Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.

Ortega Martinez, Jose Hermilo.

INSTITUTO DE ESTUDIOS UNIVERSITARIOS

CAMPUS ONLINE
MAESTRIA EN DIRECCION DE INGENIERIA DE SOFTWARE

ASEGURAMIENTO DE CALIDAD DE SOFTWARE

Actividad 3 “Certificación ISO/IEC27000 en las

empresas”

ALUMNO(A): JOSE HERMILO ORTEGA MARTINEZ

FACILITADOR: Dr. Daniel Perez Rojas
SAN BUENAVENTURA, COAHUILA, A lunes, 30 de enero de 2017.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 1
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

INDICE
INTRODUCCION ........................................................................................................................................ 3
DESARROLLO............................................................................................................................................ 4
TEMA 1: ISO/IEC 27000 ....................................................................................................................... 4
1.1.- ISO/IEC 27000 y SGSI ............................................................................................................. 4
1.2.- Serie ISO 27000 ........................................................................................................................ 7
TEMA 2: CERTIFICACION EN ISO/IEC 27000................................................................................. 9
2.1.- Pasos para la certificación ....................................................................................................... 9
2.2.- Costos de la certificación ....................................................................................................... 11
2.3.- ISO / IEC 27001 en México ................................................................................................... 12
2.4.- Factores de éxito y fracaso de la ISO .................................................................................. 12
CONCLUSION .......................................................................................................................................... 13
FUENTES DE INFORMACION .............................................................................................................. 14

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 2
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

INTRODUCCION

Uno de los activos más importantes con los que puede contar una empresa u
organización es La información, la cual por su alto grado de importancia debe ser
cuidada por estándares y normas de seguridad que garanticen que dicho activo no sea
de fácil acceso por muchos factores.

La Organización Internacional de Estandarización (ISO) en conjunto con la Comisión

Electrónica Internacional (IEC) prepararon un conjunto ISO/IEC JTC1 el cual preparo la
ISO/IEC 27001 con el objetivo de establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

En el presente ensayo se describen las definiciones principales de este estándar así

como el proceso a seguir para poder acreditar dicha certificación, además, se presenta
un panorama general de cómo se encuentra México con respecto a dicha norma.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 3
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

DESARROLLO

TEMA 1: ISO/IEC 27000

1.1.- ISO/IEC 27000 y SGSI

La norma ISO/IEC 27000 es un conjunto de estándares que proporcionan un

marco de gestión de la seguridad de la información. (ISO/IEC 27001:2005). La norma
27001 nace en 2005 con base a la norma BS 7799-2 desarrollada por la BSI (British
Standards Institución, La organización británica), teniendo como objetivo principal el
análisis y gestión de riesgos.

La ISO/IEC 27001 certifica los Sistemas de Gestión de Seguridad de la Información

(SGSI) de una organización, permitiendo que una organización se alinee a los
estándares de seguridad internacional. Toda organización puede ser estandarizada con
esta ISO ya que toda organización cuenta con información que puede ser de vital
importancia para ella, es por eso que ya sea una pequeña, mediana o gran empresa,
puede ser objeto de auditoria para su certificación.

La organización, debe establecer, implementar, operar, monitorear, mantener y mejorar

continuamente un SGSI documentado correctamente con el cual se pueda llevar a cabo
un proceso de auditoria con el que en base a controles e indicadores se pueda saber en
qué estatus se encuentra la organización. El SGSI es el concepto principal sobre el que
se construye la ISO 27001.

El proceso para poder establecer y manejar el SGCI en una organización puede ser un
tanto largo ya que se deben realizar una serie de actividades como
1. Definición de alcances y límites
2. Definición de políticas
3. Definir el enfoque de valuación de riesgos

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 4
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

4. Identificación de riesgos
5. Análisis y evaluación de riesgos
6. Identificar y evaluar opciones de tratamientos de riesgos
7. Seleccionar objetivos y controles de riesgos
8. Aprobaciones de gerencia para riesgos residuales
9. Autorización de gerencia para implementación del SGSI
10. Preparación de aplicación

Posteriormente, la implementación y operación del SGSI consta de 8 pasos como lo

son:
1. Formular plan de tratamiento de riesgos
2. Implementar plan de tratamiento de riesgos
3. Implementar controles para tratamiento de riesgos
4. Definir efectividad de controles de medición
5. Implementación de programas de capacitación y concientización
6. Manejo de operaciones de SGSI
7. Manejo de recursos del SGSI
8. Implementación de procesos y controles de respuesta a incidentes de seguridad.

Todo esto hablando solo del proceso inicial como lo es el establecimiento, manejo,
implementación y operación, sin olvidar que aunado a esto deben existir una serie de
puntos enfocados al mantenimiento, revisión, mantenimiento y mejoras del SGSI los
cuales pueden ser consultados en el documento didáctico del Estandar internacional
ISO/IEC 27001.

Todo lo anterior está basado en el ciclo continuo PDCA (Plan, Do, Check, Act)
frecuente y tradicional de los sistemas de gestión de calidad.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 5
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

Grafica 1: Ciclo continúo PDCA

Fuente: www.ISO27000.es

En la ISO/IEC 27001 existen una serie de aspectos o factores claves que determinan el
buen funcionamiento de la norma como tal, estos factores son:
- Correcta implementación del SGSI en la organización
- Compromiso
- Definiciones claras de conceptos
- Políticas y normas bien establecidas
- Buena comunicación entre el personal

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 6
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

1.2.- Serie ISO 27000

La ISO 27001 es una de las muchas que conforman la ISO 27000 como se
puede observar en la siguiente tabla:

Tabla 1.- Estándares que conforman la ISO 27000

ISO Fase Características
27000 En desarrollo Contiene todos los términos y definiciones de la
norma
27001 15 de Octubre de 2005 Requisitos necesarios para el SGSI
Sustituye a la norma BS 7799-2
Es opcional, no obligatoria
27002 1 de Julio de 2007 Guía de buenas practicas
No es certificable
Contiene 39 objetivos de control y 133 controles en
11 dominios
27003 En desarrollo Guía de implementación de SGSI
Información del uso del modelo PDCA
27004 En desarrollo Especifica métricas y técnicas de medida para
eficacia SGSI
27005 4 de Junio de 2008 Directrices para la gestión del riesgo en la
seguridad de la información
Ayudar a la aplicación satisfactoria de la seguridad
El conocimiento de ISO 27001 e ISO 27002 es
importante
27006 13 de Febrero de 2007 Requisitos para la acreditación de entidades de
auditoria y certificación de sistemas de SGSI
Ayuda a interpretar criterios de acreditación de ISO
/ IEC 17021

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 7
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

27007 En desarrollo Guía de auditoria de un SGSI

27011 En desarrollo Guía de gestión de seguridad para
telecomunicaciones
27031 En desarrollo Guía de continuidad de negocio de TIC´s
27032 En desarrollo Guía a la ciber seguridad
27033 En desarrollo Consiste en 7 partes:
- Seguridad de redes
- Arquitectura de redes
- Escenarios de red
- Aseguramiento por gateway´s
- Accesos remotos
- Aseguramiento mediante VPN´s
- Diseño e implementación de redes
27034 En desarrollo Guía de seguridad en aplicaciones
27799 12 de Junio de 2008 Gestión de seguridad de la información en el sector
sanitario
Fuente: www.iso27000.es

Si bien muchas de estas normas que conforman la ISO 27000 aún se encuentran en
proceso de desarrollo por lo complejas que pueden ser sus características, son normas
que muy bien harán una vez publicadas oficialmente ya que con estas se busca cubrir
todos los puntos importantes en las diferentes ramas de las telecomunicaciones.
Además, se busca el poder contar con mayores estándares de seguridad que puedan
dar garantía de que los productos o servicios estén siendo bien cuidados hablando de
seguridad.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 8
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

TEMA 2: CERTIFICACION EN ISO/IEC 27000

2.1.- Pasos para la certificación

Cuando de una certificación ISO hablamos, estamos hablando de que existirá un

proceso quizá largo pero confiable en el que las empresas deben buscar cubrir todos
los huecos que pudieran existir en todos sus procedimientos o políticas con las que
cuenta. Certificarse ante un ISO / IEC 27000 es quizá un sinónimo de que la
información de una empresa u organización está siendo bien administrada y cuidada de
toda amenaza o riesgo latente que pudiera existir.

Viendo el proceso de manera simple se puede decir que en el proceso existirán 3

pasos:
1. Pre-auditoria: Servicio previo (Opcional) que puede ser realizado por personal
interno o externo con el fin de tener un panorama general de la auditoria formal
posterior a realizar.
2. Auditoria formal: Proceso dividido en 2 etapas entre los cuales primero se
revisa la preparación de una organización y posteriormente se evalúa la
implementación de los procedimientos del control de SGSI.
3. Certificación: En el mejor de los casos una vez certificada una empresa u
organización se tiene un periodo de validez de tres años en el cual será la
empresa visitada periódicamente para monitorizar lo antes analizado y evaluado.

Aunque este proceso parezca fácil y sin tanta complicación, lo cierto es que todo
depende del nivel organizacional y administrativo en el que se encuentre una empresa,
ya que, si bien una empresa puede contar con una buena administración y gestión de
sus procesos con lo cual pueda tener menores complicaciones en el proceso de
certificación, otras empresas ya sea pequeñas o grandes pueden llegar a invertir
grandes cantidades de dinero si no se llegó a tener desde un principio un buen control
de todos los procesos de seguridad, lo cual implica a procesos más largos y costos
para la empresa en proceso de certificación.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 9
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

La página oficial de la ISO27000 proporciona el siguiente diagrama de flujo en el cual

se puede observar con un tanto más de detalle todo el proceso de certificación entre los
que se puede visualizar los 3 puntos antes mencionados así como otros puntos que a
pesar de no haber sido mencionados anteriormente son de igual o mayor importancia.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 10
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

2.2.- Costos de la certificación

Una de las preguntas más detonantes en temas de certificación es el ¿Cuánto

cuesta una certificación?, pregunta que muchas veces es muy subjetiva ya que no solo
es cuestión de comprar un producto que puedas encontrar en una empresa u
organización, el costo varía mucho debido a existen muchos costos relacionados a una
certificación como lo pueden ser:
1. Costos de publicaciones y capacitación: Implementar una norma ISO siempre
requerirá cambios en la organización por más mínimos que se necesiten, es por
eso que estos costos son muchas veces incalculables por la variación de la
necesidad empresarial
2. Costos de asistencia externa: Ya sea tanto en capacitación, personal nuevo,
entre otras personas que pudieran ser necesarias, estos costos también son muy
variables.
3. Costos de tecnología: Cuando hablamos de seguridad de datos e información
hablamos de inversiones de equipos con mejoras en sus características de
seguridad o bien servicios o software de control y administración de la seguridad.
4. Costos del tiempo de los empleados: Esto implica no solo tiempo de
consultores internos y externos, implica también tiempo en que personal
asociado a los procesos se acostumbren y apliquen todas las adecuaciones
pertinentes.
5. Costos de certificación: Este costo depende mucho del tamaño de la empresa
así como horas que se ocuparan de personal interno o externo, varía mucho
también por el área, país entre otros factores que vienen a tener una variación
considerable para cada organización.

Como se puede observar, considerando los 5 puntos anteriores se puede llegar a tener
un panorama muy general de costos a considerar para la certificación, ya depende de
cada empresa en que enfatizar más y en que escatimar menos.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 11
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

2.3.- ISO / IEC 27001 en México

México ha sido un país que con el paso de los años ha venido apostando mucho
por las nuevas tecnologías, ya sea en esta como en otras normas y certificaciones, las
empresas y organizaciones en México cada vez hacen que las empresas de talla
internacional pongan los ojos sobre este país al poder contar con una cantidad año con
año mayor que den garantía de que son empresas que realizan servicios de calidad
bajo normas y estándares que acrediten dichas cualidades.

De acuerdo a la página oficial de ISO, desde el año 2006 hasta el año 2015, México
cuenta con 104 certificaciones y 119 sitios cubiertos por la certificación 27001.

Tabla 2: Sitios cubiertos en México

País 2007 2008 2009 2010 2011 2012 2013 2014 2015
México 5 16 14 18 30 97 32 93 119
Fuente: www.iso.org

A pesar de tener altas y bajas, México ha podido sobrellevar esas pequeñas bajas que
ha tenido, incrementando en un número considerable sus certificaciones estando
posicionado entre los primeros 20 países con más certificaciones.

2.4.- Factores de éxito y fracaso de la ISO

El factor más importante del éxito es la concientización del empleado por la

seguridad, si bien la seguridad absoluta no existe, se trata de reducir el riesgo a niveles
asumibles.
Los factores de fracaso también existen como lo puede ser el exceso de tiempos,
costos, la desmotivación del personal, resistencia al cambio, planeación inadecuada,
definiciones poco claras, falta de comunicación

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 12
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

CONCLUSION

Ser una empresa con una certificación internacional es un indicador de ser una
empresa completamente comprometida con sus valores, objetivos y metas. Poder
contar con una certificación ISO / IEC 27001 puede dar un la confianza que muchas
empresas podrían buscar de una empresa comprometida con la seguridad de la
información, activo intangible y fundamental para toda organización.

Poder contar con controles, normas y estándares de seguridad es de mucha ayuda

para una organización pero lo que es importante también destacar y no olvidar es que,
si bien todo esto ayudara, todo puede venirse abajo por un empleado mal capacitado o
poco comprometido con su trabajo y con el seguimiento de todo lo anterior mencionado,
es por eso que toda organización deberá enfocarse no solo en tener procedimientos y
políticas, sino también tener empleados que estén altamente comprometidos y
capacitados para llevar acabo todo lo anterior.

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 13
 Actividad 3 “Certificación ISO/IEC 27000 en las empresas”.
Ortega Martinez, Jose Hermilo.

FUENTES DE INFORMACION

1. Corletti, E. A. (2007)
2. ISO 27000 (2008)
3. Estandar internacional (2005)
4. Fernandez, C.M. (2012)
5. Iso 27000 (2005).- http://www.iso27000.es/download/doc_sgsi_all.pdf
6. Slideshare (2013).- http://es.slideshare.net/mariamervi/iso-27000-estandar
7. Iso 27000 (2005).- http://www.iso27000.es/sgsi_implantar.html
8. Iso (2015).- http://www.iso.org/iso/iso-survey
9. Iso (2015).- http://www.iso.org/iso/iso_27001_iso_survey2015.xls
10. Iso 27000 (2005).- http://iso27000.es/certificacion.html
11. bsigroup (2017).- https://www.bsigroup.com/es-MX/seguridad-dela-informacion-
ISOIEC-27001/certificacion-ISO-27001/
12. isotools (2015).- https://www.isotools.org/2015/12/16/pasos-para-la-certificacion-
de-la-norma-iso-270012013/
13. seguinfo (2010).- https://seguinfo.wordpress.com/2010/07/24/proceso-de-
certificacion-sgsi-iso-27000/
14. irqamexico (2016).- http://www.lrqamexico.com/certificaciones/iso-iec-27001-
Seguridad-Informacion/
15. nyce (2015).- https://www.nyce.org.mx/wp-content/uploads/2015/10/Empresas-
Certificadas-27K-27102015.pdf
16. Youtube (2008).- http://www.youtube.com/intecocert
17. Advisera (2011).-
https://advisera.com/27001academy/es/blog/2011/02/08/cuanto-cuesta-la-
implementacion-de-la-norma-iso-27001/
18. Advisera ().- https://advisera.com/27001academy/es/precios/
19. Bsigroup ().- https://www.bsigroup.com/es-MX/seguridad-dela-informacion-
ISOIEC-27001/ISO27001-para-pymes/

IEU campus Online. Maestría en Dirección de Ingeniería de Software

Aseguramiento de calidad de software. Enero de 2017. Pág. 14