Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las herramientas digitales nos han traído diferentes beneficios, pero esto también ha creado la
posibilidad de que intervengan los ciberdelincuentes. Frente a la posible explotación de datos
confidenciales y amenazas, es necesario llevar a cabo acciones para mitigar los riesgos, prever
ataques y proteger la información.
Basta con ver los casos de las instituciones gubernamentales en el país como, por ejemplo: La
Caja Costarricense de Seguro Social (CCSS), el Ministerio de Hacienda y el Ministerio de
Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), La Junta Administrativa del
Servicio Eléctrico de Cartago (Jasec)-, entre otros, las cuales se han visto expuestas a intrusiones
no deseadas.
Garantizar la seguridad de la información en tiempos en los que los ataques cibernéticos ocurren
cada vez con mayor frecuencia, es una labor clave para cualquier tipo de empresa que no quiera
sufrir pérdidas de económicas y de reputación por la interrupción de sus servicios o por provocar
perjuicios en la vida de sus clientes a causa del robo de información. La Norma ISO 27001 sobre
la Seguridad y Privacidad de la Información es el estándar internacional al que las empresas
pueden recurrir para implementar de manera efectiva su Sistema de Gestión de Seguridad la
Información (SGSI).
A través del presente trabajo de investigación conoceremos a fondo la Norma ISO 27001, los
principios básicos de un Sistema de Seguridad de la Información (SGSI), el alcance de la norma,
el contexto de la organización, la definición de un plan de tratamiento de riesgos y la
implementación de controles.
¿QUÉ ES LA NORMA ISO 27001?
La norma ISO 27001, o ISO/IEC 27001:2013, es un estándar internacional publicado por la ISO
(Organización Internacional de Normalización) y la IEC (Comisión Eléctrica Internacional) en el
que se describe cómo implementar y gestionar un sistema de seguridad de la información en la
empresa o cualquier tipo de entidad pública o privada en la que se quiera asegurar la
confidencialidad, la integridad y la disponibilidad de la información.
La ISO 27001 describe cómo debe planificarse, implantar, verificar y controlar un Sistema de
Gestión de la Seguridad de la Información en una organización, partiendo del análisis de riesgos
y de la planificación de la respuesta que se dará a los mismos para mitigarlos.
Medidas de seguridad como reforzar la seguridad del hardware o software que usa la empresa,
implementando soluciones como el sistema SIEM, o creando protocolos y políticas de seguridad
que garanticen que las medidas con las que se cuenta son empleadas de manera adecuada y
efectiva.
La ISO 27001 se basa en la gestión de la calidad PDCA (o ciclo PDCA, aunque en su última
actualización no aparece explícitamente, sigue estando muy presente en su estructura):
Plan (Planificar): Es la primera fase de la elaboración del SGSI, en la que se lleva a cabo la
identificación de los riesgos que enfrenta la seguridad de la información, realizando para ello un
análisis cuantitativo y cualitativo (cuando se requiere) de los riesgos detectados y planificando la
respuesta que se les dará, así como los controles necesarios para su mitigación.
Do (Hacer): En esta fase se implementa y pone enmarca el SGSI tal y como se ha definido en la
fase anterior.
Check (Verificar): Mientras el plan de seguridad está en funcionamiento, se revisa y evalúa para
comprobar su eficacia. Si se detectan carencias o que las medidas y mecanismos resultan
insuficientes, se deben analizar las causas tras las mismas y definir posibles mejoras.
Act (Actuar): La estrategia de seguridad siempre debe estar en proceso de mejora continua.
Este sistema de gestión podemos verlo en la propia estructura de la ISO 27001, donde los
capítulos de 4 a 10 son los que establecen las directrices a seguir de la norma a la hora de crear un
SGSI:
Los principios en los que se basa el sistema de gestión de la información son los siguientes:
Por otro lado, algunas cuestiones externas pueden ser los aspectos culturales o
socioeconómicos. Todo esto permite que más allá de contar con una herramienta de gestión
de la seguridad de la información, obtenga una imagen general de la posición que ocupa y de
todo aquello que lo rodea y que le afecta en mayor o menor medida y a lo que afecta de igual
forma.
No podemos olvidarnos del papel que ocupan las partes interesadas y sus necesidades. Estos
son los personajes que se mueven en el escenario anterior y que marcan los posibles objetivos
que se quieren conseguir.
Es necesario definir el alcance del sistema, ya que es la clave que determina el ámbito de la
organización que trabaja bajo los requisitos de la norma ISO 27001.
CONTEXTO DE LA ORGANIZACIÓN
Se trata del punto de partida para desarrollar el SGSI y consiste en determinar o identificar los
“problemas” internos y externos a los que se enfrenta la organización.
La norma ISO 27001 alineándose con los estándares ISO 31000 sobre Gestión del Riesgo,
nos propone ayudarnos con los requisitos del capítulo 5.3 de esta norma a diferenciar e
identificar el contexto interno y externo de la organización
Se trata de identificar en qué medida los aspectos internos y externos podrían afectar al
propósito de la organización y a su capacidad para lograr los resultados esperados del SGSI.
En otras palabras, los problemas que puedan afectar a la Seguridad de la Información por la
influencia de los agentes externos e internos en los que está inmersa la actividad de la
organización.
Se trata de definir los parámetros externos e internos que deben tenerse en cuenta al gestionar
el riesgo:
EL CONTEXTO EXTERNO
Se trata de definir los parámetros externos e internos que deben tenerse en cuenta al gestionar
el riesgo.
El contexto interno incluye cualquier cosa dentro de la organización que pueda influir en la
forma en que una organización administrará su riesgo de seguridad de la información.
La gestión del riesgo debe realizarse teniendo plenamente en cuenta la necesidad de justificar
los recursos utilizados para llevar a cabo la gestión del riesgo especificando estos recursos, las
responsabilidades y autoridades, y los registros que deben mantenerse.
El contexto del proceso de gestión de riesgos variará de acuerdo con las necesidades de una
organización y entre otras cosas debe considerar:
La organización debe definir los criterios que se utilizarán para evaluar la importancia del
riesgo. Al definir los criterios de riesgo, los factores a considerar deben incluir lo siguiente:
Si se deben tener en cuenta las combinaciones de riesgos múltiples y, de ser así, cómo y qué
combinaciones se deben considerar.
La etapa de evaluación de riesgos compara el nivel de riesgos con los criterios de aceptación
de riesgos, definidos durante el establecimiento del contexto. Luego, el paso de tratamiento
de riesgo establece controles. En el paso de aceptación del riesgo, los riesgos residuales deben
ser aceptados por los gerentes de la organización. Luego, la estimación del riesgo intenta
calificar las consecuencias de la pérdida en una escala cualitativa o cuantitativa, así como la
probabilidad de ocurrencia. Identificando las fuentes del riesgo
Este paso se utiliza para determinar exhaustivamente todas las fuentes de riesgo y posibles
eventos que puedan afectar el negocio de la Organización. Cada riesgo debe describirse de la
manera más completa posible, de modo que los responsables de la toma de decisiones puedan
comprender completamente la situación
La organización debe identificar las partes interesadas y los requisitos que son relevantes para
el sistema de gestión de seguridad de la información
¿Qué son las partes interesadas en el contexto del SGSI?: se trata de personas u
organizaciones que pueden influir en la seguridad de la información o en la continuidad del
negocio. Por otro lado, puede tratarse de personas o entidades que pueden verse afectadas por
la seguridad de la información o las actividades de continuidad del negocio.
Los requisitos legales y reglamentarios, así como las obligaciones contractuales pueden
incluirse en los requisitos de las partes interesadas
Algo que parece evidente, pero quo conviene resaltar es que necesitamos averiguar lo que las
partes interesadas quieren de usted, y necesita averiguar cómo satisfacer todos estos requisitos
en el SGI.
¿Por qué es tan importante? Es simple, pero no se entiende por muchas personas, la principal
filosofía de ISO 27001 es encontrar los incidentes que puede ocurrir y la forma más apropiada
para evitar los incidentes. No sólo eso, también tiene que evaluar la importancia de cada
riesgo para que pueda enfocarse en los más importantes.
Resulta interesante la lectura ISO 27005: ¿Cómo identificar los riesgos? A pesar del plan de
tratamiento de riesgos de seguridad de la información, es un trabajo complejo ya que a
menudo se tejen mitos innecesarios.
Implantación de la evaluación del riesgo: Una vez que se conocen las reglas, se puede
comenzar localizando los problemas potenciales que pueden ocurrir. Es necesario realizar un
listado de todos los recursos, de las amenazas y vulnerabilidades que se relacionan con los
recursos, evaluar el impacto y la probabilidad de ocurrencia para cada combinación de
recursos, amenazas, vulnerabilidades y finalmente se debe calcular el nivel de riesgo. Las
empresas normalmente sólo son conscientes del 30% de sus riesgos. Puede ser que al finalizar
se aprecie el esfuerzo realizado.
Implementar el tratamiento del riesgo: No todos los riesgos tienen el mismo origen, se debe
enfocar en los más importantes, los llamados riesgos no aceptables.
Existen cuatro opciones que puede escoger para mitigar el riesgo no aceptable.
Plan para el tratamiento de riesgos: Este es el paso en el que tiene que moverse de la teoría a
la práctica. Hasta este momento el trabajo del plan de tratamiento de riesgos de seguridad de
la información ha sido teórico, pero en este momento en donde se deben mostrar los
resultados.
La primera versión de este precepto se publicó en 2005 como una adaptación de ISO de la
norma británica BS 7799-2. Desde entonces, la obtención de este certificado es del interés de
cualquier tipo de empresa, ya sea grande o pequeña e independientemente de su volumen de
actividad.
Se trata de una norma de referencia a nivel global en la actualidad. En España ya son en torno
a 800 las empresas que están certificadas con los controles ISO 27001 y el total mundial
asciende a más de 33.000 entidades, según los datos obtenidos en 2016.
Es importante saber que dentro de la norma ISO 27001 se encuentra el Anexo A, cuya
implementación es elemental ya que es el normativo y dentro de este se encuentra todo lo
relativo a los controles de seguridad. Su práctica es obligatoria y ayudan en la protección de
la información de las empresas.
En la norma ISO 27001 Anexo A hay un total de 114 controles de seguridad. Cada
organización debe elegir aquellos que se adapten mejor a sus necesidades, no solo en el área
de tecnología, sino también dentro de otros departamentos como el de recursos humanos,
seguridad financiera, comunicaciones y otros más.
Estos 114 controles ISO 27001 están divididos en las siguientes secciones:
En la normativa inicial de 2005 había hasta 133 controles, pero en 2013 se produjeron
modificaciones para eliminar los estándares de acciones preventivas y el requisito para
documentar ciertos procedimientos. De manera general, se puede decir que la norma y
controles ISO 27001 se pueden aplicar a todo tipo de organizaciones donde la información
sea un activo del que dependen sus objetivos y resultados.
La realidad es que gestionar la seguridad de la información es una necesidad cada vez más
importante dentro de cualquier sector de actividad empresarial y, actualmente, cada vez
existen más certificados de este tipo en los sectores servicios, transporte y logística, salud,
financiero en general y el sector de educación.
CONCLUSIONES
Para concluir este trabajo de investigación me gustaría mencionar las ventajas de implementar
un SGSI bajo la norma ISO 27001:
Permite que los procesos de seguridad estén equilibrados y a la vez coordinados entre
sí.
Aunque es imposible reducir a cero el riesgo, permite crear metodologías que
contribuyan a la mitigación de estos y a aumentar la seguridad en la información que
se tiene.
En caso de que se llegue a presentar un riesgo permite que este no cause pérdidas tan
profundas y que se cuente con un plan de acción para actuar de manera eficaz.
Permite cumplir con los requerimientos legales exigidos por los entes de control.
Genera valor agregado dentro de la compañía, pues aún no son muchas las empresas
que cuenten con la certificación ISO 27001.
Gracias a la eficiencia que se emplea permite reducir costos.
Genera confianza con todos los miembros de la entidad, ya sean clientes, proveedores
o empleados.
Da la posibilidad de que se puedan activar alertas en caso de que se llegue a presentar
alguna actividad sospechosa.
Permite hacerles seguimiento a los controles de seguridad.
Es una herramienta que da la posibilidad de planificar y hacerle seguimiento a los
procesos.
Contribuye a la imagen corporativa (reputación).
Permite contar con una metodología clara y eficaz.
Reduce el riesgo de pérdida o robo de la información
(2022), EALDE Business School, Blog: Ciberseguridad y Riesgos Digitales, Artículo: “Qué
es la norma ISO 27001 y para qué sirve”: https://www.ealde.es/iso-27001-para-que-sirve/
(2022), SCIENCE Technical Certification Intl., Artículo: ¿Cuáles son los principios básicos
del sistema de gestión de seguridad de la información Norma ISO 27001?
https://www.sciencetr.com/es/belgelendirme/sistem-belgelendirme/iso-27001-bilgi-guvenligi-
yonetim-sistemi/iso-27001-bilgi-guvenligi-yonetim-sistemi-temel-prensipleri-nelerdir
(2022), Blog Vida U, Universidad San Marcos. Artículo: “Consejos para garantizar la
ciberseguridad en las empresas”: https://www.usanmarcos.ac.cr/blogs/ciberseguridad-
consejos