1
Guía de migración para la política de seguridad del SGSI
pasando de la norma ISO/IEC 27001:2005 a ISO/IEC
27001:2013 orientado a una entidad financiera. (6 Noviembre 2018)
Jimenez Eddison, Oviedo Omar {ejimenez1, ooviedo4}@udi.edu.co

Resumen— Actualmente con los más grandes avances
tecnológicos en la historia de la humanidad, la información de los
clientes se ha convertido en el tema más importante de las
empresas alrededor del mundo. En este momento la mayoría de los
sistemas gestores de seguridad de la información (SGSI) en las
compañías están basadas en la norma técnica ISO / IEC 27001 of
2005, sin embargo, con la enorme cantidad de amenazas es
prioritario para las organizaciones actualizar sus estándares con el
fin de lograr buenos resultados en las auditorias y procedimientos
de control. Dado lo anterior y buscando estar a la vanguardia de
las regulaciones actuales, el objetivo de este proyecto es hacer un
análisis de la política de seguridad existente en cierta organización
financiera y, en base a los resultados de este análisis, se construirá
una guía especificando las modificaciones para hacer una
transición adecuada de la política de seguridad de la información a
la ISO / IEC 27001 de 2013 y de esta manera alcanzar la alineación
de todas las áreas involucradas con la gestión y revisión de esta
política en la organización; cabe aclarar que esta guía se realizará
basado en entidades que tienen como objeto actividades
financieras.
Palabras clave— Entidad Financiera, ISO 27001, Seguridad de
la información, SGSI.
Abstract— Currently with the biggest technological
advances in the history of the humanity, the information of the
customers has became in the most important topic of the
enterprises around the world. At the moment the most of the
information security management systems (ISMS) in the
companies are based on the technique rule ISO / IEC 27001 of
2005, however, with the huge quantity of threats is priority for
organizations to update their standard looking for good results in
the audit and control issues. Given the foregoing and seeking to be
at the forefront of the current regulations, the goal of this project is
to do an analysis of the existing security policy at some financial
organization, and in base of the results of this analysis a guide will
be build specifying the modifications to make an appropriate
transition of the information security policy to the ISO / IEC 27001
of 2013 and in this way reach the alignment of all the areas
involved with the management and review of this policy in the
organization; this guide will be made based on entities that have as
their object financial activities.
Keywords— Financial entity, Information Security, ISO 27001
ISMS.
I. INTRODUCCIÓN
E N la actualidad muchos de los sistemas de gestión de
seguridad de la información (SGSI) en las empresas se
encuentran basados en la norma ISO / IEC 27001 de 2005 ya
que no es necesario legalmente para todas las actividades
económicas mantenerse actualizado con las leyes más
recientes ni obtener la certificación que las acredite como tal,
por lo tanto es importante para las organizaciones la
actualización de la norma teniendo en cuenta que se pueden
presentar inconvenientes en los referente a temas de auditoria
y controles de la seguridad de la información. Dado lo anterior
y en procura de estar a la vanguardia en cuanto a la
normatividad vigente, se realizará un análisis de la política de
la seguridad de la información a partir del cual se contará con
la capacidad de construir una guía donde se especifiquen las
modificaciones a realizar para la adecuada transición de la
política de seguridad de la información a la norma ISO / IEC
27001 de 2013 y de esta forma lograr la alineación de todas las
áreas involucradas con el manejo y revisión de esta política en
las organizaciones. Cabe destacar que esta guía se realizara
basada en entidades que tienen como objeto las actividades
financieras.
II. LA SEGURIDAD DE LA INFORMACIÓN EN EL
SECTOR FINANCIERO Y TRATAMIENTO DE LOS
RIESGOS
El activo más valioso para una empresa u organización,
siempre es la información, es por esto que debe estar protegida
de manera muy segura. En ocasiones es confundido el
concepto de seguridad de la información con seguridad
informática, siendo esta ultima la protección de la misma
dentro de un sistema informático, pero la seguridad de la
información abarca todo lo que tiene que ver con la
información, en los diferentes contextos de los usuarios.
La finalidad de la seguridad de la información es que por
medio de técnicas que hacen frente a los riesgos, los analiza y
los previene, asegure que la información que fluye en una
compañía se maneje en ella y no salga de su sistema, y que a
su vez esta se encuentre disponible para quien este autorizado
para gestionarla, asegurando que cuando esta sea modificada
lo hagan usuarios o procesos previamente permitidos.
La seguridad de la información debe asegurar al máximo
tres aspectos fundamentales que son: la confidencialidad, la
 2

integridad y la disponibilidad. Para asegurar estos tres

aspectos se realizan estrategias que se plasman en una política
que abarca cada uno de los aspectos, por medio de controles,
verificando las tecnologías utilizadas y todos los procesos que
se llevan en la compañía con el fin de detectar riesgos.

 Confidencialidad: La no divulgación de
información que hace parte del sistema de la
empresa u organización, a personas o entidades no
autorizadas.
 Disponibilidad: La información que haga parte del
sistema de información de la empresa u
Fig. 2. Tratamiento de riesgos 2
organización este siempre disponible para los
usuarios autorizados para acceder a la misma.

Integridad: Asegurar de que la información sea
III. CAMBIOS EN LA ESTRUCTURA DE LA ISO / IEC
veraz, no manipulada a menos de que sea de
27001:2005 A LA ISO / IEC 27001:2013
manera autorizada.
Los cambios generales que se pueden observar en las dos
La Asociación Colombiana de Ingenieros de Sistemas (ACIS), versiones de la norma son los siguientes:
realizo una encuesta sobre seguridad informática en el año
2017 a través de internet, esta conto con 128 encuestados de • Uno de los cambios realizados a la norma ISO 27001:2013
fue el cambio de estructura ahora de alto nivel denominado
diferentes sectores económicos.
“Anexo SL”, que introduce un texto base idéntico con
términos y definiciones comunes.
• En la versión ISO/IEC 27001:2013, se eliminaron los
anexos B y C que traía la versión ISO/IEC 27001:2005.
• Las partes interesadas se establecen como parte de la
versión 2013, dándoles gran importancia en la norma.
• Se permite la decisión en la identificación de los riesgos en
la versión 2013 de la norma ISO/IEC, su evaluación ya no va a
partir de los activos, las vulnerabilidades y las amenazas.
• Se reemplazan los conceptos “documentos” y “registro” de
la versión 2005 por información documentada de la versión
2013.
• En la versión 2013 de la norma, el informe de objetivos
debe incluir un responsable que haga ejecutar los objetivos y
Fig. 1. Sectores participantes
de medirlos.
La gráfica 1 muestra que el sector con más participación es el • Las acciones preventivas pasan a ser parte de la evaluación
financiero y no es para menos, teniendo en cuenta que es de del riesgo en la versión 2013 de la norma.
los más apetecidos por la ciberdelincuencia por el gran flujo • En la versión 2013 de la norma, las acciones correctivas se
clasifican en dos tipos, unas enfocadas a buscar solución a las
de información bancaria de clientes. 1
no conformidades y las que se dedican a eliminar las causas
que provocan las no conformidades.
Para preparar una entidad financiera para temas de
ciberseguridad, el análisis de riesgo resulta muy importante al
momento de tomar decisiones en las mejoras que se quieran
IV. NUEVOS CONCEPTOS DE LA ISO / IEC 27001:2013
proponer a la seguridad de la información. Y si se es
consciente del valor que tiene este activo, es muy válido poner
en práctica un plan director de seguridad, que consiste en dar Los siguientes conceptos se han actualizado o son nuevos
prioridad a los proyectos que tienen que ver con la seguridad en la actualización de la norma ISO/IEC 27001 de su versión
de la información, enfocándose en reducir los riesgos a los que 2005 a la 2013:
se ve expuesta la empresa u organización en su análisis, a
niveles aceptables.

En un análisis de riesgo varían las fases según la metodología

escogida, pero las fases más comunes en un análisis de riesgo
son las descritas a continuación.

Fig. 3. Nuevos conceptos 3
V. VERIFICACIÓN DE CUMPLIMIENTO E LOS
CONTROLES DE LA NORMA ISO / IEC 27001: 2013 EN LA
ENTIDAD FINANCIERA
 A5: Políticas de la seguridad de la información
La entidad financiera cuenta con una política de seguridad de
la información que está disponible a las personas interesadas,
se realiza periódicamente una auditoria y por ende su
actualización.
 A6: Organización de la seguridad de la información
La entidad cuenta con una estructura organizada en las
responsabilidades y roles que conciernen al SGSI, estas se
dividen en:
Las que tienen que ver con la planificación, seguimiento y
mantenimiento del SGSI.
Ejecución de las políticas y responsabilidades en las
actividades de la organización.
En los dos casos se especifican los responsables de las
actividades.
Por otra parte según la norma ISO-IEC 27001:2013, incluye el
control A.6.1.5 que indica "La seguridad de la información se
debe tratar en la gestión de proyectos independientemente del
tipo de proyecto". Debido a que la política de seguridad de la
entidad se encuentra basada en la norma ISO-IEC 27001:2005,
este control no se encuentra contemplado en la política de
seguridad de la entidad.
 A7: Seguridad de los recursos humanos
Si bien en la política de seguridad de la información no se
especifica la revisión de antecedentes para los candidatos a un
cargo, se tiene conocimiento de que por motivos del sistema
de lavado de activos y financiación del terrorismo por parte de
la entidad, esta verificación se realiza. En los contratos se
3
especifica que cada colaborador debe propender por mantener
la seguridad de la información de la entidad. La alta dirección
realiza esfuerzos por mantener a su persona durante su empleo
capacitado en lo referente a la toma de conciencia y
responsabilidades de cada uno, además de advertir en los
riesgos y consecuencias tanto para la empresa como para el
empleado si se presenta una violación a la seguridad de la
información. Además se indica que se debe mantener la
reserva y confidencialidad de los procesos relativos a la
seguridad de la información una vez dejen de laborar para la
entidad.
 A8: Gestión de activos
La entidad clasifica y etiqueta cada uno de sus activos, por lo
que puede determinar el responsable, como se deben utilizar, y
cuando son devueltos. Se realiza un procedimiento similar con
la información almacenada en la organización en los diferentes
medios con los que cuenta, aplicando sobre estos restricciones
para su manejo, disposición y transferencia.
 A9: Control de acceso
Se cuenta con controles acceso tanto físico como a la red de la
entidad, limitando así el acceso a la información. Los usuarios
son evaluados y clasificados de acuerdo a su rol para darles
solo los privilegios necesarios para el desarrollo de las
actividades a realizar. Esto implica que los usuarios responden
por salvaguardar la información gracias a la autenticación que
realizan y se evita el acceso no autorizado a los sistemas de
información.
 A10: Criptografía
Se asegura el uso eficaz de la criptografía en aras de garantizar
la confidencialidad, integridad y disponibilidad de la
información de la entidad, ya que se cuenta con los controles
criptográficos necesarios para hacerlo y existe un
procedimiento para el manejo de las llaves criptográficas
durante su ciclo de vida.
 A11: Seguridad física y del entorno
La entidad financiera cumple completamente con este objetivo
de control ya que cuenta con la protección requerida y
necesaria para el cuidado de sus activos, posee un circuito
cerrado de vigilancia y en su sede principal se debe ingresar
validando la huella dactilar para los empleados, y los visitantes
por medio de un carnet entregado posteriormente al registro.
En cuanto a los equipos tecnológicos, se les realiza inventario
mantenimiento y actualización periódicamente, se cuenta con
respaldo de energía en caso de falla con una planta propia en
la sede principal, y UPS en las distintas oficinas.
 A12: Seguridad de las operaciones
Se cumple claramente con lo estipulado por este objetivo de
control ya que la entidad cuenta con una intranet en la que se
documenta y se lleva control de cambios de cada uno de los
procesos de la entidad. Se encuentra estipulado en la política

de seguridad de la información los controles efectivos,
preventivos y correctivos en contra de los ataques maliciosos
que se puedan llegar a presentar. Las copias de seguridad son
indispensables en la entidad, se registran y revisan los logs de
los usuarios y administradores del sistema, se protegen los
activos críticos del acceso no autorizado y la hora en todos los
sistemas de la entidad a nivel nacional se encuentran
sincronizados. Además las auditorias son planificadas con
antelación y no afectan el funcionamiento y continuidad del
negocio. Surge un nuevo control, el A 12.6.2, por lo que se
debe incluir en la política de seguridad de la información las
restricciones que tienen los usuarios para la instalación de
software, y especificando quien son los encargados y con los
con los permisos necesarios para realizar estas operaciones.
 A13: Seguridad de las comunicaciones
La entidad cumple a cabalidad con lo estipulado en este
objetivo de control ya que cuenta con segmentación de la red
que es gestionada y controlada en base a los mecanismos de
seguridad requeridos y plasmados en ella. También se cuenta
con protocolos seguros a la hora de la transferencia de
información en las comunicaciones tanto internas como
externas, además de los acuerdos de confidencialidad firmados
previamente al envió de la información confidencial.
 A14: Adquisición, desarrollo y mantenimiento de
sistemas
La entidad se toma muy en serio la seguridad de la
información en lo concerniente a todo el ciclo de vida del
desarrollo de software, incuso aquellos que se utilizan en redes
públicas, aunque estos sistemas no sean desarrollados
directamente por la organización. En este objetivo se
incluyeron los controles: A 14.2.1 - A.14.2.5 - A 14.2.6 y A
14.2.8. Hacen referencia a la seguridad en los procesos de
desarrollo y de soporte del software, por lo que la política
debería incluir reglas y principios para el desarrollo seguro del
software, estipular un ambiente en el que el software sea
desarrollado seguramente y definir las pruebas que se deben
llevar a cabo antes de implementarse.
 A15: Relaciones con los proveedores
Si bien es cierto que la entidad cuenta con acuerdos de
confidencialidad con cada uno de los terceros con los que se
relaciona, y que en su política de seguridad hace referencia a
que todos los terceros involucrados en propender por la
seguridad de la información deben acatarla, no se evidencia
una política de seguridad documentando para su relación con
los proveedores. Aunque se realiza el seguimiento pertinente a
estos, se gestionan los cambios en los servicios con ellos y se
trata la seguridad de la información en base a los acuerdos
pactados, no se cuenta con la cadena de suministro requerido
en este objetivo de control de la norma. Los controles nuevos
en este apartado son el A 15.1.1 y el A 15.1.3
 A16: Gestión de incidentes
4
En base a que los incidentes presentados en la entidad
financiera pueden acarrear la perdida de la confidencialidad,
integridad o disponibilidad de la información, su principal
activo, se cuenta con un procedimiento que indica las
responsabilidad cuando estos se presentan, la forma de
reportar los incidentes generados o que podrían presentar, la
recolección de evidencia del incidente y como aprender de
este.
Aquí se incluyeron dos nuevos controles en la norma (A
16.1.4 - A 16.1.5) A partir de estos se debe definir en la
política cuales eventos y en base a que serán etiquetados y
como responder ante los clasificados como incidentes de
seguridad de la información
 A17: Aspectos de seguridad de la información de la
gestión de continuidad de negocio
La entidad cuenta con planes de contingencia ante la
presentación de un desastre o cualquier situación inesperada
que garantizan la continuidad del negocio y de la gestión de la
seguridad de la información, esto se encuentra debidamente
documentado y se hacen revisiones con el propósito de
asegurar que se está tomando a consideración los aspectos
relevantes y necesarios.
En este apartado se incluyó en la norma el control a 17.2.1 que
insta a que se debe asegurar la disponibilidad del
procesamiento de la información, si bien es cierto que la
organización debido a su carácter social y para no incurrir en
pérdidas monetarias y de buen nombre cuenta con la
redundancia suficiente para garantizar esto, se torna
recomendable incluir en la política de seguridad de la
información un item describiendo como se cumple este
control.
 A18: Cumplimiento
Teniendo en cuenta la actividad financiera a la que se dedica
la entidad, se hace evidente el cumplimiento de cada uno de
los requisitos legales y contractuales que conciernen a:
derechos de propiedad intelectual, protección y privacidad de
los registros de información y aplicación de controles
criptográficos pertinentes con el fin evitar las sanciones
legales y pecuniarias que supondrían el incumplimiento de
estos factores. Además la entidad también revisa anualmente
que se cumplan las normas de la política de seguridad de la
información en los sistemas de información propios.
VI. HOMOLOGACIÓN DE REQUERIMIENTOS Y
CONTROLES DE LA NORMA ISO / IEC 27001
 Requerimientos homologados
Se identifican los requerimientos que continúan en las dos
versiones de la norma, pero que surgieron algún tipo de
cambio.
 5

La homologación de los numerales referentes a los REFERENCIAS

requerimientos se encuentran en el “Anexo 1-Homologación
de requerimientos” del presente proyecto.
 Requerimientos nuevos
A partir de la actualización de la norma, se crearon nuevos
requerimientos que complementan y refuerzan la norma, se
identificaron estos requerimientos, se describió su impacto y
recomendaciones para su inclusión.
La evaluación a los requerimientos nuevos se encuentra en
el “Anexo 2-Nuevos requerimientos”.
[1] Encuesta nacional de seguridad informática 2017 - Asociación
Colombiana de Ingenieros de Sistemas. [Página web]. Disponible en:
http://acis.org.co/revista143/content/encuesta-nacional-de-seguridad-
inform%C3%A1tica-2017. Consultado en Junio de 2018
[2] ¡Fácil y sencillo! Análisis de riesgos en 6 pasos - INSTITUTO
NACIONAL DE CIBERSEGURIDAD. [Página web]. Disponible en:
https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-
sencillo. Consultado en Mayo de 2018.
[3] Pasando de ISO/IEC 27001:2005 a ISO/IEC 27001:2013 - BSI Group
- [Página web]. Disponible en:
https://www.bsigroup.com/LocalFiles/esMX/ISO%20IEC%2027001/
Gu%C3%ADa%20de%20Transici%C3%B3n_ISO27001.pdf.
Consultado en Junio de 2018.

 Controles nuevos

Es importante para el proceso de migración de la norma

ISO/IEC 27001:2005 a la versión 2013, tener muy presentes
los controles nuevos, teniendo en cuenta que pueden ser
vulnerabilidades que quizás no se tengan contempladas, o en
el mejor de los casos si se tengan presentes, pero no se tenga
en cuenta en el SGSI.

En el “Anexo 3-Controles nuevos” del presente documento

se pueden observar los controles que se introdujeron a la
norma, estableciendo un impacto de su ausencia y una
recomendación para la inclusión.

VII. CONCLUSIONES

• Se recomienda hacer la transición de la política de

seguridad de la información a la norma técnica
ISO27001:2013 en procura de sintetizar los procesos que
faciliten la integración del negocio, las mediciones de
cumplimiento de los objetivos por parte de la alta dirección y
de esta manera medir la efectividad del SGSI

• Si bien es cierto que la política analizada se basa en la

norma ISO 27001:2005, la entidad ha realizado avances en
materia de seguridad de la información debido a la robustez de
su infraestructura económica y al cumplimiento de los
requisitos solicitados tanto por su ente regulador como por las
leyes nacionales.

• Teniendo en cuenta el aumento exponencial de las

amenazas relacionadas con la seguridad de la información,
acentuada aún más en entidades dedicadas al ámbito
financiero, se hace imperiosa la necesidad de garantizar que se
cuenta con el personal suficiente y capacitado para responder
y tratar los riesgos de la manera adecuada.