Actividad 3 Certificacin ISO/IEC 27000 en las empresas.

Ortega Martinez, Jose Hermilo.

INSTITUTO DE ESTUDIOS UNIVERSITARIOS

CAMPUS ONLINE
MAESTRIA EN DIRECCION DE INGENIERIA DE SOFTWARE

ASEGURAMIENTO DE CALIDAD DE SOFTWARE

Actividad 3 Certificacin ISO/IEC27000 en las

empresas

ALUMNO(A): JOSE HERMILO ORTEGA MARTINEZ

FACILITADOR: Dr. Daniel Perez Rojas
SAN BUENAVENTURA, COAHUILA, A lunes, 30 de enero de 2017.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 1
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

INDICE
INTRODUCCION ........................................................................................................................................ 3
DESARROLLO............................................................................................................................................ 4
TEMA 1: ISO/IEC 27000 ....................................................................................................................... 4
1.1.- ISO/IEC 27000 y SGSI ............................................................................................................. 4
1.2.- Serie ISO 27000 ........................................................................................................................ 7
TEMA 2: CERTIFICACION EN ISO/IEC 27000................................................................................. 9
2.1.- Pasos para la certificacin ....................................................................................................... 9
2.2.- Costos de la certificacin ....................................................................................................... 11
2.3.- ISO / IEC 27001 en Mxico ................................................................................................... 12
2.4.- Factores de xito y fracaso de la ISO .................................................................................. 12
CONCLUSION .......................................................................................................................................... 13
FUENTES DE INFORMACION .............................................................................................................. 14

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 2
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

INTRODUCCION

Uno de los activos ms importantes con los que puede contar una empresa u
organizacin es La informacin, la cual por su alto grado de importancia debe ser
cuidada por estndares y normas de seguridad que garanticen que dicho activo no sea
de fcil acceso por muchos factores.

La Organizacin Internacional de Estandarizacin (ISO) en conjunto con la Comisin

Electrnica Internacional (IEC) prepararon un conjunto ISO/IEC JTC1 el cual preparo la
ISO/IEC 27001 con el objetivo de establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI).

En el presente ensayo se describen las definiciones principales de este estndar as

como el proceso a seguir para poder acreditar dicha certificacin, adems, se presenta
un panorama general de cmo se encuentra Mxico con respecto a dicha norma.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 3
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

DESARROLLO

TEMA 1: ISO/IEC 27000

1.1.- ISO/IEC 27000 y SGSI

La norma ISO/IEC 27000 es un conjunto de estndares que proporcionan un

marco de gestin de la seguridad de la informacin. (ISO/IEC 27001:2005). La norma
27001 nace en 2005 con base a la norma BS 7799-2 desarrollada por la BSI (British
Standards Institucin, La organizacin britnica), teniendo como objetivo principal el
anlisis y gestin de riesgos.

La ISO/IEC 27001 certifica los Sistemas de Gestin de Seguridad de la Informacin

(SGSI) de una organizacin, permitiendo que una organizacin se alinee a los
estndares de seguridad internacional. Toda organizacin puede ser estandarizada con
esta ISO ya que toda organizacin cuenta con informacin que puede ser de vital
importancia para ella, es por eso que ya sea una pequea, mediana o gran empresa,
puede ser objeto de auditoria para su certificacin.

La organizacin, debe establecer, implementar, operar, monitorear, mantener y mejorar

continuamente un SGSI documentado correctamente con el cual se pueda llevar a cabo
un proceso de auditoria con el que en base a controles e indicadores se pueda saber en
qu estatus se encuentra la organizacin. El SGSI es el concepto principal sobre el que
se construye la ISO 27001.

El proceso para poder establecer y manejar el SGCI en una organizacin puede ser un
tanto largo ya que se deben realizar una serie de actividades como
1. Definicin de alcances y lmites
2. Definicin de polticas
3. Definir el enfoque de valuacin de riesgos

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 4
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

4. Identificacin de riesgos
5. Anlisis y evaluacin de riesgos
6. Identificar y evaluar opciones de tratamientos de riesgos
7. Seleccionar objetivos y controles de riesgos
8. Aprobaciones de gerencia para riesgos residuales
9. Autorizacin de gerencia para implementacin del SGSI
10. Preparacin de aplicacin

Posteriormente, la implementacin y operacin del SGSI consta de 8 pasos como lo

son:
1. Formular plan de tratamiento de riesgos
2. Implementar plan de tratamiento de riesgos
3. Implementar controles para tratamiento de riesgos
4. Definir efectividad de controles de medicin
5. Implementacin de programas de capacitacin y concientizacin
6. Manejo de operaciones de SGSI
7. Manejo de recursos del SGSI
8. Implementacin de procesos y controles de respuesta a incidentes de seguridad.

Todo esto hablando solo del proceso inicial como lo es el establecimiento, manejo,
implementacin y operacin, sin olvidar que aunado a esto deben existir una serie de
puntos enfocados al mantenimiento, revisin, mantenimiento y mejoras del SGSI los
cuales pueden ser consultados en el documento didctico del Estandar internacional
ISO/IEC 27001.

Todo lo anterior est basado en el ciclo continuo PDCA (Plan, Do, Check, Act)
frecuente y tradicional de los sistemas de gestin de calidad.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 5
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

Grafica 1: Ciclo contino PDCA

Fuente: www.ISO27000.es

En la ISO/IEC 27001 existen una serie de aspectos o factores claves que determinan el
buen funcionamiento de la norma como tal, estos factores son:
- Correcta implementacin del SGSI en la organizacin
- Compromiso
- Definiciones claras de conceptos
- Polticas y normas bien establecidas
- Buena comunicacin entre el personal

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 6
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

1.2.- Serie ISO 27000

La ISO 27001 es una de las muchas que conforman la ISO 27000 como se
puede observar en la siguiente tabla:

Tabla 1.- Estndares que conforman la ISO 27000

ISO Fase Caractersticas
27000 En desarrollo Contiene todos los trminos y definiciones de la
norma
27001 15 de Octubre de 2005 Requisitos necesarios para el SGSI
Sustituye a la norma BS 7799-2
Es opcional, no obligatoria
27002 1 de Julio de 2007 Gua de buenas practicas
No es certificable
Contiene 39 objetivos de control y 133 controles en
11 dominios
27003 En desarrollo Gua de implementacin de SGSI
Informacin del uso del modelo PDCA
27004 En desarrollo Especifica mtricas y tcnicas de medida para
eficacia SGSI
27005 4 de Junio de 2008 Directrices para la gestin del riesgo en la
seguridad de la informacin
Ayudar a la aplicacin satisfactoria de la seguridad
El conocimiento de ISO 27001 e ISO 27002 es
importante
27006 13 de Febrero de 2007 Requisitos para la acreditacin de entidades de
auditoria y certificacin de sistemas de SGSI
Ayuda a interpretar criterios de acreditacin de ISO
/ IEC 17021

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 7
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

27007 En desarrollo Gua de auditoria de un SGSI

27011 En desarrollo Gua de gestin de seguridad para
telecomunicaciones
27031 En desarrollo Gua de continuidad de negocio de TICs
27032 En desarrollo Gua a la ciber seguridad
27033 En desarrollo Consiste en 7 partes:
- Seguridad de redes
- Arquitectura de redes
- Escenarios de red
- Aseguramiento por gateways
- Accesos remotos
- Aseguramiento mediante VPNs
- Diseo e implementacin de redes
27034 En desarrollo Gua de seguridad en aplicaciones
27799 12 de Junio de 2008 Gestin de seguridad de la informacin en el sector
sanitario
Fuente: www.iso27000.es

Si bien muchas de estas normas que conforman la ISO 27000 an se encuentran en

proceso de desarrollo por lo complejas que pueden ser sus caractersticas, son normas
que muy bien harn una vez publicadas oficialmente ya que con estas se busca cubrir
todos los puntos importantes en las diferentes ramas de las telecomunicaciones.
Adems, se busca el poder contar con mayores estndares de seguridad que puedan
dar garanta de que los productos o servicios estn siendo bien cuidados hablando de
seguridad.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 8
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

TEMA 2: CERTIFICACION EN ISO/IEC 27000

2.1.- Pasos para la certificacin

Cuando de una certificacin ISO hablamos, estamos hablando de que existir un

proceso quiz largo pero confiable en el que las empresas deben buscar cubrir todos
los huecos que pudieran existir en todos sus procedimientos o polticas con las que
cuenta. Certificarse ante un ISO / IEC 27000 es quiz un sinnimo de que la
informacin de una empresa u organizacin est siendo bien administrada y cuidada de
toda amenaza o riesgo latente que pudiera existir.

Viendo el proceso de manera simple se puede decir que en el proceso existirn 3

pasos:
1. Pre-auditoria: Servicio previo (Opcional) que puede ser realizado por personal
interno o externo con el fin de tener un panorama general de la auditoria formal
posterior a realizar.
2. Auditoria formal: Proceso dividido en 2 etapas entre los cuales primero se
revisa la preparacin de una organizacin y posteriormente se evala la
implementacin de los procedimientos del control de SGSI.
3. Certificacin: En el mejor de los casos una vez certificada una empresa u
organizacin se tiene un periodo de validez de tres aos en el cual ser la
empresa visitada peridicamente para monitorizar lo antes analizado y evaluado.

Aunque este proceso parezca fcil y sin tanta complicacin, lo cierto es que todo
depende del nivel organizacional y administrativo en el que se encuentre una empresa,
ya que, si bien una empresa puede contar con una buena administracin y gestin de
sus procesos con lo cual pueda tener menores complicaciones en el proceso de
certificacin, otras empresas ya sea pequeas o grandes pueden llegar a invertir
grandes cantidades de dinero si no se lleg a tener desde un principio un buen control
de todos los procesos de seguridad, lo cual implica a procesos ms largos y costos
para la empresa en proceso de certificacin.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 9
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

La pgina oficial de la ISO27000 proporciona el siguiente diagrama de flujo en el cual

se puede observar con un tanto ms de detalle todo el proceso de certificacin entre los
que se puede visualizar los 3 puntos antes mencionados as como otros puntos que a
pesar de no haber sido mencionados anteriormente son de igual o mayor importancia.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 10
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

2.2.- Costos de la certificacin

Una de las preguntas ms detonantes en temas de certificacin es el Cunto

cuesta una certificacin?, pregunta que muchas veces es muy subjetiva ya que no solo
es cuestin de comprar un producto que puedas encontrar en una empresa u
organizacin, el costo vara mucho debido a existen muchos costos relacionados a una
certificacin como lo pueden ser:
1. Costos de publicaciones y capacitacin: Implementar una norma ISO siempre
requerir cambios en la organizacin por ms mnimos que se necesiten, es por
eso que estos costos son muchas veces incalculables por la variacin de la
necesidad empresarial
2. Costos de asistencia externa: Ya sea tanto en capacitacin, personal nuevo,
entre otras personas que pudieran ser necesarias, estos costos tambin son muy
variables.
3. Costos de tecnologa: Cuando hablamos de seguridad de datos e informacin
hablamos de inversiones de equipos con mejoras en sus caractersticas de
seguridad o bien servicios o software de control y administracin de la seguridad.
4. Costos del tiempo de los empleados: Esto implica no solo tiempo de
consultores internos y externos, implica tambin tiempo en que personal
asociado a los procesos se acostumbren y apliquen todas las adecuaciones
pertinentes.
5. Costos de certificacin: Este costo depende mucho del tamao de la empresa
as como horas que se ocuparan de personal interno o externo, vara mucho
tambin por el rea, pas entre otros factores que vienen a tener una variacin
considerable para cada organizacin.

Como se puede observar, considerando los 5 puntos anteriores se puede llegar a tener
un panorama muy general de costos a considerar para la certificacin, ya depende de
cada empresa en que enfatizar ms y en que escatimar menos.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 11
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

2.3.- ISO / IEC 27001 en Mxico

Mxico ha sido un pas que con el paso de los aos ha venido apostando mucho
por las nuevas tecnologas, ya sea en esta como en otras normas y certificaciones, las
empresas y organizaciones en Mxico cada vez hacen que las empresas de talla
internacional pongan los ojos sobre este pas al poder contar con una cantidad ao con
ao mayor que den garanta de que son empresas que realizan servicios de calidad
bajo normas y estndares que acrediten dichas cualidades.

De acuerdo a la pgina oficial de ISO, desde el ao 2006 hasta el ao 2015, Mxico

cuenta con 104 certificaciones y 119 sitios cubiertos por la certificacin 27001.

Tabla 2: Sitios cubiertos en Mxico

Pas 2007 2008 2009 2010 2011 2012 2013 2014 2015
Mxico 5 16 14 18 30 97 32 93 119
Fuente: www.iso.org

A pesar de tener altas y bajas, Mxico ha podido sobrellevar esas pequeas bajas que
ha tenido, incrementando en un nmero considerable sus certificaciones estando
posicionado entre los primeros 20 pases con ms certificaciones.

2.4.- Factores de xito y fracaso de la ISO

El factor ms importante del xito es la concientizacin del empleado por la

seguridad, si bien la seguridad absoluta no existe, se trata de reducir el riesgo a niveles
asumibles.
Los factores de fracaso tambin existen como lo puede ser el exceso de tiempos,
costos, la desmotivacin del personal, resistencia al cambio, planeacin inadecuada,
definiciones poco claras, falta de comunicacin

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 12
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

CONCLUSION

Ser una empresa con una certificacin internacional es un indicador de ser una
empresa completamente comprometida con sus valores, objetivos y metas. Poder
contar con una certificacin ISO / IEC 27001 puede dar un la confianza que muchas
empresas podran buscar de una empresa comprometida con la seguridad de la
informacin, activo intangible y fundamental para toda organizacin.

Poder contar con controles, normas y estndares de seguridad es de mucha ayuda

para una organizacin pero lo que es importante tambin destacar y no olvidar es que,
si bien todo esto ayudara, todo puede venirse abajo por un empleado mal capacitado o
poco comprometido con su trabajo y con el seguimiento de todo lo anterior mencionado,
es por eso que toda organizacin deber enfocarse no solo en tener procedimientos y
polticas, sino tambin tener empleados que estn altamente comprometidos y
capacitados para llevar acabo todo lo anterior.

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 13
 Actividad 3 Certificacin ISO/IEC 27000 en las empresas.
Ortega Martinez, Jose Hermilo.

FUENTES DE INFORMACION

1. Corletti, E. A. (2007)
2. ISO 27000 (2008)
3. Estandar internacional (2005)
4. Fernandez, C.M. (2012)
5. Iso 27000 (2005).- http://www.iso27000.es/download/doc_sgsi_all.pdf
6. Slideshare (2013).- http://es.slideshare.net/mariamervi/iso-27000-estandar
7. Iso 27000 (2005).- http://www.iso27000.es/sgsi_implantar.html
8. Iso (2015).- http://www.iso.org/iso/iso-survey
9. Iso (2015).- http://www.iso.org/iso/iso_27001_iso_survey2015.xls
10. Iso 27000 (2005).- http://iso27000.es/certificacion.html
11. bsigroup (2017).- https://www.bsigroup.com/es-MX/seguridad-dela-informacion-
ISOIEC-27001/certificacion-ISO-27001/
12. isotools (2015).- https://www.isotools.org/2015/12/16/pasos-para-la-certificacion-
de-la-norma-iso-270012013/
13. seguinfo (2010).- https://seguinfo.wordpress.com/2010/07/24/proceso-de-
certificacion-sgsi-iso-27000/
14. irqamexico (2016).- http://www.lrqamexico.com/certificaciones/iso-iec-27001-
Seguridad-Informacion/
15. nyce (2015).- https://www.nyce.org.mx/wp-content/uploads/2015/10/Empresas-
Certificadas-27K-27102015.pdf
16. Youtube (2008).- http://www.youtube.com/intecocert
17. Advisera (2011).-
https://advisera.com/27001academy/es/blog/2011/02/08/cuanto-cuesta-la-
implementacion-de-la-norma-iso-27001/
18. Advisera ().- https://advisera.com/27001academy/es/precios/
19. Bsigroup ().- https://www.bsigroup.com/es-MX/seguridad-dela-informacion-
ISOIEC-27001/ISO27001-para-pymes/

IEU campus Online. Maestra en Direccin de Ingeniera de Software

Aseguramiento de calidad de software. Enero de 2017. Pg. 14