El documento presenta una introducción a la norma ISO 27000, que establece los requisitos para gestionar la seguridad de la información. La norma tiene su origen en BS 7799 de 1995 y ha evolucionado a través de revisiones hasta convertirse en la serie ISO 27000. Esta serie incluye estándares relacionados con la gestión de riesgos, auditorías, seguridad en redes y continuidad del negocio. La adopción de la norma ofrece beneficios como la reducción de riesgos y la confianza de clientes y socios.

1. Introducción
 La información es un activo vital para las empresas.
 Es necesario un sistema documentado, con objetvos
de seguridad y planificación de riesgos.
 ISO 27000 es un estándard para gestionar la
seguridad de cualquier tipo de organización.

2. Origen
 En 1995 aparece BS 7799 de BSI con objetivo de
proporcionar un conjunto de buenas prácticas
para la gestión de la seguridad de su información.
 Consta de dos partes :
 La primera parte de la norma es una guía de buenas
prácticas, para la que no se establece un esquema
de certificación.
 La segunda parte establece los requisitos de un
sistema para ser certificable.
 En 1999 la primera parte se adoptó como ISO
17799.

3. Origen
 En 2002, se revisó BS 7799­2 para adecuarse a la
filosofía de normas ISO de sistemas de gestión.
 En 2005 BS7799­2 se publicó como estándar
27001.
 La ISO 17799 se actualizó y renombró como ISO
27002.

4. Origen

5. La serie 27000
 Como muchas otras normas ISO, la ISO 27000 es
en realidad una serie de estándares. Contiene de
la 27000 a la 27019 y de la 27030 a la 27044.

6. La serie 27000
 ISO 27000: Contiene unos términos y definiciones
que se usarán en toda la serie 27000. La
aplicación de cualquier estándard tiene que tener
un vocabulario bien definido para evitar
interpretaciones distintas. Actualmente esta en
desarrollo.

7. La serie 27000
 ISO 27001: Publicada en 2005, es la norma
principal de la serie. Contiene los requisitos que
una empresa tiene que cumplir sobre el sistema de
gestión de la seguridad de la información y los
enumera en unos puntos. Estos puntos no son
obligatorios de implementar pero si de justificar
su no implementación.

8. La serie 27000
 ISO 27002: Publicada en 2007. Es una guía de
buenas prácticas que describe objetivos de control
y controles recomendables de seguridad. No es
certificable.
 ISO 27003: Publicada en 2010. Son directrices para
la implementación de un SGSI (Sistema de
Gestion de la Seguridad de la Información).

9. La serie 27000
 ISO 27004: Publicada en 2009. Son técnicas y
métricas para determinar la eficacia de un SGSI.
 ISO 27005: Publicada en 2008. Son directrices que
ayudan a la aplicación de la seguridad de la
información basada en un enfoque de gestión de
riesgos.

10. La serie 27000
 ISO 27006: Publicada en 2007. Requisitos para la
acreditación de las organizaciones que
proporcionan la certificación de los SGSI basadas
en 27001.
 ISO 27007: Publicada en 2010. Es una guia de
auditoría de un SGSI.

11. La serie 27000
 ISO 27011: Publicada en 2009. Es una guía de
gestión de seguridad de la información específica
en sistemas de telecomunicaciones.
 ISO 27031: Publicada en 2011. Es una guía de
continuidad de negocio sobre las tecnologías de la
información.

12. La serie 27000
 ISO 27032: En fase de desarrollo. Será una guía
sobre la ciberseguridad (esencialmente en 'Ser un
buen vecino en internet').

13. La serie 27000
 ISO 27033: En fase de desarrollo. Es una norma
consistente en 7 partes: gestión de seguridad de
redes, arquitectura de seguridad de redes,
escenarios de redes de referencia, aseguramiento
de las comunicaciones entre redes mediante
gateways, acceso remoto, aseguramiento de
comunicaciones en redes mediante VPNs y
diseño e implementación de seguridad en redes.

14. La serie 27000
 ISO 27034: En fase de desarrollo. Será una guía
sobre la seguridad en las aplicaciones.
 ISO 27799: Publicada en 2008. Es un estándard de
gestión de seguridad de la información en el
sector sanitario aplicando ISO 27002.

15. ISO 27001
La ISO 27001 ofrece:
 Introducción al método PDCA.
 Términos y definiciones.
 Sistema de gestión de la seguridad de la
información.
 Responsabilidades de la dirección.

16. ISO 27001
 Objetivos de control.
 Relación con los Principios de la OCDE.
 Correspondencia con otras normas.
 Auditorías del SGSI.
 Revisión y mejora del SGSI.

17. ISO 27002
La ISO 27002 ofrece:
 Conceptos generales de seguridad de la información
y SGSI.
 Campo de aplicación.
 Términos y definiciones.
 Estructura del estándar.
 Evaluación y tratamiento del riesgo.
 Política de seguridad.

18. ISO 27002
 Aspectos organizativos de la seguridad de la
información.
 Gestión de activos.
 Seguridad ligada a los recursos humanos.
 Seguridad física y ambiental.
 Gestión de comunicaciones y operaciones.
 Control de acceso.

19. ISO 27002
 Adquisición, desarrollo y mantenimiento de los
sistemas de información.
 Gestión de incidentes de seguridad de la
información.
 Gestión de la continuidad del negocio.
 Cumplimiento.

20. Beneficios
 Esta serie de estándard otorga unos beneficios a las
empresas que veremos a continuación.

21. Beneficios
 Tener una metodología de gestión clara, ordenada y
estructurada que reduce el riesgo a robos o
corrupción de la información.
 Tanto clientes como trabajadores de la empresa
acceden a datos a través de medidas de seguridad.

22. Beneficios
 Confianza de clientes y socios por la garantía de
confidencialidad y calidad.
 Continuidad de las operaciones importantes de
negocio después de incidentes de gravedad.
 Conformidad sobre la legislación vigente sobre
información personal y propiedad intelectual.

23. Beneficios
 Imagen de empresa y elemento diferenciador sobre
la competencia.
 Confianza y reglas claras.
 Reducción de costes y mejora de servicio.
 Aumento de la motivación y satisfación personal.

24. Proceso de adaptación
 A continuación se muestra el proceso
de adaptación paso a paso que se
puede diferenciar en 5 partes:
 Arranque del proyecto
 Plan
 Do
 Check
 Act

25. Proceso de adaptación

26. Proceso de adaptación

27. Proceso de adaptación

28. Proceso de adaptación

29. Proceso de adaptación

30. Aspectos clave
 Compromiso y apoyo de la Dirección de la
organización.
 Definición clara de un alcance apropiado.
 Concienciación y formación del personal.
 Evaluación de riesgos exhaustiva y adecuada a la
organización.

31. Aspectos clave
 Compromiso de mejora continua.
 Establecimiento de políticas y normas.
 Organización y comunicación.
 Integración del SGSI en la organización.