Escolar Documentos
Profissional Documentos
Cultura Documentos
ISSN: 0122-1701
scientia@utp.edu.co
Universidad Tecnológica de Pereira
Colombia
LADINO A., MARTHA ISABEL; VILLA S., PAULA ANDREA; LÓPEZ E., ANA MARÍA
FUNDAMENTOS DE ISO 27001 Y SU APLICACIÓN EN LAS EMPRESAS
Scientia Et Technica, vol. XVII, núm. 47, abril, 2011, pp. 334-339
Universidad Tecnológica de Pereira
Pereira, Colombia
consultoría a empresas de seguridad informática, dice que interesadas, y a través de las acciones y procesos
en el 2008 habían 9 millones de Software malicioso en el necesarios produce resultados de seguridad de la
mundo. En el 2009 la empresa registraba 22 millones, información que cumplen estas expectativas.
sólo de esta amenaza” [1].Con este panorama las La siguiente figura muestra los puntos y a qué etapa del
empresas deben diseñar e implantar estrategias que les proceso pertenece cada uno:
permita mejorar la seguridad de la información en su
organización.
cuidarse como tal. Los registros de la organización gestión y como preparación a la auditoría de
ya sea del negocio o relacionados con el sistema de certificación. Auditor de cliente (de segunda parte),
seguridad deben cumplir con las propiedades audita una organización en nombre de un cliente de ésta.
fundamentales: confidencialidad, integridad y Finalmente está el auditor independiente (de tercera
disponibilidad. parte), que audita una organización como tercera parte
imparcial; normalmente, porque la organización tiene la
Protección de datos personales: hacen parte de la intención de lograr la certificación.
información de la organización y por ello deben ser
protegidos. El auditor, sobre todo si actúa como de tercera parte, ha
de disponer también de una certificación personal. Esto
Derechos de propiedad intelectual: contar con las quiere decir que, nuevamente un tercero, certifica que
licencias y/o permisos para el uso de software en la posee las competencias profesionales y personales
organización. necesarias para desempeñar la labor de auditoría de la
materia para la que está certificado.
Después que se ha implantado el SGSI en la
organización, ésta solicita la auditoría a la empresa El proceso de certificación es largo, complejo y costoso,
certificadora, la cual se realiza en varias fases: por lo que algunas empresas no pueden realizarlo. Sin
embargo pueden aplicar algunos puntos claves para
Pre-auditoría: es opcional, ayuda a recoger lograr un buen nivel de seguridad. Aunque el término
información sobre el estado de la organización antes buen nivel es subjetivo, sobre todo por el
de la auditoría real. desconocimiento del impacto negativo que pueda traer un
Fase 1 de la auditoría: análisis de la documentación riesgo que se materializa.
por parte del Auditor Jefe y la preparación del
informe de la documentación básica del SGSI del
cliente, destacando los posibles incumplimientos de Algunas recomendaciones que deben tenerse en cuenta al
la norma que se verificarán en la Fase 2. Este momento de implementar un sistema de seguridad en la
informe se envía junto al plan de auditoría al cliente. organización son las siguientes:
El periodo máximo entre la Fase 1 y Fase 2 es de 6
meses. La primera de ellas y tal vez la más importante, es el
Fase 2 de la auditoría: es la fase de detalle de la conocimiento de los altos directivos de lo que puede
auditoría, en la que se revisan las políticas, la suceder si no se implementa el sistema de gestión de
implantación de los controles de seguridad y la seguridad de la información. A la alta dirección debe
eficacia del sistema en su conjunto. Se realiza una hablársele en términos del negocio, es decir,
revisión de las exclusiones según la Declaración de demostrar las pérdidas económicas, que pueden
Aplicabilidad (documento SOA), de los hallazgos de tenerse en caso de no contar con un SGSI. De esta
la Fase 1, de la implantación de políticas, tarea puede encargarse el jefe del área de sistemas de
procedimientos y controles y de todos aquellos la organización.
puntos que el auditor considere de interés. El
resultado es el informe de auditoría. Se debe realizar una identificación de los activos
Certificación: en el caso de que se descubran durante relacionados con la información, desde los equipos
la auditoría no conformidades graves, la que la soportan hasta las aplicaciones para su uso y
organización deberá implantar acciones correctivas; la información misma. Después identificar los más
una vez verificada dicha implantación o en el caso de críticos para la compañía y con base en estos
no haberse presentado inconformidades, el auditor empezar la tarea de diseño e implementación del
podrá emitir un informe favorable y el SGSI de SGSI.
organización será certificado según ISO 27001. [6]
Cuando las directivas de la organización tiene claro
Después de obtener la certificación debe hacerse un la necesidad de implantar un SGSI y han identificado
seguimiento, y realizar auditorías semestrales o anuales los componentes críticos entre los activos, debe
para verificar que el SGSI si se usa en la organización. La fomentarse una cultura de seguridad con todos los
certificación debe renovarse cada tres años realizando miembros de la organización para minimizar los
nuevamente todo el proceso de auditoría. riesgos por desconocimiento. Se debe tener en
cuenta que plasmar en un papel algunas normas de
El auditor es la persona que comprueba que el SGSI de seguridad no crean una cultura, es un proceso que
una organización se ha diseñado, implementado, debe realizarse de manera constante, ya que para
verificado y mejorado conforme a lo detallado en la generar cultura es necesario crear conciencia del
norma. En general, hay tres clases de auditores: auditor cambio.
interno (de primera parte), pertenece a la organización,
realiza auditorías como mantenimiento del sistema de
337 Scientia et Technica Año XVII, No 47, Abril de 2011. Universidad Tecnológica de Pereira.
[1]http://www.vanguardia.com/archivo/48183-seguridad-
[13] Andrés Ricardo Almanza Junco Ms(c).Convergencia
informatica-en-2010
de la seguridad
[2]http://www.acis.org.co/fileadmin/Revista_110/05inves
tigacion1.pdf
http://www.acis.org.co/fileadmin/Revista_101/investigaci
on.pdf
[5]http://www.iso27000.es/certificacion.html#section5b
[6]http://www.business-intelligent.com/iso27000.pdf