NORMA ISO 27005

Esta norma se refiere a la valuación y gestión de riesgos y la última versión es de 2011. En gran parte se basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestión de riesgos conforme la norma británica BS 7799-3, que si bien también trata de los riesgos tiene un enfoque especial en los negocios.

Estrictamente la ISO 27005 hace recomendaciones respecto de un marco de referencia para el análisis y gestión de riesgos, permitiendo el uso de alguno de los muchos productos comerciales y gratuitos al efecto.

Por otra parte, esta norma reconoce el formato y diagrama de flujo de la ISO 31000 ya mencionada.

De cualquier manera, el alineamiento con la ISO 31000 no significa que la ISO 27005 de Riesgos de Seguridad de la Información pierda relevancia, ya que su uso se puede justificar puesto que esta norma trata especialmente los riesgos técnicos o de IT, mientras que la ISO 31000 provee un marco de trabajo más adecuado para los riesgos de negocios.

Si bien la ISO 27005 promueve el cálculo de riesgos por el método de las frecuencias de ocurrencia e impactos, igualmente habla de activos, amenazas y vulnerabilidades, incluyendo incluso tres de sus Anexos listados y tablas al efecto.

También introduce el concepto de activos dependientes, lo que implica que el valor de un activo pueda influir en el valor de otro activo, aumentándolo cuando el valor del activo dependiente sea mayor que el valor del activo del cual depende.

Adicionalmente, en uno de los Anexos de la norma se establece que, además de los tres parámetros básicos de seguridad (CIA) que establece la ISO 27002, se debieran considerar también la Responsabilidad (en cuanto a rendir cuentas de las acciones), la Confiabilidad, la Autenticación y su complemento del No- Repudio.

NORMA ISO 27004

Esta norma es una guía que especifica las mediciones y su uso, como base de información del SGSI para la toma de decisiones al respecto.
Para ello estipula un modelo de atributos de objetos de seguridad y formas de su cuantificación y medición correspondientes a la efectividad del SGSI y de los controles implementados.

LA SERIE DE NORMAS ISO 27K
Las normas ISO 27002 e ISO 27001 constituyen el núcleo de toda una serie, conocida como 27K, de más de treinta normas ISO 27000, de las cuales ya se han publicado 22 (tres de ellas en forma parcial), ofreciendo el conjunto una estructura auto-consistente e integral.
Algunas de dichas normas (Figura 4) son extensiones a la ISO 27002 para la seguridad en áreas específicas. Otras detallan indicaciones y especificaciones bajo la órbita de la ISO 27001.

Finalmente un par de ellas se refieren a la auditoría y certificación. Sigue un listado de las normas publicadas para febrero de 2014.

• ISO 27000: Define el vocabulario técnico      

específico. Publicada en Enero de 2014.
• ISO 27001: Nueva versión publicada en 2013.
• ISO 27002: Nueva versión publicada en 2013.
• ISO 27003: Guía general de implementación de
la serie. Publicada en Febrero de 2010.
• ISO 27004: Métricas, ya comentada, fue publicada en 2009.
• ISO 27005: Gestión de riesgos, ya comentada; la última versión fue publicada en 2011..
• ISO 27006: Requerimientos para la acreditación de entidades de auditoría y certificación de SGSI. Publicada
en 2007.
• ISO 27007: Auditoría del SGSI, derivada de ISO 19011. Publicada en 2011.


• ISO 27008. Auditoría de la Gestión de la Seguridad de la Información (no del Sistema propiamente dicho de Gestión de Seguridad de la Información, que es tema de la ISO 27007) en cuanto a los controles implementados.
• ISO 27010: Comunicaciones intersectoriales y entre organizaciones. Publicada en 2012.
• ISO 27011: Extensión de la ISO 27002 en cuanto a la gestión de seguridad en telecomunicaciones.

Publicada en 2008.
• ISO 27013: Guía para la implementación sucesiva o combinada de la ISO 27001 con la ISO 20000 (ITIL).
Pensada para manejar los puntos de solapamiento en cuanto a seguridad TIC del ITIL con la ISO 27001.
Publicada en 2012.
• ISO 27014 Gobierno de Seguridad de la Información. Se comenta por separado más adelante.
• ISO 27015: Servicios Financieros. Publicada en 2012.
• ISO 27019: Sistema de Control de Procesos de las empresas de energía. Publicada en 2013.
• ISO 27031: Preparada para la seguridad IT en la Continuidad de Negocios. Publicada en 2011.

• ISO 27032: Guía de ciberseguridad. Publicada en 2012

ISO 27033: Extensión de la ISO 27002 en
cuanto a Seguridad de redes IT, evolución

a partir de la ISO 18028. Dividida en 7
partes, cinco de las cuales ya se han
publicado.
• ISO 27034: Extensión de la ISO 27002 en
cuanto a la seguridad en las aplicaciones.
Publicada la primera parte de un total de
6.
• ISO 27035: Gestión de incidentes basada
en la ISO 18044. Publicada en 2011.
• ISO 27036: Relaciones con proveedores.
Cuatro partes publicada una de ellas.
• ISO 27799: Extensión de la ISO 27002
para cubrir los aspectos referidos a la
protección de la información personal de

salud. Publicada en 2008.

Adicionalmente a todas las normas comentadas antes, la serie 27K incluye otras diez normas previstas y/o en proceso,