DANILO CUSBA PULIDO

JUAN MANUEL SANCHEZ

AUDITORIA DE SISTEMAS 2015B

 ISO 27000
• El 1 de Mayo de 2009, revisada con una segunda edición de 01 de
Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta
norma proporciona una visión general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuación y el
propósito de su publicación. Recoge todas las definiciones para la serie de
normas 27000 y aporta las bases de por qué es importante la implantación
de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la
Información, una breve descripción de los pasos para el establecimiento,
monitorización, mantenimiento y mejora de un SGSI La norma ISO / IEC
27000 es una serie de normas que, cuando se usan juntos, especifican la
implementación completa de un SGSI. La serie está todavía en
desarrollo. Los documentos básicos de la serie son la norma ISO / IEC
27001, que especifica los requisitos para un SGSI, e ISO / IEC 27002, que
establece directrices y principios para la implementación. Un SGSI puede
ser auditado según la norma ISO / IEC 27001 y la certificación que
garantiza el cumplimiento. Certificación de terceros está disponible a
partir de un número de proveedores acreditados y, normalmente, tiene
una duración de 3 años. El apoyo a la mejora de una implementación
general se administra durante todo el período de certificación.
 ISO 27001
• Esta norma fue publicada el 15 de Octubre de 2005,
revisada el 25 de Septiembre de 2013. Es la norma principal
de la serie y contiene los requisitos del sistema de gestión
de seguridad de la información. Tiene su origen en la BS
7799-2:2002 (que ya quedó anulada) y es la norma con
arreglo a la cual se certifican por auditores externos los
SGSI de las organizaciones. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002:2005, para que sean seleccionados
por las organizaciones en el desarrollo de sus SGSI; a pesar
de no ser obligatoria la implementación de todos los
controles enumerados en dicho anexo, la organización
deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados.
 ISO 27002
• Desde el 1 de Julio de 2007, es el nuevo nombre
de ISO 17799:2005, manteniendo 2005 como año
de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles
recomendables en cuanto a seguridad de la
información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados
en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001
contiene un anexo que resume los controles de
ISO 27002:2005.
 ISO 27003
• Esta norma fue publicada el 01 de Febrero de 2010. No certificable. Se
trata de una norma adaptada tanto para los que quieren lanzarse a
implantar un SGSI como para los consultores en su trabajo diario, debido a
que resuelve ciertas cuestiones que venían careciendo de un criterio
normalizado.
• ISO-27003 focaliza su atención en los aspectos requeridos para un diseño
exitoso y una buena implementación del Sistema de Gestión de Seguridad
de la Información – SGSI – según el estándar ISO 27001.
• Es una guía que se centra en los aspectos críticos necesarios para el diseño
e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005.
Describe el proceso de especificación y diseño desde la concepción hasta
la puesta en marcha de planes de implementación, así como el proceso de
obtención de aprobación por la dirección para implementar un SGSI. Tiene
su origen en el anexo B de la norma BS 7799-2 y en la serie de
documentos publicados por BSI a lo largo de los años con
recomendaciones y guías de implantación.
 ISO 27004
Esta norma fue publicada el 15 de Diciembre de 2009. No certificable.
Es una guía para el desarrollo y utilización de métricas y técnicas de
medida aplicables para determinar la eficacia de un SGSI y de los
controles o grupos de controles implementados según ISO/IEC
27001.Facilita una serie de mejores prácticas para poder medir el
resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de medición, qué
parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a
crear objetivos de rendimiento y criterios de éxito.
La medición de la seguridad aporta protección a los sistemas de la
organización y da respuesta a las amenazas de la misma.
La norma ISO27004 establece cómo se deben constituir estas medidas
y cómo se deben documentar e integrar los datos obtenidos en el
SGSI.
 ISO 27005
• Esta norma fue publicada en segunda edición el 1 de Junio de 2011
(primera edición del 15 de Junio de 2008). No certificable.
Proporciona directrices para la gestión del riesgo en la seguridad de
la información. Apoya los conceptos generales especificados en la
norma ISO/IEC 27001:2005 y está diseñada para ayudar a la
aplicación satisfactoria de la seguridad de la información basada en
un enfoque de gestión de riesgos. Su primera publicación revisó y
retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-
4:2000. Es aplicable a todo tipo de organizaciones que tengan la
intención de gestionar los riesgos que puedan complicar la
seguridad de la información de su organización. No recomienda una
metodología concreta, dependerá de una serie de factores, como el
alcance real del Sistema de Gestión de Seguridad de la Información
(SGSI), o el sector comercial de la propia industria.
 Las secciones que se usan en esta norma son
• Prefacio.
• Introducción.
• Referencias normativas.
• Términos y definiciones.
• Estructura.
• Fondo.
• Descripción del proceso de ISRM.
• Establecimiento Contexto.
• Información sobre la evaluación de riesgos de seguridad (ISRA).
• Tratamiento de Riesgos Seguridad de la Información.
• Admisión de Riesgos Seguridad de la información.
• Comunicación de riesgos de seguridad de información.
• Información de seguridad Seguimiento de Riesgos y Revisión.
• Anexo A: Definición del alcance del proceso.
• Anexo B: Valoración de activos y evaluación de impacto.
• Anexo C: Ejemplos de amenazas típicas.
• Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
• Enfoques ISRA: Anexo E.
 ISO 27006
• Esta norma fue publicada en segunda edición el 1 de
Diciembre de 2011 (primera edición del 1 de Marzo de
2007). Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de
gestión de seguridad de la información. Es una versión
revisada de EA-7/03 (Requisitos para la acreditación de
entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de
auditoría y certificación de sistemas de gestión) los
requisitos específicos relacionados con ISO 27001:2005 y
los SGSIs. Es decir, ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una
norma de acreditación por sí misma.
 ISO 27007
• Esta norma fue publicada el 14 de Noviembre
de 2011. No certificable. Es una guía de
auditoría de un SGSI, como complemento a lo
especificado en ISO 19011. Refleja en gran
parte a la norma ISO 19001 (estándar de
auditoría para sistemas de gestión de la
calidad y medioambiental). Se encarga de
aportar orientación adicional al SGSI.
• EL estándar que adopta esta norma es:
• La gestión del programa de auditoría del SGSI: establecer qué, cuándo y
cómo se debe auditar, asignar auditores apropiados, gestionar los riesgos
de auditoría, mantenimiento de los registros de la misma, mejora continua
del proceso…
• Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de
auditoría, la planificación, la realización de actividades clave, trabajo de
campo, análisis, presentación de informes y seguimiento.
• Gestión de los auditores del SGSI: competencias, atributos, habilidades,
evaluación…
• Esta guía tiene los siguientes fines:
• Confirmar que los controles de seguridad de la información mitigan de
forma correcta los riesgos de la organización.
• Verificar que los controles de seguridad en relación con la contabilidad
general o de los sistemas y procesos de contratación son correctas para
que los auditores corroboren los datos.
• Ratificar que las obligaciones contractuales de los proveedores son
satisfactorias en relación a la seguridad de la información.
• Revisar por la dirección, sin olvidar las operaciones rutinarias que forman
parte del SGSI de una organización, para asegurarnos que todo está en
orden.
• Auditar tras incidentes de seguridad de la información como parte del
análisis y generar acciones correctivas.
 ISO 27008
Esta norma fue publicada el 15 de Octubre de 2011. No certificable. Es una
guía de auditoría de los controles seleccionados en el marco de implantación
de un SGSI.
Es un estándar que suministra orientación acerca de la implementación y
operación de los controles, es aplicable a cualquier tipo y tamaño de
empresa, tanto pública como privada que lleve a cabo revisiones relativas a la
seguridad de la información y los controles de seguridad de la información.
Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como
plataforma estratégica para garantizar la seguridad de la información. La
norma incluye la comprobación de la conformidad técnica frente a un
estándar de implementación de seguridad de la información establecido en la
empresa. No busca suministrar orientaciones específicas sobre la verificación
del cumplimiento relativo a la medición, evaluación del riesgo o auditoría del
SGSI.
 CONTROLES
• Estos controles que trae ISO 27008 ayudarán a la
organización a:
• Comprender el alcance de los problemas o deficiencias en
la aplicación y puesta en marcha de los controles de
seguridad de la información, normas de seguridad de la
información y controles de la información técnica.
• Identificar los posibles impactos en la empresa de las
amenazas y vulnerabilidades de seguridad de la
información.
• Planificar actividades de mitigación de riesgos de seguridad
de la información.
• Confirmar que las deficiencias de seguridad de información
emergentes se han abordado de forma adecuad.
 ISO 27009
• En estado de desarrollo. Esta norma tiene por objeto
orientar a los que se desarrollaría orientación sectorial o
específica de la industria en ISO27k, en particular, No
certificable. Es una guía sobre el uso y aplicación de los
principios y la adaptación o mejora de la norma ISO / IEC
27001. para el sector servicios específicos en emisión de
certificaciones acreditadas de tercera parte. La norma está
en segunda fase DIS. Evidentemente, los cambios
sustantivos se acordaron en la reunión SC 27 en Malasia,
incluyendo texto repetitivo que se incluirán en las futuras
normas ISO27k al parecer, por lo que los editores y equipo
del proyecto es necesario tener un cuidado especial para
asegurar que el producto final sigue siendo utilizable.
 ISO 27010
• Fue publicada el 20 de Octubre de 2012. Consiste en
una guía para la gestión de la seguridad de la
información cuando se comparte entre organizaciones
o sectores. ISO/IEC 27010:2012 es aplicable a todas las
formas de intercambio y difusión de información
sensible, tanto públicas como privadas, a nivel nacional
e internacional, dentro de la misma industria o sector
de mercado o entre sectores. En particular, puede ser
aplicable a los intercambios de información y
participación en relación con el suministro,
mantenimiento y protección de una organización o de
la infraestructura crítica de los estados y naciones.
Actualmente en proceso de revisión para su
actualización.
 ISO 27011
• Fue publicada el 15 de Diciembre de 2008. Es una guía de
interpretación de la implementación y gestión de la
seguridad de la información en organizaciones del sector de
telecomunicaciones basada en ISO/IEC 27002:2005. La
norma facilita modernos controles, además de una
orientación para la implementación en las empresas de
telecomunicaciones. Consolida la privacidad, disponibilidad
e integridad de las infraestructuras y servicios de estas
empresas. La norma ISO27011 nos garantiza la seguridad
de la información de las empresas a través de unos
controles apropiados. Estos controles han de ser
implementados, controlados, especificados y deben de ir
evolucionando a lo largo del tiempo para que se lleve a
cabo el cumplimento de los objetivos de seguridad fijados
previamente por estas entidades.
Con la implementación de la norma ISO-27011, las
organizaciones dedicadas a las telecomunicaciones
tendrán que llevar a cabo las siguientes pautas:

• Proteger la integridad, confidencialidad y

disponibilidad de las infraestructuras y servicios.
• Asegurar la disminución de los riesgos de los servicios
que las empresas de telecomunicaciones prestan
mediante procesos de cooperación fiables.
• Han de saber reordenar los recursos para que las
actividades llevadas a cabo sean más eficientes.
• Acoger un principio global relacionado con la seguridad
de la información.
• Tener la capacidad de hacer que la moralidad de las
personas y la confianza de las mismas mejoren.
 ISO 27012
• ISO / IEC 27012 fue propuesto por los servicios
de administración electrónica, pero fue
cancelado debido a la falta de interés. ISO
27012 también fue propuesto para la norma
específica industria de las finanzas, pero no
hay noticias o avances al respecto.
 ISO 27013
• Fue publicada el 15 de Octubre de 2012. Es una
guía de implementación integrada de ISO/IEC
27001:2005 (gestión de seguridad de la
información) y de ISO/IEC 20000-1 (gestión de
servicios TI). Actualmente finalizando el proceso
de revisión para su actualización. El estándar
puede ser usado para integrar los sistemas de
gestión mencionados, para implementar uno de
ellos beneficiándonos de la existencia del otro y
también para implementar conjuntamente los
dos.
ISO-27013 ayuda a las organizaciones interesadas, por ejemplo, a:
Implementar el estándar ISO 27001 cuando ya trabajan con la norma ISO 20000, o al
contrario.
Implementar las normas ISO 27001 e ISO 20000 conjuntamente desde cero .
Alinear y coordinar los sistemas relativos a ambos estándares, tanto el SGSI como el SGS.
Por otro lado, ISO27013 plantea un marco para la organización y priorización de
actividades, asesorando sobre asuntos como estos:
Alineación de los objetivos de seguridad y el servicio de gestión.
Mejora de la información.
Regularizar las actividades multidisciplinares, para tener un enfoque más integrado y
alineado.
Contar con un sistema colectivo de procesos y documentos de apoyo como políticas,
procedimientos…
Tener un vocabulario común además de una visión compartida.
Obtención de beneficios empresariales, también para los clientes y proveedores de
servicios, así como beneficios adicionales resultados de la integración de ambos sistemas
de gestión.
Auditoría conjunta de ambos sistemas, al mismo tiempo, con la derivada reducción de los
costes de auditoría.
La norma ISO 27013 contiene dos anexos que comparan los estándares ISO 27001 e ISO
20000.
 ISO 27014
• Fue publicada el 23 de Abril de 2013. Es una norma de seguridad de
la información, la cual facilita orientación sobre los principios y
conceptos para gobernar la seguridad de la información. A través de
esta, las organizaciones podrán dirigir, comunicar, evaluar y
controlar la seguridad de la información que está relacionada con
las actividades de la organización.
• Su ámbito de aplicación es para todas las clases y tamaños de
organizaciones. La ISO 27014 admite que existe influencia del factor
humano en la seguridad a través del apoyo a la prestación de la
seguridad, formación, educación y sensibilización mediante el
Consejo de Administración.
• El Consejo de Administración es aquella persona que es
responsable tanto en la ejecución como en el cumplimiento de la
organización. Dicho Consejo es muy importante dentro de la
norma, debido a que es vital para el éxito de la aplicación.
La ISO-27014 indica seis principios de gobiernos de
la seguridad de información los cuales son:

• Establecer seguridad de la información en toda la

empresa.
• Seguir un enfoque basado en el riesgo
• Establecer la dirección de las decisiones de
inversión
• Confirmar el cumplimento de los requisitos
externos e internos.
• Promover un ambiente de seguridad positiva.
• Evidenciar el rendimiento en relación con los
resultados del negocio.
 ISO 27015
• Fue publicada el 23 de Noviembre de 2012. Determina la
orientación de las organizaciones que llevan a cabo una prestación
de servicios financieros con la finalidad de servir de apoyo a la
gestión de seguridad de la información de sus activos y de la
información procesada.
• Las empresas del sector financiero se están centrando tanto en
redes más abiertas como en prestar servicios de banco electrónico
y móvil, lo que quiere decir que en este momento se enfrentan a
unos retos nuevos sobre las amenazas de seguridad de la
información como el malware, ataques cibeméticos y phising. Para
hacer frente a estos retos, deben implantar un sistema de gestión
de la seguridad de la información idóneo para poder disminuir y
prevenir los impactos y riesgos a los datos financieros y de los
clientes y así, confirmar un nivel de seguridad de la información
efectivo y un nivel de privacidad adecuado para sus servicios y
productos.
 VENTAJAS DE LA NORMA ISO 27015
Las ventajas de dicha norma son:

• Otorgar asesoramiento y orientación sobre el empleo de los

controles y requisitos de dicha de las normas ISO/IEC 27001 e
ISO/IEC 27002 en empresas de servicios financieros. Las
organizaciones de dichos servicios obtendrán beneficios de la
adquisición de esta norma, debido a que se les va a permitir aplicar
con mayor facilidad gracias a estos controles y requisitos.
• La orientación y el asesoramiento incluidos en esta norma para las
organizaciones de servicios financieros es muy genérico, es decir, se
puede emplear en cualquier parte del mundo, sin que importe el
tamaño de la empresa pero con el requisito de que formen parte de
los servicios financieros.
 ISO 27016
• Fue publicada el 20 de Febrero de 2014. Es una guía de
valoración de los aspectos financieros de la seguridad de la
información. Esta norma proporciona directrices sobre
cómo una organización puede tomar decisiones para
proteger la información y comprender las consecuencias
económicas de estas decisiones en el contexto de las
necesidades de recursos de la competencia.
• También se aplica a todos los tipos y tamaños de
organizaciones y proporciona información para que las
decisiones económicas en la información de gestión de la
seguridad por la alta dirección que tienen la
responsabilidad de las decisiones de seguridad de la
información.
 ISO 27017
• Esta norma proporcionará orientación sobre los
elementos de seguridad de la información y aspectos
de la computación en nube. Será acompañado por la
norma ISO/IEC 27018, que cubre los aspectos de
privacidad de la computación en nube, e ISO/IEC
27036 la guía de seguridad para para el Outsourcing.

Esta norma está aún en proceso de desarrollo, por lo

que todavía no se sabe si responderá a muchas de las
preguntas que hoy en día se hacen las personas
cuando se plantean si volcar sus servicios en la nube.
 ISO 27018
• la nueva norma ISO 27018 es la primera norma internacional sobre
seguridad en la nube y aborda cuestiones específicamente relacionadas
con este tipo de tecnología, algo que hasta el momento no existía.
Fundamentalmente protege el derecho a la privacidad de la información
de los usuarios y obliga a las empresas proveedoras a informar sobre el
tratamiento que le dan a los datos de sus clientes. La norma pretende
fortalecer la privacidad mediante la incorporación de sistemas de
protección claves para la información sensible de clientes almacenada en
la nube. Se trata de una norma cuya filosofía es proteger la privacidad y la
seguridad de la información de los usuarios al impedir que los
proveedores de servicios en la nube utilicen los datos con fines
comerciales o de otro tipo. Aquellos que cuenten con esta certificación
responderán a los más altos estándares de calidad establecidos por la
Directiva Europea de Protección de Datos. La norma ISO 27018 aporta un
grado de uniformidad a la industria, e incorpora protecciones necesarias
para mejorar la seguridad y el cumplimiento de la IIP en un entorno
informático que se basa cada vez más en la nube
 ISO 27019
• Fue publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC
27002:2005 para el proceso de sistemas de control específicos
relacionados con el sector de la industria de la energía. Actualmente en
proceso de revisión para su actualización. Esta norma proporciona
principios de guía y buenas prácticas basadas en la norma ISO/IEC 27002
para la gestión de seguridad de la información y aplicada a sistemas de
control de procesos en entornos industriales de suministro de la energía.
El objetivo de esta norma es extender el conjunto de normas ISO/IEC
27000 para el dominio de los sistemas de control de procesos y la
tecnología de automatización, permitiendo de este modo que la industria
de la energía pueda poner en práctica un sistema de gestión de
información de seguridad normalizado (SGSI) en conformidad con la
norma ISO/IEC 27001 que se extienda desde la empresa hasta el nivel de
control de procesos.
 ISO 27021
En esta norma se establecen los principios básicos para la realización de auditorías de
sistemas de gestión, y estos principios son comunes y extrapolables a cualquier
proceso de auditoría, tanto la de primera como segunda parte. Mientras que las
auditorías de tercera parte están reguladas por la norma ISO 27021:2011..
Como auditor debes cumplir con unos principios básicos:

• Conducta ética: debes valorar únicamente las evidencias, es decir, debes ser
objetivo.
• Presentación objetiva: de los hallazgos de auditoría, tus conclusiones, los informes
que elabores, etc. Deben reflejar la veracidad y precisión de las actividades de la
auditoría.
• Profesionalidad: debes conocer y poner en práctica la importancia de tu tarea y de
la confidencialidad de tus actuaciones.
• Independencia: debes estar libres de cualquier conflicto de intereses, o sea, debes
ser objetivo e independiente.
• Evidencias: deben ser verificables. Deben estar fundamentadas en muestras de la
información, disponibles y confiables, obtenidas durante la auditoría.
 ISO 27025
• ISO 27025: 2010 define la garantía de calidad (QA) requisitos para el
establecimiento y la aplicación de programas de control de calidad
de los proyectos que cubren definición de la misión, el diseño, el
desarrollo, la producción y el funcionamiento de los sistemas
espaciales, incluida la eliminación.
• Es aplicable a la relación cliente-proveedor para los productos
espacio en la medida acordada por ambas partes. Los requisitos de
esta Norma Internacional y sus normas de referencia asociados se
adaptan a las necesidades y clases de proyectos específicos.
• Cuando se ve desde la perspectiva de un contexto determinado
proyecto, los requisitos definidos en la norma ISO 27025: 2010
están diseñados para satisfacer las necesidades genuinas de un
perfil particular y las circunstancias de un proyecto.
 ISO 27026
• ISO 27026: 2011 especifica los procesos, requisitos y
recomendaciones para la ruptura de las estructuras de gestión de
proyectos, colectivamente denominadas estructuras de desglose
del proyecto, en términos de diferentes especificaciones (es decir,
requisitos), funcional, producto, el trabajo, el costo, los negocios y
las estructuras de desglose de la organización que son establecido y
aplicado a contribuir al éxito de un programa espacial, que a
menudo se compone de uno o más proyectos.
• Está destinado a complementar y completar los procesos de la
estructura de desglose del proyecto similares, requisitos y
recomendaciones contenidas en la norma ISO 14300-1, que sirve
como un nivel más alto estándar internacional ISO 27026: 2011 y
para los otros sistemas espaciales y las operaciones de Normas
Internacionales que requieren proyecto oficial estructuras
de desglose.
 ISO 27027
• ISO 27027: 2008 especifica las definiciones, requisitos
de desempeño en general y métodos de ensayo para
determinar el rendimiento de estado sólido (remoto)
controladores de potencia (SSPC) para su uso en
sistemas de energía eléctrica aeroespaciales.
• El controlador de potencia de estado sólido (remoto)
se compone de de estado sólido dispositivo de
conmutación (s) y los circuitos de estado sólido
asociado para la protección, la acción de señales de
control y suministro de información de estado
 ISO 27031
El estándar ISO 27031 explica los principios y conceptos de la
tecnología de información y comunicación (TIC), la preparación para
que continúe el negocio, y la descripción de los procesos y métodos
necesarios para señalar e identificar todos los aspectos que sirvan para
mejorar la preparación de las TIC de una empresa con la finalidad de
garantizar la continuidad del negocio.
Se puede llevar a cabo en cualquier organización independientemente
de su tamaño y del sector al que pertenezca, incluso que sea privada,
gubernamental o no gubernamental.
El ámbito de aplicación de dicha norma incluye cada uno de los
eventos o incidentes, también los que están asociados con la
seguridad, que pueden tener un impacto en los sistemas de TIC y en
las infraestructuras. Además, se amplia a las prácticas de información
de seguridad de manejo de gestión, de incidentes, servicios de
planificación y preparación para las TIC.
 ISO 27032
ISO / IEC 27032: 2012 Tecnología de la información - Técnicas de seguridad -
Directrices para la ciberseguridad ISO 27032:. 2012 proporciona orientación
para mejorar el estado de Ciberseguridad, sacando los aspectos únicos de esa
actividad y sus dependencias en otros dominios de seguridad, en particular:
• seguridad de información,
• Seguridad de la red,
• seguridad de Internet, y
• protección de infraestructuras críticas de información (PICI).
ISO 27032 cubre las prácticas de seguridad de referencia para los
interesados ​en el Ciberespacio. ISO 27032 Norma ofrece:

• una visión general de la Seguridad Cibernética,

• una explicación de la relación entre Ciberseguridad y otros tipos de
seguridad,
• una definición de las partes interesadas y una descripción de su papel en
la seguridad cibernética,
• orientación para abordar las cuestiones de seguridad cibernética
comunes, y
• un marco para que las partes interesadas a colaborar en la resolución de
cuestiones de seguridad cibernética.
 ISO 27033
Parcialmente desarrollada. Es una norma derivada de la norma de seguridad
ISO/IEC 18028 de la red de cinco partes existentes.
Esta norma da una visión general de seguridad de la red y de los conceptos
asociados. Explica las definiciones relacionadas y aporta orientación de la
gestión de la seguridad de la red. Se destina a la gestión de la seguridad,
aplicaciones de servicios y/o redes, seguridad de los dispositivos de red y a la
seguridad de información que se pasa mediante enlaces de comunicaciones.
El alcance de la norma puede modificarse a medida que el estándar sigue
desarrollando de forma paralela la evolución de la seguridad de la red.

Consistente en 7 partes: 27033-1, conceptos generales (Publicada el 15 de

Diciembre de 2009); 27033-2, directrices de diseño e implementación de
seguridad en redes (Publicada el 27 de Julio de 2012); 27033-3, escenarios de
referencia de redes (Publicada el 3 de Diciembre de 2010); 27033-4,
aseguramiento de las comunicaciones entre redes mediante gateways de
seguridad (Publicada el 21 de Febrero de 2014); 27033-5, aseguramiento de
comunicaciones mediante VPNs (Publicada el 29 de Julio de 2013); 27033-6,
convergencia IP (en desarrollo); 27033-7, redes inalámbricas (en propuesta de
desarrollo).
 ISO 27034
Esta norma proporciona una guía de seguridad de la información
dirigida a los agentes de negocio y de TI, auditores y desarrolladores y
los usuarios finales de las TIC, es decir, sirve para aquellas personas
que llevan a cabo el diseño, programación, adquisición y uso de los
sistemas de aplicación.
La finalidad de dicha norma es asegurar que las aplicaciones
informáticas conceden el nivel necesario o deseado de la seguridad en
apoyo del Sistema de Gestión de Seguridad de la Información de las
empresas. La ISO-27034 proporciona orientación sobre el diseño,
selección, especificación y aplicación de los controles de seguridad de
la información mediante un conjunto de procesos que están
integrados a través del Desarrollo de Sistemas de Ciclo de una
organización (SDLC).
Son un conjunto de aplicaciones de software que se han realizado
internamente, a través de la adquisición externa de enfoques híbridos
 ISO 27035
Esta norma explica un enfoque de mejores prácticas destinado
a la gestión de la información de incidentes de la seguridad.
Los controles de la seguridad de la información no son
perfectos debido a que pueden fallar, pueden trabajar solo
parcialmente o incluso, a veces, están ausentes, es decir, no
están en funcionamiento. Debido a esto, los incidentes pasan
debido que los controles preventivos no son totalmente
eficaces o fiables.
La orientación de la seguridad de la información en ISO-
27035 se puede aplicar a todas las organizaciones, ya sean
pequeñas, medianas o grandes. Además, se da orientación de
forma específica para las empresas que presten servicios de
gestión de incidentes de seguridad de información.
 ISO 27036
ISO / IEC 27036-3: 2013 proporciona productos y servicios adquirentes y
proveedores de la tecnología de la información y la comunicación (TIC)
cadena de suministro con orientación en:
ganar visibilidad y la gestión de los riesgos de seguridad de información
causadas por las cadenas de suministro de las TIC dispersos físicamente y de
varias capas;
responder a los riesgos derivados de la cadena de suministro mundial de las
TIC a los productos y servicios TIC que pueden tener un impacto en la
seguridad de información sobre las organizaciones que utilizan estos
productos y servicios. Estos riesgos pueden estar relacionados con aspectos
organizativos y técnicos (por ejemplo, la inserción de código malicioso o
presencia de la tecnología de la información falsificada (IT) los productos);
la integración de los procesos y las prácticas de seguridad de la información
en el sistema y el ciclo de vida del software, los procesos descritos en la
norma ISO / IEC 15288 e ISO / IEC 12207, mientras que el apoyo a los
controles de seguridad de la información, que se describe en la norma ISO /
IEC 27002.
 ISO 27037
• Esta norma fue publicada el 15 de Octubre de
2012. Es una guía que proporciona directrices
para las actividades relacionadas con la
identificación, recopilación, consolidación y
preservación de evidencias digitales potenciales
localizadas en teléfonos móviles, tarjetas de
memoria, dispositivos electrónicos personales,
sistemas de navegación móvil, cámaras digitales y
de video, redes TCP/IP, entre otros dispositvos y
para que puedan ser utilizadas con valor
probatorio y en el intercambio entre las
diferentes jurisdicciones.
 ISO 27038
ISO / IEC 27038: 2014 especifica las
características de las técnicas para llevar a cabo
la redacción digital en documentos
digitales. También especifica los requisitos para
las herramientas y los métodos de control de
que la redacción digital de redacción de
software se ha completado de forma segura.
No incluye la redacción de la información de las
bases de datos.
 ISO 27039
• ISO / IEC 27039: 2015 proporciona directrices
para ayudar a las organizaciones en la
preparación para implementar sistemas de
prevención (PDI) de detección de intrusos
y. En particular, se aborda la selección,
implementación y operaciones de los
desplazados internos. También proporciona
información de fondo del que se derivan de
estas directrices.
 ISO 27040
• ISO / IEC 27040: 2015 proporciona orientación técnica
detallada sobre cómo las organizaciones pueden definir un
nivel apropiado de mitigación de riesgos mediante el
empleo de un enfoque bien probada y consistente para la
planificación, diseño, documentación y puesta en práctica
de la seguridad de almacenamiento de datos. La seguridad
de almacenamiento se aplica a la protección (seguridad) de
la información, donde se almacena y para la seguridad de la
información que se transfiere a través de los enlaces de
comunicación asociados con el almacenamiento. La
seguridad de almacenamiento incluye la seguridad de los
dispositivos y medios de comunicación, la seguridad de las
actividades de gestión relacionados con los dispositivos y
medios de comunicación, la seguridad de las aplicaciones y
servicios, y de seguridad pertinentes a los usuarios finales
durante la vida útil de los dispositivos y medios de
comunicación y después de finalizar su uso.
 ISO 27041
• ISO / IEC 27041: 2015 proporciona orientación
sobre mecanismos para asegurar que los
métodos y procesos utilizados en la investigación
de los incidentes de seguridad de la información
son "adecuados para sus fines". Encapsula las
mejores prácticas en la definición de requisitos,
que describe los métodos, y proporcionar
evidencia de que las implementaciones de los
métodos se pueden mostrar para satisfacer los
requisitos. Incluye la consideración de cómo
proveedor y pruebas de terceros se pueden
utilizar para ayudar a este proceso de garantía.
 ISO 27042
• ISO / IEC 27042: 2015 proporciona orientación sobre el análisis e
interpretación de la evidencia digital de una manera que se ocupa de
cuestiones de continuidad, validez, reproducibilidad y
repetitividad. Encapsula las mejores prácticas para la selección, diseño e
implementación de los procesos de análisis y registro de la información
suficiente para permitir que este tipo de procesos para ser sometidos a un
escrutinio independiente cuando sea necesario. Proporciona orientación
sobre mecanismos apropiados para demostrar la habilidad y competencia
del equipo de investigación.
• Análisis e interpretación de la evidencia digital puede ser un proceso
complejo. En algunas circunstancias, puede haber varios métodos que se
pueden aplicar y se requerirán los miembros del equipo de investigación
para justificar su selección de un determinado proceso y que muestran
cómo es equivalente a otro proceso utilizado por otros investigadores. En
otras circunstancias, los investigadores pueden tener que idear nuevos
métodos para el examen de la evidencia digital que previamente no se ha
considerado y debe ser capaz de demostrar que el método de producción es
"adecuado para el propósito".
 ISO 27043
• ISO / IEC 27043: 2015 proporciona directrices basadas en modelos
idealizados de los procesos de investigación de incidentes comunes a
través de diversos escenarios de investigación de incidentes que
involucran evidencia digital. Esto incluye los procesos de preparación
previa al incidente a través de cierre de la investigación, así como
cualquier asesoramiento general y advertencias sobre tales procesos. Las
directrices describen los procesos y principios aplicables a los diversos
tipos de investigaciones, incluyendo, pero no limitado a, el acceso no
autorizado, la corrupción de datos, fallos del sistema, o infracciones
corporativas de seguridad de la información, así como cualquier otra
investigación digital.
• En resumen, esta Norma Internacional proporciona una visión general de
todos los principios y procesos de investigación de incidentes sin prescribir
detalles particulares dentro de cada uno de los principios y procesos de
investigación cubiertos en esta norma. Muchas otras normas
internacionales pertinentes, donde se hace referencia en esta norma
internacional, proporcionan contenidos más detallado de los principios y
procesos de investigación específicos.
 ISO 27044
• SO / IEC 27044 - Tecnología de la información - Técnicas de
seguridad -. Directrices para la información de seguridad y gestión
de eventos (SIEM) (BORRADOR) ISO 27044 norma ofrecerá
presumiblemente orientación sobre el diseño, implementación, uso
y / o manejo de SIEM, posiblemente en el contexto de un Sistema
de Gestión de Seguridad de la Información ISO27k.
• La información relativa a los incidentes y eventos de seguridad de
información es a veces el tiempo-crítico y / o necesita una
respuesta urgente. Por el contrario, en algunas situaciones, los
incidentes de seguridad de información sólo se hacen evidentes si
uno examina los archivos de registro y otras fuentes de información
en el largo plazo. Sistemas SIEM proporcionan apoyo administrativo
y de gestión para los procesos asociados, por ejemplo, mediante el
cotejo de las fuentes de datos dispares, analizarlos y presentar
informes sobre anomalías o inquietudes en función de su
naturaleza
 ISO 27048

• ISO 27048: 2011 especifica los requisitos mínimos para la

evaluación de los datos de la vigilancia de los trabajadores
ocupacionalmente expuestos al riesgo de contaminación
interna por sustancias radiactivas. Presenta procedimientos
y supuestos para la interpretación estandarizada de datos
de vigilancia, a fin de lograr niveles aceptables de
fiabilidad. Estos procedimientos permiten la cuantificación
de las exposiciones a la documentación de cumplimiento
de las normas y programas de protección radiológica. Los
límites se establecen para la aplicabilidad de los
procedimientos con respecto a los niveles de dosis por
encima del cual los métodos más sofisticados tendrán que
aplicar.
 ISO 27050
• ISO / IEC 27050, el Discovery Tecnologías de la
Información-Security Techniques-Electrónica." El
trabajo está siendo coordinado bajo la norma ISO / IEC
JTC (Técnicas de TI de seguridad) 1 / SC27. Una vez
completada, la nueva norma de orientación
proporcionará una visión general de e-discovery y la
información almacenada electrónicamente (ESI),
definir la terminología, y hacer frente a los retos
tecnológicos y de procesos asociados con e-
discovery. Este será el primer lanzamiento en lo que se
espera para convertirse en un estándar de varias partes
que proporciona los requisitos, así como orientación.
 ISO 27799
ISO 27799: 2008 define los lineamientos para apoyar la interpretación y
aplicación de la informática en salud de la norma ISO / IEC 27002 y es un
complemento de esa norma.
Especifica un conjunto de controles detallados para la gestión de seguridad
de la información de salud y proporciona información sobre la salud de
seguridad directrices sobre mejores prácticas. Mediante la implementación
de esta norma internacional, las organizaciones sanitarias y otros custodios
de la información de salud serán capaces de garantizar un nivel mínimo de
seguridad requerido es adecuada a las circunstancias de su organización y
que va a mantener la confidencialidad, integridad y disponibilidad de la
información de salud personal.
Se aplica a la información de salud en todos sus aspectos; cualquiera de sus
formas la información toma (palabras y números, grabaciones de sonido,
dibujos, vídeo e imágenes médicas), todos los medios se usan para
almacenarla (impresión o escribir en papel o de almacenamiento electrónico)
y todos los medios se utilizan para transmitirlo (a mano, por fax, a través de
redes informáticas o por correo), ya que la información siempre debe ser
protegido de manera apropiada.