FACULTAD DE INGENERA INDUSTRIAL Y DE SISTEMAS

CURSO: PROYECTO DE REDES

Nombre: Cynthia Paola Cayo Villanueva
Cdigo: 1115210144

TEMA: ISO 27001

He realizado una serie de interrogantes bsicas y a la vez complementarias acerca de este
tema:

1. Qu es la norma ISO 27001?

Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar,

monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin (SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de
Deming) de mejora continua, al igual que otras normas de sistemas de gestin (ISO 9001
para calidad, ISO 14001 para medio ambiente, etc.).

2. Cmo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de
la informacin en una empresa. Esto lo hace investigando cules son los potenciales
problemas que podran afectar la informacin (es decir, la evaluacin de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir,
mitigacin o tratamiento del riesgo).

Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin de riesgos:
investigar dnde estn los riesgos y luego tratarlos sistemticamente.

3. Es un estndar, certificable?

Es un estndar certificable, es decir, cualquier organizacin que tenga implantado un SGSI

segn este modelo puede solicitar una auditora externa por parte de una entidad acreditada
y, tras superar con xito la misma, recibir la certificacin en ISO 27001.

4. Cul es el origen de iso 27001?

Su origen est en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma

que fue publicada por primera vez en 1998 y ya era un estndar certificable desde entonces.
Tras la adaptacin pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.

5. Cules son los aspectos bsicos de la ISO 27001?

ISO 27001 es una norma internacional emitida por la Organizacin Internacional de

Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una
empresa. La revisin ms reciente de esta norma fue publicada en 2013 y ahora su nombre

completo es ISO/IEC 27001:2013. La primera revisin se public en 2005 y fue

desarrollada en base a la norma britnica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de
lucro, privada o pblica, pequea o grande. Est redactada por los mejores especialistas del
mundo en el tema y proporciona una metodologa para implementar la gestin de la
seguridad de la informacin en una organizacin. Tambin permite que una empresa sea
certificada; esto significa que una entidad de certificacin independiente confirma que la
seguridad de la informacin ha sido implementada en esa organizacin en cumplimiento
con la norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la

informacin y muchas empresas han certificado su cumplimiento; aqu se puede ver la
cantidad de certificados en los ltimos aos.

6. Dnde interviene la gestin de seguridad de la informacin en una empresa?

Bsicamente, la seguridad de la informacin es parte de la gestin global del riesgo en una

empresa, hay aspectos que se superponen con la ciber seguridad, con la gestin de la
continuidad del negocio y con la tecnologa de la informacin:

7. Cmo es realmente ISO 27001?

ISO/IEC 27001 se divide en 11 secciones ms el anexo A; las secciones 0 a 3 son

introductorias (y no son obligatorias para la implementacin), mientras que las secciones 4
a 10 son obligatorias, lo que implica que una organizacin debe implementar todos sus
requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben
implementarse slo si se determina que corresponden en la Declaracin de aplicabilidad.

8. Cules son las secciones y anexos de ISO 27001?

Son el total 11 Secciones y una Anexo.

9. Cules son las secciones y anexos de ISO 27001?

Seccin 0 Introduccin explica el objetivo de ISO 27001 y su compatibilidad con otras
normas de gestin.
Seccin 1 Alcance explica que esta norma es aplicable a cualquier tipo de organizacin.
Seccin 2 Referencias normativas hace referencia a la norma ISO/IEC 27000 como
estndar en el que se proporcionan trminos y definiciones.
Seccin 3 Trminos y definiciones de nuevo, hace referencia a la norma ISO/IEC
27000.
Seccin 4 Contexto de la organizacin esta seccin es parte de la fase de Planificacin
del ciclo PDCA y define los requerimientos para comprender cuestiones externas e
internas, tambin define las partes interesadas, sus requisitos y el alcance del SGSI.
Seccin 5 Liderazgo esta seccin es parte de la fase de Planificacin del ciclo PDCA y
define las responsabilidades de la direccin, el establecimiento de roles y responsabilidades
y el contenido de la poltica de alto nivel sobre seguridad de la informacin.
Seccin 6 Planificacin esta seccin es parte de la fase de Planificacin del ciclo PDCA
y define los requerimientos para la evaluacin de riesgos, el tratamiento de riesgos, la
Declaracin de aplicabilidad, el plan de tratamiento de riesgos y la determinacin de los
objetivos de seguridad de la informacin.

Seccin 7 Apoyo esta seccin es parte de la fase de Planificacin del ciclo PDCA y
define los requerimientos sobre disponibilidad de recursos, competencias, concienciacin,
comunicacin y control de documentos y registros.
Seccin 8 Funcionamiento esta seccin es parte de la fase de Planificacin del ciclo
PDCA y define la implementacin de la evaluacin y el tratamiento de riesgos, como
tambin los controles y dems procesos necesarios para cumplir los objetivos de seguridad
de la informacin.
Seccin 9 Evaluacin del desempeo esta seccin forma parte de la fase de Revisin del
ciclo PDCA y define los requerimientos para monitoreo, medicin, anlisis, evaluacin,
auditora interna y revisin por parte de la direccin.
Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo PDCA y
define los requerimientos para el tratamiento de no conformidades, correcciones, medidas
correctivas y mejora continua.
Annexo A este anexo proporciona un catlogo de 114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones A.5 a A.18).

10. Cmo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16
pasos:

1) Obtener el apoyo de la direccin

2) Utilizar una metodologa para gestin de proyectos
3) Definir el alcance del SGSI
4) Redactar una poltica de alto nivel sobre seguridad de la informacin
5) Definir la metodologa de evaluacin de riesgos
6) Realizar la evaluacin y el tratamiento de riesgos
7) Redactar la Declaracin de aplicabilidad

8) Redactar el Plan de tratamiento de riesgos

9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitacin y concienciacin
12) Realizar todas las operaciones diarias establecidas en la documentacin de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditora interna
15) Realizar la revisin por parte de la direccin
16) Implementar medidas correctivas

11. Tiene documentacin obligatoria ISO 27001?

ISO 27001 requiere que se confeccione la siguiente documentacin:

Alcance del SGSI (punto 4.3)

Objetivos y poltica de seguridad de la informacin (puntos 5.2 y 6.2)
Metodologa de evaluacin y tratamiento de riesgos (punto 6.1.2)
Declaracin de aplicabilidad (punto 6.1.3 d)
Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
Informe de evaluacin de riesgos (punto 8.2)
Definicin de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
Inventario de activos (punto A.8.1.1)
Uso aceptable de los activos (punto A.8.1.3)
Poltica de control de acceso (punto A.9.1.1)
Procedimientos operativos para gestin de TI (punto A.12.1.1)
Principios de ingeniera para sistema seguro (punto A.14.2.5)
Poltica de seguridad para proveedores (punto A.15.1.1)
Procedimiento para gestin de incidentes (punto A.16.1.5)
Procedimientos para continuidad del negocio (punto A.17.1.2)
Requisitos legales, normativos y contractuales (punto A.18.1.1)
Y estos son los registros obligatorios:

Registros de capacitacin, habilidades, experiencia y calificaciones (punto 7.2)

Monitoreo y resultados de medicin (punto 9.1)
Programa de auditora interna (punto 9.2)
Resultados de auditoras internas (punto 9.2)
Resultados de la revisin por parte de la direccin (punto 9.3)
Resultados de medidas correctivas (punto 10.1)
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos
A.12.4.1 y A.12.4.3)
Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad
adicionales si lo considera necesario.

12. Cmo obtener la certificacin?

Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las
personas. Las organizaciones pueden obtener la certificacin para demostrar que cumplen
con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar
el examen para obtener el certificado.

13. Cules son los pasos, para la certificacin en una organizacin?

Para obtener la certificacin como organizacin, se debe implementar la norma tal como se
explic en las secciones anteriores y luego se debe aprobar la auditora que realiza la
entidad de certificacin. La auditora de certificacin se realiza siguiendo estos pasos:

1 paso de la auditora (revisin de documentacin): los auditores revisarn toda la

documentacin.

2 paso de la auditora (auditora principal): los auditores realizarn la auditora in situ

para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la
documentacin del SGSI.

Visitas de supervisin: despus de que se emiti el certificado, y durante su vigencia de

3 aos, los auditores verificarn si la empresa mantiene su SGSI.

14. Cules son los pasos, para la certificacin para las personas?
Las personas pueden asistir a diversos cursos para obtener certificados. Los ms populares
son:

Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear cmo realizar
auditoras de certificacin y est orientado a auditores y consultores.

Curso de Implementador Principal de ISO 27001: este curso de 5 das le ensear cmo
implementar la norma y est orientado a profesionales y consultores en seguridad de la
informacin.

Curso de auditor interno en ISO 27001: este curso de 2 3 das le ensear los
conceptos bsicos de la norma y cmo llevar a cabo una auditora interna; est orientado
a principiantes en este tema y a auditores internos.

15. Existen Revisiones 2005 y 2013 de ISO 27001?

Como se mencion anteriormente, la norma ISO 27001 fue publicada por primera vez en
2005 y luego fue revisada en 2013; por lo tanto, la versin vlida actual es la ISO/IEC
27001:2013.

Los cambios ms importantes de la revisin 2013 estn relacionados con la estructura de

la parte principal de la norma, las partes interesadas, los objetivos, el monitoreo y la
medicin; asimismo, el Anexo A ha disminuido la cantidad de controles (de 133 a 114) y
ha incrementado la cantidad de secciones (de 11 a 14). En la revisin 2013 se eliminaron
algunos requerimientos como las medidas preventivas y la necesidad de documentar
determinados procedimientos.

16. Cules son las normas relacionadas a esta ISO?

Otras normas relacionadas con seguridad de la informacin

ISO/IEC 27002 proporciona directrices para la implementacin de los controles
indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados

para disminuir los riesgos de seguridad, y la norma ISO 27002 puede ser bastante til
ya que proporciona ms informacin sobre cmo implementar esos controles. A la ISO
27002 anteriormente se la conoca como ISO/IEC 17799 y surgi de la norma britnica
BS 7799-1.

ISO/IEC 27004 proporciona directrices para la medicin de la seguridad de la

informacin; se acopla bien con ISO 27001 ya que explica cmo determinar si el SGSI
ha alcanzado los objetivos.

ISO/IEC 27005 proporciona directrices para la gestin de riesgos de seguridad de

informacin. Es un muy buen complemento para ISO 27001 ya que brinda ms
informacin sobre cmo llevar a cabo la evaluacin y el tratamiento de riesgos,
probablemente la etapa ms difcil de la implementacin. ISO 27005 ha surgido de la
norma britnica BS 7799-3.

ISO 22301 define los requerimientos para los sistemas de gestin de continuidad del
negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta ltima
requiere la implementacin de la continuidad del negocio aunque no proporciona
demasiada informacin.

17. Qu tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada
17799)?

ISO 27002 es un conjunto de buenas prcticas en seguridad de la informacin. Contiene

133 controles aplicables (en relacin a la gestin de la continuidad de negocio, la gestin de
incidentes de seguridad, control de accesos o regulacin de las actividades del personal
interno o externo, entre otros muchos), que ayudarn a la organizacin a implantar medidas
que reduzcan sus riesgos en cuanto a seguridad de la informacin. Su origen est en la
norma de BSI (British Standards Institution) BS7799-Parte 1, que fue publicada por
primera vez en 1995. No es certificable.

18. Cul es el anexo que considera la ISO 27001?

ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 para
su posible aplicacin en el SGSI que implante cada organizacin (justificando, en el
documento denominado Declaracin de Aplicabilidad, los motivos de exclusin de
aquellos que finalmente no sean necesarios). ISO 27002 es para ISO 27001, por tanto, una
relacin de controles necesarios para garantizar la seguridad de la informacin.

A partir del 1 de Julio de 2007, ISO 17799:2005 pas a denominarse ISO 27002:2005,
cambiando nicamente su nomenclatura.

19. Puedo certificar mi empresa en ISO 27002?

ISO 27002 es un conjunto de buenas prcticas de seguridad de la informacin que describe

133 controles aplicables.

No es certificable, al igual que su norma antecesora BS 7799-1, y la aplicacin total o

parcial en cada organizacin se realiza de forma totalmente libre y sin necesidad de una
supervisin regular externa.

La norma que s es certificable es ISO 27001, como tambin lo fue su antecesora BS 77992.

20. Qu aporta la ISO 27001 a la seguridad de la informacin de una empresa?

Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que
afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos
para su apropiado control y mejora continua.

Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la informacin,

evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por
contrarrestar amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de
contramedidas, por implantar controles desproporcionados y de un coste ms elevado del
necesario, por el retraso en las medidas de seguridad en relacin a la dinmica de cambio
interno de la propia organizacin y del entorno, por la falta de claridad en la asignacin de
funciones y responsabilidades sobre los activos de informacin, por la ausencia de
procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia
continuidad del negocio, etc.

21. ISO 27001 tiene que ver slo con la seguridad informtica de una empresa?

La informacin crtica de una empresa est presente en los sistemas informticos, pero
tambin en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se
muestra en diversos formatos audiovisuales, se comparte en conversaciones telefnicas y
reuniones y est presente en el propio conocimiento y experiencia de los trabajadores. ISO
27001 propone un marco de gestin de la seguridad de toda la informacin de la empresa.

La presencia masiva de sistemas informticos en el tratamiento de la informacin lleva a

menudo a centrar la atencin slo en la informtica, dejando as expuesta informacin
esencial para las actividades del negocio.

22. Quin debe promover la implantacin de ISO 27001 en la empresa?

La Direccin de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que
se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio,
es la Direccin quien debe tomar decisiones. Adems, la implantacin de ISO 27001
implicar cambios de mentalidad, de sensibilizacin, de procedimientos y tareas, etc., y la
Direccin es la nica que puede introducirlos en la organizacin.

Sin el apoyo decidido de la Direccin, segn la propia ISO 27001 indica, no es posible la
implantacin ni la certificacin de la norma en la empresa.

23. En qu trminos entiende mejor la Direccin la importancia de ISO 27001?

La Direccin de la empresa conoce los riesgos del negocio, la tolerancia en su aceptacin y

las obligaciones con sus clientes y accionistas mejor que nadie.

Por tanto, los trminos en que debe entender la Direccin la importancia de ISO 27001 son
los de los riesgos asumibles, la continuidad de negocio y los costes de no-seguridad. La
Direccin no tiene por qu verse confrontada con tecnologas y descripcin de amenazas
desde el punto de vista tcnico.

24. Aporta un retorno de inversin la certificacin en ISO 27001 de la empresa?

Como cualquier otro proyecto de la empresa, la certificacin requiere de una inversin de

mayor o menor importancia en funcin de las prcticas actuales en seguridad.

El retorno de la inversin es realmente efectivo en el tiempo, considerando, entre otras

razones, que con ISO 27001:
Se aprovecha el hecho comprobado de que el coste de la implementacin de controles
apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio
del diseo e implantacin de las soluciones de negocio.
Las inversiones en tecnologa se ajustan a unas necesidades y prioridades conocidas de un
entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad
inesperada de productos.
Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio.
Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un
alto nivel de concienciacin en la proteccin de la informacin y conformidad y
cumplimento de la legalidad.

25. Qu tipo de empresas se estn certificando en ISO 27001?

El estndar se puede adoptar por la mayora de los sectores comerciales, industriales y de

servicios de pequeas, medianas o grandes entidades y organizaciones: finanzas,
aseguradoras, telecomunicaciones, servicios pblicos, minoristas, sectores de manufactura,
industrias de servicios diversos, sector del transporte y gobiernos entre otros.

En la actualidad destaca su presencia en empresas dedicadas a servicios de tecnologas de la

informacin, como prueba del compromiso con la seguridad de los datos de sus clientes.

26. Qu es la norma UNE 71502?

Es una norma espaola certificable de mbito local que surgi como versin adaptada de
BS7799-2 y que tambin guarda relacin con UNE-ISO/IEC17799 mediante su Anexo A.

Publicada en Febrero de 2004 ya ha sido reemplazada formalmente por ISO/IEC 27001

dentro del contexto internacional de reconocimiento de la norma. Fue elaborada por el
comit tcnico AEN/CTN 71 de la Tecnologa de la Informacin.

27. Es mejor certificarse en ISO 27001 o en UNE 71502?

Ya no es posible certificarse contra UNE 71502. Por otra parte, las empresas certificadas en
su momento bajo el estndar nacional UNE 71502 que hayan mantenido la certificacin
habrn adaptado sus SGSI y renovado sus certificaciones bajo el marco comn
internacional ISO/IEC 27001.

28. Es ISO 27001 compatible con ISO 9001?

ISO 27001 ha sido redactada de forma anloga a otros estndares, como ISO 9001
(Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevencin de riesgos), con el
objetivo, entre otros, de facilitar a las organizaciones la integracin de todos ellos en un
solo sistema de gestin. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus
semejanzas en la documentacin necesaria para facilitar la integracin.

Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico.
En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la
organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad
de la informacin, la calidad, el medio ambiente o cualquier otra.

29. Cmo se relaciona ISO 27001 con otros estndares de seguridad de la

informacin?

Ciertamente, existen otros estndares relacionados con seguridad de la informacin

(COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde diferentes puntos de vista
como a controles de seguridad, buen gobierno, gestin de servicios TI, seguridad de
producto

La organizacin debera considerar cul es la mejor opcin en relacin a sus necesidades.

30. Si se desea implantar ISO 27001, por dnde se empieza?

Si est plantendose abordar ISO 27001 en su organizacin, puede empezar por:
Recopilar informacin en pginas web como esta que est visitando y asistir a eventos
informativos.
Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p.
ej., ISO, AENOR en Espaa, DGN en Mxico,ICONTEC en Colombia, INN en
Chile, IRAM en Argentina, etc. (lista completa en ISO).
Realizar un curso de formacin, de los muchos que hay en el mercado, de introduccin a
la norma, a su implantacin y su auditora. En nuestra seccin de Eventos podr encontrar
algunas referencias de inters.
Hacer un "gap analysis" (anlisis diferencial) inicial de su estado actual con los controles
de ISO 27002. Aunque no sea un anlisis exhaustivo, proporciona una idea aproximada de
la distancia que le separa de la conformidad con la norma y el camino que habr que
recorrer.
En muchos casos, es necesario contratar los servicios de una empresa consultora
especializada que le ayude algunas fases del proceso.

Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie
externo a la organizacin.
Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de
poltica, determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc. Las
distintas secciones de nuestra web pueden aportarle puntual informacin.
Paralelamente, formar y concienciar a todo el personal. En nuestra seccin de
Herramientas encontrar informaciones tiles sobre planes de sensibilizacin.
Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al menos
durante tres meses antes de pasar a la auditora de certificacin. Precisamente, son esas
evidencias y registros histricos los que indican al auditor externo que el sistema de gestin
funciona de manera adecuada.

31. Cul es el sistema para poder certificarse en ISO 27001?

Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias
entidades de certificacin acreditadas (como en la contratacin de otros servicios puede ser
recomendable la estrategia de solicitar tres ofertas y comparar la calidad y coste de los
proveedores de los servicios) para pedir formalmente la visita de auditora (sus tarifas y
oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio aadido de preauditoria muy recomendable para afrontar con garantas una primera certificacin en la
norma. En nuestra seccin de Certificacin encontrar informaciones adicionales que
pueden ser de utilidad.

32. Cmo afecta esta certificacin a AWS?

AWS integra el estndar ISO 27001 y las prcticas recomendadas que este establece en la
organizacin. Esta certificacin confirma nuestro compromiso duradero con los clientes
respecto a la seguridad de nuestros servicios. El hecho de haber superado el proceso de
certificacin indica que cumplimos todos los requisitos del estndar ISO y que nuestras
prcticas de gestin se ajustan a las prcticas recomendadas reconocidas a nivel
internacional.
33. Qu servicios de AWS se encuentran al amparo de la certificacin ISO 27001?
Los servicios que se encuentran al amparo de la certificacin ISO 27001 son:

Amazon DynamoDB

Amazon EC2 VM Import/Export

Amazon Elastic Block Store (EBS)

Amazon Elastic Cloud Computer (EC2)

Amazon Elastic MapReduce (EMR)

Amazon ElastiCache

Amazon Glacier

Amazon Redshift

Amazon Relational Database Service (RDS)

Amazon Simple Storage Service (S3)

Amazon SimpleDB

Amazon Virtual Private Cloud (VPC)

AWS Direct Connect

AWS Identity and Access Management (IAM)

AWS Storage Gateway

La infraestructura fsica subyacente (GovCloud incluido) y en entorno de gestin de

AWS

34. Qu implica esto para usted como cliente?

La certificacin ISO 27001 demuestra nuestro compromiso con la seguridad de la
informacin a todos los niveles. La conformidad con este estndar reconocido a nivel
internacional, validada por un auditor independiente, confirma que nuestro programa de
gestin de la seguridad es exhaustivo y sigue las prcticas recomendadas. Esta certificacin
ofrece ms claridad y garantas a los clientes que se preocupan por la idoneidad y robustez
de nuestras prcticas de seguridad.
35. Cmo afectar esto a mis instancias de servidor y datos?
Los servicios que utiliza no se vern afectados. Seguiremos esforzndonos para ofrecer
mximos niveles de seguridad. La certificacin constituye una credencial de seguridad de
referencia.
36. Quin es el agente certificador?
EY CertifyPoint, un agente certificador ISO acreditado por el Consejo holands de
acreditacin, miembro del Foro internacional de acreditacin (IAF, por sus siglas en
ingls). Los certificados emitidos por EY CertifyPoint son vlidos en todos los pases con
organismos miembros del IAF.
37. Puede mi organizacin obtener la certificacin ISO 27001 mediante asociacin?
La certificacin ISO 27001 se aplica al proceso de gestin de la seguridad de determinados
servicios y centros de datos. Si desea conseguir la certificacin ISO 27001 y parte de su
entorno de TI o todo l se basa en la nube de AWS, no obtendr la certificacin
automticamente mediante asociacin pero puede resultarle ms sencillo conseguirla.
38. Podran facilitar una copia del estndar ISO 27001?
Es posible adquirirla en diversos lugares, como Standards Direct.
39. Cmo se realiza la Lista de apoyo para implementacin de ISO 27001?
1. Obtener el apoyo de la direccin
2. Tomarlo como un proyecto

3. Definir el alcance
4. Redactar una Poltica de SGSI
5. Definir la metodologa de Evaluacin de riesgos
6. Realizar la evaluacin y el tratamiento de riesgos
7. Redactar la Declaracin de aplicabilidad
8. Redactar el Plan de tratamiento del riesgo
9. Determinar cmo medir la eficacia de los controles
10. Implementacin de controles y procedimientos obligatorios
11. Implementar programas de capacitacin y concienciacin
12. Hacer funcionar el SGSI
13. Supervisin del SGSI
14. Auditora interna
15. Revisin por parte de la direccin
16. Medidas correctivas y preventivas

40. Cmo se define la metodologa de Evaluacin de riesgos?

La evaluacin de riesgos es la tarea ms compleja del proyecto para la norma ISO 27001;
su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las
amenazas, las consecuencias y las probabilidades, como tambin definir el nivel aceptable
de riesgo. Si esas reglas no estn definidas claramente, usted podra encontrarse en una
situacin en la que obtendra resultados inservibles. (Consejos sobre la evaluacin de
riesgos para empresas pequeas)