Juan Carlos Serrano AntónResponsable Técnico de Esquemas 27001 y 20000
Lead Auditor ISO 27001, ISO 20000, ISO 9001
Certificación y Auditoría ISO 27001:2005
Valencia, octubre 2010
Contexto y antecedentes de la Seguridad de la Información
3Bureau Veritas Certification 2010
El momento claveEl momento clave
Tras los desgraciados sucesos del 11-S, 11-M yedificio Windsor, se han incrementado lasnecesidades de las empresas orientadas a lacontinuidad de negocio.
Esas exigencias se hacen extensivas a losproveedores y partners.
Introducción
4Bureau Veritas Certification 2010
En la actualidad el mercado necesita ydemanda:l Criterios de Calidad de Servicio
l Cumplimiento Legal
l Innovación Tecnológica
l Diferenciación de la competencia
l Formación y competencia profesionales
l Necesidad de referenciales de gestión adaptados
El mercadoEl mercado
Mercado
5Bureau Veritas Certification 2010
ISO 27001 / ISO 27002 tienen por objetivo
"proporcionar una base común para laelaboración de las normas de seguridad delas organizaciones, un método de gestióneficaz de la seguridad y establecer informesde confianza en las transacciones y lasrelaciones entre empresas".
Normas
7Bureau Veritas Certification 2010
Beneficios de la Certif icación ACREDITADA ISO 27001
Reflexiones de la ISO 27001
Ø El hecho de estar certificado ISO 27001no prueba que la organización sea 100 %segura.
Ø La seguridad completa no existe a menosde una inactividad total.
Ø La adopción de la norma internacionalproporciona innegablemente ventajasque todo buen gerente debería tener encuenta.
8Bureau Veritas Certification 2010
Organización :Compromiso: la Certificación permite garantizar y demostrar laeficacia de los esfuerzos desarrollados para asegurar laorganización en todos sus niveles y probar la diligencia razonablede sus administradores.
Cumplimiento legal:Conformidad: la Certificación permite demostrar a las autoridadescompetentes que la organización observa todas las leyes ynormativas aplicables.
FuncionalGestión de los riesgos: obtención de un mejor conocimiento de lossistemas de información, sus problemas y los medios deprotección. Garantiza también una mejor disponibilidad de losmateriales y datos.
Beneficios de la Certif icación ACREDITADA ISO 27001
9Bureau Veritas Certification 2010
Aspecto comercialCredibilidad y confianza: los socios, los accionistas y los clientesse tranquilizan al constatar la importancia que la organizaciónconcede a la protección de la información. Una certificacióntambién puede brindar una diferenciación sobre la competencia yen el mercado. Algunas licitaciones internacionales ya comienzana pedir una gestión ISO 27001.
Aspecto financieroReducción de los costos vinculados a los incidentes yposibilidad de disminución de las primas de seguro.
Beneficios de la Certif icación ACREDITADA ISO 27001
10Bureau Veritas Certification 2010
Aspecto humanoMejora la sensibilización del personal a la seguridad y a susresponsabilidades en la organización.
Beneficios de la Certif icación ACREDITADA ISO 27001
11Bureau Veritas Certification 2010
Beneficios de la Certif icación ACREDITADA ISO 27001
Entonces…..
►Actualmente la ISO-27001:2005 es el únicoestándar aceptado internacionalmente para laadministración de la seguridad de la informacióny aplica a todo tipo de organizaciones, tanto porsu tamaño como por su actividad
Y Además…..
12Bureau Veritas Certification 2010
Beneficios de la Certif icación ACREDITADA ISO 27001
INTEGRACIÓN DE SISTEMAS DE GESTIÓN
Los estándares ISO, BS o UNE son integrables yauditables pudiéndose incluir los requisitos de ISO27001:2005
CalidadCalidadMedioMedio--
ambienteambiente
SeguridadSeguridadinformacióninformación
14Bureau Veritas Certification 2010
Beneficios
►¿Por qué certificarse?l Porque se demuestra que las Políticas y procedimientos
están en línea con criterios estructura y metodologíasreconocidos internacionalmente
l Porque Proporciona a la Organización un paraguas deseguridad y privacidad basada en términos de gestiónCorporativa
l Las auditorías acreditadas son realizadas con criteriosacordados internacionalmente permiten el reconocimientode los resultados de evaluación
15Bureau Veritas Certification 2010
Beneficios
►¿Por qué certificarse?l Se asegura la existencia de conformidad con la seguridad
a todos los niveles
l Se proporciona una diferenciación en el mercadodebido a la influencia positiva en la imagen de lacompañía; prestigio y valor añadido a la compañía
l Se demuestra credibilidad y proporciona satisfacción yconfidencialidad a socios, ciudadanos y clientes
l Se reduce la responsabilidad en los riesgos,demostrando la aplicación de las debidas diligencias
La Acreditación y el Certif icado
17Bureau Veritas Certification 2010
El proceso es similar a otras certificaciones comoISO 9001 e ISO 14001
• Auditor. Una vez finalizada la auditoría y levantadas todaslas NO Conformidades, el auditor recomienda a laentidad de Certificación que se otorgue el sello
• Un comité de la Entidad de Certificación vuelve a revisartoda la auditoría. En el caso de Bureau VeritasCertificación este Comité está ubicado en Londres. Encaso satisfactorio inicia los trámites de registro ante elorganismo de Acreditación.
• El Organismo de Acreditación es el que reconoceformalmente que una organización es competente para larealización de una determinada actividad de evaluación dela conformidad y evalúa la competencia de losevaluadores de la conformidad, con objeto de darconfianza al auditado
Proceso de certif icación acreditada ISO 27001
18Bureau Veritas Certification 2010
Acreditación BV Certif ication ISO 27001
n Nueva Acreditación con cumplimiento de ISO 27006, ISO 17021….
19Bureau Veritas Certification 2010
Acreditación BV Certif ication ISO 27001
n Países donde BV Certification a auditado de forma acrediada ISO 27001
21Bureau Veritas Certification 2010
La Certificadora de ISO 27001
Recomendación:l Escoger una entidad de certificación de entre
las que operan en el país;
l Que garantice una certificación oficial,acreditada y con validez
l Con una larga experiencia, no importa si esen otros países;
l Con experiencia en la BS7799-2, puesto quela ISO 27001 es la evolución natural de ésta
La fases de la Certif icación
23Bureau Veritas Certification 2010
Proceso de Certif icación ISO 27001
Recogida de datos.
Se necesita determinados aspectos ycaracterísticas de la Organización, entre otrosl alcance,l requisitos,l actividad,l si hay preauditoría,l etc.
Con toda esta información es posible la elaboraciónde una oferta perfectamente dimensionada alalcance y necesidades de la empresa. En el casode aceptación por parte del auditado pasaríamos ala siguiente fase de la auditoría
24Bureau Veritas Certification 2010
La preauditoría (opcional)
§ La primera vez que implantamos un SGSI, es muy fácilel que pasen desapercibidos determinados requisitos dela norma, procedimientos, evidencias, etc.
§ Gracias a esta preauditoría es posible la corrección delos mismos.
§ Muchas veces son malas interpretaciones de la Norma.
§ El punto que se ve más afectados suele ser el inventariode activos y por consiguiente la evaluación de losriesgos.
l Es voluntaria
l Da valor añadido a las empresas
l Cada vez más es solicitada.
l Se detectan áreas de mejora antes de la auditoría de laISO 27001.
Proceso de Certif icación ISO 27001
25Bureau Veritas Certification 2010
Fase 1. Revisión documental
►Antes de la auditoria, la entidad de certificaciónsolicita al auditado una documentación que lepermitirá elaborar el primer informe de laauditoría. Este informe deberá tratar sobre laidoneidad del Sistema de Gestión, en definitiva sies posible afrontar con éxito la certificación delSGSI.
►Además de este objetivo proporciona informaciónal equipo auditor respecto al alcance, el diseño, eltratamiento de los riesgos, etc. Toda estainformación permitirá elaborar un Plan de Auditoría.
Proceso de Certif icación ISO 27001
26Bureau Veritas Certification 2010
La documentación que se solicita es la delpunto 4.3.1 de la Normal Política de seguridad
l El alcance
l Procedimientos y controles de apoyo al SGSI
l Descripción de la metodología de evaluación deriesgos
l Evaluación de los riesgos
l Plan de Tratamiento de los riesgos
l Documento de Aplicabilidad (SoA)
Proceso de Certif icación ISO 27001
27Bureau Veritas Certification 2010
Fase 2. Auditoría presencial
► Es realizada en la organización y tiene como objetivos:l Confirmar que se cumple su Política, Objetivos y Procedimientos
l Confirmar que el SGSI es conforme con la ISO 27001
► Es necesario el informe favorable de la fase anterior
► El equipo auditor siempre es seleccionado por la experienciatécnica y por los conocimientos de la actividad del auditado.
► En el caso de que se descubrieran desviaciones respecto alos requisitos de la Norma se identifican y comunican alauditado. Estas desviaciones son conocidas popularmentecomo “no conformidades”. Es raro que una no conformidadsea un caso aislado; normalmente es la acumulación de unaserie de sucesos y suele tener una serie de causas.
Proceso de Certif icación ISO 27001
28Bureau Veritas Certification 2010
LA CERTIFICACIÓN
►Certificación no se concede a la organización hastaque hay evidencia satisfactoria que demuestre quelas revisiones por la Dirección y las auditoríasinternas del SGSI han sido implementadas, soneficaces, y serán mantenidas .
(UKAS)
Proceso de Certif icación ISO 27001
29Bureau Veritas Certification 2010
Emisión del Certificado
Seguimiento Año 1
Seguimiento Año 2
Renovación repitiendo todas las fasesRenovación repitiendo todas las fases
Proceso de Certif icación ISO 27001
Bureau Veritas Certif ication
31Bureau Veritas Certification 2010
Beneficios
►¿Por qué Bureau Veritas Certification?l Porque Bureau Veritas Certification es líder mundial con más de
60.000 empresas certificadas en mas de 100 países
l Porque Bureau Veritas Certification está reconocida por más de 35entidades de acreditación nacionales e internacionales en todo elmundo
l Porque estamos presentes en 140 países. Esta presencia globalsignifica que nuestros clientes pueden recibir la doble ventaja doblede la experiencia internacional combinada con un conocimientoprofundo y genuino de las necesidades locales
32Bureau Veritas Certification 2010
Beneficios
►¿Por qué Bureau Veritas Certification?l Porque comprendemos el negocio. Nuestro éxito está basado en un
trabajo cercano, focalizado en llevar adelante su negocio: más de4.800 auditores especialmente formados para desarrollar un serviciode certificación significativo para su negocio.
l Los servicios combinados de Bureau Veritas Certification ofrecen lagama más amplia y reconocidas de certificaciones integradas,proporcionando coherencia, optimización y eficacia
33Bureau Veritas Certification 2010
Market analysis
IBM: Extensión estratégica del programa de certificaciónmundial
► Bureau Veritas Certification es el proveedor oficial de certificaciones anivel mundial de IBM, proporcionando Certificación :
l ISO 9001 en 62 países y 400 centros en el mundo,
l ISO 14000 en 38 centros,
l TL 9000 en India,
l TS 16949 para Microelectronics Division in North America, etc
l 2006 – la certificación mundial se extiende a las ISO 27001 e ISO 20000
► Desafío para IBM: Cumplir los más exigentes requisitos del sector porlo que IBM decide cumplir los nuevos estándares de Seguridad: ISO27001 e ISO 20000
Un ejemplo: IBM
34Bureau Veritas Certification 2010
Market analysis
►IBM: Extensión estratégica del programa de certificaciónmundial
► Solución de Bureau Veritas:l Un equipo de auditores específicamente formados y calificados
l Auditores que proporcionen valor añadido a las auditorias dentro del marco dela seguridad y servicio de IBM en todo el mundo.
l Con formación específica. Se realiza la formación y calificación de 18auditores de 14 países en París y se crea el ….
l Dream Team de Bureau Veritas Certification.
► Factores claves de la adjudicación:l Nuestra experiencia en Tecnología de la Información;
l Nuestros auditores calificados en TickIT (estándar de software)
l IBM quería trabajar con una única entidad para la certificación acreditada desus Sistemas de Gestión (Calidad, Medioambiente, Seguridad, etc.)
l Versatilidad del equipo
Un ejemplo: IBM
35Bureau Veritas Certification 2010
Muchas gracias por Muchas gracias por su atenciónsu atención