NORMA ISO/IEC 27001

📌 1. La organización ISO

La Organización Internacional de Normalización (ISO) es una entidad no gubernamental e independiente, fundada en 1947, cuya sede se encuentra en Ginebra, Suiza. Está conformada por organismos nacionales de normalización de más de 160 países, y su principal función es desarrollar y publicar normas internacionales voluntarias que promuevan la calidad, la seguridad, la eficiencia y la interoperabilidad en una amplia variedad de sectores. Las normas ISO son reconocidas globalmente y constituyen una base sólida para la estandarización de procesos y la mejora continua en organizaciones públicas y privadas. En el ámbito de la tecnología y la seguridad, ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC), dando origen a estándares conjuntos como las normas ISO/IEC 27000.

📌 2. La familia de normas ISO

La familia de normas ISO es un conjunto estructurado de documentos técnicos que abarcan diferentes áreas de gestión, desde la calidad (como la ISO 9000) hasta el medio ambiente (ISO 14000) o la seguridad de la información (ISO 27000). Cada familia agrupa estándares con una relación temática, donde se incluyen tanto normas principales (certificables) como normas de apoyo (guías, recomendaciones, vocabulario, entre otras). Estas normas están diseñadas para ser aplicadas de manera complementaria, facilitando una implementación progresiva y adaptada a las necesidades de cada organización. La estructura modular de la familia ISO permite que las organizaciones integren múltiples sistemas de gestión bajo un enfoque unificado y compatible.

📌 3. Estándares en seguridad de la información: Normas ISO 27000

Las normas ISO/IEC 27000 conforman una familia específica centrada en la gestión de la seguridad de la información, desarrolladas conjuntamente por ISO e IEC. Estas normas proporcionan un marco normativo que abarca desde la definición de conceptos y principios fundamentales, hasta los requisitos, controles y guías prácticas para proteger los activos de información. El estándar ISO/IEC 27000 sirve como norma introductoria que define el vocabulario común y contextualiza el propósito general del conjunto. Su objetivo principal es asegurar que la información esté protegida en cuanto a su confidencialidad, integridad y disponibilidad, tres pilares fundamentales en la gestión de riesgos informáticos. Esta familia normativa es aplicable a todo tipo de organizaciones, independientemente de su tamaño o sector.

📌 4. La norma ISO/IEC 27001

La ISO/IEC 27001:2022 es la norma principal y certificable dentro de la familia 27000. Establece los requisitos formales para implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI). Esta norma permite a las organizaciones identificar riesgos asociados al manejo de la información, establecer controles adecuados y evaluar su efectividad a través de ciclos de mejora continua como el PDCA (Plan-Do-Check-Act). Su aplicación permite demostrar el compromiso institucional con la protección de datos, cumplir con requisitos regulatorios y mejorar la confianza de clientes y partes interesadas. Además, ISO 27001 puede integrarse fácilmente con otros sistemas de gestión como ISO 9001 o ISO 22301, aportando un enfoque integral a la gestión de riesgos.

📌 5. La norma ISO/IEC 27002

La ISO/IEC 27002:2022 es una norma complementaria a la ISO 27001. No es certificable, pero proporciona una guía detallada de controles de seguridad de la información, organizados por objetivos y categorías. Está diseñada para ser utilizada como referencia en el proceso de selección, implementación y gestión de controles de seguridad en función de los riesgos identificados. La versión más reciente introduce un enfoque basado en atributos (por ejemplo, tipo de control, propiedad, capacidad operativa) que facilita su alineación con otros marcos de referencia como NIST o COBIT. La ISO/IEC 27002 permite adaptar los controles a las necesidades específicas de cada organización, y su aplicación práctica resulta clave en auditorías, evaluaciones de cumplimiento y diseño de políticas internas.

Justificación del uso de las ISO27001 & 27002

En el contexto actual, caracterizado por una creciente dependencia de los activos de información y una exposición constante a riesgos digitales, se hace necesario complementar los marcos de control como COBIT con estándares internacionales que profundicen en la gestión de la seguridad de la información. En este sentido, la norma ISO/IEC 27001 se presenta como una referencia clave, ya que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una organización. Esta norma permite estructurar de manera sistemática los procesos necesarios para proteger la confidencialidad, integridad y disponibilidad de la información, alineando las prácticas de seguridad con los objetivos estratégicos del negocio. La ISO/IEC 27001, además, es compatible con otros marcos de gobierno TI como COBIT, por lo que su integración fortalece la capacidad de evaluación de los procesos vinculados a la adquisición, implementación y mantenimiento de sistemas informáticos, objeto central del presente estudio.

Por su parte, la ISO/IEC 27002 actúa como una guía complementaria a la ISO 27001, ya que proporciona un conjunto detallado de controles de seguridad y buenas prácticas que pueden ser seleccionados e implementados según las necesidades específicas de la organización. Esta norma incluye recomendaciones en áreas como el control de accesos, la gestión de incidentes, la protección de redes y comunicaciones, y el entorno físico, entre otros, lo cual resulta especialmente relevante en auditorías de seguridad informática. La incorporación de ambos estándares en el análisis permite una visión más robusta, alineada con las mejores prácticas internacionales y sustentada en un enfoque de mejora continua, lo cual refuerza la calidad y aplicabilidad de los resultados obtenidos en el presente trabajo.

Relación del proyecto con las Normas ISO/IEC 27001 & 27002

ÏSO/IEC 27001

ISO/IEC 27001:2022 – Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos ¿Por qué aplica? Esta norma establece los requisitos formales para implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI). → En tu proyecto de evaluación de seguridad informática con enfoque COBIT, esta norma sirve como base normativa internacional para validar la existencia, efectividad y control de los procesos de seguridad. También puedes usarla para estructurar recomendaciones o como marco de comparación.

ISO/IEC 27002

ISO/IEC 27002:2022 – Tecnología de la información – Técnicas de seguridad – Controles de seguridad de la información ¿Por qué aplica? Esta norma no es certificable por sí sola, pero es una guía que acompaña a la ISO 27001. Contiene controles prácticos y detallados que puedes comparar con los mecanismos de seguridad actuales en tu organización (políticas de acceso, respaldo, cifrado, monitoreo, etc.). → Es ideal para auditorías, recomendaciones o diseño de políticas internas dentro del proyecto.