Certificación ISO/IEC 27001 Lead Auditor

Marco A. Peña, socio-director de TATAKI, obtiene la certificación ISO/IEC 27001 Lead Auditor otorgada por BSI, British Standards Institution, según el programa de formación acreditado (IRCA 2016) por el International Register of Certificated Auditors (IRCA).

logo_bsi_irca

ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Concebida para garantizar la selección de controles de seguridad adecuados y proporcionales, lo que contribuye a proteger los activos de información y otorgar confianza a las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

5 comments

  • Jesus angel

    Enhorabuena Marcos,

    Una preguntita, yo estoy estudiando la ISO 27001 por mi cuenta para conseguir un trabajo relacionado con la materia. Actualmente soy consultor de la LOPD.

    ¿que curso me recomiendas que realice? ¿el de implantador o el de auditor? ¿en que centro en BSI o en otro sitio?

  • Hola Jesús Ángel,

    Los cursos de LI versan sobre un temario entorno a la norma ISO27002. Es decir, lo que más se estudia son los controles que, como buenas prácticas, recoge la norma.

    Por su parte, los cursos de LA se centran en los procesos de auditoría de un SGSI implantado según la ISO27001. Es decir hay mucho más énfasis en conocer los aspectos fundamentales de un SGSI y cómo detectarlos, técnicas de auditoría, no conformidades, informe de auditoría, etc. Pero claro, para ello es necesario saber lo suficiente sobre los controles de la ISO27002.

    Yo tuve tu misma duda en su momento y, como tú, lo que hice fue preguntar a profesionales del sector. De algún modo, el comentario mayoritario de la gente a la que pregunté antes de hacer el curso de LA iba en sentido de: «si sabes lo que hay que auditar, sabes lo que hay que implantar». Por supuesto no es exactamente así, pero si ya has mirado la ISO27002 y tienes cierta experiencia en la implantación de medidas de seguridad técnicas y organizativas, quizás el curso de LA te aporte lo que necesitas.

    La verdad es que seguí su recomendación y estoy satisfecho. Además he tenido ocasión de contrastar estas opiniones con gente que en su día hizo el curso de LI y, posteriormente el de LA.

    Mi opinión respecto a hacerlo con BSI es muy favorable. El grupo es muy reducido (4-6 personas) y hay trato muy cercano. Los materiales son mejorables, pero están aprobados por IRCA, así como todo el planteamiento del curso. Por otra parte, BSI son los creadores originales de estas normas y cuentan con mucha experiencia de certificación y formación.

    Espero haberte ayudado a decidir… En todo caso, ya me contarás cómo acaba la historia.

    Un saludo,

    Marco A. Peña.

  • Jesus angel

    Muchas gracias Marcos,

    Mi caso es el siguiente.

    Soy consultor de lopd con experiencia en proyectos de implantación de la LOPD y del RLOPD, actualmente me encuentro en el paro y todas las ofertas de empleo que existen actualmente solicitan consultores en LOPD que además sepan y dispongan de experiencia en SGSI y planes de continuidad de negocio.

    No dispongo de ninguna experiencia en implantación de SGSI, ni ayudar a una empresa a su certificación en ISO 27001.

    Me he estudiado la ISO 27001 y la ISO 27002.

    Tengo dudas dado que no dispongo de los formatos para la implantación de un SGSI y tambien no se como realizar la fase de analisis y tratamiento de riesgos y tampoco los BIA de los Planes de Continuidad de Negocio

    Sacar una aplicación práctica de MAGERIT para mi es casi inviable por lo dificil que es, desconociendo si otras metodologías de analisis de riesgos son más sencillas.

    Atentamente,

    Jesus

    P.D. Si no quieres contestar al mensaje en el foro, puedes hacerlo a mi email. Gracias.

  • Henry Raúl Glez

    Hola:

    Encuentro muy interesante la información en este sitio, quisiera consultar una duda que tengo. ¿Existe alguna metodología de gestión de proyectos que incorpore normas que permitan artícular un SGSI asociado a las actividades específicas que se desarrollan en un proyecto?

    En mi caso quiero hacer precisamente esto, armar un SGSI que cubra las actividades de un proyecto de desarrollo de software y estoy buscando alguna implementación, si existe, específica para este tipo de activdad.

    muchas gracias por sus comentarios.

    Saludos cordiales,

    Henry Raúl.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *