Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Faq All PDF
Faq All PDF
Contenidos
2. SGSI
3. Certificaciones
WWW.ISO27000.ES ©
(Para cualquier pregunta, no dude en ponerse en contacto con nosotros.)
En esta sección se muestran respuestas a una serie de preguntas habituales sobre los
siguientes temas:
SGSI
Certificación
¿Qué es ISO? 2
ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos
técnicos y 50.000 expertos que colaboran en el desarrollo de normas.
¿Qué es un estándar?
WWW.ISO27000.ES ©
Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales, productos,
procesos o servicios que utilizan todas las partes interesadas (productores,
vendedores, compradores, usuarios y reguladores).
http://www.iso27000.es/download/HistoriaISO27001.pps
WWW.ISO27000.ES ©
la información. Su origen está en la norma de BSI (British Standards Institution)
BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799
para su posible aplicación en el SGSI que implante cada organización (justificando, en
el documento denominado “Declaración de Aplicabilidad”, los motivos de exclusión de
aquellos que finalmente no sean necesarios). ISO 17799 es para ISO 27001, por tanto,
una relación de controles necesarios para garantizar la seguridad de la información.
Está previsto que, en 2007, ISO 17799 pase a denominarse ISO 27002.
ISO ha reservado la serie de numeración 27000 para las normas relacionadas con
sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera
de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas
4
normas que supongan un apoyo para las organizaciones que implanten y certifiquen
un SGSI según ISO 27001.
Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la visita
de nuestra sección http://www.iso27000.es/iso27000.html.
Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos
que afectan al negocio, con el objetivo de implantar contramedidas, procesos y
procedimientos para su apropiado control y mejora continua.
WWW.ISO27000.ES ©
información, por la ausencia de procedimientos que garanticen la respuesta puntual y
adecuada ante incidencias o la propia continuidad del negocio, etc.
¿ISO 27001 tiene que ver sólo con la seguridad informática de una empresa?
Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es posible
la implantación ni la certificación de la norma en la empresa.
Por tanto, los términos en que debe entender la Dirección la importancia de ISO 27001
son los de los riesgos asumibles, la continuidad de negocio y los costes de “no-
seguridad”. La Dirección no tiene por qué verse confrontada con tecnologías y
descripción de amenazas desde el punto de vista técnico.
WWW.ISO27000.ES ©
¿Aporta un retorno de inversión la certificación en ISO27001 de la empresa?
Es una norma española certificable de ámbito local que surgió como versión adaptada
de BS7799-2 y que también guarda relación con UNE-ISO/IEC17799 mediante su
Anexo A.
WWW.ISO27000.ES ©
documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la
organización.
ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO 9001
(Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de riesgos), con
el objetivo, entre otros, de facilitar a las organizaciones la integración de todos ellos en
un solo sistema de gestión. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus
semejanzas en la documentación necesaria para facilitar la integración.
WWW.ISO27000.ES ©
(http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM
(http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO).
• Realizar un curso de formación, de los muchos que hay en el mercado, de
introducción a la norma, a su implantación y su auditoría. En nuestra sección de
Eventos podrá encontrar algunos (http://www.iso27000.es/eventos.html).
• Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los
controles de ISO 17799. Aunque no sea un análisis exhaustivo, proporciona una
idea aproximada de la distancia que le separa de la conformidad con la norma y el
camino que habrá que recorrer.
• En muchos casos, es necesario contratar los servicios de una empresa consultora
especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que
las decisiones de negocio no deben ser trasladadas a nadie externo a la
organización.
• Deberá pasar por todas las tareas propias de implantación de un SGSI: definición de
política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc.
Las distintas secciones de nuestra web pueden aportarle puntual información.
• Paralelamente, formar y concienciar a todo el personal. En nuestra sección de
Herramientas (http://www.iso27000.es/herramientas.html) encontrará informaciones
útiles sobre planes de sensibilización.
• Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al
menos durante tres meses antes de pasar a la auditoría de certificación.
Precisamente, son esas evidencias y registros históricos los que indican al auditor
externo que el sistema de gestión funciona de manera adecuada.
• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o 8
varias entidades de certificación acreditadas para pedir formalmente la visita de
auditoría (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente,
un servicio añadido de “pre-auditoria” muy recomendable para afrontar con garantías
una primera certificación en la norma. En nuestra sección de Certificación
(http://www.iso27000.es/certificacion.html) encontrará informaciones útiles.
2. SGSI
¿Qué es un SGSI?
WWW.ISO27000.ES ©
¿Qué es un ISMS?
Son las siglas en inglés (Information Security Management System) de SGSI (Sistema
de Gestión de Seguridad de la Información).
Estas medidas no son más que unos pocos controles técnicos que, por sí mismos, no
significan que se esté gestionando la seguridad. Un SGSI implica que la organización
ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué
nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también
organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las
políticas y procedimientos relacionados y ha entrado en un proceso continuo de
revisión y mejora de todo el sistema.
WWW.ISO27000.ES ©
¿Existe algún producto que cubra los principales aspectos de seguridad de la
información?
PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-Check-Act
(Planificar-Hacer-Verificar-Actuar).
Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al cambio
continuo que se produce en la empresa y su entorno.
3. Certificaciones
WWW.ISO27000.ES ©
¿Quién certifica a mi empresa en ISO 27001?
WWW.ISO27000.ES ©
¿Quién acredita a las entidades certificadoras?
Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de
supervisar que las entidades de certificación (las que, finalmente, auditan y certifican
los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor
y se ajustan a los esquemas establecidos. En España, es ENAC (Entidad Nacional de
Acreditación; http://www.enac.es) quien tiene esta misión.
Como obligación legal, a día de hoy, no. Sin embargo, como en toda relación
comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser
considerado siquiera como opción de contratación.
Hay administraciones públicas que están empezando a exigir certificados de este tipo
a las empresas que quieran acceder a concursos públicos de productos o servicios
relacionados con sistemas de información. Igualmente, es previsible que empresas
privadas comiencen en algún momento a exigírselo a sus proveedores siempre que
vaya a haber algún tipo actividad relacionada con información sensible.
WWW.ISO27000.ES ©