Sistema de Gestin de la Seguridad de la Informacin

El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el

concepto sobre el que se construye ISO 27001.
La gestin de la seguridad de la informacin debe realizarse mediante un
proceso sistemtico, documentado y conocido por toda la
organizacin.
Este proceso es el que constituye un SGSI, que podra considerarse, por
analoga con una norma tan conocida como la ISO 9001, como el sistema de
calidad para la seguridad de la informacin.
Garantizar un nivel de proteccin total es imposible incluso en el caso de
disponer de un presupuesto ilimitado.
El propsito de un sistema de gestin de la seguridad de la
informacin es, por tanto, garantizar que los riesgos de la seguridad
de la informacin
son conocidos,
asumidos,
gestionados
y minimizados por la organizacin de una forma documentada,
sistemtica, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologas.

Qu es un SGSI?
SGSI es la abreviatura comnmente utilizada para referirse a un
Sistema de Gestin de la Seguridad de la Informacin.
ISMS son las siglas equivalentes en el idioma ingls y en relacin a Information
Security Management System.
Por informacin
se entiende toda aquella documentacin en poder de una organizacin e
independientemente de la forma en que se guarde o transmita (escrita,
representada mediante diagramas o impresa en papel, almacenada
electrnicamente, proyectada en imgenes, enviada por fax o correo, o,
incluso, transmitida de forma oral en una conversacin presencial o telefnica),
de su origen (de la propia organizacin o de fuentes externas) y de la fecha de
elaboracin.

La seguridad de la informacin:
consiste en la preservacin de su confidencialidad, integridad y
disponibilidad, as como de los sistemas implicados en su tratamiento, dentro
de una organizacin.
As pues, estos tres trminos constituyen la base sobre la que se cimienta todo
el edificio de la seguridad de la informacin:

Confidencialidad: acceso a la informacin por parte nicamente de

quienes estn autorizados.

Integridad: mantenimiento de la exactitud y completitud de la

informacin y sus mtodos de proceso.

Disponibilidad: Acceso a la informacin y los sistemas de tratamiento de

la misma por parte de los usuarios autorizados cuando lo requieran.
Para garantizar que la seguridad de la informacin es gestionada
correctamente, se debe hacer uso de un proceso sistemtico, documentado y
conocido por toda la organizacin.
Este proceso es el que constituye un SGSI, que podra considerarse, por
analoga con una norma tan conocida como la ISO 9001, como el sistema de
calidad de la seguridad de la informacin.
Para qu sirve un SGSI?
La informacin, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organizacin.
La confidencialidad, integridad y disponibilidad de informacin sensible pueden
llegar a ser esenciales para mantener los niveles de competitividad,

rentabilidad, conformidad legal e imagen empresarial necesarios para lograr

los objetivos de la organizacin y asegurar beneficios econmicos.
Las organizaciones y sus sistemas de informacin estn expuestos a un
nmero cada vez ms elevado de amenazas que pueden aprovechar
cualquiera de las vulnerabilidades existentes en la organizacin para someter
activos crticos de informacin a diversas formas de fraude, espionaje,
sabotaje o vandalismo.
Los virus informticos, el hacking o los ataques de denegacin de
servicio son algunos ejemplos comunes y conocidos por su elevado nivel de
sofisticacin, pero tambin se deben considerar los riesgos a sufrir incidentes
de seguridad causados voluntaria o involuntariamente desde dentro de
la propia organizacin o aqullos provocados accidentalmente por catstrofes
naturales.
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
condiciones variables del entorno, la proteccin adecuada de los objetivos de
negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio son algunos de los aspectos fundamentales en los
que un SGSI significa una herramienta definitiva para su consecucin en las
organizaciones y de importante ayuda para la gestin de las mismas.

El nivel de seguridad alcanzado por medios tcnicos demuestra ser

invariablemente limitado e insuficiente por s mismo.
En la gestin efectiva de la seguridad debe tomar parte activa toda la
organizacin con la direccin al frente y se debe considerar, adicionalmente, a
clientes y proveedores de bienes y servicios.

El modelo de gestin de la seguridad debe contemplar unos procedimientos

adecuados y la planificacin e implantacin de controles de seguridad basadas
en una evaluacin de riesgos y una medicin de la eficacia de los mismos.
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a
establecer estas polticas y procedimientos en relacin a los objetivos propios y
de negocio de la organizacin, con objeto de mantener un nivel de exposicin
siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est
sometida su informacin y los asume, minimiza, transfiere o controla
mediante una sistemtica definida, documentada y conocida por
todos, que se revisa y actualiza constantemente.
Qu incluye un SGSI?
Un Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001
est formado por una serie de documentos que pueden clasificarse en una
pirmide de cuatro niveles.

La documentacin debe incluir los registros de las decisiones de la

direccin, asegurar que se puedan seguir los indicios de las decisiones de la
direccin y las polticas, as como permitir que los resultados registrados sean
reproducibles.
Una demostracin clsica que suele solicitarse por los auditores es la
realizacin del camino inverso, es decir, partiendo desde los controles
seleccionados se observan los resultados del proceso de evaluacin y
tratamiento del riesgo hasta alcanzar la poltica del SGSI y los objetivos
iniciales.

La documentacin de un SGSI deber incluir:

Documentos de Nivel 1
Forman el manual de seguridad. Son los siguientes:

Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI.

Se debe incluir una identificacin clara de las dependencias, relaciones y

lmites que existen entre el alcance y aquellas partes que no hayan sido
consideradas, prestando especial atencin en aquellos casos en los que el
mbito de influencia del SGSI considere una parte menor de la organizacin
como delegaciones, divisiones, reas, procesos o tareas concretas.

Poltica y objetivos de seguridad:

documento de contenido genrico que establece el compromiso de la

direccin y el enfoque de la organizacin en la gestin de la seguridad de la
informacin.

Metodologa de evaluacin de riesgos:

descripcin de cmo se realizar la evaluacin de las amenazas,

vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los
activos de informacin contenidos dentro del alcance seleccionado.

Informe de evaluacin de riesgos:

estudio resultante de aplicar la metodologa de evaluacin anteriormente

mencionada.

Plan de tratamiento del riesgo:

documento que define las acciones para reducir, prevenir, transferir o asumir
los riesgos de seguridad de la informacin e implantar los controles necesarios
para proteger la misma.

Declaracin de aplicabilidad

(SOA -Statement of Applicability-, en sus siglas inglesas): documento que

contiene los objetivos de control y los controles contemplados por el SGSI,
basado en los resultados de los procesos de evaluacin y tratamiento de
riesgos, justificando inclusiones y exclusiones.

Procedimientos relativos al nivel 1:

procedimientos que regulan cmo se realizan, gestionan y mantienen los

documentos enumerados en el nivel 1.
Documentos de Nivel 2
Procedimientos: documentos que aseguran que se realicen de forma eficaz la
planificacin, operacin y control de los procesos de seguridad de la
informacin y describen cmo medir la efectividad de los controles.
Documentos de Nivel 3
Instrucciones, checklists y formularios:
documentos que describen cmo se realizan las tareas y las actividades
especficas relacionadas con la seguridad de la informacin.
Documentos de Nivel 4.

Registros:
documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; estn asociados a documentos de los otros tres niveles
como output que demuestra que se ha cumplido lo indicado en los mismos.
Control de la documentacin.
Para los documentos generados se debe establecer, documentar, implantar y
mantener un procedimiento que defina las acciones de gestin necesarias
para:

Aprobar documentos apropiados antes de su emisin.

Revisar y actualizar documentos cuando sea necesario y renovar su

validez.

Garantizar que los cambios y el estado actual de revisin de los

documentos estn identificados.

Garantizar que las versiones relevantes de documentos vigentes estn

disponibles en los lugares de empleo.

Garantizar que los documentos se mantienen legibles y fcilmente

identificables.

Garantizar que los documentos permanecen disponibles para aquellas

personas que los necesiten y que son transmitidos, almacenados y finalmente
desechados acorde con los procedimientos aplicables segn su clasificacin.

Garantizar que los documentos procedentes del exterior estn

identificados.

Garantizar que la distribucin de documentos est controlada.

Prevenir la utilizacin de documentos obsoletos

Aplicar la identificacin apropiada de documentos si son retenidos por

algn propsito.

Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la
Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestin de la calidad.

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

Definir el alcance del SGSI en trminos del negocio, la organizacin, su

localizacin, activos y tecnologas, incluyendo detalles y justificacin de

cualquier exclusin.

Definir una poltica de seguridad que:

incluya el marco general y los objetivos de seguridad de la informacin de

la organizacin;

considere requerimientos legales o contractuales relativos a la seguridad

de la informacin;

est alineada con el contexto estratgico de gestin de riesgos de la

organizacin en el que se establecer y mantendr el SGSI;

establezca los criterios con los que se va a evaluar el riesgo;

est aprobada por la direccin.

Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y

los requerimientos del negocio que especifique los niveles de riesgo aceptables
y unos criterios de aceptacin de los riesgos.
Lo primordial de esta metodologa es que los resultados obtenidos sean
comparables y reproducibles. (Existen distintas metodologas para la
evaluacin de riesgos y se pueden encontrar algunos ejemplos en la gua para
la gestin de la seguridad ISO 13335-3.)

Identificar los riesgos:

identificar los activos que estn dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;

Identificar las amenazas en relacin a los activos;

Identificar las vulnerabilidades que puedan ser aprovechadas por dichas

amenazas;

Identificar los impactos en la confidencialidad, integridad y disponibilidad

de los activos.

Analizar y evaluar los riesgos:

evaluar el impacto en el negocio de la organizacin de un fallo de

seguridad que suponga la prdida de confidencialidad, integridad o
disponibilidad de un activo de informacin;

evaluar de forma realista la probabilidad de ocurrencia de un fallo de

seguridad en relacin a las amenazas, vulnerabilidades, impactos en los
activos y los controles que ya estn implementados;

estimar los niveles de riesgo;

determinar, segn los criterios de aceptacin de riesgo previamente

establecidos, si el riesgo es aceptable o necesita ser tratado.

Identificar y evaluar las distintas opciones de tratamiento de los riesgos

para:

aplicar controles adecuados;

aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y

criterios establecidos para la aceptacin de los riesgos;

evitar el riesgo, por ej. mediante el cese de las actividades que lo originan;

transferir el riesgosa terceros, por ej. aseguradoras o proveedores.

Seleccionar los objetivos de control y los controles

del Anexo A de la norma ISO 27001 para el tratamiento del riesgo y que
cumplan con los requerimientos identificados en el proceso de evaluacin y
tratamiento del riesgo.

Aprobar por parte de la direccin tanto los riesgos residuales

como la implantacin y uso del SGSI.

Definir una declaracin de aplicabilidad que incluya:

los objetivos de control y controles seleccionados y los motivos para su

eleccin;

los objetivos de control y controles que actualmente ya estn implantados;

los objetivos de control y controles del Anexo A excluidos y los motivos

para su exclusin. Este es un mecanismo que permite, adems, detectar
posibles omisiones involuntarias.
En relacin a los controles de seguridad, el estndar ISO/IEC 17799
proporciona una completa gua de implantacin que contiene 133 controles,
segn 39 objetivos de control agrupados en 11 clusulas.
El estndar ISO 27001 referencia en su segunda clusula a la gua ISO/IEC
17799 en trminos de documento indispensable para la aplicacin de este
documento y deja abierta la posibilidad de incluir controles adicionales en el
caso que la gua no contemplase ciertas necesidades particulares.
Do: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones,

recursos, responsabilidades y prioridades en la gestin de los riesgos de
seguridad de la informacin.

Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los

objetivos de control identificados y que incluya la financiacin, la asignacin de
roles y responsabilidades.

Implementar los controles anteriormente seleccionados que lleven a los

objetivos de control.

Definir un sistema de mtricas que permita obtener resultados

reproducibles y comparables para medir la eficacia de los controles
seleccionados.

Procurar programas de formacin y concienciacin en relacin a la

seguridad de la informacin dirigidos a todo el personal.

Gestionar las operaciones del SGSI.

Gestionar los recursos necesarios asignados al SGSI para el mantenimiento

de la seguridad de la informacin.

Implantar procedimientos y controles que permitan una rpida deteccin y

respuesta a los incidentes de seguridad.

Check: Monitorizar y revisar el SGSI

La organizacin deber:

Ejecutar procedimientos de monitorizacin y revisin para:

la deteccin temprana de errores en los resultados generados por los

procesos;

la identificacin temprana de brechas e incidentes de seguridad;

capacitar a la direccin para determinar si las actividades desarrolladas

por las personas y dispositivos tecnolgicos para garantizar la seguridad de la
informacin se desarrollan en relacin a lo previsto;

detectar y prevenir eventos e incidentes de seguridad mediante el uso de

indicadores;

determinar si las acciones realizadas para resolver brechas de seguridad

fueron efectivas.

Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento

de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad,
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.

Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.

Revisar regularmente en intervalos planificados las evaluaciones de riesgo,

los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organizacin, la tecnologa, los
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de
los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.-.

Realizar peridicamente auditoras internas del SGSI en intervalos

planificados.

Revisar el SGSI por parte de la direccin peridicamente para garantizar

que el alcance definido sigue siendo el adecuado y que las mejoras en el
proceso del SGSI son evidentes.

Actualizar los planes de seguridad en funcin de las conclusiones y nuevos

hallazgos encontrados durante las actividades de monitorizacin y revisin.

Registrar acciones y eventos que puedan haber impactado sobre la

efectividad o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI
La organizacin deber regularmente:

Implantar en el SGSI las mejoras identificadas.

Realizar las acciones preventivas y correctivas adecuadas en relacin a la

clasula 8 de la norma ISO 27001 y a las lecciones aprendidas de las
experiencias propias y de otras organizaciones.

Comunicar las acciones y mejoras a todas las partes interesadas con el

nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva
de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Qu tareas tiene la Gerencia en un SGSI?
Uno de los componentes primordiales en la implantacin exitosa de un
sistema de gestin de seguridad de la informacin es la implicacin de
la direccin.
No se trata de una expresin retrica, sino que debe asumirse desde un
principio que un SGSI afecta fundamentalmente a la gestin del negocio y
requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia
de la organizacin.
No se debe caer en el error de considerar un SGSI una mera cuestin tcnica
relegada a niveles inferiores del organigrama; se estn gestionando riesgos e
impactos de negocio que son responsabilidad y decisin de la direccin.
El trmino Direccin debe contemplarse siempre desde el punto de vista del
alcance del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la
parte de la organizacin afectada por el SGSI (recurdese que el alcance no
tiene por qu ser toda la organizacin).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a
la direccin se detallan en los siguientes puntos.
Compromiso de la direccin
La direccin de la organizacin debe comprometerse con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora
del SGSI. Para ello, debe tomar las siguientes iniciativas:

Establecer una poltica de seguridad de la informacin.

Asegurarse de que se establecen objetivos y planes del SGSI.

Establecer roles y responsabilidades de seguridad de la informacin.

Comunicar a la organizacin tanto la importancia de lograr los objetivos de

seguridad de la informacin y de cumplir con la poltica de seguridad, como sus
responsabilidades legales y la necesidad de mejora continua.

Asignar suficientes recursos al SGSI en todas sus fases.

Decidir los criterios de aceptacin de riesgos y sus correspondientes

niveles.

Asegurar que se realizan auditoras internas.

Realizar revisiones del SGSI, como se detalla ms adelante.

Asignacin de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es
imprescindible la asignacin de recursos. Es responsabilidad de la direccin

garantizar que se asignan los suficientes para:

Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar

el SGSI.

Garantizar que los procedimientos de seguridad de la informacin apoyan

los requerimientos de negocio.

Identificar y tratar todos los requerimientos legales y normativos, as como

las obligaciones contractuales de seguridad.

Aplicar correctamente todos los controles implementados, manteniendo de

esa forma la seguridad adecuada.

Realizar revisiones cuando sea necesario y actuar adecuadamente segn

los resultados de las mismas.

Mejorar la eficacia del SGSI donde sea necesario.

Formacin y concienciacin
La formacin y la concienciacin en seguridad de la informacin son elementos
bsicos para el xito de un SGSI. Por ello, la direccin debe asegurar que todo
el personal de la organizacin al que se le asignen responsabilidades definidas
en el SGSI est suficientemente capacitado y se

determinen las competencias necesarias para el personal que realiza

tareas en aplicacin del SGSI,

satisfagan dichas necesidades por medio de formacin o de otras acciones

como, p. ej., contratacin de personal ya formado,

evale la eficacia de las acciones realizadas,

mantengan registros de estudios, formacin, habilidades, experiencia y

cualificacin.
Adems, la direccin debe asegurar que todo el personal relevante est
concienciado de la importancia de sus actividades de seguridad de la
informacin y de cmo contribuye a la consecucin de los objetivos del SGSI.
Revisin del SGSI
A la direccin de la organizacin se le asigna tambin la tarea de, al menos una
vez al ao, revisar el SGSI, para asegurar que contine siendo adecuado y
eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a
tomar decisiones, entre las que se pueden enumerar:

Resultados de auditoras y revisiones del SGSI.

Observaciones de todas las partes interesadas.

Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar

el rendimiento y eficacia del SGSI.

Informacin sobre el estado de acciones preventivas y correctivas.

Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en

evaluaciones de riesgos anteriores.

Resultados de las mediciones de efectividad.

Estado de las acciones iniciadas a raz de revisiones anteriores de la

direccin.

Cualquier cambio que pueda afectar al SGSI.

Recomendaciones de mejora.

Basndose en todas estas informaciones, la direccin debe revisar el SGSI y

tomar decisiones y acciones relativas a:

Mejora de la eficacia del SGSI.

Actualizacin de la evaluacin de riesgos y del plan de tratamiento de

riesgos.

Modificacin de los procedimientos y controles que afecten a la seguridad

de la informacin, en respuesta a cambios internos o externos en los
requerimientos de negocio, requerimientos de seguridad, procesos de negocio,
marco legal, obligaciones contractuales, niveles de riesgo y criterios de
aceptacin de riesgos.

Necesidades de recursos.

Mejora de la forma de medir la efectividad de los controles.

Se integra un SGSI con otros sistemas de gestin?

Un SGSI es, en primera instancia, un sistema de gestin, es decir, una
herramienta de la que dispone la gerencia para dirigir y controlar un
determinado mbito, en este caso, la seguridad de la informacin.
La gestin de las actividades de las organizaciones se realiza, cada vez con
ms frecuencia, segn sistemas de gestin basados en estndares
internacionales: se gestiona la calidad segn ISO 9001, el impacto
medioambiental segn ISO 14001 o la prevencin de riesgos laborales segn
OHSAS 18001. Ahora, aadimos ISO 27001 como estndar de gestin de
seguridad de la informacin.
Las empresas tienen la posibilidad de implantar un nmero variable de estos
sistemas de gestin para mejorar la organizacin y beneficios sin imponer una
carga a la organizacin.
El objetivo ltimo es llegar a un nico sistema de gestin que contemple todos
los aspectos necesarios para la organizacin, basndose en el ciclo PDCA y el
proceso de mejora continua comunes a todos estos estndares. Las facilidades
para la integracin de las normas ISO son evidentes mediante la consulta de
sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre
esta norma y la ISO 9001 e ISO 14001. Ah se observa la alta correlacin
existente y se puede intuir la posibilidad de integrar el sistema de gestin de
seguridad de la informacin en los sistemas de gestin existentes ya en la
organizacin. Algunos puntos que suponen una novedad en ISO 27001 frente a
otros estndares son la evaluacin de riesgos y el establecimiento de una
declaracin de aplicabilidad (SOA), aunque ya se estudia incorporar stos al
resto de normas en un futuro prximo.
En nuestras secciones de Faqs y de Artculos, podr encontrar ms
informaciones acerca de la integracin del SGSI con otros sistemas de gestin.

Certificacin
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
quiere decir que la organizacin que tenga implantado un SGSI puede solicitar
una auditora a una entidad certificadora acreditada y, caso de superar la
misma con xito, obtener una certificacin del sistema segn ISO 27001.
En las siguientes secciones, se abordan diferentes temas relacionados con la
certificacin.
Acceda directamente a cada una de ellas desde el men del recuadro verde de
la izquierda o descargue en pdf el documento completo.
Implantacin del SGSI
Evidentemente, el paso previo a intentar la certificacin es la implantacin en
la organizacin del sistema de gestin de seguridad de la informacin segn
ISO 27001. Este sistema deber tener un historial de funcionamiento
demostrable de al menos tres meses antes de solicitar el proceso formal de
auditora para su primera certificacin.
ISO 27001 exige que el SGSI contemple los siguientes puntos:

Implicacin de la Direccin.

Alcance del SGSI y poltica de seguridad.

Inventario de todos los activos de informacin.

Metodologa de evaluacin del riesgo.

Identificacin de amenazas, vulnerabilidades e impactos.

Anlisis y evaluacin de riesgos.

Seleccin de controles para el tratamiento de riesgos.

Aprobacin por parte de la direccin del riesgo residual.

Declaracin de aplicabilidad.

Plan de tratamiento de riesgos.

Implementacin de controles, documentacin de polticas, procedimientos

e instrucciones de trabajo.

Definicin de un mtodo de medida de la eficacia de los controles y puesta

en marcha del mismo.

Formacin y concienciacin en lo relativo a seguridad de la informacin a

todo el personal.

Monitorizacin constante y registro de todas las incidencias.

Realizacin de auditoras internas.

Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del

propio SGSI y de su alcance.

Mejora continua del SGSI.

La documentacin del SGSI deber incluir:

Poltica y objetivos de seguridad.

Alcance del SGSI.

Procedimientos y controles que apoyan el SGSI.

Descripcin de la metodologa de evaluacin del riesgo.

Informe resultante de la evaluacin del riesgo.

Plan de tratamiento de riesgos.

Procedimientos de planificacin, manejo y control de los procesos de

seguridad de la informacin y de medicin de la eficacia de los controles.

Registros.

Declaracin de aplicabilidad (SOA -Statement of Applicability-).

Procedimiento de gestin de toda la documentacin del SGSI.

Hay una serie de controles clave que un auditor va a examinar siempre en

profundidad:

Poltica de seguridad.

Asignacin de responsabilidades de seguridad.

Formacin y capacitacin para la seguridad.

Registro de incidencias de seguridad.

Gestin de continuidad del negocio.

Proteccin de datos personales.

Salvaguarda de registros de la organizacin.

Derechos de propiedad intelectual.

El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO
14001). La propia norma ISO 27001 incluye en su anexo C una tabla de
correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y
sus semejanzas en la documentacin necesaria, con objeto de facilitar la
integracin.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible
y prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y
control de la actividad de la organizacin, que se puede auditar en cada
momento desde la perspectiva de la seguridad de la informacin, la calidad, el
medio ambiente o cualquier otra.
Auditora y certificacin
Una vez implantado el SGSI en la organizacin, y con un historial demostrable
de al menos 3 meses, se puede pasar a la fase de auditora y certificacin, que
se desarrolla de la siguiente forma:

Solicitud de la auditora por parte del interesado a la entidad de

certificacin y toma de datos por parte de la misma.

Respuesta en forma de oferta por parte de la entidad certificadora.

Compromiso.

Designacin de auditores, determinacin de fechas y establecimiento

conjunto del plan de auditora.

Pre-auditora: opcionalmente, puede realizarse una auditora previa que

aporte informacin sobre la situacin actual y oriente mejor sobre las
posibilidades de superar la auditora real.

Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que

se trata del anlisis de la documentacin por parte del Auditor Jefe y la
preparacin del informe de la documentacin bsica del SGSI del cliente,
destacando los posibles incumplimientos de la norma que se verificarn en la
Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo
mximo entre la Fase 1 y Fase 2 es de 6 meses.

Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se

revisan in situ las polticas, la implantacin de los controles de seguridad y la
eficacia del sistema en su conjunto. Se inicia con una reunin de apertura
donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y
recursos necesarios, as como posibles cambios de ltima hora. Se realiza una
revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento
SOA), de los hallazgos de la Fase 1, de la implantacin de polticas,

procedimientos y controles y de todos aquellos puntos que el auditor considere

de inters. Finaliza con una reunin de cierre en la que se presenta el informe
de auditora.

Certificacin: en el caso de que se descubran durante la auditora no

conformidades graves, la organizacin deber implantar acciones correctivas;
una vez verificada dicha implantacin o, directamente, en el caso de no
haberse presentado no conformidades, el auditor podr emitir un informe
favorable y el SGSI de organizacin ser certificado segn ISO 270001.

Auditora de seguimiento: semestral o, al menos, anualmente, debe

realizarse una auditora de mantenimiento; esta auditora se centra,
generalmente, en partes del sistema, dada su menor duracin, y tiene como
objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.

Auditora de re-certificacin: cada tres aos, es necesario superar una

auditora de certificacin formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o,
anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en
http://www.iso27001certificates.com. Para aquellas organizaciones que lo han
autorizado, tambin est publicado el alcance de certificacin.
Naturalmente, la organizacin que implanta un SGSI no tiene la obligacin de
certificarlo. Sin embargo, s es recomendable ponerse como objetivo la
certificacin, porque supone la oportunidad de recibir la confirmacin por parte
de un experto ajeno a la empresa de que se est gestionando correctamente la
seguridad de la informacin, aade un factor de tensin y de concentracin en
una meta a todos los miembros del proyecto y de la organizacin en general y
enva una seal al mercado de que la empresa en cuestin es confiable y es
gestionada transparentemente.
La entidad de certificacin
Las entidades de certificacin son organismos de evaluacin de la conformidad,
encargados de evaluar y realizar una declaracin objetiva de que los servicios y
productos cumplen unos requisitos especficos. En el caso de ISO 27001,
certifican, mediante la auditora, que el SGSI de una organizacin se ha
diseado, implementado, verificado y mejorado conforme a lo detallado en la
norma.
Existen numerosas entidades de certificacin en cada pas, ya que se trata de
una actividad empresarial privada con un gran auge en el ltimo par de
dcadas, debido a la creciente estandarizacin y homologacin de productos y
sistemas en todo el mundo. La organizacin que desee certificarse puede
contactar a diversas entidades certificadoras y solicitar presupuesto por los
servicios ofrecidos, comparando y decidindose por la ms conveniente, como
hace con cualquier otro producto o servicio.
Para que las entidades de certificacin puedan emitir certificados reconocidos,
han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo
de acreditacin, comprueba, mediante evaluaciones independientes e
imparciales, la competencia de las entidades de certificacin para la actividad
objeto de acreditacin. En cada pas suele haber una sola entidad de
acreditacin (en algunos, hay ms de una), a la que la Administracin encarga

esa tarea. En Espaa, es ENAC (Entidad Nacional de Acreditacin); para otros

pases, puede consultarse una lista.
La acreditacin de entidades de certificacin para ISO 27001 o para BS 7799-2
-antes de derogarse- suele hacerse en base al documento EA 7/03 "Directrices
para la acreditacin de organismos operando programas de
certificacin/registro de sistemas de gestin de seguridad en la informacin".
En el futuro, ser la norma ISO 27006 la que regule directamente estas
cuestiones.
Las entidades de acreditacin establecen acuerdos internacionales para
facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de
criterios comunes. Para ello, existen diversas asociaciones como IAF
(International Accreditation Forum) o EA (European co-operation for
Accreditation).
El auditor
El auditor es la persona que comprueba que el SGSI de una organizacin se ha
diseado, implementado, verificado y mejorado conforme a lo detallado en la
norma. En general, se distinguen tres clases de auditores:

de primera parte: auditor interno que audita la organizacin en nombre de

s misma, normalmente, como mantenimiento del sistema de gestin y como
preparacin a la auditora de certificacin;

de segunda parte: auditor de cliente, es decir, que audita una organizacin

en nombre de un cliente de la misma; por ejemplo, una empresa que audita a
su proveedor de outsourcing;

de tercera parte: auditor independiente, que audita una organizacin como

tercera parte imparcial; normalmente, porque la organizacin tiene la intencin
de lograr la certificacin y contrata para ello los servicios de una entidad de
certificacin.
El auditor, sobre todo si acta como de tercera parte, ha de disponer tambin
de una certificacin personal. Esto quiere decir que, nuevamente un tercero,
certifica que posee las competencias profesionales y personales necesarias
para desempear la labor de auditora de la materia para la que est
certificado.
En este punto, hay pequeas diferencias entre las entidades certificadoras, que
pueden formular requisitos distintos para homologar a sus auditores. Pero, en
general, la certificacin de auditores se cie a la norma ISO 19011 de
directrices para la auditora de sistemas de gestin, que dedica su punto 7 a la
competencia y evaluacin de los auditores. Al auditor se le exigen una serie de
atributos personales, conocimientos y habilidades, educacin formal,
experiencia laboral y formacin como auditor.
Existen diversas organizaciones internacionales de certificacin de auditores,
con el objeto de facilitar la estandarizacin de requerimientos y garantizar un
alto nivel de profesionalidad de los auditores, adems de homologar a las
instituciones que ofrecen cursos de formacin de auditor. Algunas de estas
organizaciones son IRCA, RABQSA o IATCA.
IRCA (International Register of Certificated Auditors) es el mayor organismo
mundial de certificacin de auditores de sistemas de gestin. Tiene su sede en
el Reino Unido y, por ello -debido al origen ingls de la norma BS 7799-2 y, por

tanto, de ISO 27001-, tiene ya desde hace aos un programa de certificacin

de auditores de sistemas de gestin de seguridad de la informacin. Su pgina
web, tambin en espaol, es una buena fuente de consulta de los requisitos y
los grados de auditor. Dispone de un enlace directo a las ltimas novedades del
IRCA desde nuestra seccin de boletines.
En cuanto a la prctica de la auditora, al auditor se le exige que se muestre
tico, con mentalidad abierta, diplomtico, observador, perceptivo, verstil,
tenaz, decidido y seguro de s mismo. Estas actitudes son las que deberan
crear un clima de confianza y colaboracin entre auditor y auditado. El
auditado debe tomar el proceso de auditora siempre desde un punto de vista
constructivo y de mejora continua, y no de fiscalizacin de sus actividades.
Para ello, el auditor debe fomentar en todo momento un ambiente de
tranquilidad, colaboracin, informacin y trabajo conjunto.