ISO 27001

En 2005, ISO (Organización Internacional para la Estandarización) se interesó en crear este

estándar para formalizar las recomendaciones de seguridad emitidas por BSI (British
Standards Institution) en la década de 1990.

La versión más reciente y actualizada hasta la fecha es de 2013, mismo año en que se
añadió la IEC (Comisión Electrotécnica Internacional). Por lo tanto, su nombre oficial es
ISO/IEC 27001:2013.

ISO 27001 se enfoca principalmente en la implementación de un sistema de gestión de

seguridad de la información (que cariñosamente llamamos ISMS). Podemos pensar en
ISMS como un equipo deportivo: tiene las reglas del juego (políticas), tiene planes tácticos
(procedimientos) que todos saben que tienen que seguir, y luego está el juego en el
campo (operaciones, set- procedimientos). ). ISO 27001 es un enfoque de proceso, lo que
significa que sus controles se utilizan para garantizar que las operaciones comerciales
agreguen valor y siempre se realicen de manera segura.

Debe saber que tiene 14 cláusulas y el apéndice (Apéndice A) proporciona 114 controles
que debe implementar para garantizar el cumplimiento. Sin embargo, la ISO 27001 explica
muy brevemente cómo implementarlos, por lo que se recomienda acudir a la ISO 27002
aquí, ya que describe en detalle y con precisión el método requerido para reducir cada
riesgo.

En otras palabras, Lo que hace:

 ISO 27001: le dice qué controles necesita implementar para proteger su

información e implementar un SGSI.
 ISO 27002 es una guía: Cómo implementar los 114 controles de seguridad
enumerados en el Anexo A.
Estructura de la norma ISO 27001

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones

sobre el uso, finalidad y modo de aplicación de este estándar.

2. Referencias Normativas: Recomienda la consulta de ciertos documentos

indispensables para la aplicación de ISO27001.

3. Términos y Definiciones: Describe la terminología aplicable a este estándar.

4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge

indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.

5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la

organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política
de seguridad que conozca toda la organización y ha de asignar roles,
responsabilidades y autoridades dentro de la misma.

6. Planificación: Esta es una sección que pone de manifiesto la importancia de la

determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos de
Seguridad de la Información y el modo de lograrlos.

7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del
SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.

8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta

parte de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de la Seguridad de
la Información y un tratamiento de ellos.
 9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.

10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia
de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Al implementar un sistema de gestión de seguridad de la información (SGSI) según la

norma ISO 27001, la evaluación de riesgos debe considerarse el eje central del sistema.
Este capítulo de la norma permitirá a la dirección de la empresa obtener la previsión
necesaria para definir el alcance y alcance de la norma, así como las políticas y medidas a
implementar, e integrar este sistema en un enfoque de mejora continua, una norma ISO
única. para todos.
Las fases de esta metodología son los siguientes:
1. Identificar los Activos de Información y sus responsables, entendiendo por activo
todo aquello que tiene valor para la organización, incluyendo soportes físicos
(edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones,
proyectos ...) así como la marca, la reputación etc.

2. Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del

activo que lo hacen susceptible de sufrir ataques o daños.

3. Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la
información, tales como desastres naturales, incendios o ataques de virus,
espionaje etc.

4. Identificar los requisitos legales y contractuales que la organización está obligada a

cumplir con sus clientes, socios o proveedores.

5. Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación con su disponibilidad,
confidencialidad e integridad del mismo.
 6. Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del
riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos
que deben ser controlados con prioridad.

7. Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la
política definida por la dirección. En este punto, es donde seleccionaremos los
controles adecuados para cada riesgo, los cuales irán orientados a :

 Asumir el riesgo
 Reducir el riesgo
 Eliminar el riesgo
 Transferir el riesgo

BENEFICIOS DE LA NORMA ISO 27001

Los riesgos de seguridad de la información representan una amenaza considerable para

las empresas debido a la posibilidad de pérdida financiera o daño, la pérdida de los
servicios esenciales de red, o de la reputación y confianza de los clientes.

La gestión de riesgos es uno de los elementos clave en la prevención del fraude online,
robo de identidad, daños a los sitios Web, la pérdida de los datos personales y muchos
otros incidentes de seguridad de la información. Sin un marco de gestión de riesgos sólida,
las organizaciones se exponen a muchos tipos de amenazas informáticas.

La nueva norma internacional ISO / IEC 27001 - seguridad de la información, ayudará a las
organizaciones de todo tipo para mejorar la gestión de sus riesgos de seguridad de la
información.

Hoy en día, seguridad de la información está constantemente en las noticias con el robo
de identidad, las infracciones en las empresas los registros financieros y las amenazas de
terrorismo cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un
enfoque sistemático para la gestión de la información confidencial de la empresa para que
siga siendo seguro. Abarca las personas, procesos y sistemas de TI.
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes
y proveedores que la seguridad de la información se toma en serio dentro de la
organización, estando a la vanguardia en la aplicación de la técnica de procesos para hacer
frente a las amenazas de la información y a y los problemas de la seguridad.