Evalúe el documento de la norma “ISO 27001” y determine su objetivo principal,

así como el proceso de implementación de la misma en una empresa.

La norma ISO 27001 establece buenas prácticas para implementar un sistema de gestión de
seguridad de la información. Hacerlo no solo permite proteger los datos de tu organización, que
son el activo más importante, sino también generar mayor confianza entre tus clientes,
proveedores y empleados.
Desde hace algunos años, muchas empresas han comenzado a implementar un proceso de
transformación digital, que entre otras cosas requiere del uso de nuevas tecnologías y
almacenamiento de la información en la nube y en diferentes dispositivos electrónicos.

Y con una herramienta tecnológica como Pirani y su módulo de seguridad de la

información podemos ayudarte a cumplir esta normativa. Con este módulo puedes identificar
los activos de información de tu organización, clasificarlos según su criticidad y gestionar los
riesgos, amenazas y vulnerabilidades asociadas de manera simple, adecuada y eficiente.

¿Qué es la seguridad de la información?

La seguridad de la información se define como un proceso integrado que permite proteger la

identificación y gestión de la información y los riesgos a los que esta se puede ver enfrentada.
Esta gestión se hace a través de estrategias y acciones de mitigación para asegurar y mantener
de manera confidencial los datos de una empresa.
La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la
información, por ejemplo: la disponibilidad, la comunicación, la identificación de problemas, el
análisis de riesgos, la integridad, la confidencialidad y la recuperación de los riesgos".

Para implementar la seguridad de la información en tu organización, es importante que tengas

en cuenta tres elementos claves: las personas, los procesos y la tecnología.

 Personas: realizan la gestión y el tratamiento de la información. Pueden ser empleados,

directivos, autoridades competentes, clientes, proveedores, contratistas y prestadores de
servicio.

 Procesos: son las actividades que se realizan para cumplir con los objetivos planteados, la
mayoría de estas incluyen información o dependen de esta, por eso, son vulnerables.

 Tecnología: está relacionada con los servicios e infraestructura de la empresa, es la que lleva el
manejo y el desarrollo de la información, además, brinda la oportunidad de almacenar,
recuperar, difundir y darle mantenimiento a los datos de valor que se encuentran ahí.

ISO 27001 también sirve a las empresas para:

 Obtener un diagnóstico por medio de entrevistas.

 Realizar un análisis exhaustivo de todos los riesgos que se puedan presentar.
 Crear un plan de acción acorde a las necesidades puntuales de la empresa.
 Diseñar procedimientos.
 Entender los requerimientos de seguridad de la información y la necesidad de establecer una
política y objetivos para la seguridad de la información.
 Implementar y operar controles para manejar los riesgos de la seguridad de la información.
 Monitorear y revisar el desempeño y la efectividad del Sistema de Gestión de Seguridad de la
Información (SGSI).
 Favorecer el mejoramiento continuo con base en la medición del objetivo.

Por otro lado, es bueno que tengas en cuenta que la norma ISO 27001 otorga certificación, esto
permite a las empresas demostrarle a sus clientes, empleados y proveedores que realmente
están blindadas en materia de seguridad de la información.

Importancia de la norma ISO 27001

Como lo hemos mencionado, hoy en día la información de las compañías, su activo más
importante, puede sufrir algún tipo de fraude, hackeo, sabotaje, vandalismo, espionaje o un
mal uso por parte del recurso humano.

Estos actos delictivos, generalmente, son realizados por ingenieros, hackers, empleados u
organizaciones dedicadas al robo de datos, que lo único que buscan es interferir en la reputación
de la empresa. Por esta razón, es tan importante contar con herramientas que te permitan evitar
que este tipo de hechos sucedan.

Tener en tu empresa un Sistema de Gestión de Seguridad de la Información te permite cumplir

con los requerimientos legales, pues muchos países lo exigen. En la norma ISO 27001
encuentras la metodología que debes seguir para implementarlo y poder cumplir con lo
exigido.

Estructura de la norma ISO 27001

 Objeto y campo de la aplicación: brinda las herramientas para saber cómo es el uso de la norma,
qué beneficios trae y cómo debes aplicarla.

 Referencias normativas: son los documentos que debes tener en cuenta para aplicar las
recomendaciones de la norma.

 Términos y definiciones: es un glosario que te permite entender las palabras claves de lo que
está descrito allí.

 Contexto de la organización: es uno de los requisitos fundamentales de la norma. Busca

entender el contexto de la empresa y cuáles son sus necesidades para verificar cuál será el
alcance del Sistema de Gestión de Seguridad de la Información que se va a poner en marcha.

 Liderazgo: es importante generar una cultura en la compañía alrededor de la seguridad de la

información, por eso, todos los empleados deben estar enterados sobre los planes de acción
que se van a llevar a cabo y de qué manera ellos contribuyen a su cumplimiento. Por eso, es
clave que los líderes de la empresa nombren responsables y den a conocer oportunamente las
políticas establecidas.

 Planificación: aquí debes establecer los objetivos y cuál va a ser el camino a seguir para lograrlos,
cómo será la implementación del Sistema de Gestión de Seguridad de la Información teniendo
en cuenta los riesgos que fueron identificados previamente.
 Soporte: para el adecuado funcionamiento del sistema debes contar con los recursos necesarios
que les permitan ser competentes, contar con una óptima comunicación y documentar la
información requerida para cada caso.

 Operación: para tener una gestión eficaz debes planificar, implementar, monitorear y controlar
cada uno de los procesos, valorar cada riesgo y crear una solución para cada uno de ellos.

 Evaluación de desempeño: aquí debes realizar el seguimiento, la medición, el análisis y la

evaluación del sistema implementado con el fin de verificar que se está cumpliendo con lo
establecido.

 Mejora: se trata de identificar qué aspectos no están funcionando correctamente para poder
ajustarlos y cumplir con su objetivo final.

Protocolos de la seguridad de la información

Antes de entrar en detalle en estos protocolos, lo primero que debes saber es que cuando tú o
cualquier persona realiza alguna búsqueda en internet, el navegador intercambia datos con las
diferentes páginas que visitas, esto pasa de manera automática o consciente.

Por eso, para proteger la información se utilizan protocolos que garantizan la seguridad e
integridad por medio de reglas establecidas. Estos protocolos se diseñaron para prevenir que
agentes externos no autorizados tengan acceso a los datos, están compuestos por:

 Cifrado de datos: cuando el mensaje es enviado por el emisor lo que hace es ocultar la
información hasta que esta llegue al receptor.
 Lógica: debe contar con un orden en el que primero van los datos del mensaje, el significado y
en qué momento se va a enviar este.

 Autenticación: esta técnica se utiliza para saber que la información está siendo manipulada por
un ente autorizado y no está sufriendo algún tipo de intervención por agentes externos.