PASOS PARA OBTENER EL CERTIFICADO ISO 27001

La gran mayora de auditores no suelen llevar elaborada una lista de preguntas, ya que
cada empresa es distinta, por lo que deben improvisar. El trabajo que desempea un auditor para
otorgar la certificacin ISO 27001 es el de revisar la documentacin, hacer preguntas acerca de
diferentes cuestiones y buscar pruebas que certifiquen que se cumplen los requisitos que
establece la norma ISO 27001.

La norma ISO 27001 establece una serie de requisitos que la empresa tiene que cumplir.
Para verificar que se cumple con lo que dice la norma, el auditor debe comprobar los
procedimientos, registros, polticas y personas. Las personas sern estudiadas a travs de
entrevistas personales en la que las preguntas que se realicen irn encaminadas a comprender
que el Sistema de Gestin de Seguridad de la Informacin se encuentra correctamente
implementado en la organizacin.

Documentacin necesaria.

El auditor de certificacin ISO 27001 deber llevar a cabo una revisin de toda la
documentacin que existe en el Sistema de Gestin de Seguridad de la Informacin, donde se
suelen solicitar todos los documentos que incluye la norma ISO 27001. En el supuesto de los
controles de seguridad, se utiliza como gua la Declaracin de Aplicabilidad. Existe una serie de
documentos que son obligatorios y stos son establecidos por la norma ISO 27001. Adems de
los documentos obligatorios, el auditor debe inspeccionar todos y cada uno de los documentos
que la organizacin desarrolle para apoyar la implementacin del Sistema de Gestin de
Seguridad de la Informacin o para la implantacin de los controles de seguridad.

Evidencias

Una vez verificada la existencia de los documentos del Sistema de Gestin de Seguridad
de la Informacin se contina el proceso, comprobando que todo lo que se encuentra plasmado
en los documentos corresponde con la realidad. En relacin con los controles de seguridad, que
tambin necesitan evidencias, se suelen utilizar registros, archivos de sistema, diagrama de la
red, configuracin de plataforma, etc.

Entrevistas

En el momento de realizar las entrevistas, el auditor de certificacin ISO 27001 sabe

que la empresa utiliza la documentacin necesaria, pero precisa comprobar si las personas
implicadas en el Sistema de Gestin de Seguridad de la Informacin se encuentran
familiarizadas con dichos documentos y los utilizan para llevar a cabo las actividades. Uno de
los aspectos ms importantes de la norma ISO 27001, no es la norma en s sino que los
empleados de la empresa se encuentren concienciados. El auditor tiene que llevar a cabo
distintas entrevistas con las personas de la empresa para conocer el grado de conocimiento de
los documentos importantes del SGSI. Estos documentos suelen ser:

La poltica de Seguridad de la Informacin

Las clusulas de confidencialidad
Utilizacin de los activos
Poltica de control de acceso
Las distintas cuestiones que se pueden realizar durante la revista son:

Tiene acceso a las normas internas de la organizacin que tengan relacin con la
seguridad de la informacin?

Me puede ensear algunas de las polticas que se encuentran relacionadas?

Puede decirme cules son los puntos ms importantes de la poltica de seguridad?

El auditor tambin puede entrevistarse con los responsables de los procesos, de reas fsicas
y departamentos, de los que se observar como se lleva a cabo la aplicacin de la norma ISO
27001 en la empresa. Durante la entrevista las cuestiones estarn enfocadas a comprender las
funciones y los roles que las personas tienen en el Sistema de Gestin de Seguridad de la
Informacin y conocer si cumplen con los controles implantados en la organizacin.

Preparacin

Un auditor de certificacin ISO 27001 puede solicitar la siguiente informacin:

Los documentos exigidos por la norma ISO 27001 y cualquier documento que exista en
el Sistema de Gestin de Seguridad de la Informacin.

Comprobar el cumplimiento de los documentos.

Realizar entrevistas personales.

Si se quiere estar preparado para las cuestiones que el auditor de certificacin ISO 27001
puede llevar a cabo, lo primero que debe hacer es verificar que dispone de todos los documentos
que pueden ser exigidos y despus comprobar que la empresa hace todo lo que dice en los
documentos y puede ser probado. Es muy importante que la gente conozca los documentos que
son aplicables. Debe de garantizarse que su empresa implant eficazmente la norma ISO 27001
y aceptar las operaciones que debe llevar a cabo cada da, ya que si no realiza esto se podr
pensar que la documentacin ha sido creada para satisfacer al auditor de certificacin ISO
27001.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 ofrece solucin a todas
estas preguntas que se plantean a la hora de implementar un Sistema de Gestin de Seguridad de
la Informacin en una organizacin. Toda proteccin es importante, por pequea que sea, pues
el mnimo descuido puede conllevar una violacin de los datos de la misma.
 EMPRESAS PERUANAS QUE CUENTAN CON CERTIFICACIN ISO 27001

HERMES

Hermes obtuvo la certificacin internacional ISO / IEC 27001:2005 de esta manera, la empresa
afianza su misin de brindar soluciones seguras para procesos de riesgo. Hermes suma tres
certificaciones, ISO 9001 (Calidad), ISO 28000 (Security) e ISO 27001 (Seguridad de la
Informacin), que forman parte un Sistema de Gestin Integrado (SIG). Al certificar la norma
internacional ISO / IEC 27001:2005 (a travs de SGS), Hermes afianza su misin de brindar
soluciones seguras para procesos de riesgo. La certificacin tiene como alcance sus servicios en
Traslado de Valores, ATM, Procesamiento, Custodia y Seguridad.

Estos servicios comprenden unos 2,000 empleados, 20 aplicaciones de negocio, redes

de voz y datos, equipos de comunicacin, servidores y data centers locales. Los requisitos de
la ISO 27001 tienen como objetivo eliminar o minimizar los riesgos de fraude, y robo (prdida)
de informacin clasificada. La adecuacin a la norma tom un ao de trabajo e inversin en
seguridad para redes, software y herramientas de control.

TELEFNICA DEL PER

Telefnica del Per obtiene la certificacin ISO 27001, esta certificacin posiciona a Telefnica
del Per como la operadora de Latinoamrica con la certificacin ISO 27001 de mayor alcance
y la nica con la Gestin de los Servicios Mviles y de Gestin del Data Center certificada. En
reconocimiento a sus altos estndares de calidad, seguridad y cuidado del medio ambiente,
Telefnica del Per recibi oficialmente la certificacin ISO 9001, ISO 27001 e ISO 14001.
Telefnica del Per alcanz la Certificacin Internacional ISO/IEC 27001:2005, para su data
center donde brinda servicios de:

Outsourcing de TI (externalizacin).- Outsourcing es un trmino del ingls

que podemos traducir al espaol como subcontratacin, externalizacin o
tercerizacin. En el mundo empresarial, designa el proceso en el cual una
organizacin contrata a otras empresas externas para que se hagan cargo de
parte de su actividad o produccin.
Disaster Recovery/Business Continuity (Recuperacin de Desastres /
Continuidad de Negocio)
Hosting. Para crear una pgina web y que otros puedan visitarla, se necesita
publicar o subir los archivos a un servicio de web hosting. Estos servicios
funcionan ofreciendo computadoras de grandes prestaciones (servidores web),
utilizando conexiones de alta velocidad adems de muchas otras prestaciones.
Cuando alguien escribe la direccin web (por ejemple www.untels.edu.pe),
ellos se conectaran al servidor web donde est alojado la pgina y descargarn
los archivos del sitio.
 Housing.- El housing, tambin llamado Co-location, es un tipo de hospedaje en
el que el proveedor ofrece al cliente el alojamiento de los equipos en espacios
especialmente acondicionados y preparados para ello, asegurando las
condiciones de clima y la continua disponibilidad de la alimentacin elctrica y
conexin de red

Todos estos servicios son brindados a las empresas de mayor envergadura en el pas, as
como para sus Centros de Gestin de Mviles, de Banda Ancha y de Redes Empresariales,
elevndose a estndares de clase mundial. De esta manera, la gestin de las Direcciones de
Outsourcing y Data Center y de Gestin de Red, han sido reconocidas por la adecuada
implementacin y operacin de sus Sistemas de Gestin de Seguridad de la informacin (SGSI).
As, Telefnica demuestra su compromiso con el cliente basado en la mejora continua,
garantizando niveles de servicio que permitan obtener informacin cuando la organizacin lo
necesite; es decir, disponible las 24 horas, siete das a la semana, los 365 das del ao.

Esta certificacin, otorgada por AENOR Internacional, es un estndar internacional con

un alto grado de tecnicidad y rigurosidad, por lo cual solo las principales organizaciones del
mundo logran obtenerla (operadoras de telecomunicaciones, fabricantes de tecnologa,
organismos de seguridad e instituciones estratgicas).

INDECOPI

La certificacin ISO 27001 est referida a la seguridad con que la institucin administra
la informacin de los procesos, casos, trmites y dems actividades relacionadas a sus funciones
encomendadas. Con esta certificacin, INDECOPI se convierte en una de las entidades
pblicas lder en seguridad de la informacin, pues asume como parte de su responsabilidad
institucional la proteccin de la informacin que tiene a su cargo.

La certificacin obtenida incluye los procesos de gestin del INDECOPI para los servicios de:

reas Funcionales
reas Servicios
Servicio de Atencin al Ciudadano. Servicio de Informacin.
Mesa de Partes. Recepcin de documentos.
Archivo Central. Revisin de expedientes.
Direccin de Invenciones y Nuevas Registro de Invenciones y Nuevas
Tecnologas Tecnologas
Comisin de Proteccin al Solucin de controversias de la Comisin de
Consumidor Nro. 1 Proteccin al Consumidor Nro. 1
Comisin Transitoria de Firma Gestin de la Autoridad Administrativa
Electrnica competente de la Infraestructura Oficial de
Firma Electrnica.

rea de Soporte
reas Servicios
Gerencia de Tecnologas de la Informacin. Gerencia de Tecnologas de la
Informacin.
Sub Gerencia de Gestin Humana. Gestin de Recursos Humanos.
Sub Gerencia de Logstica y Control Patrimonial. Gestin de Logstica y Control
Patrimonial.
Sub Gerencia de Finanzas y Contabilidad. Gestin Financiera