SlideShare una empresa de Scribd logo

La norma iso 27001 del sistema de gestión de la seguridad de información.2012

I
Iralix Raquel Garcia Marchant

La norma ISO 27001 establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en un enfoque de gestión de riesgos. El SGSI ayuda a las organizaciones a proteger y salvaguardar activos de información importantes mediante la implementación de controles de seguridad. La norma se basa en el ciclo de mejora continua PDCA y tiene como piedra angular el análisis y gestión de riesgos de los procesos y servicios TI de una organización. España tiene más de 350 organizaciones

Educación
1 de 5
Descargar para leer sin conexión
SEGURIDAD Y SALUD / ARTÍCULO La norma ISO 27001 del Sistema de Gestión de la Carlos Manuel Fernández Coordinador de TIC de AENOR Garantía de confidencialidad, integridad y Introducción La información es como el aparato circu- latorio para las organizaciones y requiere que se proteja ante cualquier amena- za que pueda poner en peligro las em- presas tanto públicas como privadas, pues en otro caso podría dañarse la sa- lud empresarial. La realidad nos muestra que las orga- nizaciones empresariales se enfrentan en la actualidad con un alto número de ries- gos e inseguridades procedentes de una amplia variedad de fuentes (ver figura 1), entre las que se encuentran los nuevos negocios y nuevas herramientas de las Tecnologías de la Información y la Co- municación (TIC), que los CEO (Directo- res Generales) y CIO (Directores de Infor- mática) deberían aplicar. Todas estas herramientas deben apli- carse según objetivos empresariales con la mayor seguridad, garantizando la con- fidencialidad (asegurando que sólo quie- nes estén autorizados pueden acceder a la información), integridad (garantizando
ARTÍCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 41 Seguridad de la Información disponibilidad de la información que la información es fiable y exacta) y disponibilidad (asegurando que los usua- rios autorizados tienen el acceso debido a la información). La información, como uno de los prin- cipales activos de las organizaciones, debe protegerse a través de la implan- tación, mantenimiento y mejora de las medidas de seguridad para que cual- quier empresa logre sus objetivos de negocio, garantice el cumplimiento le- gal, de prestigio y de imagen de la com- pañía. ISO 27001. Sistema de Gestión de la Seguridad de la Información La norma/estándar UNE ISO/IEC 27001: 2007 del “Sistema de Gestión de la Se- guridad de la Información” es la solu- ción de mejora continua más adecuada para evaluar los riesgos físicos (incen- dios, inundaciones, sabotajes, vandalis- mos, accesos indebidos e indeseados) y lógicos (virus informáticos, ataques de intrusión o denegación de servicios) y establecer las estrategias y controles La piedra angular del Sistema de Gestión ISO 27001 es el análisis y gestión de los riesgos basado en los procesos de negocio y servicios de TI Figura 1. Nuevos negocios y nuevas herramientas en las TIC para los CEO y CIO WEB 3.0 BigData Business Intelligence ISO 27001 - SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (Análisis y gestión de riesgos de TIC) ISO 27002 ISO 27011 (ISO 27002 para TELCO) ISO 27799 (ISO 27002 para SANIDAD) Portal corporativo Redes sociales Wikis e-Branding e-Mailing e-Learning B2C B2B MOBILITY Pdas Smartphone (Android, iOS) Blakberry/Iphone/HTC CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructura As A Service) PaaS (Platform As A Service) BYOD GIS RFID CRM ERP SCM Fuente: AENOR.
SEGURIDAD Y SALUD / ARTÍCULO CALIDAD julio-septiembre 201242 de negocio/servicios de TI (por ejemplo, CRM, ERP, Business Inteligence, redes sociales, movilidad, cloud computing, servicios externalizados, Bring You Own Device, BYOD, etc.). El análisis y gestión de los riesgos ba- sado en procesos de negocio/servicios de Tecnologías de Información es una herramienta muy útil para evaluar y con- trolar una organización con respecto a los riesgos de los sistemas de informa- ción. De esta forma los procesos de ne- gocio/servicios de TI se fundamentan en los activos de las TIC que dan soporte a los procesos de negocio/servicios de TI. Esto exige un análisis y gestión de los riesgos de sistemas de información realista y orientado a los objetivos de la organización. Una vez que se evalúa el riesgo y se aplican los controles adecua- dos de la UNE ISO/IEC 27002:2009 o de otros estándares nos queda un ries- go residual que la dirección de la empre- sa aprueba, y que se revisará al menos una vez al año (ver figura 3). Es de destacar que, como todo siste- ma de gestión, el SGSI-ISO 27001 tiene además del PDCA unos indicadores (objetivo de la métrica) y métricas para la medición de la eficacia y eficiencia de los controles, que aportan realismo día a día a la seguridad de los SI. adecuados que aseguren una perma- nente protección y salvaguarda de la in- formación. El Sistema de Gestión de la Seguridad de la Información (SGSI) se fundamenta en la norma UNE-ISO/IEC 27001:2007, que sigue un enfoque basado en proce- sos que utilizan el ciclo de mejora conti- nua o de Deming, que consiste en Panifi- car-Hacer-Verificar-Actuar,más conocido con el acrónimo en inglés PDCA (Plan- DO-Check-Act) (similar a la más extendi- da y reconocida norma ISO 9001). Asi- mismo, tiene también su fundamento en la norma UNE–ISO/IEC 27002:2009, que recoge una lista de objetivos de con- trol y controles necesarios para lograr los objetivos de seguridad de la información (ver figura 2). La piedra angular de este sistema SG- SI-ISO 27001 es el análisis y gestión de los riesgos basados en los procesos España es el segundo país de Europa y el sexto del mundo por número de certificados de Seguridad de la Información, con más de 710 reconocimientos Figura 2. Sistema de Gestión de la Seguridad de la Información ISO 27001 Definir política de seguridad Establecer alcance del SGSI Realizar análisis de riesgos Seleccionar los controles Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Adoptar las acciones correctivas Adoptar las acciones preventivas Revisar internamente el SGSI Realizar auditorías internas del SGSI Indicadores y métricas Revisión por dirección “C” “P” “D” “A” A.5 Política de seguridad de información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de incidentes de seguridad A.14 Gestión continuidad de negocio A.15 Conformidad y cumplimiento legislación ISO IEC 27002/Anexo A.ISO IEC 27001 Fuente: AENOR.
ARTÍCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 43 Modelo de gobierno y gestión para las TIC La norma ISO 27001 tiene relación con otras normas que conforman el modelo de gobierno y gestión de las TIC desarro- llado por AENOR, basado en estándares aceptados mundialmente (ver figura 4). Se puede decir que, gracias a este modelo, el Centro de Proceso de Datos (CPD) y el resto de la organización comienzan hablar el mismo lenguaje y a interconectarse de manera más natural y eficiente. Este modelo propone dos certificacio- nes a máximo nivel: una para el gobierno corporativo de las TIC (según la norma ISO 38500) y otra para el Sistema de Continuidad de Negocio (UNE 71599-2 e ISO 22301) en las empresas. Dentro de la primera divide a su vez la gestión en dos áreas: los Sistemas de Gestión de los Servicios de TI (UNE-ISO/IEC 20000-1) y los Sistemas de Gestión de la Seguridad de la Información (UNE- ISO/IEC 27001). Con la implantación de los sistemas se logra gestionar la calidad y seguridad de los servicios de Tecnolo- gías de Información y Comunicación, lo que trae consigo la minimización de los riesgos en la seguridad de la información Figura 3. Análisis y gestión de riesgos Activos de SI • Sistemas de información (bases de datos) • Software • Hardware • Telecomunicaciones • Personas Análisis y gestión de riesgos R = F (χ1 , χ2 , χ3 , χN ) • Integridad (χ1 ) • Confidencialidad (χ2 ) • Disponibilidad (χ3 ) • Amenazas (χ4 ) • Vulnerabilidades (χ5 ) • Impacto económico (χ6 ) • χN Riesgo residual Activo1 - - - -- - - - - - - - - - - - R’1 Activo2 - - - -- - - - - - - - - - - - R’2 Aplicando ISO/IEC 27002 (Selección de controles) Procesos de Negocio / Servicios de TI Fuente: AENOR. y mejorar la seguridad de las TIC en el nivel del servicio de las mismas. La otra área de gestión es donde se agrupan las actividades de desarrollo de programas (software), dirigido a la cali- dad del proceso de ingeniería del soft- ware, con el modelo de evaluación, me- jora y madurez del software (SPICE ISO 15504-ISO 12207). Este modelo significa un cambio cul- tural que impacta en el mundo empresa- rial y de las Administraciones Públicas en su relación con las TIC, que ha supuesto el primer paso hacia la consolidación y optimización de las TIC en nuestro país. Conclusiones El SGSI-ISO 27001 es un sistema activo, integrado en la organización, orientado a los objetivos empresariales y con una proyección de futuro. Es importante resaltar que cada vez que se incorpora un nueva herramienta o negocio de TIC a la empresa se debe actualizar el análisis de riesgos para
SEGURIDAD Y SALUD / ARTÍCULO CALIDAD julio-septiembre 201244 poder mitigar de forma responsable los riesgos y, por supuesto, considerando la regla básica de Riesgo de TI vs. Control vs. Coste, es decir, minimizar los riesgos con medidas de control ajustadas y con- siderando los costes del control. Los certificados, por tercera parte in- dependiente, respaldan el cumplimiento de las normas, como en el caso de la ISO 27001. En una economía cada vez más globalizada, en la que los producto- res españoles de bienes y servicios de- ben competir, los certificados de confor- midad son pasaportes de calidad que abren mercados y una garantía de con- fianza entre empresas y consumidores de todo el mundo. En el momento actual, más de 350 organizaciones se han certificado con AENOR en la ISO 27001-SGSI, lo que contribuye a fomentar las actividades de protección de la información en las enti- dades públicas o privadas, mejorando su seguridad de la información, su ima- gen y generando confianza frente a ter- ceros. Otros factores intrínsecos al siste- ma son exponer su voluntad de cumplir con la legislación vigente y garantizar la continuidad del negocio. Nuestro país ocupa primeros puestos en la clasificación mundial por número de certificados: España es el segundo país de Europa y el sexto del mundo por número de certificados de Seguridad de la Información, con más de 710 recono- cimientos, según el último informe de la Organización Internacional de Normali- zación (ISO). Este sistema está en plena actuali- dad y expansión siendo una esplendida herramienta para este siglo XXI, pues supone una salvaguarda continua para los sistemas de información y las nue- vas tecnologías. Asimismo supone un referente para otros sistemas como son el Esquema Nacional de Seguridad, los procesos industriales —SCADA—, etc. Y dado que se trata de un sistema abierto siempre se podrá incorporar cualquier nueva tecnología que irrumpa en el mundo empresarial, por lo que su valor añadido de permanente actuali- zación es un potencial muy a tener en cuenta y a valorar en un mundo tan diná- mico y cambiante como lo es el de las TIC. Figura 4. Modelo de gobierno y gestión de las TIC con normas y estándares ISO SGCN UNE 71599-2 ISO 22301 Sistema de Gestión Continuidad del Negocio Nivel de madurez. Ciclo de vida de SW SPICE ISO 15504 Modelo de evaluación, mejora y madurez de software Objetivo: gobierno y gestión de las TIC con estándares ISO Fuente: AENOR. Desarrollo de software Procesos/servicios ISO 12207 Ciclo de vida de desarrollo de software ISO 20000-2 Guía de Buenas Prácticas SGSTI ISO 20000-1 Sistema de Gestión de Servicios TI SGSTI ISO 27001 Sistema de Gestión de Seguridad de Información ISO 27002 Guía de Controles Gobierno de TI ISO/IEC 38500 IT Governace

Recomendados

La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012Emanuel Aquino
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Iso27001
Iso27001Iso27001
Iso27001Gerard Flores
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present finalJABERO241
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 

Recomendados

La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012Emanuel Aquino
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Iso27001
Iso27001Iso27001
Iso27001Gerard Flores
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present finalJABERO241
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFelipe Zamora
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Eulen Seguridad - Servicios de Seguridad de la Información
Eulen Seguridad - Servicios de Seguridad de la InformaciónEulen Seguridad - Servicios de Seguridad de la Información
Eulen Seguridad - Servicios de Seguridad de la InformaciónRicardo Cañizares Sales
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...Ingeniería e Integración Avanzadas (Ingenia)
 

Más contenido relacionado

La actualidad más candente

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFelipe Zamora
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Eulen Seguridad - Servicios de Seguridad de la Información
Eulen Seguridad - Servicios de Seguridad de la InformaciónEulen Seguridad - Servicios de Seguridad de la Información
Eulen Seguridad - Servicios de Seguridad de la InformaciónRicardo Cañizares Sales
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 

La actualidad más candente (20)

iso 27005
iso 27005iso 27005
iso 27005
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 
Eulen Seguridad - Servicios de Seguridad de la Información
Eulen Seguridad - Servicios de Seguridad de la InformaciónEulen Seguridad - Servicios de Seguridad de la Información
Eulen Seguridad - Servicios de Seguridad de la Información
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 

Similar a La norma iso 27001 del sistema de gestión de la seguridad de información.2012

auditoria
auditoriaauditoria
auditoriafrankcq
 
Iso27001
Iso27001Iso27001
Iso27001frankcq
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 

Similar a La norma iso 27001 del sistema de gestión de la seguridad de información.2012 (20)

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
auditoria
auditoriaauditoria
auditoria
 
Iso27001
Iso27001Iso27001
Iso27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Infosecu
InfosecuInfosecu
Infosecu
 
Seguridad
SeguridadSeguridad
Seguridad
 

Último

ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
La Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfLa Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfDemetrio Ccesa Rayme
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxiemerc2024
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONamelia poma
 
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPCTRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPCCarlosEduardoSosa2
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024IES Vicent Andres Estelles
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfJonathanCovena1
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfRosabel UA
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!CatalinaAlfaroChryso
 
Biografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfBiografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfGruberACaraballo
 
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdfFICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdfRaulGomez822561
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024IES Vicent Andres Estelles
 
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdfPROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdfEduardoJosVargasCama1
 
Actividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxActividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxpaogar2178
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxCamuchaCrdovaAlonso
 

Último (20)

ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
La Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfLa Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdf
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
 
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPCTRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 
Biografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfBiografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdf
 
PP_Comunicacion en Salud: Objetivación de signos y síntomas
PP_Comunicacion en Salud: Objetivación de signos y síntomasPP_Comunicacion en Salud: Objetivación de signos y síntomas
PP_Comunicacion en Salud: Objetivación de signos y síntomas
 
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdfFICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdfSesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
 
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdfPROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
PROPUESTA COMERCIAL SENA ETAPA 2 ACTIVIDAD 3.pdf
 
Actividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxActividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docx
 
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptxPower Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
 

La norma iso 27001 del sistema de gestión de la seguridad de información.2012

  • 1. SEGURIDAD Y SALUD / ARTÍCULO La norma ISO 27001 del Sistema de Gestión de la Carlos Manuel Fernández Coordinador de TIC de AENOR Garantía de confidencialidad, integridad y Introducción La información es como el aparato circu- latorio para las organizaciones y requiere que se proteja ante cualquier amena- za que pueda poner en peligro las em- presas tanto públicas como privadas, pues en otro caso podría dañarse la sa- lud empresarial. La realidad nos muestra que las orga- nizaciones empresariales se enfrentan en la actualidad con un alto número de ries- gos e inseguridades procedentes de una amplia variedad de fuentes (ver figura 1), entre las que se encuentran los nuevos negocios y nuevas herramientas de las Tecnologías de la Información y la Co- municación (TIC), que los CEO (Directo- res Generales) y CIO (Directores de Infor- mática) deberían aplicar. Todas estas herramientas deben apli- carse según objetivos empresariales con la mayor seguridad, garantizando la con- fidencialidad (asegurando que sólo quie- nes estén autorizados pueden acceder a la información), integridad (garantizando
  • 2. ARTÍCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 41 Seguridad de la Información disponibilidad de la información que la información es fiable y exacta) y disponibilidad (asegurando que los usua- rios autorizados tienen el acceso debido a la información). La información, como uno de los prin- cipales activos de las organizaciones, debe protegerse a través de la implan- tación, mantenimiento y mejora de las medidas de seguridad para que cual- quier empresa logre sus objetivos de negocio, garantice el cumplimiento le- gal, de prestigio y de imagen de la com- pañía. ISO 27001. Sistema de Gestión de la Seguridad de la Información La norma/estándar UNE ISO/IEC 27001: 2007 del “Sistema de Gestión de la Se- guridad de la Información” es la solu- ción de mejora continua más adecuada para evaluar los riesgos físicos (incen- dios, inundaciones, sabotajes, vandalis- mos, accesos indebidos e indeseados) y lógicos (virus informáticos, ataques de intrusión o denegación de servicios) y establecer las estrategias y controles La piedra angular del Sistema de Gestión ISO 27001 es el análisis y gestión de los riesgos basado en los procesos de negocio y servicios de TI Figura 1. Nuevos negocios y nuevas herramientas en las TIC para los CEO y CIO WEB 3.0 BigData Business Intelligence ISO 27001 - SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (Análisis y gestión de riesgos de TIC) ISO 27002 ISO 27011 (ISO 27002 para TELCO) ISO 27799 (ISO 27002 para SANIDAD) Portal corporativo Redes sociales Wikis e-Branding e-Mailing e-Learning B2C B2B MOBILITY Pdas Smartphone (Android, iOS) Blakberry/Iphone/HTC CLOUD COMPUTING SaaS (Software As A Service) IaaS (Infraestructura As A Service) PaaS (Platform As A Service) BYOD GIS RFID CRM ERP SCM Fuente: AENOR.
  • 3. SEGURIDAD Y SALUD / ARTÍCULO CALIDAD julio-septiembre 201242 de negocio/servicios de TI (por ejemplo, CRM, ERP, Business Inteligence, redes sociales, movilidad, cloud computing, servicios externalizados, Bring You Own Device, BYOD, etc.). El análisis y gestión de los riesgos ba- sado en procesos de negocio/servicios de Tecnologías de Información es una herramienta muy útil para evaluar y con- trolar una organización con respecto a los riesgos de los sistemas de informa- ción. De esta forma los procesos de ne- gocio/servicios de TI se fundamentan en los activos de las TIC que dan soporte a los procesos de negocio/servicios de TI. Esto exige un análisis y gestión de los riesgos de sistemas de información realista y orientado a los objetivos de la organización. Una vez que se evalúa el riesgo y se aplican los controles adecua- dos de la UNE ISO/IEC 27002:2009 o de otros estándares nos queda un ries- go residual que la dirección de la empre- sa aprueba, y que se revisará al menos una vez al año (ver figura 3). Es de destacar que, como todo siste- ma de gestión, el SGSI-ISO 27001 tiene además del PDCA unos indicadores (objetivo de la métrica) y métricas para la medición de la eficacia y eficiencia de los controles, que aportan realismo día a día a la seguridad de los SI. adecuados que aseguren una perma- nente protección y salvaguarda de la in- formación. El Sistema de Gestión de la Seguridad de la Información (SGSI) se fundamenta en la norma UNE-ISO/IEC 27001:2007, que sigue un enfoque basado en proce- sos que utilizan el ciclo de mejora conti- nua o de Deming, que consiste en Panifi- car-Hacer-Verificar-Actuar,más conocido con el acrónimo en inglés PDCA (Plan- DO-Check-Act) (similar a la más extendi- da y reconocida norma ISO 9001). Asi- mismo, tiene también su fundamento en la norma UNE–ISO/IEC 27002:2009, que recoge una lista de objetivos de con- trol y controles necesarios para lograr los objetivos de seguridad de la información (ver figura 2). La piedra angular de este sistema SG- SI-ISO 27001 es el análisis y gestión de los riesgos basados en los procesos España es el segundo país de Europa y el sexto del mundo por número de certificados de Seguridad de la Información, con más de 710 reconocimientos Figura 2. Sistema de Gestión de la Seguridad de la Información ISO 27001 Definir política de seguridad Establecer alcance del SGSI Realizar análisis de riesgos Seleccionar los controles Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Adoptar las acciones correctivas Adoptar las acciones preventivas Revisar internamente el SGSI Realizar auditorías internas del SGSI Indicadores y métricas Revisión por dirección “C” “P” “D” “A” A.5 Política de seguridad de información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de incidentes de seguridad A.14 Gestión continuidad de negocio A.15 Conformidad y cumplimiento legislación ISO IEC 27002/Anexo A.ISO IEC 27001 Fuente: AENOR.
  • 4. ARTÍCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 43 Modelo de gobierno y gestión para las TIC La norma ISO 27001 tiene relación con otras normas que conforman el modelo de gobierno y gestión de las TIC desarro- llado por AENOR, basado en estándares aceptados mundialmente (ver figura 4). Se puede decir que, gracias a este modelo, el Centro de Proceso de Datos (CPD) y el resto de la organización comienzan hablar el mismo lenguaje y a interconectarse de manera más natural y eficiente. Este modelo propone dos certificacio- nes a máximo nivel: una para el gobierno corporativo de las TIC (según la norma ISO 38500) y otra para el Sistema de Continuidad de Negocio (UNE 71599-2 e ISO 22301) en las empresas. Dentro de la primera divide a su vez la gestión en dos áreas: los Sistemas de Gestión de los Servicios de TI (UNE-ISO/IEC 20000-1) y los Sistemas de Gestión de la Seguridad de la Información (UNE- ISO/IEC 27001). Con la implantación de los sistemas se logra gestionar la calidad y seguridad de los servicios de Tecnolo- gías de Información y Comunicación, lo que trae consigo la minimización de los riesgos en la seguridad de la información Figura 3. Análisis y gestión de riesgos Activos de SI • Sistemas de información (bases de datos) • Software • Hardware • Telecomunicaciones • Personas Análisis y gestión de riesgos R = F (χ1 , χ2 , χ3 , χN ) • Integridad (χ1 ) • Confidencialidad (χ2 ) • Disponibilidad (χ3 ) • Amenazas (χ4 ) • Vulnerabilidades (χ5 ) • Impacto económico (χ6 ) • χN Riesgo residual Activo1 - - - -- - - - - - - - - - - - R’1 Activo2 - - - -- - - - - - - - - - - - R’2 Aplicando ISO/IEC 27002 (Selección de controles) Procesos de Negocio / Servicios de TI Fuente: AENOR. y mejorar la seguridad de las TIC en el nivel del servicio de las mismas. La otra área de gestión es donde se agrupan las actividades de desarrollo de programas (software), dirigido a la cali- dad del proceso de ingeniería del soft- ware, con el modelo de evaluación, me- jora y madurez del software (SPICE ISO 15504-ISO 12207). Este modelo significa un cambio cul- tural que impacta en el mundo empresa- rial y de las Administraciones Públicas en su relación con las TIC, que ha supuesto el primer paso hacia la consolidación y optimización de las TIC en nuestro país. Conclusiones El SGSI-ISO 27001 es un sistema activo, integrado en la organización, orientado a los objetivos empresariales y con una proyección de futuro. Es importante resaltar que cada vez que se incorpora un nueva herramienta o negocio de TIC a la empresa se debe actualizar el análisis de riesgos para
  • 5. SEGURIDAD Y SALUD / ARTÍCULO CALIDAD julio-septiembre 201244 poder mitigar de forma responsable los riesgos y, por supuesto, considerando la regla básica de Riesgo de TI vs. Control vs. Coste, es decir, minimizar los riesgos con medidas de control ajustadas y con- siderando los costes del control. Los certificados, por tercera parte in- dependiente, respaldan el cumplimiento de las normas, como en el caso de la ISO 27001. En una economía cada vez más globalizada, en la que los producto- res españoles de bienes y servicios de- ben competir, los certificados de confor- midad son pasaportes de calidad que abren mercados y una garantía de con- fianza entre empresas y consumidores de todo el mundo. En el momento actual, más de 350 organizaciones se han certificado con AENOR en la ISO 27001-SGSI, lo que contribuye a fomentar las actividades de protección de la información en las enti- dades públicas o privadas, mejorando su seguridad de la información, su ima- gen y generando confianza frente a ter- ceros. Otros factores intrínsecos al siste- ma son exponer su voluntad de cumplir con la legislación vigente y garantizar la continuidad del negocio. Nuestro país ocupa primeros puestos en la clasificación mundial por número de certificados: España es el segundo país de Europa y el sexto del mundo por número de certificados de Seguridad de la Información, con más de 710 recono- cimientos, según el último informe de la Organización Internacional de Normali- zación (ISO). Este sistema está en plena actuali- dad y expansión siendo una esplendida herramienta para este siglo XXI, pues supone una salvaguarda continua para los sistemas de información y las nue- vas tecnologías. Asimismo supone un referente para otros sistemas como son el Esquema Nacional de Seguridad, los procesos industriales —SCADA—, etc. Y dado que se trata de un sistema abierto siempre se podrá incorporar cualquier nueva tecnología que irrumpa en el mundo empresarial, por lo que su valor añadido de permanente actuali- zación es un potencial muy a tener en cuenta y a valorar en un mundo tan diná- mico y cambiante como lo es el de las TIC. Figura 4. Modelo de gobierno y gestión de las TIC con normas y estándares ISO SGCN UNE 71599-2 ISO 22301 Sistema de Gestión Continuidad del Negocio Nivel de madurez. Ciclo de vida de SW SPICE ISO 15504 Modelo de evaluación, mejora y madurez de software Objetivo: gobierno y gestión de las TIC con estándares ISO Fuente: AENOR. Desarrollo de software Procesos/servicios ISO 12207 Ciclo de vida de desarrollo de software ISO 20000-2 Guía de Buenas Prácticas SGSTI ISO 20000-1 Sistema de Gestión de Servicios TI SGSTI ISO 27001 Sistema de Gestión de Seguridad de Información ISO 27002 Guía de Controles Gobierno de TI ISO/IEC 38500 IT Governace