Beneficios de la ISO 27001 para la

Seguridad de la Información

Índice de contenido

1. Introducción .......................................................................................................................................... 3

2. ¿Qué es la norma ISO 27001? ................................................................................................ 4

3. 6 Ventajas de implementar la ISO 27001 en una organización ............... 6

4. Proceso de documentación para certificarse en ISO 27001 ...................... 9

5 . Etapas de la certificación en ISO 27001 ..................................................................... 10

página 2
www.ealde.es
 Beneficios de la ISO 27001 para la Seguridad de la Información
1. Introducción
La ISO 27001 ‘Tecnología de la
información. Técnicas de seguridad.
Sistemas de Gestión de la Seguridad
de la Información’ es la normativa
internacional de referencia para
implantar Sistemas de Gestión de la
Seguridad de la Información en las
organizaciones. Se trata de un estándar
clave para proteger la seguridad y la
protección de la gran cantidad de
datos que manejan las empresas en
la actualidad. Además, es una norma
certificable, por lo que es una directriz
de obligado conocimiento por parte de
los profesionales dedicados a la Gestión
de Riesgos, la Ciberseguridad y el
Compliance Digital.
Conscientes de la importancia que
tiene esta normativa para profesionales
y directivos de Europa y América
Latina, y en su apuesta por fomentar el
conocimiento especializado en Gestión
de Riesgos y Ciberseguridad, desde
EALDE Business School ponemos a tu
disposición esta guía sobre la ISO 27001.
www.ealde.es
En este completo manual descubrirás
en qué consiste la ISO 27001, cuáles
son los principales beneficios de
implantarla y cómo es el proceso para
lograr certificarse en este estándar.
El Whitepaper contiene también un
apartado sobre las fases a seguir para
documentar un Sistemas de Gestión de
la Seguridad de la Información.
Los contenidos expuestos en el presente
documento son tratados en profundidad
en los programas formativos de EALDE
Business School sobre Gestión de
Riesgos Digitales. En los másteres
y posgrados de nuestra escuela de
negocio online, además, se debate
sobre casos reales, que viven expertos en
Ciberseguridad en su día a día.
Deseamos que los contenidos del
Whitepaper “Beneficios de la ISO 27001
para la Seguridad de la Información” sean
de tu interés, y te animamos a conocer
nuestros programas formativos, que te
permitirán adquirir nuevas habilidades y
Enrique Farrás,
Director de EALDE.
página 3
 Beneficios de la ISO 27001 para la Seguridad de la Información

2. ¿Qué es la norma ISO 27001?

La normativa ISO 27001 es el estándar internacional para la Gestión de la Seguridad

de la Información en las organizaciones, tanto para la información física como para
la digital. Es parte de la familia de estándares ISO 27000, las cuales ayudan a las
organizaciones a mantener sus bienes de información seguros.

La implementación de esta normativa, adoptada por miles de empresas, públicas y

privadas, alrededor del mundo, establece un enfoque sistemático para la gestión de
la información organizacional confidencial y asegura que se mantenga protegida y
disponible. En general, es un estándar amplio que cubre la seguridad técnica, física,
de personal y de procesos en la compañía.

Concretamente, la norma ISO 27001 establece los requisitos para establecer,

implementar, mantener y mejorar de forma continua un Sistema de Gestión de la
Seguridad de la Información (SGSI). Estos sistemas son cada vez más comunes en
las compañías, debido a los nuevos riesgos digitales inherentes a tecnologías como el
Cloud Computing o el Big Data y al aumento de los ciberataques.

página 4
www.ealde.es
 Beneficios de la ISO 27001 para la Seguridad de la Información

Pueden destacarse tres factores sobre el estándar ISO 27001:

1. Sus requisitos genéricos permiten que

sea aplicable a todas las organizaciones,
sin importar su tamaño, tipo o industria.
De esta forma, su implementación se
puede personalizar para las necesidades
exactas de una organización, gracias a los
controles de seguridad de la información
que establece, como requisitos que
debe tener el Sistema de Gestión de la
Seguridad de la Información (SGSI).

2. La normativa adopta un enfoque

flexible y basado en el riesgo. Por ello,
es fundamental que los expertos en
ciberriesgos y ciberseguridad conozcan
sus directrices.

3. Es una normativa dinámica, porque se

enfoca en la mejora continua y ayuda a la
organización a adaptarse a los cambios,
tanto los que se producen dentro como
fuera de la compañía.

Adoptar la norma ISO 27001 tiene importantes beneficios para el negocio, ya que
garantiza de cara a los clientes potenciales que se están cumpliendo una serie de
buenas prácticas. Además, es una norma certificable, de forma que las empresas
que están certificadas en esta norma ISO presenten una diferenciación respecto a su
competencia.

página 5
www.ealde.es
 Beneficios de la ISO 27001 para la Seguridad de la Información

3. 6 Ventajas de implementar la ISO 27001 en una organización

La normativa ISO 27001 es fundamental a la hora de implantar un SGSI y proteger

la información que maneja una empresa. Se pueden distinguir hasta 8 ventajas de
aplicar esta directriz internacional:

1. Mejora la seguridad de la empresa:

Tanto si la organización que aplica la ISO 27001 decide realizar la certificación completa
o no, la norma trae consigo una evaluación sistemática de los riesgos de seguridad de
la información de la organización. Así, tiene en cuenta las amenazas, vulnerabilidades
e impactos que son particulares de esa organización.

Además, la ISO 27001 brinda un marco de referencia para la selección y la

implementación de un conjunto de controles de seguridad de la información y/u
otras formas de tratamiento del riesgo, para abordar aquellos riesgos que se consideren
inaceptables dentro de una compañía.

También incorpora un espíritu de mejora permanente, con el fin de asegurar que

el tratamiento del riesgo siga cumpliendo con las necesidades de seguridad de la
información de la organización.

página 6
www.ealde.es
 Beneficios de la ISO 27001 para la Seguridad de la Información

2. Análisis imparcial del estado de seguridad de la información:

Una de las mayores motivaciones de las organizaciones para certificarse en esta

norma es que el estándar brinda a la compañía un reconocimiento internacional y de
calidad, respaldado externamente, sobre la Gestión de la Seguridad de la Información.
Y es que la ISO 27001 es la referencia de la industria con la cual se mide a la mayoría de
las actividades de Gestión de la seguridad de la información.

El proceso de certificación provee así de garantías externas, tanto a los consumidores

como a la dirección de la organización, sobre el estado real del Sistema de Gestión
de la Seguridad de la Información (SGSI) de la empresa. Son empresas externas e
independientes, acreditadas por el organismo nacional de acreditación de cada
país (ENAC en España), las que certifican el cumplimiento de los requisitos y criterios
establecidos por la norma. Esto brinda una visión clara, imparcial y científica del estado
real de las prácticas que se están llevando a cabo para garantizar la seguridad de la
información.

página 7
www.ealde.es
 Beneficios de la ISO 27001 para la Seguridad de la Información
3. Aumenta la confianza del cliente
La certificación ISO 27001 brinda a
los consumidores y clientes de las
compañías un sello de seguridad
fácilmente reconocible. Usar el logo
de ISO 27001 en las comunicaciones
corporativas de la empresa supone un
recordatorio continuo para los clientes
existentes y futuros, que demuestra un
compromiso de la organización con la
seguridad de la información en todos los
niveles.
4. Mejora la credibilidad y la
confianza en la organización
La certificación en ISO 27001 permite
reducir el control externo de la Gestión
de la Seguridad de la Información que
pueden realizar los clientes u otros
actores de la cadena de producción. Y
es que, contar con el certificado en este
estándar brinda garantías a los clientes
de que su información está protegida
adecuadamente. De esta manera, se
reduce la necesidad de llevar a cabo
auditorías de seguridad que cuestan
dinero y tiempo, lo cual reduce tiempo y
costos para ambas partes.
www.ealde.es
5. Ayuda a diferenciarse en el
mercado
Obtener una certificación en ISO
27001 es un requisito cada vez más
solicitado para hacer negocios en
diferentes mercados, especialmente
al procesar cualquier tipo de datos
personales confidenciales. Alcanzar el
estándar ISO 27001 diferenciará así dos
organizaciones que compitan en el
mercado, brindando una valiosa ventaja
sobre la competencia.
6. Refuerza la política de
Cumplimiento normativo
La ISO 27001 promueve el cumplimiento
de leyes relevantes como la Ley de
protección de datos de 1998 y la
legislación sobre derechos de autor
de programas informáticos. Por tanto,
implementar este estándar ayuda
a reducir el riesgo de enfrentarse
a acusaciones y sanciones por
incumplimiento de alguna normativa.
Por otro lado, la responsabilidad de
una organización ante incidentes de
seguridad puede verse reducida si la
misma cumple con la certificación
ISO 27001. Según la Ley de protección
de datos de 1998, por ejemplo, las
organizaciones están obligadas a tener
un marco institucional diseñado para
asegurar la seguridad de todos los datos
personales. En este sentido, como ISO
27001 es el parámetro internacional
de la Gestión de la Seguridad de la
Información, su implantación será una
evidencia contundente de que se tiene
una política de seguridad adecuada.
página 8
 Beneficios de la ISO 27001 para la Seguridad de la Información

4. Proceso de documentación para certificarse en ISO 27001

Para conseguir la certificación ISO 27001, una organización debe elaborar una
documentación que demuestre que ha desarrollado un Sistema de Gestión de la
Seguridad de la Información (SGSI) que cumple con el estándar. Las organizaciones
deben plantearse elaborar esta documentación incluso si no tienen pensado obtener
la certificación, ya que también proporciona a la empresa un enfoque basado en las
mejores prácticas.

El proceso de creación de la documentación implica que la organización pase por una

secuencia de pasos cruciales, como se muestra en la siguiente lista:

· Entender el entorno y las prácticas de seguridad de la organización.

· Identificar las ventajas de negocio de implementar y mantener un

Sistema de Gestión de la Seguridad de la Información (SGSI) efectivo,
así como los beneficios de alcanzar la certificación ISO 27001.

· Definir el alcance del enfoque del SGSI y de la gestión del riesgo que
implicará.

· Seleccionar los controles de seguridad de la información apropiados

a partir del estándar para crear una Declaración de aplicabilidad
(DdA).

· Usar la Declaración de aplicabilidad (DdA) para crear un plan de

tratamiento del riesgo, el cual tiene que describir sus objetivos de
seguridad de la información y cómo los alcanzará.

· Generar conciencia en la propia organización acerca de la seguridad

de la información e implementar programas de formación.

página 9
www.ealde.es
 Beneficios de la ISO 27001 para la Seguridad de la Información

5 . Etapas de la certificación en ISO 27001

El proceso de certificación en ISO 27001 conlleva dos auditorías, cada una realizada
por un auditor externo independiente.

Etapa uno: Auditoría de documentación

Esta auditoría implica la evaluación del Sistema de Gestión de la Seguridad de la

Información (SGSI) documentado, para determinar si la documentación cumple con
los requisitos del estándar. Durante este proceso, la compañía recibirá asesoría sobre
cualquier problema y tendrá la oportunidad de rectificar los incumplimientos o no
conformidades antes de ser evaluada nuevamente. Una vez que el auditor confirme
que la documentación cumple con el estándar, se podrá seguir con la segunda
auditoría.

Etapa dos: Auditoría de implementación

Esta auditoría conlleva la evaluación de si la implementación del Sistema de Gestión

de la Seguridad de la Información respeta la documentación presentada. De nuevo,
si el auditor encuentra errores en la implementación, la organización auditada
tendrá la oportunidad de realizar correcciones y ser reevaluada. Si el informe de
auditoria concluye con la conformidad necesaria, la compañía en cuestión recibirá la
certificación ISO 27001.

Esta certificación se mantiene a través de auditorías de control anuales y de una

evaluación completa cada tres años. Esto implica, por lo tanto, que las organizaciones
han de seguir trabajando por mejorar su SGSI aunque ya cuenten con la certificación
en ISO 27001.

página 10
www.ealde.es
(+34) 917 710 259 Calle del Golfo de Salonica, 27 www.ealde.es
28033 Madrid, España admision@ealde.es