ISO/IEC 27001 y 27002 para la Gestin de

Seguridad de la Informacin
Juan Gabriel Gonzales Yauris
Escuela Profesional de Ingeniera de Sistemas
Universidad Nacional Jos Mara Arguedas
Andahuaylas, Apurmac
jgonzalesyauris@gmail.com

AbstractWith
the
increasing
significance
of
information technology, there is an urgent need for
adequate measures of information security. Systematic
information security management is one of most important
initiatives for IT management. At least since reports about
privacy and security breaches, fraudulent accounting
practices, and attacks on IT [1]. systems appeared in
public, organizations have recognized their responsibilities
to safeguard physical and information assets. The standards
ISO/IEC 27001 and 27002 are international standards that
are receiving growing recognition and adoption.
KeywordsSecurity;
ISO/IEC 27002; 27 K

Standards;

ISO/IEC

27001;

ResumenCon la creciente importancia de las

tecnologas de la informacin, hay una necesidad urgente de
adoptar medidas adecuadas de seguridad de la informacin.
Un sistema de gestin de seguridad de la informacin
(SGSI) es una de las iniciativas ms importantes para la
gestin de TI [1]. Ya que al menos los informes acerca de
privacidad y brechas de seguridad, las prcticas contables
fraudulentas, y los ataques a los sistemas de TI. Las
organizaciones han reconocido la importancia y la urgente
necesidad de incorporar la seguridad de la informacin,
para proteger y garantizar la privacidad y los derechos de la
organizacin. Las normas de seguridad se pueden utilizar
como gua o marco para desarrollar y mantener un sistema
de gestin de seguridad de la informacin (SGSI) adecuada.
Las normas ISO/IEC 27001 y 27002 son normas
internacionales que estn recibiendo cada vez mayor
reconocimiento y adopcin para la seguridad de la
informacin [2]. Con la norma ISO/IEC 27001 Las
organizaciones pueden obtener la certificacin para
demostrar que cumplen con todos los puntos obligatorios de
la norma.
Palabras claveSeguridad; Normas; ISO/IEC 27001;
ISO/IEC 27002; ISO 27 K

I. INTRODUCCIN
La informacin es el activo ms importante de cada
organizacin [1]. Evidentemente se tendrn otros activos,
pero todos ellos sern adquiridos de algn modo, sin
embargo si tenemos algn problema de seguridad con la
informacin de la empresa no ser posible volver a
adquirir. Este l es el motivo por lo que debe dedicar
todos los esfuerzos necesarios para garantizas la seguridad
de la informacin corporativa. Habitualmente la gestin
de seguridad de la informacin en una empresa esta
descoordinada, no sigue un criterio comn definido, de
cada departamento o rea, especialmente en de TI, tiene
sus propias polticas y procedimientos, establecidos sin

una visin global de las necesidades de la organizacin,

incluso alegados de los objetivos del negocio. La
implantacin de un sistema de gestin de seguridad de la
informacin (SGSI), es la manera ms eficaz de conseguir
esta coordinacin y gestin necesaria para orientar los
esfuerzos y recursos, dedicados a la seguridad de la
informacin, hacia una direccin que refuerce la
consecucin de los objetivos de la organizacin. Para la
proteccin de la informacin y sistemas de informacin
las normas y estndares ISO/IEC 27001, ISO/IEC 27002
protegen la confidencialidad, integridad y disponibilidad
de la informacin en una empresa. Esto lo hace
investigando cules son los potenciales problemas que
podran afectar la informacin y luego definiendo lo que
es necesario hacer para evitar que estos problemas se
produzcan.
La norma ISO/IEC 27001 puede ser implementada en
cualquier tipo de organizacin, con o sin fines de lucro,
privada o pblica, pequea o grande. Est redactada por
los mejores especialistas del mundo en el tema y
proporciona una metodologa para implementar la gestin
de la seguridad de la informacin en una organizacin.
Tambin permite que una empresa sea certificada; esto
significa que una entidad de certificacin independiente
confirma que la seguridad de la informacin ha sido
implementada en esa organizacin en cumplimiento con la
norma ISO 27001 [3].
La norma ISO/IEC 27002 (anteriormente denominada
ISO 17799) consiste en una gua de buenas prcticas que
permiten a las organizaciones mejorar la seguridad de su
informacin. Con este fin, define una serie de objetivos de
control y gestin que deberan ser perseguidos por las
organizaciones [4].
II. ESTNDARES INTERNACIONALES
Las Normas Internacionales ISO aportan una contribucin
positiva al mundo en que vivimos. Facilitan el comercio,
la difusin del conocimiento, diseminan los avances
innovadores en tecnologa, y comparten buenas prcticas
de gestin y evaluacin de la conformidad.
Las normas ISO proporcionan soluciones y beneficios
para casi todos los sectores de actividad, incluida la
agricultura,
construccin,
ingeniera
mecnica,
fabricacin, distribucin, transporte, dispositivos mdicos,
tecnologas de la informacin y comunicacin, medio
ambiente, energa, gestin de la calidad, evaluacin de la
conformidad y servicios. ISO es la Organizacin
Internacional de Normalizacin.

Los 161 miembros que la componen son los organismos

nacionales de normalizacin de pases industrializados, en
desarrollo y en transicin, de todos los tamaos y de todas
las regiones del mundo. El portafolio de ISO, con ms de
18 100 normas, provee de herramientas prcticas a las
empresas, los gobiernos y la sociedad, para el desarrollo
sostenible de las variables econmicas, ambientales y
sociales.

normas dentro de la serie 27k que sirvan de apoyo a las

organizaciones en la interpretacin e implementacin de
ISO/IEC 27001, que es la norma principal y nica
certificable dentro de la serie.
Historia de las normas ISO/IEC 27001 e ISO/IEC
27002

Las normas ISO/IEC 27001 e ISO/IEC 27002 se

desarrollaron en cooperacin con la "Comisin
Internacional Electrotcnica" (IEC), es una organizacin
de normalizacin en los campos elctrico, electrnico y
tecnologas relacionadas. Numerosas normas se
desarrollan conjuntamente con la ISO.
III. DESARROLLO Y DIFUSIN DE LOS
ESTNDARES ISO/IEC 27001 E ISO/IEC 27002
A. Desarrollo de los Estndares
A semejanza de otras normas ISO, ISO/IEC 27000
[11]. Es un conjunto de estndares desarrollados (o en
fase de desarrollo) por ISO (Organizacin Internacional
de Normalizacin) e IEC (Comisin Electrotcnica
Internacional), que proporcionan un marco de gestin de
la seguridad de la informacin utilizable por cualquier tipo
de organizacin, pblica o privada, grande o pequea e
indica cmo puede una organizacin implantar un sistema
de gestin de seguridad de la informacin (SGSI) basado
en ISO 27001 en conjunto con otras normas de la serie
27k pero tambin con otros sistemas de gestin.
Desde 1901, y como primera entidad de normalizacin
a nivel mundial, BSI (Instituto Britnico de
Normalizacin,) por sus siglas en ingls. Es el responsable
de la publicacin de importantes normas.
La norma BS 7799 de BSI apareci por primera vez en
1995 ver Figura 1, con objeto de proporcionar a cualquier
empresa (britnica o no) un conjunto de buenas prcticas
para la gestin de la seguridad de su informacin. La
primera parte de la norma (BS 7799-1) fue una gua de
buenas prcticas, para la que no se estableca un esquema
de certificacin. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que estableci los
requisitos de un sistema de seguridad de la informacin
(SGSI) para ser certificable por una entidad
independiente.
Las dos partes de la norma BS 7799 se revisaron en
1999 y la primera parte se adopt por ISO, sin cambios
sustanciales, como ISO 17799 en el ao 2000. En 2002,
se revis BS 7799-2 para adecuarse a la filosofa de
normas ISO de sistemas de gestin. En 2005, con ms de
1700 empresas certificadas en BS 7799-2, esta norma se
public por ISO, con algunos cambios, como estndar
ISO 27001. Al tiempo se revis y actualiz ISO 17799.
Esta ltima norma se renombr como ISO 27002:2005 el
1 de Julio de 2007, manteniendo el contenido as como el
ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de
ISO 27001:2005, BSI public la BS 7799-3:2006,
centrada en la gestin del riesgo de los sistemas de
informacin. La revisin ms reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es
ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo,
ISO ha continuado, y contina an, desarrollando otras

Figura 1. Desarrollo de las normas ISO 27001 e ISO

27002 [12].

B. La difusin actual y Certificacin de la Norma

ISO/IEC 27001
El nmero de certificaciones ha aumentado
considerablemente en los ltimos aos como
demostracin de la relevancia que tiene la proteccin de la
informacin para el desarrollo de las actividades de las
organizaciones y para mantener y desarrollar el tejido
industrial de los diferentes pases y en todo el mundo.
La norma ISO 27001, al igual que su antecesora BS
7799-2, es certificable. Esto quiere decir que la
organizacin que tenga implantado un SGSI puede
solicitar una auditora a una entidad certificadora
acreditada y, caso de superar la misma con xito, obtener
una certificacin del sistema segn ISO 27001.
Al final del ao 2013 en todo el mundo hubo 22293
ver Figura 2 certificaciones segn la norma ISO 27001
[5]. Un crecimiento del 14% (2673), se haba emitido en
105 pases y economas, dos ms que en el ao anterior.
Los tres pases principales para el nmero total de
certificados emitidos fueron Japn, la India y el Reino
Unido, mientras que los tres primeros para el crecimiento
en el nmero de certificados en el 2013 fueron Italia, la
India y el Reino Unido[5].
Existe informacin regular aportada por ISO en el
documento encuestas realizadas por ISO [6] donde se
informa de manera detallada el resultado en el nmero de
certificaciones acreditadas con referencia a las regiones,
pases, sectores industriales de mayor implantacin, entre
otros, para la ISO/IEC 27001 como para otros sistemas de
gestin ver Figura 3.

Certificaciones de la Norma ISO/IEC 27001

documento. En el caso de ISO 27001, certifican, mediante

la auditora, que un sistema de gestin de seguridad de la
informacin SGSI de una organizacin se ha diseado,
implementado, verificado y mejorado conforme a lo
detallado en la norma.
Las entidades de acreditacin establecen acuerdos
internacionales para facilitar el reconocimiento mutuo de
acreditaciones y el establecimiento de criterios comunes.
Para ello, existen diversas asociaciones.
IV. ISO/IEC 27001
Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5]

Evolucin de las Certificaciones ISO / IEC 27001

Figura 3. Distribucin mundial de la norma ISO/IEC 27001

certificados en 2013 [6].

C. Entidades Certificadoras.
Las entidades de certificacin son organismos de
evaluacin de la conformidad, encargados de evaluar y
realizar una declaracin objetiva de que los servicios y
productos cumplen unos requisitos especficos.
Existen numerosas entidades de certificacin en cada
pas, ya que se trata de una actividad empresarial privada
con un gran auge en el ltimo par de dcadas, debido a la
creciente estandarizacin y homologacin de productos y
sistemas en todo el mundo. La organizacin que desee
certificarse puede contactar a diversas entidades
certificadoras y solicitar presupuesto por los servicios
ofrecidos, comparando y decidindose por la ms
conveniente, como hace con cualquier otro producto o
servicio.
Para que las entidades de certificacin puedan emitir
certificados reconocidos, han de estar acreditadas. Esto
quiere decir que un tercero, llamado organismo de
acreditacin,
comprueba,
mediante
evaluaciones
independientes e imparciales, la competencia de las
entidades de certificacin para la actividad objeto de
acreditacin. En cada pas suele haber una sola entidad de
acreditacin (en algunos, hay ms de una), a la que la
Administracin encarga esa tarea.
La acreditacin de entidades de certificacin para
ISO/IEC 27001 o para BS 7799-2 -antes de derogarse
sola hacerse en base al documento EA 7/03 "Directrices
para la acreditacin de organismos operando programas
de Certificacin/Registro de sistemas de gestin de
seguridad en la informacin". La aparicin de la norma
ISO/IEC 27006 ha supuesto la derogacin del anterior

A. Concepto .
Publicada el 15 de Octubre de 2005, revisada el 25 de
Septiembre de 2013. Es la norma principal de la serie y
contiene los requisitos del sistema de gestin de seguridad
de la informacin. Tiene su origen en la BS 7799-2:2002
(que ya qued anulada) y es la norma con arreglo a la cual
se certifican por auditores externos los SGSI de las
organizaciones. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005, para que sean
seleccionados por las organizaciones en el desarrollo de
sus SGSI.
El eje central de ISO 27001 es proteger la
confidencialidad, integridad y disponibilidad de la
informacin en una empresa. Esto lo hace investigando
cules son los potenciales problemas que podran afectar
la informacin (es decir, la evaluacin de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos
problemas se produzcan (es decir, mitigacin o
tratamiento del riesgo). Por lo tanto, la filosofa principal
de la norma ISO 27001 se basa en la gestin de riesgos:
investigar dnde estn los riesgos ver figura 4 y luego
tratarlos sistemticamente.

Figura 4. Estructura ISO/IEC 27001 [3].

Como este tipo de implementacin demandar la

gestin de mltiples polticas, procedimientos, personas,
bienes, etc., ISO/IEC 27001 ha detallado cmo
amalgamar todos estos elementos dentro del sistema de
gestin de seguridad de la informacin (SGSI).
ISO/IEC 27001 se divide en 11 secciones ms el
anexo A; las secciones 0 a 3 son introductorias (y no son
obligatorias para la implementacin), mientras que las
secciones 4 a 10 son obligatorias, lo que implica que una
organizacin debe implementar todos sus requerimientos
si quiere cumplir con la norma. Los controles del Anexo
A deben implementarse slo si se determina que
corresponden en la Declaracin de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas
ISO/IEC de la Organizacin Internacional para la

Normalizacin, los ttulos de las secciones de ISO 27001

son los mismos que en ISO 22301:2012, en la nueva ISO
9001:2015 y en otras normas de gestin, lo que permite
integrar ms fcilmente estas normas.

Seccin 0 Introduccin: Explica el objetivo de

ISO 27001 y su compatibilidad con otras normas
de gestin.
Seccin 1 Alcance: Explica que esta norma es
aplicable a cualquier tipo de organizacin.
Seccin 2 Referencias normativas: Hace
referencia a la norma ISO/IEC 27000 como
estndar en el que se proporcionan trminos y
definiciones.
Seccin 3 Trminos y definiciones: De nuevo,
hacen referencia a la norma ISO/IEC 27000.
Seccin 4 Contexto de la organizacin: Esta
seccin es parte de la fase de Planificacin del
ciclo PDCA (Planificacin, Implementacin,
Revisin y Mantenimiento; por sus siglas en
ingls), define los requerimientos para
comprender cuestiones externas e internas,
tambin define las partes interesadas, sus
requisitos y el alcance del SGSI.
Seccin 5 Liderazgo: Esta seccin es parte de
la fase de Planificacin del ciclo PDCA y define
las responsabilidades de la direccin, el
establecimiento de roles y responsabilidades y el
contenido de la poltica de alto nivel sobre
seguridad de la informacin.
Seccin 6 Planificacin: Esta seccin es parte
de la fase de Planificacin del ciclo PDCA y
define los requerimientos para la evaluacin de
riesgos, el tratamiento de riesgos, la Declaracin
de aplicabilidad, el plan de tratamiento de riesgos
y la determinacin de los objetivos de seguridad
de la informacin.
Seccin 7 Apoyo: Esta seccin es parte de la
fase de Planificacin del ciclo PDCA y define los
requerimientos sobre disponibilidad de recursos,
competencias, concienciacin, comunicacin y
control de documentos y registros.
Seccin 8 Funcionamiento: Esta seccin es
parte de la fase de Planificacin del ciclo PDCA
y define la implementacin de la evaluacin y el
tratamiento de riesgos, como tambin los
controles y dems procesos necesarios para
cumplir los objetivos de seguridad de la
informacin.
Seccin 9 Evaluacin del desempeo: Esta
seccin forma parte de la fase de Revisin del
ciclo PDCA y define los requerimientos para
monitoreo, medicin, anlisis, evaluacin,
auditora interna y revisin por parte de la
direccin.
Seccin 10 Mejora: Esta seccin forma parte
de la fase de Mejora del ciclo PDCA y define los
requerimientos para el tratamiento de no
conformidades,
correcciones,
medidas
correctivas y mejora continua.
Anexo A: Este anexo proporciona un catlogo de
114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones A.5 a
A.18).

B. Beneficios
Hay 4 ventajas comerciales esenciales que una
empresa puede obtener con la implementacin de esta
norma para la seguridad de la informacin:
Cumplir con los requerimientos legales: cada vez hay
ms y ms leyes, normativas y requerimientos
contractuales relacionados con la seguridad de la
informacin. La buena noticia es que la mayora de ellos
se pueden resolver implementando ISO 27001 ya que esta
norma le proporciona una metodologa perfecta para
cumplir con todos ellos.
Obtener una ventaja comercial: si su empresa obtiene
la certificacin y sus competidores no, es posible que
usted obtenga una ventaja sobre ellos ante los ojos de los
clientes a los que les interesa mantener en forma segura su
informacin.
Menores costos: la filosofa principal de ISO 27001 es
evitar que se produzcan incidentes de seguridad, y cada
incidente, ya sea grande o pequeo, cuesta dinero; por lo
tanto, evitndolos su empresa va a ahorrar mucho dinero.
Y lo mejor de todo es que la inversin en ISO 27001 es
mucho menor que el ahorro que obtendr.
Una mejor organizacin: en general, las empresas de
rpido crecimiento no tienen tiempo para hacer una pausa
y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qu
hay que hacer, cundo y quin debe hacerlo. La
implementacin de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no estn
relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados.
C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001
La norma ISO 27001 fue publicada por primera vez en
2005 y luego fue revisada en 2013; por lo tanto, la
versin vlida actual es la ISO/IEC 27001:2013 [9]. Los
cambios ms importantes de la revisin 2013 estn
relacionados con la estructura de la parte principal de la
norma, las partes interesadas, los objetivos, el monitoreo
y la medicin; asimismo, el Anexo A ha disminuido la
cantidad de controles (de 133 a 114) y ha incrementado la
cantidad de secciones (de 11 a 14). En la revisin 2013 se
eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados
procedimientos.
Sin embargo, todos estos cambios en realidad no
modificaron mucho la norma en su conjunto, su filosofa
principal sigue centrndose en la evaluacin y
tratamiento de riesgos y se mantienen las mismas fases
del ciclo de Planificacin, Implementacin, Revisin y
Mantenimiento (PDCA) [11]. Esta nueva revisin de la
norma es ms fcil de leer y comprender y es mucho ms
sencilla de integrar con otras normas de gestin como
ISO 9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC
27001:2005 deben hacer la transicin a la nueva revisin
2013 hasta septiembre de 2015 si quieren mantener la
validez de su certificacin.
D. Ciclo Deming en la norma ISO/IEC 27001
Para establecer y gestionar un Sistema de Gestin de
la Seguridad de la Informacin en base a ISO 27001, se

utiliza el ciclo continuo PDCA, tradicional en los

sistemas de gestin de la calidad [11]. El ciclo PDCA,
ciclo de Deming o ciclo de mejora continua es uno de los
temas que con ms frecuencia aparece en el mundo
moderno de TI, tanto as que se ha ido incorporando a la
definicin de estndares y mejores prcticas como ISO27001 o ITIL.
ISO-27001 se cre teniendo en cuenta un proceso de
seguridad de la informacin basada en el famoso ciclo de
Deming ciclo de mejora continua o ciclo PDCA (por las
iniciales de Plan, Do, Check y Act), creando con ello lo
que se llam el Sistema de Gestin de la Seguridad de la
Informacin.
Ciclo Deming o Mejora Continua

contactar con la certificadora para contratar la auditora de

certificacin.
La auditora de certificacin consiste en que la
empresa ser auditada por un equipo auditor externo, que
vendr a nuestra empresa y revisar si efectivamente
cumplimos los requerimientos de la norma. Si es as,
emitir su recomendacin para certificarnos y
obtendremos el sello de la certificadora como que
cumplimos con la ISO/IEC 27001 ver Figura 5.
En la FASE 1 el equipo auditor revisar toda la
documentacin que conforma el SGSI de la organizacin
y realizar observaciones sobre potenciales no
conformidades.
En la FASE 2 el equipo auditor revisa ya toda la
organizacin, para comprobar si existen las evidencias de
que mantenemos un SGSI segn la norma.
La certificacin de un SGSI es un proceso mediante el
cual una entidad de certificacin externa, independiente y
acreditada audita el sistema, determinando su
conformidad con ISO/IEC 27001, su grado de
implantacin real y su eficacia y, en caso positivo, emite
el correspondiente certificado.
Certificacin en la Norma ISO/IEC 27001

Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11].

E. Procesos de Certificacin
Para certificar su empresa segn esta norma
internacional deber conocer el proceso completo. Todos
los procesos deben cumplir los requerimientos de la
norma. Adems, puede ser necesario aadir nuevos
procesos requeridos por este estndar internacional [10].
Existen dos tipos de certificados ISO/IEC 27001: para
las organizaciones y para las personas. Las organizaciones
pueden obtener la certificacin para demostrar que
cumplen con todos los puntos obligatorios de la norma;
las personas pueden hacer el curso y aprobar el examen
para obtener el certificado.
Para obtener la certificacin como organizacin,
Defina y documente correctamente los procesos, defina
indicadores y comience su medicin, registre la actividad
de su empresa y forme a sus empleados para que
conozcan y ejecuten los procesos tal como se ha definido.
Por otro lado, trabajar con una empresa de consultora
experta en ISO/IEC 27001 le ayudar:

A comprender mejor la norma y lo que pide.

A implementar los procesos con la experiencia del
equipo consultor, de manera que sea ms fcil
implantarlos y aporte ms valor a su empresa.
Reducir el tiempo de implantacin al estar mucho
ms enfocados.
A incrementar sus posibilidades a la hora de
certificarse.
Una vez haya implantado el estndar y est
funcionando un tiempo, es decir, existan todas las
evidencias necesarias para que el auditor pueda
comprobar que efectivamente el SGSI de la empresa est
conforme a la norma ISO/IEC 27001 y hay registros e
indicadores que evidencian la implantacin, el control, el
gobierno y sobretodo la mejora continua, usted puede

Figura 6. Proceso de implantacin y certificacin en la

norma ISO/IEC 27001 [10].

La implantacin de un SGSI apropiado puede tomar

algunos meses a varios aos, dependiendo en gran medida
de la madurez de la gestin de la seguridad de TI dentro
de una organizacin. Aquellas empresas y organizaciones
que hayan evolucionado segn las prcticas sealadas por
COBIT o ITIL estn ms cerca de adaptarse y lograr la
certificacin.
Existen algunas alternativas nacionales como La
Oficina Nacional de Gobierno Electrnico e Informtica
(ONGEI) para las empresas peruanas que requieran
certificarse en la Norma Tcnica Peruana (NTP-ISO/IEC
27001:2008 Tecnologa de la Informacin: Sistemas de
Gestin de Seguridad de la Informacin. Requisitos),
Podrn realizar dicha certificacin de forma opcional y
con recursos propios de cada entidad [7]. Cuyos controles
debern ser implementados de acuerdo a las
recomendaciones de la Norma Tcnica Peruana NTPISO/IEC 17799:2007 EDI Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la gestin de la
Seguridad de la Informacin. 2da edicin, dispuesto por la
RM 246-2007-PCM.
V. ISO/IEC 27002
Desde el 1 de Julio de 2007, es el nuevo nombre de
ISO 17799:2005, manteniendo 2005 como ao de edicin.
Es una gua de buenas prcticas que describe los objetivos
de control y controles recomendables en cuanto a
seguridad de la informacin. No es certificable. Contiene
39 objetivos de control y 133 controles, agrupados en 11
dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO 27001 contiene un anexo
que resume los controles de ISO 27002:2005.

La ISO/IEC 27002:2013 proporciona directrices para

las normas de seguridad de informacin de la
organizacin y las buenas prcticas de gestin de
seguridad de la informacin, incluyendo la seleccin,
implementacin y gestin de los controles, teniendo en
cuenta el medio ambiente riesgo seguridad de la
informacin de la organizacin (s) [8].
Est diseado para ser utilizado por las organizaciones
que pretenden:

Seleccionar los controles dentro del proceso de

implantacin de un Sistema de Gestin de
Seguridad de la Informacin basado en ISO / IEC
27001;
Implementar controles de seguridad de la
informacin generalmente aceptadas;
Desarrollar sus propias directrices de gestin de
seguridad de informacin.

La norma ISO/IEC 27002:2005 comprende la norma

ISO/IEC 17799:2005. Establece los lineamientos y
principios generales para iniciar, implementar, mantener y
mejorar la gestin de seguridad de la informacin en una
organizacin. Los objetivos trazados proporcionan una
gua general sobre los objetivos comnmente aceptados de
gestin de la seguridad de la informacin. ISO/IEC
27002:2005 contiene las mejores prcticas de los
objetivos de control y controles en las siguientes reas de
gestin de seguridad de la informacin:

poltica de seguridad;
organizacin de la seguridad de la informacin;
gestin de activos;
recursos humanos de seguridad;
seguridad fsica y ambiental;
comunicaciones y gestin de operaciones;
control de acceso;
los sistemas de informacin de adquisicin,
desarrollo y mantenimiento;
informacin de gestin de incidentes de
seguridad;
gestin de la continuidad del negocio;
cumplimiento.
Los objetivos de control en ISO/IEC 27002:2005 estn
destinadas a ejecutarse para satisfacer los requisitos
identificados por una evaluacin de riesgos. ISO/IEC
27002:2005 pretende ser una base comn y gua prctica
para el desarrollo de estndares de seguridad de la
organizacin y las prcticas eficaces de gestin de la
seguridad, y para ayudar a construir la confianza en las
actividades interinstitucionales [9].
VI. CONCLUSIONES
La informacin y los sistemas de estn expuestos a
riesgos de seguridad cada vez ms. A travs del aumento
del apoyo a los procesos de negocio que ofrece la
tecnologa de informacin, as como el aumento del nivel
de la creacin de redes dentro de las empresas y con las
partes externas. Un SGSI efectivo ayuda a reducir los
riesgos y prevenir las violaciones de seguridad.
Las normas ISO/IEC 27001 y 27002 constituyen un
marco para disear y operar un SGSI, basados en
experiencias duraderas de desarrollo. Con estas normas se
les ofrece a las empresas la oportunidad de alinear sus

procedimientos y mtodos de TI para garantizar un nivel

adecuado de seguridad de la informacin con una norma
internacional.
La certificacin de un SGSI segn ISO/IEC 27001
tambin proyecta una imagen positiva a travs de la
verificacin de un sistema de gestin de seguridad de la
informacin. Esta norma tambin es llamada como un
punto de referencia y una base para la evaluacin en
materia de seguridad de la informacin aqu un certificado
segn la norma ISO/IEC 27001 demuestra una disposicin
con respecto a los servicios de seguridad de la
informacin. Las organizaciones pueden demostrar que
los servicios de TI son seguros.
Las normas ISO 27001 y 27002 han sido ampliamente
difundidos en Europa, Amrica del norte y Asia. La
importancia de la certificacin de seguridad de la
informacin cumple con las decisiones que una empresa
brinda sus servicios en TI.
REFERENCIAS
[1]
[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]
[14]

A. Alexander C. Pelnekar, Diseo de un sistema de gestin de

seguridad de informacin, Alfaomega, 2007, pp. 9-25.
E. Humphreys, Information Security Management System
Standards, Normas en Sistemas de Gestin de Seguridad de la
Informacin Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 711.
ISO 27001, Tecnologa de la Informacin, Tcnicas de
Seguridad, Sistemas de gestion de seguridad de la Informacin ,
Requisitos, Organizacin Internacional de Normalizacin, ISO,
Ginebra, 2009.
ISO 27002, "Tecnologa de la Informacin, Tcnicas de
Seguridad, Cdigo de Prcticas para la Gestin de Seguridad,"
Organizacin Internacional de Normalizacin, ISO, Ginebra,
2009.
ISO, The ISO Survey of Management System Standard
Certifications
2013,
Executive
summary,
Available:
http://www.iso.org/iso/iso_survey_executivesummary.pdf?v2013. [ltimo acceso: 21 Noviembre 2014].
ISO, ISO Survey, estudio realizado por ISO ISO, 2013.
Available:
http://www.iso.org/iso/home/standards/certification/isosurvey.htm?certificate=ISO/IEC%2027001&countrycode=#standa
rdpick. [ltimo acceso: 15 noviembre 2014].
ONGEI, Norma tecnica peruana NTP-ISO/IEC 27001:2008.
Available http://www.ongei.gob.pe/docs/isoiec27001.pdf. [ltimo
acceso: 12 noviembre 2014]
ISO,ISO/IEC
27002:2013
Available:
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail
_ics.htm?csnumber=54533 [ltimo acceso: 23 Noviembre 2014].
ISO,ISO/IEC 27002:2015 Available:
http://www.iso.org/iso/catalogue_detail?csnumber=50297 [ltimo
acceso: 25 Noviembre 2014].
C. Pelnekar, Planificacin y ejecucin de la ISO 27001,Planning
for and Implementing ISO 27001, ISACA Journal, Vol. 4, No. 4,
2011, pp. 1-8.
ISO 27000, "Tecnologa de la Informacin, Tcnicas de
Seguridad, Cdigo de Prcticas para la Gestin de Seguridad,"
Informacin general y Vocabulario Organizacin Internacional de
Normalizacin, ISO, Ginebra, 2009.
A Lpez y J Ruiz, Historia ISO 27001
Available:
www.iso27000.es/download/HistoriaISO27001.pps
[ltimo
acceso: 23 Noviembre 2014].
ISO, "Tcnicas de seguridad de TI,". Available: www.iso.org
[ltimo acceso: 24 Noviembre 2014].
A Lpez y J Ruiz, Historia ISO 27001
Available:
www.iso27000.es/download/HistoriaISO27001.pps
[ltimo
acceso: 23 Noviembre 2014].