Académique Documents
Professionnel Documents
Culture Documents
Contenidos
2. SGSI
3. Certificaciones
WWW.ISO27000.ES
(Para cualquier pregunta, no dude en ponerse en contacto con nosotros.)
En esta seccin se muestran respuestas a una serie de preguntas habituales sobre los
siguientes temas:
SGSI
Certificacin
Qu es ISO? 2
ISO garantiza un marco de amplia aceptacin mundial a travs de los 3000 grupos
tcnicos y 50.000 expertos que colaboran en el desarrollo de normas.
Qu es un estndar?
WWW.ISO27000.ES
Los estndares ayudan a aumentar la fiabilidad y efectividad de materiales, productos,
procesos o servicios que utilizan todas las partes interesadas (productores,
vendedores, compradores, usuarios y reguladores).
http://www.iso27000.es/download/HistoriaISO27001.pps
WWW.ISO27000.ES
la informacin. Su origen est en la norma de BSI (British Standards Institution)
BS7799-Parte 1, que fue publicada por primera vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799
para su posible aplicacin en el SGSI que implante cada organizacin (justificando, en
el documento denominado Declaracin de Aplicabilidad, los motivos de exclusin de
aquellos que finalmente no sean necesarios). ISO 17799 es para ISO 27001, por tanto,
una relacin de controles necesarios para garantizar la seguridad de la informacin.
Est previsto que, en 2007, ISO 17799 pase a denominarse ISO 27002.
ISO ha reservado la serie de numeracin 27000 para las normas relacionadas con
sistemas de gestin de seguridad de la informacin. En 2005 incluy en ella la primera
de la serie (ISO 27001). En prximos aos est prevista la incorporacin de nuevas
4
normas que supongan un apoyo para las organizaciones que implanten y certifiquen
un SGSI segn ISO 27001.
Por estar en continuo desarrollo y cambio, para estar al da, recomendamos la visita
de nuestra seccin http://www.iso27000.es/iso27000.html.
Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos
que afectan al negocio, con el objetivo de implantar contramedidas, procesos y
procedimientos para su apropiado control y mejora continua.
WWW.ISO27000.ES
informacin, por la ausencia de procedimientos que garanticen la respuesta puntual y
adecuada ante incidencias o la propia continuidad del negocio, etc.
ISO 27001 tiene que ver slo con la seguridad informtica de una empresa?
Sin el apoyo decidido de la Direccin, segn la propia ISO 27001 indica, no es posible
la implantacin ni la certificacin de la norma en la empresa.
Por tanto, los trminos en que debe entender la Direccin la importancia de ISO 27001
son los de los riesgos asumibles, la continuidad de negocio y los costes de no-
seguridad. La Direccin no tiene por qu verse confrontada con tecnologas y
descripcin de amenazas desde el punto de vista tcnico.
WWW.ISO27000.ES
Aporta un retorno de inversin la certificacin en ISO27001 de la empresa?
Es una norma espaola certificable de mbito local que surgi como versin adaptada
de BS7799-2 y que tambin guarda relacin con UNE-ISO/IEC17799 mediante su
Anexo A.
WWW.ISO27000.ES
documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la
organizacin.
ISO 27001 ha sido redactada de forma anloga a otros estndares, como ISO 9001
(Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevencin de riesgos), con
el objetivo, entre otros, de facilitar a las organizaciones la integracin de todos ellos en
un solo sistema de gestin. La propia norma incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus
semejanzas en la documentacin necesaria para facilitar la integracin.
WWW.ISO27000.ES
(http://www.icontec.org.co) en Colombia, INN (http://www3.inn.cl) en Chile, IRAM
(http://www.iram.com.ar/) en Argentina, etc. (lista completa en ISO).
Realizar un curso de formacin, de los muchos que hay en el mercado, de
introduccin a la norma, a su implantacin y su auditora. En nuestra seccin de
Eventos podr encontrar algunos (http://www.iso27000.es/eventos.html).
Hacer un "gap analysis" (anlisis diferencial) inicial de su estado actual con los
controles de ISO 17799. Aunque no sea un anlisis exhaustivo, proporciona una
idea aproximada de la distancia que le separa de la conformidad con la norma y el
camino que habr que recorrer.
En muchos casos, es necesario contratar los servicios de una empresa consultora
especializada que le ayude algunas fases del proceso. Sin embargo, recuerde que
las decisiones de negocio no deben ser trasladadas a nadie externo a la
organizacin.
Deber pasar por todas las tareas propias de implantacin de un SGSI: definicin de
poltica, determinacin del alcance, anlisis de riesgos, tratamiento de riesgos, etc.
Las distintas secciones de nuestra web pueden aportarle puntual informacin.
Paralelamente, formar y concienciar a todo el personal. En nuestra seccin de
Herramientas (http://www.iso27000.es/herramientas.html) encontrar informaciones
tiles sobre planes de sensibilizacin.
Una vez implantado el sistema y en funcionamiento, deber recopilar evidencias al
menos durante tres meses antes de pasar a la auditora de certificacin.
Precisamente, son esas evidencias y registros histricos los que indican al auditor
externo que el sistema de gestin funciona de manera adecuada.
Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o 8
varias entidades de certificacin acreditadas para pedir formalmente la visita de
auditora (sus tarifas y oferta de servicios pueden diferir). Ofrecen, adicionalmente,
un servicio aadido de pre-auditoria muy recomendable para afrontar con garantas
una primera certificacin en la norma. En nuestra seccin de Certificacin
(http://www.iso27000.es/certificacion.html) encontrar informaciones tiles.
2. SGSI
Qu es un SGSI?
WWW.ISO27000.ES
Qu es un ISMS?
Son las siglas en ingls (Information Security Management System) de SGSI (Sistema
de Gestin de Seguridad de la Informacin).
Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, no
significan que se est gestionando la seguridad. Un SGSI implica que la organizacin
ha estudiado los riesgos a los que est sometida toda su informacin, ha evaluado qu
nivel de riesgo asume, ha implantado controles (no slo tecnolgicos, sino tambin
organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las
polticas y procedimientos relacionados y ha entrado en un proceso continuo de
revisin y mejora de todo el sistema.
WWW.ISO27000.ES
Existe algn producto que cubra los principales aspectos de seguridad de la
informacin?
PDCA son las siglas en ingls del conocido como ciclo de Deming: Plan-Do-Check-Act
(Planificar-Hacer-Verificar-Actuar).
Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al cambio
continuo que se produce en la empresa y su entorno.
3. Certificaciones
WWW.ISO27000.ES
Quin certifica a mi empresa en ISO 27001?
WWW.ISO27000.ES
Quin acredita a las entidades certificadoras?
Cada pas tiene una entidad de acreditacin (algunos, varias) que se encarga de
supervisar que las entidades de certificacin (las que, finalmente, auditan y certifican
los sistemas de gestin de las empresas) estn capacitadas para desempear su labor
y se ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad Nacional de
Acreditacin; http://www.enac.es) quien tiene esta misin.
Como obligacin legal, a da de hoy, no. Sin embargo, como en toda relacin
comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser
considerado siquiera como opcin de contratacin.
Hay administraciones pblicas que estn empezando a exigir certificados de este tipo
a las empresas que quieran acceder a concursos pblicos de productos o servicios
relacionados con sistemas de informacin. Igualmente, es previsible que empresas
privadas comiencen en algn momento a exigrselo a sus proveedores siempre que
vaya a haber algn tipo actividad relacionada con informacin sensible.
WWW.ISO27000.ES