pasos para implementar la norma ISO

27001

Norma ISO 27001

Es de actualidad, la publicación de una nueva Ley de protección de datos y de la nueva
ISO 31000:2018 de Gestión de Riesgos, entrando en acción todo lo relacionado con la
seguridad de la información, especialmente, la norma ISO 27001 de Sistema de Gestión de
la Seguridad de la Información.

Siendo la norma ISO 27001 una norma de aplicación voluntaria, es cierto que aquellas
empresas que a día de hoy la tuvieran implementada, tendrán mayores facilidades para
adaptarse a los cambios que estas publicaciones han conllevado.

Aunque existen marcadas diferencias entre la norma 27001 y la nueva norma ISO 31000,
ambas tienen requisitos que son compatibles.

Podemos encontrar multitud de razones para implementar en nuestra empresa el estándar

internacional o norma ISO 27001 de Sistema de Gestión de la Seguridad de la Información.
Entre ellas, que en él se describen las mejores prácticas para mantener segura la
información de una empresa u organización pero, además, sirve de referencia y ayuda
para que las organizaciones mejoren su seguridad, y a la vez cumplan con toda la
legislación referente a seguridad cibernética, mejorando y protegiendo la imagen de la
empresa.
Si bien es cierto, implementar la norma ISO 27001, así como cualquier otra de estas
características, requiere invertir gran cantidad de tiempo y esfuerzo, y en función de la
madurez de la empresa, bastante dinero.

Es por ello, que este post lo dedicaremos a explicar cómo implementar la norma ISO 27001
a través de nueve pasos muy sencillos y fáciles de comprender.

A continuación, se describirán los nueves pasos esenciales para llevar a cabo la

implementación de la norma ISO 27001 para cualquier empresa u organización, siempre
considerando las circunstancias particulares y el sector al que pertenece la empresa.

1 – Director del proyecto

Antes de comenzar con la implementación de la norma ISO 27001, es evidente que debe
nombrarse un líder para el mismo, el cual trabajará con el resto de miembros y con el
personal para inicialmente, generar un mandato de proyecto.

Por tanto, reunirse y generar un responsable o director del proyecto de implantación de

la norma ISO 27001. Para ello se tiene que dar respuesta a preguntas como:

 ¿Qué esperamos lograr?

 ¿Cuánto tiempo tardará?
 ¿Cuánto costará?
 ¿Tiene soporte de gestión?

2 – Inicio del proyecto

A través del mandato de proyecto previamente definido para el proyecto de implantación de

la norma ISO27001, se comienza a definir una estructura más detallada, especificando
cuáles van a ser los objetivos de seguridad de la información, cuál va a ser el equipo, la
planificación y realizar un registro de los riesgos inherentes al proyecto.

3 – Iniciación del Sistema de Gestión de Seguridad de la Información

Y es aquí, donde se elige qué metodología va a seguirse para implementar el Sistema de

Gestión de Seguridad de la Información basado en la norma ISO 27001. Concretamente,
en dicha norma sugiere adoptar un enfoque a procesos para la mejora continua, lo cual
resulta en la actualidad de lo más efectivo para lograr la mejora continua. No obstante, no
especifica qué metodología adoptar, permitiendo a las organizaciones utilizar aquel que
mejor se adapte a su organización.

4 – Marco de gestión

Debe identificarse el marco en el cual va a implementarse el SG-SI según la norma ISO

27001. Es decir, definir el alcance del sistema y su contexto, considerando todos los
dispositivos móviles y teletrabajadores.
5 – Criterios básicos de seguridad

Como es obvio, a continuación, deben identificarse las necesidades básicas de seguridad

que tiene la empresa. Son, por tanto, aquellos requisitos, medidas y/o controles necesarios
en las negociaciones o procesos.

6 – Gestión de riesgos

A través de la norma ISO 27001, las organizaciones definen todos y cada uno de los
procesos involucrados en la gestión de riesgos, estableciendo su propia gestión de
riesgos. Para ellos no hay una metodología concreta, pero independientemente de cuál se
elija, se deben considerar cinco aspectos:

 Establecer un marco para la evaluación de riesgos.

 Identificación de los riesgos.
 Análisis de los riesgos.
 Evaluación de los riesgos.
 Selección de formas de gestionar los riesgos.

7 – Planificación de la Gestión del Riesgos

Consiste en el establecimiento de los controles de seguridad. Evidentemente, se procede

con la verificación de su efectividad y del correcto conocimiento que sobre dichos controles
tiene el personal, conociendo sus obligaciones de seguridad y sabiendo operar con ellos.

Para ello, hay que establecer el nivel de competencia que será necesario, por lo que se
aconseja realizar un análisis de competencias, y desarrollar un proceso para determinar,
revisar y mantenerlas, para que se cumplan los objetivos del SG-SI según la norma ISO
27001.

8 – Medir, controlar y revisar

Como en todos los Sistemas de Gestión, existe una etapa en la cual se tiene que medir,
controlar y revisar el desempeño del sistema, y su alineación con los objetivos previsto
en la anterior etapa.

9 – Certificación

La certificación de la norma ISO 27001, al igual que todas las de esta familia de normas
ISO, no es obligatoria. Si bien es cierto, que carecería de sentido llegar a este punto sin
procurar la certificación y mejorar la imagen de la organización.

De manera resumida, este paso trata de solicitar a un organismo de certificación acreditado,

que son los encargados de verificar que el SG-SI según la norma ISO 27001 cumple
todos los requisitos.
Es decir, se procede con una auditoría externa que, si es positiva, dará lugar a la adquisición
del certificado de la norma ISO 27001 y el correspondiente sello para la empresa.