Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Certificación ISO/IEC 27000 en Las Empresas
Certificación ISO/IEC 27000 en Las Empresas
INDICE
INTRODUCCION ........................................................................................................................................ 3
DESARROLLO............................................................................................................................................ 4
TEMA 1: ISO/IEC 27000 ....................................................................................................................... 4
1.1.- ISO/IEC 27000 y SGSI ............................................................................................................. 4
1.2.- Serie ISO 27000 ........................................................................................................................ 7
TEMA 2: CERTIFICACION EN ISO/IEC 27000................................................................................. 9
2.1.- Pasos para la certificación ....................................................................................................... 9
2.2.- Costos de la certificación ....................................................................................................... 11
2.3.- ISO / IEC 27001 en México ................................................................................................... 12
2.4.- Factores de éxito y fracaso de la ISO .................................................................................. 12
CONCLUSION .......................................................................................................................................... 13
FUENTES DE INFORMACION .............................................................................................................. 14
INTRODUCCION
Uno de los activos más importantes con los que puede contar una empresa u
organización es La información, la cual por su alto grado de importancia debe ser
cuidada por estándares y normas de seguridad que garanticen que dicho activo no sea
de fácil acceso por muchos factores.
DESARROLLO
El proceso para poder establecer y manejar el SGCI en una organización puede ser un
tanto largo ya que se deben realizar una serie de actividades como
1. Definición de alcances y límites
2. Definición de políticas
3. Definir el enfoque de valuación de riesgos
4. Identificación de riesgos
5. Análisis y evaluación de riesgos
6. Identificar y evaluar opciones de tratamientos de riesgos
7. Seleccionar objetivos y controles de riesgos
8. Aprobaciones de gerencia para riesgos residuales
9. Autorización de gerencia para implementación del SGSI
10. Preparación de aplicación
Todo esto hablando solo del proceso inicial como lo es el establecimiento, manejo,
implementación y operación, sin olvidar que aunado a esto deben existir una serie de
puntos enfocados al mantenimiento, revisión, mantenimiento y mejoras del SGSI los
cuales pueden ser consultados en el documento didáctico del Estandar internacional
ISO/IEC 27001.
Todo lo anterior está basado en el ciclo continuo PDCA (Plan, Do, Check, Act)
frecuente y tradicional de los sistemas de gestión de calidad.
Fuente: www.ISO27000.es
En la ISO/IEC 27001 existen una serie de aspectos o factores claves que determinan el
buen funcionamiento de la norma como tal, estos factores son:
- Correcta implementación del SGSI en la organización
- Compromiso
- Definiciones claras de conceptos
- Políticas y normas bien establecidas
- Buena comunicación entre el personal
La ISO 27001 es una de las muchas que conforman la ISO 27000 como se
puede observar en la siguiente tabla:
Si bien muchas de estas normas que conforman la ISO 27000 aún se encuentran en
proceso de desarrollo por lo complejas que pueden ser sus características, son normas
que muy bien harán una vez publicadas oficialmente ya que con estas se busca cubrir
todos los puntos importantes en las diferentes ramas de las telecomunicaciones.
Además, se busca el poder contar con mayores estándares de seguridad que puedan
dar garantía de que los productos o servicios estén siendo bien cuidados hablando de
seguridad.
Aunque este proceso parezca fácil y sin tanta complicación, lo cierto es que todo
depende del nivel organizacional y administrativo en el que se encuentre una empresa,
ya que, si bien una empresa puede contar con una buena administración y gestión de
sus procesos con lo cual pueda tener menores complicaciones en el proceso de
certificación, otras empresas ya sea pequeñas o grandes pueden llegar a invertir
grandes cantidades de dinero si no se llegó a tener desde un principio un buen control
de todos los procesos de seguridad, lo cual implica a procesos más largos y costos
para la empresa en proceso de certificación.
Como se puede observar, considerando los 5 puntos anteriores se puede llegar a tener
un panorama muy general de costos a considerar para la certificación, ya depende de
cada empresa en que enfatizar más y en que escatimar menos.
México ha sido un país que con el paso de los años ha venido apostando mucho
por las nuevas tecnologías, ya sea en esta como en otras normas y certificaciones, las
empresas y organizaciones en México cada vez hacen que las empresas de talla
internacional pongan los ojos sobre este país al poder contar con una cantidad año con
año mayor que den garantía de que son empresas que realizan servicios de calidad
bajo normas y estándares que acrediten dichas cualidades.
De acuerdo a la página oficial de ISO, desde el año 2006 hasta el año 2015, México
cuenta con 104 certificaciones y 119 sitios cubiertos por la certificación 27001.
A pesar de tener altas y bajas, México ha podido sobrellevar esas pequeñas bajas que
ha tenido, incrementando en un número considerable sus certificaciones estando
posicionado entre los primeros 20 países con más certificaciones.
CONCLUSION
Ser una empresa con una certificación internacional es un indicador de ser una
empresa completamente comprometida con sus valores, objetivos y metas. Poder
contar con una certificación ISO / IEC 27001 puede dar un la confianza que muchas
empresas podrían buscar de una empresa comprometida con la seguridad de la
información, activo intangible y fundamental para toda organización.
FUENTES DE INFORMACION
1. Corletti, E. A. (2007)
2. ISO 27000 (2008)
3. Estandar internacional (2005)
4. Fernandez, C.M. (2012)
5. Iso 27000 (2005).- http://www.iso27000.es/download/doc_sgsi_all.pdf
6. Slideshare (2013).- http://es.slideshare.net/mariamervi/iso-27000-estandar
7. Iso 27000 (2005).- http://www.iso27000.es/sgsi_implantar.html
8. Iso (2015).- http://www.iso.org/iso/iso-survey
9. Iso (2015).- http://www.iso.org/iso/iso_27001_iso_survey2015.xls
10. Iso 27000 (2005).- http://iso27000.es/certificacion.html
11. bsigroup (2017).- https://www.bsigroup.com/es-MX/seguridad-dela-informacion-
ISOIEC-27001/certificacion-ISO-27001/
12. isotools (2015).- https://www.isotools.org/2015/12/16/pasos-para-la-certificacion-
de-la-norma-iso-270012013/
13. seguinfo (2010).- https://seguinfo.wordpress.com/2010/07/24/proceso-de-
certificacion-sgsi-iso-27000/
14. irqamexico (2016).- http://www.lrqamexico.com/certificaciones/iso-iec-27001-
Seguridad-Informacion/
15. nyce (2015).- https://www.nyce.org.mx/wp-content/uploads/2015/10/Empresas-
Certificadas-27K-27102015.pdf
16. Youtube (2008).- http://www.youtube.com/intecocert
17. Advisera (2011).-
https://advisera.com/27001academy/es/blog/2011/02/08/cuanto-cuesta-la-
implementacion-de-la-norma-iso-27001/
18. Advisera ().- https://advisera.com/27001academy/es/precios/
19. Bsigroup ().- https://www.bsigroup.com/es-MX/seguridad-dela-informacion-
ISOIEC-27001/ISO27001-para-pymes/