Blog Calidad y Excelencia

9 pasos para implementar la norma ISO

27001
24 MAYO, 2018

ARTÍCULOS TÉCNICOS, DESTACADOS, ISO 27001, RIESGOS Y SEGURIDAD, SISTEMAS DE GESTIÓN NORMALIZADOS

5 (100%) 1 vote

Norma ISO 27001

Es de actualidad, la publicación de una nueva Ley de protección de datos y de la nueva
ISO 31000:2018 de Gestión de Riesgos, entrando en acción todo lo relacionado con la
seguridad de la información, especialmente, la norma ISO 27001 de Sistema de Gestión de la
Seguridad de la Información.

Siendo la norma ISO 27001 una norma de aplicación voluntaria, es cierto que aquellas

empresas que a día de hoy la tuvieran implementada, tendrán mayores facilidades para
adaptarse a los cambios que estas publicaciones han conllevado.

Descarga gratis e-book: La norma ISO 27001

  

Aunque existen marcadas diferencias entre la norma 27001 y la nueva norma ISO 31000,

ambas tienen requisitos que son compatibles.

Podemos encontrar multitud de razones para implementar en nuestra empresa el estándar

internacional o norma ISO 27001 de Sistema de Gestión de la Seguridad de la Información.
Entre ellas, que en él se describen las mejores prácticas para mantener segura la
información de una empresa u organización pero, además, sirve de referencia y ayuda para
que las organizaciones mejoren su seguridad, y a la vez cumplan con toda la legislación
referente a seguridad cibernética, mejorando y protegiendo la imagen de la empresa.

Si bien es cierto, implementar la norma ISO 27001, así como cualquier otra de estas
características, requiere invertir gran cantidad de tiempo y esfuerzo, y en función de la
madurez de la empresa, bastante dinero.

Es por ello, que este post lo dedicaremos a explicar cómo implementar la norma ISO 27001 a
través de nueve pasos muy sencillos y fáciles de comprender.

A continuación, se describirán los nueves pasos esenciales para llevar a cabo la

implementación de la norma ISO 27001 para cualquier empresa u organización, siempre
considerando las circunstancias particulares y el sector al que pertenece la empresa.

1 – Director del proyecto

Antes de comenzar con la implementación de la norma ISO 27001, es evidente que

debe nombrarse un líder para el mismo, el cual trabajará con el resto de miembros y con el
personal para inicialmente, generar un mandato de proyecto.

Por tanto, reunirse y generar un responsable o director del proyecto de implantación de la

norma ISO 27001. Para ello se tiene que dar respuesta a preguntas como:

 ¿Qué esperamos lograr?

 ¿Cuánto tiempo tardará?

 ¿Cuánto costará?

 ¿Tiene soporte de gestión?

2 – Inicio del proyecto

A través del mandato de proyecto previamente definido para el proyecto de implantación de la
norma ISO27001, se comienza a definir una estructura más detallada, especificando
cuáles van a ser los objetivos de seguridad de la información, cuál va a ser el equipo, la
planificación y realizar un registro de los riesgos inherentes al proyecto.

3 – Iniciación del Sistema de Gestión de Seguridad de la Información

Y es aquí, donde se elige qué metodología va a seguirse para implementar el Sistema de

Gestión de Seguridad de la Información basado en la norma ISO 27001. Concretamente,
en dicha norma sugiere adoptar un enfoque a procesos para la mejora continua, lo cual
resulta en la actualidad de lo más efectivo para lograr la mejora continua. No obstante, no
especifica qué metodología adoptar, permitiendo a las organizaciones utilizar aquel que mejor
se adapte a su organización.

4 – Marco de gestión

Debe identificarse el marco en el cual va a implementarse el SG-SI según la norma ISO

27001. Es decir, definir el alcance del sistema y su contexto, considerando todos los
dispositivos móviles y teletrabajadores.

5 – Criterios básicos de seguridad

Como es obvio, a continuación, deben identificarse las necesidades básicas de

seguridad que tiene la empresa. Son, por tanto, aquellos requisitos, medidas y/o controles
necesarios en las negociaciones o procesos.

En la norma #ISO27001 se describen las mejores

prácticas para mantener segura la información de
una empresa
CLICK TO TWEET

6 – Gestión de riesgos

A través de la norma ISO 27001, las organizaciones definen todos y cada uno de los
procesos involucrados en la gestión de riesgos, estableciendo su propia gestión de
riesgos. Para ellos no hay una metodología concreta, pero independientemente de cuál se
elija, se deben considerar cinco aspectos:
 Establecer un marco para la evaluación de riesgos.

 Identificación de los riesgos.

 Análisis de los riesgos.

 Evaluación de los riesgos.

 Selección de formas de gestionar los riesgos.

7 – Planificación de la Gestión del Riesgos

Consiste en el establecimiento de los controles de seguridad. Evidentemente, se procede

con la verificación de su efectividad y del correcto conocimiento que sobre dichos controles
tiene el personal, conociendo sus obligaciones de seguridad y sabiendo operar con ellos.

Para ello, hay que establecer el nivel de competencia que será necesario, por lo que se
aconseja realizar un análisis de competencias, y desarrollar un proceso para determinar,
revisar y mantenerlas, para que se cumplan los objetivos del SG-SI según la norma ISO
27001.

8 – Medir, controlar y revisar

Como en todos los Sistemas de Gestión, existe una etapa en la cual se tiene que medir,
controlar y revisar el desempeño del sistema, y su alineación con los objetivos previsto en
la anterior etapa.

9 – Certificación

La certificación de la norma ISO 27001, al igual que todas las de esta familia de normas
ISO, no es obligatoria. Si bien es cierto, que carecería de sentido llegar a este punto sin
procurar la certificación y mejorar la imagen de la organización.

De manera resumida, este paso trata de solicitar a un organismo de certificación acreditado,

que son los encargados de verificar que el SG-SI según la norma ISO 27001 cumple todos
los requisitos.

Es decir, se procede con una auditoría externa que, si es positiva, dará lugar a la adquisición
del certificado de la norma ISO 27001 y el correspondiente sello para la empresa.
 Lista de documentos obligatorios
exigidos por la norma ISO 27001
(revisión 2013)
Autor: Dejan Kosutic






Con la nueva revisión de ISO/IEC 27001 publicada hace poco, muchas personas se

preguntan qué documentos son obligatorios en esta nueva revisión de 2013. ¿Son
necesarios más documentos o menos?
Así que aquí está la lista – a continuación verá no sólo documentos obligatorios, sino
también aquellos documentos más comúnmente usados en una implantación de ISO
27001.

Documentos obligatorios y registros requeridos por

ISO 27001:2013
Aquí están los documentos que necesita elaborar si quiere cumplir con la norma ISO
27001: (por favor tenga en cuenta que los documentos del anexo A son obligatorio sólo si
existen riesgos que impliquen su implantación)

 El alcance del sistema de gestión de seguridad de la información (cláusula 4.3)

 Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2)

 Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2)

 Declaración de aplicabilidad (cláusula 6.1.3 d)

 Plan de tratamiento de riesgo (cláusula 6.1.3 e y 6.2)

 Informe sobre evaluación de riesgos (cláusula 8.2)

 Definición de roles y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4)

 Inventario de activos (cláusula A.8.1.1)

 Uso aceptable de los activos (cláusula A.8.1.3)

 Política de control de acceso (cláusula A.9.1.1)

 Procedimientos de operación para gestión de TI (cláusula A.12.1.1)

 Principios de ingeniería de sistemas seguros (cláusula A.14.2.5)

 Política de seguridad para proveedores (cláusula A.15.1.1)

 Procedimiento para gestión de incidentes (cláusula A.16.1.5)

 Procedimientos de Continuidad de negocio (cláusula A.17.1.2)

 Requerimientos legales, regulatorios y contractuales (cláusula A.18.1.1)

Y aquí están los registros obligatorios:

 Registros de formación, habilidades, experiencia y calificaciones (cláusula 7.2)

 Seguimiento y resultados de medición (cláusula 9.1)

 Programa de auditoria interna (cláusula 9.2)

 Resultados de auditorías internas (cláusula 9.2)

 Resultados de la Revisión por Dirección (cláusula 9.3)

 Resultados de acciones correctivas (cláusula 10.1)

 Registros de las actividades de usuario, excepciones y eventos de seguridad

(cláusulas A.12.4.1 y A.12.4.3)

Documentos no obligatorios
Hay numerosos documentos no obligatorio que pueden ser utilizados para la
implementación de la ISO 27001, especialmente para los controles de seguridad del anexo
A. Sin embargo, me encuentro con estos documentos que no son obligatorios pero que
comúnmente son los más usados:

 Procedimiento para control de documentos (cláusula 7.5)

 Controles para la gestión de registros (cláusula 7.5)

 Procedimiento para auditoría interna (cláusula 9.2)

 Procedimiento para acciones correctivas (cláusula 10.1)

 Política BYOD (Bring Your Own Device = Trae tu propio dispositivo) (cláusula
A.6.2.1)

 Política de dispositivo sobre dispositivos móviles y tele-trabajo (cláusula A.6.2.1)

 Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3)

 Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3)

 Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7)

 Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5)

 Política de pantalla y escritorio limpios (cláusula A.11.2.9)

 Política de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4)

 Política de Copias de seguridad (cláusula A.12.3.1)

 Política de transferencia de información (cláusulas A.13.2.1, A.13.2.2, y A.13.2.3)

 Análisis de impacto en el negocio (BIA) (cláusula A.17.1.1)

 Plan de pruebas y verificación (cláusula A.17.1.3)

 Plan de mantenimiento y revisión (cláusula 17.1.3)

 Estrategia de continuidad de negocio (cláusula A.17.2.1)

Así que esto es – ¿Qué opinas? ¿Hay que escribir demasiado? ¿Estos documentos cubren
todos los aspectos de seguridad de la información?

Clic aquí para descargar un White paper   Lista de documentación obligatoria requerida por
ISO 27001 (Revisión 2013) con información más detallada acerca de las recomendaciones
más comunes para la estructuración e implementación de los documentos y registros
obligatorios que establece la norma.
Haga clic aquí para descargar la documentación técnica con la  Checklist of Mandatory
Documentation Required by ISO 27001 (2013 Revision).  Incluye la información más
 detallada sobre las formas más comunes para estructurar e implementar documentos y
registros obligatorios.

Lista de apoyo para implementación

de ISO 27001
Autor: Dejan Kosutic






Si usted está empezando a implementar la norma ISO 27001, probablemente esté

buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma
sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de
dieciséis pasos que deberá seguir si desea obtener la certificación ISO 27001:

1. Obtener el apoyo de la dirección

Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que
merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los
proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina
suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero.
(Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para
presentarle el tema a la dirección)

2. Tomarlo como un proyecto

Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que
involucra diversas actividades, a muchas personas y puede demandar varios meses (o
más de un año). Si no define claramente qué es lo que se hará, quién lo hará y en qué
período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine
el trabajo.

3. Definir el alcance
Si se trata de una gran organización, probablemente tenga sentido implementar la norma
ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta
forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)

4. Redactar una Política de SGSI

La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado
detallado pero debe definir algunos temas básicos sobre la seguridad de la información
en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la
dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de la
Información: ¿qué nivel de detalle debería tener?)

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001;
su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las
amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable
de riesgo. Si esas reglas no están definidas claramente, usted podría encontrarse en una
situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de
riesgos para empresas pequeñas)

6. Realizar la evaluación y el tratamiento de riesgos

Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones
más grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con
mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la
información de su organización.

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables

(generalmente se hace planificando el uso de controles del Anexo A).
En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente
todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos.
También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un
documento separado o como parte de la Declaración de aplicabilidad.

7. Redactar la Declaración de aplicabilidad

Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles
del Anexo necesita (hay un total de 114 controles pero, probablemente, no los necesite a
todos). El objetivo de este documento (generalmente denominado DdA) es enumerar
todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa
decisión, los objetivos que se lograrán con los controles y describir cómo se
implementarán.

La Declaración de aplicabilidad también es el documento más apropiado para obtener la

autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Justo cuando pensaba que había resuelto todos los documentos relacionados con el
riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir
claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con
qué presupuesto, etc. Este documento es, en realidad, un plan de implementación
enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes
del proyecto.

9. Determinar cómo medir la eficacia de los controles

Otra tarea que, generalmente, es subestimada. El tema aquí es, si usted no puede medir
lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto,
asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para
todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad.

10. Implementación de controles y procedimientos

obligatorios
Es más fácil decirlo que hacerlo. Aquí es cuando debe implementar los cuatro
procedimientos obligatorios y los controles correspondientes del Anexo A.
Esta es, habitualmente, la tarea más riesgosa de su proyecto ya que, generalmente,
implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de
nuevas conductas en su organización. Muchas veces las nuevas políticas y procedimientos
son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente,
se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es
vital para prevenir ese riesgo.

11. Implementar programas de capacitación y

concienciación
Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos,
primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan
actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por
el fracaso del proyecto para la implementación de la norma ISO 27001.

12. Hacer funcionar el SGSI

Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su
organización. La palabra más importante aquí es: “registros”. A los auditores les encantan
los registros; sin registros le resultará muy difícil probar que una actividad se haya
realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, usted
puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores)
están realizando sus tareas según lo requerido.

13. Supervisión del SGSI

¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los
procedimientos se efectúan correctamente?

Aquí es donde se cruzan los objetivos de los controles con la metodología de medición;
debe verificar si los resultados que obtiene cumplen con lo que se estableció en los
objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas
correctivas y/o preventivas.

14. Auditoría interna

Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro
lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente
de los problemas existentes o potenciales puede dañar a su organización, por eso debe
realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es
activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas
con los auditores internos de las normas ISO 27001 y BS 25999-2)
15. Revisión por parte de la dirección
La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está
sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los
resultados deseados, etc. En base a estos aspectos, la dirección debe tomar algunas
decisiones importantes.

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las
denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo
tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen
sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se
solucione y se controle.

Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma
ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado.
Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su
certificado.