ISO/IEC 27001 y 27002 para la Gestión de

Seguridad de la Información

Abstract—With the increasing significance of

information technology, there is an urgent need for

adequate measures of information security. Systematic

information security management is one of most important

initiatives for IT management. At least since reports about

privacy and security breaches, fraudulent accounting

practices, and attacks on IT [1]. systems appeared in

public, organizations have recognized their responsibilities

to safeguard physical and information assets. The standards

ISO/IEC 27001 and 27002 are international standards that

are receiving growing recognition and adoption.

Keywords—Security; Standards; ISO/IEC 27001;

ISO/IEC 27002; 27 K

Resumen—Con la creciente importancia de las

tecnologías de la información, hay una necesidad urgente de

adoptar medidas adecuadas de seguridad de la información.

Un sistema de gestión de seguridad de la información

(SGSI) es una de las iniciativas más importantes para la

gestión de TI [1]. Ya que al menos los informes acerca de

privacidad y brechas de seguridad, las prácticas contables

fraudulentas, y los ataques a los sistemas de TI. Las

organizaciones han reconocido la importancia y la urgente

necesidad de incorporar la seguridad de la información,

para proteger y garantizar la privacidad y los derechos de la

organización. Las normas de seguridad se pueden utilizar

como guía o marco para desarrollar y mantener un sistema

de gestión de seguridad de la información (SGSI) adecuada.

Las normas ISO/IEC 27001 y 27002 son normas

internacionales que están recibiendo cada vez mayor

reconocimiento y adopción para la seguridad de la

información [2]. Con la norma ISO/IEC 27001 Las

organizaciones pueden obtener la certificación para

demostrar que cumplen con todos los puntos obligatorios de

la norma.

Palabras clave—Seguridad; Normas; ISO/IEC 27001;

ISO/IEC 27002; ISO 27 K

I. INTRODUCCIÓN

La información es el activo más importante de cada organización [1]. Evidentemente se tendrán otros activos, pero todos ellos serán adquiridos de algún modo, sin embargo si tenemos algún problema de seguridad con la información de la empresa no será posible volver a adquirir. Este él es el motivo por lo que debe dedicar todos los esfuerzos necesarios para garantizas la seguridad de la información corporativa. Habitualmente la gestión de seguridad de la información en una empresa esta descoordinada, no sigue un criterio común definido, de cada departamento o área, especialmente en de TI, tiene sus propias políticas y procedimientos, establecidos sin

una visión global de las necesidades de la organización, incluso alegados de los objetivos del negocio. La implantación de un sistema de gestión de seguridad de la información (SGSI), es la manera más eficaz de conseguir esta coordinación y gestión necesaria para orientar los esfuerzos y recursos, dedicados a la seguridad de la información, hacia una dirección que refuerce la consecución de los objetivos de la organización. Para la protección de la información y sistemas de información las normas y estándares ISO/IEC 27001, ISO/IEC 27002 protegen la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan.

La norma ISO/IEC 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001 [3].

La norma ISO/IEC 27002 (anteriormente denominada ISO 17799) consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones [4].

II. ESTÁNDARES INTERNACIONALES

Las Normas Internacionales ISO aportan una contribución positiva al mundo en que vivimos. Facilitan el comercio, la difusión del conocimiento, diseminan los avances innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación de la conformidad.

Las normas ISO proporcionan soluciones y beneficios para casi todos los sectores de actividad, incluida la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, dispositivos médicos, tecnologías de la información y comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la conformidad y servicios. ISO es la Organización Internacional de Normalización.

Juan Gabriel Gonzales Yauris Escuela Profesional de Ingeniería de Sistemas

Universidad Nacional José María Arguedas

Andahuaylas, Apurímac

jgonzalesyauris@gmail.com

Los 161 miembros que la componen son los organismos nacionales de normalización de países industrializados, en desarrollo y en transición, de todos los tamaños y de todas las regiones del mundo. El portafolio de ISO, con más de 18 100 normas, provee de herramientas prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo sostenible de las variables económicas, ambientales y sociales.

Las normas ISO/IEC 27001 e ISO/IEC 27002 se desarrollaron en cooperación con la "Comisión Internacional Electrotécnica" (IEC), es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas. Numerosas normas se desarrollan conjuntamente con la ISO.

III. DESARROLLO Y DIFUSIÓN DE LOS

ESTÁNDARES ISO/IEC 27001 E ISO/IEC 27002

A. Desarrollo de los Estándares

A semejanza de otras normas ISO, ISO/IEC 27000

[11]. Es un conjunto de estándares desarrollados (o en

fase de desarrollo) por ISO (Organización Internacional

de Normalización) e IEC (Comisión Electrotécnica

Internacional), que proporcionan un marco de gestión de

la seguridad de la información utilizable por cualquier tipo

de organización, pública o privada, grande o pequeña e

indica cómo puede una organización implantar un sistema

de gestión de seguridad de la información (SGSI) basado

en ISO 27001 en conjunto con otras normas de la serie

27k pero también con otros sistemas de gestión.

Desde 1901, y como primera entidad de normalización

a nivel mundial, BSI (Instituto Británico de

Normalización,) por sus siglas en inglés. Es el responsable

de la publicación de importantes normas.

La norma BS 7799 de BSI apareció por primera vez en

1995 ver Figura 1, con objeto de proporcionar a cualquier

empresa (británica o no) un conjunto de buenas prácticas

para la gestión de la seguridad de su información. La

primera parte de la norma (BS 7799-1) fue una guía de

buenas prácticas, para la que no se establecía un esquema

de certificación. Es la segunda parte (BS 7799-2),

publicada por primera vez en 1998, la que estableció los

requisitos de un sistema de seguridad de la información

(SGSI) para ser certificable por una entidad

independiente.

Las dos partes de la norma BS 7799 se revisaron en

1999 y la primera parte se adoptó por ISO, sin cambios

sustanciales, como ISO 17799 en el año 2000. En 2002,

se revisó BS 7799-2 para adecuarse a la filosofía de

normas ISO de sistemas de gestión. En 2005, con más de

1700 empresas certificadas en BS 7799-2, esta norma se

publicó por ISO, con algunos cambios, como estándar

ISO 27001. Al tiempo se revisó y actualizó ISO 17799.

Esta última norma se renombró como ISO 27002:2005 el

1 de Julio de 2007, manteniendo el contenido así como el

año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de

ISO 27001:2005, BSI publicó la BS 7799-3:2006,

centrada en la gestión del riesgo de los sistemas de

información. La revisión más reciente de esta norma fue

publicada en 2013 y ahora su nombre completo es

ISO/IEC 27001:2013 e ISO/IEC 27002:2013. Asimismo,

ISO ha continuado, y continúa aún, desarrollando otras

normas dentro de la serie 27k que sirvan de apoyo a las

organizaciones en la interpretación e implementación de

ISO/IEC 27001, que es la norma principal y única

certificable dentro de la serie.

Historia de las normas ISO/IEC 27001 e ISO/IEC

27002

Figura 1. Desarrollo de las normas ISO 27001 e ISO

27002 [12].

B. La difusión actual y Certificación de la Norma

ISO/IEC 27001

El número de certificaciones ha aumentado considerablemente en los últimos años como demostración de la relevancia que tiene la protección de la información para el desarrollo de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial de los diferentes países y en todo el mundo.

La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.

Al final del año 2013 en todo el mundo hubo 22293 ver Figura 2 certificaciones según la norma ISO 27001 [5]. Un crecimiento del 14% (2673), se había emitido en 105 países y economías, dos más que en el año anterior. Los tres países principales para el número total de certificados emitidos fueron Japón, la India y el Reino Unido, mientras que los tres primeros para el crecimiento en el número de certificados en el 2013 fueron Italia, la India y el Reino Unido[5].

Existe información regular aportada por ISO en el documento encuestas realizadas por ISO [6] donde se informa de manera detallada el resultado en el número de certificaciones acreditadas con referencia a las regiones, países, sectores industriales de mayor implantación, entre otros, para la ISO/IEC 27001 como para otros sistemas de gestión ver Figura 3.

Certificaciones de la Norma ISO/IEC 27001

Figura 2. Cantidad de certificaciones ISO/IEC 27001. [5]

Evolución de las Certificaciones ISO / IEC 27001

Figura 3. Distribución mundial de la norma ISO/IEC 27001

certificados en 2013 [6].

C. Entidades Certificadoras.

Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos.

Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.

Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea.

La acreditación de entidades de certificación para ISO/IEC 27001 o para BS 7799-2 -antes de derogarse solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de Certificación/Registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior

documento. En el caso de ISO 27001, certifican, mediante la auditoría, que un sistema de gestión de seguridad de la información SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.

Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones.

IV. ISO/IEC 27001

A. Concepto .

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos ver figura 4 y luego tratarlos sistemáticamente.

Figura 4. Estructura ISO/IEC 27001 [3].

Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO/IEC 27001 ha detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).

ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.

De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la

Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.

Sección 0 – Introducción: Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.

Sección 1 – Alcance: Explica que esta norma es aplicable a cualquier tipo de organización.

Sección 2 – Referencias normativas: Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.

Sección 3 – Términos y definiciones: De nuevo, hacen referencia a la norma ISO/IEC 27000.

Sección 4 – Contexto de la organización: Esta sección es parte de la fase de Planificación del ciclo PDCA (Planificación, Implementación, Revisión y Mantenimiento; por sus siglas en inglés), define los requerimientos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.

Sección 5 – Liderazgo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

Sección 6 – Planificación: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.

Sección 7 – Apoyo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.

Sección 8 – Funcionamiento: Esta sección es parte de la fase de Planificación del ciclo PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

Sección 9 – Evaluación del desempeño: Esta sección forma parte de la fase de Revisión del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.

Sección 10 – Mejora: Esta sección forma parte de la fase de Mejora del ciclo PDCA y define los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.

Anexo A: Este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

B. Beneficios

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

Cumplir con los requerimientos legales: cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.

Obtener una ventaja comercial: si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.

Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.

Una mejor organización: en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.

C. Revisiones 2005 y 2013 en la Norma ISO/IEC 27001

La norma ISO 27001 fue publicada por primera vez en

2005 y luego fue revisada en 2013; por lo tanto, la

versión válida actual es la ISO/IEC 27001:2013 [9]. Los

cambios más importantes de la revisión 2013 están

relacionados con la estructura de la parte principal de la

norma, las partes interesadas, los objetivos, el monitoreo

y la medición; asimismo, el Anexo A ha disminuido la

cantidad de controles (de 133 a 114) y ha incrementado la

cantidad de secciones (de 11 a 14). En la revisión 2013 se

eliminaron algunos requerimientos como las medidas

preventivas y la necesidad de documentar determinados

procedimientos.

Sin embargo, todos estos cambios en realidad no

modificaron mucho la norma en su conjunto, su filosofía

principal sigue centrándose en la evaluación y

tratamiento de riesgos y se mantienen las mismas fases

del ciclo de Planificación, Implementación, Revisión y

Mantenimiento (PDCA) [11]. Esta nueva revisión de la

norma es más fácil de leer y comprender y es mucho más

sencilla de integrar con otras normas de gestión como

ISO 9001, ISO 22301, etc.

Las empresas que han sido certificadas en ISO/IEC

27001:2005 deben hacer la transición a la nueva revisión

2013 hasta septiembre de 2015 si quieren mantener la

validez de su certificación.

D. Ciclo Deming en la norma ISO/IEC 27001

Para establecer y gestionar un Sistema de Gestión de

la Seguridad de la Información en base a ISO 27001, se

utiliza el ciclo continuo PDCA, tradicional en los

sistemas de gestión de la calidad [11]. El ciclo PDCA,

ciclo de Deming o ciclo de mejora continua es uno de los

temas que con más frecuencia aparece en el mundo

moderno de TI, tanto así que se ha ido incorporando a la

definición de estándares y mejores prácticas como ISO-

27001 o ITIL.

ISO-27001 se creó teniendo en cuenta un proceso de

seguridad de la información basada en el famoso ciclo de

Deming ciclo de mejora continua o ciclo PDCA (por las

iniciales de Plan, Do, Check y Act), creando con ello lo

que se llamó el Sistema de Gestión de la Seguridad de la

Información.

Ciclo Deming o Mejora Continua

Figura 5. Ciclo PDCA en la norma ISO/IEC 27001 [11].

E. Procesos de Certificación

Para certificar su empresa según esta norma internacional deberá conocer el proceso completo. Todos los procesos deben cumplir los requerimientos de la norma. Además, puede ser necesario añadir nuevos procesos requeridos por este estándar internacional [10].

Existen dos tipos de certificados ISO/IEC 27001: para las organizaciones y para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado.

Para obtener la certificación como organización, Defina y documente correctamente los procesos, defina indicadores y comience su medición, registre la actividad de su empresa y forme a sus empleados para que conozcan y ejecuten los procesos tal como se ha definido. Por otro lado, trabajar con una empresa de consultoría experta en ISO/IEC 27001 le ayudará:

A comprender mejor la norma y lo que pide.

A implementar los procesos con la experiencia del equipo consultor, de manera que sea más fácil implantarlos y aporte más valor a su empresa.

Reducir el tiempo de implantación al estar mucho más enfocados.

A incrementar sus posibilidades a la hora de certificarse.

Una vez haya implantado el estándar y esté funcionando un tiempo, es decir, existan todas las evidencias necesarias para que el auditor pueda comprobar que efectivamente el SGSI de la empresa está conforme a la norma ISO/IEC 27001 y hay registros e indicadores que evidencian la implantación, el control, el gobierno y sobretodo la mejora continua, usted puede

contactar con la certificadora para contratar la auditoría de certificación.

La auditoría de certificación consiste en que la empresa será auditada por un equipo auditor externo, que vendrá a nuestra empresa y revisará si efectivamente cumplimos los requerimientos de la norma. Si es así, emitirá su recomendación para certificarnos y obtendremos el sello de la certificadora como que cumplimos con la ISO/IEC 27001 ver Figura 5.

En la FASE 1 el equipo auditor revisará toda la documentación que conforma el SGSI de la organización y realizará observaciones sobre potenciales no conformidades.

En la FASE 2 el equipo auditor revisa ya toda la organización, para comprobar si existen las evidencias de que mantenemos un SGSI según la norma.

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Certificación en la Norma ISO/IEC 27001

Figura 6. Proceso de implantación y certificación en la

norma ISO/IEC 27001 [10].

La implantación de un SGSI apropiado puede tomar algunos meses a varios años, dependiendo en gran medida de la madurez de la gestión de la seguridad de TI dentro de una organización. Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT o ITIL están más cerca de adaptarse y lograr la certificación.

Existen algunas alternativas nacionales como La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) para las empresas peruanas que requieran certificarse en la Norma Técnica Peruana (NTP-ISO/IEC 27001:2008 Tecnología de la Información: Sistemas de Gestión de Seguridad de la Información. Requisitos), Podrán realizar dicha certificación de forma opcional y con recursos propios de cada entidad [7]. Cuyos controles deberán ser implementados de acuerdo a las recomendaciones de la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. 2da edición, dispuesto por la RM 246-2007-PCM.

V. ISO/IEC 27002

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

La ISO/IEC 27002:2013 proporciona directrices para las normas de seguridad de información de la organización y las buenas prácticas de gestión de seguridad de la información, incluyendo la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo seguridad de la información de la organización (s) [8].

Está diseñado para ser utilizado por las organizaciones que pretenden:

Seleccionar los controles dentro del proceso de implantación de un Sistema de Gestión de Seguridad de la Información basado en ISO / IEC 27001;

Implementar controles de seguridad de la información generalmente aceptadas;

Desarrollar sus propias directrices de gestión de seguridad de información.

La norma ISO/IEC 27002:2005 comprende la norma ISO/IEC 17799:2005. Establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos trazados proporcionan una guía general sobre los objetivos comúnmente aceptados de gestión de la seguridad de la información. ISO/IEC 27002:2005 contiene las mejores prácticas de los objetivos de control y controles en las siguientes áreas de gestión de seguridad de la información:

política de seguridad;

organización de la seguridad de la información;

gestión de activos;

recursos humanos de seguridad;

seguridad física y ambiental;

comunicaciones y gestión de operaciones;

control de acceso;

los sistemas de información de adquisición, desarrollo y mantenimiento;

información de gestión de incidentes de seguridad;

gestión de la continuidad del negocio;

cumplimiento. Los objetivos de control en ISO/IEC 27002:2005 están

destinadas a ejecutarse para satisfacer los requisitos identificados por una evaluación de riesgos. ISO/IEC 27002:2005 pretende ser una base común y guía práctica para el desarrollo de estándares de seguridad de la organización y las prácticas eficaces de gestión de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales [9].

VI. CONCLUSIONES

La información y los sistemas de están expuestos a riesgos de seguridad cada vez más. A través del aumento del apoyo a los procesos de negocio que ofrece la tecnología de información, así como el aumento del nivel de la creación de redes dentro de las empresas y con las partes externas. Un SGSI efectivo ayuda a reducir los riesgos y prevenir las violaciones de seguridad.

Las normas ISO/IEC 27001 y 27002 constituyen un marco para diseñar y operar un SGSI, basados en experiencias duraderas de desarrollo. Con estas normas se les ofrece a las empresas la oportunidad de alinear sus

procedimientos y métodos de TI para garantizar un nivel adecuado de seguridad de la información con una norma internacional.

La certificación de un SGSI según ISO/IEC 27001 también proyecta una imagen positiva a través de la verificación de un sistema de gestión de seguridad de la información. Esta norma también es llamada como un punto de referencia y una base para la evaluación en materia de seguridad de la información aquí un certificado según la norma ISO/IEC 27001 demuestra una disposición con respecto a los servicios de seguridad de la información. Las organizaciones pueden demostrar que los servicios de TI son seguros.

Las normas ISO 27001 y 27002 han sido ampliamente difundidos en Europa, América del norte y Asia. La importancia de la certificación de seguridad de la información cumple con las decisiones que una empresa brinda sus servicios en TI.

REFERENCIAS

[1] A. Alexander C. Pelnekar, “Diseño de un sistema de gestión de

seguridad de información,” Alfaomega, 2007, pp. 9-25.

[2] E. Humphreys, “Information Security Management System Standards, Normas en Sistemas de Gestión de Seguridad de la Información” Privacidad y Seguridad, Vol. 35, No. 1, 2011, pp. 7-11.

[3] ISO 27001, “Tecnología de la Información, Técnicas de Seguridad, Sistemas de gestion de seguridad de la Información , Requisitos,” Organización Internacional de Normalización, ISO, Ginebra, 2009.

[4] ISO 27002, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Organización Internacional de Normalización, ISO, Ginebra, 2009.

[5] ISO, “The ISO Survey of Management System Standard Certifications 2013, Executive summary,” Available: http://www.iso.org/iso/iso_survey_executive-summary.pdf?v2013. [Último acceso: 21 Noviembre 2014].

[6] ISO, «ISO Survey, estudio realizado por ISO» ISO, 2013. Available: http://www.iso.org/iso/home/standards/certification/iso-survey.htm?certificate=ISO/IEC%2027001&countrycode=#standardpick. [Último acceso: 15 noviembre 2014].

[7] ONGEI, “Norma tecnica peruana NTP-ISO/IEC 27001:2008”. Available http://www.ongei.gob.pe/docs/isoiec27001.pdf. [Último acceso: 12 noviembre 2014]

[8] ISO,”ISO/IEC 27002:2013” Available: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54533 [Último acceso: 23 Noviembre 2014].

[9] ISO,”ISO/IEC 27002:2015” Available: http://www.iso.org/iso/catalogue_detail?csnumber=50297 [Último acceso: 25 Noviembre 2014].

[10] C. Pelnekar, “Planificación y ejecución de la ISO 27001,Planning for and Implementing ISO 27001,” ISACA Journal, Vol. 4, No. 4, 2011, pp. 1-8.

[11] ISO 27000, "Tecnología de la Información, Técnicas de Seguridad, Código de Prácticas para la Gestión de Seguridad," Información general y Vocabulario Organización Internacional de Normalización, ISO, Ginebra, 2009.

[12] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/HistoriaISO27001.pps [Último acceso: 23 Noviembre 2014].

[13] ISO, "Técnicas de seguridad de TI,". Available: www.iso.org [Último acceso: 24 Noviembre 2014].

[14] A López y J Ruiz, ”Historia ISO 27001” Available: www.iso27000.es/download/HistoriaISO27001.pps [Último acceso: 23 Noviembre 2014].