INSTITUTO DE ESTUDIOS UNIVERSITARIOS

Nombre. – Gabriela Hernández Cruz.

Matricula. - 95013

Grupo. - IS28

Nombre de la Materia. - Aseguramiento de Calidad de Software.

Nombre del Docente. - Mtro. Eduardo Pazos Gutiérrez.

Actividad de aprendizaje 3. Certificación ISO/IEC27000 en las empresas.

Ciudad y fecha. - Alvarado, Veracruz, a 18 de Marzo del 2018.

Actividad de aprendizaje 3. Certificación ISO/IEC27000 en las empresas

Introducción

ISO (la Organización Internacional de Normalización) es una federación mundial de

organismos nacionales de normalización (organismos miembros de ISO). El trabajo de
preparación de Normas Internacionales normalmente se lleva a cabo a través de comités
técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se ha
establecido un comité técnico tiene derecho a estar representado en ese comité. Las
organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración
con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión
Electrotécnica Internacional (IEC) en todos los asuntos de normalización electrotécnica. [1]

Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta gestión debe

realizarse mediante un proceso sistemático, documentado y conocido por toda la
organización. Podría considerarse, por analogía con una norma tan conocida como la ISO
9000, como el sistema de calidad para la seguridad de la información.

El propósito de un sistema de gestión de la seguridad de la información no es garantizar la

seguridad, sino garantizar que los riesgos de la seguridad de la información son conocidos,
asumidos, gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se
[2]
produzcan en la organización, los riesgos, el entorno y las tecnologías.

ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International

Organization for Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier
tipo de organización, pública o privada, grande o pequeña. [3]
 Desarrollo

ISO/IEC 27000

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por

ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas como:

- BS 5750. Publicada en 1979. Origen de ISO 9001

- BS 7750. Publicada en 1992. Origen de ISO 14001
- BS 8800. Publicada en 1996. Origen de OHSAS 18001

La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la
seguridad de su información.

La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no
se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por
primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la
información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por
ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de

gestión.

En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por
ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO
17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007,
manteniendo el contenido, así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS

7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie
27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de
ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. [3]

ISO 27000 y el conjunto de estándares de Seguridad de la Información

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la

Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el
establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la
Seguridad de la Información.

Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La
principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la
seguridad de forma continuada apoyada en la identificación de los riesgos de forma
continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que
describe una serie de objetivos de control y gestión que deberían ser perseguidos por las
organizaciones.

Un Sistema de Gestión de la Seguridad de la Información es un conjunto de políticas y

procedimientos que sirven para estandarizar la gestión de la Seguridad de la Información.

A continuación, les dejamos algunos detalles de cada uno de los estándares que están
incluidos en la familia de ISO 27000.

- ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas. Es

similar a una guía/diccionario que describe los términos de todas las normas de la
familia.
- ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única
norma certificable de las que se incluyen en la lista y consta de una parte principal
basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas
generales de los controles propuestos por el estándar.
- ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de
la Información que describe los controles y objetivos de control. Actualmente
cuentan con 14 dominios, 35 objetivos de control y 114 controles.
- ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como
apoyo a la norma 27001, indicando las directivas generales necesarias para la
correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la
implementación de un SGSI con éxito.
- ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones
para la gestión de la Seguridad de la Información. Especifica cómo configurar
métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir
objetivos.
- ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de
riesgos de seguridad de la información que puedan comprometer a las
organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos
concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.
- ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones
certificadoras.
- ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuando, cómo
asignar los auditores adecuados, la planificación y ejecución de la auditoría, las
actividades claves, etc. [4]
Beneficios

- Garantía de los controles internos y cumplimiento de requisitos de gestión

corporativa y de continuidad de la actividad comercial.
- Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
- Fiabilidad de cara al cliente demostrar que la información está segura.
- Identificación, evaluación y gestión de riesgos.
- Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles
mejoras.
- Se integra con otros sistemas de gestión
- Reducción de costes y mejora de procesos
- Aumento de la motivación y satisfacción del personal al contar con unas directrices
claras. [5]

SGSI

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la

que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la
seguridad de la información.

La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia,
según sistemas de gestión basados en estándares internacionales: se gestiona la calidad
según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos
laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de
seguridad de la información.

Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de

gestión para mejorar la organización y beneficios sin imponer una carga a la organización.

El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los
aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua
común a todos estos estándares. Las facilidades para la integración de las normas ISO son
evidentes mediante la consulta de sus anexos o, en nuevas publicaciones con ISO/IEC
27001:2013 gracias a su estructura común para la equivalencia en los requisitos similares
aplicables a todos los sistemas de gestión. [3]
El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con
más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando
a la definición de estándares y mejores prácticas como ISO-27001 o ITIL.

Se trata de una estrategia de mejora continua, difundida por Edwards Deming en la década
de 1950, con base en las definiciones hechas por Walter A. Shewart en los años 30, y que
describe cuatro pasos básicos para lograr la mejora: Plan, Do, Check y Act. La idea
subyacente es que, más que lograr cambios radicales en el corto plazo, lo cual resulta
costoso y poco efectivo casi siempre, debiera aplicarse un ciclo infinito de mejora continua
en la que se realizan una y otra vez los cuatro pasos. Si esto se hace así, dice la teoría, se
conseguirá una maduración gradual, eficiente y bien sustentada de los mecanismos – el
sistema – para establecer las metas y definir las actividades que llevarán a las mismas.

- Plan (planear o planificar). - En este primer paso se identifica aquello que se quiere
mejorar, se recopilan los datos iniciales, se establecen los objetivos esperados y se
planifican las actividades a realizar.
- Do (hacer o ejecutar). - Lo siguiente es ejecutar las actividades del plan hecho en el
primer paso y documentar los resultados.
- Check (verificar). - Se comparan los resultados obtenidos versus los resultados
esperados, que se definieron en el “Plan”.
- Act (actuar). - El ciclo “termina” haciendo los ajustes necesarios para que se logren,
en la medida de lo posible, los objetivos planeados; se revisan las lecciones
aprendidas y se reinicia el ciclo completo. [6]
 Estándar aplicable en nuestro país de la Certificación ISO/IEC27000

A continuación, se revisará el estándar de certificación ISO/IEC27000 aplicable en nuestro

país, así como los pasos necesarios para que una empresa obtenga la certificación ISO/IEC
27000.

En México, la evolución de certificación en este país ha sido totalmente irregular. Con un

discreto número de certificaciones en el año 1993, 24 en total, ha ido creciendo hasta llegar
a certificar en el año 2002 la suma de 2.508 y disminuir a las 1.437 certificaciones en el año
2003. Desde ahí se han ido produciendo incrementos y disminución en relación a la
certificación de la norma hasta situarse con 7.902 certificaciones en el año 2014. [7]

Gestión de Seguridad de la Información ISO/IEC 27001

La información es un activo valioso que puede hacer crecer o destruir a su organización.

Cuando se gestiona apropiadamente, le permite operar con confianza. La gestión de
seguridad de la información le da la libertad de crecer, innovar y ampliar su base de clientes
con el conocimiento que toda su información confidencial permanecerá de esa manera.

¿Qué es ISO/IEC 27001?

ISO/IEC 27001 es un reconocido marco internacional de las mejores prácticas para un

sistema de gestión de seguridad de la información. Le ayuda a identificar los riesgos para
su información importante y pone en su lugar los controles apropiados para ayudarle a
reducir el riesgo.

¿Cuáles son los beneficios de la Gestión de Seguridad de la Información ISO/IEC 27001?

- Identifique los riesgos y coloque controles en el sitio para gestionarlos o eliminarlos

- Flexibilidad para adaptar controles a todas las áreas o áreas seleccionadas de su
organización
- Gane la confianza de los interesados y de los clientes de que sus datos están
protegidos
- Demuestre cumplimiento y gane estatus como proveedor preferido
- Satisfaga más expectativas de licitaciones al demostrar cumplimiento [8]
Cómo certificarse con ISO 27001: pasos y recomendaciones

Aplicar la norma ISO 27001 depende del tipo de organización. Algunas, por ejemplo, lo
hacen para salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus
estados financieros y otros elementos internos.

Otras, sin embargo, requieren de este tipo de acciones para garantizar el buen uso de
informaciones relativas a sus clientes, que son el principal activo de su desempeño. Las
empresas de telefonía móvil o aquellas que supongan la recolección de datos personales
escenifican muy bien este segundo grupo.

ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son
los pasos esenciales en dicho proceso de certificación:

a) Etapa previa:

En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la
norma ISO 27001 para poder iniciar el proceso como tal:

 Obtener el apoyo de la dirección en todo el proceso implementación.

 Utilizar una metodología de gestión de proyectos.
 Definir el alcance del Sistema de Seguridad.
 Redactar una política específica.
 Definir una metodología de evaluación de riesgos.
 Redactar el Plan de Tratamiento de Riesgos.
 Definir la forma en que se medirán los avances.
 Implementación de controles.
 Capacitar y formar a los equipos de trabajo.
 Realizar las operaciones diarias descritas en la norma.
 Monitorizar las acciones.
 Realizar una auditoría con personal que pertenezca a la empresa.
 Efectuar una revisión por parte de la dirección.
 Implementar las medidas correctivas pertinentes.

b) Auditoría de revisión:

Tan pronto se solicite a ISO la voluntad de certificarse, un grupo de profesionales externos

a la propia organización revisará la documentación requerida en la norma.
c) Auditoría principal:

Una vez se ha verificado que la organización cuenta con la documentación requerida, el

grupo de auditores hará una visita a la empresa para confirmar que ésta cumple con los
indicadores mínimos establecidos en la norma ISO 27001. Si no es así, se le dará un plazo
para aplicar los correctivos necesarios y volver a presentarse ante los auditores. Pero si la
respuesta es positiva, la empresa quedará certificada.

d) Revisiones periódicas:

Luego de que se ha emitido el certificado, la certificadora realizará durante los siguientes

tres años una serie de auditorías periódicas para monitorizar los esfuerzos de la
organización en materia de Seguridad de la Información. La idea es que los controles se
mantengan y no se minimicen los esfuerzos durante ese período. [9]
Factores que se deben de tomar en cuenta para hacer una estimación del costo de
la certificación ISO/IEC 27000

Es importante mencionar que el costo total de la certificación no se puede proporcionar de

inmediato, ya que el costo total de la implementación dependerá del tamaño de la
organización (o del tamaño de la(s) unidad(es) de negocio que se incluirá(n) dentro del
alcance de la norma ISO 27001), del grado crítico de la información (por ejemplo, la
información de los bancos se considera más crítica y requiere un nivel de protección mayor),
de la tecnología que utiliza la organización (por ejemplo, los centros de datos suelen tener
mayores costos debido a sus complejos sistemas) y de las disposiciones legales
(generalmente, los sectores públicos y financieros están muy controlados en relación con
la seguridad de la información).

Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección
necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará
qué medidas de seguridad necesita.

Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta
los siguientes costos:

1. Costo de publicaciones y de capacitación

La implementación de la norma ISO 27001 requiere cambios en su organización, y requiere

también nuevas capacidades. Usted puede preparar a sus empleados comprando diversos
libros sobre el tema y/o enviándolos a cursos (presenciales o en línea) de entre 1 y 5 días
de duración (consulte Cómo conocer más sobre las normas ISO 27001 y BS 25999-2).

Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia
me encuentro con empresas que están implementando la norma sin haberla visto
realmente.

2. Costo de asistencia externa

Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con

un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001
necesitará alguien que sí tenga ese conocimiento; para ello, puede contratar a un consultor
externo o puede optar por alguna alternativa en línea.
Lo más valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es
que usted no terminará en callejones sin salida; es decir, no se pasará meses y meses
realizando actividades que no son realmente necesarias o no trabajará con toneladas de
documentación no requerida por la norma. Y esto realmente cuesta.

Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la
implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus
empleados.

3. Costo de tecnología

Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no
necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca;
todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la
tecnología existente de forma más segura. Sin embargo, sí es necesario planificar este tipo
de inversiones si resultan necesarias.

4. Costo del tiempo de los empleados

La norma no se implementará sola, como tampoco podrá ser implementada solamente por
un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar
dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o
implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas
responsabilidades y para adaptarse a las nuevas normas.

5. Costo de la certificación

Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma
ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo
costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser
desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de
días/hombre para organizaciones más grandes. El costo del día/hombre depende del
mercado local.

Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001;
si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio,
si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo.
Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte
Cuatro beneficios clave de la implementación de la norma ISO 27001). [10]
Los beneficios de la seguridad de la información, especialmente la implementación de la
norma ISO 27001, son muchos. Pero, por experiencia, creo que estos cuatro son los más
importantes:

1. Cumplimiento

Puede resultar extraño mencionar este beneficio en primer lugar, pero, generalmente, es el
que demuestra el “rendimiento de la inversión” más rápidamente. Si una organización debe
cumplir con diversas normas sobre protección de datos, privacidad y control de TI
(especialmente si se trata de una organización financiera, de salud o gubernamental), la
norma ISO 27001 puede aportar la metodología que permita hacerlo de la manera más
eficiente.

2. Ventaja de comercialización

En un mercado cada vez más competitivo, a veces es muy difícil encontrar algo que lo
diferencie ante la percepción de sus clientes. La norma ISO 27001 puede ser un verdadero
punto a favor, especialmente si usted administra información sensible de sus clientes.

3. Disminución de gastos

Generalmente, se considera a la seguridad de la información como un costo sin una

ganancia financiera evidente. Sin embargo, hay una ganancia financiera si usted disminuye
los gastos ocasionados por incidentes. Probablemente sí se produzcan en su empresa
interrupciones de servicio o esporádicos filtrados de datos, o tengan empleados
descontentos. O ex empleados descontentos.

La verdad es que aún no existe una metodología ni tecnología que pueda calcular cuánto
dinero se puede ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a
la dirección sobre estos casos.

4. Ordenamiento de su negocio

Probablemente, éste sea el beneficio más subestimado; pero si su empresa ha tenido un

crecimiento continuo durante los últimos años, es posible que tenga problemas para
determinar quién decide qué cosas, quién es responsable de determinados activos de la
información, quién debe autorizar el acceso a los sistemas de información, etc.
La norma ISO 27001 es especialmente útil para resolver estas cuestiones: le obligará a
definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta
forma, ayudará a reforzar su organización interna.

Para finalizar, la norma ISO 27001 puede aportar muchos beneficios, además de ser sólo
otro certificado colgado en su pared. En la mayoría de los casos, si usted presenta esos
[11]
beneficios de forma clara, los directores comenzarán a prestarle atención.

Conclusión

Con los avances de la tecnología, es muy importante que las empresas protejan su
información, tanto para su beneficio como para garantizar la confianza de sus clientes; es
por ello que las empresas que apegan sus prácticas de seguridad de la información con un
estándar de la serie ISO 27000 (conjunto de estándares que proporcionan seguridad de
información para cualquier tipo de organización) pueden: asegurar sus activos críticos,
administrar los riesgos de forma efectiva, mantener la confianza del cliente, demostrar
conformidad con las mejores prácticas internacionales, evitar daños de marca, pérdida de
ganancias o posibles multas regulatorias, desarrollar su postura de seguridad de la
información junto con los desarrollos tecnológicos. Ya que la familia de normas ISO 27000
tiene gran alcance y es aplicable a empresas de todos los tamaños y en todos los sectores.
Referencias

[1](2018).ISO/IEC27000:2018. 2018, de iso Sitio web:

https://www.iso.org/obp/ui/es/#iso:std:iso-iec:27000:ed-5:v1:en

[2] (2012). El portal de ISO 27001 en español. 2018, de ISO 27000.es Sitio web:
http://www.iso27000.es/faqs.html#seccion2

[3] (2012). Destacados ISO 27000. 2018, de ISO 27000.es Sitio web:
http://www.iso27000.es/iso27000.html

[4] ISO 27000 y el conjunto de estándares de Seguridad de la Información. 2018, de intedya

Sitio web: http://www.intedya.com/internacional/757/noticia-iso-27000-y-el-conjunto-de-
estandares-de-seguridad-de-la-informacion.html

[5] (2011). Familia ISO 27000: Seguridad de la Información. 2018, de Logisman Sitio web:
http://www.custodia-documental.com/familia-iso-27000-seguridad-de-la-informacion/

[6] Héctor Acevedo Juárez. (2011). ISO-27001: ¿Qué es y para qué sirve? (parte 1) . 2018,
de magazcitum Sitio web:http://www.magazcitum.com.mx/?p=1574#.WrBMMZch3IU

[7] (2016). La evolución de las normas ISO en el mundo. 2018, de ISO Tools Sitio web:
https://www.isotools.org/2016/05/10/evolucion-mundial-normas-iso/

[8] Gestión de Seguridad de la Información ISO/IEC 27001 . 2018, de bsi. Sitio web:
https://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/

[9] (2015). Pasos para la certificación de la norma ISO 27001:2013. 2018, de ISO Tools
Sitio web: https://www.isotools.org/2015/12/16/pasos-para-la-certificacion-de-la-norma-iso-
270012013/

[10] (2011). ¿Cuánto cuesta la implementación de la norma ISO 27001?. 2018, de 27001
Academy Sitio web: https://advisera.com/27001academy/es/blog/2011/02/08/cuanto-
cuesta-la-implementacion-de-la-norma-iso-27001/

[11]Cuatro beneficios clave de la implementación de la norma ISO 27001. 2018, de 27001

Academy Sitio web: https://advisera.com/27001academy/es/knowledgebase/cuatro-
beneficios-clave-de-la-implementacion-de-la-norma-iso-27001/

[7] (2008), ISO27000, Recuperado de http: www.iso27000.es. IEU Online

http://www.iso27000.es/download/doc_iso27000_all.pdf