INVESTIGACIÓN DE ESTADIAS

ISO 27001
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información
permite a las organizaciones la evaluación del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la
competitividad y la imagen de una organización.
La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o
controles establecidos en la norma ISO 27002.
Estructura de la norma ISO 27001
1. Contexto de la Organización: Este es el primer requisito de la norma, el cual
recoge indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.
2. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de
seguridad que conozca toda la organización y ha de asignar roles, responsabilidades
y autoridades dentro de la misma.
3. Planificación: Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos de
Seguridad de la Información y el modo de lograrlos.
4. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del
SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.
5. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta
parte de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de la Seguridad de
la Información y un tratamiento de ellos.
6. Evaluación del Desempeño: En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
 7. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia de
mejorar continuamente la conveniencia, adecuación y eficacia del SGSI

DESARROLLO DEL MANUAL

-Título del documento.
-Revisiones y responsables.
Señalar quiénes son las personas responsables de actualizar este documento. 
-Objetivo del documento.
Este apartado representa el motivo por el cual estás redactando este documento y debe
proporcionar una visión integral de los procesos que lo componen. 
-Índice
-Marco normativo.
En este espacio es importante mencionar cuáles son las normas de tu organización a través
de sus valores, la misión y visión.
-Descripción de procesos
1-Alcance y campo de aplicación
El alcance de un SGSI se define para: Identificar qué información vamos a proteger. Una
de las primeras preguntas que debemos hacer es "¿Qué necesita protección?
En primer lugar, hay que determinar que activos de información deben protegerse para
apoyar a la organización en el logro de sus objetivos comerciales.
Para establecer que los activos realmente valen la pena proteger, la organización debe
justificar por qué cada activo requiere protección mediante un inventario de activos. El
análisis y evaluación del riesgo de cada activo determinaran su inclusión en el alcance del
SGSI
*Por ejemplo, si se utilizan portátiles que sus empleados necesitan para el desempeño de
su trabajo, esto no significa que estos portátiles estén fuera del alcance del SGSI. Por tanto,
deben incluirse en su alcance si a través de estos portátiles los empleados pueden acceder a
su red local y a informaciones sensibles o a los servicios que se encuentran en su red.
*A los auditores de certificación suele resultarles interesante encontrar una descripción
detallada de las instalaciones y ubicaciones que forman parte del alcance del SGSI. Si es
posible y aunque no sea requisito escrito de la norma, incluya en el documento de la
definición del alcance algunas cosas como:

 Una descripción de la ubicación de los activos que incluya planos de planta para
describir el perímetro

 Descripción de las unidades organizativas, por ejemplo, mediante organigramas

DEFINIR LOS PROCESOS Y DEPARTAMENTOS INCLUIDOS EN EL

ALCANCE DEL SGSI
Nos referimos a los procesos del negocio que deben considerarse dentro del alcance del
SGSI y no a los procesos de la seguridad de la información.
Si ya tiene implantado un sistema de calidad según la norma ISO 9001 es muy probable que
ya tenga definido un mapa de los principales procesos de su organización (Mapa de
procesos)
2-Liderazgo
-Definir expectativas claras sobre qué esperar del programa de seguridad de la información
-Evaluar o establecer la postura de riesgo de la organización en cuanto a que riesgos se
pueden asumir y cuales no
-Definir los objetivos de seguridad de la información que de forma coordinada o alineada
con la dirección estratégica y los objetivos de la organización
Se debe establecer en primer lugar una política de seguridad de la información a nivel de la
organización que sea conforme a los requisitos de la norma ISO 27001 donde:
-Se definan de forma clara los objetivos y metas de la seguridad de la información de cara a
la protección de la confidencialidad, integridad y disponibilidad de su información
-Reflejar el compromiso y el apoyo de la alta dirección para que el SGSI cumpla con los
requisitos de la norma ISO 27001
-Se considere el alcance del sistema de gestión de la seguridad de la información, su
importancia para el negocio
-Se definan los deberes y responsabilidades de los empleados y con respecto a los riesgos
para la seguridad de la información, por ejemplo, la responsabilidad de manejar y procesar
a información confidencial de la compañía de manera que se mantenga protegida.
-Se establezca lo que es aceptable o no aceptable con respecto al comportamiento y uso de
sus recursos (por ejemplo, uso aceptable del sistema de correo electrónico de la compañía)
ROLES Y RESPONSABILIDADES (organigrama de la empresa)
3-Planificacion (análisis de riesgos)
4- Soporte
La organización debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión
de la Seguridad de la información

 Inversión-económica:
Queda claro que la seguridad no nos va a salir gratis, es por ello que se requerirá un
cierto nivel de inversión acorde con la evaluación de riesgos y los criterios para
asumir o minimizar los distintos niveles de riesgo

 Instalaciones:
El lugar e instalaciones de una organización deben estar preparados para ofrecer
niveles de seguridad proporcionales al riesgo al que está expuesta una organización.

 Equipos:
En ciertos casos deberemos de contar con equipos específicos para proporcionar
sistemas de defensa o detección de intrusiones en nuestros sistemas de información
y así mejorar los niveles de seguridad

 Personas:
Dentro de una organización podremos definir responsabilidades para todos los
empleados en relación a la seguridad de la información, pero este no será su
objetivo principal sino un medio por el cual podrán desempeñas mejor sus funciones
contando con la ayuda de la seguridad de la información para conseguir sus
objetivos comerciales
5- Operación
Describir las operaciones que realiza la empresa detalladamente (Ahora la norma ISO
27001 nos pide que seamos capaces demostrar que estamos tomando las medidas para
lograr los objetivos establecidos)
requiere que se implemente el plan de tratamiento de riesgos de seguridad de la
información que se definió en la cláusula 6 y, como siempre, registre los resultados de los
indicadores establecidos.
El proceso de tratamiento de riesgos se lleva a cabo siempre después de cada evaluación de
riesgos de seguridad para garantizar que se implementen los controles o mitigaciones
correctas.
-Diagrama de flujo
El manual de procedimientos debe contener un diagrama de flujo que ilustre el
procedimiento en general y los responsables que intervienen en cada operación.

-Glosario de términos
Muchas veces hay términos que no son comprensibles para todas las personas que van a a
leer el manual de procedimientos. Por eso es recomendable agregar una sección al final con
un glosario de términos que permita ampliar el conocimiento

Análisis de riesgos
1. Identificar los peligros
Inspeccione el lugar donde se desarrolla el trabajo y vea que podría esperarse de las
tareas que pueda causar daño.

Hable con sus empleados ó sus representantes que es lo que ellos piensan, ellos
podría tener advertido cosas que no son inmediatamente obvias para usted.

Investigue en las asociaciones locales de seguridad las guías practicas sobre donde
los peligros ocurren y como controlarlos.

Revise las instrucciones de los fabricantes o las hojas de datos para químicos y
equipamientos en general. Estas pueden ser muy útiles en detallar los peligros y
poner a ellos en su correcta perspectiva.

Revea sus registros de accidentes y de salud, ellos frecuentemente ayudan a

identificar los peligros menos obvios.

Recuerde pensar en peligros y daños a la salud que pueden suceder a largo plazo
ejemplo: altos niveles de ruido, ó exposición a substancias peligrosas
2. Decidir quién puede ser dañado y como
Para cada peligro usted necesita ser claro acerca de quien podría ser dañado, esto le
ayudará a identificar el mejor camino para manejar el riesgo.

Recordar:

Algunos trabajadores tienen particulares requerimientos, ejemplo: trabajadores

nuevos y jóvenes, gente con capacidades reducidas podrían estar en particular
riesgo. Esfuerzos extras serán necesarios para algunos peligros.
 Personal de limpieza, visitantes, contratistas personal de mantenimiento etc.,quienes
podrían no estar en el lugar de trabajo todo el tiempo.

Si usted comparte su lugar de trabajo, usted necesitará pensar acerca de cómo su

trabajo afecta a otros presentes, hable con su gente y pregunte a ellos si pueden
decirle por alguno que usted haya olvidado.
3. Evaluar los riesgos y decidir las precauciones
Teniendo anotado los peligros, entonces se debe decidir que hacer acerca de ellos.

Las leyes requieren que usted haga todo lo razonablemente practicable para proteger
a los trabajadores de los peligros. Se puede trabajar con el análisis solo, pero es
aconsejable como mejor camino comparar los resultados con similares "mejores
prácticas". Estas se pueden consultar en los institutos ó asociaciones de seguridad.

Entonces, luego de la comparación sus resultados con las "mejores prácticas" vea si
existen más y mejores cosas que hacer para llevar su trabajo a lo estándar.

Pregúntese lo siguiente:

Puedo librarme del peligro completamente?

Si no, como puedo controlar los riesgos para que el daño no sea probable?

Cuando procedemos a controlar los riesgos, aplicar los siguientes principios:

1. Intentar una opción menos riesgosa (ejemplo: cambiar por un químico menos
riesgoso)

2. Prevenir el acceso a los peligros (ejemplo colocando protecciones)

3. Organizar el trabajo para reducir la exposición al peligro (ejemplo poner vallas

entre peatones y tráfico)

4. Proveer de elementos de protección personal (anteojos de seguridad, zapatos de

seguridad, protectores auditivos etc)
4. Registrar sus hallazgos e implementarlos

5. Revisar su análisis y poner al día si es necesario