Este documento presenta una introducción a las normas ISO 27001 e ISO 27002. Explica las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y cómo implementar un sistema de gestión de seguridad de la información siguiendo el ciclo de mejora continua Plan-Do-Check-Act.

1. Normas ISO 27001
y 27002

2. Agenda
 ISO y sus estándares
 Objetivos de ISO 27000
 Diferencias entre ISO 27001 e ISO 27002.
 Dominios de ISO 27001.
 Implementación de ISO 27001.
 Fases del Proceso de Certificación
 Conclusiones.

3. ISO y sus estándares
 Organización Internacional para la Estandarización (International
Organization for Standardization)
 Su función principal es la de buscar la estandarización de normas
de productos y seguridad para las empresas a nivel internacional.
 La ISO 27000, es la norma que explica cómo implantar un Sistema
de Gestión de Seguridad de la Información en una empresa.
 La implantación de una ISO 27000 en una organización permite
proteger la información de ésta de la forma más fiable posible

4. Objetivos ISO 27000
Una empresa que tenga establecida la ISO 27000 garantiza, tanto de
manera interna como al resto de las empresas, que los riesgos de la
seguridad de la información son controlados por la organización de
una forma eficiente.
 Objetivos:
 Preservar la confidencialidad de los datos de la empresa
 Conservar la integridad de estos datos
 Hacer que la información protegida se encuentre disponible

6. ISO 27000, 27001, 27002
 ISO/IEC 27000
 Define el vocabulario estándar, términos y conceptos empleados en la familia 27000.
 ISO/IEC 27001
 Define los requisitos a cumplir para implantar un SGSI certificable conforme a las
normas 27000.
 Define un SGSI, su gestiona y las responsabilidades de los participantes.
 Sigue un modelo PDCA (Plan-Do-Check-Act).
 Tiene como punto clave la gestión de riesgos unida con la mejora continua.
 ISO/IEC 27002
 Define las buenas prácticas para la gestión de la seguridad.
 Medidas a tomar para asegurar los sistemas de información de una organización
 Se identifica los objetivos de control y los controles recomendados a implantar.
 Antes ISO 17799, basado en estándar BS 7799.

7. Diferencias entre ISO 27001 e ISO
27002
 La ISO 27002 es mucho más detallada y mucho más precisa
 Los controles de la norma ISO 27002 tienen la misma denominación
que los indicados en el Anexo A de la ISO 27001, la diferencia se
presenta en el nivel de detalle.
 La ISO 27002 explica un control en forma extensa, en contraste con
la ISO 27001 que sólo define una oración a cada uno.
 No es posible obtener la certificación ISO 27002 porque no es una
norma de gestión, la certificación en ISO 27001 sí es posible.
 La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define
el sistema de gestión de seguridad de la información (SGSI).

8. Diferencias entre ISO 27001 e ISO
27002 (Cont.)
 Se establece en la ISO 27001 que el sistema de gestión significa que la
seguridad de la información debe ser planificada, implementada,
supervisada, revisada y mejorada, que la gestión tiene sus
responsabilidades específicas, que se deben establecer, medir y revisar
objetivos, que se deben realizar auditorías internas, etc. Esto no está
establecido en la ISO 27002.
 La ISO 27002 no distingue entre los controles que son aplicables a una
organización específica y los que no lo son, en contraste la ISO 27001
exige la realización de una evaluación de riesgos sobre cada control
para identificar si es necesario disminuir los riesgos y hasta qué punto se
deben aplicar.
 Se usa la ISO 27001 para crear la estructura de la seguridad de la
información en la organización, se usa la ISO 27002 para implementar
controles.

9. Diferencias entre ISO 27001 e ISO
27002 (Cont.)
 Lo ideal es utilizar la ISO 2001 y la ISO 2002 en conjunto, ya que sin la
descripción proporcionada por la ISO 27002, los controles definidos
en el Anexo A de la ISO 27001 no se podrían implementar, sin el
marco de gestión de la ISO 27001, la ISO 27002 es un esfuerzo
aislado por la seguridad de la información, sin la aceptación de la
alta dirección y sin efectos reales sobre la organización.

10. Otros ISO/IECs de la misma familia
 ISO/IEC 27000 overview
& vocabulary
 ISO/IEC 27001 formal
ISMS specification
 ISO/IEC 27002 infosec
controls guideline
 ISO/IEC
27003 implementation
guidance
 ISO/IEC 27004 infosec
metrics
 ISO/IEC 27005 infosec
risk management
 ISO/IEC 27006 ISMS
certification guide
 ISO/IEC 27007 MS
auditing guide
 ISO/IEC TR
27008 technical auditing
 ISO/IEC 27010 for inter-
org comms
 ISO/IEC 27011 ISO27k for
telecomms
 ISO/IEC 27013 for
ISMS+service mgmt
 ISO/IEC TR 27015 for
financial services
 ISO/IEC 27031 business
continuity
 ISO/IEC
27032 cybersecurity
 ISO/IEC 27033 network
security (parts)
 ISO/IEC
27034 application
security (part)
 ISO/IEC 27035 incident
management
 ISO/IEC 27037 digital
evidence
 ISO 27799 ISO27k for
healthcare industry

11. ISO/IEC 27001
 El objetivo principal se adopta al modelo Plan-Do-Check- Act
(PDCA o ciclo de Deming) para todos los procesos de la
organización.
Imagen 1. Ciclo Deming.

12. Fases ciclo Deming
 Fase Planificación (Plan):
 Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del
riesgo y mejorar la seguridad de la información de la organización para ofrecer
resultados de acuerdo con las políticas y objetivos generales de la organización.
 Fase Ejecución (Do):
 Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y
procedimientos.
 Fase Seguimiento (Check):
 Medir y revisar las prestaciones de los procesos del SGSI.

Fase Mejora (Act):
 Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas
o en otra información relevante a fin de alcanzar la mejora continua del SGSI.

13. Dominios ISO 27001

14. Seguridad de la Información
 Se definen la seguridad de la información como el logro, gestión y
mantenimiento de tres características elementales:
 Confidencialidad. La información sólo debe ser vista por aquellos que
tienen permiso para ello.
 Integridad. La información podrá ser modificada solo por aquellos con
derecho a cambiarla.
 Disponibilidad. La información deberá estar disponible en el momento
en que los usuarios autorizados requieren acceder a ella.

15. Sistema de Gestión de la
Seguridad de Información
 Es un sistema de gestión que comprende la política, la estructura
organizativa, los procedimientos, procesos y los recursos necesarios
para implementar la gestión de la seguridad de la información. Es
la herramienta de la que dispone la Dirección de las
organizaciones para llevar a cabo las políticas y objetivos de
seguridad.
 Sistema de Gestión de Seguridad de la Información, es el punto
central de la norma 2700.

16. Sistema de Gestión de la
Seguridad de Información (Cont.)

17. ISO/IEC 27002
 Política de seguridad.
 Aspectos organizativos para la
seguridad.
 Clasificación y control de
activos.
 Seguridad ligada al personal.
 Seguridad física y del entorno.
 Gestión de comunicaciones y
operaciones.
 Control de accesos.
 Desarrollo y mantenimiento de
sistemas.
 Gestión de incidentes de
seguridad de la información.
 Gestión de continuidad de
negocio.
 Conformidad.
 “Conjunto de recomendaciones sobre qué medidas tomar en la
empresa para asegurar los Sistemas de Información.”
 Secciones:

18. Dominios ISO 27002

20. Implementación
 Herramientas y buenas prácticas:
 https://iso27002.wiki.zoho.com/

21. Dominios relacionados con la
Administración de Proyectos Informáticos
Dominios ISO 27001 Relación
Políticas de Seguridad
Compromiso e Involucramiento de
las partes.
Organización de la Seguridad Roles y Responsabilidades
Administración de Activos
La necesidad de hacer las cosas a la
medida justa
Administración de las Comunicaciones y
Operaciones
El Gobierno de TI
Control de Acceso Procesos y Controles claves
Adquisición, desarrollo y mantenimiento de Sistemas
de Información.
Procesos y Controles claves
Plan de Continuidad del Negocio
Su desarrollo, Roles y
Responsabilidades
Cumplimiento de Leyes y Regulaciones
Impacto Real, Roles y
Responsabilidades

22. FASES DEL PROCESO DE CERTIFICACIÓN

23. Conclusiones
 Una vez que el Sistema de Gestión de la Seguridad de la
Información ha sido implementado en una organización, se puede
optar por su certificación, siguiendo el estándar ISO 27001, ante un
Organismo Internacional de Acreditación.
 El propósito de una certificación le demuestra al mercado que la
organización tiene un adecuado Sistema de Gestión que da
Seguridad de la Información.
 La existencia del certificado no implica que la empresa este libre
de riesgos, sino que la empresa ha implantado un adecuado
sistema de gestión de dichos riesgos y un proceso de mejora
continua.

24. Bibliografía
 Benjumea, O. ¿Sabes diferenciar la ISO 27001 y la ISO 27002?
Recuperado el 15/4/2013, de
http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-
iso-27001-y-la-iso-27002
 Enjuto, J. (2007). Diferencias entre ISO 27001 e ISO 27002. Recuperado el
15/4/2013, de http://secugest.blogspot.com/2007/09/diferencias-entre-
iso-27001-e-iso-27002.html
 Estándares y Normas de Seguridad. Recuperado el 11/4/2013, de
http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
 ISO 27002. Recuperado el 11/4/2013, de
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
 Rodríguez, J. Gestión de la Seguridad. Recuperado el 11/4/2013, de
http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/Gestion
DeLaSeguridad.pdf