Las normas ISO/IEC 27001, 27002 y su estructura

 

Para el cumplimiento de las directrices de la norma ISO/IEC 27001, las organizaciones deben
cumplir los numerales 4 al 8 descritos en la norma, los cuales hacen referencia a:

1. Requisitos generales
2. Establecimiento del SGSI
3. Implementación y operación del SGSI
4. Seguimiento y revisión del SGSI
5. Mantenimiento y mejora del SGSI
6. Requisitos de documentación exigidos por la norma
7. Responsabilidad de la dirección
8. Gestión de los recursos
9. Auditorías internas
10. Revisión por la dirección

Adicionalmente las organizaciones deben implementar los objetivos de control y los controles
descritos en los numerales 5 al 15 de la ISO/IEC 27002, que cumplan los requisitos identificados
en el proceso de valoración y tratamiento de riesgos.

Esta norma está dividida en once dominios de control, 39 objetivos y 133 controles. Los dominios
presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión
de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y
del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las
comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de
seguridad de la información.

De esta manera, la ISO/IEC 27001 y la ISO/IEC 27002 se convierten en el pilar de normas para la
seguridad de la información.
 
 
La certificación ICONTEC ISO/IEC 27001 permite
 
 
 Prevenir o reducir eficazmente el nivel de riesgo, mediante la implantación de los controles
adecuados; de este modo, prepara a la organización ante posibles emergencias y
garantiza la continuidad del negocio.
 
 Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la
información teniendo en cuenta la política, la estructura organizativa, los procedimientos y
los recursos.
 
 A la dirección, gestionar las políticas y los objetivos de seguridad en términos de
integridad, confidencialidad y disponibilidad.
 
  Incrementa el nivel de concientización del personal respecto a los tópicos de seguridad
informática.
 ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier
organización. El aseguramiento de dicha información y de los sistemas que la procesan es,
por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un

sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y
una evaluación de los riesgos a los que está sometida la
información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o
en fase de desarrollo- por ISO (International Organization for
Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.

 La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una
serie de estándares.
Los rangos de numeración reservados por ISO van de 27000 a
27019 y de 27030 a 27044 con 27799 finalizando la serie
formalmente en estos momentos.
Toda la información disponible públicamente sobre el
desarrollo de las normas de la serie 27000 puede consultarse
en las páginas web del subcomité JTC1/SC27: 1 y 2).
La serie de normas de referencia y su estado de aprobación de
Ediciones (entre paréntesis) a lo largo del tiempo se indican a
continuación:

 Contenido
En esta sección se hace un breve resumen del contenido de
las principales normas de la serie 27000 ya publicadas.
Partiendo del fundamento de que el estándar ISO/IEC 27001
indica qué requisitos deben conformar un SGSI pero no cómo
cumplirlos, algunas de las normas que conforman la serie
27000 van orientadas precisamente a documentar mejores
prácticas en aspectos o incluso cláusulas concretas de la
norma ISO/IEC 27001 de modo que se evite reinventar la
rueda con el sustancial ahorro de tiempo en la implantación.
Puede hacer un click sobre la siguiente imagen para ampliar
estas relaciones básicas de referencia.
Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión
sino que han de ser adquiridas.
Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia
organización: iso.org
Adicionalmente existe la opción de una previsualización del índice con los contenidos de
los originales publicados online en la tienda virtual oficial: webstore.iec.ch
Las normas en español pueden adquirirse en España en AENOR, así como en otras
entidades de normalización nacionales y responsables de la publicación traducida de los
estándares internacionales de mayor interés a nivel local. Esto explica la salida de
publicaciones traducidas tan dispar en el tiempo y según el país.
Las entidades de normalización responsables de la publicación y venta de normas en cada
país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar
listadas en nuestra sección de "Enlaces", bajo "Acreditación y Normalización".
• ISO/IEC 27000:
Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre
de 2012. Esta norma proporciona una visión general de las normas que componen la serie
27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una
breve descripción del ciclo Plan-Do-Check-Act y términos y definiciones que se emplean en
toda la serie 27000. En España, esta norma no está traducida, pero sí en Uruguay (UNIT-
ISO/IEC 27000). El original en inglés y su traducción al francés pueden descargarse
gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards.
• ISO/IEC 27001:
Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS
7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que
sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementación de todos los controles enumerados en dicho anexo, la
organización deberá argumentar sólidamente la no aplicabilidad de los controles no
implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España
como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua
gallega). En 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC
27001:2007/1M:2009). Otros países donde también está publicada en español son, por
ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001),
Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001). El original en inglés y la traducción al francés pueden
adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en
el subcomité ISO SC27, con fecha prevista de publicación para 2014.
• ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005
como año de edición. Es una guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la información. No es
certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un
anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-
ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros
países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-
IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002),
Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Perú (como ISO 17799;
descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en
iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité
ISO SC27, con fecha prevista de publicación de la segunda edición en Mayo de 2014.
Puede descargarse una lista de todos los controles que contiene esta norma aquí:
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
• ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los
aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de
acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la
concepción hasta la puesta en marcha de planes de implementación, así como el proceso
de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en
el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo
largo de los años con recomendaciones y guías de implantación. En España, esta norma
aún no está traducida, pero sí en Uruguay (UNIT-ISO/IEC 27003). El original en inglés
puede adquirirse en iso.org.
• ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y
utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un
SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En
España, esta norma aún no está traducida, sin embargo sí lo está en Argentina (IRAM-
ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en inglés puede adquirirse
en iso.org
• ISO/IEC 27005:
Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de
2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de
la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y
está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información
basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las
normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés puede
adquirirse en iso.org. En España, esta norma no está traducida, sin embargo, sí lo está,
para la versión de 2008, en países como México (NMX-I-041/05-NYCE), Chile (NCh-
ISO27005), Uruguay (UNIT-ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).
• ISO/IEC 27006:
Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo
de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información. Es una versión
revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan
certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades
de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados
con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de
ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es
una norma de acreditación por sí misma. El original en inglés puede adquirirse en iso.org.
En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2007,
en México (NMX-I-041/06-NYCE) o Chile (NCh-ISO27001). Actualmente ha iniciado un
nuevo periodo de revisión para una nueva versión 3.
• ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un
SGSI, como complemento a lo especificado en ISO 19011. En España, esta norma no está
traducida. El original en inglés puede adquirirse en iso.org
• ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los
controles seleccionados en el marco de implantación de un SGSI. En España, esta norma
no está traducida. El original en inglés puede adquirirse en iso.org
• ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad
de la información cuando se comparte entre organizaciones o sectores. ISO/IEC
27010:2012 es aplicable a todas las formas de intercambio y difusión de información
sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma
industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los
intercambios de información y participación en relación con el suministro, mantenimiento y
protección de una organización o de la infraestructura crítica de los estados y naciones.
• ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación
y gestión de la seguridad de la información en organizaciones del sector de
telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T
X.1051. En España, no está traducida. El original en inglés puede adquirirse en iso.org.
• ISO/IEC 27013:
Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC
27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios
TI).
• ISO/IEC 27014:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de
gobierno corporativo de la seguridad de la información.
• ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones
del sector financiero y de seguros y como complemento a ISO/IEC 27002.
• ISO/IEC TR 27016:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de
valoración de los aspectos financieros de la seguridad de la información.
• ISO/IEC TS 27017:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de
seguridad para Cloud Computing.
• ISO/IEC 27018:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en un código de buenas
prácticas en controles de protección de datos para servicios de computación en cloud
computing.
• ISO/IEC TR 27019:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con
referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de
la industria de la energía.
• ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la
adecuación de las tecnologías de información y comunicación (TIC) de una organización
para la continuidad del negocio. El documento toma como referencia el estándar BS
25777. En España, esta norma no está traducida. El original en inglés puede adquirirse en
iso.org
• ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de
seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus
dependencias en otros dominios de seguridad, concretamente: Información de seguridad,
seguridad de las redes, seguridad en Internet e información de protección de
infraestructuras críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los
interesados ??en el ciberespacio. Esta norma establece una descripción general de
Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos
de garantías, una definición de las partes interesadas y una descripción de su papel en la
seguridad cibernética, una orientación para abordar problemas comunes de Seguridad
Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución
de problemas en la ciberseguridad.
• ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7
partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible
en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes
(publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada
el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las
comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de
comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista
para 2013); 27033-7, redes inalámbricas (prevista para 2013).
• ISO/IEC 27034:
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas,
consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de
2011 y disponible en iso.org); 27034-2, marco normativo de la organización (sin previsión
de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión
de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de
publicación); 27034-5, estructura de datos de protocolos y controles de seguridad de
aplicaciones (sin previsión de publicación).
• ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de
seguridad en la información. En España, no está traducida. El original en inglés puede
adquirirse en iso.org.
• ISO/IEC 27036:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro
partes de seguridad en las relaciones con proveedores: 27036-1, visión general y
conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro
TIC; 27036-4, seguridad en outsourcing (externalización de servicios).
• ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las
actividades relacionadas con la identificación, recopilación, consolidación y preservación
de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria,
dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de
video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor
probatorio y en el intercambio entre las diferentes jurisdicciones.
• ISO/IEC 27038:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de
especificación para seguridad en la redacción digital.
• ISO/IEC 27039:
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la
selección, despliege y operativa de sistemas de detección y prevención de intrusión
(IDS/IPS).
• ISO/IEC 27040:
En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía
para la seguridad en medios de almacenamiento.
 • ISO/IEC 27041:
En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía
para la garantizar la la idoneidad y adecuación de los métodos de investigación.
• ISO/IEC 27042:
En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía
con directrices para el análisis e interpretación de las evidencias digitales.
• ISO/IEC 27043:
En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y
procesos de investigación.
• ISO/IEC 27044:
En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de
la seguridad de la información - Security Information and Event Management (SIEM).
• ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la
interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la
seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al
contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité
técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de
Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y
puede adquirirse online en AENOR

 Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad
comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las
áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS
18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual
y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
Existe un desarrollo más exhaustivo y detallado de estos puntos en el documento
"Implicaciones financieras de la implantación de ISO/IEC 27001 & 27002: modelo
genérico de coste-beneficio" junto a un caso práctico orientado a la alta gerencia.
 ¿Cómo adaptarse?
Arranque del proyecto

• Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un
proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No
sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio
de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso
constante de la Dirección.
• Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y
el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
Planificación

• Definir alcance del SGSI: en función de características del negocio, organización,

localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene
por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance
limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente
los interfaces con el exterior del alcance, determinar las terceras partes (proveedores,
clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear
mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de
organigramas organizativos, definir claramente los requisitos legales y contractuales
relacionados con seguridad de la información, etc.
• Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la
información de la organización, tenga en cuenta los requisitos de negocio, legales y
contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general,
establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del
SGSI es normalmente un documento muy general, una especie de "declaración de
intenciones" de la Dirección.
• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de
riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios
de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas
metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de
Herramientas); la organización puede optar por una de ellas, hacer una combinación de
varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle,
aunque ISO 27005 sí profundiza en directrices sobre la materia. El riesgo nunca es
totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una
estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún valor para la
organización y que quedan dentro del alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la
integridad o la disponibilidad de cada uno de los activos de información.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad
(es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del
fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función
de los niveles definidos previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido
(mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma
consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de
la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo
en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si
se consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el
SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de
negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El
riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero"
no existe prácticamente en ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of
Applicability) es una lista de todos los controles seleccionados y la razón de su selección,
los controles actualmente implementados y la justificación de cualquier control del Anexo A
excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento
del riesgo.
Implementación

• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,

responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control
identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la
información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e
instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
Seguimiento

• Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en

resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si
las actividades de seguridad de la información están desarrollándose como estaba
planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y
comprobar si las acciones tomadas para resolver incidentes de seguridad han sido
eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de
seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los
interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de
seguridad.
 • Revisar regularmente la evaluación de riesgos: los cambios en la organización,
tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el
entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de
riesgo aceptado.
• Realizar regularmente auditorías internas: para determinar si los controles, procesos y
procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el
entorno legal y los requisitos y objetivos de seguridad de la organización, están
implementados y mantenidos con eficacia y tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance
definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de
seguridad o a los objetivos de seguridad de la información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y
las revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del
SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz
del SGSI.

Mejora continua

• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase
anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de
detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de
cualquier acción, medida o cambio debe comprobarse siempre.

 Aspectos clave
Fundamentales
• Compromiso y apoyo de la Dirección de la organización.
• Definición clara de un alcance apropiado.
• Concienciación y formación del personal.
• Evaluación de riesgos adecuada a la organización.
• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicación.
• Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del
cumplimiento legal y de la externalización.
• Integración del SGSI en la organización.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión
continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento
de riesgos...
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por
parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de protección
requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados,
desmotivación, alejamiento de los objetivos iníciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de
tipo organizativo.
• Falta de comunicación de los progresos al personal de la organización.

Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de
trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área
sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar
gradualmente el alcance en sucesivas fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones
exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas
la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación
o contar con asesoramiento de consultores externos especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el
alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar
las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.
• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin
certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro
y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la
"guinda del pastel", no es bueno que sea la meta en sí misma. El objetivo principal es la
gestión de la seguridad de la información alineada con el negocio.
• No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya
establecidos, así como en la experiencia de otras organizaciones.
• Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la
calidad o ISO 14001 para medio ambiente) ya implantados en la organización son útiles
como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es
conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas
de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto
debe ser capaz de trabajar con continuidad en el proyecto.
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento
de certificación para demostrar que el SGSI funciona adecuadamente. No precipitarse en
conseguir la certificación.
 • Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la
mejora del SGSI a lo largo de los años posteriores requerirán también esfuerzo y recursos.

 Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable.
Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una
auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito,
obtener una certificación del sistema según ISO 27001.
El número de certificaciones ha aumentado considerablemente en los últimos años como
demostración de la relevancia que tiene la protección de la información para el desarrollo
de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial
de los diferentes países y en todo el mundo.

Existe información regular aportada por ISO en el documento ISO Survey donde se
informa de manera detallada y a año vencido (p.ej. la publicación del año 2012 refleja los
totales para el año 2011 completo) del resultado en el número de certificaciones
acreditadas con referencia a las regiones, países, sectores industriales de mayor
implantación, entre otros, tanto para ISO/IEC 27001 como para otros sistemas de gestión
(ISO/IEC 9001, ISO 14001, ISO 22000, ISO 50001, entre otros).

 Implantación del SGSI

Evidentemente, el paso previo a intentar la certificación es la implantación en la
organización del sistema de gestión de seguridad de la información según ISO 27001.
Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres
meses antes de solicitar el proceso formal de auditoría para su primera certificación.

En el diagrama anterior desarrollo por los miembros internacionales del "Foro de

implementación ISO 27k" (click sobre la imagen para descargar en formato pdf) podemos
observar rápidamente el momento en que ISO 27001 exige que el SGSI contemple los
siguientes puntos:
• Implicación de la Dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.
• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e instrucciones
de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en marcha del
mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo el
personal.
• Monitorización constante y registro de todas las incidencias.
• Realización de auditorías internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y
de su alcance.
• Mejora continua del SGSI.
La documentación del SGSI deberá incluir:
• Política y objetivos de seguridad.
• Alcance del SGSI.
• Procedimientos y controles que apoyan el SGSI.
• Descripción de la metodología de evaluación del riesgo.
• Informe resultante de la evaluación del riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo y control de los procesos de seguridad de la
información y de medición de la eficacia de los controles.
• Registros.
• Declaración de aplicabilidad (SOA -Statement of Applicability-).
• Procedimiento de gestión de toda la documentación del SGSI.
Otra forma de verlo a modo de procesos:

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:
• Política de seguridad.
• Asignación de responsabilidades de seguridad.
• Formación y capacitación para la seguridad.
• Registro de incidencias de seguridad.
• Gestión de continuidad del negocio.
• Protección de datos personales.
• Salvaguarda de registros de la organización.
• Derechos de propiedad intelectual.
 El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…).
La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO
27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación
necesaria, con objeto de facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico.
En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de
la organización, que se puede auditar en cada momento desde la perspectiva de la
seguridad de la información, la calidad, el medio ambiente o cualquier otra.
 Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos
3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la
siguiente forma:
• Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de
datos por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de
auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte
información sobre la situación actual y oriente mejor sobre las posibilidades de superar la
auditoría real.
• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del
análisis de la documentación por parte del Auditor Jefe (fundamentalmente centrada en el
listado de la cláusula 4.3.1 del estándar ISO/IEC 27001) y la preparación del informe de la
documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la
norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al
cliente. El periodo máximo entre la Fase 1 y Fase 2 puede ser de 6 meses con carácter
general, aunque supeditado en cualquier caso a los procedimientos internos que cada
entidad de certificación disponga para el desarrollo del proceso (conviene por tanto aclarar
con la entidad de certificación previamente y antes de inciar el proceso).
• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las
políticas, la implantación de los controles de seguridad y la eficacia del sistema en su
conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el
proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de
última hora. Se realiza una revisión de las exclusiones según la Declaración de
Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de
políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere
de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
• Certificación: en el caso de que se descubran durante la auditoría no conformidades
(clasificadas como "mayores" y/o "menores"), la organización deberá presentar un Plan de
Acciones Correctivas (1 PAC para cada desviación localizada) que incluya un análisis de
las causas raíz que originaron la desviación. El auditor jefe debe revisar todos los PAC que
la empresa envié, incluso verificar la implantación de las acciones correctivas en base al
PAC en el caso de las "Mayores" y, una vez verificados los PAC y/o dicha implantación en
el caso de las no conformidades mayores, el auditor podrá emitir un informe favorable de
recomendación para la certificación a la comisión de certificación, que validará y emitirá el
certificado correspondiente al alcance del SGSI de la organización que ha sido verificado
en relación a los requisitos del estándar ISO 27001.
• Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una
auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema,
dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y
verificar la mejora continua.
• Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de
certificación formal completa como la descrita.
 Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS
7799-2) por entidades acreditadas figuran listadas en
http://www.iso27001certificates.com. Para aquellas organizaciones que lo han
autorizado, también está publicado el alcance de certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo.
Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la
oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que
se está gestionando correctamente la seguridad de la información, añade un factor de
tensión y de concentración en una meta a todos los miembros del proyecto y de la
organización en general y envía una señal al mercado de que la empresa en cuestión es
confiable y es gestionada transparentemente.

 La entidad de certificación
Las entidades de certificación son organismos de evaluación de la conformidad,
encargados de evaluar y realizar una declaración objetiva de que los servicios y productos
 cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la
auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y
mejorado conforme a lo detallado en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de una
actividad empresarial privada con un gran auge en el último par de décadas, debido a la
creciente estandarización y homologación de productos y sistemas en todo el mundo. La
organización que desee certificarse puede contactar a diversas entidades certificadoras y
solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más
conveniente, como hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de
estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación,
comprueba, mediante evaluaciones independientes e imparciales, la competencia de las
entidades de certificación para la actividad objeto de acreditación. En cada país suele
haber una sola entidad de acreditación (en algunos, hay más de una), a la que la
Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de
Acreditación) ; para otros países, puede consultarse esta lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de
derogarse- solía hacerse en base al documento EA 7/03 "Directrices para la acreditación
de organismos operando programas de certificación/registro de sistemas de gestión de
seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la
derogación del anterior documento.
Las entidades de acreditación establecen acuerdos internacionales para facilitar el
reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para
ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA
(European co-operation for Accreditation).

 El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado,
implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se
distinguen tres clases de auditores:
• de primera parte: auditor interno que audita la organización en nombre de sí misma,
normalmente, como mantenimiento del sistema de gestión y como preparación a la
auditoría de certificación;
• de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de
un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de
outsourcing;
• de tercera parte: auditor independiente, que audita una organización como tercera parte
imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y
contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una
certificación personal. Esto quiere decir que, nuevamente un tercero (entidad de
certificación revisada por una entidad de acreditación o mediante el registro del auditor en
registros de auditores internacionalmente reconocidos como IRCA), certifica que posee las
competencias profesionales y personales necesarias para desempeñar la labor de
auditoría de la materia para la que está certificado.
Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades,
educación formal, experiencia laboral y formación como auditor. Estos lineamientos son
necesarios que sean conocidos por todo tipo de auditores (internos, segunda parte y
certificación) ya que el documento UNE-EN ISO/IEC 19011 (en su versión traducida por
AENOR en España) contiene la descripción de todas las actividades necesarias y
fundamentales para desarrollar con éxito un programa completo de auditoría.
Esta norma ha sido recientemente revisada y existe documentación relevante (click en la
siguiente imagen para acceso a la presentación completa) puesta a disposición en la web
de la Asociación Española de Calidad (entre otras entidades), así como, cursos de
actualización para los auditores.
La norma UNE-EN ISO/IEC 17021:2011 "Evaluación de la conformidad. Requisitos para
los organismos que realizan la auditoría y la certificación de sistemas de gestión", tiene por
objeto aumentar la confianza en los certificados emitidos conforme a las normas de
sistema de gestión, tales como ISO 9001, ISO 14001 e ISO 27001.
Esta norma establece nuevos requisitos para la auditoría de los sistemas de gestión y para
la competencia del auditor con el fin de aumentar el valor de la certificación del sistema de
gestión de las organizaciones del sector público y privado en todo el mundo. En la primera
edición de 2006 se establecieron seis principios: imparcialidad, competencia,
responsabilidad, transparencia, confidencialidad, y tratamiento de quejas. Estos principios
constituyen la base para los requisitos específicos que figuran en la norma.
La nueva edición de ISO/IEC 17021:2011 mantiene estos principios y los requisitos, pero
agrega nuevos requisitos desarrollados en respuesta a los comentarios del mercado sobre
el uso de la primera edición. Los nuevos requisitos previstos en la norma se refieren a la
competencia de los auditores que llevan a cabo la certificación y la forma en que se
manejan y desempeñan. El cumplimiento de estos requisitos tiene por objeto garantizar
que los organismos de certificación operen de manera competente, consistente e imparcial.
Existen diversas organizaciones internacionales de certificación de auditores, con el objeto
de facilitar la estandarización de requerimientos y garantizar un alto nivel de
profesionalidad de los auditores, además de homologar a las instituciones que ofrecen
cursos de formación de auditor. Algunas de estas organizaciones son IRCA o RABQSA.
IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de
certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por
ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya
desde hace años un programa de certificación de auditores de sistemas de gestión de
seguridad de la información.
Su página web, también en español, es una buena fuente de consulta de los requisitos y
los grados de auditor de uso como referencia y reconocimiento a nivel internacional.
Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de
boletines.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con
mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro
de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y
colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría
siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de
sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de
tranquilidad, colaboración, información y trabajo conjunto.