Trabajo de Investigación

NORMA ISO 27001 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN.

Presentado por: Gibrán David Pastora Marchena

CURSO: SISTEMAS DE INFORMACIÓN EMPRESARIAL | TUTOR: JORGE BARY MORA - 2022
TABLA DE CONTENIDO
Introducción...........................................................................................................................2
Principios básicos de la norma iso 27001...............................................................................5
Contexto y alcance en la iso 27001.....................................................................................5
Plan de tratamiento de riesgos de seguridad de la información.....................................12
Implementación de controles.....................................................................................15
Conclusiones..........................................................................................................17
Referencias bibliográficas..................................................................................18
INTRODUCCIÓN

Las herramientas digitales nos han traído diferentes beneficios, pero esto también ha creado la
posibilidad de que intervengan los ciberdelincuentes. Frente a la posible explotación de datos
confidenciales y amenazas, es necesario llevar a cabo acciones para mitigar los riesgos, prever
ataques y proteger la información.

Basta con ver los casos de las instituciones gubernamentales en el país como, por ejemplo: La
Caja Costarricense de Seguro Social (CCSS), el Ministerio de Hacienda y el Ministerio de
Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), La Junta Administrativa del
Servicio Eléctrico de Cartago (Jasec)-, entre otros, las cuales se han visto expuestas a intrusiones
no deseadas.

Garantizar la seguridad de la información en tiempos en los que los ataques cibernéticos ocurren
cada vez con mayor frecuencia, es una labor clave para cualquier tipo de empresa que no quiera
sufrir pérdidas de económicas y de reputación por la interrupción de sus servicios o por provocar
perjuicios en la vida de sus clientes a causa del robo de información. La Norma ISO 27001 sobre
la Seguridad y Privacidad de la Información es el estándar internacional al que las empresas
pueden recurrir para implementar de manera efectiva su Sistema de Gestión de Seguridad la
Información (SGSI).

A través del presente trabajo de investigación conoceremos a fondo la Norma ISO 27001, los
principios básicos de un Sistema de Seguridad de la Información (SGSI), el alcance de la norma,
el contexto de la organización, la definición de un plan de tratamiento de riesgos y la
implementación de controles.
¿QUÉ ES LA NORMA ISO 27001?

La norma ISO 27001, o ISO/IEC 27001:2013, es un estándar internacional publicado por la ISO
(Organización Internacional de Normalización) y la IEC (Comisión Eléctrica Internacional) en el
que se describe cómo implementar y gestionar un sistema de seguridad de la información en la
empresa o cualquier tipo de entidad pública o privada en la que se quiera asegurar la
confidencialidad, la integridad y la disponibilidad de la información.

La ISO 27001 describe cómo debe planificarse, implantar, verificar y controlar un Sistema de
Gestión de la Seguridad de la Información en una organización, partiendo del análisis de riesgos
y de la planificación de la respuesta que se dará a los mismos para mitigarlos.

CARACTERÍSTICAS DE LA NORMA ISO 27001

La ISO 27001 se centra especialmente en la gestión de riesgos, es decir, en identificar las

amenazas para la seguridad de la información de una empresa, analizarlos y crear medidas y
mecanismos cuyo objetivo sea reducir la posibilidad de materialización y, en caso de que
ocurran, minimizar su impacto para la empresa.

Medidas de seguridad como reforzar la seguridad del hardware o software que usa la empresa,
implementando soluciones como el sistema SIEM, o creando protocolos y políticas de seguridad
que garanticen que las medidas con las que se cuenta son empleadas de manera adecuada y
efectiva.

La ISO 27001 se basa en la gestión de la calidad PDCA (o ciclo PDCA, aunque en su última
actualización no aparece explícitamente, sigue estando muy presente en su estructura):

Plan (Planificar): Es la primera fase de la elaboración del SGSI, en la que se lleva a cabo la
identificación de los riesgos que enfrenta la seguridad de la información, realizando para ello un
análisis cuantitativo y cualitativo (cuando se requiere) de los riesgos detectados y planificando la
respuesta que se les dará, así como los controles necesarios para su mitigación.

Do (Hacer): En esta fase se implementa y pone enmarca el SGSI tal y como se ha definido en la
fase anterior.
Check (Verificar): Mientras el plan de seguridad está en funcionamiento, se revisa y evalúa para
comprobar su eficacia. Si se detectan carencias o que las medidas y mecanismos resultan
insuficientes, se deben analizar las causas tras las mismas y definir posibles mejoras.

Act (Actuar): La estrategia de seguridad siempre debe estar en proceso de mejora continua.

Este sistema de gestión podemos verlo en la propia estructura de la ISO 27001, donde los
capítulos de 4 a 10 son los que establecen las directrices a seguir de la norma a la hora de crear un
SGSI:

 Objeto y campo de aplicación.

 Referencia a normativas que afectan al estándar.
 Términos y definiciones utilizados en la norma.
 Contexto de la organización: Conocimiento de la organización y de su contexto, así como
de las necesidades y expectativas de los interesados. También se debe determinar aquí el
alcance del SGSI.
 Liderazgo: La implicación de la alta dirección en la implementación de la norma es
fundamental, debe adoptar un rol de liderazgo y compromiso con el estándar y elaborar
una política de seguridad que se comunicará a toda la plantilla, asignando roles,
responsabilidades y autoridades dentro de la organización.
 Planificación: Determinación de riesgos y establecimiento de objetivos para el SGSI.
 Soporte: Los recursos, humanos y materiales, que se deben destinar a la planificación,
implantación y funcionamiento del SGSI.
 Operación: Planificar, implementar y controlar los procesos de la organización, valorando
los riesgos para la seguridad de la información y el tratamiento de estos.
 Evaluación del Desempeño: Cómo debe llevarse a cabo el seguimiento, medición,
análisis, evaluación, auditoría interna y revisión del SGSI para comprobar su adecuado
funcionamiento.
 Mejora continua del SGSI.

Finalmente, el Anexo A de la ISO 27001 son controles (medidas de seguridad) recomendados,

distribuidos en 14 secciones diferentes.
PRINCIPIOS BÁSICOS DE LA NORMA ISO 27001

Los principios en los que se basa el sistema de gestión de la información son los siguientes:

1. Intimidad: La confidencialidad significa que el acceso de las personas que no están

autorizadas para acceder a la información a proteger dentro de la organización esta
cerrado, o para evitar divulgación de esta información por persona no autorizadas, así que
la información es confidencial y debe ser protegida
2. Usabilidad: La disponibilidad de información significa que la información está
disponible de inmediato para las personas autorizadas cuando sea necesario. La
información debe estar disponible y lista para usar, incluso si la organización está
experimentando un problema. Lo que es esencial aquí es que las personas que tienen
acceso a la información deben tener disposición total de la misma.
3. Integridad: La integridad de la información, tal como se encuentra en la fuente de
información significa que está accesible para las personas que no han cambiado, están
distorsionadas y autorizadas de manera constante, si la información se altera o se altera en
parte, la integridad de la información no se puede mencionar.

Una organización que asigna importancia a la seguridad de la información y tiene como

objetivo proteger la misma, debe clasificar los puntos de información y decidir el método de
protección. El sistema de gestión de seguridad de la información es un sistema para
proporcionar y mantener esta seguridad.

CONTEXTO Y ALCANCE EN LA ISO 27001

De manera inicial se puede pensar que el Sistema de Gestión de Seguridad de la Información

solo es asumible por las organizaciones de grandes dimensiones, son precisamente las pymes
las que más pueden beneficiare ya que les aporta un conjunto de conocimientos y
herramientas que, de otra forma, saldrían de sus posibilidades.

La norma ISO 27001 es adecuada para implementarse en cualquier organización, sin

importar las dimensiones, el mercado o la actividad. Uno de los objetivos clave de un Sistema
de Gestión de Seguridad de la información es favorecer el desempeño de la organización y,
para ello, debe estar en consonancia y alineada con los objetivos de negocio.

Debemos conocer el contexto de la empresa y valorar aquellas cuestiones, tanto internas

como externas, que pueden en alguna medida favorecer o perjudicar la labor de conseguir las
metas marcadas. Como cuestiones internas podemos identificar los recursos financieros o el
personal y sus competencias, para poner dos ejemplos.

Por otro lado, algunas cuestiones externas pueden ser los aspectos culturales o
socioeconómicos. Todo esto permite que más allá de contar con una herramienta de gestión
de la seguridad de la información, obtenga una imagen general de la posición que ocupa y de
todo aquello que lo rodea y que le afecta en mayor o menor medida y a lo que afecta de igual
forma.

No podemos olvidarnos del papel que ocupan las partes interesadas y sus necesidades. Estos
son los personajes que se mueven en el escenario anterior y que marcan los posibles objetivos
que se quieren conseguir.

Es necesario definir el alcance del sistema, ya que es la clave que determina el ámbito de la
organización que trabaja bajo los requisitos de la norma ISO 27001.

CONTEXTO DE LA ORGANIZACIÓN

Se trata del punto de partida para desarrollar el SGSI y consiste en determinar o identificar los
“problemas” internos y externos a los que se enfrenta la organización.

Explicado de otra forma, el contexto organizacional consiste en considerar las expectativas y

necesidades de todas las partes interesadas. Los pasos para poner en marcha este requisito:

1. Comprender la organización y su contexto

2. Comunicación y Consultas
3. El contexto del SGSI
4. El Contexto de la Gestión de Riesgos
5. Definición de criterios del riesgo
6. Comprender las necesidades y expectativas de las partes interesadas
7. En que consiste
 8. Ejemplos
9. Determinación del Alcance del Sistema de Gestión
10. Propósito del Alcance del SGSI
11. Como definir los limites el SGSI
12. Cuestionario para definir el Alcance del SGSI
13. Ejemplo de Alcance del SGSI

La norma ISO 27001 alineándose con los estándares ISO 31000 sobre Gestión del Riesgo,
nos propone ayudarnos con los requisitos del capítulo 5.3 de esta norma a diferenciar e
identificar el contexto interno y externo de la organización

Se trata de identificar en qué medida los aspectos internos y externos podrían afectar al
propósito de la organización y a su capacidad para lograr los resultados esperados del SGSI.
En otras palabras, los problemas que puedan afectar a la Seguridad de la Información por la
influencia de los agentes externos e internos en los que está inmersa la actividad de la
organización.

Se trata de identificar la influencia en la Seguridad de la Información determinada por:

Como se gestiona y gobierna su organización

 El conocimiento y las capacidades de la organización

 La cultura de la organización
 Las relaciones contractuales
 Como influyen las condiciones ambientales
 Las tendencias del mercado y de las condiciones regulatorias
 Los avances tecnológicos
 Las relaciones con proveedores externos
 Determinar todas estas influencias equivale a realizar un proceso de Análisis y
evaluación de riesgos. Para ello aconsejamos realizar los siguientes pasos:
Conocer el punto de vista y las perspectivas de todas las partes interesadas tanto externas
como internas puede ser una herramienta que nos ayude a identificar causas, riesgos
potenciales y aspectos desconocidos sobre la efectividad de las medidas para la seguridad de
la información.

Por otro lado, la realización de un plan de comunicación en fase temprana ayudara a:

 Obtener un respaldo seguro y el apoyo necesario para los planes de tratamiento de

riesgos
 Identificar riesgos aportados por distintas áreas de experiencia
 Integrar y comprender los intereses de todas las partes
 Mejorar la comunicación con las partes internas y externas

EL CONTEXTO DEL SGSI

Se trata de definir los parámetros externos e internos que deben tenerse en cuenta al gestionar
el riesgo:

EL CONTEXTO EXTERNO

Se trata de definir los parámetros externos e internos que deben tenerse en cuenta al gestionar
el riesgo.

El contexto externo puede incluir:

 El entorno social y cultural, político, legal, regulatorio, financiero, tecnológico,

económico, ambiental
 El entorno competitivo, ya sea internacional, nacional, regional o local;
 Los factores clave del negocio y las tendencias que tienen impacto en los objetivos de
la organización;
 Las percepciones y los valores de las partes interesadas externas (contratistas, clientes,
administraciones públicas etc.).
EL CONTEXTO INTERNO

El contexto interno incluye cualquier cosa dentro de la organización que pueda influir en la
forma en que una organización administrará su riesgo de seguridad de la información.

El contexto externo puede incluir:

 El gobierno y administración, la estructura organizacional, los roles y

responsabilidades;
 Las políticas, los objetivos y las estrategias que existen para alcanzarlos;
 Capacidades, entendidas en términos de recursos y conocimiento (por ejemplo,
capital, tiempo, personas, procesos, sistemas y tecnologías);
 Las relaciones con las percepciones y valores de las partes interesadas internas;
 La cultura de la organización;
 Los sistemas de información, flujos de información y procesos de toma de decisiones
(tanto formales como informales);
 Normas, directrices y modelos adoptados por la organización y la forma y el alcance
de las relaciones contractuales.

EL CONTEXTO DE LA GESTIÓN DE RIESGOS

La gestión del riesgo debe realizarse teniendo plenamente en cuenta la necesidad de justificar
los recursos utilizados para llevar a cabo la gestión del riesgo especificando estos recursos, las
responsabilidades y autoridades, y los registros que deben mantenerse.

El contexto del proceso de gestión de riesgos variará de acuerdo con las necesidades de una
organización y entre otras cosas debe considerar:

 Definir las metas y objetivos de las actividades de gestión de riesgos;

 Definir responsabilidades dentro del proceso de gestión de riesgos;
 Definir el alcance, así como la profundidad y amplitud de las actividades de gestión de
riesgos que se llevarán a cabo, incluidas las exclusiones específicas;
 Definir la actividad, proceso, función, proyecto, producto, servicio o activo en
términos de tiempo y ubicación;
  Definir las relaciones entre un proyecto, proceso o actividad particular y otros
proyectos, procesos o actividades de la organización;
 Definir las metodologías de evaluación de riesgos;
 Definir la forma en que se evalúa el rendimiento y la efectividad en la gestión del
riesgo;
 Identificar y especificar las decisiones que deben tomarse;
 Identificar el alcance o los estudios necesarios, su extensión y objetivos, y los recursos
requeridos para dichos estudios.

DEFINICIÓN DE CRITERIOS DE RIESGO

La organización debe definir los criterios que se utilizarán para evaluar la importancia del
riesgo. Al definir los criterios de riesgo, los factores a considerar deben incluir lo siguiente:

1. La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cómo se

medirán;
2. Cómo se definirá la verosimilitud;
3. El marco de tiempo de la probabilidad y / o consecuencia;
4. Cómo se determinará el nivel de riesgo;
5. Las opiniones de los interesados;
6. El nivel al cual el riesgo se vuelve aceptable o tolerable;

Si se deben tener en cuenta las combinaciones de riesgos múltiples y, de ser así, cómo y qué
combinaciones se deben considerar.

La etapa de evaluación de riesgos compara el nivel de riesgos con los criterios de aceptación
de riesgos, definidos durante el establecimiento del contexto. Luego, el paso de tratamiento
de riesgo establece controles. En el paso de aceptación del riesgo, los riesgos residuales deben
ser aceptados por los gerentes de la organización. Luego, la estimación del riesgo intenta
calificar las consecuencias de la pérdida en una escala cualitativa o cuantitativa, así como la
probabilidad de ocurrencia. Identificando las fuentes del riesgo
Este paso se utiliza para determinar exhaustivamente todas las fuentes de riesgo y posibles
eventos que puedan afectar el negocio de la Organización. Cada riesgo debe describirse de la
manera más completa posible, de modo que los responsables de la toma de decisiones puedan
comprender completamente la situación

Comprender la naturaleza de la amenaza, criticidad y vulnerabilidades relevantes o

potenciales es un componente esencial para establecer el contexto. A continuación, hay una
serie de consideraciones y preguntas que pueden facilitar este proceso:

1. ¿Cómo podrían verse afectadas la confidencialidad, la integridad y la disponibilidad

de la información?
2. ¿Cuál es el valor agregado de los activos de información para la Organización?
3. ¿Qué impacto tendría una divulgación involuntaria? ¿Qué supondría un evento o
incidente?
4. ¿Cuál sería el impacto de la pérdida de confianza en la integridad de su
información? Por ejemplo, la integridad del registro del cliente.
5. ¿Qué consecuencias tendría una divulgación involuntaria de información en un
acuerdo de subcontratación o en el extranjero? ¿Cuáles son las fuentes de riesgo?
¿Qué amenazas hay?

Al buscar información para el proceso de identificación de riesgos, se debe tener en cuenta

los planes de seguridad de los organismos de protección de datos de la administración, ya que
son una fuente de información verificada sobre los riesgos para la información.

COMPRENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS

La organización debe identificar las partes interesadas y los requisitos que son relevantes para
el sistema de gestión de seguridad de la información

¿Qué son las partes interesadas en el contexto del SGSI?: se trata de personas u
organizaciones que pueden influir en la seguridad de la información o en la continuidad del
negocio. Por otro lado, puede tratarse de personas o entidades que pueden verse afectadas por
la seguridad de la información o las actividades de continuidad del negocio.

Típicamente, las partes interesadas podrían incluir:

  Empleados y sus familias
 Accionistas o propietarios del negocio
 Agencias gubernamentales y entidades reguladoras
 Servicios de emergencia (por ejemplo, bomberos, policía, ambulancia, etc.)
 Clientes
 Medios de comunicación
 Proveedores y socios
 Cualquier otra persona que considere importante para su negocio.
 Habiendo identificado a sus partes interesadas, ahora hay demandas para que una
organización considere sus necesidades y expectativas.

Las necesidades y expectativas son solo aquellas relevantes para la seguridad de la

información.

Los requisitos legales y reglamentarios, así como las obligaciones contractuales pueden
incluirse en los requisitos de las partes interesadas

Algo que parece evidente, pero quo conviene resaltar es que necesitamos averiguar lo que las
partes interesadas quieren de usted, y necesita averiguar cómo satisfacer todos estos requisitos
en el SGI.

PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Realizar un plan de tratamiento de riesgos de seguridad de la información es la parte más

compleja de la implantación de la norma ISO 27001. A la vez la evaluación del riesgo es un
paso más importante al comienzo de un proyecto de seguridad de la información, se
establecen las bases para la seguridad de la información en la compañía.

¿Por qué es tan importante? Es simple, pero no se entiende por muchas personas, la principal
filosofía de ISO 27001 es encontrar los incidentes que puede ocurrir y la forma más apropiada
para evitar los incidentes. No sólo eso, también tiene que evaluar la importancia de cada
riesgo para que pueda enfocarse en los más importantes.
Resulta interesante la lectura ISO 27005: ¿Cómo identificar los riesgos? A pesar del plan de
tratamiento de riesgos de seguridad de la información, es un trabajo complejo ya que a
menudo se tejen mitos innecesarios.

A continuación, se exponen 6 pasos básicos para realizar el plan de tratamiento de riesgos de

seguridad de la información de una manera sencilla:

Metodología de evaluación del riesgo: Es el primer paso en el viaje hacia la gestión de

riesgos. Necesitamos definir las reglas para llevar a cabo la gestión de riesgo, ya que querrá
que toda la empresa lo haga de la misma forma, el principal problema del plan de tratamiento
de riesgos de seguridad de la información es que la organización lo ejecute de diferente forma
en distintas partes de la organización. Se necesita definir si quiere una evaluación cualitativa
o cuantitativa del riesgo, cuáles son las escalas que se utiliza durante la evaluación cualitativa,
conocer cuál será el nivel aceptable de riesgo, etc

Implantación de la evaluación del riesgo: Una vez que se conocen las reglas, se puede
comenzar localizando los problemas potenciales que pueden ocurrir. Es necesario realizar un
listado de todos los recursos, de las amenazas y vulnerabilidades que se relacionan con los
recursos, evaluar el impacto y la probabilidad de ocurrencia para cada combinación de
recursos, amenazas, vulnerabilidades y finalmente se debe calcular el nivel de riesgo. Las
empresas normalmente sólo son conscientes del 30% de sus riesgos. Puede ser que al finalizar
se aprecie el esfuerzo realizado.

Implementar el tratamiento del riesgo: No todos los riesgos tienen el mismo origen, se debe
enfocar en los más importantes, los llamados riesgos no aceptables.

Existen cuatro opciones que puede escoger para mitigar el riesgo no aceptable.

1. Aplicar controles de seguridad obtenidos del Anexo A para disminuir el riesgo.

2. Transferir el riesgo a otras personas, es decir, comprando un seguro con una compañía
aseguradora.
3. Evitar riegos al detener la ejecución de la actividad que genera un elevado riesgo, o al
hacerla de forma diferente.
4. Aceptar el riesgo, por ejemplo, si el costo de atenuación es mayor que el daño en sí
mismo.
Es necesario ser creativo para minimizar el riesgo con una mínima inversión. Sería mucho
más fácil si su presupuesto fuese ilimitado, pero eso nunca pasará. Es posible conseguir el
mismo resultado con menos dinero, pero debe averiguar cómo hacerlo.

Reporte de la evaluación del riesgo en el Sistema de Gestión de Seguridad de la

Información: Al contrario que en los pasos anteriores, este es algo más tedioso ya que es
necesario documentar todo lo que ha hecho hasta ahora. No sólo es tedioso para los auditores,
ya que usted mismo puede querer verificar los resultados en uno o dos años.

Declaración de aplicabilidad: Este documento muestra el perfil de seguridad de su empresa,

basado en los resultados del tratamiento de riesgos, necesita realizar un listado de todos los
controles que han implementado, por qué los implementó y cómo lo hizo. Este documento
también es muy importante porque el auditor de certificación lo utilizará como su guía
principal durante la auditoría.

Plan para el tratamiento de riesgos: Este es el paso en el que tiene que moverse de la teoría a
la práctica. Hasta este momento el trabajo del plan de tratamiento de riesgos de seguridad de
la información ha sido teórico, pero en este momento en donde se deben mostrar los
resultados.

Este es el propósito del plan de tratamiento de riesgos de seguridad de la información, es

decir, definir de forma exacta quien va a implantar cada control, cuándo, con qué presupuesto
cuenta, etc. Es preferible llamar a este documento “plan de implementación” o “plan de
acción”, pero debemos utilizar la terminología de la norma ISO 27001.Una vez que ha escrito
este documento, es crucial que se obtenga la aprobación de la dirección, ya que llevará tiempo
y esfuerzo para implantar todos los controles que ha planificado. Y sin su compromiso no
obtendrá los recursos necesarios.
IMPLEMENTACIÓN DE CONTROLES

La norma y controles ISO 27001 están desarrollados por la Organización Internacional de

Normalización y tienen como objetivo ayudar a gestionar la seguridad de la información en
una empresa, así como asegurar la confidencialidad y la integridad de sus datos.

La primera versión de este precepto se publicó en 2005 como una adaptación de ISO de la
norma británica BS 7799-2. Desde entonces, la obtención de este certificado es del interés de
cualquier tipo de empresa, ya sea grande o pequeña e independientemente de su volumen de
actividad.

Su importancia radica principalmente en el papel fundamental que juegan los activos de

información dentro de una organización como elementos imprescindibles para la obtención de
sus objetivos. Cada año que pasa, la cifra de sociedades que cuentan con este título aumenta
de manera exponencial.

Se trata de una norma de referencia a nivel global en la actualidad. En España ya son en torno
a 800 las empresas que están certificadas con los controles ISO 27001 y el total mundial
asciende a más de 33.000 entidades, según los datos obtenidos en 2016.

La aplicación de los controles ISO-27001 significa la adopción de unos procesos formales

para definir responsabilidades en lo que a la seguridad de la información se refiere. De esta
manera, una organización puede diferenciarse respecto al resto, mejorando así su
competitividad e imagen.

Es importante saber que dentro de la norma ISO 27001 se encuentra el Anexo A, cuya
implementación es elemental ya que es el normativo y dentro de este se encuentra todo lo
relativo a los controles de seguridad. Su práctica es obligatoria y ayudan en la protección de
la información de las empresas.

En la norma ISO 27001 Anexo A hay un total de 114 controles de seguridad. Cada
organización debe elegir aquellos que se adapten mejor a sus necesidades, no solo en el área
de tecnología, sino también dentro de otros departamentos como el de recursos humanos,
seguridad financiera, comunicaciones y otros más.

Estos 114 controles ISO 27001 están divididos en las siguientes secciones:
En la normativa inicial de 2005 había hasta 133 controles, pero en 2013 se produjeron
modificaciones para eliminar los estándares de acciones preventivas y el requisito para
documentar ciertos procedimientos. De manera general, se puede decir que la norma y
controles ISO 27001 se pueden aplicar a todo tipo de organizaciones donde la información
sea un activo del que dependen sus objetivos y resultados.

La realidad es que gestionar la seguridad de la información es una necesidad cada vez más
importante dentro de cualquier sector de actividad empresarial y, actualmente, cada vez
existen más certificados de este tipo en los sectores servicios, transporte y logística, salud,
financiero en general y el sector de educación.
CONCLUSIONES

Para concluir este trabajo de investigación me gustaría mencionar las ventajas de implementar
un SGSI bajo la norma ISO 27001:

 Permite que los procesos de seguridad estén equilibrados y a la vez coordinados entre
sí.
 Aunque es imposible reducir a cero el riesgo, permite crear metodologías que
contribuyan a la mitigación de estos y a aumentar la seguridad en la información que
se tiene.
 En caso de que se llegue a presentar un riesgo permite que este no cause pérdidas tan
profundas y que se cuente con un plan de acción para actuar de manera eficaz.
 Permite cumplir con los requerimientos legales exigidos por los entes de control.
 Genera valor agregado dentro de la compañía, pues aún no son muchas las empresas
que cuenten con la certificación ISO 27001.
 Gracias a la eficiencia que se emplea permite reducir costos.
 Genera confianza con todos los miembros de la entidad, ya sean clientes, proveedores
o empleados.
 Da la posibilidad de que se puedan activar alertas en caso de que se llegue a presentar
alguna actividad sospechosa.
 Permite hacerles seguimiento a los controles de seguridad.
 Es una herramienta que da la posibilidad de planificar y hacerle seguimiento a los
procesos.
 Contribuye a la imagen corporativa (reputación).
 Permite contar con una metodología clara y eficaz.
 Reduce el riesgo de pérdida o robo de la información

La norma ISO27001 es una herramienta efectiva para manejar un Sistema de Gestión de

Seguridad de la Información en cualquier organización, sin importar a que se dedique esta,
debido a que es un tema de extrema trascendencia y permanente actualidad. Es de uso global
y además es certificable.
REFERENCIAS BIBLIOGRÁFICAS

(2022), EALDE Business School, Blog: Ciberseguridad y Riesgos Digitales, Artículo: “Qué
es la norma ISO 27001 y para qué sirve”: https://www.ealde.es/iso-27001-para-que-sirve/

(2022), SCIENCE Technical Certification Intl., Artículo: ¿Cuáles son los principios básicos
del sistema de gestión de seguridad de la información Norma ISO 27001?
https://www.sciencetr.com/es/belgelendirme/sistem-belgelendirme/iso-27001-bilgi-guvenligi-
yonetim-sistemi/iso-27001-bilgi-guvenligi-yonetim-sistemi-temel-prensipleri-nelerdir

(2022), NORMA ISO 27001, Todo sobre la norma. https://normaiso27001.es/

(2022), Blog Vida U, Universidad San Marcos. Artículo: “Consejos para garantizar la
ciberseguridad en las empresas”: https://www.usanmarcos.ac.cr/blogs/ciberseguridad-
consejos