1 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

CONTENIDOS

Introducción: el papel de la seguridad de la información en el

futuro de las empresas 3

¿Qué es un SGSI y qué puede aportar a su empresa? 6

Pilares de una Norma ISO 27001:2014: 8

 El papel del contexto y el alcance 10

 Política 12
 Roles y responsabilidades 13
 Riesgos y oportunidades 15
 Gestión de recursos y competencia 16
 Comunicación 17
 Información documentada 18
 Auditoría Interna y Revisión por la dirección 19
 Mejora continua 20

La ISO 27002:2015 y sus controles a aplicar en la ISO 27001:2014 21

Beneficios de la implantación de la ISO 27001 en su empresa 23

¿Qué puede hacer SBQ Consultores por su empresa? 25

2 / 27
 Junio 2016 | ISO
Junio2016 ISO 27001:2014.
27001:2014. Protegiendo
Protegiendo su
su activo
activo más
más valioso:
valioso: la
la información
información

Introducción:
El papel de la seguridad de la información
en el futuro de las empresas.

Vivimos en un entorno altamente cambiante, en el que la tecnología es el

aliado perfecto de las empresas al abrir nuevas vías de negocio, la imagen
de marca se compone de numerosos factores todos ellos relevantes, los
nuevos medios de comunicación permiten acercarse a los clientes a un nivel
que hace años era impensable y el uso de dispositivos móviles, aplicaciones,
almacenamiento en la nube, web, etc., sitúa la relación competitiva con otras
organizaciones del sector a otro nivel.

3 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

Sin embargo, en este entorno también tenemos que tener presente que, de
igual manera, las amenazas a las que se están expuestas son cada vez
mayores.

Una gran proporción de estas amenazas centran su atención en unos de los

activos más valiosos de que disponen todas las empresas sin distinción: la
información.

Solamente tenemos que observar cómo los incidentes en materia de

seguridad de la información están en aumento. Los objetivos se diversifican
y ya no sólo son las grandes organizaciones las que se ven afectadas sino
que las pymes también están en el punto de mira. De la misma forma, cada
vez es más habitual que se produzcan noticias en las que el tema principal
es el robo de identidad con intenciones de dañar la imagen de marca, entre
otros objetivos.

Teniendo presente todo lo anterior, parece lógico pensar que contar con un
sistema de gestión de la seguridad de la información según la Norma ISO
27001:2014 se convierte en una decisión estratégica clave y de gran calado
para el futuro de la empresa.

Si todavía no lo ves claro piensa que la pérdida o deterioro de la información

que tu empresa emplea en su día a día y que va recopilando poco a poco a
través de años, no solamente supone fallos en el funcionamiento y en la
realización del producto y/o servicio ofrecido al cliente, sino que se traduce a
costes económicos directos y en pérdidas de credibilidad que afecta a la
imagen de tu empresa, generando inseguridad en tu cliente y socavando la
confianza que colocan en ella para cubrir sus necesidades y superar sus
expectativas.

4 / 27
Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

5 / 27
 Junio
Junio 2016|  ISO 27001:2014. Protegiendo su activo más valioso: la información
2016

¿Qué es un SGSI y que puede aportar a su

empresa?

Un Sistema de Gestión de Seguridad de la Información (SGSI) según la Norma

ISO 27001:2014 es una herramienta que permite establecer, implementar,
mantener y mejorar de manera continua la seguridad de la información de
que dispone a través de un conjunto de procesos que toman como base los
riesgos a los que se enfrenta la empresa en su día a día y en todas sus
actividades e interacciones.

De esta forma, garantiza la integridad, confidencialidad y disponibilidad de la

información de que se dispone, así como de todos aquellos sistemas que la
procesan, protegiendo, como ya he indicado, uno de los activos más valiosos
que puede poseer: la información.

6 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

Además, la ISO 27001:2014 se convierte en el aliado perfecto en el control de

los riesgos y amenazas en materia de seguridad de la información, así como
en su tratamiento para que sean eliminados o mitigados hasta un límite
aceptable.

Contar con la ISO 27001:2014 le permitirá garantizar la

confidencialidad, integridad y disponibilidad de la
información, así como el control y tratamiento
adecuado de aquellos riesgos y amenazas relacionadas
con ella, a los que se encuentra expuesta su empresa y
que pueden afectarla gravemente.

7 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Pilares de la Norma ISO 27001:2014.

Como cualquier herramienta, la Norma ISO 27001:2014 se revisa cada cierto

tiempo para adaptarla a las nuevas necesidades de las organizaciones, a las
novedades del mercado, a los puntos que desde su aplicación son
necesarios perfeccionar y mejorar, etc. El objetivo es que el sistema siga
siendo eficaz y ofrezca un apoyo real al futuro y crecimiento de las
empresas.

Esto se traduce en esta versión del 2014, entre otros aspectos, en una
integración completa con otros sistemas de gestión como la ISO 9001,
Sistema de Gestión de la Calidad, o la ISO 14001, Sistema de Gestión
Ambiental, para que su empresa pueda contar con el valioso apoyo, ventajas y
beneficios que disponer de estos sistemas de gestión le aporta.

8 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

Esta integración se logra gracias a la adopción de la estructura de alto nivel

o HLS que, más allá de un índice o esquema, aporta textos comunes,
definiciones consensuadas y una estructura general para todas las normas,
ya sean nuevas o estén revisadas.

De esta forma, se evitan duplicidades, utilización innecesaria de recursos para

llevar cada sistema y se disminuyen las pérdidas en esfuerzo y tiempo que
solía suponer llevar varios sistemas de gestión por separado.

La Norma ISO 27001:2014 permite una integración

perfecta con otros sistemas de gestión para que su
empresa cuente con los mejores apoyos y herramientas
que le ayuden en su presente y futuro.

Para comprender un poco más la importancia de esta norma vamos a ver

los pilares sobre los que se sustentan y que la definen.

Así que, comencemos!

9 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

El papel del contexto y el alcance.

Aunque de forma inicial se podría pensar que un sistema de gestión

solamente es asumible por aquellas empresas de grandes dimensiones, son
precisamente las pymes las que más pueden beneficiarse ya que les aporta
un conjunto de conocimientos y herramientas que, de otra manera, saldrían
fuera de sus posibilidades.

La Norma ISO 27001:2014 es adecuada para implantarse en cualquier

empresa, sin importar dimensiones, mercado o actividad.

Además, el Sistema de Gestión de la Seguridad de la Información pone un

especial cuidado y tiene como uno de los objetivos clave favorecer el
desempeño de su empresa y, para ello, debe estar en consonancia y alineada
con sus objetivos de negocio.

De esta forma, debemos conocer el “contexto de la organización” valorando

aquellas cuestiones, tanto internas como externas, que pueden en alguna
medida favorecer o perjudicar la labor de lograr las metas marcadas. Como
cuestiones internas podemos identificar los recursos financieros o el
personal y sus competencias, por poner dos ejemplos. Por otro lado,
algunas cuestiones externas pueden ser los aspectos culturales o
socioeconómicos.

Todo ello permitirá que más

allá de contar con una
herramienta de gestión de la
seguridad de la información,
adquiera una imagen global
de la posición que ocupa y de
todo aquello que la rodea y
que le afecta en mayor o
menor medida y a lo que
afecta de igual forma.

Pero en esta imagen no

10 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

podemos olvidar el papel que ocupan las partes interesadas y sus

necesidades y expectativas. Ellos son los personajes que se mueven en el
anterior escenario y que marcan los posibles objetivos a seguir.

Por último en este punto, definir el alcance del sistema es clave ya que va a
determinar el ámbito de la empresa que trabajará bajo los requisitos de la
Norma ISO 27001:2014.

No es necesario que incluyamos toda la empresa desde

un principio, sino que teniendo en cuenta los recursos,
tiempo, mercado o localización puede ser más práctico
comenzar la implantación por aquellos procesos o
servicios claves para luego, en el camino de la mejora
continua, ir adaptando o ampliando el alcance del
sistema de gestión de seguridad de la información de
forma progresiva.

11 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Política

La Política de seguridad de la información es un documento clave que permite

reflejar, de forma clara y en términos generales, los objetivos que la empresa
se ha marcado en materia de seguridad de la información de que dispone y
establece las principales líneas de actuación que van a permitir proteger
todos estos datos frente a pérdidas, garantizando su integridad,
confidencialidad y disponibilidad.

Este compromiso que la empresa adquiere y que es comunicado, tanto a

nivel interno como a las partes interesadas externas, aporta seguridad,
contribuye a una mejora de la imagen de la empresa y permite una
diferenciación con la competencia.

Por lo que, más allá de un documento estático, es uno de los pilares del
sistema de gestión de seguridad de la información según la ISO 27001:2014.

12 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Roles y responsabilidades.

Saber quién tiene que hacer cada uno de los procesos o actividades es
clave para que estas se realicen de forma eficaz.

De esta forma, la identificación adecuada de los distintos roles y

responsabilidades se convierte en otro pilar que va a permitir que todas
aquellos procesos u objetivos que se planifiquen en papel no queden ahí
debido a que nadie sabe quién tiene que realizarlos, en que tiempo, a quién
tienen que aportar los resultados e incidencias, etc.

En este punto es indudable la importancia que ocupa el liderazgo, tanto de la

dirección como, si existieran, de los mandos intermedios.

Y es que la Norma ISO 27001:2014 busca y promueve un liderazgo marcado

por su capacidad para dirigir al resto de los empleados, a todos los niveles,
para alcanzar las metas y objetivos marcados a través del uso de la
motivación y no de la imposición, promoviendo de forma efectiva la
implicación de todas las personas de la empresa en la consecución de sus
objetivos y avanzando en la mejora continua.

13 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

La norma contempla la existencia de los siguientes roles:

 Responsable de seguridad que coordina actividades
en materia de seguridad y que sirve de enlace con la
dirección.
 Comité de seguridad que busca soluciones en temas
de seguridad, aprueba directrices y, además,
resuelve asuntos interdisciplinares.
Su existencia y exclusividad dependerán de la
organización interna, número de empleados y jerarquía
de la empresa.

14 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Riesgos y oportunidades.

En materia de seguridad de la información, determinar los riesgos, los

criterios de aceptación de estos y las medidas de tratamiento y prioridad que
permitirán que todos ellos se eliminen o se reduzcan a niveles aceptables que
previamente hemos determinado, es esencial.

Sin embargo no debemos olvidar que no solamente existen riesgos sino

también oportunidades que la empresa puede aprovechar si las tiene en
cuenta de forma correcta.

Esto es uno de los puntos clave de la Norma ISO 27001:2014, el punto fuerte
podríamos decir, y para ayudarle en su labor cuenta con los controles
indicados en la Norma ISO 27002:2015 de los que hablaré posteriormente.

Para tratar de forma adecuada los riesgos y oportunidades hay que definir
un proceso que estará marcado por las siguientes etapas:

15 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Gestión de recursos y competencia.

Contar con los recursos necesarios es clave para poder llevar a cabo las
actividades planificadas y realizar una buena gestión de la seguridad de la
información de que se dispone.

Es por esta razón que la Norma ISO 27001:2014 pone una especial atención
en el papel de la dirección de comprometerse en aportar y gestionar todos
estos recursos necesarios para una efectiva gestión de la seguridad, teniendo
en cuenta las distintas fases (planificación, implantación, monitorización y
mejora) y las distintas medidas que se requieren.

De la misma forma, contar con la adecuada competencia del personal de la

empresa que va a realizar las distintas actividades es relevante si queremos
que sean realizadas de forma eficaz, continuada y que se mejoren de forma
constante.

La Norma ISO 27001:2014 indica que se debe:

 Definir cada perfil con sus competencias asociadas.

 Identificar las necesidades de formación.
 Realizar acciones formativas concretas centradas en estas
necesidades.
 Dejar evidencias documentadas que permitan evaluarlas en un
futuro.
 Y valorar la eficacia de estas acciones formativas.

El sistema de gestión de seguridad de la información tiene como requisito que

todas las personas que componen la empresa deben tener conciencia de la
importancia que estas actividades de formación ocupan para alcanzar los
objetivos, tanto en la seguridad de la información como en la mejora continua.

16 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Comunicación

Tal y como decía antes, la gestión de la comunicación es imprescindible ya

que permitirá que el sistema funcione adecuadamente incluyendo a las
partes interesadas internas, pero también a las externas, en el logro de los
objetivos, motivando a la mejora continua, consiguiendo información sobre
riesgos e incidencias antes de que ocurran o a tiempo real, etc.

Bien utilizada, la gestión de la comunicación nos permitirá mejorar, no sólo a

nivel de la seguridad de la información sino en el de toda la empresa, y para
ello debemos considerar:

 el contenido que se va a comunicar.

 el tiempo (¿Cuándo?)
 los destinatarios (¿A quién?)
 los responsables de esta comunicación (¿Quién?)
 y el medio a emplear.

17 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Información documentada.

Tradicionalmente se viene pensando que un sistema de gestión viene unido

a un gran número de documentación que se generará en cada uno de los
pasos y que, por ello, cargará de trabajo a la empresa. Sin embargo, esto no
es así.

El sistema de gestión de la seguridad de la información nos aporta una gran

flexibilidad al no exigir un formato concreto en el que esta información
documentada sea recogida. A la vez que permite que, a parte de algunos
documentos mínimos necesarios, la empresa determine aquellos procesos y
evidencias de cumplimiento que es necesario conservar como información
documentada con el fin de que tenga constancia de que se ha llevado a cabo
según lo planificado y que han resultado eficaces.

Información documentada necesaria:

 política, objetivos y alcance

 procesos de evaluación y tratamiento de riesgos, así
como los resultados.
 resultados de los procesos de seguimiento,
medición, análisis y evaluación.
 Auditorias y resultados
 Revisión por la dirección.
 No conformidades y acciones correctivas
 Procesos y evidencias que la empresa haya
considerado que es necesario mantener como
información documentada.

18 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Auditoría Interna y Revisión por la dirección.

Se trata de dos de las herramientas más poderosas para la mejora si se

realizan de forma correcta. Para ello es necesario:

 establecer una periodicidad de, al menos, una vez al año,

 estar planificada
 y en el caso de la revisión por la dirección incluir unas entradas
concretas que deben considerarse.

Si se realizan adecuadamente, por personal competente y no como un meró

trámite las auditorías internas nos aportarán:

 las evidencias recogidas y los aspectos comprobados.

 las deficiencias detectadas a corregir.
 las desviaciones a tener en cuenta para que en un futuro no se
conviertan en deficiencias.
 y las valiosas oportunidades de mejora.

Por su parte, del Informe de la Revisión por la Dirección saldrán

como resultado decisiones sobre las necesidades de cambios en el
sistema de gestión de la seguridad de la información y la
identificación de los recursos necesarios para llevarlos a cabo,
entre otros aspectos.

19 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

Mejora continua.

La mejora continua, más allá de un pilar sobre el que se sustenta la Norma

ISO 27001:2014, es un eje trasversal que se encuentra presente en cada uno
de los capítulos, requisitos y puntos de esta.

Tenemos que tener presente que el Sistema de Gestión de la Seguridad de la

Información tiene que permanecer en constante evolución, adaptándose a los
cambios de su entorno, a las necesidades en el negocio, a las nuevas
tecnologías, a las amenazas que se produzcan o aparezcan, etc., para
mantener los riesgos controlados en todo momento, aprovechar las
oportunidades que se produzcan y gestionarse de forma cada vez más eficaz.

20 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

La ISO 27002:2015 y los controles a

aplicar en la ISO 27001:2014.

La Norma ISO 27002:2015 es el complemento ideal del SGSI al aportar una

guía de buenas prácticas para la implantación de controles que aseguren la
seguridad de la información de que se dispone.

Nos aporta ideas para la aplicación de los controles en cada uno de sus 14
capítulos pero es la empresa la que decidirá cuales de ellas se implantarán y
en qué grado.

Por lo que, más allá de un requisito se trata de un apoyo, una guía a tener en
cuenta y a consultar, pero, a la vez, esencial para garantizar la eficacia del
Sistema de Gestión de la Seguridad de la Información implantado.

21 / 27
 Junio 2016 | ISO
Junio2016 ISO 27001:2014.
27001:2014. Protegiendo
Protegiendo su
su activo
activo más
más valioso:
valioso: la
la información
información

1 Políticas de seguridad de la información

2 Organización de la seguridad de la información

3 Seguridad relativa a los recursos humanos

4 Gestión de activos

5 Control de acceso

6 Criptografía

7 Seguridad física y del entorno

8 Seguridad de las operaciones

9 Seguridad de las comunicaciones

Adquisiciones, desarrollo y mantenimiento de los

10
sistemas de información

Capítulos de 11 Relación con proveedores

la ISO Gestión de incidentes de seguridad de la
12
27002:2015 información

13 Aspectos de seguridad de la información para la

gestión de la continuidad de negocio
14 Cumplimiento

114 Controles divididos

en 14 capítulos

22 / 27
 Junio 2016 | ISO
Junio2016 ISO 27001:2014.
27001:2014. Protegiendo
Protegiendo su
su activo
activo más
más valioso:
valioso: la
la información
información

Beneficios de la implantación de la Norma

ISO 27001 en su empresa.

Las principales ventajas y beneficios que podrá conseguir y disfrutar al

implantar un Sistema de Gestión de Seguridad de la Información en su
empresa se puede resumir en los siguientes puntos:

 Mejorar de forma continua la gestión de la seguridad de la

información.
 Garantizar la confidencialidad, disponibilidad e integridad de la
información de que dispone.
 Disminuir los riesgos que pueden afectarles.
 Mejorar la imagen corporativa.
 Incremento de la confianza en su empresa.

23 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

 Reducción de los gastos asociados a incidentes de seguridad de la

información.
 Mejora de los procesos y servicios.
 Posible integración con otros sistemas de gestión como ISO 9001
o ISO 14001.
 Mayor implicación del personal en la adecuada gestión y en la
seguridad de la información de que disponen.
 Cumplimiento de la legislación vigente en temas de seguridad de la
información.

24 / 27
 Junio 2016 | ISO
Junio2016 ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activomás
másvalioso:
valioso:lalainformación
información

¿Qué puede hacer SBQ Consultores por su

empresa?

Desde SBQ Consultores le ofrecemos un servicio totalmente personalizado,

adaptado a las peculiaridades de su empresa y a sus necesidades y objetivos
para que la implantación del sistema de gestión de seguridad de la
información le aporte todos los beneficios anteriormente mencionados.

Para ello le acompañamos en todo el proceso de implantación realizando las

siguientes actividades:

25 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

 Evaluación del estado inicial de la empresa en relación con los

requisitos de la Norma ISO 27001.
 Análisis del contexto y partes interesadas.
 Definición del alcance.
 Elaboración de la política y propuesta de objetivos.
 Evaluación de riesgos  Tratamiento de los riesgos  Selección de
controles y declaración de aplicabilidad.
 Documentar la información del SGSI y consenso con la empresa
sobre ello.
 Implementación del SGSI.
 Actividades de formación adaptada a su empresa.
 Realización de Auditoría Interna y Revisión del Sistema.
 Acompañamiento en la auditoría de certificación.
 Resolución de las posibles no conformidades detectadas.

También le ofrecemos las actividades de Mantenimiento de su Sistema de

Gestión de la Seguridad de la Información, Auditoría Interna y Formación
específica a sus trabajadores.

Póngase en contacto con nosotros y descubra lo que puede hacer SBQ

Consultores por su empresa.

26 / 27
 Junio 2016 | ISO 27001:2014. Protegiendo su activo más valioso: la información

Si te ha parecido interesante puedes seguir el contenido de nuestro blog

donde hablamos de temas relacionados con los sistemas de gestión.

Autor: ANA ROJO ROJO

Auditora en Sistemas de Gestión

Avd. Ponferrada, Nº 7 – 9
24700 Astorga (León)
Telf. 987 044 140
info@sbqconsultores.es
www.sbqconsultores.es

27 / 27