1.2.1.B. Analiza estndares internacionales de seguridad informtica.

- BS 17799

* * BS 17799 * *
BS 17799 es un cdigo de prcticas o de orientacin o documento de referencia se basa
en las mejores prcticas de seguridad de la informacin, esto define un proceso para
evaluar, implementar, mantener y administrar la seguridad de la informacin.
Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de
control y controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue
rebautizado con la norma ISO 27002OBJETIVO.
Objetivo
El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro
de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer
transacciones y relaciones de confianza entre las empresas.
Alcance
-Aumento de la seguridad efectiva de los Sistemas de informacin.
- Correcta planificacin y gestin de la Seguridad
- Garantas de continuidad del negocio.Auditora interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organizacin.
Enfoque
* Responsabilidad de la direccin.
* Enfoque al cliente en las organizaciones educativas.
* La poltica de calidad en las organizaciones educativas.
* Planificacin: Definir los objetivos de calidad y las actividades y recursos necesarios .
Para alcanzar los objetivos
* Responsabilidad, autoridad y comunicacin.
* Provisin y gestin de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.
Educativo
* Planificacin y realizacin del producto.
* Diseo y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medicin.
* Satisfaccin del cliente.
* Auditoria Interna ISO.
* Revisin y disposicin de las no conformidades.

* Anlisis de datos.
* Proceso de mejora.

ISO/IEC 17799
Se ha sugerido que este artculo sea renombrado como ISO 27002 .
Motivo: La norma se ha actualizado y su denominacin ISO/IEC 17799 ya no est vigente. Es necesario mantener la Wikipedia
actualizada, no tendra porque tener informacin obsoleta tratndose de una enciclopedia digital. (Discusin)

ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar para la seguridad de la informacin publicado por
primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica
Internacional en el ao2000, con el ttulo de Information technology - Security techniques - Code of practice for information
security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el
documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS
7799-1 que fue publicado por primera vez en1995.
Contenido
[ocultar]

1 Publicacin de la norma en diversos pases

2 Directrices del estndar
3 Certificacin
4 Referencias
5 Vase tambin
6 Enlaces externos

[editar]Publicacin

de la norma en diversos pases

En Espaa existe la publicacin nacional UNE-ISO/IEC 17799 que fue elaborada por el comit tcnico AEN/CTN 71 y
titulada Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, que es una copia idntica y traducida
del ingls de la Norma Internacional ISO/IEC 17799:2000. La edicin en espaol equivalente a la revisin ISO/IEC 17799:2005
se estima que est disponible en la segunda mitad del ao 2006.
En Per la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones pblicas desde agosto del 2004, cuando era
Jefe de la ONGEI - PCM, el Ing. Rafael Parra Erkel, quin aprob la iniciativa, estandarizando de esta forma los diversos
proyectos y metodologas en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de
datos institucionales, la supervisin de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrnico e
Informtica - ONGEI (www.ongei.gob.pe).
En Chile, se emple la ISO/IEC 17799:2005 para disear la norma que establece las caractersticas mnimas obligatorias de
seguridad y confidencialidad que deben cumplir los documento electrnicos de los rganos de la Administracin del Estado de

la Repblica de Chile, y cuya aplicacin se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA
TCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRNICO".
En Bolivia, se aprob la primera traduccin bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalizacion y calidad
IBNORCA el 14 de noviembre del ao 2003. Durante el ao 2007 se aprobo una actualizacion a la norma bajo la sigla NB
ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.
El estndar ISO/IEC 17799 tiene equivalentes directos en muchos otros pases. La traduccin y publicacin local suele demorar
varios meses hasta que el principal estndar ISO/IEC es revisado y liberado, pero el estndar nacional logra as asegurar que
el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estndar ISO/IEC 17799. A continuacin
se muestra una tabla con los estndares equivalentes de diversos pases:

Pases

Estndar equivalente

AS/NZS ISO/IEC 27002:2006

ISO/IEC NBR 17799/2007 - 27002

SN ISO/IEC 27002:2006
DS484:2005
EVS-ISO/IEC 17799:2003, 2005 versin en traduccin
JIS Q 27002
LST ISO/IEC 17799:2005
NEN-ISO/IEC 17799:2002 nl, 2005 versin en traduccin
PN-ISO/IEC 17799:2007, basada en ISO/IEC 17799:2005
NTP-ISO/IEC 17799:2007
NB-ISO/IEC 17799:2005
SANS 17799:2005
UNE 71501
SS 627799
TS ISO/IEC 27002
BS ISO/IEC 27002:2005
UNIT/ISO 17799:2005
BS ISO/IEC 27002:2005
/ 17799-2005
GB/T 22081-2008
[editar]Directrices

del estndar

ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos
los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La
seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo

quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de
proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a
sus activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada
uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las
secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias
necesidades.
Con la aprobacin de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeracin 27.000 para la seguridad de la
informacin, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisin y actualizacin de
sus contenidos en el 2007.

[editar]Certificacin
La norma ISO/IEC 17799 es una gua de buenas prcticas y no especifica los requisitos necesarios que puedan permitir el
establecimiento de un sistema de certificacin adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems Requirements) s es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin segn el famoso Crculo de Deming: PDCA - acrnimo
de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC

17799 y tiene su origen en la norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el
propsito de poder certificar los Sistemas de Gestin de la Seguridad de la Informacin implantados en las organizaciones y por
medio de un proceso formal de auditora realizado por un tercero.

Mas Sobre ISO 17799/27001

Actualizacin de la Norma ISO 17799:2005 y Creacin de la ISO 27001:2005
En seguridad de la informacin la referencia obligada a nivel internacional es la norma ISO 17799:2000,
que incluye la seguridad informtica. Originariamente el primer estndar en seguridad de la informacin
fue desarrollado en los aos 1990, en Inglaterra, como respuesta a las necesidades de la industria, el
gobierno y las empresas para fomentar un entendimiento comn sobre el tema y establecer lineamientos
generales. En 1995, el estndar BS 7799 es oficialmente presentado. En 1998 se establecen las
caractersticas de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) que permita un
proceso de certificacin, conocida como BS 7799 parte 2.

Recin en diciembre del 2000 la organizacin de estndares internacionales (ISO) incorpora la primera
parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de
orientacin y recomendaciones en el rea de Seguridad de la informacin.
En el ao 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versin 4.0).
En cuanto a la norma ISO, las novedades son ms que interesantes. Hasta ahora muchas compaas se
alineaban a la 17799:2000 y luego tenan que certificar la norma BS 7799:2002 dado que ISO no haba
reglamentado las caractersticas de un Sistema de Gestin de Seguridad de la Informacin.
La buena noticia es que a partir de ahora se podr certificar con la nueva norma ISO/IEC 27001.
Entonces, hoy el marco terico es la ISO/IEC 17799:2005 y el marco prctico paso a ser la ISO/IEC
27001:2005. Esta ltima define el Sistema de Gestin de la Seguridad de la Informacin (SGSI). Con
estos cambios la ISO 17799:2005 que con el tiempo deber ser reemplazada por la ISO 27001 marco
terico, se incluyen novedades importantes:
1. Se agrega un nuevo dominio (Administracin de incidentes de la seguridad de la informacin), es
decir que ahora son 11 dominios.
2. Un marco terico ms fcil de aplicar, ya que cada dominio incluye el objetivo de control especfico, el
marco de implementacin y un anexo de informacin adicional. Esto permite establecer un tablero de
control ms simple e incluso auditarlo con COBIT.
3. Se han realizado actualizaciones tecnolgicas, ya que la ltima revisin era del ao 2002, y recordemos
que un ao la tecnologa cambia bastante. Por ejemplo en el dominio que hace referencia al control de

acceso (Dominio 7), se incluye los controles sobre redes inalmbricas y tecnologas similares que deben
estar incluidas como controles en las polticas de seguridad.
4. Se ha incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien
algo se mencionaba en la versin anterior, se han reformulado las definiciones.
5. Se ha incluido un apartado sobre el aceptable uso de los activos. Recordemos que muchas veces por
implementar escenarios muy seguros, hacemos imposible el uso del recurso para el usuario que debe
accederlo.
6. Se agrega un apartado sobre la gestin de riesgo. No olvidemos, que si bien toda compaa debe tener
un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la
compaa. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una
situacin especial.
7. Incluye referencias importantes con el manejo de contrasea.
8. En COBIT figuraba el manejo de cdigo fuente dentro los controles. Esta vez ISO ha incluido ese
manejo dentro de los dominios.
9. Se ha agregado un apartado para el manejo de vulnerabilidades.
Sin dudas, esta versin es ms fcil de interpretar y de llevarla a la prctica, ya que son ms claros los
objetivos de cada uno de los controles de los dominios.
Recuerden, que como toda norma ISO, es una visin holstica y toda la compaa deber acompaar el
proceso de certificacin. El primer gran logro que deben obtener, es la confirmacin por escrito de la
gerencia que se desea lograr la alineacin del estndar.
Mas all de los deseos o necesidades de certificar ISO 27001, recomendamos a las compaas, usar estas
nuevas versiones como gua y descartar las versiones anteriores. Obtener un buen sistema de gestin de
la informacin no depende de la tecnologa que utilicemos en nuestra empresa, sino en mayor medida de
los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras
organizaciones.
Finalmente recordemos que ser un proyecto de cambio organizacional con mltiples facetas, incluido un
alto componente de consideraciones legales.

Introduccin a ISO 17799

Surgida de la norma britnica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la
administracin de la seguridad.
La norma 17799 tambin ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:

Poltica de seguridad: escribir y comunicar la poltica de seguridad de la compaa

Organizacin de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas
tercerizadas

Clasificacin y control de activos: llevar un inventario de los bienes de la compaa y definir cun crticos son as
como sus riesgos asociados

Seguridad del personal: contratacin, capacitacin y aumento de concientizacin relacionadas a la seguridad

Seguridad fsica y del entorno: rea de seguridad, inventarios del equipamiento de seguridad

Comunicacin / Administracin de operaciones: procedimientos en caso de accidente, plan de recuperacin,

definicin de niveles de servicio y tiempo de recuperacin, proteccin contra programas ilegales, etc.

Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)

Desarrollo y mantenimiento del sistema: consideracin de la seguridad en sistemas desde el diseo hasta el
mantenimiento

Plan de continuidad empresarial: definicin de necesidades en trminos de disponibilidad, recuperacin de

tiempo y establecimiento de ejercicios de emergencia

Contratacin: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compaa

Business Continuity Planning ISO 17799

ISO17799
Est organizada en diez secciones principales, cada uno cubriendo un rea diferente:
Planificacin de la continuidad
Los objetivos de esta seccin son: Para evitar interrupciones en las actividades de negocio y procesos de
negocio crticos de los efectos de las fallas mayores o desastres.
Sistema de Control de Acceso
Los objetivos de esta seccin son: 1) Para controlar el acceso a la informacin 2) Para evitar el acceso no
autorizado a los sistemas de informacin 3) Para garantizar la proteccin de los servicios en red 4) Para
evitar el acceso no autorizado al ordenador 5) Para detectar actividades no autorizadas. 6) Para garantizar
la seguridad de la informacin cuando se utiliza computacin mvil e instalaciones de redes de teleDesarrollo y mantenimiento
Los objetivos de esta seccin son: 1) Para garantizar la seguridad se basa en los sistemas operativos, 2)
Prevenir la prdida, modificacin o mal uso de los datos del usuario en los sistemas de aplicacin, 3) Para
proteger la confidencialidad, autenticidad e integridad de la informacin, 4) a asegurarse de que los
proyectos y las actividades de apoyo se llevan a cabo de una manera segura; 5) Para mantener la
seguridad del sistema de software de aplicacin y datos.
Seguridad fsica y ambiental
Los objetivos de esta seccin son: Para evitar el acceso no autorizado, dao e interferencia a los locales
comerciales y de informacin, para evitar la prdida, el dao o el compromiso de los activos y la
interrupcin de las actividades comerciales, para evitar el robo o compromiso de las instalaciones de
procesamiento de informacin y la informacin.
Conformidad
Los objetivos de esta seccin son: 1) A fin de evitar violaciones de cualquier ley penal o civil, legal,
obligaciones reglamentarias o contractuales y de cualesquiera requisitos de seguridad 2) Para garantizar el
cumplimiento de los sistemas con las polticas de seguridad organizativas y las normas 3) A fin de
maximizar la eficacia de y para minimizar la interferencia a / desde el proceso de auditora del sistema.
Seguridad del personal
Los objetivos de esta seccin son: Para reducir el riesgo de error humano, robo, fraude o mal uso de las
instalaciones, para garantizar que los usuarios estn al tanto de las amenazas de seguridad de la
informacin y preocupaciones, y estn equipados para apoyar la poltica de seguridad de la empresa en el
curso de su normal trabajo, para minimizar el dao de los incidentes de seguridad y fallos de
funcionamiento y aprender de tales incidentes.
Organizacin de Seguridad
Los objetivos de esta seccin son: 1) Gestionar seguridad de la informacin dentro de la empresa, 2) Para
mantener la seguridad de las instalaciones de procesamiento de informacin de la organizacin y los

recursos de informacin accesibles por terceros. 3) Para mantener la seguridad de la informacin cuando
la responsabilidad para el procesamiento de la informacin ha sido subcontratado a otra organizacin.
Ordenador y Gestin de la Red
Los objetivos de esta seccin son: 1) Para garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de informacin, 2) Para minimizar el riesgo de fallas en los sistemas, y 3)
Para proteger la integridad del software y de la informacin, 4) A fin de mantener la integridad y la
disponibilidad de procesamiento de la informacin y la comunicacin; 5) A fin de garantizar la proteccin
de la informacin en las redes y la proteccin de la infraestructura de apoyo, 6) Para evitar daos a los
activos e interrupciones a las actividades empresariales; 7) Para evitar la prdida, modificacin o mal uso
de la informacin intercambiada entre organizaciones.
Clasificacin y control de activos
Los objetivos de esta seccin son: Mantenimiento de la proteccin adecuada de los activos de la empresa
y asegurar que los activos de informacin reciban un nivel adecuado de proteccin.
Poltica de Seguridad
Los objetivos de esta seccin son: Proporcionar orientacin y apoyo a la gestin de seguridad de la
informacin.

- Serie ISO 27000

* * * * * * Serie ISO 27000 * * * * * *

En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr
trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier
estndar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea
gratuita, a diferencia de las dems de la serie, que tendrn un coste.

ISO 27000
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El
aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para
la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea
de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos
a los que est sometida la informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o
pequea.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una
organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001.

Acceda directamente a las secciones de su inters a travs del submen de la izquierda o siguiendo los marcadores de
final de pgina.

La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin
reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye se enumeran a continuacin
(toda la informacin disponible pblicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en
las pginas web del subcomit JTC1/SC27: 1 y 2):

ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que componen la serie
27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del ciclo
Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. En Espaa, esta norma no est
traducida, pero s en Uruguay (UNIT-ISO/IEC 27000). El original en ingls y su traduccin al francs pueden
descargarse gratuitamente destandards.iso.org/ittf/PubliclyAvailableStandards. Est siendo revisada, con fecha
prevista de segunda edicin Mayo de 2013.

[editar]La

Serie 27000

La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares ISO/IEC:

ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a ser empleado en toda la serie
27000. Se puede utilizar para tener un entendimiento ms claro de la serie y la relacin entre los diferentes documentos
que la conforman.

UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. Fecha de la de

la versin espaola 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestin de Seguridad de
la Informacin. Los SGSIs debern ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla
una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).

ISO 27002: (anteriormente denominada ISO17799).Gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles.

ISO 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua de implementacin de SGSI e
informacin acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de
la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas
de implantacin.

ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantacin de un SGSI y de los controles relacionados.

ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de la seguridad de la
informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de entidades de auditora y

certificacin de sistemas de gestin de seguridad de la informacin.

ISO 27001

ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin
de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con
arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados
por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNEISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un
documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est
publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC
27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse en iso.org.
Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de
publicacin de segunda edicin en Mayo de 2013.

ISO 27001
La ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la
Informacin que permite a una organizacin evaluar su riesgo e implementar controles
apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de
la informacin.
El objetivo fundamental es proteger la informacin de su organizacin para que no caiga
en manos incorrectas o se pierda para siempre.

ISO/IEC 27001
El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information
security management systems - Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005
por International Organization for Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de
la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen
en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).

[editar]Evolucin
Espaa
En el ao 2004 se public la UNE 71502 titulada Especificaciones para los Sistemas de Gestin de la Seguridad de la
Informacin (SGSI) y que fue elaborada por el comit tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica
British Standard BS 7799-2:2002.

Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej de estar vigente la UNE 71502 y las
empresas nacionales certificadas en esta ltima estn pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
BENEFICIOS: El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la
organizacin:
-Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad
de la actividad comercial.
-Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja
competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial.
-Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al
tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin.
-Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin.
-El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones
que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del cdigo profesional, ISO/IEC 17799
no logran estas ventajas.

[editar]Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses,
dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la
organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) elegido. En
general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de informacin y sus procesos de
trabajo a las exigencias de las normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de
desarrollo, siendo el ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica de
Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la informacin mediante la aplicacin
de las buenas prcticas de ISO/IEC 27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se
vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad
informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de
datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).

[editar]Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada
audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso
positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran certificadas segn el estndar britnico
BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001 en su primera certificacin con
xito o mediante su recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la Seguridad de la Informacin (SGSI) con el
Sistema de Gestin de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004
(ver ISO 14000), hasta el punto de poder llegar a certificar una organizacin en varias normas y con base en un sistema de
gestin comn.

Conceptos bsicos sobre ISO 27001

Gestin de la seguridad de la informacin
La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier tipo de
organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es posible afirmar
que esta norma constituye la base para la gestin de la seguridad de la informacin.
La ISO 27001 es para la seguridad de la informacin lo mismo que la ISO 9001 es para la calidad:
es una norma redactada por los mejores especialistas del mundo en el campo de seguridad de la
informacin y su objetivo es proporcionar una metodologa para la implementacin de la
seguridad de la informacin en una organizacin. Tambin permite que una organizacin sea
certificada, lo cual significa que una entidad de certificacin independiente ha confirmado que la
seguridad de la informacin se ha implementado en esa organizacin de la mejor forma posible.
A raz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma
como base para confeccionar las diferentes normativas en el campo de la proteccin de datos
personales, proteccin de informacin confidencial, proteccin de sistemas de informacin,
gestin de riesgos operativos en instituciones financieras, etc.
Cuatro fases del sistema de gestin de seguridad de la informacin
La norma ISO 27001 determina cmo gestionar la seguridad de la informacin a travs de un
sistema de gestin de seguridad de la informacin. Un sistema de gestin de este tipo, igual que
las normas ISO 9001 o ISO 14001, est formado por cuatro fases que se deben implementar en
forma constante para reducir al mnimo los riesgos sobre confidencialidad, integridad y
disponibilidad de la informacin.
Las fases son las siguientes:

La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y establecer
los objetivos de la seguridad de la informacin y para escoger los controles adecuados de
seguridad (la norma contiene un catlogo de 133 posibles controles).

La Fase de implementacin: esta fase implica la realizacin de todo lo planificado en la

fase anterior.

La Fase de revisin: el objetivo de esta fase es monitorear el funcionamiento

del SGSI mediante diversos canales y verificar si los resultados cumplen los objetivos
establecidos.

La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los

incumplimientos detectados en la fase anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas
cclicamente para mantener la eficacia del SGSI.
Documentos de ISO 27001
La norma ISO 27001 requiere los siguientes documentos:

el alcance del SGSI;

la poltica del SGSI;

procedimientos para control de documentacin, auditoras internas y procedimientos para

medidas correctivas y preventivas;

todos los dems documentos, segn los controles aplicables;

metodologa de evaluacin de riesgos;

informe de evaluacin de riesgos;

declaracin de aplicabilidad;

plan de tratamiento del riesgo;

registros.

La cantidad y exactitud de la documentacin depende del tamao y de las exigencias de

seguridad de la organizacin; esto significa que una docena de documentos sern suficientes
para una pequea organizacin, mientras que las organizaciones grandes y complejas tendrn
varios cientos de documentos en su SGSI.
La Fase de planificacin
Esta fase est formada por los siguientes pasos:

determinacin del alcance del SGSI;

redaccin de una Poltica de SGSI;

identificacin de la metodologa para evaluar los riesgos y determinar los criterios para la
aceptabilidad de riesgos;

identificacin de activos, vulnerabilidades y amenazas;

evaluacin de la magnitud de los riesgos;

identificacin y evaluacin de opciones para el tratamiento de riesgos;

seleccin de controles para el tratamiento de riesgos;

obtencin de la aprobacin de la gerencia para los riesgos residuales;

obtencin de la aprobacin de la gerencia para la implementacin del SGSI;

redaccin de una declaracin de aplicabilidad que detalle todos los controles aplicables,
determine cules ya han sido implementados y cules no son aplicables.

La Fase de implementacin
Esta fase incluye las siguientes actividades:

redaccin de un plan de tratamiento del riesgo que describe quin, cmo, cundo y con
qu presupuesto se deberan implementar los controles correspondientes;

implementacin de un plan de tratamiento del riesgo;

implementacin de los controles de seguridad correspondientes;

determinacin de cmo medir la eficacia de los controles;

realizacin de programas de concienciacin y capacitacin de empleados;

gestin del funcionamiento normal del SGSI;

gestin de los recursos del SGSI;

implementacin de procedimientos para detectar y gestionar incidentes de seguridad.

La Fase de verificacin
Esta fase incluye lo siguiente:

implementacin de procedimientos y dems controles de supervisin y control para

determinar cualquier violacin, procesamiento incorrecto de datos, si las actividades de
seguridad se desarrollan de acuerdo a lo previsto, etc.;

revisiones peridicas de la eficacia del SGSI;

medicin la eficacia de los controles;

revisin peridica de la evaluacin de riesgos;

auditoras internas planificadas;

revisiones por parte de la direccin para asegurar el funcionamiento del SGSI y para
identificar oportunidades de mejoras;

actualizacin de los planes de seguridad para tener en cuenta otras actividades de

supervisin y revisin;

mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia

del SGSI.

La fase de mantenimiento y mejora

Esta fase incluye lo siguiente:

implementacin en el SGSI de las mejoras identificadas;

toma de medidas correctivas y preventivas y aplicacin de experiencias de seguridad

propias y de terceros;

comunicacin de actividades y mejoras a todos los grupos de inters;

asegurar que las mejoras cumplan los objetivos previstos.

Otras normas relacionadas con seguridad de la informacin

Adems de la ISO 27001 (antiguamente BS 7799-2), la norma ISO 27002
(antiguamente ISO 17799) es una norma auxiliar que proporciona ms informacin sobre cmo
implementar los controles de seguridad especificados en la ISO 27001.
Otras normas que tambin pueden resultar tiles son la ISO 27005, que describe los
procedimientos de evaluacin de riesgos con mayor profundidad, y la BS 25999-2, que
proporciona una descripcin detallada de la gestin de la continuidad del negocio.
*27002
ISO 27002
Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables
en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y
133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado
correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO
27002:2005. En Espaa, an no est traducida (previsiblemente, a lo largo de 2008). Desde
2006, s est traducida en Colombia (como ISO 17799) y, desde 2007, en Per (como ISO 17799;
descarga gratuita).

ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una
gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se
ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de
ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta
en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC
27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002),Chile (NChISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su
traduccin al francs pueden adquirirse eniso.org. Actualmente, este estndar se encuentra en periodo de revisin en
el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014.

Estndar Internacional ISO/IEC 27002

Jaime Oswaldo Montoya Guzmn - webmaster@jaimemontoya.com
1
2
3
4
5
6
7
8
9
10

Introduccin
Objetivos
Justificacin
Conocimientos preliminares
Estndar Internacional ISO/IEC 27002 (antiguamente ISO/IEC 17799)
Conclusin
Recomendaciones
Bibliografa
Glosario
Resumen general del Estndar Internacional ISO/IEC 27002

Introduccin
Actualmente la tendencia de la gran mayora de las empresas dedicadas o relacionadas con las tecnologas de
informacin, es enfocar sus procesos a transacciones y operaciones en red. La seguridad informtica siempre ha sido
importante, desde los inicios de las computadoras, pero ahora se ha agudizado ms la importancia de contar con buenos
mecanismos de seguridad debido a que los riesgos y amenazas no solamente consisten en que personas que se
encuentren en el rea geogrfica donde estn las computadoras, roben informacin, sino que ahora tambin existen
riesgos de robo o accesos no autorizados a informacin mediante las diferentes redes que interconectan a las
computadoras o a cualquier equipo tecnolgico utilizado para transmitir informacin digital.
Actualmente se cuenta con Estndares Internacionales muy bien aceptados, que proporcionan mecanismos de
seguridad que han sido estudiados detenidamente y que se han puesto a prueba, concluyendo en que los resultados que
ofrecen son los ideales y que deberan ser implementados por todas las organizaciones relacionadas a las tecnologas
de la informacin.
En este documento se habla especficamente del Estndar Internacional ISO/IEC 27002, el cual trata
especficamente sobre aspectos de seguridad en las tecnologas de informacin.

Objetivos
Objetivo general
Conocer qu es y para qu sirve el Estndar Internacional ISO/IEC 27002.
Objetivos especficos

Estudiar qu son las normas ISO.

Conocer qu es el comit IEC.
Comprender qu es y para qu fue creado el ISO/IEC JTC1.
Analizar y comprender cada uno de los captulos que componen el documento del Estndar Internacional
ISO/IEC JTC1.

Justificacin
Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las
prdidas por la falta de seguridad pueden ser tremendamente caras, tanto en materia econmica como en cuanto a
prestigio, nivel de ventas, problemas legales, daos a empleados de la organizacin o a terceros (por ejemplo si se
divulgara informacin confidencial luego de un ataque a un sistema), etc.
En vista de la importancia que tiene la seguridad en las tecnologas de informacin, se afirma que estudiar no
solamente buenas prcticas y consejos sabios de personas que llevan una gran trayectoria en el rea de la informtica,
sino que ms an, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier
organizacin. Por ello se justifica que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para
cualquier organizacin que tenga que ver de alguna forma con aspectos relacionados a tecnologas de informacin.

Conocimientos preliminares
Antes de comenzar con el estudio de las normas ISO 17799 e ISO 27002, se definirn dos conceptos relevantes,
y la diferencia entre ambos:

Norma: principio que se impone o se adopta para dirigir la conducta o la correcta realizacin de una accin o el
correcto desarrollo de una actividad.
Buena prctica: son aquellas acciones que se caracterizan por haber logrado cumplir eficazmente las metas
planteadas, y que luego de la evaluacin de resultados, se ha concluido que proporcionan beneficios ptimos en
la mayora de casos, de modo que se son prcticas replicables y tiles para implementar.

Diferencia entre una norma y una buena prctica: una norma es certificable por las entidades
correspondientes, mientras que una buena prctica no es certificable, sino que slo se tiene como una buena
alternativa por haber sido demostrado que ha funcionado en la gran mayora de casos.

Se debe saber que las normas ISO son precisamente normas, no simplemente buenas prcticas. Por lo tanto
todas las normas ISO son certificables, y es por esa razn que se ve por ejemplo en algunos productos comerciales que
se venden en los supermercados, una etiqueta de certificacin ISO, que garantiza la calidad de un producto en algn
aspecto especfico, dependiendo del nmero de la norma ISO a la que se haga referencia.
1

Qu es ISO?

ISO es el acrnimo de International Organization for Standardization. Aunque si se observan las iniciales para el
acrnimo, el nombre debera ser IOS, los fundadores decidieron que fuera ISO, derivado del griego isos, que significa
igual. Por lo tanto, en cualquier pas o en cualquier idioma, el nombre de la institucin es ISO, y no cambia de acuerdo a
la traduccin de International Organization for Standardization que corresponda a cada idioma. Se trata de la
organizacin desarrolladora y publicadora de Estndares Internacionales ms grande en el mundo. ISO es una red de
instituciones de estndares nacionales de 157 pases, donde hay un miembro por pas, con una Secretara Central en
Geneva, Suiza, que es la que coordina el sistema.
ISO es una organizacin no gubernamental que forma un puente entre los sectores pblicos y privados.
Respecto al origen de la organizacin ISO, oficialmente comenz sus operaciones el 23 de febrero de 1947 en
Geneva, Suiza. Naci con el objetivo de facilitar la coordinacin internacional y la unificacin de los estndares
industriales.
2

Qu es IEC?

IEC es el acrnimo de International Electrotechnical Commission. Esta es una organizacin sin fines de lucro y
tambin no gubernamental. Se ocupa de preparar y publicar estndares internacionales para todas las tecnologas
elctricas o relacionadas a la electrnica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estndares globales a
las industrias electrotcnicas mundiales. Aunque como se acaba de decir, IEC naci en el Reino Unido, en el ao de
1948 movieron su sede a Geneva, Suiza, ciudad en la que tambin se encuentra la sede de ISO.
3

ISO/IEC JTC1

ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical
Committee). Este comit trata con todos los asuntos de tecnologa de la informacin. La mayora del trabajo de ISO/IEC
JTC1 es hecho por subcomits que tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el
que se encarga de las tcnicas de seguridad de las tecnologas de informacin. Dicho subcomit ha venido desarrollando
una familia de Estndares Internacionales para el Sistema Gestin y Seguridad de la Informacin. La familia incluye
Estndares Internacionales sobre requerimientos, gestin de riesgos, mtrica y medicin, y el lineamiento de
implementacin del sistema de gestin de seguridad de la informacin. Esta familia adopt el esquema de numeracin
utilizando las series del nmero 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del
ISO/IEC 17799 se encuentran bajo el esquema de numeracin con el nombre ISO/IEC 27002.
4

Seguridad de la informacin

Debido a que la informacin es un activo no menos importante que otros activos comerciales, es esencial para
cualquier negocio u organizacin contar con las medidas adecuadas de proteccin de la informacin, especialmente en la
actualidad, donde la informacin se difunde a travs de miles y miles de redes interconectadas. Esto multiplica la
cantidad de amenazas y vulnerabilidades a las que queda expuesta la informacin.
La informacin puede existir en muchas formas, por ejemplo puede estar impresa o escrita en papel, almacenada
electrnicamente, transmitida por correo o utilizando medios electrnicos, hablada en una conversacin, etc. Sea cual
sea la forma en la que se tenga la informacin, debe estar en todo caso protegida.
La seguridad de la informacin se logra implementando un conjunto adecuado de controles, polticas, procesos,
procedimientos, estructuras organizacionales, y otras acciones que hagan que la informacin pueda ser accedida slo
por aquellas personas que estn debidamente autorizadas para hacerlo.
Es importante y necesario para las empresas realizar una evaluacin de riesgos para identificar amenazas para
los activos, as como tambin para conocer y analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o
alteracin de la informacin, y el impacto potencial que esto llegara a tener. Una vez se hayan identificado los riesgos, se
procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel
aceptable.
5

Vulnerabilidad

Es una debilidad o agujero en la seguridad de la informacin, que se puede dar por causas como las siguientes,
entre muchas otras:

Falta de mantenimiento
Personal sin los conocimientos adecuados o necesarios
Desactualizacin de los sistemas crticos
6

Amenaza

Es una declaracin intencionada de hacer un dao, como por ejemplo mediante un virus, un acceso no
autorizado o robo. Pero no se debe pensar que nicamente personas pueden ser los causantes de estos daos, pues
existen otros factores como los eventos naturales, que son capaces de desencadenar daos materiales o prdidas
inmateriales en los activos, y son tambin consideradas como amenazas.
7

Ataque

Es una accin intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper
la seguridad de un sistema o de un componente del sistema.
8

Riesgo

Es una potencial explotacin de una vulnerabilidad de un activo de informacin por una amenaza. Se valora
como una funcin del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso.
9

Atacante

Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una
vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organizacin) o externos (que no pertenecen a la
organizacin). Respecto a los atacantes internos, son difciles de detener porque la organizacin est en muchas
maneras forzada a confiar en ellos. Estos conocen cmo trabaja el sistema y cules son sus debilidades. Quizs el error
ms comn de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las
amenazas internas.

Estndar Internacional ISO/IEC 27002 (antiguamente ISO/IEC 17799)

Luego de haber definido algunos conceptos y conocimientos preliminares y de hablar de manera general sobre la
organizacin ISO y el comit IEC, es momento de entrar en detalle y profundizar especficamente en el tema
concerniente a esta investigacin: el Estndar Internacional ISO/IEC 27002).
El documento del Estndar Internacional ISO/IEC 27002, despus de la introduccin, se divide en quince
captulos. En este documento se presentar un resumen y anlisis de cada uno de los quince captulos, de manera
breve, pues el objetivo no es plasmar nuevamente lo que ya se encuentra en el documento original, sino que resaltar las
ideas bsicas de forma muy resumida y con un anlisis propio sobre cada tema del cual se habla en ste importante
Estndar Internacional para la seguridad en las tecnologas de informacin.
2.1. Alcance

Este Estndar Internacional va orientado a la seguridad de la informacin en las empresas u organizaciones, de

modo que las probabilidades de ser afectados por robo, dao o prdida de informacin se minimicen al mximo.
2.2. Trminos y definiciones

En este apartado se habla de un conjunto de trminos y definiciones que se presentan al final de este
documento, en el Glosario, que son las definiciones de:

Activo
Control
Lineamiento
Medios de procesamiento de la informacin

Seguridad de la informacin
Evento de seguridad de la informacin
Incidente de seguridad de la informacin
Poltica
Riesgo
Anlisis de riesgo
Evaluacin del riesgo
Gestin del riesgo
Tratamiento del riesgo
Tercera persona
Amenaza
Vulnerabilidad
2.3. Estructura de este Estndar

Este Estndar contiene un nmero de categoras de seguridad principales, entre las cuales se tienen once
clusulas:
a
b
c
d
e
f
g
h
i
j
k

Poltica de seguridad.
Aspectos organizativos de la seguridad de la informacin.
Gestin de activos.
Seguridad ligada a los recursos humanos.
Seguridad fsica y ambiental.
Gestin de comunicaciones y operaciones.
Control de acceso.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
Gestin de incidentes en la seguridad de la informacin.
Gestin de la continuidad del negocio.
Cumplimiento.
2.4. Evaluacin de los riesgos de seguridad

Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a
cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran
consecuencias negativas al no tener una buena seguridad.
La reduccin de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueos o
administradores de la empresa, sino que adems de seguir medidas adecuadas y eficientes, se deben tener en cuenta
los requerimientos y restricciones de la legislacin y las regulaciones nacionales e internacionales, objetivos
organizacionales, bienestar de clientes y trabajadores, costos de implementacin y operacin (pues existen medidas de
seguridad de gran calidad pero excesivamente caras, tanto que es ms cara la seguridad que la propia ganancia de una
empresa, afectando la rentabilidad).
Se debe saber que ningn conjunto de controles puede lograr la seguridad completa, pero que s es posible
reducir al mximo los riesgos que amenacen con afectar la seguridad en una organizacin.
2.5. Poltica de seguridad

Su objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin, en

concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser
creado de forma particular por cada organizacin. Se debe redactar un Documento de la poltica de seguridad de la
informacin. Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos
los empleados y las partes externas relevantes.
El Documento de la Poltica de Seguridad de la Informacin debe contar con un claro lineamiento de
implementacin, y debe contener partes tales como una definicin de seguridad de la informacin, sus objetivos y
alcances generales, importancia, intencin de la gerencia en cuanto al tema de seguridad de la informacin, estructuras
de evaluacin y gestin de riesgos, explicacin de las polticas o principios de la organizacin, definicin de las
responsabilidades individuales en cuanto a la seguridad, etc. Se debe tener especial cuidado respecto a la
confidencialidad de este documento, pues si se distribuye fuera de la organizacin, no debera divulgar informacin
confidencial que afecte de alguna manera a la organizacin o a personas especficas (por ejemplo que afecte la intimidad
de alguien al divulgar sus datos personales, etc.)
Las polticas de seguridad de la informacin no pueden quedar estticas para siempre, sino que por el contrario,
tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en
concordancia con los cambios tecnolgicos o cualquier tipo de cambio que se d. Por ejemplo, si aparece un nuevo virus
o nuevas tecnologas que representen riesgos, las polticas de seguridad podran cambiar o ser mejoradas de acuerdo a
las necesidades actuales. Un caso prctico sera el aparecimiento de las memorias USB. Antiguamente esa tecnologa
no exista, entonces no se esperaba que existieran robos de informacin a travs de puertos USB. Ahora las memorias

USB son de uso global y por lo tanto, las polticas de seguridad deberan considerar bloquear puertos USB o algo por el
estilo, para no permitir que se extraiga informacin de esa manera de forma ilcita o por personas no autorizadas.
Otro problema sera tener excelentes polticas de seguridad, pero que no sean implementadas correctamente o
que simplemente se queden a nivel terico y que no se apliquen. En la vida real se suelen dar casos donde las leyes
estn muy bien redactadas, pero que no se cumplen. Sucede en muchos pases, que la legislacin puede estar
estructurada muy bien, pero que no se respeta. Igualmente podra darse que se tengan excelentes polticas, pero que no
se cumplan o que no se sepan implementar correctamente. Por lo tanto, se requieren lineamientos de implementacin
adecuados.
2.6. Aspectos organizativos de la seguridad de la informacin

La organizacin de la seguridad de la informacin se puede dar de dos formas: organizacin interna y

organizacin con respecto a terceros.
En cuanto a la organizacin interna, se tiene como objetivo manejar la seguridad de la informacin dentro de la
organizacin.
Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la
organizacin. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces
la seguridad requiere inversin econmica, y parte del compromiso de la gerencia implica tener un presupuesto especial
para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo,
implementar un mtodo carsimo de seguridad podra ser de gran beneficio, pero representar un costo demasiado
elevado.
Es fundamental tambin asignar responsabilidades. Es tpica una tendencia humana el echarle la culpa a otros.
Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organizacin tratan de buscar un
culpable y quedar libres de todo cargo. Por esa razn se deben asignar claramente responsabilidades para que cuando
se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignacin de
responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contrato
legal.
Deben tambin existir acuerdos de confidencialidad. Tambin se debe tener en cuenta mantener los contactos
apropiados con las autoridades relevantes, por ejemplo con la polica, departamento de bomberos, etc. Tambin se debe
saber en qu casos se debe contactar a estas instituciones. Tambin se deben mantener contactos apropiados con
grupos de inters especial u otros foros de seguridad especializados y asociaciones profesionales, as como contar con
capacitaciones en materia de seguridad.
La organizacin en materia de seguridad de la informacin debe tambin considerarse respecto a terceros. El
objetivo de esto es mantener la seguridad de la informacin y los medios de procesamiento de informacin de la
organizacin que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe
comenzar por la identificacin de los riesgos relacionados con los grupos externos. Se debe estudiar cmo a raz de
procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad.
Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se
hagan con terceros, para no afectar la seguridad de la informacin.
2.7. Gestin de activos

Se deben asignar responsabilidades por cada uno de los activos de la organizacin, as como poseer un
inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la
clasificacin de todos los activos. Para esto el departamento de contabilidad tendr que hacer un buen trabajo en cuanto
a esta clasificacin y desglose de activos, y el departamento de leyes de la empresa tambin tendr que ser muy
metdico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo
bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.

2.8. Seguridad ligada a los recursos humanos

El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y
sean idneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los
medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. Tambin deben existir
capacitaciones peridicas para concientizar y proporcionar formacin y procesos disciplinarios relacionados a la
seguridad y responsabilidad de los recursos humanos en este mbito.
Tambin se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de
trabajo, para que la persona no se vaya simplemente y deje a la organizacin afectada de alguna manera en materia de
seguridad.
2.9. Seguridad fsica y ambiental

La seguridad fsica y ambiental se divide en reas seguras y seguridad de los equipos. Respecto a las reas
seguras, se refiere a un permetro de seguridad fsica que cuente con barreras o lmites tales como paredes, rejas de
entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que contienen
informacin y medios de procesamiento de informacin.
Se debe tambin contar con controles fsicos de entrada, tales como puertas con llave, etc. Adems de eso, es
necesario considerar la seguridad fsica con respecto a amenazas externas y de origen ambiental, como incendios (para
los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones,
atentados terroristas, etc. Deben tambin haber reas de acceso pblico de carga y descarga, parqueos, reas de visita,
entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo
sobre la pared para sujetarse.
En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del
cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los servicios de tcnicos o ingenieros
especializados en el cuidado y mantenimiento de cada uno de los equipos, as como en la inmediata reparacin de los
mismos cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que evite
riesgos. Por ejemplo si algn equipo se debe estar trasladando con frecuencia, quiz sea mejor dejarlo en la primera
planta, en vez de dejarlo en la ltima planta de un edificio, pues el traslado podra aumentar los riesgos de que se caiga y
dae, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida til de
los equipos para que trabajen en condiciones ptimas.
2.10. Gestin de comunicaciones y operaciones

El objetivo de esto es asegurar la operacin correcta y segura de los medios de procesamiento de la informacin.
En primer lugar, es necesario que los procedimientos de operacin estn bien documentados, pues no basta con
tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estn
autorizados por la gerencia.
Otro aspecto fundamental es la gestin de cambios. Un cambio relevante no se debe hacer jams sin
documentarlo, adems de la necesidad de hacerlo bajo la autorizacin pertinente y luego de un estudio y anlisis de los
beneficios que traer dicho cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorizacin o deteccin.
Para ello debe haber una bitcora de accesos, con las respectivas horas y tiempos de acceso, etc.
Es completamente necesario tener un nivel de separacin entre los ambientes de desarrollo, de prueba y de
operacin, para evitar problemas operacionales.
Si la organizacin se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de
la informacin y la entrega del servicio en lnea con los acuerdos de entrega de servicios de terceros.
A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las
capacidades y contando con evaluadores capacitados para determinar la calidad o falta de calidad de un sistema nuevo
a implementar. Se tienen que establecer criterios de aceptacin de los sistemas de informacin, actualizaciones o
versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptacin.
La proteccin contra el cdigo malicioso y descargable debe servir para proteger la integridad del software y la
integracin con los sistemas y tecnologas con que ya se cuenta. Se deben tambin tener controles de deteccin,
prevencin y recuperacin para proteger contra cdigos maliciosos, por ejemplo antivirus actualizados y respaldos de
informacin. De hecho, los respaldos de informacin son vitales y deben realizarse con una frecuencia razonable, pues
de lo contrario, pueden existir prdidas de informacin de gran impacto negativo.
En cuanto a las redes, es necesario asegurar la proteccin de la informacin que se transmite y la proteccin de
la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente considerando cmo
la tendencia de los ltimos aos se encamina cada vez ms a basar todas las tecnologas de la informacin a ambientes
en red para transmitir y compartir la informacin efectivamente. Los sistemas tienen que estar muy bien documentados,
detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta.
Se tienen que establecer polticas, procedimientos y controles de intercambio formales para proteger el
intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin. Adems de las medidas
directas para proteger el adecuado intercambio de informacin, se le debe recordar al personal el tomar las precauciones
adecuadas, como no revelar informacin confidencial al realizar una llamada telefnica para evitar ser escuchado o
interceptado por personas alrededor suyo, intervencin de telfonos, personas en el otro lado de la lnea (en el lado del
receptor), etc. Igualmente para los mensajes electrnicos se deben tomar medidas adecuadas, para evitar as cualquier
tipo de problema que afecte la seguridad de la informacin.
Cuando se haga uso del comercio electrnico, debe haber una eficiente proteccin cuando se pasa a travs de
redes pblicas, para protegerse de la actividad fraudulenta, divulgacin no autorizada, modificacin, entro otros.

Debe haber un continuo monitoreo para detectar actividades de procesamiento de informacin no autorizadas.
Las auditoras son tambin necesarias.
Las fallas deben ser inmediatamente corregidas, pero tambin registradas y analizadas para que sirvan en la
toma de decisiones y para realizar acciones necesarias.
Los relojes de todos los sistemas de procesamiento de informacin relevantes dentro de una organizacin o
dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo,
todo acceso a la informacin debe ser controlado.
2.11. Control de acceso

En primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser
evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro
de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc.
Aparte de la autenticacin correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la
proteccin apropiada, como por ejemplo la activacin automtica de un protector de pantalla despus de cierto tiempo de
inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contrasea conocida por quien estaba
autorizado para utilizar la mquina desatendida.
Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la informacin. Para
todo esto deben existir registros y bitcoras de acceso.
Deben tambin existir polticas que contemplen adecuadamente aspectos de comunicacin mvil, redes
inalmbricas, control de acceso a ordenadores porttiles, y teletrabajo, en caso que los empleados de la empresa
ejecuten su trabajo fuera de las instalaciones de la organizacin.
2.12. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente

se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.
Debe existir una validacin adecuada de los datos de entrada y de salida, controlando el procesamiento interno
en las aplicaciones, y la integridad de los mensajes.

La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas criptogrficas en la organizacin,
utilizando tcnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los
archivos del sistema y el cdigo fuente del programa, y los proyectos de tecnologas de informacin y las actividades de
soporte se deben realizar de manera segura.
Deben establecerse procedimientos para el control de la instalacin del software en los sistemas operacionales.
Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.
Se debe restringir el acceso al cdigo fuente para evitar robos, alteraciones, o la aplicacin de ingeniera inversa
por parte de personas no autorizadas, o para evitar en general cualquier tipo de dao a la propiedad de cdigo fuente
con que se cuente.
La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios,
revisiones tcnicas de aplicaciones tras efectuar cambios en el sistema operativo y tambin restricciones a los cambios
en los paquetes de software. No se tiene que permitir la fuga ni la filtracin de informacin no requerida.
Contar con un control de las vulnerabilidades tcnicas ayudar a tratar los riesgos de una mejor manera.
2.13. Gestin de incidentes en la seguridad de la informacin

La comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y
debilidades de la seguridad de la informacin, asegurando una comunicacin tal que permita que se realice una accin
correctiva oportuna, llevando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible.
De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los
empleados, contratistas y terceros de los sistemas y servicios de informacin tomen nota de y reporten cualquier
debilidad de seguridad observada o sospechada en el sistema o los servicios.
Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la
informacin es elemental.
Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y
monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin, siempre con la idea de no
volver a cometer los errores que ya se cometieron, y mejor an, aprender de los errores que ya otros cometieron.
A la hora de recolectar evidencia, cuando una accin de seguimiento contra una persona u organizacin despus
de un incidente en la seguridad de la informacin involucra una accin legal (ya sea civil o criminal); se debe recolectar,
mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdiccin(es)
relevante(s).
2.14. Gestin de la continuidad del negocio

Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio
debieran estar sujetas a un anlisis del impacto comercial. Se deben desarrollar e implementar planes para la
continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la
informacin debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales
dentro de la organizacin.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la informacin. Estos planes
no deben ser estticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluacin.
Junto a la gestin de riesgos, debe aparecer la identificacin de eventos que pueden causar interrupciones a los
procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la
seguridad de la informacin. Por supuesto se requieren planes alternativos y de accin ante tales eventos, asegurando
siempre la proteccin e integridad de la informacin y tratando de poner el negocio en su estado de operacin normal a la
mayor brevedad posible.
2.15. Cumplimiento

Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley;
regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificacin de la legislacin
aplicable debe estar bien definida.
Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales para cada sistema de
informacin y para la organizacin en general.
Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos
legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de
propiedad intelectual y sobre el uso de productos de software patentado.
El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los documentos de la organizacin,
proteccin de datos y privacidad de la informacin personal, prevencin del uso indebido de los recursos de tratamiento
de la informacin, y a regulaciones de los controles criptogrficos.
Los sistemas de informacin deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar
el cumplimiento de los estndares de implementacin de la seguridad.
En cuanto a las auditoras de los sistemas de informacin, se tiene que maximizar la efectividad de y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de informacin. Durante las auditoras de los sistemas de

informacin deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditora. Tambin
se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditora.
Las actividades y requerimientos de auditora que involucran chequeos de los sistemas operacionales deben ser
planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

Conclusin
Luego de estudiar el Estndar Internacional ISO/IEC 27002, se puede ver cmo muchos de los aspectos
resaltados por este Estndar son aspectos generales que muchas organizaciones los toman en cuenta an sin tener el
certificado ISO/IEC 27002. Pero tambin existen muchas deficiencias en la gran mayora de organizaciones en materia
de seguridad. Algunos podran considerar que apegarse a este tipo de estndares es en cierta forma caro y complicado,
pero en realidad resulta mucho ms caro sufrir las consecuencias que suele traer la falta de seguridad en un importante
sistema de informacin.
El hecho de cumplir a cabalidad con el Estndar Internacional ISO/IEC 27002 no garantiza al 100% que no se
tendrn problemas de seguridad, pues la seguridad al 100% no existe. Lo que s se logra es minimizar al mximo las
probabilidades de sufrir impactos negativos y prdidas originados por la falta de seguridad.
Este documento proporciona una idea bastante clara de cmo se debe trabajar en materia de seguridad de
tecnologas de informacin al apegarse a un Estndar Internacional (y por lo tanto mundialmente aceptado y conocido)
como lo es el ISO/IEC 27002.

Recomendaciones
La primera recomendacin es precisamente implementar el Estndar Internacional ISO/IEC 27002 a la mayor
brevedad posible, o de no ser posible (por aspectos econmicos, de infraestructura, etc.), por lo menos estudiar el
documento oficial de este Estndar y estar conocedores de todos los elementos que se pueden implementar y de cmo
esto podra beneficiar y minimizar la posibilidad de problemas por falta de seguridad.
La segunda recomendacin es tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que s se
puede maximizar la seguridad y minimizar los riesgos por falta de seguridad.
De ser posible, se debera considerar adquirir la certificacin de este Estndar Internacional, pues esto
representa un gran activo no slo por los beneficios que de por s trae el tener excelentes mecanismos de seguridad,
sino tambin por el prestigio de contar con certificaciones internacionales de calidad.
Se recomienda tambin tener un equipo de analistas que evalen las condiciones particulares de una
organizacin, pues cada caso es nico, y lo que a uno le funcion, a otro podra no funcionarle debido a los aspectos
particulares de cada empresa. Por esa razn, se debe estudiar cada caso en concreto, aunque nunca est de ms
aprender de los errores o del xito de otros.

Bibliografa

ISO/IEC 17799:2005, Documentacin International standard book numbering (ISBN)

International Organization for Standarization. About ISO. Extrado el 1 de octubre, 2008, de

http://www.iso.org/iso/about.htm

International Organization for Standarization. Discover ISO. Extrado el 1 de octubre, 2008, de

http://www.iso.org/iso/about/discover-iso_isos-name.htm

IEC. IEC History. Extrado el 1 de octubre, 2008, de http://www.iec.ch/about/history/

Wikipedia. Electrotecnia. Extrado el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Electrotecnia

Wikipedia. International Electrotechnical Commission. Extrado el 1 de octubre, 2008, de

http://en.wikipedia.org/wiki/International_Electrotechnical_Commission

Wikipedia. IEC JTC1. Extrado el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/ISO/IEC_JTC1

Wikipedia. Mtrica. Extrado el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/M%C3%89TRICA

Wikipedia. Criptografa. Extrado el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Criptograf%C3%ADa

Glosario
Activo: cualquier cosa que tenga valor para la organizacin.
Amenaza: una causa potencial de un incidente no deseado, el cual puede resultar en dao a un sistema u organizacin.
Anlisis de riesgo: uso sistemtico de la informacin para identificar las fuentes y calcular el riesgo.
Control: medios para manejar el riesgo, incluyendo polticas, procedimientos, lineamientos, prcticas o estructuras
organizacionales, las cuales pueden ser administrativas, tcnicas, de gestin o de naturaleza legal. El control tambin se
utiliza como sinnimo de salvaguarda o contramedida.
Criptografa: es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que hagan posible el intercambio de
mensajes de manera segura que slo puedan ser ledos por las personas a quienes van dirigidos.
Electrotecnia: es la ciencia que estudia las aplicaciones tcnicas de la electricidad.
Evaluacin del riesgo: proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la
importancia del riesgo.
Evento de seguridad de la informacin: cualquier evento de seguridad de la informacin es una ocurrencia identificada
del estado de un sistema, servicio o red, indicando una posible falla en la poltica de seguridad de la informacin o falla
en las salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad.
Gestin del riesgo: actividades coordinadas para dirigir y controlar una organizacin con relacin al riesgo.
Incidente de seguridad de la informacin: un incidente de seguridad de la informacin es indicado por un solo evento
o una serie de eventos inesperados de seguridad de la informacin que tienen una probabilidad significativa de
comprometer las operaciones comerciales y amenazar la seguridad de la informacin.
Lineamiento: descripcin que aclara qu se debiera hacer y cmo, para lograr los objetivos establecidos en las polticas.
Medios de procesamiento de la informacin: cualquier sistema, servicio o infraestructura de procesamiento de la
informacin, o los locales fsicos que los alojan.
Mtrica: es una metodologa de planificacin, desarrollo y mantenimiento de sistemas de informacin.
Poltica: intencin y direccin general expresada formalmente por la gerencia.
Riesgo: combinacin de la probabilidad de un evento y su ocurrencia.
Seguridad de la informacin: preservacin de confidencialidad, integracin y disponibilidad de la informacin; adems,
tambin puede involucrar otras propiedades como autenticidad, responsabilidad, no-reputacin y confiabilidad.
Tercera persona: persona u organismo que es reconocido como independiente de las partes involucradas, con relacin
al tem en cuestin.
Tratamiento del riesgo: proceso de seleccin e implementacin de medidas para modificar el riesgo.
Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser explotada por una o ms amenazas.

Resumen general del Estndar Internacional ISO/IEC 27002

El Estndar Internacional ISO/IEC 27002 nace bajo la coordinacin de dos organizaciones:

ISO: International Organization for Standardization.

IEC: International Electrotechnical Commission.

ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical
Committee). Este comit trata con todos los asuntos de tecnologa de informacin. La mayora del trabajo de ISO/IEC
JTC1 es hecho por subcomits que tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el
que se encarga de las tcnicas de seguridad de las tecnologas de informacin, que es en esencia de lo que trata el
Estndar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adopt un
nuevo esquema de numeracin y actualmente es ISO/IEC 27002).

El ISO/IEC 27002 se refiere a una serie de aspectos sobre la seguridad de de las tecnologas de informacin,
entre los que se destacan los siguientes puntos:

Evaluacin de los riesgos de de seguridad: se deben identificar, cuantificar y priorizar los riesgos.
Poltica de seguridad: deben haber polticas organizacionales claras y bien definidas que regulen el trabajo que
se estar realizando en materia de seguridad de la informacin.
Aspectos organizativos de la seguridad de la informacin: cmo se trabajar en la seguridad de la
informacin organizativamente, tanto de manera interna (empleados o personal de la organizacin) como de
forma externa o con respecto a terceros (clientes, proveedores, etc.)
Gestin de activos: se debe tener un completo y actualizado inventario de los activos, su clasificacin, quines
son responsables por los activos, etc.
Seguridad ligada a los recursos humanos: especificar las responsabilidades del personal o recursos humanos
de una organizacin, as como los lmites que cada uno de ellos tiene con respecto al acceso y manipulacin de
la informacin.
Seguridad fsica y ambiental: consiste en tener una infraestructura fsica (instalaciones) y ambiental
(temperaturas adecuadas, condiciones ideales de operacin ideales) adecuadas de modo que no pongan en
riesgo la seguridad de la informacin.
Gestin de comunicaciones y operaciones: asegurar la operacin correcta de cada uno de los procesos,
incluyendo las comunicaciones y operaciones que se dan en la organizacin. Esto tambin incluye la separacin
entre los ambientes de desarrollo, de prueba y de operacin, para evitar problemas operacionales.
Control de acceso: deben existir medidas adecuadas que controlen el acceso a determinada informacin,
nicamente a las personas que estn autorizadas para hacerlo, utilizando autenticaciones, contraseas, y
mtodos seguros para controlar el acceso a la informacin.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: consiste en tomar medidas
adecuadas para adquirir nuevos sistemas (no aceptar sistemas que no cumplan con los requisitos de calidad
adecuados), haciendo tambin un eficiente desarrollo y mantenimiento de los sistemas.
Gestin de incidentes en la seguridad de la informacin: los incidentes se pueden dar tarde o temprano, y la
organizacin debe contar con registros y bitcoras para identificar a los causantes y responsables de los
incidentes, recopilar evidencias, aprender de los errores para no volverlos a cometer, etc.
Gestin de la continuidad del negocio: se deben tener planes y medidas para hacerle frente a los incidentes,
de modo que el negocio pueda continuar en marcha gracias a medidas alternativas para que un incidente no
detenga las operaciones por tiempos prolongados, que no se pierda informacin, que no se estanquen o
detengan las ventas o negocios, etc.
Cumplimiento: debe darse el debido cumplimiento a los requisitos legales, como derechos de propiedad
intelectual, derecho a la confidencialidad de cierta informacin, control de auditoras, etc.

- ISO 27000

ISO 20000
La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la informacin
mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo
que ayuda a identificar problemas continuados o interrelaciones. La norma considera tambin la
capacidad del sistema, los niveles de gestin necesarios cuando cambia el sistema, la asignacin
de presupuestos financieros y el control y distribucin del software.
La norma ISO 20000 se denomin anteriormente BS 15000 y est alineada con el planteamiento
del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de
tecnologa de la informacin) de The Office of Government Commerce (OGC).

ISO/IEC 20000

Es el primer estndar internacional certificable para la gestin de servicios TI. Proviene del estndar britnico BS
15000.
ISO 20000-1: especificaciones en las cuales se describe la adopcin de un proceso de mejora integrado para el
desempeo y gestin de los servicios acorde a los requisitos del negocio y del cliente. Este documento ha sido
revisado en 2011 y comprende 9 secciones: Alcance, Trminos y definiciones, Requisitos de un sistema de
gestin, Planificacin e implantacin de la gestin de servicio, Planificacin e implantacin de servicios nuevos o
modificados, Proceso de entrega de servicios, Procesos de relacin, Procesos de resolucin, Procesos de control
y Procesos de liberacin.
ISO 20000-2: cdigo de prcticas donde se describen las mejores prcticas para la gestin de los servicios y dentro
del mbito indicado por la norma ISO 20000-1.
ISO/IEC TR 20000-3: proporciona orientacin sobre la definicin del alcance, la aplicabilidad y la demostracin de la
conformidad de los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO/IEC 20000-1, o por
los proveedores que estn planeando mejoras de suss servicios y la intencin de utilizar la norma ISO/IEC 20000
como un objetivo de negocio. Tambin puede ayudar a los proveedores de servicios que estn considerando utilizar la
norma ISO/IEC 20000-1 para la aplicacin de un sistema de gestin de servicios (SMS) y que necesitan
asesoramiento especfico sobre si la norma ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de definir el
alcance de sus SMS.
ISO/IEC 20000-4: proporciona un proceso de evaluacin acorde a los principios de ISO/IEC 15504. ISO/IEC 200004 describe en un nivel de abstraccin los procesos incluidos para la provisin de gestin de los servicios segn
ISO/IEC 20000-1 y en trminos de objetivos y resultados para cada uno de los procesos.
ISO/IEC TR 20000-5: proporciona un ejemplo del proceso de implantacin que cumple con los requisitos de la
norma ISO/IEC 20000-1.

ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente
desarrollada para indicar las mejores prcticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de
obligada aplicacin para la implantacin en la norma ISO 20000, s suele ser una adecuada referencia para aquellas
organizaciones que desean la implantacin de ste norma mediante la introduccin de un paso intermedio.

ISO/IEC 20000
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization
for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estndar reconocido
internacionalmente en gestin de servicios de TI (Tecnologas de la Informacin). La serie 20000 proviene de la adopcin de la
serie BS 15000 desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).

Descripcin
Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepcin de que estos servicios no estn
alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios
internamente a clientes como si se est subcontratado proveedores. Una manera de demostrar que los servicios de TI estn
cumpliendo con las necesidades del negocio es implantar un Sistema de Gestin de Servicios de TI (SGSTI) basado en los
requisitos de la norma ISO/IEC 20000. La certificacin en esta norma internacional permite demostrar de manera independiente
que los servicios ofrecidos cumplen con las mejores prcticas.
ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard
(BS), y que est disponible en dos partes: una especificacin auditable y un cdigo de buenas prcticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o gua de mejores prcticas para el proceso
de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC
20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en cualquier sector o parte del mundo donde
confan en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como
departamentos de Informacin Tecnolgica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma
est impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratacin de negocios,
Telecomunicaciones, Finanzas y el Sector Pblico.

Organizacin
El estndar partes, de las cuales cuatro estn ya publicadas y una en proceso de publicacin:

Parte 1: ISO/IEC 20000-1:2005 - Especificacin. Preparada por BSI como BS 15000-1

Parte 2: ISO/IEC 20000-2:2005 - Cdigo de Prcticas. Preparada por BSI como BS 15000-2

Parte 3: ISO/IEC TR 20000-3:2009 - Gua en la definicin del alcance y la aplicabilidad (informe tcnico)

Parte 4: ISO/IEC DTR 20000-4:2010 - Modelo de referencia de procesos (informe tcnico)

Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de implementacin (informe tcnico)

Adems, las partes 1 y 2 se encuentran en proceso de revisin y previsiblemente en 2011 se publicarn actualizando su ttulo
de la siguiente forma:

Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestin de servicios (Publicada el 12 de Abril de 2011)

Parte 2: ISO/IEC 20000-2:2011? - Gua de implementacin de los sistemas de gestin de servicios (En desarrollo)

La primera parte (Especificacin) define los requerimientos (217) necesarios para realizar una entrega de servicios de TI
alineados con las necesidades del negocio, con calidad y valor aadido para los clientes, asegurando una optimizacin de los
costes y garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta parte, garantiza adems, que se
est realizando un ciclo de mejora continuo en la gestin de servicios de TI. La especificacin supone un completo sistema de
gestin (organizado segn ISO 9001) basado en procesos de gestin de servicio, polticas, objetivos y controles. El marco de
procesos diseado se organiza con base en los siguientes bloques:

Grupo de procesos de Provisin del Servicio.

Grupo de procesos de Control.

Grupo de procesos de Entrega.

Grupo de procesos de Resolucin.

Grupo de procesos de Relaciones.

La segunda parte (Cdigo de Prcticas) representa el conjunto de buenas prcticas adoptadas y aceptadas por la industria en
materia de Gestin de Servicio de TI. Est basada en el estndar de facto ITIL (Biblioteca de Infraestructura de TI) y sirve como
gua y soporte en el establecimiento de acciones de mejora en el servicio o preparacin de auditoras contra el estndar
ISO/IEC 20000-1:2005.

Rasgos y beneficios
La ISO/IEC 20000 est dividida en las siguientes secciones que definen los requisitos que debe cumplir una organizacin, la
cual proporciona servicios a sus clientes con un nivel aceptable de calidad:

Requisitos para la gestin de un sistema.

Implantacin y planificacin de Gestin de Servicios.

Planificacin e implantacin de servicios nuevos o modificados.

Procesos del servicio de entrega.

Procesos relacionales.

Procesos de control.

Procesos de emisin.

Demuestra que se tienen procedimientos y controles adecuados in situ para proporcionar un servicio de calidad de TI coherente
y a un coste efectivo.
Los suministradores de servicios de TI se han vuelto cada vez ms sensibles y responsables con los servicios que prestan ms
que de la tecnologa que puedan proporcionar.
Los proveedores externos de servicios pueden usar la certificacin como un elemento diferenciador y acceder a nuevos
clientes, ya que esto cada vez ms se convierte en una exigencia contractual.
Permite seleccionar, gestionar y proporcionar un servicio externo ms efectivo.
Ofrece oportunidades para mejorar la eficiencia, fiabilidad y consistencia de sus servicios de TI que impactan positivamente
tanto en los costes como en el servicio.

Certificacin
La aparicin de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestin en servicio de TI certificable bajo norma
reconocida a nivel mundial. Hasta ahora, las organizaciones podan optar por aplicar el conjunto de mejoras prcticas dictadas
por ITIL (completadas por otros estndares como CMMI o CoBIT) o certificar su gestin contra el estndar local britnico BS
15000. La parte 1 de la serie, ISO/IEC 20000-1:2005 representa el estndar certificable. En febrero de
2006, AENOR (organizacin delegada en Espaa de ISO/IEC) inici el mecanismo de adopcin y conversin de la norma
ISO/IEC 20000 a norma UNE. El 23 de junio de 2006, la organizacin itSMF hace entrega a AENOR de la versin traducida de
la norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas espaolas con las siguientes referencias:

UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del servicio. Parte 1: Especificaciones (ISO/IEC
20000-1:2005).

UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del servicio. Parte 2: Cdigo de buenas prcticas
(ISO 20000-2:2005).

Estas normas pueden adquirirse a travs del portal web de AENOR. Cualquier entidad puede solicitar la certificacin respecto a
esas normas.

ISO 20000
ISO 20000 y la Gestin de Servicios TI
La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo especficamente dirigida a la gestin de los servicios
de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los
negocios provenientes de un colapso tcnico del sistema de TI de las organizaciones.
ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus
clientes. La esperada publicacin de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento
internacional y el desarrollo de la certificacin de ITSM.
Hoy en da la aparicin de la norma ISO 20000 est causando un aumento considerable del inters en aquellas organizaciones interesadas en
implementar ITSM. Estudios revelan como dicho anhelo crecer internacionalmente tomando como base la reconocida certificacin ISO
20000

Ventajas Norma ISO 20000

La norma ISO/IEC 20000 est formada por tres partes bajo el mismo ttulo Tecnologa de la informacin. Gestin del servicio:

ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para disear, implementar y mantener la
gestin de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad
aceptable para los clientes.

ISO 20000-2: Cdigo de buenas prcticas

Describe las mejoras prcticas adoptadas por la industria en relacin con los procesos de gestin del servicio TI, que permite cubrir
las necesidades de negocio del cliente, con los recursos acordados, as como asumir un riesgo entendido y aceptable.

ISO 20000-3: Gua sobre la deficin del alcance y aplicabilidad de la norma ISO/IEC 20000-1
Proporciona orientacin sobre la definicin del alcance, aplicabilidad y la demostracin de la conformidad con los proveedores de
servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, as como los proveedores de servicios que estn planeando
mejoras en el servicio con la intencin de utilizar la norma como un objetivo de negocio.

Si desea obtener ms informacin sobre el desarrollo de nuevas partes que buscan una mejor alineacin con ITSM y con otros estndares ISO,
visite la seccin de la norma iso 20000.

Consultoria ISO 20000

La implantacin de la ISO 20000 le permitir gestionar de forma ptima sus servicios de TI, a travs de la definicin y el establecimiento de
los procesos que dicta la norma. La norma ISO 20000 contempla las mejores prcticas descritas en Gestin de servicios TI.
La consultoria ISO 20000 incluye:

Auditora inicial del cumplimiento con respecto a la norma

Anlisis de procesos aplicables

Estudio de recurosos necesarios / necesidades

Implantacin de procesos ISO 20000

Auditora interna ISO 20000

Formacin ISO 20000

Certificacin

Certificacion ISO 20000

La aparicin de la serie 20000 ha supuesto el primer sistema de gestin en servicio de TI certificable bajo norma reconocida a nivel
mundial. Hasta ahora, las organizaciones podan optar por aplicar el conjunto de mejoras prcticas dictadas por ITSM o certificar su gestin
contra el estndar local britnico BS 15000.
La parte 1 de la norma ISO 20000, ISO 20000-1:2005 representa el estndar certificable. En Febrero de 2006, AENOR (organizacin delegada
en Espaa de ISO/IEC) inici el mecanismo de adopcin y conversin de la norma ISO 20000 a norma UNE. En Junio de 2006, itSMF hace
entrega a AENOR de la versin traducida de la norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas espaolas
con las referanciaso partes de la ISO 20000 mostradas en el punto anterior. Acceda a ms informacin acerca de el proceso de certificacin
ISO 20000.

Certificacin ISO 20000

Proceso de Certificacin Empresarial
La certificacin ISO 20000 est orientada a la calidad, al igual que la ISO 9001, pero destinada ntegramente a la Gestin de Servicios TI. Se
puede decir que con la certificacin ISO 20000 se consigue el estndar de calidad para la Gestin de Servicios TI.
El objetivo de conseguir la certificacin iso 20000, no es otro que el de demostrar que una organizacin de TI tiene la capacidad suficiente
de satisfacer las necesidades y expectativas de sus clientes.
La certificacin ISO 20000 puede ser usada por los siguientes motivos:

Negocios que requieran de un enfoque consistente por parte de todos sus proveedores de servicios.

Necesidad de los proveedores de servicio de medir y comparar su Gestin de Servicios TI.

Base de una evaluacin independiente.

Necesidad de demostrar la capacidad de una organizcin para proveer servicios que cumplan con los requerimientos de los
usuarios.

Bsqueda de mejora de servicios por medio de una aplicacin efectiva de procesos para monitorizar y mejorar la calidad de los
servicios.

Proceso de Certificacin ISO 20000

A la hora de iniciar la certificacin iso 20000 se ha de tener muy presente el mbito de la misma, es decir, elegir qu servicios son los que
van a ser certificados.

El Proceso de certificacin de la iso 20000 es el siguiente:

Esquema de Certificacin ISO 20000

El esquema de certificacin iso 20000 para empresas consta de dos niveles. El primero se corresponde con la validacin de empresas
certificadoras y el otro con la certificacin de empresas (objetivo final). Del mismo modo, se comparten 3 registros diferentes, donde se
pueden encontrar desde los auditores cualificados hasta las empresas que han sido certificadas.
En el siguiente grfico se puede observar con claridad los diferentes registros que acompaan a todo el proceso decertificacin iso 20000,
teniendo presente a ITSMF como entidad reguladora:

Ventajas de la Certificacin ISO 20000

Algunas de las ventajas de conseguir la certificacin iso 20000 en empresa son:

Prestigio reconocido de la compaa

Reduccin del riesgo ofreciendo apoyo fiable de profesionales de TI

Alineamiento con los programas de calidad

Mejora en la productividad

Ahorro y disminucin de gastos

Definicin de roles y responsabilidades

Mejora de la fiabilidad de sus operaciones internas para satisfacer las necesidades de los clientes y tambin para aumentar su
rendimiento global

Evaluacin peridica de los procesos de gestin de servicios TI, lo que ayuda a mantener y mejorar la eficacia

Estandarizacin de la infraestructura

INTRODUCCIN ISO 20000 MXICO

INTRODUCCIN
Qu es la ISO/IEC 20000 ?
A partir del 14 de Diciembre de 2005, Es reconocido mundialmente como un estandard para certificar la Gestin de
Servicios de TI de las Empresas y Organizaciones , ISO/IEC 20000 (International Organization for Standardization) e
IEC (International Electrotechnical Commission)
La serie 20000 proviene de la adopcin de la serie BS 15000 desarrollada por la entidad de normalizacin y certificacin
britnica BSI (British Standard Institute ).
El estndar comprende dos partes:
Parte 1: ISO/IEC 20000 - 1 : 2005 - Especificacin. ( Preparada por BSI como BS 15000 -1 ).
Parte 2: ISO/IEC 20000 - 2 : 2005 - Cdigo de Prcticas. ( Preparada por BSI como BS 15000 - 2 )
La primera parte ( Especificacin ):
Define los requerimientos necesarios ( 217 ) que deben cumplirse para realizar la entrega de servicios de TI alineados
con la Visin y Objetivos del Negocio, integrando as las distintas reas de la organizacin con calidad y valor agregado
para los clientes, asegurando una optimizacin de los costes y garantizando la seguridad de la entrega en todo momento.
El cumplir con esta especificacin es garanta de que la organizacin cuenta con un Ciclo de Mejora Continua de la
Gestin de los servicios de TI que ofrece.
Este Estndar Internacional comprende los siguientes procesos:
Grupo de Procesos de Provisin del Servicio.
Grupo de Procesos de Control.
Grupo de Procesos de Entrega.

 Grupo de Procesos de Resolucin.

Grupo de Procesos de Relaciones.
La segunda parte ( Cdigo de Prcticas ) ITIL :
Representa el conjunto de Mejores Prcticas adoptadas y aceptadas por la industria en materia de Gestin de
Servicio de TI. Est basada en el estndar mundial para el rea de IT ( ITIL (Biblioteca de Infraestructura de TI ) que
sirve como gua y base para la definicin de nuevas acciones de mejora de los servicios en el servicio o preparacin de
auditorias contra el estndar ISO/IEC 20000 - 1:2005.
La especificacin supone un completo sistema de gestin (organizado segn ISO 9001) basado en procesos de gestin
de servicios, polticas, objetivos y controles.
Qu es ITIL? ( Propiedad de la OGC de Inglaterra | Office of Goverment of Commerce ).
ITIL ( Information Technology Infrastructure Library ), es el estndar internacional adoptado por las principales
empresas de servicios a nivel mundial, para reducir costos y optimizar los servicios que ofrecen a travs del rea de TI,
aumentando la disponibilidad y calidad de los mismos.
ITIL es un Framework, documentado en un conjunto de libros, que conforman la Biblioteca de Mejores Practicas que
permiten mejorar notablemente la calidad de los servicios de tecnologas de la informacin que presta una empresa a sus
clientes o un departamento de su organizacin.
Adicionalmente, ITIL permite a las Empresas que lo adopten obtener la certificacin exclusiva ISO/IEC 20000, para el
rea de tecnologa de la informacin. Dicha certificacin es garanta comprobable de la calidad de los servicios que se
ofrecen.