Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Por lo tanto, la filosofa principal de la norma ISO 27001 se basa en la gestin de riesgos:
investigar dnde estn los riesgos y luego tratarlos sistemticamente.
3. Es un estndar, certificable?
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de
lucro, privada o pblica, pequea o grande. Est redactada por los mejores especialistas del
mundo en el tema y proporciona una metodologa para implementar la gestin de la
seguridad de la informacin en una organizacin. Tambin permite que una empresa sea
certificada; esto significa que una entidad de certificacin independiente confirma que la
seguridad de la informacin ha sido implementada en esa organizacin en cumplimiento
con la norma ISO 27001.
Seccin 7 Apoyo esta seccin es parte de la fase de Planificacin del ciclo PDCA y
define los requerimientos sobre disponibilidad de recursos, competencias, concienciacin,
comunicacin y control de documentos y registros.
Seccin 8 Funcionamiento esta seccin es parte de la fase de Planificacin del ciclo
PDCA y define la implementacin de la evaluacin y el tratamiento de riesgos, como
tambin los controles y dems procesos necesarios para cumplir los objetivos de seguridad
de la informacin.
Seccin 9 Evaluacin del desempeo esta seccin forma parte de la fase de Revisin del
ciclo PDCA y define los requerimientos para monitoreo, medicin, anlisis, evaluacin,
auditora interna y revisin por parte de la direccin.
Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo PDCA y
define los requerimientos para el tratamiento de no conformidades, correcciones, medidas
correctivas y mejora continua.
Annexo A este anexo proporciona un catlogo de 114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones A.5 a A.18).
Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las
personas. Las organizaciones pueden obtener la certificacin para demostrar que cumplen
con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar
el examen para obtener el certificado.
14. Cules son los pasos, para la certificacin para las personas?
Las personas pueden asistir a diversos cursos para obtener certificados. Los ms populares
son:
Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear cmo realizar
auditoras de certificacin y est orientado a auditores y consultores.
Curso de Implementador Principal de ISO 27001: este curso de 5 das le ensear cmo
implementar la norma y est orientado a profesionales y consultores en seguridad de la
informacin.
Curso de auditor interno en ISO 27001: este curso de 2 3 das le ensear los
conceptos bsicos de la norma y cmo llevar a cabo una auditora interna; est orientado
a principiantes en este tema y a auditores internos.
Como se mencion anteriormente, la norma ISO 27001 fue publicada por primera vez en
2005 y luego fue revisada en 2013; por lo tanto, la versin vlida actual es la ISO/IEC
27001:2013.
para disminuir los riesgos de seguridad, y la norma ISO 27002 puede ser bastante til
ya que proporciona ms informacin sobre cmo implementar esos controles. A la ISO
27002 anteriormente se la conoca como ISO/IEC 17799 y surgi de la norma britnica
BS 7799-1.
ISO 22301 define los requerimientos para los sistemas de gestin de continuidad del
negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta ltima
requiere la implementacin de la continuidad del negocio aunque no proporciona
demasiada informacin.
17. Qu tiene que ver ISO 27001 con ISO 27002 (anteriormente denominada
17799)?
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 27002 para
su posible aplicacin en el SGSI que implante cada organizacin (justificando, en el
documento denominado Declaracin de Aplicabilidad, los motivos de exclusin de
aquellos que finalmente no sean necesarios). ISO 27002 es para ISO 27001, por tanto, una
relacin de controles necesarios para garantizar la seguridad de la informacin.
A partir del 1 de Julio de 2007, ISO 17799:2005 pas a denominarse ISO 27002:2005,
cambiando nicamente su nomenclatura.
La norma que s es certificable es ISO 27001, como tambin lo fue su antecesora BS 77992.
Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que
afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos
para su apropiado control y mejora continua.
21. ISO 27001 tiene que ver slo con la seguridad informtica de una empresa?
La informacin crtica de una empresa est presente en los sistemas informticos, pero
tambin en papel, en diferentes tipos de archivos y soportes, se transmite a terceros, se
muestra en diversos formatos audiovisuales, se comparte en conversaciones telefnicas y
reuniones y est presente en el propio conocimiento y experiencia de los trabajadores. ISO
27001 propone un marco de gestin de la seguridad de toda la informacin de la empresa.
La Direccin de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que
se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio,
es la Direccin quien debe tomar decisiones. Adems, la implantacin de ISO 27001
implicar cambios de mentalidad, de sensibilizacin, de procedimientos y tareas, etc., y la
Direccin es la nica que puede introducirlos en la organizacin.
Sin el apoyo decidido de la Direccin, segn la propia ISO 27001 indica, no es posible la
implantacin ni la certificacin de la norma en la empresa.
Por tanto, los trminos en que debe entender la Direccin la importancia de ISO 27001 son
los de los riesgos asumibles, la continuidad de negocio y los costes de no-seguridad. La
Direccin no tiene por qu verse confrontada con tecnologas y descripcin de amenazas
desde el punto de vista tcnico.
Es una norma espaola certificable de mbito local que surgi como versin adaptada de
BS7799-2 y que tambin guarda relacin con UNE-ISO/IEC17799 mediante su Anexo A.
Ya no es posible certificarse contra UNE 71502. Por otra parte, las empresas certificadas en
su momento bajo el estndar nacional UNE 71502 que hayan mantenido la certificacin
habrn adaptado sus SGSI y renovado sus certificaciones bajo el marco comn
internacional ISO/IEC 27001.
ISO 27001 ha sido redactada de forma anloga a otros estndares, como ISO 9001
(Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevencin de riesgos), con el
objetivo, entre otros, de facilitar a las organizaciones la integracin de todos ellos en un
solo sistema de gestin. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus
semejanzas en la documentacin necesaria para facilitar la integracin.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico.
En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la
organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad
de la informacin, la calidad, el medio ambiente o cualquier otra.
Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas a nadie
externo a la organizacin.
Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de
poltica, determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc. Las
distintas secciones de nuestra web pueden aportarle puntual informacin.
Paralelamente, formar y concienciar a todo el personal. En nuestra seccin de
Herramientas encontrar informaciones tiles sobre planes de sensibilizacin.
Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al menos
durante tres meses antes de pasar a la auditora de certificacin. Precisamente, son esas
evidencias y registros histricos los que indican al auditor externo que el sistema de gestin
funciona de manera adecuada.
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias
entidades de certificacin acreditadas (como en la contratacin de otros servicios puede ser
recomendable la estrategia de solicitar tres ofertas y comparar la calidad y coste de los
proveedores de los servicios) para pedir formalmente la visita de auditora (sus tarifas y
oferta de servicios pueden diferir). Ofrecen, adicionalmente, un servicio aadido de preauditoria muy recomendable para afrontar con garantas una primera certificacin en la
norma. En nuestra seccin de Certificacin encontrar informaciones adicionales que
pueden ser de utilidad.
AWS integra el estndar ISO 27001 y las prcticas recomendadas que este establece en la
organizacin. Esta certificacin confirma nuestro compromiso duradero con los clientes
respecto a la seguridad de nuestros servicios. El hecho de haber superado el proceso de
certificacin indica que cumplimos todos los requisitos del estndar ISO y que nuestras
prcticas de gestin se ajustan a las prcticas recomendadas reconocidas a nivel
internacional.
33. Qu servicios de AWS se encuentran al amparo de la certificacin ISO 27001?
Los servicios que se encuentran al amparo de la certificacin ISO 27001 son:
Amazon DynamoDB
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
Amazon SimpleDB
3. Definir el alcance
4. Redactar una Poltica de SGSI
5. Definir la metodologa de Evaluacin de riesgos
6. Realizar la evaluacin y el tratamiento de riesgos
7. Redactar la Declaracin de aplicabilidad
8. Redactar el Plan de tratamiento del riesgo
9. Determinar cmo medir la eficacia de los controles
10. Implementacin de controles y procedimientos obligatorios
11. Implementar programas de capacitacin y concienciacin
12. Hacer funcionar el SGSI
13. Supervisin del SGSI
14. Auditora interna
15. Revisin por parte de la direccin
16. Medidas correctivas y preventivas