Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security

management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de

administración de la información. El término es utilizado principalmente por la ISO/IEC 27001,
aunque no es la única normativa que utiliza este término o concepto.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de
procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los
riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo
adaptándose a los cambios internos de la organización así como los externos del entorno.
Normas  ISO 27000, descripción. Controles, Implantación y Gestión de la Seguridad de la
Información.
Desarrolla los conceptos de los estándares de seguridad serie 27000 y en particular las normas
ISO 27001 y 27002 enfocados a la implantación de un sistema de gestión de seguridad de la
información (SGSI).
El sistema de control interno. Políticas de la seguridad de la información. Normas y
procedimientos. Controles y objetivos de control. CobiT5 como marco de control. Su
implantación. Casos prácticos.
Presenta los conceptos fundamentales que vertebran el sistema de control interno de la
organización: El sistema de control interno, políticas, objetivos de control y su materialización en
controles implantados, la organización y procedimientos necesarios para su efectividad.

Ante todo, no es posible obtener la certificación ISO 27002 porque no es una norma de gestión.
¿Qué significa una norma de gestión? Significa que este tipo de norma define cómo ejecutar un
sistema; y en el caso de la ISO 27001, esta norma define el sistema de gestión de seguridad de la
información (SGSI). Por lo tanto, la certificación en ISO 27001 sí es posible.
Este sistema de gestión significa que la seguridad de la información debe ser planificada,
implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus
responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben
realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO 27001, pero
no en la ISO 27002.

Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo
A de la ISO 27001; por ejemplo, en la ISO 27002 el control 6.1.6 se denomina Contacto con
autoridades, mientras que en la ISO 27001 es el A.6.1.6 Contacto con autoridades. Pero la
diferencia radica en el nivel de detalle; en general, la ISO 27002 explica un control en toda una
página, mientras que la ISO 27001 sólo le dedica una oración a cada uno.

Por último, la diferencia está en que la ISO 27002 no distingue entre los controles que son
aplicables a una organización determinada y los que no lo son. Por otro lado, la ISO 27001 exige la
realización de una evaluación de riesgos sobre cada control para identificar si es necesario
disminuir los riesgos y, en caso que sea necesario, hasta qué punto deben aplicarse.
Cada norma de la serie ISO 27001 está diseñada con un enfoque preciso: si desea crear la
estructura de la seguridad de la información en su organización y definir su encuadre, debería usar
la ISO 27001; si desea implementar controles, debería usar la ISO 27002; si desea realizar la
evaluación y tratamiento de riesgos, debería usar la ISO 27005; etc.

ISO 27003 es un estándar internacional que constituye una guía para la implantación de un
SGSI.Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI
como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que
venían careciendo de un criterio normalizado.

Focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena
implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el
estándar ISO 27001.Contiene una descripción del proceso de delimitación del SGSI, y además el
diseño y ejecución de distintos planes de implementación.

Especifica el proceso de conseguir una aprobación para la implementación de un SGSI, define el

proyecto para dicho acometido, el cual es llamado en la norma ISO 27003 proyecto de SGSI, y da
instrucciones sobre cómo abordar la planificación de la gestión para implementar el SGSI.

La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los resultados

de un Sistema de Gestión de la Seguridad de la Información (SGSI) en ISO 27001.Este
estándar especifica cómo estructurar el sistema de medición, cuáles son los parámetros a medir,
cuándo y cómo medirlos. Además, ayuda a las empresas al establecimiento de objetivos
relacionados con el rendimiento y los criterios de éxito.El tipo de métodos requeridos expuestos
por ISO 27004 dependerán de la complejidad, el tamaño de la organización, del vínculo entre el
coste y el beneficio y el nivel de integración de la seguridad de la información que se haga en los
procedimientos llevados a cabo por la organización. Esta norma especifica cómo se ha de
constituir estos métodos y cómo deben integrarse y documentarse los datos alcanzados en el
SGSI.

La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la

gestión de riesgo en Sistemas de Gestión de Seguridad de la Información se encuentra diseñada
como soporte para aplicar de forma satisfactoria un SGSI basado en el enfoque de gestión de
riesgo.

La norma ISO 27005 reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la Información

y la tecnología de las comunicaciones”. La norma fue publicada por primera vez en junio de
2008, aunque existe una versión mejorada del año 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar
daños. El riesgo se encuentra relacionado con el uso, propiedad, operación, distribución y la
adopción de las tecnologías de la información de la empresa. Aunque no existe un método
concreto de cómo gestionar riesgos, se recomienda utilizar un proceso estructurado, sistemático y
riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.

Los indicadores de riesgo muestran si la empresa se encuentra sujeta o tiene alta probabilidad

de ser sometida a un riesgo que excede el riesgo permitido.

Gestión de Riesgos en Tecnologías de la Información con ISO 27005

La gestión del riesgo es una actividad recurrente que se refiere al análisis, a la planificación, la
ejecución, el control y el seguimiento de todas las medidas implantadas y la política de
seguridad que ha sido impuesta.

La actualización del establecimiento, mantenimiento y mejora continua de un SGSI ofrecen una

clara indicación de que una organización está utilizando un enfoque sistemático para la
identificación, evaluación y gestión de riesgos de seguridad de la información.

Identificación de riegos

Un evento solo es un riesgo si existe un grado de incertidumbre. El valor de un activo

puede cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto
pero ¿Cuánto puede cambiar? No lo sabemos. Por lo tanto es un riesgo que debemos evitar en un
proyecto pequeño. Debemos estar seguros de identificar el riesgo en realidad y no sus causas o
efectos.

ISO 27006 tiene como título oficial “Tecnología de la información -. Técnicas de seguridad

Requisitos para los organismos que realizan la auditoría y certificación de sistemas de información
de gestión de la seguridad”, se compone de 10 capítulos y 4 anexos.

El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos
formales que hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la
garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.

ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la

certificación del Sistema de Gestión de Seguridad de la Información. Se encarga de especificar los
requisitos y suministrar una guía para la auditoría y la certificación del sistema.

La norma internacional ISO 27007 forma parte de la familia de normas del Sistema de Gestión de

Seguridad de la Información (SGSI). La norma proporciona una guía para las organizaciones
certificadas para auditar SGSI.

ISO 27008 es un estándar que suministra orientación acerca de la implementación y operación de

los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que
 lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la
información.

ISO27008 soporta tanto la planificación como la ejecución del SGSI y el proceso de gestión del
riesgo del sistema de la organización..

Mejora las auditorias del SGSI a través de la optimización de la relaciones entre los procesos del
Sistema de Gestión de Seguridad de la Información y los controles necesarios para los mismos.
Además garantiza un uso eficiente y efectivo de los recursos de la auditoría.

Mientras que ISO 27007 se focaliza en la auditoría de todos los elementos del SGSI, según lo
describe ISO 27001, ISO-27008 se dirige a la comprobación de los controles de seguridad de la
información.

La norma incluye la comprobación de la conformidad técnica frente a un estándar de

implementación de seguridad de la información establecido en la empresa. No busca suministrar
orientaciones específicas sobre la verificación del cumplimiento relativo a la medición, evaluación
del riesgo o auditoría del SGSI.

Los controles técnicos de los que hablamos no se definen explícitamente en la norma, son los
conocidos como controles de seguridad de TI, que no son sino un subconjunto de los controles de
seguridad de la información descritos en la norma ISO 27001 e ISO 27002.

Estos controles que trae ISO 27008 ayudarán a la organización a:

 Comprender el alcance de los problemas o deficiencias en la aplicación y puesta en

marcha de los controles de seguridad de la información, normas de seguridad de la información y
controles de la información técnica.

 Identificar los posibles impactos en la empresa de las amenazas y vulnerabilidades de

seguridad de la información.

 Planificar actividades de mitigación de riesgos de seguridad de la información.

 Confirmar que las deficiencias de seguridad de información emergentes se han abordado

de forma adecuad.

ISO/IEC 27009 nueva norma para satisfacer necesidades específicas de Seguridad de la

Información

La gestión del riesgo asociado a un ataque cibernético es una prioridad permanente para
organizaciones de todos los sectores. Debido al aumento del número de denuncias de ataques y la
mayor envergadura de los ataques, la protección de la información crítica; incluyendo la de los
clientes, es una preocupación creciente.
 Para reforzar la oferta disponible enfocada a la protección de sectores industriales complejos,
como salud, finanzas y transporte, la Organización Internacional de Normalización (ISO) ha
publicado la norma ISO/IEC 27009 de Tecnología de la Información - Técnicas de seguridad -
Aplicación específica de la norma ISO/IEC 27001 para cada sector - Requisitos, que proporciona
una orientación sobre la inclusión de requisitos y controles específicos del sector, además de los
establecidos por la norma ISO/IEC 27001:2013 de Sistemas de Gestión de Seguridad de la
Información (SGSI).

Las normas ISO 27010 proporciona, controles y orientaciones relativas específicamente a iniciar,

implementar, mantener y mejorar la seguridad de la información en las comunicaciones inter-
organizacionales e intersectoriales, es aplicable a todas las formas de intercambio y difusión de la
información, tanto pública como privada, nacional e internacional, dentro de la misma industria o
sector de mercado o entre sectores.
En particular, puede ser aplicable a los intercambios de información y el intercambio relacionados
con el suministro, mantenimiento y protección de una organización o la infraestructura crítica del
estado nación.

ISO 27011 aborda las directrices de gestión de seguridad para las organizaciones de

telecomunicaciones basadas en la norma ISO 27002.

La norma facilita modernos controles, además de una orientación para la implementación en las
empresas de telecomunicaciones. Consolida la privacidad, disponibilidad e integridad de las
infraestructuras y servicios de estas empresas.

La información para las organizaciones de telecomunicaciones es un activo esencial y por ello le

resulta necesario conservarlo debido a que es también objeto de muchas amenazas.

La norma ISO27011 nos garantiza la seguridad de la información de las empresas a través de unos

controles apropiados. Estos controles han de ser implementados, controlados, especificados y
deben de ir evolucionando a lo largo del tiempo para que se lleve a cabo el cumplimento de los
objetivos de seguridad fijados previamente por estas entidades.

Previo a la selección de controles, las organizaciones de telecomunicaciones deben identificar los

requisitos y la evaluación continua de los posibles riesgos de seguridad.

La elección de estos controles va a depender de la aceptación del riesgo que tenga esta
organización con el requisito, además, de estar sujetas a la normativa legales internacionales o no
pertinentes.

Con la implementación de la norma ISO-27011, las organizaciones dedicadas a las

telecomunicaciones tendrán que llevar a cabo las siguientes pautas:

 Proteger la integridad, confidencialidad y disponibilidad de las infraestructuras y servicios.

 Asegurar la disminución de los riesgos de los servicios que las empresas de

telecomunicaciones prestan mediante procesos de cooperación fiables.
 Han de saber reordenar los recursos para que las actividades llevadas a cabo sean más
eficientes.

 Tener la capacidad de hacer que la moralidad de las personas y la confianza de las

mismas mejoren.
 ISO/IEC 27012: conjunto de requisitos y directrices de gestión de seguridad de la
información en organizaciones que proporcionen servicios de e-Administración.

ISO 27013: CÓMO INSTAURAR UN ÚNICO SISTEMA DE SEGURIDAD DE LA INFORMACIÓN Y

GESTIÓN DE SERVICIOS
internacional ISO/IEC 27013, en la que se proporciona a las organizaciones el cómo lograr
un uso integrado de las normas de sistemas de gestión de servicio y de seguridad de la
información.
La relación entre la seguridad de la información y la gestión de los servicios es muy estrecha,
puesto que muchas organizaciones ya han reconocido los beneficios de adoptar los lineamientos
de la norma ISO/IEC 27001 para seguridad de la información, junto con los de la ISO/IEC
20000-1 para la gestión de servicios.
Dichas normas tienen un enfoque muy similar en cuanto a procesos y actividades, incluido el
importante principio de mejora continua. Con la implementación de un sistema de gestión que
integra ambas Normas Internacionales se obtienen un gran número de ventajas para la
organización, no sólo en la eficiencia de la proveeduría del servicio, también se gana en el
aseguramiento de la información proporcionada por los clientes, proveedores y la organización
misma.
Beneficios de la instauración de un Sistema de Gestión:
Confianza y credibilidad por parte de los clientes internos y externos de la organización gracias a la
eficiencia en servicio y seguridad del mismo.
Reducción de costos por la implementación de un sistema integrado.
Reducción en el tiempo de implementación de la integración de los procesos de acuerdo con
ambas normas.
Eliminación de duplicidad de tareas, procesos y registros.
Mejora en el proceso de certificación.
Este documento está dirigido a auditores, organizaciones que cuentan con sistemas se
seguridad de la información y/o de gestión de servicios; además de organizaciones involucradas
con la capacitación o certificación de auditores.

SO 27014 es una norma de seguridad de la información, la cual facilita orientación sobre los
principios y conceptos para gobernar la seguridad de la información. A través de esta, las
organizaciones podrán dirigir, comunicar, evaluar y controlar la seguridad de la información que
está relacionada con las actividades de la organización.

ISO 27015 determina la orientación de las organizaciones que llevan a cabo una prestación de
servicios financieros con la finalidad de servir de apoyo a la gestión de seguridad de la información
de sus activos y de la información procesada.

Las empresas del sector financiero se están centrando tanto en redes más abiertas como en
prestar servicios de banco electrónico y móvil, lo que quiere decir que en este momento se
enfrentan a unos retos nuevos sobre las amenazas de seguridad de la información como el
malware, ataques cibeméticos y phising.
 Para hacer frente a estos retos, deben implantar un sistema de gestión de la seguridad de la
información idóneo para poder disminuir y prevenir los impactos y riesgos a los datos financieros y
de los clientes y así, confirmar un nivel de seguridad de la información efectivo y un nivel de
privacidad adecuado para sus servicios y productos.

Las ventajas de dicha norma son:

 Otorgar asesoramiento y orientación sobre el empleo de los controles y requisitos de dicha

de las normas ISO/IEC 27001 e ISO/IEC 27002 en empresas de servicios financieros. Las
organizaciones de dichos servicios obtendrán beneficios de la adquisición de esta norma, debido a
que se les va a permitir aplicar con mayor facilidad gracias a estos controles y requisitos.

 La orientación y el asesoramiento incluidos en esta norma para las organizaciones de

servicios financieros es muy genérico, es decir, se puede emplear en cualquier parte del mundo,
sin que importe el tamaño de la empresa pero con el requisito de que formen parte de los servicios
financieros.

ISO 27008 aporta información acerca de la implementación de los controles de seguridad y sobre

cómo se puede verificar el cumplimiento técnico. Aunque no está dirigido a entidades
certificadoras, su uso es útil tanto para las organizaciones como para las certificadoras. Ofrece una
orientación sobre cómo abordar los controles definidos en la norma ISO 27002.

ISO 27010 trata sobre intercambio de información entre organizaciones, los riesgos que conlleva,
los controles que se pueden implementar, las incidencias que pueden ocurrir. Está muy orientada a
la protección de la información que se intercambia relacionada con las Infraestructuras Críticas.
Propone reglas habituales para que no ocurran problemas de seguridad en los intercambios de
información sensible.

ISO 27011 está orientada a las organizaciones del sector de las telecomunicaciones. Debido a la
importancia de la información en este fragmento de empresas, propone un listado de controles y la
forma de implementarlos con un enfoque especial para este tipo de organizaciones.

ISO 27013 estándar que guía la integración entre las normas 27001 y 20000. Ayuda a las
organizaciones a implementar ambos estándares a la vez o a beneficiarse de la implementación de
uno de ellos basándose en otro existente. Esta norma contiene un anexo que compara ambos
estándares.

ISO 27014 es una guía estándar para la gobernanza de la seguridad de la información. Facilita la
dirección, control y evaluación de la seguridad de la información en las actividades de la
organización.

ISO 27015 proporciona una guía para iniciar, implementar, monitorizar y mejorar un Sistema de
Gestión de Seguridad de la Información en el sector financiero. Cada vez está cobrando mayor
importancia debido al crecimiento masivo de las operaciones bancarias en línea y las
organizaciones bancarias están apoyándose en ella para implementar su sistema de gestión.

ISO 27016 proporciona una guía para la valoración de los aspectos económicos de la seguridad de
la información. Sirve para entender las consecuencias económicas que puede tener mantener la
información protegida en una organización.
ISO 27018 es una guía para la protección de datos e información personales para los prestadores
de servicios en la nube. La privacidad y la seguridad en los entornos cloud está rodeada de
grandes interrogantes, bajo este contexto, esta norma proporciona un conjunto de buenas prácticas
que pretende aportar confianza en el sector.

ISO 27019 es un conjunto de buenas prácticas basadas en la norma 27002 para que la industria de
la energía pueda implementar un Sistema de Gestión de la Seguridad de la Información.

La norma ISO 27031 es un estándar especificado en la norma ISO 27001 de gestión de

seguridad para servir como una guía para la “Gestión de la Tecnología de Información y
Comunicación y obtención de Continuidad de Negocio”.

La norma ISO 27001 describe los conceptos y principios de la tecnología de información y

comunicación. Además, proporciona un marco de métodos y procesos para identificar y
especificar todos los aspectos para mejorar la preparación de las TIC de una empresa para
asegurar la continuidad de negocio.

En el ámbito de la aplicación de la norma ISO 27031 podemos decir que abarca todos los
eventos e incidentes que se relacionan con la seguridad que puede tener un impacto en la
infraestructura y los sistemas TIC. Incluye y se extiende a las prácticas de manejo de incidentes
de seguridad de la información y la gestión de la planificación y preparación para las TIC y los
servicios.

La norma en cuestión tiene como objetivo proporcionar la continuidad de los servicios prestados
por el departamento de TI para las otras unidades de negocio. Los servicios son
proporcionados por los departamentos de TI, lo que garantiza la continuidad de los procesos
críticos de negocio de las organizaciones que se denominan de forma colectiva como los
servicios.

Las interrupciones en los servicios prestados a través de las infraestructuras y sistemas

gestionados afectan a la continuidad de los procesos de negocio. Cuando la norma ISO 27031
es usada como una guía, permite a las organizaciones estar listas contra eventos imprevistos en
un entorno cambiante y arriegado.

Norma ISO/IEC 27032, nuevo estándar de ciberseguridad

La organización ha explicado que pretende garantizar la seguridad en los intercambios de

información en la Red con este nuevo estándar, que puede ayudar a combatir el cibercrimen con
cooperación y coordinación.

ISO es una entidad enfocada al desarrollo de normas internacionales que permiten un uso común
de todo tipo de herramientas. Su participación en Internet es fundamental, sobre todo en el campo
de la seguridad. Disponer de estándares que garanticen la calidad y protección de operaciones y
actividades online es una forma de mejorar la seguridad, por lo que los desarrollos y actividades
 de ISO son fundamentales. 

Con esos objetivos, ISO ha presentado un nuevo estándar para mejorar la seguridad online. En

concreto, desde la organización han explicado que actualmente el “ciberespacio es un entorno
complejo que consta de interacciones entre personas, software y servicios destinados a la
distribución mundial de información y comunicación”. Se trata de un contexto muy grande en el que
“la colaboración es esencial para garantizar un entorno seguro”. 

Para intentar cubrir lagunas de otros estándares ha nacido ISO/IEC 27032, según explican
desde ISO. Se trata de un estándar que garantiza directrices de seguridad que desde la
organización han asegurado que “proporcionará una colaboración general entre las múltiples
partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/IEC
27032 proporciona un marco seguro para el intercambio de información, el manejo de incidentes y
la coordinación para hacer más seguros los procesos. 
“La norma (ISO/IEC 27032) facilita la colaboración segura y fiable para proteger la privacidad de
las personas en todo el mundo. De esta manera, puede ayudar a prepararse, detectar, monitorizar
y responder a los ataques”, han explicado desde ISO. La organización espera que ISO/IEC
27032 permita luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos
de software no deseado. 

La norma ISO 27033:

 Da el camino que hay que seguir sobre la forma de identificar y estudiar los riesgos de
seguridad de red y el concepto de los requisitos de la seguridad de la red en relación a ese
análisis.

 Proporciona una visión total de los controles que la red técnica de arquitecturas, seguridad,
controles técnicos asociados, controles no técnicos admiten.

 Proporciona las pautas de conseguir una buena calidad de red arquitecturas técnicas de
seguridad y riesgos, control de los aspectos relacionados con los escenarios de la red, el diseño y
los escenarios usuales de la red de las zonas de “tecnología”.

 Explica de forma muy general los asuntos asociados con los controles de seguridad de la
red de operaciones, con la aplicación, y con el seguimiento y evaluación de su aplicación.

SO 27034 proporciona una guía de seguridad de la información dirigida a los agentes de negocio y

de TI, auditores y desarrolladores y los usuarios finales de las TIC, es decir, sirve para aquellas
personas que llevan a cabo el diseño, programación, adquisición y uso de los sistemas de
aplicación.
 La finalidad de dicha norma es asegurar que las aplicaciones informáticas conceden el nivel
necesario o deseado de la seguridad en apoyo del Sistema de Gestión de Seguridad de la
Información de las empresas.

La ISO-27034 proporciona orientación sobre el diseño, selección, especificación y aplicación de los

controles de seguridad de la información mediante un conjunto de procesos que están integrados a
través del Desarrollo de Sistemas de Ciclo de una organización (SDLC).

Son un conjunto de aplicaciones de software que se han realizado internamente, a través de la

adquisición externa de enfoques híbridos

Además, dicha norma trata todos los aspectos de la determinación de los requisitos de seguridad
de la información, así como de la prevención del uso o accidentes de una aplicación que no es
autorizada.

La norma ISO27034 va a dar una visión muy general de seguridad de la aplicación. Además, de

dar las definiciones y/o conceptos y procesos que intervienen en dicha seguridad.

SO 27035 explica un enfoque de mejores prácticas destinado a la gestión de la información de

incidentes de la seguridad.

Los controles de la seguridad de la información no son perfectos debido a que pueden fallar,
pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no están en
funcionamiento. Debido a esto, los incidentes pasan debido que los controles preventivos no son
totalmente eficaces o fiables.

La gestión de incidentes da lugar a que existan controles de detección y correctivas que estarán
destinadas a reducir los impactos desfavorables y aprender las lecciones sobre mejoras en el
SGSI.

La norma proporciona un enfoque estructurado para:

 Identificar, comunicar y evaluar los incidentes de la seguridad de la información

 Contestar, gestionar los incidentes de la seguridad de la información

 Identificar, examinar y gestionar las vulnerabilidades de seguridad de la información

 Aumentar la mejora de la continuidad de la seguridad de la información y de la gestión de

los incidentes, como respuesta a la gestión de incidentes de la seguridad de la información y de las
vulnerabilidades.

La orientación de la seguridad de la información en ISO-27035 se puede aplicar a todas las

organizaciones, ya sean pequeñas, medianas o grandes. Además, se da orientación de forma
 específica para las empresas que presten servicios de gestión de incidentes de seguridad de
información.

ISO-27035 constituye un proceso con cinco etapas que son claves:

 Preparase para enfrentarse a los incidentes.

 Reconocer los incidentes de seguridad de la información.

 Examinar los incidentes y tomar las decisiones sobre la forma en que se han llevado a
cabo las cosas.

 Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.

 Aprender de las lecciones.

ISO/IEC 27036-1 2014 Es la primera parte de la norma 27036 que aborda como se deben realizar
las relaciones con terceras partes, en particular la 1 es donde se da el contexto de la norma y los
conceptos asociados. Publicada en marzo del 2014. ISO/IEC 27036-2 2014 Se especifican los
requerimientos de seguridad de la información que se deben cumplir al definir, implementar,
operar, monitorear, revisar, mantener y mejorar en las relaciones con terceros (proveedores y
adquirientes). 

ISO/IEC 27037:2012 Nueva norma para la Recopilación de Evidencias.

La actuación de campo de la recopilación de las evidencias es un actividad extremamente delicada
y compleja.  La valía legal y técnica de las evidencias en la mayoría de ocasiones depende del
proceso realizado en la recopilación y preservación de las mismas.
Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación pericial en el
escenario de la recogida, identificación y secuestro de la evidencia digital, no entra en la fase de
Análisis de la evidencia.

Las tipologías de dispositivos y entornos tratados en la norma son los siguientes:

 Equipos y medios de almacenamiento y dispositivos periféricos.

 Sistemas críticos (alta exigencia de disponibilidad).
 Ordenadores y dispositivos conectados en red.
 Dispositivos móviles.
 Sistema de circuito cerrado de televisión digital.

ISO/IEC 27038 2014 Es una guía que especifica las técnicas para llevar a cabo la redacción digital
en documentos digitales, además, especifica los requerimientos y métodos de control para realizar
una redacción segura. Publicada en marzo del 2014

SO/IEC 27039 proporciona directrices de ayuda a las organizaciones en la implantacion de

sistemas de prevención y detección de intrusiones (IDPS), específicamente, en las actividades de
su selección, implementación y operativa.
El alcance afirma "Esta Norma Internacional proporciona directrices para ayudar a las
organizaciones en la preparación para implementar el sistema de prevención de detección
de intrusiones  (PDI). 
 
Bien diseñado, implementado configurado, administrado y operado IDPS son valiosos en varios
aspectos, por ejemplo: Facilita a los profesionales de seguridad de la información controlar,
analizar y responder a los incidentes de seguridad de la red.
Le dan una garantía adicional a la gestión de las cuestiones de seguridad en las redes y sistemas
en red, siendo identificados y mitigados los incidentes detectados.

SO / IEC 27040: 2015 Tecnología de la información - Técnicas de seguridad - la seguridad de

almacenamiento, proporciona orientación técnica detallada sobre cómo gestionar eficazmente
todos los aspectos de seguridad de almacenamiento de datos, desde la planificación y el diseño
hasta la implementación y documentación.

Incluye orientaciones sobre la mitigación de riesgos de violaciones de datos y la corrupción y tiene

en cuenta las nuevas tecnologías y las complejidades de la conectividad y es compatible con los
requisitos de un Sistema de Gestión de Seguridad de la Información según la norma ISO/IEC
27001: 2013, Tecnología de la información - Técnicas de seguridad - Información sistemas de
gestión de la seguridad - Requisitos.
ISO 27799 proporciona las directrices que sirven de apoyo a la aplicación y a la interpretación de la
informática en salud de la norma ISO/IEC 27002, ya que es un complemento de dicha norma.

Determina un conjunto de controles específicos para la gestión de seguridad de la información

aplicada a la industria sanitaria proporcionando directrices sobre las mejores prácticas.A través de
la adopción de esta norma internacional, las empresas del sector sanitario podrán asegurar un
nivel mínimo de seguridad adecuado a las circunstancias de su organización. Además, va a
permitir la integridad, disponibilidad y confidencialidad de la información de los pacientes.

se utiliza en la información relativa a la salud en cada uno de sus aspectos, cualquiera que sea su
forma de información (grabaciones sonoras, dibujos, números y palabras…), cualquiera que sea el
medio a utilizar para guardarla (escritura en papel, almacenamiento electrónico…) debido a que la
información tiene que estar protegida siempre adecuadamente.

La norma se preocupa por las necesidades de gestión de la seguridad de la información

específicamente del sector sanitario y de sus entornos más competitivos.

Aunque la seguridad y protección de la información personal es fundamental para todas las

organizaciones, instituciones, personas y gobiernos, en el sector sanitario existen unas exigencias
especiales que tienen que cumplirse para garantizar la integridad, confidencialidad, auditabilidad y
disponibilidad de la información de la salud personal.

Esta clase de información es considerada como una de las informaciones más confidenciales, por
tanto su protección es muy importante.

Un aspecto vital es que el ciclo de vida de la información tiene que ser totalmente auditable.
Además, su disponibilidad es muy significativa para que la asistencia sanitaria sea eficaz.