ISO 27001

Gestin de la Seguridad de la Informacin

Para el fin de preservar la informacin, se ha demostrado que no es suficiente la
implantacin de controles y procedimientos de seguridad realizados frecuentemente sin
un criterio comn establecido, en torno a la compra de productos tcnicos y sin
considerar toda la informacin esencial que se debe proteger.
La Organizacin Internacional de Estandarizacin (ISO), a travs de las normas recogidas
en ISO / IEC 27000, establece una implementacin efectiva de la seguridad de la
informacin empresarial desarrolladas en las normas ISO 27001 / ISO 27002.
Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestin de la
Seguridad de la Informacin (SGSI), consistente en medidas orientadas a proteger la
informacin, indistintamente del formato de la misma, contra cualquier amenaza, de
forma que garanticemos en todo momento la continuidad de las actividades de la empresa.
Los Objetivos del SGSI son preservar la:

Confidencialidad
Integridad
y Disponibilidad de la Informacin

Elementos o fases para la Implementacin de un SGSI

El Sistema de Gestin de La Seguridad de la Informacin que propone la Norma ISO
27001 se puede resumir en las siguientes fases que se detallan en la figura:

UN SGSI, QU BENEFICIOS APORTA?

Un anlisis de riesgos, identificando amenazas, vulnerabilidades e impactos en la
actividad empresarial.
Una mejora continua en la gestin de la seguridad.
Una garanta de continuidad y disponibilidad del negocio.
Reduccin de los costos vinculados a los incidentes.
El incremento de los niveles de confianza de clientes y partners.
El aumento del valor comercial y mejora de la imagen de la organizacin. Voluntad
de cumplir con la legislacin vigente de proteccin de datos de carcter personal,
servicios de la sociedad e la informacin, comercio electrnico, propiedad
intelectual y en general, aquella relacionada con la seguridad de la informacin.

IMPLANTACIN DE UN SGSI
Para realizar la implementacin de un SGSI con xito, por nuestra experiencia y
conocimientos, consideramos que los puntos esenciales a tener en cuenta, siempre
que se inicie un proyecto de consultora SGSI son:
El alcance y la planificacin temporal requerido por el SGSI.
El compromiso y completa implicacin de la Direccin en el proyecto desde
inicio a fin.
El nivel de seguridad deseado, tamao y complejidad de la organizacin.

PROCESO DE IMPLANTACIN
Este estndar internacional adopta el modelo de mejora continua PDCA
(Planificar, hacer, verificar y actuar) aplicado a toda la estructura de procesos del
SGSI. El modelo PDCA establece que no es suficiente con el diseo e
implementacin del SGSI, sino que es necesario garantizar la revisin peridica y
continua actualizacin y mejora del mismo, permitiendo a cada organizacin

utilizar los instrumentos que consideren oportunos para medir y controlar la mejora
del sistema.
Un SGSI debe identificar fundamentalmente, los objetivos y alcance del sistema,
los procesos de negocio crticos para la organizacin.

CERTIFICACIN ISO 27001

La certificacin del SGSI contribuye a fomentar las actividades y procesos de proteccin de la
informacin dentro de las organizaciones, mejorando su imagen y generando confianza ante
terceros.
Una vez finalizado el proceso de implantacin del SGSI, si la organizacin lo decide, tiene la
opcin de certificar su SGSI conforme a normativas internacionales, (actualmente ISO 27001).
El SGSI segn la norma ISO 27001 es complementario a los sistemas de gestin de la calidad
ISO 9001 y gestin medioambiental ISO 14001.

QUIN PUEDE CERTIFICAR?

El proceso de certificacin lo realiza una tercera entidad acreditada por ENAC (Entidad
Nacional de Acreditacin), que evaluar el SGSI de la organizacin y expedir un certificado que
demuestra que la organizacin satisface los requisitos de la norma ISO 27001. El certificado se
mantendr siempre y cuando la organizacin contine cumpliendo los requisitos de la norma.
Algunas de las empresas certificadoras, en orden alfabtico, son:
ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN (AENOR)
BRITISH STANDARS INSTITUTION ESPAA, S.A.
BVQI SERVICIOS DE CERTIFICACIN, S.A.
EUROPEAN QUALITY ASSURANCE

POR QU CERTIFICARSE EN LA NORMA ISO 27001?

La certificacin demuestra a clientes, competidores, proveedores, personal e
inversores, que una organizacin emplea buenas prcticas revisadas y aprobadas a
nivel internacional.
Un certificado de seguridad de tercera parte, ayuda a que una organizacin demuestre
que gestiona eficientemente la seguridad de su negocio.
Provee la implicacin, participacin y motivacin del personal en mantener la poltica
de seguridad de la organizacin.
Establece procedimientos que mejoran continuamente su actividad y evidencia un
enfoque innovador con visin al futuro.
La certificacin puede mejorar el desempeo total, suprimir la incertidumbre y ampliar
sus oportunidades en el mercado.

GESTIN DE LA SEGURIDAD DE LA INFORMACIN. ISO

27001:2005
Un SGSI establece un completo plan de acciones que ayudar a su empresa a
solucionar los problemas de seguridad tcnicos, organizativos y legislativos mediante el
anlisis de riesgos, mejorando y manteniendo la seguridad de la informacin
empresarial y garantizando una continuidad de negocio. En una organizacin, el diseo
e implementacin de un SGSI est influenciado por sus necesidades y objetivos,

requerimientos de seguridad, procesos empleados y el tamao y estructura de la

organizacin. Un SGSI no tiene un fin esttico, se espera que evolucione de forma
conjunta con los objetivos estratgicos de seguridad de la Organizacin. La implantacin
de un SGSI se apoya en normativas de carcter internacional como son: ISO/IEC
27001:2005 e ISO/IEC 17799:2005.