ISO IEC 27001

En esta etapa se enmarca

Implantar un SGSI en una empresa no es todo el proceso de análisis
precisamente cuando se le haya presentado un de la situación en que
incidente de seguridad sobre su información, sino,
actualmente se encuentra 1. Establecer el compromiso con los directivos de la
cuando ésta desea tener un crecimiento y
posicionamiento ante un mercado exigente y global
¿Cuándo y porqué implantar un la empresa respecto a los empresa para el inicio, proceso y ejecución.
teniendo en cuenta que, para ello, requerirá del uso de SGSI en una organización? mecanismos de seguridad 2.Definir las políticas de seguridad.
la Tecnología de la información y las comunicaciones 3.Selección y aplicación de una metodología de
implementados y la
para lograrlo. En tal sentido, un SGSI, va permitir de análisis y evaluación de riesgos.
normativa ISO/IEC 4.Fase de evaluación del riesgo; En esta fase se evalúa
forma organizada y sistémica, mantener la seguridad
de la información que maneja la empresa con un alto 27001:2017 la cual se los riesgos, se tratan y se seleccionan los controles a
grado de confiabilidad, integridad y disponibilidad. pretende implantar para implementar.
Así como el estar preparados para afrontar un evaluación y certificación.
incidente de seguridad que rompa las barreras
(medidas de seguridad) de seguridad implantadas y
PLANEAR Las etapas relevantes de
estar en la capacidad de poner en funcionamiento esta fase son:
rápidamente la empresa o que es lo mismo evitar que
sus clientes lo perciban o lo vean.

En esta fase se hace la

¿Qué aspectos se deben considerar implementación de los
controles que se definen
La seguridad de la información es un compromiso de al implantar un SGSI? de acuerdo al plan de 1.Definir el plan de tratamiento de riesgos.
todos en una organización. Aunque esto sea claro para tratamiento de riesgos 2.Implantar el plan de tratamiento de riesgos.
muchos empleados de una empresa, para otras no lo definidos una vez 3.Selección e implementación de controles (Anexo A
es, es por ello que uno de los aspectos relevantes a la ISO 27002:2013).
hora de implementar un SGSI, es concientizar a las HACER construida la matriz de
riesgos en la etapa 4Formación y concientización (a toda la organización).
directivas y demás empleados, la importancia y anterior. Las actividades
responsabilidad de proteger la información como el más relevantes de esta
activo más preciado que posee que la pérdida de ella etapa son:
podría causar el declive parcial o total de la empresa
con una afectación económica, de identidad, de marca
y por ende disminución de empleados.

Es el estándar internacional que define los requerimientos

necesarios para establecer, implementar, mantener y QUE ES Y
actualizar los sistemas de gestión de seguridad de la
CONSIDERACIOES
información.
MODELO
Para la implantación de un sistema de gestión de la seguridad
PARA LA ISO IEC 27001
de la información, se requiere del desarrollo de actividades PHVA
que marquen un orden lógico para llevar organizado todo el ILPLEMANTACION
proceso. El modelo PDCA (Plan, do, check, act), en su
Dado que existen organizaciones que tienen por lo
menos implementada algunas medidas de seguridad
equivalencia en español es planificar, hacer, verificar y actuar DE UN SGSI
sobre sus activos y éstas a la vez cumplen con la
(PHVA), es una estrategia de mejora continua de calidad en
cuatro pasos.
QUE ES
normativa ISO/IEC 27001, la implantación del SGSI
llevaría alrededor de 6 meses. Pero si la empresa
posee medianamente o por lo menos unas técnicas
seguras de sus activos, además de la concientización Esta es una fase donde se 1.Revisión del Sistema de Gestión de Gestión de
de las directivas, esta podría tardar alrededor de un hace una revisión y seguridad.
año. evaluación del desempeño 2.
de los controles Medir la eficacia de los controles seleccionados e
Es el estándar internacional que define los requerimientos implementados buscan implementados.
necesarios para establecer, implementar, mantener y VERIFICAR medir la eficacia y 3.Se miden y revisan si existen riesgos residuales.
eficiencia de los controles 4.Realización de auditorías internas al Sistema de
actualizar los sistemas de gestión de seguridad de la seleccionados e gestión de seguridad de la información.
información. implementados. Las 5.Registro de todas las acciones y eventos generados
Para la implantación de un sistema de gestión de la etapas de esta fase son: durante las pruebas y validaciones.
seguridad de la información, se requiere del desarrollo de
El costo de la implantación de un SGSI, depende de
¿Cuánto tiempo se requiere para
actividades que marquen un orden lógico para llevar
múltiples variables. Una de las variables es cuando la implantar un SGSI? organizado todo el proceso. El modelo PDCA (Plan, do,
empresa la implementa, pero a través de la
check, act), en su equivalencia en español es planificar,
contratación de terceros o entes externos que realizan
todo el proceso. Otra variable es que dentro de la hacer, verificar y actuar (PHVA), es una estrategia de mejora
empresa existan empleados que poseen el continua de calidad en cuatro pasos.
conocimiento o en su defecto la organización los
capacite para que posteriormente realicen la
ACTUAR Esta es una fase donde se
implantación. También se podría incluir como variable hace una revisión y 1.Implantar mejoras al SGSI.
las herramientas que se utilicen para la evaluación del desempeño
2.Definición y aplicaciones de acciones preventivas y
implementación ya que existen actualmente múltiples de los controles correctivas.
sistemas de información y/o aplicativos que ayudan a implementados buscan
3.Verificación de la eficiencia de las acciones
desarrollar todo el proceso de manera más ágil. Por medir la eficacia y
ejecutadas.
último, se podría considerar, que el costo de la eficiencia de los controles
implantación de un SGSI, depende de la magnitud o seleccionados e
tamaño de la empresa ya que entre más grande sea, implementados. Las etapas
pues los requerimientos serán mayores o simplemente de esta fase son:
tendría que hacer la implantación por áreas, factores, ¿Cuánto puede costar la
dependencias o departamentos según sea la implantación de un SGSI?
estructura organizacional de la empresa.