NORMAS DE SEGURIDAD DE LA INFORMACION

ISO27001:2013, ISO27002 Y ISO27018:2014

Publicado por:
Vladimir Camilo, José Montero, Alvaro Guerrero, Daniel Pérez, Andrés Pichardo y Nerson Romero.
Maestría en Auditoria y Seguridad de la Información (MASI), 2020-2022.
Universidad Autónoma de Santo Domingo (UASD).

RESUMEN
Hoy en día las organizaciones tienen contacto directo con la Tecnología de la Información (TI), al
punto que ya se ha convertido en parte esencial de los procesos de estas. Esto obviamente provocó la
necesidad de adoptar una estandarización de los nuevos procesos, por lo que normas como
International Organization for Standardization (ISO) entraron en el juego, se crearon las ISOs:
27001, 27002 y 27018, entre otras, pero nos centraremos en las tres (3) antes mencionada, enfocadas
en la seguridad de la información. La ISO 27001, ha sido elaborada para brindar un modelo para el
establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora
continua de un Sistema de Gestión de Seguridad de la Información (SGSI). La ISO 27002 es una
norma desarrollada para la implementación de las buenas prácticas en el manejo de la seguridad de
la información en las organizaciones, proveyéndonos una serie de controles necesarios para definir
las pautas a seguir en el manejo de los activos de información en consecuencia de las estrategias
establecidas en la organización, mientras que el estándar ISO 27018 actúa tanto como un código de
práctica, así como una norma empleada especialmente para la protección de la información de
identificación personal, específicamente relacionado a los servicios de las nubes públicas.

Palabras claves: Activo, Riesgo, Confidencialidad, Disponibilidad, Integridad, Criptografía.

INTRODUCCIÓN
En la actualidad es impensable concebir una organización que prescinda de las ventajas y facilidades
que brinda el uso de las TI. Es por ello que casi la totalidad de las organizaciones tanto privadas, así
como gubernamentales tienen un contacto directo con la tecnología de la información (TI); estas
tratan de enfilar sus procesos y operaciones aprovechando el desarrollo de la tecnología y, su
infraestructura con la finalidad de ser más eficientes en su desarrollo. Esto hace que las
organizaciones sientan la misma necesidad de involucrar el manejo de la tecnología de la
información en casi la totalidad de los procesos que se llevan a cabo a lo interno de las
organizaciones, esto ha provocado la necesidad de contar con procedimientos eficaces orientados a
la seguridad de los tales y con ello haciéndolos más funcionales mediante un uso adecuado de estas
tecnologías.
Gracias a la Organización Internacional de Estandarización (ISO), en la actualidad contamos con una
serie de estándares internacionales muy bien elaborados, los cuales nos ayudan a disponer de
herramientas, controles y mecanismos de seguridad necesarios para sacar el mejor provecho al
momento de implementar las tecnologías requeridas en nuestra organización de forma segura, siendo
estas ya evaluadas, verificadas y puestas a prueba a nivel internacional. ISO persigue que estas
normas sean de conocimiento a nivel global y que las mismas tengan dominio de las tales en cuanto
a su aplicación y funcionalidad.

DESARROLLO

ISO27001:2013

La norma ISO27001 fue elaborada inicialmente por el comité técnico conjunto ISO/IEC JTC1,
tecnología de la información, subcomité SC27 y técnicas de seguridad en TI, fue aprobada y
publicada como estándar internacional en octubre de 2005; Antes de la publicación del estándar ISO
27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. La
ISO (Organización Internacional de normalización) y la IEC (Comisión Electrotécnica
Internacional), constituyen el sistema especializado para la normalización a nivel mundial. Los
comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. En el campo de la
tecnología de la información ambas entidades han establecido un comité técnico conjunto que en la
actualidad se conoce como ISO/IEC JTC1.

Esta fue elaborada con el objetivo de servir como modelo para el establecimiento, implementación,
operación, seguimiento, revisión, mantenimiento y mejora de un Sistema de Gestión de Seguridad de
la Información (SGSI). Se recomienda que la adopción de un SGSI sea una decisión estratégica para
la organización. El diseño e implementación de un SGSI por parte de una organización se ve
influenciado por sus necesidades y objetivos, y los requisitos de seguridad, los procesos, empleados
donde juega un papel fundamental el tamaño y la estructura de la organización. (ISO.ORG, n.d.)

Esta norma puede ser utilizada por las partes internas y externas para evaluar la capacidad de una
organización de cumplir con los requerimientos más apropiados en cuanto a la seguridad de la
información.

El enfoque basado en procesos presentado por esta norma, estimula a sus usuarios a poner énfasis en
la importancia de:
a) Comprender los requisitos de seguridad de la información de la organización, y la necesidad
de establecer la política y objetivos en relación a la referida seguridad de la información.
b) Implementar y operar controles para gestionar los riegos de seguridad de la información de
una organización en el contexto de los riesgos de negocios globales de la organización.
 c) El seguimiento y revisión del desempeño y efectividad del sistema de gestión de la seguridad
de la información.
d) La mejora contínua basada en la medición del alcance de los objetivos.

Esta norma aplica la estructura de alto nivel, los títulos, el texto, los términos, y las definiciones, por
lo tanto, mantiene la compatibilidad con otras normas del sistema de gestión. Este enfoque será de
mucha utilidad para las organizaciones que opten por trabajar con un solo sistema de gestión que
cumpla con los requisitos de más de una norma. (ISO.ORG, n.d.)

Para lograr la implementación de esta norma se debe comprender la organización y su contexto los
asuntos internos y externos que son importantes para alcanzar los objetivos y que afecte su
capacidad de lograr los resultados esperados. No está demás decir que la organización debe definir y
aplicar un proceso de evaluación de riesgos donde se identifique, analice y evalúe el riesgo a los
fines de tratarlos y enfrentarlos.

También, la alta dirección de la organización debe demostrar el compromiso respecto al sistema de

gestión de la seguridad de la información al asegurar la integración de los requisitos, asegurar que
los objetivos de esta implementación sean compatibles con los lineamientos de la dirección
estratégica de la organización; asegurar la disponibilidad de los recursos necesarios, asegurar que la
comunicación de esta implementación con todas las áreas de la organización sea efectiva. Esa misma
alta dirección debe asegurar que las responsabilidades para los roles pertinentes a la seguridad de la
información son asignados y comunicados correctamente.

Por otro lado, la alta dirección debe establecer una política de seguridad de la información alineada a
los objetivos de la organización que proporcione un marco de trabajo que incluya un compromiso
para satisfacer los requisitos aplicables y mantener la mejora continua.

TÉRMINOS Y DEFINICIONES

Este punto se detallan los términos y condiciones que tienes esta normativa
a) Aceptación del riesgo: decisión de asumir un riesgo.
b) Activo: cualquier cosa que tenga valor para la organización.
c) Análisis del riesgo: uso sistemático de la información para identificar las fuentes y estimar el
riesgo.
d) Confidencialidad: propiedad que determina que la información no esté disponible ni puede
ser revelada a individuos, entidades o procesos no autorizados.
e) Declaración de aplicabilidad: declaración documentada que describe los objetivos de control
y los controles pertinentes y aplicables al SGSI de la organización.
f) Disponibilidad: propiedad de ser accesible y utilizable por solicitud de una entidad
autorizada.
g) Evaluación del riesgo: proceso global de análisis y valoración de riesgo.
 h) Evento de seguridad de la información: presencia identificada de una condición de un
sistema, servicio o red, que indica de una posible violación de la política de seguridad de la
información o la falla de las salvaguardas o una situación desconocida previamente que
puede ser pertinente a la seguridad.
i) Gestión de riesgo: actividades coordinadas para dirigir y controlar una organización en
relación con el riesgo.
j) Incidente de seguridad de la información: un evento o serie de eventos de seguridad de la
información no deseados o inesperados, que tienen la probabilidad significativa de
comprometer las operaciones del negocio y/o amenazar la seguridad de la información.
k) Integridad: propiedad de salvaguardar la exactitud y estado completo de los activos.
l) Riesgo residual: nivel restante de riesgo después del tratamiento del riesgo.
m) Seguridad de la información: preservación de la confidencialidad, la integridad y
disponibilidad de la información.
n) Sistema de gestión de la seguridad de la información (SGSI): parte del sistema de gestión
global basada en un enfoque hacia los riesgos de una organización, cuyo fin es establecer,
implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la
información.
o) Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el
riesgo.
p) Valoración del riesgo: proceso de comparar el riesgo estimado contra criterios de riesgos
dados, para determinar la importancia del riesgo.

Para la correcta adopción de esta norma es deber de la organización:

1) Determinar las competencias necesarias de las personas que trabajan bajo su control y que
con su desempeño pueden afectar la seguridad de la información.
2) Asegurar que estos colaboradores sean competentes.
3) Tomar las acciones que sean necesarias, para que siempre que sea necesario, se adquieran las
competencias requeridas.
4) Retener la información documentada como evidencia de competencia.

ISO/IEC 27002

El estándar ISO/IEC 27002 tuvo su origen en el British Standard BS 7799-1 para el año 1995, en su
momento esta fue publicada como ISO/IEC 17799, luego de una serie de revisiones, esta fue
modificada y nuevamente publicada como ISO/IEC 17799:2005. Ya después de la publicación y
aprobación de la 27001; el 1 de julio de 2007 se renombra la norma ISO 17799:2005 como ISO/IEC
27002 en el año 2007, siendo esta la primera versión de la norma. Ya en el 2013 se publica su
segunda versión como ISO/IEC 27002:2013 la cual actualiza y reestructura un total de 14 dominios
entre objetivos y controles correspondiente a la anterior; ya para el 15 de febrero de 2022 se vuelve a
publicar la tercera versión de esta norma como la ISO/IEC 27002:2022.
En esta norma disponemos de una serie de recomendaciones concernientes a las mejores prácticas en
cuanto a la gestión de la seguridad de la información, enfocada a todos los interesados y
responsables para iniciar, implementar o mantener un sistema de gestión de la seguridad de la
información.

El principal objetivo de la ISO 27002 es establecer una serie de directrices y principios generales
para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una
organización. Esto también aplica la selección, implementación y administración de controles,
teniendo en cuenta los entornos de riesgos encontrados en la organización.

Un punto importante de la ISO 27002 es que la misma permite a las organizaciones tener el
conocimiento preciso sobre todos los activos que poseen y la administración de riesgos de estos. Esta
norma tiene como requerimiento que todos los activos estén clasificados según la sensibilidad y
criticidad de la información que contienen y analiza su cumplimiento en torno al objetivo
relacionado con el tratamiento y protección de la información.

Estos activos deben ser justificados, identificados y asignados a un propietario, al cual se le debe
asignar una responsabilidad de mantenimiento de los diferentes controles adecuados. Es vital
elaborar y mantener un inventario de activos de información, identificando los responsables de estos
y cada uno de los detalles relevantes.

La norma ISO 27002 les permite a las organizaciones contar con una guía útil a la hora de iniciar la
implementación de los controles de seguridad en su organización y por igual aplicar las prácticas
más eficaces para gestionar la seguridad de la información.

Dentro los beneficios asociados a la aplicación de la norma, indicamos los siguientes:

● Mejor concienciación sobre la seguridad de la información.
● Mayor control de activos e información sensible.
● Ofrece un enfoque para la implementación de políticas de control.
● Oportunidad de identificar y corregir puntos débiles.
● Reducción del riesgo de responsabilidad por la no implementación de un SGSI o
determinación de políticas y procedimientos.
● Se convierte en un diferencial competitivo para la conquista de clientes que valoran la
certificación.
● Mejor organización con procesos y mecanismos bien diseñados y gestionados;
● Promueve reducción de costos con la prevención de incidentes de seguridad de la
información.
● Conformidad con la legislación y otras reglamentaciones.

La norma se enfoca directamente en gestionar la seguridad de la información dirigiendo cada uno de

sus controles a la correcta administración y control de los activos que posee la organización, siendo
ésta de ayuda para la administración de riesgos. (Excellence, 2017)
La norma ISO 27002:2013 contiene un total de catorce (14) dominios orientados al uso y buenas
prácticas en el control de las políticas de seguridad, la seguridad enfocada al personal, la gestión de
los activos, la correcta gestión de los controles de accesos a la información, la seguridad en las
telecomunicaciones y el tipo de relación requerida con los suplidores y las buenas prácticas para el
manejo de la gestión de incidentes en la seguridad de la información, estos a su vez se subdividen en
35 objetivos de control los cuales detallan el correcto modo de implementación de estos dominios y
a su vez estos se organizan en 114 controles.

Dentro de estos podemos resaltar como referencia de buena práctica la sección 5 de política de
seguridad de la información, la cual requiere la creación de un documento sobre las políticas,
conceptos, objetivos y la responsabilidad de la directiva de la organización en el manejo de la
seguridad de la información. Otro de los dominios muy importante en resaltar es el de seguridad de
recursos humanos el cual nos indica las pautas recomendadas a la hora de la contratación del
personal o proveedor, proveyendo a la organización información valiosa con el fin de mitigar robos,
fraudes o un mal uso de los recursos. (OSTEC.BLOG, 2016)

La ISO 27002:2013 es una guía detallada de buenas prácticas que establece controles y políticas que
nos permiten reducir los riesgos de los activos de la organización, minimizando las pérdidas de la
información y la continuidad de los procesos, reduciendo a su vez inversiones innecesarias creadas
por la incorrecta estimación de los riesgos, asegurándole a la organización el poder cumplir con las
leyes y estrategias que la rigen.

La implementación de esta norma se aplica basada en el enfoque del ciclo PDCA, el cual se
compone por cuatro etapas:

Planificar (Plan): En este paso se identifica cuáles son aquellas actividades de la organización
susceptibles de mejora y se fijan los objetivos a alcanzar, se identifica el personal que participará, el
tiempo y costo de la implementación, y la metodología que se utilizará.

Hacer (Do): Como segundo paso se procede con la ejecución de lo planificado dando capacitación
al personal basado en el método, y se ejecutan los cambios necesarios para efectuar las mejoras
requeridas.

Verificar (Check): Ya como tercer paso luego de realizada la mejora, se procede a un período de
prueba para verificar su buen funcionamiento y evaluación en seguimiento a lo planificado.

Actuar (Act): Como paso final luego del periodo de prueba se estudian los resultados y estos se
comparan con el funcionamiento de las actividades antes de haber sido implantada la mejora, en este
paso se identifica el avance luego de las implementaciones, y se da seguimiento a la continua
mejorar de los cambios realizados. (Benjumea, 2012) (ESAN, 2016)
Para la aplicación de la norma ISO 27002, se requieren la siguiente documentación:
a) Alcance del SGSI
b) Políticas y objetivos de Seguridad de la información
c) Metodología de evaluación y tratamientos de riesgos
d) Declaración de aplicabilidad (SOA)
e) Plan de tratamiento del riesgo
f) Informe sobre evaluación y tratamiento de riesgos
g) Definición de funciones y tratamientos de riesgos
h) Inventario de activos
i) Uso aceptable de los activos
j) Políticas de control de accesos
k) Políticas de seguridad para proveedores
l) Procedimiento para gestión de incidentes
m) Procedimientos de la continuidad del negocio
n) Requisitos legales, normativos y contractuales.

Es importante entender que estas documentaciones serán requeridas por el auditor a la hora de verificar el
cumplimiento de cada control según el tipo de organización a la hora de implementar la ISO27002, por tanto,
deben estar presente en una auditoria. (Ramiro, 2018)

Cada una de estas documentaciones son la base de la implementación de cada uno de los controles, el cómo se
aplicaron, cuales riesgos se identificaron, que tratamiento se le dieron o de qué manera serán mitigados estos
riesgos. Así igual se detallan en otra documentación SOA los controles de seguridad aplicables a la
organización, los objetivos de control y los controles utilizados del estándar aplicado, justificando la razón de
dicha implementación y la razón de aquellas indicadas en la norma que no fueron implementadas.
(welivesecurity.com, 2015)

La ISO 27002:2013 nos permite como administradores de la seguridad de la información tener un

conocimiento detallado y organizado de los activos que disponemos, y a su vez de los controles que
se le aplican para una mejor práctica en el manejo de la información, su seguridad e integridad.

ISO/IEC 27018:2014

Reseña histórica
Debido al vertiginoso aumento de la ciberdelincuencia, la búsqueda de protección del activo más
importante para las organizaciones es a saber, la información, nunca había sido más apremiante. El
robo de información sensible y/o secuestro de la misma, de aplicaciones y de sistemas completos a
escala mundial es el pan nuestro de cada día. Debido a esto un gran número de organizaciones
alrededor del mundo se han visto compelidas a buscar mecanismos eficaces en la tarea de proteger la
información de una gran variedad de entidades. Entre estos siempre a la cabeza la Organización
Internacional de Estandarización ISO, los Estados Unidos de América y la Unión Europea, los cuales
se vieron obligados a tomar medidas urgentes en procura de salvaguarden la información y los
sistemas que la contienen. Estas iniciativas dieron como resultado la creación de la norma ISO/IEC
27018.

Ámbito de aplicación
La norma ISO/IEC 27018, vio la luz en julio del 2014. Esta norma es un código de práctica
empleado para la protección de la información de identificación personal específicamente
relacionado a los servicios de las nubes públicas.

La norma 27018 es una continuación de la norma ISO/IEC 27001 e ISO/IEC 27002, creada para
ofrecer cobertura de protección a los clientes que contienen información personal alojada en las
nubes.
La presente norma ofrece orientación y respiro a las organizaciones que les preocupa la seguridad en
el manejo de la información de identificación personal (PII). (Fernandez, 2015)

Objetivos del estándar ISO/IEC 27018.

Algunos de los objetivos del estándar son los siguientes:

 Servir de apoyo a los proveedores de servicios en la nube publica en el cumplimiento de sus

obligaciones cuando actúan como proveedores de PII, siempre y cuando esas obligaciones
recaigan sobre la PII proveedor directamente o por contrato.

 Habilitar al proveedor de PII de la nube publica a actual con transparencia en asuntos

relevantes de tal manera que los clientes de servicios en las nubes puedan seleccionar un PII
bien administrado.

 Ayudar a los clientes de servicios en la nube y al proveedor PII de la nube publica a celebrar
un buen acuerdo contractual.

 Suministrar a los clientes de servicios en la nube un mecanismo que les ayude a exigir el
cumplimento de las responsabilidades por parte del proveedor de servicios en la nube en
aquellos casos en que el servicio de nube individual esté alojado en un servidor virtualizado
de múltiples partes y por ello se hiciere técnicamente poco práctico y más riesgoso. (Group,
n.d.)

Principios básicos sobre los que se sustenta la norma ISO/IEC 27018

La presente norma toma el extenso conjunto de controles de seguridad presentes en la norma
ISO/IEC 27002 como base y lo repliega de dos maneras. En primer lugar, se hace una ampliación de
los controles relacionados a la seguridad contenidos en una serie de áreas que tratan sobre la división
de responsabilidades tanto de los clientes de servicios en la nube y los proveedores de servicios de la
misma.

En segundo lugar, se agrega un nuevo conjunto de controles de seguridad en los cuales se reflejan
los principios de privacidad previamente definidos en el marco de privacidad del estándar ISO/IEC
29100.

Algunos ejemplos de controles de seguridad ampliados en este estándar:

 Requisitos para el cifrado de PII en movimiento, cuando se almacena y también en cualquier
medio físico extraíbles.
 La eliminación de PII dentro de un periodo especifico, una vez que los datos ya no son
requeridos.
 Que la PII sea procesada para los fines expresamente establecidos de acuerdo con el servicio
de las nubes.
 Cooperar en la administración de los derechos de dirección de PII en la inspección y
corrección.

Beneficios que aporta la norma ISO/IEC 27018

La norma ISO/IEC 27018 garantiza que el proveedor de servicios en la nube se rija mediante una
serie de procedimientos establecidos para el manejo de la información personal, además de
garantizar un acuerdo más idóneo entre las partes.

El estándar ISO/IEC 27018 tiene el objetivo de proporcionar más transparencia para el cliente en lo
relacionado al servicio en las nubes, además de que se asegura de que el cliente tenga una
comprensión más amplia en cuanto al servicio que el proveedor en las nubes está realizando en
relación con la seguridad y protección de la información personal.

Este estándar permite concentrar el enfoque de las organizaciones al proveerle mayor seguridad en lo
relacionado a la seguridad en cuanto a la protección de la PII. Una de las características más
interesante del mismo es la compatibilidad con los principales proveedores de nube tales cuales:
Google Apps, Microsoft Azure, IBM Sftlayer, Amazon Web Services y Dropbox.

Buenas prácticas relacionadas con la privacidad, seguridad y Gobierno de TI

Un buen modelo de Gobierno de TI requiere el establecimiento de normas bien definidas que

aseguren la protección de la información personal de los clientes. Actualmente la abrumadora
mayoría de las organizaciones manejan datos personales y en su mayoría estas informaciones son
alojadas en la nube. Debido a esta realidad existente la ISO/IEC 27018 resulta en una herramienta
idónea para tales fines. En cuanto a proveedores de servicios de nube públicas que estén certificados
con la norma ISO/IEC 27001, la norma ISO/IEC 27018 constituye un complemento de controles
sobre privacidad, además de identificar a su vez a aquellos proveedores de nube que poseen un
adecuado gobierno de TI.

En ese sentido el modelo OSI en TIC que se refiere a la nube pública, incorpora la calidad (Norma
UNE-ISO/IEC 20000), seguridad (Normas UNE-ISO/IEC 27001 e ISO/IEC 27002) y privacidad
(Norma ISO/IEC 27018). Y permite que cualquier organización sea beneficiada de los factores
críticos de éxito a los que da lugar este modelo.

CONCLUSIÓN

Gracias a todo lo anterior expuesto podemos dar a entender que las normas dispuesta por la ISO
orientadas a la Seguridad de la Información tales como la ISO27001, ISO27002 y la ISO 27018 le
permite a las organizaciones mostrar y certificar un nivel de calidad y confianza ante su público,
siendo estas una guía de buenas prácticas que son de utilidad y ejemplo para el desarrollo organizado
en cada organización que desee certificar sus procesos y estructura. Centrados en el término
Gobierno de TI, estos estándares sirven como herramienta para que la gestión de la seguridad se
realice de la forma más correcta.

Cierto es bueno entender que la aplicación de estos estándares no le garantiza, ni evita que ninguna
organización sea exenta de presentar un impacto negativo o pérdida de información, pero si son de
utilidad para mitigar las posibilidades de sufrir impactos por falta en su seguridad.

Referencias

(n.d.). Retrieved from ISO.ORG: https://www.iso.org/isoiec-27001-information-security.html

(n.d.). Retrieved from ISO.ORG: https://www.iso.org/standard/42103.html

(2015, 04 01). Retrieved from welivesecurity.com:
https://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/
Benjumea, O. (2012, 02 20). RedSeguridad.com. Retrieved from
https://www.redseguridad.com/especialidades-tic/normativa-y-certificacion/sabes-
diferenciar-la-iso-27001-y-la-iso-27002_20120220.html
ESAN, C. (2016, 05 04). EsanBusiness. Retrieved from https://www.esan.edu.pe/conexion-esan/las-
cuatro-etapas-para-la-mejora-continua-en-la-organizacion
Excellence, I. (2017, 08 03). pmg-ssi. Retrieved from https://www.pmg-ssi.com/2017/08/norma-iso-
27002-politica-seguridad/
Fernandez, C. M. (2015, 11 20). Portal Aenormas. Retrieved from
https://portal.aenormas.aenor.com/revista/pdf/nov15/20nov15.pdf
Group, B. (n.d.). Retrieved from
https://www.bsigroup.com/PageFiles/485326/ISOIEC_27018_Safeguarding_information_wh
itepaper_WEB_AU.pdf
OSTEC.BLOG. (2016, 12 30). Retrieved from OSTEC: https://ostec.blog/es/generico/iso-27002-
buenas-practicas-gsi/
Ramiro, R. (2018, 02 17). Ciberseguridad.blog. Retrieved from
https://ciberseguridad.blog/documentos-y-registros-iso-27001-2013/