RIESGOS Y SEGURIDAD

RIESGOS Y SEGURIDAD

La Norma ISO 27001 y la

importancia de la Gestin de
la Seguridad de la Informacin
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin

Introduccin
Se tiene una poltica formal y se han adoptado controles adecuados para la proteccin de los activos de la
Organizacin? Cunto pagara la competencia por su
informacin confidencial? Su base de datos est protegida?

La norma ISO 27001 adquiere un papel cada vez ms

importante en las Organizaciones, debido a la gran dependencia que existe de los sistemas de informacin. La
materializacin de las amenazas que afectan a los activos
de la Organizacin, pueden ocasionar graves problemas.

Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma ptima hacia todos los ataques en cuanto a seguridad de la informacin,
tenemos que tener muy presente en nuestra organizacin norma ISO 27001.

Este estndar internacional fue publicado como tal por

la International Organization for Standardization y por la
comisin International Electrotechnical Commission en
octubre del ao 2005.

La ISO 27001, Sistemas de Gestin de Seguridad de la

Informacin es la norma que especifica los requisitos
para planificar, implantar, revisar y mejorar...un sistema
de gestin de seguridad de la informacin garantizando
la confidencialidad, integridad y disponibilidad de la informacin, as como de los sistemas que la procesan.
El objetivo principal de la implantacin de un SGSI es el control y mitigacin de los riesgos de seguridad de la informacin a los que se encuentra expuesta la organizacin y que
pueden afectar gravemente a la empresa y a su entorno.

La Norma ISO 27001 y la importancia de la Gestin

de la Seguridad de la Informacin.
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin.

Ms informacin
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org

Pero la ISO 27001, tal y como la conocemos hoy en da,

ha sido resultado de la evolucin de otros estndares
relacionados con la seguridad de la informacin. En el
pasado ao 2013 se public la nueva versin que ha supuesto algunos cambios en su estructura, evaluacin y
tratamiento de los riesgos.
La norma ISO 27001 es certificable, teniendo un reconocimiento internacional. Cualquier organizacin que tenga
implantado un SGSI puede solicitar una auditora a una
entidad certificadora acreditada para obtener la certificacin del sistema segn ISO 27001.

RIESGOS Y SEGURIDAD

La ISO 27001 es perfectamente integrable con

otros sistemas de gestin como ISO 9001, ISO
14001 u OHSAS, entre otras. Esta integracin
se hace ms sencilla con esta nueva versin ISO
27001:2013, debido a que esta nueva versin de
la norma est adaptada a los requisitos del Anexo
SL., que es la nueva estructura ISO para cualquier
sistema de gestin y que facilita la integracin con
cualquier otro sistema de gestin de la organizacin, al tener exactamente la misma estructura.

Cmo implantar un SGSI en base a

ISO 27001?
ISO 27001 posibilita la idea de implantar un sistema de gestin de seguridad de la informacin que
pueda operar, monitorear, mantener y mejorar la
seguridad de la informacin.
La implantacin de un SGSI debe realizarse de
acuerdo a unas pautas marcadas por la ISO 27001,
realizndose de manera sistemtica, documentada
y comunicada a toda la organizacin.
Por ello, la implantacin de un Sistema de Gestin
de Seguridad de la Informacin es til para cualquier tipo de empresa, ya que todas tienen un
activo fundamental que es necesario proteger: Informacin (De trabajadores, clientes, proveedores,
etc).
Existen ciertos pasos previos importantes a la implantacin, y que la empresa debe afrontar, son los
siguientes:
Reunin inicial para identificar y conocer los procesos internos del negocio, documentacin de seguridad con objetivo de poder definir el alcance.
Anlisis diferencial para estar al tanto el estado
de situacin en seguridad de la informacin de
donde se va a obtener una planificacin personalizada y las primeras lneas de actuacin.
Con esto la empresa est lista para implantar el
SGSI fundamentado ISO 27001.

La Norma ISO 27001 y la importancia de la Gestin

de la Seguridad de la Informacin.
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin.

Ms informacin
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org

Evolucin
de la norma
ISO 27001
BS 7799-1:1995
Mejores prcticas para
ayudar a las empresas
britnicas a administrar la Seguridad de la
Informacin. Eran recomendaciones que no
permitan la certifiacin
ni estableca la forma
de conseguirla.

ISO/IEC 17799:2000
La organizacin Internacional para la Estandarizacin (ISO) tom
la norma britnica BS
7799-1 que dio lugar a
la llamada ISO 17799,
sin experimentar grandes cambios.

ISO/IEC 27001:2005 e
ISO/IEC 17799:2005
Aparece el estndar
ISO 27001 como norma
internacional certificable y se revisa la ISO
17799 dando lugar a la
ISO 27001:2005.

ISO 27001:
2007/1M:2009
Se publica un documento adicional
de modificaciones llamado ISO
27001:2007/1M:2009.

1979

1995

1998

2000

2002

2005

2007

Normas BS
La British Standars Institution publica normas
con el prefijo BS con
carcter internacional.
Estas son el origen de
normas actuales como
ISO 9001, ISO 14001 u
OHSAS 18001.

BS 7799-2:1999
Revisin de la anterior
norma. Estrableca
los requisitos para
implantar un Sistema
de Gestin de Seguridad de la Informacin
certificable. En 1999 se
revisa.

BS 7799-2:2002
Se public una nueva
versin que permiti
la acreditacin de
empresas por una entidad certificadora de
Reino Unido y en otros
pases.

ISO 17799. Se renombra y pasa a ser la ISO

27002:2005
ISO/IEC 27001:2007.
Se publica la nueva
versin

2009

2013

Nueva ISO 27001:2013

Nueva ISO 27002:2013

RIESGOS Y SEGURIDAD

Con estos pasos previos la empresa est en condiciones

de poder afrontar la implantacin de un Sistema de Gestin de Seguridad de la Informacin segn la ISO 27001:
Alcance
Toda implantacin ha de comenzar con la definicin del
alcance del sistema, es decir, el mbito de la organizacin
que va a trabajar bajo los requisitos de la norma.

PDCA
Cycle

Es conveniente revisar el estado inicial de la organizacin

en relacin a los puntos de la norma. Con esto se fija el
punto de partida y de referencia para medir el progreso
que se ir alcanzando con el SGSI.
Es importante evaluar, aprobar y distribuir la poltica de
seguridad que represente los objetivos y lneas a seguir
en materia de seguridad de la informacin.
Es indispensable que la Direccin est implicada para
que el SGSI tenga xito, sta debe decidir, apoyar, aprobar, dirigir y dotar de recursos a la empresa para llegar al
xito del sistema.
Se crear una estructura organizativa de la seguridad
interna, liderada por un responsable de seguridad, as
como un comit de seguridad que tome decisiones de
alto nivel relativas al SGSI.

Revisin por Direccin: Revisin anual del SGSI, se es-

tablecen unos puntos de entrada y salidas a la revisin,

los cuales vienen especificados en la propia norma
Auditora Interna: Una vez finalizada la implantacin y

antes de la auditora de certificacin, se hace una auditora interna para revisar la implantacin del sistema
Poltica de Seguridad: Normativa interna en relacin a

la Seguridad de la Informacin
Concienciacin: Todo el personal de la Organizacin

Anlisis de Riesgos
El siguiente paso es elaborar un inventario de activos. Se
han de identificar todos los activos de la entidad susceptibles de ser gestionados en relacin con la seguridad de
la informacin. Se recomienda, para facilitar esta tarea,
clasificar o categorizar los activos.
Se debe calcular la probabilidad de ocurrencia de cada
amenaza asociada a cada activo, el impacto que supondra para la Organizacin su materializacin y y definir un
nivel de riesgo aceptable por la organizacin. A continuacin se debe pasar al tratamiento de los riesgos no aceptados por la organizacin.
De esta etapa resultar un plan de tratamiento de riesgos.

La Norma ISO 27001 y la importancia de la Gestin

de la Seguridad de la Informacin.
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin.

Ciclo PDCA

Ms informacin
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org

tiene que estar concienciado en materia de Seguridad

de la Informacin
Acciones correctivas/preventivas: Para cada una de

las desviaciones, o incumplimientos, que se detecten

en el Sistema, se tienen que llevar a cabo acciones correctivas/preventivas
Indicadores: Se establecen para medir la eficacia de los

controles de seguridad
Responsabilidades de la Direccin: La Direccin de la

Organizacin se tiene que comprometer formalmente

a proporcionar todos los recursos necesarios para la
implantacin del SGSI

RIESGOS Y SEGURIDAD

Revisin por la direccin y auditora interna

La revisin es responsabilidad del comit de seguridad, y
se propondrn cambios y mejoras.
Mejora continua
Mediante el anlisis de las no conformidades detectadas
se pretende impedir que stas se vuelvan a producir, mejorando el SGSI ISO 27001.
En definitiva, la implantacin de un SGSI basado en ISO
27001, supone el conocimiento, de la organizacin en su
conjunto y de los riesgos a los que se encuentra expuesta.
De manera que se asuman y se trabaje en su minimizacin y
control de manera sistemtica, para mejorar continuamente.

La implantacin de un SGSI basado en ISO 27001, obviamente, supone una dedicacin e inversin de recursos,
pero, por contra, aporta grandes beneficios a las empresas que deciden implantarlo.
Con la aplicacin de ISO 27001, se obtienen importantes mejoras en la competitividad, al mismo tiempo que se
mejora la imagen de su Organizacin.
Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una
menor inversin.

Ventajas de implantar un SGSI basado en la ISO 27001

Garantizar la confidencialidad, integridad y disponibilidad de informacin sensible.

Cumplir la legislacin vigente referente a seguridad de la informacin.

Disminuir el riesgo, con la consiguiente reduccin

de gastos asociados.

Aumentar las oportunidades de negocio.

Reducir los costos asociados a los incidentes.

Reducir la incertidumbre por el conocimiento de

los riesgos e impactos asociados.
Mejorar continuamente la gestin de la seguridad
de la informacin.
Garantizar la continuidad del negocio.
Aumento de la competitividad por mejora de la
imagen corporativa
Incremento de la confianza de los stakeholders.
Aumento de la rentabilidad, derivado de un control de los riesgos.

La Norma ISO 27001 y la importancia de la Gestin

de la Seguridad de la Informacin.
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin.

Ms informacin
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org

Mejorar la implicacin y participacin del personal

en la gestin de la seguridad.
Posibilidad de integracin con otros sistemas de
gestin como ISO 9001, ISO14001, OHSAS 18001,
entre otros.
Mejorar los procesos y servicios prestados.
Aumentar de la competitividad por mejora de la
imagen corporativa.

RIESGOS Y SEGURIDAD

Nueva versin de ISO 27001:2013

La implantacin de un SGSI basado en ISO 27001, obviamente, supone una dedicacin e inversin de recursos, pero, por
contra, aporta grandes beneficios a las empresas que deciden implantarlo. Con la aplicacin de ISO 27001, se obtienen
importantes mejoras en la competitividad, al mismo tiempo que mejora la imagen de su Organizacin.
Otras de las ventajas que aporta su implantacin son:
1. Desaparece el apartado Enfoque a procesos que estableca una metodologa de trabajo en base al ciclo PDCA
de mejora continua, ofreciendo una mayor flexibilidad en
cuanto a la eleccin de metodologas de trabajo de anlisis de riesgos o de mejora continua.

Desaparece
Enfoque a
procesos

2. Cambio de la estructura de acuerdo al Anexo SL comn

al resto de estndares ISO, lo que facilita la integracin
entre sistemas.
3. Este mismo anexo SL, establece un nuevo modelo de
estructura de la documentacin, que elimina la obligatoriedad de algunos documentos en la versin anterior,
conservndose solamente como obligatoria la declaracin de aplicabilidad.
4. Se reducen los controles. Los controles establecidos
en el Anexo A se eliminan, fusionan y aaden, vindose
aumentado el nmero de dominios de 11 a 14 y reducindose el nmero de controles de 133 a 114. Destacamos un nuevo dominio que se crea sobre Relaciones
con el Proveedor debido a la evolucin a la nube o Cloud
Computing.
5. Enfoque del anlisis del riesgo en la fase de planificacin
y operacin. A partir de ahora para identificar los riesgos
no es necesario identificar los activos, las amenazas y sus
vulnerabilidades. Sino que se parte del anlisis de riesgos
para determinar los controles necesarios y compararlos
con el Anexo A para que no se olvide ninguno aplicable.

Cambio de
estructura
que facilita la
integracin
Nuevo
modelo de
estructura
documental

Nueva
ISO 27001:2013

Se reducen
los
controles

Enfoque del anlisis

del riesgo en la fase
de planificacin y
operacin.

Todos estos beneficios vienen derivados del establecimiento de una operativa basada en la seguridad y la excelencia en
el tratamiento de la informacin en la organizacin, que se traducen en un mejor servicio con una menor inversin.

La Norma ISO 27001 y la importancia de la Gestin

de la Seguridad de la Informacin.
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin.

Ms informacin
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org

RIESGOS Y SEGURIDAD

Conclusiones
La implantacin de un SGSI basado en ISO 27001, supone el conocimiento, de la organizacin en su conjunto, de los riesgos a los
que se encuentra expuesta. De manera que se asuman y se trabaje
en su minimizacin y control de manera sistemtica, para mejorar
continuamente.
La ISO 27001 es perfectamente integrable con otros sistemas de
gestin como ISO 9001, ISO 14001 u OHSAS, entre otras. Esta integracin se hace ms sencilla con esta nueva versin ISO 27001:2013
Ya est vigente la nueva versin ISO 27001:2013 que sustituye a la
anterior ISO 27001:2005.
La ISO 27001 permite una operativa basada en la seguridad y la
excelencia en el tratamiento de la informacin en la organizacin,
que se traducen en un mejor servicio con una menor inversin.

La Plataforma
Tecnolgica ISOTools le
ayuda a automatizar su
sistema ISO 27001
ISOTools es la Plataforma Tecnolgica ideal para facilitar la
implementacin, mantenimiento y automatizacin de su sistema de gestin de Seguridad
en la Informacin conforme a
la norma ISO 27001:2013. As
como dar cumplimiento de manera complementaria y sencilla
a las buenas prcticas o controles establecidos en ISO 27002.
ISOTools es una herramienta
de gestin integral de la norma
que cumple con el ciclo completo de la misma, desde las fases
de inicio y planificacin del proyecto hasta el mantenimiento y
mejora continua, pasando por
el anlisis de riesgos, el cuadro
de mando, la implantacin de
procedimientos, etc.
Con ISOTools puede integrar,
en una misma Herramienta,
este estndar con otros existentes en la organizacin como
ISO 9001, ISO 14001, OHSAS
18001, entre otras.

La Norma ISO 27001 y la importancia de la Gestin

de la Seguridad de la Informacin.
Alcanzar la excelencia en la Seguridad de la Informacin.
Un mejor servicio con una menor inversin.

Ms informacin
Tlf. (+34) 902 361 231
www.isotools.org
info@isotools.org