NTC -ISO
2700-1
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o
privada, grande o pequea.
Origen
Desde 1901, y como primera entidad
de normalizacin a nivel mundial,
BSI (British Standards Institution, la
organizacin britnica equivalente a
AENOR en Espaa) es responsable
de la publicacin de importantes
normas como:
*979 Publicacin BS 5750 - ahora ISO
9001
*1992 Publicacin BS 7750 - ahora ISO
14001
*1996 Publicacin BS 8800 - ahora
OHSAS 18001
*La norma BS 7799 de BSI aparece por
primera vez en 1995
*La primera parte de la norma (BS 7799-
1)
*Las dos partes de la norma BS 7799 se
revisaron en 1999 y la primera parte se
adopt por ISO, sin cambios
sustanciales, como ISO 17799 en el ao
2000.
*En 2002, se revis BS 7799-2 para
adecuarse a la filosofa de normas ISO
de sistemas de gestin.
La serie 27000
A semejanza de otras normas ISO, la 27000 es
realmente una serie de estndares. Los rangos de
numeracin reservados por ISO van de 27000 a
27019 y de 27030 a 27044.
ISO 27000: En fase de desarrollo; ISO 27002: Desde el 1 de Julio de
su fecha prevista de publicacin 2007, es el nuevo nombre de ISO
es Noviembre de 2008. Contendr 17799:2005, manteniendo 2005
trminos y definiciones que se como ao de edicin. Es una gua
emplean en toda la serie 27000. de buenas prcticas que describe
La aplicacin de cualquier los objetivos de control y controles
estndar necesita de un recomendables en cuanto a
vocabulario claramente definido, seguridad de la informacin. No es
que evite distintas certificable. Contiene 39 objetivos
interpretaciones de conceptos de control y 133 controles,
tcnicos y de gestin. Esta norma agrupados en 11 dominios.
est previsto que sea gratuita, a
diferencia de las dems de la ISO 27003: En fase de desarrollo;
serie, que tendrn un coste. su fecha prevista de publicacin
es Mayo de 2009. Consistir en
ISO 27001: Publicada el 15 de una gua de implementacin de
Octubre de 2005. Es la norma SGSI e informacin acerca del uso
principal de la serie y contiene los del modelo PDCA y de los
requisitos del sistema de gestin requerimientos de sus diferentes
de seguridad de la informacin. fases.
Tiene su origen en la BS 7799-
2:2002 y es la norma con arreglo ISO 27004: En fase de desarrollo;
a la cual se certifican por su fecha prevista de publicacin
auditores externos los SGSI de es Noviembre de 2008.
las organizaciones. Sustituye a la Especificar las mtricas y las
BS 7799-2, habindose tcnicas de medida aplicables
establecido unas condiciones de para determinar la eficacia de un
transicin para aquellas empresas SGSI y de los controles
certificadas en esta ltima. relacionados.
ISO 27005: Publicada el 4 de Junio de
2008. Establece las directrices para la
gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos
generales especificados en la norma
ISO/IEC 27001 y est diseada para
ayudar a la aplicacin satisfactoria de la
seguridad de la informacin basada en
un enfoque de gestin de riesgos.
ISO 27006: Publicada el 13 de Febrero
de 2007. Especifica los requisitos para
la acreditacin de entidades de auditora
y certificacin de sistemas de gestin de
seguridad de la informacin.
ISO 27007: En fase de desarrollo; su
fecha prevista de publicacin es Mayo
de 2010. Consistir en una gua de
auditora de un SGSI.
ISO 27011: En fase de desarrollo; su
fecha prevista de publicacin es finales
de 2008. Consistir en una gua de
gestin de seguridad de la informacin
especfica para telecomunicaciones,
elaborada conjuntamente con la ITU
(Unin Internacional de
Telecomunicaciones).

ISO 27031: En fase de desarrollo; su
fecha prevista de publicacin es Mayo
de 2010. Consistir en una gua de
continuidad de negocio en cuanto a
tecnologas de la
Informacin y comunicaciones.
ISO 27032: En fase de desarrollo; su
fecha prevista de publicacin es
Febrero de 2009. Consistir en una
gua relativa a la ciber seguridad.
ISO 27033: En fase de desarrollo; su
fecha prevista de publicacin es entre
2010 y 2011. Es una norma consistente
en 7 partes: gestin de seguridad de
redes, arquitectura de seguridad de
redes, escenarios de redes de
referencia, aseguramiento de las
comunicaciones entre redes mediante
gateways, acceso remoto,
aseguramiento de comunicaciones en
redes mediante VPNs y diseo e
implementacin de seguridad en redes.
ISO 27034: En fase de desarrollo; su
fecha prevista de publicacin es
Febrero de 2009. Consistir en una
gua de seguridad en aplicaciones.
ISO 27799: Publicada el 12 de Junio
de 2008. Es un estndar de gestin de
seguridad de la informacin en el
sector sanitario aplicando ISO 17799
(actual ISO 27002). Esta norma, al
contrario que las anteriores, no la
desarrolla el subcomit
JTC1/SC27, sino el comit tcnico TC
215. ISO 27799:2008 define directrices
para apoyar la interpretacin y
aplicacin en la salud informtica de la
norma ISO / IEC 27002 y es un
complemento de esa norma.
NTC -ISO 2700-1
4. Beneficios
Establecimiento de una metodologa de
gestin de la seguridad clara y
estructurada.
Reduccin del riesgo de prdida, robo o
corrupcin de informacin.
Los clientes tienen acceso a la
informacin a travs medidas de
seguridad.
Los riesgos y sus controles son
continuamente revisados.
Confianza de clientes y socios
estratgicos por la garanta de calidad y
Confidencialidad comercial.
Las auditoras externas ayudan
cclicamente a identificar las debilidades
del sistema y las reas a mejorar.
Posibilidad de integrarse con otros
sistemas de gestin (ISO 9001, ISO
14001, OHSAS 18001L).
Continuidad de las operaciones
necesarias de negocio tras incidentes de
gravedad.
Conformidad con la legislacin vigente
sobre informacin personal, propiedad
intelectual y otras.
Imagen de empresa a nivel internacional
y elemento diferenciador de
competencia.
Confianza y reglas claras para las
personas de la organizacin.
Reduccin de costes y mejora de los
procesos y servicio.
Aumento de la motivacin y satisfaccin
del personal.
Aumento de la seguridad en base a la
gestin de procesos en vez de en la
compra sistemtica de productos y
tecnologas.
5. Cmo adaptarse?
Arranque del proyecto
*Compromiso de la Direccin: una de las
bases fundamentales sobre las que iniciar
un proyecto de este tipo es el apoyo claro y
decidido de la Direccin de la organizacin.
No slo por ser un punto contemplado de
forma especial por la norma sino porque el
cambio de cultura y concienciacin que
lleva consigo el proceso hacen necesario el
impulso constante de la Direccin.
*Planificacin, fechas, responsables: como
en todo proyecto de envergadura, el tiempo
y el esfuerzo invertidos en esta fase
multiplican sus efectos positivos sobre el
resto de fases.
Planificacin
* Definir alcance del SGSI: en funcin de caractersticas del
negocio, organizacin, localizacin, activos y tecnologa,
definir el alcance y los lmites del SGSI (el SGSI no tiene por
la qu abarcar toda la organizacin; de hecho, es
recomendable empezar por un alcance limitado.
* Definir poltica de seguridad: que incluya el marco general
y los objetivos de seguridad de la informacin de la
organizacin, tenga en cuenta los requisitos de negocio,
legales y contractuales en cuanto a seguridad, est alineada
con la gestin de riesgo general, establezca criterios de
evaluacin de riesgo y sea aprobada por la Direccin.

Planificacin
mplementacin
*Definir el enfoque de evaluacin
de riesgos: definir una
metodologa de evaluacin de
riesgos apropiada para el SGSI y
las necesidades de la
organizacin, desarrollar criterios
de aceptacin de riesgos y
determinar el nivel de riesgo
aceptable.
*Identificar amenazas y informacin son riesgos de
vulnerabilidades: todas las que
afectan a los activos del
inventario.
*Identificar los impactos: los que
podra suponer una prdida de la
confidencialidad, la integridad o la
disponibilidad de cada uno de los
activos.
*Anlisis y evaluacin de los
riesgos: evaluar el dao
resultante de un fallo de
seguridad (es decir, que una
amenaza explote una
vulnerabilidad) y la probabilidad
de ocurrencia del fallo; estimar el
nivel de riesgo resultante y
determinar si el riesgo es
aceptable (en funcin de los
niveles definidos previamente) o
requiere tratamiento.
*Identificar y evaluar opciones
para el tratamiento del riesgo: el
riesgo puede reducido (mitigado
mediante controles), eliminado (p.
ej., eliminando el activo),
aceptado (de forma consciente) o
transferido (p. ej., con un seguro
o un contrato de outsourcing).
*Seleccin de controles:
seleccionar controles para el
tratamiento el riesgo en funcin
de la evaluacin anterior.
Aprobacin por parte de la
*Direccin del riesgo residual y
autorizacin de implantar el
SGSI: hay que recordar que los
riesgos de seguridad de la
negocio y slo la Direccin
puede tomar decisiones sobre
su aceptacin o tratamiento.
*Confeccionar una Declaracin
de Aplicabilidad: la llamada SOA
(Statement of Applicability) es
una lista de todos los controles
seleccionados y la razn de su
seleccin, los controles
actualmente implementados y la
justificacin de cualquier control
del Anexo A excluido. Es, en
definitiva, un resumen de las
decisiones tomadas en cuanto al
tratamiento del riesgo.
Implementacin
*Definir plan de tratamiento de
riesgos: que identifique las
acciones, recursos,
responsabilidades y prioridades en
la gestin de los riesgos de
seguridad de la informacin.
NTC -ISO 2700-1
Implementacin
*Implantar plan de tratamiento
de riesgos: con la meta de
alcanzar los objetivos de
control identificados.
*Implementar los controles:
todos los que se
seleccionaron en la fase
anterior.
*Formacin y concienciacin:
de todo el personal en lo
relativo a la seguridad de la
informacin.
*Desarrollo del marco
normativo necesario: normas,
manuales, procedimientos e
instrucciones.
*Gestionar las operaciones
del SGSI y todos los recursos
que se le asignen.
*Implantar procedimientos y
controles de deteccin y
respuesta a incidentes de
seguridad.
Seguimiento
*Ejecutar procedimientos
controles de monitorizacin y
revisin: para detectar errores en
resultados de procesamiento,
identificar brechas e incidentes de
seguridad, determinar si las
actividades de seguridad de la
informacin estn desarrollndose
como estaba planificado, detectar
y prevenir incidentes de seguridad
mediante el uso de indicadores y
comprobar si las acciones
tomadas para resolver incidentes
de seguridad han sido eficaces.
Seguimiento Seguimiento
*Revisar regularmente la eficacia *Actualizar planes de
del SGSI: en funcin de los seguridad: teniendo en
resultados de auditoras de cuenta los resultados de la
seguridad, incidentes, monitorizacin y las
mediciones de eficacia, revisiones.
sugerencias y feedback de todos *Registrar acciones y
los interesados. eventos que puedan tener
*Medir la eficacia de los impacto en la eficacia o el
controles: para verificar que se rendimiento del SGSI: sirven
cumple con los requisitos de como evidencia documental
seguridad. de conformidad con los
*Revisar regularmente la requisitos y uso eficaz del
evaluacin de riesgos: los SGSI.
cambios en la organizacin,
tecnologa, procesos y objetivos
de negocio, amenazas, eficacia Mejora continua
de los controles o el entorno
tienen una influencia sobre los
riesgos evaluados, el riesgo *Implantar mejoras: poner
residual y el nivel de riesgo en marcha todas las
aceptado. mejoras que se hayan
*Realizar regularmente propuesto en la fase
auditoras internas: para anterior.
determinar si los controles, *Acciones correctivas: para
procesos y procedimientos del solucionar no
SGSI mantienen la conformidad conformidades detectadas.
con los requisitos de ISO 27001, *Acciones preventivas: para
el entorno legal y los requisitos y prevenir potenciales no
objetivos de seguridad de la conformidades.
y organizacin, estn *Comunicar las acciones y
mejoras: a todos los
implementados y mantenidos
interesados y con el nivel
con eficacia y tienen el
rendimiento esperado. adecuado de detalle.
*Revisar regularmente el SGSI *Asegurarse de que las
mejoras alcanzan los
por parte de la Direccin: para
objetivos pretendidos: la
determinar si el alcance definido
eficacia de cualquier
sigue siendo el adecuado,
accin, medida o cambio
identificar mejoras al proceso del
debe comprobarse
SGSI, a la poltica de seguridad
siempre.
o a los objetivos de seguridad de
la informacin.

Aspectos Clave
Fundamentales
*Compromiso y apoyo de la
Direccin de la organizacin.
*Definicin clara de un alcance
apropiado.
*Concienciacin y formacin del
personal.
*Evaluacin de riesgos exhaustiva
y adecuada a la organizacin.
*Compromiso de mejora continua.
*Establecimiento de polticas y
normas.
*Organizacin y comunicacin.
*Integracin del SGSI en la
organizacin.
Factores de xito
*La concienciacin del empleado
por la seguridad. Principal objetivo
a conseguir.
*Realizacin de comits de
direccin con descubrimiento
continuo de no conformidades o
acciones de mejora.
*Creacin de un sistema de gestin
de incidencias que recoja
notificaciones continuas por parte
de los usuarios (los incidentes de
seguridad deben ser reportados y
analizados).
*La seguridad absoluta no existe,
se trata de reducir el riesgo a
niveles asumibles.
*La seguridad no es un producto,
es un proceso.
*La seguridad no es un proyecto,
es una actividad continua y el
programa de proteccin requiere el
soporte de la organizacin para
tener xito.
*La seguridad debe ser inherente a
los procesos de informacin y del
negocio.
Riesgos
*Exceso de tiempos de
implantacin: con los
consecuentes costes
descontrolados,
desmotivacin, alejamiento
de los objetivos iniciales, etc.
*Temor ante el cambio:
resistencia de las personas.
*Discrepancias en los comits
de direccin.
Delegacin de todas las
responsabilidades en
departamentos tcnicos.
*No asumir que la seguridad
de la informacin es inherente
a los procesos de negocio.
*Planes de formacin y
concienciacin inadecuados.
*Calendario de revisiones que
no se puedan cumplir.
*Definicin poco clara del
alcance.
*Exceso de medidas tcnicas
en detrimento de la
formacin, concienciacin y
medidas de tipo organizativo.
*Falta de comunicacin de los
progresos al personal de la
organizacin.
Consejos bsicos
Mantener la sencillez y
restringirse a un alcance
manejable y reducido: un
centro de trabajo, un proceso
de negocio clave, un nico
centro de proceso de datos o
un rea sensible concreta;
una vez conseguido el xito y
observados los beneficios,
ampliar gradualmente el
alcance en sucesivas fases.
NTC -ISO 2700-1
Consejos bsicos Consejos bsicos
*Comprender en detalle el *Servirse de lo ya
proceso de implantacin: implementado: otros
iniciarlo en base a cuestiones estndares como ISO 9001
exclusivamente tcnicas es son tiles como estructura de
un error frecuente que trabajo, ahorrando tiempo y
rpidamente sobrecarga de esfuerzo y creando sinergias;
problemas la implantacin; es conveniente pedir ayuda e
adquirir experiencia de otras implicar a auditores internos y
implantaciones, asistir a responsables de otros
cursos de formacin o contar sistemas de gestin.
con asesoramiento de *Reservar la dedicacin
consultores externos necesaria diaria o semanal: el
especializados. personal involucrado en el
*Gestionar el proyecto fijando proyecto debe ser capaz de
los diferentes hitos con sus trabajar con continuidad en el
objetivos y resultados. proyecto.
*La autoridad y compromiso *Registrar evidencias: deben
decidido de la Direccin de la recogerse evidencias al menos
empresa -incluso si al inicio el tres meses antes del intento
alcance se restringe a un de certificacin para demostrar
alcance reducido- evitarn un que el SGSI funciona
muro de excusas para adecuadamente.
desarrollar las buenas
prcticas, adems de ser uno
de los puntos fundamentales
de la norma.
*La certificacin como
objetivo: aunque se puede
alcanzar la conformidad con
la norma sin certificarse, la
certificacin por un tercero
asegura un mejor enfoque, un
objetivo ms claro y tangible
y, por lo tanto, mejores
opciones de alcanzar el xito.
*No reinventar la rueda:
aunque el objetivo sea ISO
27001, es bueno obtener
informacin relativa a la
gestin de la seguridad de la
informacin de otros mtodos
y marcos reconocidos.