: “Implantar ISO27k nos forzó a cumplir con la legislación de UK en áreas como la protección de datos y derechos de autor del software. El esfuerzo de la Gerencia ha sido por tanto reducida.”. Fuimos capaces de eliminar el 50% de nuestros sistemas y datos cuando fuimos conscientes que no aportaban valor y actualmente hemos reducido loscontroles aplicados en algunos sistemas de riesgo bajo.”. Todas las divisiones y departamentos en ServiceCo habían desarrollado previamente sus propias guías de seguridad. necesitamos comprobar con mayor detenimiento a quién vamos a emplear. Ahora sí sabemos quien trabaja con nosotros!”. .”. ISO27k nos ayudó a desarrollar un enfoque consistente de la seguridad mediante la creación de políticas uniformes que incorporasen las mejores prácticas de la industria. BENEFICIOS INDIRECTOS Mejora en el Control de la Gerencia: “Los Gerentes disponen de un mayor control sobre la organización y una mejor calidad de la información con la que gestionarla. Mejora en las relaciones humanas: “Políticas.

COSTES ISO27000 El mayor elemento de coste fue el miedo al cambio cultural (tuvimos que permitir que un par de nuestros empleados “se marcharan” por no cumplir con nuestras políticas y procedimientos). por tanto.”. . así como de la nuestra propia.”. clientes y vendedores buscaban evidencias de seguridad. el ISO27k es muy rentable. Esto nos ha habilitado para producir un plan de continuidad de negocio que ha priorizado estos activos y reduce nuestro potencial exposición a pérdidas financieras o publicidad negativa. de forma seria.”. integridad y disponibilidad de su información. los socios comerciales.500 EUR) al año. amenazas e impactos potenciales al negocio.000 libras esterlinas (aprox. Estamos ahora en conversaciones con nuestros asesores sobre la posibilidad de combinar las auditorías de ISO/IEC 27001 y de ISO 9001 para ahorrar tiempo y dinero. La certificación en ISO/IEC 27001 nos ha proporcionado esta garantía. Mayor confianza de clientes y de socios comerciales: “Con el aumento de la sensibilidad a las brechas de seguridad. La evaluación de riesgos identificó los activos de información que son críticos para el éxito del negocio.Mejora en la gestión del riesgo y planes de contingencia: “Mediante el proceso de certificación en ISO/IEC 27001. En cualquier industria debes de permanecer en una posición destacada en relación a tus competidores y que gestiona y considera la confidencialidad. Las revisiones regulares de cumplimiento para mantener nuestra certificación sólo nos suponen sobre 3. 3. ServiceCo identificó sus vulnerabilidades.