• Otros estándares

    Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos.

    Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo.

    En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes.

    Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo. Puede consultar nuestra sección de Herramientas para encontrar enlaces a muchos de ellos.

    Acceda directamente a las secciones de su interés en el submenú de la izquierda o siguiendo los marcadores de final de página.

  • Normas ISO del SC27

    ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria.

    ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee).

    Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una página web donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo.

    Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5.

    El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.

    ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información - SGSI.

    Las actividades de este grupo de trabajo incluyen:

    • Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000.

    • Identificación de requisitos para futuros estándares y directrices relativas a los SGSI.

    • Colaboración con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estándares relativos a la implementación de objetivos de control y controles definidos en ISO/IEC 27001.

    • Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.

    ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía.

    Las actividades de este grupo de trabajo incluyen:

    • Identificación de las necesidades y los requisitos de técnicas y mecanismos de seguridad en sistemas y aplicaciones de TI.

    • Desarrollo de terminología, modelos generales y estándares de dichas técnicas y mecanismos para su uso en servicios de seguridad.

    • Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no, que cubran aspectos como confidencialidad, autenticación, no repudio, gestión de claves, integridad, etc.

    ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad.

    Las actividades de este grupo de trabajo incluyen:

    • Desarrollo de estándares de evaluación y certificación de la seguridad de sistemas, componentes y productos de tecnologías de la información.

    • Tratamiento de los tres aspectos a considerar en este ámbito: criterios de evaluación, metodología de aplicación de dichos criterios y procedimientos administrativos para la evaluación, la certificación y los esquemas de acreditación.

    • Coordinación con los comités ISO responsables de estándares de comprobación y gestión de calidad para no duplicar esfuerzos.

    ISO JTC1 / SC27 / WG4: servicios y controles de seguridad.

    Las actividades de este grupo de trabajo incluyen:

    • El desarrollo y mantenimiento de estándares y directrices relativas a servicios y aplicaciones que apoyen la implantación de objetivos de control y controles definidos en ISO/IEC 27001.

    • Identificación de requisitos y desarrollo de futuros estándares en áreas como continuidad de negocio, ciberseguridad, externalización (outsourcing), etc.

    • Colaboración con otros grupos de trabajo del SC27, en particular con el WG1.

    • Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.

    ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad.

    Las actividades de este grupo de trabajo incluyen:

    • Desarrollo y mantenimiento de estándares y directrices relativos a los aspectos de seguridad de la gestión de identidad, biometría y protección de datos personales.

    • Identificación de requisitos y desarrollo de futuros estándares en áreas como control de acceso basado en roles (RBAC), provisioning, identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologías para la mejora de la privacidad (PETs), técnicas de autenticación biométrica, protección de datos biométricos, etc.

    • Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de gestión, WG2 en técnicas de seguridad y WG3 en evaluación.

    • Contacto y colaboración con otros comités y organizaciones tales como ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc.

    Puede obtenerse una lista actualizada de los estándares en vigor publicados por el subcomité 27.

    Puede obtenerse una lista actualizada de los estándares en desarrollo del subcomité 27 en el siguiente enlace.

  • ISO/IEC 20000

    Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar británico BS 15000.

    ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este documento ha sido revisado en 2011 y comprende 9 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de control” y “Procesos de liberación”.

    ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO 20000-1.

    ISO/IEC TR 20000-3: proporciona orientación sobre la definición del alcance, la aplicabilidad y la demostración de la conformidad de los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO/IEC 20000-1, o por los proveedores que están planeando mejoras de suss servicios y la intención de utilizar la norma ISO/IEC 20000 como un objetivo de negocio. También puede ayudar a los proveedores de servicios que están considerando utilizar la norma ISO/IEC 20000-1 para la aplicación de un sistema de gestión de servicios (SMS) y que necesitan asesoramiento específico sobre si la norma ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de definir el alcance de sus SMS.

    ISO/IEC 20000-4: proporciona un proceso de evaluación acorde a los principios de ISO/IEC 15504. ISO/IEC 20000-4 describe en un nivel de abstracción los procesos incluidos para la provisión de gestión de los servicios según ISO/IEC 20000-1 y en términos de objetivos y resultados para cada uno de los procesos.

    ISO/IEC TR 20000-5: proporciona un ejemplo del proceso de implantación que cumple con los requisitos de la norma ISO/IEC 20000-1.

    ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la introducción de un paso intermedio.

  • ITIL

    “IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.

    Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión.

    ITIL v2 (versión 2) sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”.

    Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:

    • Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible.

    • Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente.

    • Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización.

    • Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones.

    • Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.

    • Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio.

    • Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio.

    • Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otros.

    Actualmente existe una nueva versión ITIL V3 que fue publicada en mayo de 2007 que incluye cinco libros principales, concretamente: Diseño de Servicios de TI, Introducción de los Servicios de TI, Operación de los Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte de las prácticas actuales de la versión 2 en torno al Ciclo de Vida de los Servicios.

  • NIST Serie 800

    El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.

    La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida.

    Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga.

    Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.

  • CobiT

    El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.

    Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares).

    Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO 27001.

    CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio.

    No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT"CGEIT.

  • UNE 71502:2004

    Norma española certificable, desarrollada en base a BS7799-2:2002, que establece las especificaciones para los sistemas de gestión de seguridad de la información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo A.

    Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización.

    Fue publicada en Febrero de 2004 ante la perspectiva de la publicación de la norma internacional para el 2008-2009. Sin embargo, la publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de la norma española. Con la traducción al español de ISO 27001 y su publicación como UNE-ISO/IEC 27001, UNE 71502 quedó anulada en favor de la norma internacional a fecha 31 de Diciembre de 2008.

    Normas y numeración de referencia:

    UNE71501-1 IN – Parte 1: Conceptos y modelos para la seguridad TI

    UNE71501-2 IN – Parte 2: Gestión y planificación de la seguridad TI

    UNE71501-3 IN – Parte 3: Técnicas para la gestión de la seguridad TI

    UNE-ISO/IEC 17799:2002 Código de buenas prácticas para la gestión de la seguridad de la información.

    Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por UNE 71502:2004 requieren de un esfuerzo mínimo para su reconocimiento internacional bajo la norma ISO 27001.

    Puede descargar esta tabla comparativa en formato .pdf.

  • BS 7799-3

    BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799, dedicada a la gestión de riesgos de seguridad de la información.

    ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la empresa.

    BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.

    El estándar ISO/IEC 27005 coincide en buena parte de los elementos especificados en BS 7799-3 pero toma referencias adicionales de otros estándares reconocidos como el estándar australiano "AS/NZS 4360:2004, Risk Management" o la guía "ISO/IEC Guide 73:2002, Risk management", entre otros y, por tanto, ha permitido mantener en vigencia el estándar BS 7799-3 como un posible documento de utilidad para la evaluación de riesgos.

  • PAS 99

    BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestión y puede ser utilizado por las organizaciones como un marco de integración de sistemas.

    Hoy en día, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestión: calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral según OHSAS 18001, seguridad de la información según ISO 27001... Todos estos sistemas tienen metodologías, procesos, objetivos, documentación, etc., en común, lo que abre el camino a la integración de los mismos en un solo sistema de gestión, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantación y mantenimiento.

    PAS 99 da directrices sobre cómo abordar un proceso de integración de sistemas de gestión, teniendo en cuenta los seis requisitos comunes establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check-Act). BSI pone a disposición otras publicaciones relacionadas con la integración de sistemas.

    Puede descargar esta imagen en alta resolución.

  • BS 25999

    Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.

    BSI (British Standards Institution) publicó en 2006 BS25999-1, que es un código de buenas prácticas dedicado a la gestión de la continuidad de negocio.

    Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organización puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prácticas de BCM (Business Continuity Management). Está pensada para su uso por cualquier organización grande, mediana o pequeña, tanto del sector público como privado.

    En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio.

    Existe una traducción de las partes 1 y 2 publicadas en español y denominadas "UNE 71599-1:2010 Gestión de la continuidad del negocio. Código de práctica" y "UNE 71599-2:2010 Gestión de la continuidad del negocio. Especificaciones" y disponibles para su adquisición conjunta desde la página de AENOR.

    Este estándar sirve actualmente de base para el desarrollo de un estándar internacional denominado ISO 22301.

  • BS 25777

    BSI (British Standards Institution) publicó en 2006 un documento llamado PAS 77 (PAS = Publicly Available Specification), que es un código de buenas prácticas que establece un marco y da unas directrices generales para crear un plan de continuidad de servicios de tecnologías de la información. Desarrollado por BSI en conjunto con Adam Continuity, Dell Corporation, Unisys y SunGard, está orientado para organizaciones de todo tipo.

    BSI ha desarrollado este documento PAS 77 como un estándar denominado BS 25777:2008 y que fué publicado en Diciembre de 2008.

    Este documento normativo es un código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TIC en una organización siguiendo el marco de BS 25999-1.

    Con la publicación del estándar BS ISO/IEC 27031:2011 en base a los principios especificados en BS 25777, este último ha quedado reemplazado definitivamente.

  • COSO-Enterprise Risk Management / SOX

    El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.

    COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).

    El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94).

    Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

    Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo.

    Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.

    Información adicional en el informe ejecutivo y marco general de la norma.

    COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI.

    COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información, conviene mencionarlo en esta sección.

    La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.

    Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa.

    Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO.

    Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT.