Professional Documents
Culture Documents
Titulo:
ISO 27001
Cusco 2017
Contenido
1. Introduccin.............................................................................................. 3
2. Cmo funciona la ISO 27001?..................................................................4
3. Por qu ISO 27001 es importante para la empresa?...................................4
4. Dnde interviene la gestin de seguridad de la informacin en una
empresa?........................................................................................................ 5
5. Cmo es realmente ISO 27001?................................................................5
6. Cmo implementar ISO 27001?................................................................7
7. Documentacin obligatoria........................................................................7
8. Cmo obtener la certificacin?.................................................................8
9. Revisiones 2005 y 2013 de ISO 27001.........................................................9
10. Otras normas relacionadas con seguridad de la informacin..................10
11. Conclusiones....................................................................................... 11
12. Referencias...................................................................................... 11
1. Introduccin
pg. 2
ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public
en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin
fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa para
implementar la gestin de la seguridad de la informacin en una organizacin.
Tambin permite que una empresa sea certificada; esto significa que una entidad
de certificacin independiente confirma que la seguridad de la informacin ha sido
implementada en esa organizacin en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad
de la informacin y muchas empresas han certificado su cumplimiento.
pg. 3
Las medidas de seguridad (o controles) que se van a implementar se presentan,
por lo general, bajo la forma de polticas, procedimientos e implementacin tcnica
(por ejemplo, software y equipos). Sin embargo, en la mayora de los casos, las
empresas ya tienen todo el hardware y software pero utilizan de una forma no
segura; por lo tanto, la mayor parte de la implementacin de ISO 27001 estar
relacionada con determinar las reglas organizacionales (por ejemplo, redaccin de
documentos) necesarias para prevenir violaciones de la seguridad.
pg. 4
Una mejor organizacin en general, las empresas de rpido crecimiento
no tienen tiempo para hacer una pausa y definir sus procesos y
procedimientos; como consecuencia, muchas veces los empleados no
saben qu hay que hacer, cundo y quin debe hacerlo. La implementacin
de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las
empresas a escribir sus principales procesos (incluso los que no estn
relacionados con la seguridad), lo que les permite reducir el tiempo perdido
de sus empleados.
pg. 5
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organizacin
Internacional para la Normalizacin, los ttulos de las secciones de ISO 27001 son
los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas
de gestin, lo que permite integrar ms fcilmente estas normas.
Seccin 10 Mejora esta seccin forma parte de la fase de Mejora del ciclo
PDCA y define los requerimientos para el tratamiento de no conformidades,
correcciones, medidas correctivas y mejora continua.
pg. 6
Anexo A este anexo proporciona un catlogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).
7. Documentacin obligatoria
ISO 27001 requiere que se confeccione la siguiente documentacin:
pg. 7
Registros sobre actividades de los usuarios, excepciones y eventos de
seguridad (puntos A.12.4.1 y A.12.4.3)
Por supuesto que una empresa puede decidir confeccionar otros documentos
de seguridad adicionales si lo considera necesario.
Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b)
para las personas. Las organizaciones pueden obtener la certificacin para
demostrar que cumplen con todos los puntos obligatorios de la norma; las
personas pueden hacer el curso y aprobar el examen para obtener el
certificado.
Para obtener la certificacin como organizacin, se debe implementar la norma
tal como se explic en las secciones anteriores y luego se debe aprobar la
auditora que realiza la entidad de certificacin. La auditora de certificacin se
realiza siguiendo estos pasos:
Las personas pueden asistir a diversos cursos para obtener certificados. Los
ms populares son:
Curso de Auditor Lder en ISO 27001: este curso de 5 das le ensear
cmo realizar auditoras de certificacin y est orientado a auditores y
consultores.
Curso de Implementador Principal de ISO 27001: este curso de 5 das le
ensear cmo implementar la norma y est orientado a profesionales y
consultores en seguridad de la informacin.
pg. 8
Curso de auditor interno en ISO 27001: este curso de 2 o 3 das le
ensear los conceptos bsicos de la norma y cmo llevar a cabo una
auditora interna; est orientado a principiantes en este tema y a auditores
internos.
9. Revisiones
Como se mencion
anteriormente, la norma ISO 27001 fue publicada por primera vez en 2005 y
luego fue revisada en 2013; por lo tanto, la versin vlida actual es la ISO/IEC
27001:2013.
Los cambios ms importantes de la revisin 2013 estn relacionados con la
estructura de la parte principal de la norma, las partes interesadas, los
objetivos, el monitoreo y la medicin; asimismo, el Anexo A ha disminuido la
cantidad de controles (de 133 a 114) y ha incrementado la cantidad de
secciones (de 11 a 14). En la revisin 2013 se eliminaron algunos
requerimientos como las medidas preventivas y la necesidad de documentar
determinados procedimientos.
Sin embargo, todos estos cambios en realidad no modificaron mucho la norma
en su conjunto, su filosofa principal sigue centrndose en la evaluacin y
tratamiento de riesgos y se mantienen las mismas fases del ciclo de
Planificacin, Implementacin, Revisin y Mantenimiento (PDCA, por sus siglas
en ingls). Esta nueva revisin de la norma es ms fcil de leer y comprender y
es mucho ms sencilla de integrar con otras normas de gestin como ISO
9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer
la transicin a la nueva revisin 2013 hasta septiembre de 2015 si quieren
mantener la validez de su certificacin.
pg. 9
esos controles. A la ISO 27002 anteriormente se la conoca como ISO/IEC
17799 y surgi de la norma britnica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medicin de la seguridad de la
informacin; se acopla bien con ISO 27001 ya que explica cmo determinar si
el SGSI ha alcanzado los objetivos.
ISO 9001 define los requerimientos para los sistemas de gestin de calidad.
Aunque a primera vista la gestin de calidad y la gestin de seguridad de la
informacin no tienen mucho en comn, lo cierto es que aproximadamente el
25% de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de
documentos, auditora interna, revisin por parte de la direccin, medidas
correctivas, definicin de objetivos y gestin de competencias. Esto quiere
decir que si una empresa ha implementado ISO 9001 le resultar mucho ms
sencillo implementar ISO 27001.
11. Conclusiones
pg. 10
12. Referencias
pg. 11