La Consejería de Agricultura de Murcia, primera entidad pública de la Administración española en conseguir la certificación ISO 27001

Como ya había comentado en un post anterior, Firma, Proyectos y Formación S.L. ha trabajado durante este último año en un proyecto relacionado con la implantación de un sistema de gestión de seguridad de la información certificable con la norma ISO 27001 en una Administración Pública. Evidentemente hemos tenido que esperar a que el citado organismo lo diera a conocer para poder indicar quién y qué ha logrado.

En concreto, ha sido la Consejería de Agricultura y Agua de la Comunidad Autónoma de Murcia la que ha conseguido certificar bajo la norma ISO 27001 el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA.

Para quien no esté familiarizado, los fondos europeos de financiación se gestionan mediante los llamados "Organismos Pagadores". Existen en cada comunidad autónoma y éstos a su vez son coordinados por el Ministerio de Agricultura y Pesca. La Unión Europea establece reglamentos donde define una serie de requisitos a satisfacer, tanto para la concesión de ayudas como para la gestión de los Organismos Pagadores.

Existe desde el año 97, una directriz que exige garantizar la seguridad de la información, en concreto, la Directriz VI/661/97 rev. 2 CE sobre la Seguridad de la Información de los Sistemas de Información de los Organismos Pagadores. Esta directriz establece que los organismos pagadores deberán basar la seguridad de sus sistemas de información en los criterios establecidos en una versión aplicable de una de las normas siguientes, que gozan de aceptación internacional:

• Organización Internacional de Normalización 17799/Norma británica 7799: Code of practice for Information Security Management (ISO/IEC 27002)


• Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch (IT Protection Manual).


• Information Systems Audit and Control Foundation: objetivos de control en el ámbito de la información y las tecnologías afines (COBIT).

También se establece en la citada directriz que:

"Las medidas de seguridad deberán estar adaptadas a la estructura administrativa, al personal y al entorno tecnológico de cada uno de los organismos pagadores. El esfuerzo financiero y tecnológico deberá ser proporcional a los riesgos reales existentes."

Dado que esto último implica seleccionar los controles de cualquiera de las normas sugeridas en base al nivel de riesgo, lo más adecuado para la Consejería de Agricultura y Agua de la Comunidad Autónoma de la Región de Murcia ha sido establecer un Sistema de gestión de la seguridad de la información sobre el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA y certificarlo según la norma ISO 27001.

A éste mérito se suma además, el tratarse de la primera Administración Pública que obtiene esta certificación ISO/IEC 27001. La entidad de certificación ha sido SGS acreditado bajo esquema UKAS.

La nota de prensa publicada puede ser consultada en CARM.es - La Consejería de Agricultura es la primera entidad pública de la Administración española que consigue la certificación ISO de seguridad

Publicada por AENOR la UNE-ISO/IEC 27001:2007

Paloma Llaneza anuncia en su blog Palomallaneza.com que con fecha de 29 de noviembre ha sido publicada la adecuación de la norma 27001 al castellano titulada UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.
Era algo deseado por todos que estabamos esperando que se resolvieran las diferentes cuestiones que han tenido retrasada esta norma de manera tan injustificada. La traducción se coordina por comités y seguramente no ha gozado de la prioridad necesaria pero ya hace casi dos años y medio que se publicó la ISO 27001 en ingles.

En este boletín de AENOR se informa también de las empresas españolas que han obtenido la certificación UNE 71502 hasta la fecha, que según creo, no es una certificación acreditada todavía bajo el esquema ENAC.

Métricas y guias de implantación sobre la ISO 27001.

En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001(Anexo A).
El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación.

De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia.

También comentar que a través del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación.

Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro.

Publicada la segunda parte de la norma BS 25999.

Javier Ruiz Spohr ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2.
Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas están relacionadas con la gestión de la continuidad de negocio.
He encontrado bastante información la Web http://www.bs25999.com/ donde se comentan las dos partes de esta norma que puede ser adquirida en la tienda del BSI.

Coincide también que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) repartió en castellano el manual en buenas de prácticas en gestión de continuidad de negocio.

Un tema muy vivo del que seguro que pronto también surge la necesidad de una normalización y estandarización, sobre todo, si la Comisión Europea se está planteado cómo garantizar la continuidad de negocio de las denominadas "infraestructuras críticas".

Repositorio documental sobre ISO 27001

Hoy quiero comentar una muy buena fuente de información relacionada con la implantación de SGSI. La Web http://www.iso27001security.com/ dispone de interesantes apartados y publica de manera regular documentación muy práctica para quienes estéis en el proceso de construcción de un SGSI que puede servir de gran orientación.


En concreto, el apartado FREE DOCUMENTS contiene modelos y documentos como:

Documentos del marco de gestión SGSI

• Ejemplo de declaración de aplicabilidad


• Ejemplo de norma de uso del correo electrónico


• Procedimiento de acción correctiva


• Procedimiento de auditoría interna


• Un posible organigrama de seguridad con sus funciones y responsabilidades

Documentación propia de un SGSI

• Checklist sobre los documentos que pueden formar un SGSI


• Listado de posibles métricas sobre controles

Toda esta documentación está licenciada bajo Creative Commons Attribution-Noncommercial-Share Alike 3.0. y accesible desde este enlace.

IS2ME, Seguridad de la Información a la Mediana Empresa

A continuación presento una metodología española, desarrollada por Samuel Linares e Ignacio Paredes, para ayudar a implantar la ISO 27001 en la pequeña y mediana empresa.

Como indica en la propia Web de ISME.

"Surge como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la organización a corto plazo a la vez que se inicie el camino hacia el cumplimiento de los estándares deseados.
IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel económico de la mayoría de las empresas existentes en la actualidad."

Podéis descargar la metodología en formato PDF en el siguiente enlace.

ISO 27001 e ISO 27002 en castellano

Por empezar fuerte el curso hoy quiero compartir un enlace de gran interes para los dedicados al mundillo de la gestión de la seguridad entorno a la norma ISO 27001.

Dentro de mis protocolos de seguimiento de las normas 27001, 27002 y las publicaciones o comentarios entorno a ella utilizando las alertas de Google, hoy quiero compartir un par de enlaces que proporciona en un documento PDF una traducción no ofical al castellano de las normas ISO 27001 e ISO 27002.

Aunque los enlaces no aparecen refereciados en ninguna página principal de esta Web, Google la enlaza al buscar sobre controles de la ISO 27002.

Dado que puede ser de interés para el público hispanohablante disponer de una versión en nuestro idioma, comparto la url que Google proporciona por si es del interés de todos.
Ambos documentos aclaran que su uso es autorizado sólo para fines didácticos, objetivo que comparte también este blog.
Las urls donde se encuentran son:

• ISO 27001 en español.


• ISO 27002 en español.

Muere ISO 17799:2005 y nace ISO 27002:2005

Aparece en el blog de Paloma Llaneza la noticia de que se ha producido ya el renombrado de la ISO 17799 por otro número dentro de la serie 27000. El post original puede leerse en palomallaneza.com - » La 17799 ha muerto.

ISO 27001 e ISO 27004

Alejandro Corletti vuelve a publicar un PDF para su libre descarga sobre la ISO 27001 y la 27004. En el comenta como van a encajar la gestión de la mejora de la seguridad en base a los requisitos de medición y valoración de los resultados obtenidos tras la fase de tratamiento de riesgo. Según su autor; "Se trata de la forma en que se deben realizar las mediciones sobre el estándar ISO 27001. En este artículo se presenta una introducción, una descripción del borrador ISO 27004 y las conclusiones de lo que permite el trabajo entre ambos. Es importante considerar esta norma a la hora de comenzar a diseñar un SGSI, pues es la forma de determinar qué puedo o no medir"

El documento se puede descargar en ISO 27001-ISO 27004.

ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems

Leo vía ISO 27000.es que a mediados de este año va a publicarse la norma ISO 27006, "Requirements for bodies providing audit and certification of information security management systems" que permitirá la acreditación de los organismos que están certificando sistemas de gestión de seguridad de la información.

Con esta norma, ENAC ya podrá acreditar en España a los diferentes certificadores y dar así un impulso más a este proceso obteniendo una certificación acreditada bajo el esquema de acreditación español. Esto supone la definición clara de los requisitos que deben satisfacer los organismos certificadores, que posteriormente son quienes otorgan el sello ISO 27001 a las instituciones y empresas que solicitan el proceso de certificación.

Por confirmar esta noticia, he recurrido a las dos Webs donde puede uno mantenerse al día entorno a las novedades en cuestión de normas de seguridad. En la Web de ISMS International User Group (Xisec.com) aparece como noticia y en la Web de la International Organization for Standardization
(ISO.org) aparece publicado con fecha del 30 de enero de 2007 el paso del estandar al estado 60.00, que es justo el paso anterior al estado 60.60 que es cuando se publica como norma internacional. Por tanto, se espera en no mucho tiempo que esta norma sea publicada.

Principales claves para implantar la ISO 27001

En la revista ITAudit aparece un breve artículo respecto a los principales puntos a contemplar a la hora de abordar una certificación ISO 27001. A continuación resumo los puntos más destacados:

- Identificar los objetivos de negocio: el propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez.

- Seleccionar un alcance adecuado: El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organización sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento donde la seguridad de la información que se gestiona es crítico para el desarrollo de las actividades de negocio.

- Determinar el nivel de madurez ISO 27001: Debemos identificar en que estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua.

- Analizar el retorno de inversión: Es muy importante demostrar que el esfuerzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán un retorno de inversión a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido.


Artículo complento en IT Audit - The Institute of Internal Auditors