¿Qué es ISO 27000?

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco
de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada,
grande o pequeña.

PARA QUE SIRVE EL ISO 27000?

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a
mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de
productos y tecnologías.
CARACTERISTICAS DE LA NORMA ISO27000

• CONFIDENCIALIDAD: la propiedad que esta información esté disponible no sea divulgada a

personas, entidades o procesos no autorizados.

• SEGURIDAD DE INFORMACIÓN: preservación de la confidencialidad, integridad, disponibilidad de la

información; además, también pueden estar involucradas otras propiedades como la autenticidad,
responsabilidad, no-repudio, y confiabilidad.

• SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: es parte del sistema gerencial

general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar,
mantener y mejorar la seguridad de la información
 ¿Qué es la ISO 27001?
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad
de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a
las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para
mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la

competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles

establecidos en la norma ISO 27002.
 Estructura de la norma ISO 27001
1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso,
finalidad y modo de aplicación de este estándar.

2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la

aplicación de ISO27001.

3. Términos y Definiciones: Describe la terminología aplicable a este estándar.

4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones

sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y
expectativas de las partes interesadas y la determinación del alcance del SGSI.

5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización
han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su
liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la
organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.

6. Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de

riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la
Información, así como de establecer objetivos de Seguridad de la Información y el modo de
lograrlos.

7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la
organización debe contar con los recursos, competencias, conciencia, comunicación e
información documentada pertinente en cada caso.

8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la
norma indica que se debe planificar, implementar y controlar los procesos de la organización,
hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de
ellos.

9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el
seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la
dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona
según lo planificado.

10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una
organización cuando encuentre una no conformidad y la importancia de mejorar continuamente
la conveniencia, adecuación y eficacia del SGSI.
 La norma ISO 27001 adopta un proceso enfocado para establecer, implantar, funcionar, seguir, revisar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información de la organización.
La Organización Internacional de Estandarización (ISO, por sus siglas en inglés) estableció la norma
ISO 27001, que se emplea para la certificación de los sistemas de gestión de seguridad de la
información en las organizaciones empresariales. Brinda una norma internacional para sistemas de
gestión de seguridad de la información.
Con la certificación del uso de la norma ISO 27001:2013, la empresa puede demostrar a sus clientes
actuales y potenciales, así como a sus proveedores y accionistas, la integridad en el manejo de la
seguridad de la información. También le posibilita reforzar la seguridad de la información y disminuir los
riesgos de fraude, pérdida o filtración de información.
Basada en el estándar BS 7799, el cual fue sustituido por esta norma, se la ha reorganizado para
alinearse con otras normas internacionales. Fueron incorporados nuevos controles, poniendo énfasis en
las métricas para la seguridad de la información y la gestión de incidentes.
La norma ISO 27001:2013 también se basa en otras como ISO/IEC 17799:2005, la serie ISO 13335,
ISO/IEC TR 18044:2004 y las Directrices de la OCDE para sistemas y redes de seguridad de la
información, que brindan orientación para implementar sistemas de seguridad de la información.
Como resultado de este alineamiento con otros sistemas de gestión y la operación integrada con
normas de gestión relacionadas, la implementación de norma ISO 27001 tiene como resultados:

 La armonización con normas de sistemas de gestión como ISO 9001 e ISO 14001.
 El énfasis en la mejora continúa de procesos del sistema de gestión de seguridad de la
información.
 La claridad en los requisitos de documentación y registros.
 Procesos de evaluación y gestión de los riesgos involucrados mediante el modelo del proceso
Planificar, Hacer, Verificar, Actuar (PDCA, por sus siglas en inglés).
 La protección de los activos de la empresa, desde la información digital, los documentos y
activos físicos (computadoras y redes) hasta los conocimientos de los empleados.

El certificado es emitido por un organismo de certificación independiente y autorizado. Mediante dicha

certificación quedará demostrado que la organización ha tomado las precauciones necesarias para
proteger la información contra diversos riesgos.
La norma ISO 27001 cuenta con 3 características fundamentales que garantizan su eficacia:
 Confidencialidad. Dando acceso únicamente a aquellos que estén autorizados a la información
 Integridad. En este punto se asegura la información y que los métodos de proceso sean completos y
exactos
 Disponibilidad. Asegurando que los usuarios autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran.
La aplicación de la norma ISO 27001 da una diferenciación a la empresa del resto, mejorando su
competitividad, credibilidad e imagen antes sus clientes.
Esta norma puede aplicarse a cualquier tipo de empresa, ya sea grande o pequeña, de cualquier sector
y ubicada en cualquier localidad del mundo. Pero es altamente útil para aquellas empresas que tienen
actividades financieras, sanidad, aseguradoras, sector público y tecnologías de la información.