Preguntas Frecuentes

Respuestas breves a preguntas habituales sobre el origen, implementación y ventajas de la norma ISO 27001 y los Sistemas de Gestión de Seguridad de la Información (SGSI)

FAQ - ISO 27001

ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…).

ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio.

ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.

Es una publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología.

Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).

En principio, son de uso voluntario, aunque la legislación y las reglamentaciones nacionales pueden hacer referencia a ellos.

Desde el 1 de enero de 2017, queda la Asociación Española de Normalización (UNE) como una entidad privada, multisectorial y sin fines lucrativos, designada por el Ministerio de Economía, Industria y Competitividad como organismo nacional de normalización segregando sus actividades de las mercantiles que quedan transferidas a AENOR Internacional SAU

UNE es el único Organismo de Normalización en España y como tal ha sido designado por el Ministerio de Economía, Industria y Competitividad ante la Comisión Europea.

En este sentido, UNE es el representante español en los organismos internacionales ISO/IEC y en los europeos CEN/CENELEC siendo, asimismo, el organismo nacional de normalización de ETSI.

Las actividades de AENOR como sociedad mercantil para la prestación de servicios de certificación en diversos sectores industriales y de servicios se desarrollan en un mercado de competencia abierta con otras entidades de certificación sin tener concedida ninguna exclusividad alguna.

Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.)

Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.

Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces.

Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005 y revisada para una actualización regular el 01 de Octubre de 2013 en su sgunda edición.

ISO 27002 es un conjunto de buenas prácticas en seguridad de la información. Contiene 114 controles aplicables (en relación a la gestión de la continuidad de negocio, la gestión de incidentes de seguridad, control de accesos o regulación de las actividades del personal interno o externo, entre otros muchos), que ayudarán a la organización a implantar medidas que reduzcan sus riesgos en cuanto a seguridad de la información.

ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 para su posible aplicación en el SGSI que implante cada organización (justificando, en el documento denominado “Declaración de Aplicabilidad”, los motivos de exclusión de aquellos que finalmente no sean necesarios).

ISO 27002 es para ISO 27001, por tanto, una relación de controles que son necesarios valorar para controlar el nivel de la seguridad de la información aceptable para cada organización.

ISO 27002 es un conjunto de buenas prácticas de seguridad de la información que describe 114 controles aplicables.

No es certificable por las entidades de certificación acreditadas y la aplicación total o parcial en cada organización se realiza de forma totalmente libre y sin necesidad de una supervisión regular externa.

La norma que sí es certificable es ISO 27001.

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información.

De este modo, las normas dentro de la serie de numeración ISO "27000" sirven de apoyo y guía para implementar los requisitos que aparecen indicados en ISO 27001, así como, aclaraciones sobre aspectos particulares como términos y definiciones, procesos de acreditación de entidades de certificación, adaptación a sectores industriales o servicios concretos y/o cómo integrar los SGSI con otros esquemas de gestión de sistemas o de privacidad.

Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.

Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc.

La información crítica de una empresa está presente en los sistemas informáticos, pero también en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se muestra en diversos formatos audiovisuales, se comparte en conversaciones telefónicas y reuniones y está presente en el propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco de gestión de la seguridad de toda la información de la empresa.

La presencia masiva de sistemas informáticos en el tratamiento de la información lleva a menudo a centrar la atención sólo en la informática, dejando así expuesta información esencial para las actividades del negocio.

La evaluación de riesgos previa a la implantación de controles debe partir de un análisis de los impactos que podría suponer para la organización la pérdida de la confidencialidad, la integridad o la disponibilidad de cualquier parte de su información. Esto es un estudio en términos de negocio, independiente del soporte de la información.

La aplicación posterior de controles considera temas como los aspectos organizativos, la clasificación de la información, la inclusión de la seguridad en las responsabilidades laborales, la formación en seguridad de la información, la conformidad con los requisitos legales o la seguridad física, además de controles propiamente técnicos.

La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Dirección quien debe tomar decisiones. Además, la implantación de ISO 27001 implicará cambios de mentalidad, de sensibilización, de procedimientos y tareas, etc., y la Dirección es la única que puede introducirlos en la organización.

Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es posible la implantación ni la certificación de la norma en la empresa.

La Dirección de la empresa conoce los riesgos del negocio, la tolerancia en su aceptación y las obligaciones con sus clientes y accionistas mejor que nadie.

Por tanto, los términos en que debe entender la Dirección la importancia de ISO 27001 son los de los riesgos asumibles, la continuidad de negocio y los costes de “no-seguridad”.

La Dirección no tiene por qué verse confrontada con tecnologías y descripción de amenazas desde el punto de vista técnico.

Como cualquier otro proyecto de la empresa, la certificación requiere de una inversión de mayor o menor importancia en función de las prácticas actuales en seguridad.

El retorno de la inversión es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001:

• Se aprovecha el hecho comprobado de que el coste de la implementación de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseño e implantación de las soluciones de negocio.

• Las inversiones en tecnología se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos.

• Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daños, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos.

• Se asegura la continuidad de negocio en el tiempo mínimo requerido ante cualquier incidencia, por grave que sea.

• Se evita la fuga de información esencial a competidores y medios públicos que pueda perjudicar el crecimiento, pérdida de competitividad y reputación de la empresa en el mercado en el que participa.

• Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio.

• Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciación en la protección de la información y conformidad y cumplimento de la legalidad.

El estándar se puede adoptar por la mayoría de los sectores comerciales, industriales y de servicios de pequeñas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y gobiernos entre otros.

En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologías de la información, como prueba del compromiso con la seguridad de los datos de sus clientes pero ya existen sectores como el de la automoción que obligan la certificación a su cadena de proveedores.

Las empresas públicas han ido incluyendo en sus pliegos de contratación en los últimos años la necesidad de demostrar un nivel mínimo de controles de seguridad en el tratamiento de información suficientemente garantista mediante certificaciones en ISO 27001 o similares.

ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO 9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la integración de todos ellos en un solo sistema de gestión.

Todas las normas ISO relacionadas con sistemas de gestión tienen como base de publicación y requisitos el Anexo A que facilita enormemente su integración, además de poder adaptar otros esquemas "no ISO".

Ciertamente, existen otros estándares relacionados con seguridad de la información (COBIT, COSO, NIST, ITIL, TickIT, Esquema Nacional de Seguridad, etc.), que la enfocan desde diferentes puntos de vista como a controles de seguridad, buen gobierno, gestión de servicios TI, seguridad de producto…


La organización debería considerar cuál es la mejor opción en relación a sus necesidades.

Si está planteándose abordar ISO 27001 en su organización, puede empezar por:

• Recopilar información en páginas web como esta que está visitando y asistir a eventos informativos.

• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej., ISO, AENOR en España, SINEC en México, ICONTEC en Colombia, INN en Chile, IRAM en Argentina, etc. (lista completa en ISO).

• Realizar un curso de formación, de los muchos que hay en el mercado, de introducción a la norma, a su implantación y su auditoría. En nuestra sección de Eventos podrá encontrar algunas referencias de interés.

• Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una idea aproximada de la distancia que le separa de la conformidad con la norma y el camino que habrá que recorrer.

• En muchos casos, es necesario contratar los servicios de una empresa consultora especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie externo a la organización.

• Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden aportarle puntual información.

• Paralelamente, formar y concienciar a todo el personal. En nuestra sección de Herramientas encontrará informaciones útiles sobre planes de sensibilización.

• Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. Precisamente, son esas evidencias y registros históricos los que indican al auditor externo que el sistema de gestión funciona de manera adecuada.

• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas (como en la contratación de otros servicios puede ser recomendable la estrategia de solicitar tres ofertas y comparar la calidad y coste de los proveedores de los servicios) para pedir formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria” muy recomendable para afrontar con garantías una primera certificación en la norma. En nuestra sección de Certificación encontrará información adicional que pueden ser de utilidad.

FAQ - SGSI

Un SGSI es un Sistema de Gestión de la Seguridad de la Información.

Esta gestión debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Podría considerarse, por analogía con una norma tan conocida como la ISO 9000, como el sistema de calidad para la seguridad de la información.

El propósito de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.

Son las siglas en inglés (Information Security Management System) de SGSI (Sistema de Gestión de Seguridad de la Información).

Aseguran que una organización es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestión en procedimientos escritos, instrucciones, formularios y registros que aseguren la eficiencia de la organización y su mejora continua.

Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores, de clientes, de pacientes, de ciudadanos, de I+D, ofertas comerciales, ..

La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organización.

Estos tres factores se definen inicialmente en un SGSI como:

• Confidencialidad: acceso a la información por parte únicamente de quienes estén autorizados.

• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

• Disponibilidad: acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.

Se pueden ampliar estos factores a otros como la trazabilidad, la autenticación, el no-repudio, ... según la necesidad particular y el contexto de cada organización.

Estas medidas no son más que unos pocos controles técnicos que, por sí mismos, no significan que se esté gestionando la seguridad.

Un SGSI implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las políticas y procedimientos relacionados y ha entrado en un proceso continuo de revisión y mejora de todo el sistema.

El SGSI da así la garantía a la empresa de que los riesgos que afectan a su información son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada.

No. Por influencia de la publicidad y las campañas de venta agresivas, es un error común pensar que el nivel de seguridad depende exclusivamente del presupuesto dedicado a la compra de productos relacionados. La seguridad exige de un plan de gestión del riesgo continuado, políticas adecuadas a cada empresa y una seguridad establecida en base a múltiples y diferentes barreras. Siempre hay que recordar que la seguridad no es un producto sino un proceso.

Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la continuidad adecuada de las actividades de negocio hasta en los casos más extremos y de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una mejora continua. Es más apropiado hablar en términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico que el gasto en seguridad sea mayor que los impactos potenciales de los riesgos que pretende evitar.

Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información. PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-Check-Act (Planificar-Hacer-Verificar-Actuar). En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos (cláusulas 4 a 7 de norma en base al Anexo SL)

En la fase DO (cláusula 8 de operaciones) se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT (cláusulas 9 y 10) se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de los controles según los nuevos niveles obtenidos y requeridos.

Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al cambio continuo que se produce en la organización y su entorno.

FAQ - Certificación

Es la norma que define el modelo completo de gestión de seguridad de la información según un ciclo de mejora continua. El resto de documentos de la serie se han desarrollado con ayuda para la implementación de requisitos del SGSI o como ayuda en general para la seguridad de la información en campos concretos, integración con otros marcos o adaptación a sectores industriales o de servicios específicos.

Se han popularizado las certificaciones en ISO 27017 o ISO 27018 aunque requieren en cualquier caso de la certificación conjunta de un SGSI en base a ISO 27001.

Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación.

Supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información.

Añade un factor de tensión y de concentración en un objetivo a todos los miembros del proyecto y de la organización en general, lo que redunda en beneficio de la implantación del sistema. Da una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.

Es el requisito indispensable para acceder a la certificación y poder utilizar el sello de certificación junto al de la propia empresa.

Las malas prácticas que se han producido en la dirección de las empresas han activado las alarmas. Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.

ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la información para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la información.

No necesariamente. ISO27001 indica los controles a considerar para servicios de outsourcing desde el ámbito de su empresa (requisitos contractuales, niveles de servicio, obligaciones legales, auditoría, etc.). La seguridad de los sistemas de información que están fuera del ámbito es responsabilidad de la empresa externa, que debe cumplir regularmente con los compromisos contractuales exigidos por el cliente.

No existe un registro internacional de referencia con el nombre y alcance concreto de las organizaciones certificadas en ISO 27001 a nivel mundial.

El organismo ISO sí ofrece a inicios de año un informe "ISO Survey" que muestra la evolución de los Sistemas de Gestión relacionados con los estándares adoptados con mayor éxito y ofrece resultados por cantidad, país y evolución respecto a años anteriores, aunque no especifica los detalles particulares para cada una de las certificaciones.

Las certificaciones emitidas por entidades de certificación no acreditadas no tienen la garantía del reconocimiento internacional y no cuentan por tanto en ninguna de estas dos referencias. Tampoco se garantiza que sean efectivamente consideradas efectivamente en posibles contratos con la administración o entidades privadas de ahí la importancia que la supervisión de las entidades de certificación por otra entidad superior e independiente de acreditación.

Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. En España, es ENAC (Entidad Nacional de Acreditación) quien tiene esta misión y existe como regla general una única entidad de acreditación por país (una contada excepción se localiza en Nueva Zelanda que comparte la misma entidad de acreditación con Australia).

También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera. En ISO 27001, se da frecuentemente el caso de entidades de certificación con oficinas en UK acreditadas desde un inicio con UKAS (entidad nacional de acreditación del Reino Unido) y que siguen gestionando internamente los expedientes y expedición de certificados desde UK, por carencias en la posibilidad de acreditación en ISO 27001 a nivel nacional dada su corta vida aún como ISO, por petición específica de sus clientes o temas de marketing o, incluso, por evitar múltiples tasas y auditorías de acreditación nacionales y mantener una única oficina centralizada para la tramitación de la documentación y emisión de certificados.

Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados.

Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.

También existen directrices y guías de la OCDE en este sentido pero es de esperar que más allá de la obligación regulatoria y para los casos de relación comercial, el cliente incorpore exigencias a sus proveedores relacionadas con la seguridad de los datos en las contrataciones y de forma similar a como ocurre con normas más veteranas como ISO 9001.

Ya existen de forma habitual administraciones públicas que están empezando a exigir certificados de este tipo a las empresas que quieran acceder a concursos públicos de productos o servicios relacionados con sistemas de información. Igualmente, es previsible que empresas privadas comiencen en algún momento a exigírselo a sus proveedores siempre que vaya a haber algún tipo actividad relacionada con información sensible, en particular en los casos en los que la empresa contratante ya disponga de una certificación ISO 27001.

El proceso de certificación puede resumirse en las siguientes fases:

• Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.

• Respuesta en forma de oferta por parte de la entidad certificadora.

• Compromiso.

• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.

• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

• Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave.

• Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema.

• Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable.

• Auditoría de seguimiento: auditoría semestral o anual de mantenimiento.

• Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.

© 2005 Aviso Legal - Términos de uso información iso27000.es