PROCESO DE CERTIFICACIN DE UNA ENTIDAD DE LA NORMA ISO 27001

QUE ES LA NORMA ISO 27001? El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information security management systems Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

PROCESO DE CERTIFICACION DE UNA ENTIDAD CON LA NORMA ISO 27001 Como cualquier otro proyecto de la organizacin, la certificacin requiere de una inversin de mayor o menor importancia en funcin de las prcticas actuales en seguridad. El retorno de la inversin es realmente efectivo en el tiempo, considerando, entre otras razones, que con ISO 27001: Se aprovecha el hecho comprobado de que el coste de la implementacin de controles apropiados de seguridad puede ser hasta 7 veces menor cuando se consideran al principio del diseo e implantacin de las soluciones de negocio. Las inversiones en tecnologa se ajustan a unas necesidades y prioridades conocidas de un entorno controlado. Se evitan compras innecesarias y sobredimensionadas o la necesidad inesperada de productos. Muchos errores se evitan gracias a los controles adoptados; los que se detectan regularmente se solucionan con medidas de coste razonable y sin causar daos, y los que finalmente se producen se solucionan y controlan mediante procedimientos establecidos. Se asegura la continuidad de negocio en el tiempo mnimo requerido ante cualquier incidencia, por grave que sea. Se evita la fuga de informacin esencial a competidores y medios pblicos que pueda perjudicar el crecimiento, prdida de competitividad y reputacin de la organizacin en el mercado en el que participa.

Es una buena herramienta para el aprovechamiento de nuevas oportunidades de negocio. Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad en general un alto nivel de concienciacin en la proteccin de la informacin y conformidad y cumplimento de la legalidad QU TIPO DE ORGANIZACIONES SE ESTN CERTIFICANDO EN ISO 27001? El estndar se puede adoptar por la mayora de los sectores comerciales, industriales y de servicios de pequeas, medianas o grandes entidades y organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios pblicos, minoristas, sectores de manufactura, industrias de servicios diversos, sector del transporte y administraciones pblicas entre otros. En la actualidad destaca su presencia en organizaciones dedicadas a servicios de tecnologas de la informacin, como prueba del compromiso con la seguridad de los datos de sus clientes.

CMO ES EL PROCESO DE CERTIFICACIN?

El proceso de certificacin puede resumirse en las siguientes fases: Solicitud por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: revisin del alcance, poltica de seguridad, Direccin, anlisis de riesgos, declaracin de aplicabilidad y procedimientos clave. Fase 2 de la auditora: revisin de las polticas, auditora de la implantacin de los controles de seguridad y verificacin de la efectividad del sistema. Certificacin: acciones correctivas en caso de no conformidades graves, revisin y emisin de certificado en caso de informe favorable. Auditora de seguimiento: auditora semestral o anual de mantenimiento. Auditora de re-certificacin: cada tres aos, una auditora de certificacin formal completa.

La empresa que se quiera certificar en esta norma debe tener en cuenta

Vamos a exponer entonces los pasos para la certificacin 1- Delimitacin de Colombia. 2- Anlisis de Riesgos. 3-Gestin de Riesgos. 4- Declaracin de la Aplicabilidad. 5- Polticas y procedimientos. 6- Plan Director de seguridad. 7- Plan de Continuidad de Negocio. 8- Plan de formacin. 9- Gestin de incidencias. 10- Desarrollo del SGSI. 11- Auditoria Interna. 12- Certificacin

BENEFICIOS: El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organizacin: -Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial. -Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial. -Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin. -Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin. -El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la

norma ISO/IEC 27001 o las recomendaciones de la norma del cdigo profesional, ISO/IEC 17799 no logran estas ventajas.

QUIN ACREDITA A LAS ENTIDADES CERTIFICADORAS? Cada pas tiene una entidad de acreditacin (algunos, varias) que se encarga de supervisar que las entidades de certificacin (las que, finalmente, auditan y certifican los sistemas de gestin de las organizaciones) estn capacitadas para desempear su labor y se ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad Nacional de Acreditacin; http://www.enac.es) quien tiene esta misin. Tambin se da el caso de entidades certificadoras que expiden certificados bajo esquema de acreditacin de una entidad de acreditacin extranjera. En ISO 27001, se da frecuentemente el caso con UKAS (entidad nacional de acreditacin del Reino Unido), por el origen ingls de la norma y su corta vida an como ISO ESTAS SON ALGUNA EMPRESAS EN COLOMBIA CERTIFICADAS ComBanc S.A Etek International Holding Corp. Financial Systems Company Ltda Ricoh Colombia, S.A. SETECSA S.A UNE EPM Telecomunicaciones. S.A E.S.P UNISYS Global Outsourcing & Infrastructure Services CASO DE UNE- EPM certificada en esta norma, esta empresa es una ISP la cual presta diferentes servicios en el campo de las telecomunicaciones tales como: Telefona, Internet, Televisin. Etc. ESTA INFORMACION FUE SACADA 162, Bogot, octubre 19 de 2009 en WWW.UNE.CO DEL Boletn No.

UNE certifica sistema de gestin de la seguridad de la informacin Tras un perodo de evaluacin y aprobacin de los procesos, la firma Bureau Veritas certific el Sistema de Gestin de Seguridad de de UNE EPM Telecomunicaciones basado en la norma ISO/IEC 27001:2005. UNE es la primera compaa de telecomunicaciones en el pas en obtener un certificado de esta magnitud.

La obtencin de certificados reconocidos internacionalmente a travs de entes como Bureau Veritas Certification y The United Kingdom Acreditation ServiceUKAS, para una empresa como UNE, confirma a sus clientes el mejoramiento continuo de la compaa, a travs de la gestin sincronizada de la infraestructura tecnolgica, los procesos y el capital humano especializado en la proteccin. Segn la firma Bureau Veritas Certification, UNE EPM Telecomunicaciones, patrimonio de los colombianos, es una empresa joven que desde su nacimiento ha preparado tanto su personal como su tecnologa para brindar en todo momento el mejor de los servicios, buscando las relaciones ms duraderas con sus clientes y mostrndose a la vanguardia con respecto a las dems compaas del sector, pues se convierte en la primera compaa en certificar su Sistema de Gestin de de . La certificacin ISO/IEC 27001:2005 se suma a las certificaciones de los Sistemas de Gestin de Calidad en las Normas ISO 9001:2008 y NTC GP1000:2004, lo cual se traduce en un avance significativo de en el sector de las telecomunicaciones en Colombia y en el mundo; la capacidad de mejorar cada da ms su desempeo; y entregar productos y servicios que respondan a las necesidades y expectativas de los clientes. Para el presidente de UNE, Horacio Vlez de Bedout, este hecho permite que todos nuestros clientes cuenten con la gestin en proteccin de su informacin y con la confianza de que nuestra empresa ha adoptado las medidas para tratar los riesgos asociados a su disponibilidad, confidencialidad e integridad. Bureau Veritas Certification tiene una lista de ms de 100 mil empresas certificadas en ms de 140 pases en el mundo, ms de 10 mil en Latinoamrica y alrededor de 2.200 de ellas en Colombia. Con este nuevo logro, UNE contina avanzando en prestar el mejor servicio a sus clientes, optimizar sus procesos y lograr ser la empresa integrada de telecomunicaciones ms competitiva de Colombia. Esta buena noticia nos compromete a seguir trabajando de manera que se fortalezca la cultura en proteccin de la informacin en nuestra empresa. Hoy estamos celebrando un logro que nos invita a seguir siendo los mejores,

optimizando los recursos y asegurando la continuidad y calidad de nuestros servicios. Para UNE es motivo de orgullo recibir este reconocimiento en la capital del pas, tiene un significado especial y es que esta empresa que es 100% pblica y colombiana seguir avanzando en la consolidacin de sus mercados en todo el territorio, trabajando, no slo desde Medelln sino desde todas las ciudades en las que UNE tiene operaciones, por satisfacer y llevar las mejores soluciones a los clientes, asegur Horacio Vlez de Bedout, presidente de UNE EPM Telecomunicaciones durante el evento de entrega del certificado que se realiz en la nueva sede de UNE en la compaa en la capital de la repblica.

SETECSA S.A

Sistema de Gestin de Seguridad de la Informacin NTC-ISO 27001:2005 G4S Secure Data Solutions, se encuentra certificada desde el ao 2010. Este sistema asegura que la administracin de la informacin del cliente y la nuestra es procesada controlando el cumplimiento de los principios de la Seguridad de Informacin (Integridad, Disponibilidad y Confidencialidad), mediante la medicin de los controles establecidos para la mitigacin de los riesgos a los que est expuesta la informacin.

Esta informacin fue sacada de http://www.setecsa.com/