GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN
En 2013 se liberó la nueva norma ISO 27014 de Gobierno de Seguridad de la Información.
Esta norma completa la idea original de las normas ISO de Seguridad de la Información en cuanto a su entroncamiento en el concepto del Gobierno Corporativo comentado antes.

El concepto básico parte de que el aseguramiento de la información debe responder a un esquema de gobierno, teniendo en cuenta que no es lo mismo gobierno que gestión.
Ya comentamos que en una organización típica el directorio establece el gobierno de la misma y las directivas de gestión, monitoreando dicha gestión, a cargo del personal de la gestión ejecutiva.

Efectivamente, en el ámbito de la seguridad de la información se puede decir en primer lugar que el área de cobertura del concepto gobierno es el del directorio, governing body y en algunos casos de la alta gerencia, top management, términos ambos definidos en la reciente ISO 27000:2014.

Y, complementariamente, se tiene que el área de cobertura del concepto gestión es el de la gerencia ejecutiva, executive management, de nuevo según la ISO 27000:2014.

A partir de este paradigma, la ISO 27014 define el escenario bosquejado estableciendo el marco de
trabajo del gobierno de Seguridad de información para todas las normas de la serie 27k.
Además, la norma habla en forma taxativa del Information Security Governance integrado al Corporate
Governance.
Por otra parte, el Gobierno de la Seguridad de la

Información está separado del Gobierno IT; sólo hay
interacción a nivel de la seguridad IT (Figura 5).
Esta situación es coherente con la diferencia ya
comentada entre Seguridad de la Información y Seguridad
Informática.
Además, en el Gobierno de la Seguridad de la
Información están marcadamente diferenciados los
conceptos de gobierno, a cargo del directorio, y la gestión,

que realiza el personal gerencial.


OTRAS NORMAS Y ESTÁNDARES
Algunas normas que no son específicamente de seguridad de la información pueden aportar complementos de importancia en una implementación.

ISO 31000 Seguramente la más transcendente es la ISO 31000 para la Gestión de Riesgos. Esta norma establece Principios y ofrece guías para ayudar a gestionar cualquier tipo de riesgo corporativo con efectividad y se basa en la norma AS/NZS 4360 de 2004.

En nuestro caso particular, la última versión de la ISO 27005, como ya se dijo, está adaptada a la ISO 31000, por lo que es importante considerar sus principales características.

En primer lugar, la ISO 31000 establece un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos con el gobierno corporativo.

Por cierto esta relación con el Corporate Governance, visto al principio, refuerza la importancia de las decisiones estratégicas de alto nivel con referencia a la seguridad de la información.

Por otra parte, el riesgo se ha venido tratando hasta ahora como la posibilidad que algo ocurra que tenga un impacto en los objetivos. A partir de la ISO 31000 el riesgo se define en términos del efecto de la incertidumbre de los objetivos.