ISO 27000

Contenidos

1. Origen

2. La serie 27000

3. Contenido

4. Beneficios

5. Cmo adaptarse?

6. Aspectos Clave

WWW.ISO27000.ES
La informacin es un activo vital para la continuidad y desarrollo de cualquier
organizacin pero la implantacin de controles y procedimientos de seguridad se
realiza frecuentemente sin un criterio comn establecido, en torno a la compra de
productos tcnicos y sin considerar toda la informacin esencial que se debe proteger.

Problemas adicionales por una gestin y actualizacin ineficientes y una ausencia de

controles bsicos elevan la cifra de fraudes y abusos hasta en un 50%.

Gastos extraordinarios, juicios legales por incumplimiento de obligaciones

contractuales o responsabilidades individuales, incluido el cese de las actividades, son
algunas de las consecuencias ms extremas.

La Organizacin Internacional de Estandarizacin (ISO), a travs de las normas

recogidas en ISO/IEC 27000, establece una implementacin efectiva de la seguridad
de la informacin empresarial.

1. Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin inglesa equivalente a la AENOR espaola) es
responsable de la publicacin de importantes normas como:
2
1979 Publicacin BS 5750 - ahora ISO 9000

1992 Publicacin BS 7750 - ahora ISO 14001

1996 Publicacin BS 8800 - ahora OHSAS 18001

La norma BS7799 de BSI aparece por primera vez en 1995, con objeto de preparar a
cualquier empresa -britnica o no- en la certificacin de la gestin de la seguridad de
su informacin por medio de una auditora realizada por un auditor acreditado y
externo. El gobierno del Reino Unido recomend como parte de su Ley de Proteccin
de la Informacin que las compaas britnicas utilizasen BS7799 como mtodo de
cumplimiento de la Ley.

La primera parte de la norma (BS7799-1) es una gua de buenas prcticas, para la que
no se establece un modelo de certificacin. Es la segunda parte (BS7799-2) la que se
audita y certifica en aquellas empresas solicitantes que hayan desarrollado un SGSI
(Sistema de Gestin de Seguridad de la Informacin) segn el conocido modelo PDCA
(acrnimo ingls de Plan-Do-Check-Act: Planificar-Hacer-Verificar-Actuar), ya
presentado en otros estndares como ISO9000, y que asegura la adaptacin continua
de la seguridad a los requisitos siempre cambiantes de la empresa y su entorno.

Las dos partes de la norma BS7799 se revisaron en 1999 y la primera parte se adopta
por ISO, sin cambios sustanciales, como ISO17799 en el ao 2000, con una acogida
de ms de 80.000 empresas. En 2005, y con ms de 1700 empresas certificadas en
BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001,
junto a la primera revisin formal realizada en ese mismo ao de ISO17799.

WWW.ISO27000.ES
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public
la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
Servir probablemente de base a la ISO27005, que tardar an algn tiempo en
editarse.

2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares.

ISO 27000: En fase de desarrollo. Contendr trminos y definiciones que se

emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un
vocabulario claramente definido, que evite distintas interpretaciones de conceptos
tcnicos y de gestin. 3
ISO 27001: Es la norma principal de requerimientos del sistema de gestin de
seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma
con arreglo a la cual sern certificados por auditores externos los SGSI de las
organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2,
habindose establecido unas condiciones de transicin para aquellas empresas
certificadas en esta ltima. En su Anexo A, lista en forma de resumen los objetivos
de control y controles que desarrolla la ISO17799:2005 (futura ISO27002), para que
sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de
no ser obligatoria la implementacin de todos los controles enumerados en esta
ltima, la organizacin deber argumentar slidamente la no aplicabilidad de los
controles no implementados.

ISO 27002 (ISO 17799): En fase de desarrollo; probable publicacin en 2007. Es

una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Ser la
sustituta de la ISO17799:2005, que es la que actualmente est en vigor, y que
contiene 39 objetivos de control y 133 controles, agrupados en 11 clusulas. Como
se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un
anexo que resume los controles de ISO17799:2005.

ISO 27003: En fase de desarrollo; probable publicacin en Octubre de 2008.

Contendr una gua de implementacin de SGSI e informacin acerca del uso del
modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el
anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo
largo de los aos con recomendaciones y guas de implantacin.

WWW.ISO27000.ES
 ISO 27004: En fase de desarrollo; probable publicacin en Noviembre de 2006.
Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficiencia y efectividad de la implantacin de un SGSI y de los controles
relacionados. Estas mtricas se usan fundamentalmente para la medicin de los
componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.

ISO 27005: Probable publicacin en 2007 2008. Consistir en una gua para la
gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a
la ISO27001 y a la implantacin de un SGSI. Se basar en la BS7799-3 (publicada
en Marzo de 2006) y, probablemente, en ISO 13335.

ISO 27006: En fase de desarrollo y probable publicacin a finales de 2006.

Especificar el proceso de acreditacin de entidades de certificacin y el registro de
SGSIs.

3. Contenido
En esta seccin se hace un pequeo resumen del contenido de las normas ISO 27001
e ISO 17799 (futura ISO 27002). Si desea acceder a las normas completas, debe
saber que stas no son de libre difusin sino que han de ser adquiridas.

Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia
organizacin:

http://www.iso.org/iso/en/prods-services/ISOstore/store.html 4
Las normas en espaol pueden adquirirse en:

http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp

(Nota: no es previsible que las versiones en espaol de ISO 27001:2005 ni de ISO

17799:2005 estn disponibles antes de 2007.)

ISO 27001

Introduccin: generalidades e introduccin al mtodo PDCA.

Campo de aplicacin: se especifica el objetivo, la aplicacin y el tratamiento de

exclusiones.

Referencias normativas: otras normas que sirven de referencia.

Trminos y definiciones: breve descripcin de los trminos ms usados en la

norma.

Sistema de gestin de la seguridad de la informacin: cmo establecer,

implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos de
documentacin y su control.

WWW.ISO27000.ES
 Responsabilidades de la Direccin: en cuanto a compromiso con el SGSI,
provisin de recursos y formacin y concienciacin del personal.

Auditoras internas del SGSI: cmo realizar las auditoras internas de control.

Revisin del SGSI por la direccin: cmo gestionar el proceso de revisin

constante del SGSI.

Mejora de SGSI: mejora continua, acciones correctoras y acciones preventivas.

Resumen de controles: anexo que enumera los objetivos de control y controles que
se encuentran detallados en la norma ISO 17799:2005.

Relacin con los Principios de la OCDE: correspondencia entre los apartados de

la ISO 27001 y los principios de buen gobierno de la OCDE.

Correspondencia con otras normas: tabla de correspondencia de puntos con ISO

9001 y 14001.

Bibliografa: normas y publicaciones de referencia.

ISO 17799:2005 (futura 27002)

En esta seccin se resume el contenido de la ISO 17799:2005, que es la que

transcribir la ISO 27002 cuando sta se publique.
5
Introduccin: conceptos generales de seguridad de la informacin y SGSI.

Campo de aplicacin: se especifica el objetivo de la norma.

Trminos y definiciones: breve descripcin de los trminos ms usados en la

norma.

Estructura del estndar: descripcin de la estructura de la norma.

Evaluacin y tratamiento del riesgo: indicaciones sobre cmo evaluar y tratar los
riesgos de seguridad de la informacin.

Poltica de seguridad: documento de poltica de seguridad y su gestin.

Aspectos organizativos para la seguridad: organizacin interna; organizacin

externa.

Gestin de activos: responsabilidad sobre los activos; clasificacin de la

informacin.

Seguridad ligada a los recursos humanos: anterior al empleo; durante el empleo;

finalizacin o cambio de empleo.

Seguridad fsica y del entorno: reas seguras; seguridad de los equipos.

WWW.ISO27000.ES
 Gestin de comunicaciones y operaciones: procedimientos y responsabilidades
de operacin; gestin de servicios de terceras partes; planificacin y aceptacin del
sistema; proteccin contra software malicioso; backup; gestin de seguridad de
redes; utilizacin de soportes de informacin; intercambio de informacin y software;
servicios de comercio electrnico; monitorizacin.

Control de accesos: requisitos de negocio para el control de accesos; gestin de

acceso de usuario; responsabilidades del usuario; control de acceso en red; control
de acceso al sistema operativo; control de acceso a las aplicaciones e
informaciones; informtica y conexin mvil.

Adquisicin, desarrollo y mantenimiento de sistemas de informacin: requisitos

de seguridad de los sistemas de informacin; procesamiento correcto en
aplicaciones; controles criptogrficos; seguridad de los ficheros del sistema;
seguridad en los procesos de desarrollo y soporte; gestin de vulnerabilidades
tcnicas.

Gestin de incidentes de seguridad: comunicacin de eventos y puntos dbiles de

seguridad de la informacin; gestin de incidentes y mejoras de seguridad de la
informacin.

Gestin de continuidad del negocio: aspectos de la seguridad de la informacin

en la gestin de continuidad del negocio.

Conformidad: con los requisitos legales; polticas de seguridad y estndares de

conformidad y conformidad tcnica; consideraciones sobre la auditora de sistemas
de informacin. 6
Bibliografa: normas y publicaciones de referencia.

Puede descargarse una lista de todos los controles que contiene esta norma aqu:
http://www.iso27000.es/download/ControlesISO17799-2005.pdf

4. Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada.

Reduccin del riesgo de prdida, robo o corrupcin de informacin.

Los clientes tienen acceso a la informacin a travs medidas de seguridad.

Los riesgos y sus controles son continuamente revisados.

Confianza de clientes y socios estratgicos por la garanta de calidad y

confidencialidad comercial.

Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema
y las reas a mejorar.

El sistema se integra con otros sistemas de gestin (ISO9001, ISO14001,

OHSAS).

WWW.ISO27000.ES
 Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

Conformidad con la legislacin vigente sobre informacin personal, propiedad

intelectual y otras.

Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

Proporciona confianza y reglas claras a las personas de la organizacin.

Reduce costes y mejora los procesos y servicio.

Aumenta la motivacin y satisfaccin del personal.

Seguridad garantizada en base a la gestin de procesos en vez de en la compra

sistemtica de productos y tecnologas.

5. Cmo adaptarse?

WWW.ISO27000.ES
 Arranque del proyecto

Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar
un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la
organizacin. No slo por ser un punto contemplado de forma especial por la norma
sino porque el cambio de cultura y concienciacin que lleva consigo el proceso
hacen necesario el impulso constante de la Direccin.

Planificacin, fechas, responsables: como en todo proyecto de envergadura, el

tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el
resto de fases. 8

Planificacin

Definir alcance del SGSI: segn el modelo organizativo, definir los lmites del marco
de direccin de seguridad de la informacin.

WWW.ISO27000.ES
 Definir poltica de seguridad: que incluya el marco general y los objetivos de
seguridad de la informacin de la organizacin.

Inventario de activos: todos aquellos afectados por la seguridad de la informacin.

Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del
inventario.

Anlisis de riesgos: evaluar el dao resultante de un fallo de seguridad y la

probabilidad de ocurrencia del fallo.

Seleccin de controles.

Definir plan de tratamiento de riesgos: que identifique las acciones, sus

responsables y las prioridades en la gestin de los riesgos de seguridad de la
informacin.

Implementacin

Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de

control identificados.

Implementar los controles: todos los que se determinaron en la fase anterior.

Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la

informacin.

Desarrollo del marco normativo necesario: normas, manuales, procedimientos e

instrucciones.

Gestionar todos los recursos asignados al SGSI.

WWW.ISO27000.ES
 Monitorizacin

Revisar el SGSI: para determinar si el alcance definido sigue siendo el adecuado,

identificar mejoras al proceso del SGSI, identificar nuevas vulnerabilidades, revisar
cambios organizativos y modificar procedimientos.

Realizar auditoras internas del SGSI: para determinar la efectividad del SGSI y
detectar posibles no conformidades.

10
Mejora continua

Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la
fase anterior.

Acciones correctivas: para solucionar no conformidades detectadas.

Acciones preventivas: para prevenir potenciales no conformidades.

WWW.ISO27000.ES
6. Aspectos Clave

Fundamentales

Compromiso y apoyo de la Direccin de la organizacin.

Compromiso del usuario y formacin.

Compromiso de mejora continua.

Establecimiento de polticas y normas.

Organizacin y comunicacin.

Integracin del SGSI en la organizacin.

Factores de xito

La concienciacin del empleado por la seguridad. Principal objetivo a conseguir.

Realizacin de comits de direccin con descubrimiento continuo de No

conformidades o acciones de mejora.

Creacin de un sistema de gestin de incidencias que recoja notificaciones 11

continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).

La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

La seguridad no es un producto, es un proceso.

La seguridad no es un proyecto, es una actividad continua y el programa de

proteccin requiere el soporte de la organizacin para tener xito.

La seguridad debe ser inherente a los procesos de informtica y del negocio.

Riesgos

Exceso de tiempos de implantacin (Costes).

Temor ante el cambio (Resistencia).

Discrepancias en los comits de direccin.

Planes de formacin inadecuados.

Calendario de revisiones que no se puedan cumplir.

Definicin poco clara del alcance.

WWW.ISO27000.ES
 Exceso de medidas tcnicas en detrimento de la formacin y concienciacin.

Falta de comunicacin de los progresos al personal de la organizacin.

Consejos bsicos

Mantener la sencillez y restringirse a un mbito manejable y reducido (una entidad,

un nico centro de datos o un rea sensible concreta). Una vez conseguido el xito y
observados los beneficios, ampliar gradualmente el mbito en sucesivas fases.

Comprender en detalle el proceso de implantacin. Iniciarlo en base a cuestiones

exclusivamente tcnicas es un error frecuente que rpidamente sobrecarga de
problemas la implantacin. Adquiera experiencia de otras implantaciones, cursos
apropiados de formacin o con asesoramiento de consultores adecuados.

Gestin del proyecto fijando los diferentes hitos con sus objetivos y resultados.

La autoridad y compromiso decidido de la Direccin de la empresa -incluso si al

inicio el alcance se restringe a un mbito reducido- evitarn un muro de excusas
para desarrollar las buenas prcticas, adems de ser uno de los puntos
fundamentales de la norma.

La certificacin como objetivo. Aunque pueda conformarse a la norma sin llegar a

certificarse, la certificacin asegura un mejor enfoque, un objetivo ms claro y
palpable y por lo tanto, mejores opciones de alcanzar el xito para la organizacin. 12
No reinvente la rueda. Aunque el objetivo sea ISO27001, aprenda y recoja
informacin til relativa a los procesos de auditora de otros reconocidos mtodos de
manejo de la seguridad.

Srvase de lo que ya tiene implementado. Otros estndares como ISO9000 son

tiles como estructura de trabajo, ahorrando tiempo y esfuerzo. Hable y pida ayuda a
auditores internos sobre anlisis y estructuras de documentos requeridos por un
sistema de gestin.

Reserve la dedicacin necesaria diaria o semanal para afrontar la certificacin y no

permita ser distrado por tareas de apagafuegos. El personal involucrado en el
proyecto debe ser capaz de trabajar con continuidad para evitar indecisiones.

Registre evidencias: deben recogerse evidencias al menos tres meses antes del
intento de certificacin para demostrar que el SGSI funciona adecuadamente.

Control de tests: hay certificaciones que no se logran debido a la carencia de tests

en el plan de recuperacin de desastres.

WWW.ISO27000.ES