UNIVERSIDAD PRIVADA DOMINGO SAVIO

FACULTAD DE TECNOLOGÍA

Ing. de Sistemas e Ing. Redes y Telecomunicaciones

MARCO LEGAL Y LAS NORMAS DE LA

SEGURIDAD DE LA INFORMACIÓN
Autores: García Ayllón Miguel Ángel.

Millán Balderrama Edwin Rolando

Ledezma Torrejon Michael Jhonatan

Campero Alvarez Kevin

Mamani Zurita Félix

Rendón Ayaviri Julio Cesar Enrique

Cochabamba, Bolivia
INDICE
INTRODUCCIÓN............................................................................................................................. 3
FAMILIA DE NORMAS ISO 27000 ............................................................................................... 4
ISO 27001 ....................................................................................................................................... 6
ISO 27002 ....................................................................................................................................... 7
Actividades de control del riesgo ............................................................................................. 7
ISO 27005 ....................................................................................................................................... 7
ISO 27006 ....................................................................................................................................... 8
ISO 27000 ....................................................................................................................................... 8
ISO 27003 ....................................................................................................................................... 8
ISO 27004 ....................................................................................................................................... 8
ISO 27799:2008.............................................................................................................................. 8
COBIT ................................................................................................................................................ 8
ISACA .............................................................................................................................................. 11
Funciones ..................................................................................................................................... 11
Certified Information Systems Auditor (CISA) ........................................................................ 11
Certified in the Governance of Enterprise IT (CGEIT)............................................................. 11
Certified Information Security Manager (CISM) ...................................................................... 12
Certified in Risk and Information Systems Control (CRISC) ................................................... 12
LEY N°164 ....................................................................................................................................... 13
BIBLIOGRAFÍA ............................................................................................................................. 14
INTRODUCCIÓN
El gran desarrollo de las tecnologías de las Telecomunicaciones y de la Informática en las
últimas décadas ha permitido el crecimiento exponencial del servicio de Internet. Al presente
todos pueden acceder a este servicio. La información ha sido globalizada. El servicio de
Internet permite a las Empresas y a cualquier Institución realizar publicidad de sus productos
y servicios, simplificar las transacciones, ganar tiempo, ahorrar recursos y compartir y
acceder a la información. El E-commerce y el E-business permiten conducir los negocios por
Internet. Para una Organización tradicional esto significa ampliar la distribución de su
catálogo de ofertas prácticamente sin fronteras, lo cual abre su mercado de una manera nunca
imaginada con un costo muy bajo.

Una página WEB constituye una herramienta incansable y económica de publicidad y

mercadeo. Particularmente, las nuevas tendencias revelan un creciente consenso en torno al
impacto que tiene la innovación tecnológica para el desarrollo económico y mejorar el nivel
de vida de los ciudadanos.

El E-business permite mejorar el servicio al cliente, reducir los costos, y dar apoyo a la
expansión de la Empresa sin necesidad de personal adicional.

A continuación, veremos algunas de las normativas vigentes a nivel nacional e internacional

que garantizan mantener segura su información, a identificar los riesgos para su información
importante y pone en su lugar los controles apropiados para ayudarle a reducir el riesgo.
FAMILIA DE NORMAS ISO 27000
Las normas ISO son normas o estándares de seguridad establecidas por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC)
que se encargan de establecer estándares y guías relacionados con sistemas de gestión y
aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de
facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de
tecnologías.

En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad

(desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la
seguridad.

Contiene las mejores prácticas recomendadas en Seguridad de la información para

desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o
privada, grande o pequeña.

La seguridad de la información, según la ISO 27001, se basa en la preservación de su

confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su
tratamiento.

- Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.
- Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
- Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento
de la misma por parte de los individuos o procesos autorizados cuando lo requieran.
Dentro de este conjunto están:

Norma Descripción
ISO/IEC 27000 Vocabulario estándar para el SGSI para todas las
normas de la familia. Se encuentra en desarrollo
actualmente.
ISO/IEC 27001 Certificación que deben obtener las organizaciones.
Norma que especifica los requisitos para la
implantación del SGSI. Es la norma más importante
de la familia. Adopta un enfoque de gestión de
riesgos y promueve la mejora continua de los
procesos. Fue publicada como estándar
internacional en octubre de 2005.
ISO/IEC 27002 Information technology - Security techniques - Code
of practice for information security management.
Previamente BS 7799 Parte 1 y la norma ISO/IEC
17799. Es un código de buenas prácticas para la
gestión de seguridad de la información. Fue
publicada en julio de 2005 como ISO 17799:2005 y
recibió su nombre oficial ISO/IEC 27002:2005 el 1
de julio de 2007.
ISO/IEC 27003 Directrices para la implementación de un SGSI. Es
el soporte de la norma ISO/IEC 27001. Publicada el
1 de febrero del 2010, No está certificada
actualmente.
ISO/IEC 27004 Métricas para la gestión de seguridad de la
información. Es la que proporciona
recomendaciones de quién, cuándo y cómo realizar
mediciones de seguridad de la información.
Publicada el 7 de diciembre del 2009, no se
encuentra traducida al español actualmente.
 ISO/IEC 27005 Normativa dedicada exclusivamente a la gestión de
riesgos en seguridad de la información. Proporciona
recomendaciones y lineamientos de métodos y
técnicas de evaluación de riesgos de Seguridad en la
Información, en soporte del proceso de gestión de
riesgos de la norma ISO/IEC 27001. Es la más
relacionada a la actual British Standar BS 7799 parte
3. Publicada en junio de 2008.
ISO/IEC 27006 Requisitos para la acreditación de las organizaciones
que proporcionan la certificación de los sistemas de
gestión de la seguridad de la información. Esta
norma específica requisitos para la certificación de
SGSI y es usada en conjunto con la norma 17021-1,
la norma genérica de acreditación.
ISO/IEC 27007 Guía para auditar al SGSI. Se encuentra en
preparación.
ISO/IEC 27799:2008 Guía para implementar ISO/IEC 27002 en la
industria de la salud.

ISO 27001
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad
de la información. Es la norma con arreglo a la cual se certifican por auditores externos. Su
Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla
la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de
sus SGSI. Esta norma está publicada en España como UNE-ISO/IEC 27001:2007. Otros
países donde también está publicada en español son, por ejemplo, Colombia, Venezuela y
Argentina.
ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.

Es un estándar para la seguridad de la información que ha publicado la organización

internacional de normalización y la comisión electrotécnica internacional. La versión más
reciente de la norma ISO 27002:2013.

La norma ISO 27002 proporciona diferentes recomendaciones de las mejores prácticas en la

gestión de la seguridad de la información a todos los interesados y responsables para iniciar,
implementar o mantener sistemas de gestión de la seguridad de la información. La seguridad
de la información se define en el estándar como “la preservación de la confidencialidad,
integridad y disponibilidad.

La política de alto nivel se encuentra relacionada con un Sistema de Gestión de Seguridad de

la Información que suele estar apoyada por políticas de bajo nivel, específicas para aspectos
concretos en temáticas como el control de accesos, la clasificación de la información, la
seguridad física y ambiental, utilizar activos, dispositivos móviles y protección contra los
malware.

Actividades de control del riesgo

La política para la seguridad de la información: se tiene que definir un conjunto de políticas
para la seguridad de la información, esto se aprobó por la dirección de la organización, se
publica y comunica a todos los empleados, así como a todas las partes externas relevantes.

Revisión de las políticas para la seguridad de la información: las políticas para la seguridad
de la información se deben planificar y revisar con regularidad o si ocurren cambios
significativos para garantizar su idoneidad, adecuación y efectividad.

ISO 27005
Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya
los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque
de gestión de riesgos.
ISO 27006
Especifica los requisitos para la acreditación de entidades de auditoría y certificación de
sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas
de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir,
ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
En España, esta norma aún no está traducida. El original en inglés puede adquirirse en
ISO.org.

ISO 27000
Tecnología de la Información. Técnicas de Seguridad. Sistema de Gestión de la Seguridad
de la Información (SGSI). Generalidades y vocabulario.

ISO 27003
Sistema de Gestión de la Seguridad de la Información (SGSI). Guía de implantación.

ISO 27004
Tecnología de la información. Técnicas de Seguridad. Guía de auditoría de un SGSI.
Iniciadas las votaciones al DIS (cinco meses)

ISO 27799:2008
Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la
Norma ISO/IEC 27002 (ISO 27799:2008)

COBIT
COBIT es una metodología reconocida mundialmente para el control de proyectos de
tecnología, los flujos de información y riesgos. El objetivo principal de COBIT es la
investigación, el desarrollo y la promoción de un marco de control de gobierno TI actualizado
y aceptado a nivel mundial, para que las empresas adopten sus beneficios y sea utilizado por
la alta gerencia del negocio, profesionales de TI y expertos en seguridad informática. (IT
Governance Institute, 2007) En la siguiente tabla se muestra las características que menciona
COBIT.

COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria los
procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la información
confiable, y los que proveen calidad, confiabilidad y control de TI. COBIT 5 se basa en el
gobierno de TI y el gobierno Corporativo.

COBIT 5 se basa en cinco principios:

1. Es un marco integrador. Integra material previo de CobiT y de ISACA, y también de

terceros, y su estructura sencilla facilita la integración de cualquier otro marco o norma
razonable. No es prescriptivo, como he dicho, aunque propone un modelo de referencia de
procesos (ver más abajo).

2. Se rige por la persecución del valor para los interesados (stakeholders).

3. Está orientado al negocio (en sentido genérico, ya que engloba administraciones públicas,
ONGs, etc.)

4. Se basa en los 7 siguientes habilitadores.

- Cultura, ética, comportamientos

- Estructuras organizativas
- Información
- Procesos
- Principios y políticas
- Habilidades y competencias
- Capacidades de servicio.

5. Está estructurado en procesos de Gobierno Corporativo y de Gestión [Administración]

diferenciados, pero interrelacionados.

COBIT 5 no es un marco ‘implantable’ ni certificable (como, por ejemplo, lo es la norma

ISO 9001). COBIT 5 no se implanta: lo que se implanta —según ISACA— es un” gobierno
corporativo de las TI, usando COBIT 5”.
Por ello, y porque —como consecuencia de la no certificabilidad [4]— no hay un registro de
empresas certificadas, COBIT 5 no tiene la visibilidad de otras iniciativas de menos fuste
(como ITIL). Sin embargo, cuenta con un amplio apoyo de los reguladores y lo usan empresas
y organismos en todos los sectores y continentes.

El marco COBIT 5, se ha desarrollado a partir de unas necesidades de los interesados

(stakeholders needs), abstraídas, como resultado de amplias encuestas mundiales que
gestiona la escuela de negocios de la Universidad de Amberes.

Características Objetivos
Orientado a negocios. Proporciona la información que la
organización requiere para alcanzar los
objetivos.
Orientado a procesos. Ofrece un modelo de procesos y un lenguaje
común para todas las personas que integran
la organización.
Basado en controles. Proveen de un conjunto de requerimientos
de alto nivel, que son considerados por la
alta gerencia para un efectivo control.
Impulsado por mediciones. Comprender el estado de los sistemas de TI
que tienen en la actualidad.
ISACA
ISACA o Information Systems Audit and Control Association es una asociación
independiente, global y sin fines de lucro, comprometidos con el desarrollo, la adopción y
uso de conocimiento y prácticas líderes en la industria de TI (Tecnologías de la Información).
Estos conocimientos y prácticas tienen uso y aceptación a nivel mundial.

Funciones
ISACA proporciona orientación práctica, evaluaciones comparativas y herramientas para
empresas que utilizan sistemas de información. A través de sus publicaciones y servicios
integrales, ISACA define roles para los profesionales de gobierno, seguridad, auditoría y
aseguramiento de sistemas de información en todo el mundo.

ISACA ofrece cuatro certificaciones profesionales dirigidas a auditores de sistemas de

información, profesionales y gerentes de gestión de riesgos y gobierno de TI:

Certified Information Systems Auditor (CISA): La certificación CISA es reconocida en todo

el mundo como el logro reconocido de los expertos que controlan, monitorean y evalúan la
plataforma tecnológica de una organización y sus sistemas de negocio. El CISA es, con
mucho, la certificación ISACA más popular, con más de 115,000 credenciales otorgadas
desde que comenzó el programa. Para obtener la certificación CISA, los candidatos deben
aprobar un examen de 150 preguntas, proporcionar prueba de experiencia laboral (un mínimo
de cinco años de auditoría, control o seguridad de sistemas de información a nivel
profesional) y completar la solicitud.

ISACA permite que los candidatos sustituyan la educación por alguna experiencia laboral.
Por ejemplo, un título de dos o cuatro años cuenta para uno o dos años, respectivamente, de
experiencia laboral.

Certified in the Governance of Enterprise IT (CGEIT): Aunque no son muchas las personas
que han obtenido la certificación Certified in the Governance of Enterprise IT (CGEIT)
ocupan puestos de alto nivel en sus organizaciones. El CGEIT está diseñado para
profesionales que están profundamente arraigados en la gobernanza y la garantía empresarial.
Saben cómo alinear el negocio con TI, seguir las mejores prácticas y estándares para las
operaciones y el gobierno de TI, administrar las inversiones en TI y fomentar entornos que
mejoren continuamente los procesos y las políticas.

Para lograr la certificación CGEIT, los candidatos deben aprobar un examen de 150
preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de gestión
empresarial a nivel profesional o desempeñarse en una función de asesoría o apoyo de
gobierno) y completar la solicitud.

El requisito de experiencia laboral para el CGEIT es más específico que para otras
certificaciones de ISACA. Un año de experiencia debe estar relacionado con los marcos de
gobierno de TI de la empresa, y los otros años deben estar relacionados con la gestión
estratégica, la realización de beneficios, la optimización de riesgos o la optimización de
recursos.

Certified Information Security Manager (CISM): La Certified Information Security Manager

(CISM) se ha convertido en una credencial líder para el lado de la gestión de la seguridad de
la información, con más de 27.000 de estas credenciales otorgadas. El CISM reconoce a las
personas que diseñan, desarrollan y supervisan la seguridad de la información de una
empresa.

El examen se centra en temas como el gobierno de la seguridad de la información, la gestión

y el cumplimiento de los riesgos de la información, la gestión de incidentes de seguridad de
la información y el desarrollo y la gestión de programas de seguridad de la información.

Para lograr la certificación ISACA CISM, los candidatos deben aprobar un examen de 200
preguntas, proporcionar prueba de experiencia laboral (un mínimo de cinco años de seguridad
de la información a nivel profesional; tres años deben ser gerente de seguridad en al menos
tres de las áreas de práctica laboral) y completar la solicitud. La experiencia informada debe
ser actual (dentro de los cinco años posteriores a la aprobación del examen o dentro de los
10 años anteriores a la fecha de solicitud).

Certified in Risk and Information Systems Control (CRISC): Más de 18.000 personas han
obtenido la credencial de Certificado en Control de Sistemas de Información y Riesgos
(CRISC). Esta certificación identifica a los profesionales de TI responsables de implementar
programas de gestión de riesgos de la información en toda la empresa.
Para lograr la certificación CRISC, los candidatos deben aprobar un examen de 150
preguntas, proporcionar prueba de experiencia laboral (un mínimo de tres años de gestión y
control de riesgos acumulados a nivel profesional, y realizar las tareas de al menos dos
dominios CRISC) y completar la aplicación. A diferencia de otras certificaciones de ISACA,
no se puede sustituir la educación u otras certificaciones por el requisito de experiencia
laboral. ISACA otorga hasta 10 años para adquirir experiencia después de solicitar la
certificación o cinco años a partir de la fecha en que se aprobó el examen.

LEY N°164
La ley general de telecomunicaciones, tecnologías de la información y comunicación está
decretada con objetivos específicos sobre la asequibilidad y promover el derecho de
utilización de dichas actividades.

Objetivos:

• Garantizar la distribución equitativa y el uso eficiente del recurso

natural y limitado del espectro radioeléctrico.

• Asegurar el ejercicio del derecho al acceso universal y equitativo a los

servicios de telecomunicaciones, tecnologías de información y
comunicación, así como del servicio postal.

• Garantizar el desarrollo y la convergencia de redes de

telecomunicaciones y tecnologías de información y comunicación.

• Precautelar la conservación del medio ambiente mediante el

aprovechamiento responsable y planificado del espectro radioeléctrico,
la instalación adecuada de infraestructura para el bienestar de las
generaciones actuales y futuras.
 • Promover el uso de las tecnologías de información y comunicación para
mejorar las condiciones de vida de las bolivianas y bolivianos.

BIBLIOGRAFÍA
1. https://www.fundibeq.org/informacion/infoiso/iso-seguridad-de-la-informacion
2. https://www.normas-iso.com/iso-27001/
3. https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
4. https://gmsseguridad.com/normativa-seguridad-de-la-informacion/
5. http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/normas_iso
_sobre_gestin_de_seguridad_de_la_informacin.html
6. https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
7. https://www.redalyc.org/pdf/5122/512251568001.pdf
8. https://informatica.blogs.uoc.edu/cobit-5-un-marco-de-negocio-para-el-gobierno-y-la-
gestion-de-las-ti-de-la-empresa-i/
9. https://geniusitt.com/blog/que-es-cobit-5/
10. https://bsginstitute.com/SubArea/ISACA
11. https://ayudaleyprotecciondatos.es/2021/06/08/isaca/