EL EMPLEO DE LAS NORMAS ISO/IEC 27001:2022 EN LOS SISTEMAS DE

GESTIÓN DE INFORMACIÓN DE LAS ORGANIZACIONES PUBLICAS Y

PRIVADAS EN EL ECUADOR
 Introducción

Uno de los activos más valiosos que posee toda organización pública o privada en la
actualidad, es la información, la misma que no solo se relaciona con el giro del negocio o la
actividad económica de la empresa, es decir que se produce internamente, sino que también
la recopila de su entorno para poder utilizarla posteriormente en la toma de decisiones. Es
por esto, que se hace necesario implementar procesos o prácticas que permitan garantizar la
seguridad de la información, considerando la normativa legal vigente en el país y las
regulaciones internacionales que rigen la seguridad informática.

La seguridad informática es la rama tecnológica que se encarga de proteger la

información y los sistemas informáticos de posibles amenazas y ataques. En el Ecuador, la
importancia de este tema ha venido en aumento, debido a la creciente dependencia de las
tecnologías de la información en la vida cotidiana y en las actividades organizacionales.
Existen diversas medidas que se pueden tomar para proteger los sistemas informáticos y los
datos que almacenan y procesan en ellos. Esto incluye resguardar contra amenazas internas
y externas, como el malware, el acceso no autorizado, la pérdida de datos y la interrupción
del servicio.

Una de las formas en que las organizaciones pueden garantizar la seguridad

informática es a través de la implementación de normas y estándares de seguridad. Uno de
los estándares más conocidos en este ámbito es la norma ISO/IEC 27001, reconocida en el
marco internacional, como una de las mejores prácticas para un sistema de gestión de
seguridad de la información. De acuerdo a lo expuesto por ISOTOOLS (2020), esta norma
internacional “…permite el aseguramiento, la confidencialidad e integridad de los datos y de
la información, así como de los sistemas que la procesan”.

Esta norma proporciona un marco de referencia para la gestión de la seguridad de la

información y establece los requisitos para implementar un sistema de gestión de la
seguridad de la información que permitan que las organizaciones protejan la
confidencialidad, integridad y disponibilidad de la información de la organización. La norma
ISO/IEC 27001 establece un enfoque sistemático para la gestión de la seguridad de la
información y define los requisitos para la implementación y el mantenimiento de un Sistema
de Gestión de Seguridad de la Información (SGSI).
 Entre las principales ventajas de la implementación de la norma ISO/IEC 27001 se
encuentra el hecho de que proporciona un marco de referencia para la gestión de la
seguridad de la información que es aplicable a cualquier tipo de organización,
independientemente de su tamaño o sector de actividad. Además, al cumplir con la norma,
las organizaciones pueden demostrar su compromiso con la seguridad de la información y
mejorar su imagen y credibilidad ante clientes, usuarios, proveedores y otros interesados.

Desarrollo

Para profundizar en el conocimiento del tema es importante partir de la definición de la

norma ISO/IEC 2700, la misma que de acuerdo a la definición planteada por ISO27000
(2015) corresponde al conjunto de estándares desarrollados o en fase de desarrollo por la
Organización Internacional para la Estandarización, ISO por sus siglas en inglés, y la
Comisión Internacional de Electrotécnica, que proporciona un marco de gestión de seguridad
en la información que puede ser utilizada por cualquier tipo de organización, sea esta grande
o pequeña; pública o privada.

Por lo tanto, tomando en consideración la definición anterior se conoce que la norma

ISO/ICE 27000 se conforma por un conjunto de reglamentos que han sido desarrollados por
la ISO y por la IEC, con la finalidad de mejorar la gestión de la seguridad de cualquier tipo
de organización, ya sea pública o privada. El estándar ISO 27001:2022 para los Sistemas
Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del
riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. La aplicación
de este sistema, aporta una diferenciación con respecto a la competencia, que mejora la
productividad y la imagen de una organización, si se complementa con las buenas prácticas
o controles establecidos en la norma ISO 27002.

Otro aspecto importante de la norma, es que establece un enfoque basado en riesgos

para la gestión de la seguridad de la información. Esto significa que las organizaciones deben
evaluar los riesgos a los que están expuestos sus activos de información y tomar medidas
para protegerlos de manera adecuada. Esto puede incluir la implementación de medidas
técnicas, como firewalls y sistemas de detección de intrusiones, así como medidas de
seguridad física y procedimientos de gestión de la seguridad.

Su implementación, puede ayudar a las organizaciones a identificar y valorar los

riesgos para la seguridad de la información, a establecer medidas de control para mitigar
estos riesgos y a monitorear y evaluar continuamente el rendimiento del ISMS. Además, la
norma también puede ayudar a las organizaciones a cumplir con otras normativas y
regulaciones relevantes en materia de seguridad de la información, como la Ley de
Protección de Datos Personales (LPDP).

Es necesario establecer un enfoque sistemático para la gestión de la seguridad de la

información, en el mismo que se definen los requisitos para la implementación y el
mantenimiento de un SGSI. Entre los más relevantes se encuentra el requisito de que este
SGSI incluya la identificación de los activos de información de una organización, la
evaluación de los riesgos a los que están expuestos dichos activos, la implementación de
medidas de protección adecuadas y el monitoreo y la revisión periódica del sistema para
asegurar su efectividad. Además, al cumplir con la norma, las organizaciones pueden
demostrar su compromiso con la seguridad de la información y mejorar su imagen y
credibilidad ante clientes, proveedores y otros interesados.

Otro aspecto importante de la norma ISO/IEC 27001 es que establece un enfoque

basado en riesgos para la gestión de la seguridad de la información. Esto significa que las
organizaciones deben evaluar los riesgos a los que están expuestos sus activos de
información y tomar medidas para protegerlos de manera adecuada. Esto puede incluir la
implementación de medidas técnicas, como firewalls y sistemas de detección de intrusiones,
así como medidas de seguridad física y procedimientos de gestión de la seguridad. Esto es
especialmente importante en un entorno en el que los riesgos de seguridad informática
están en constante cambio y evolución. Este marco de referencia para la gestión de la
seguridad de la información es aplicable a cualquier tipo de organización,
independientemente de su tamaño o sector de actividad. Además, al cumplir con la norma,
las organizaciones pueden demostrar su compromiso con la seguridad de la información y
mejorar su imagen y credibilidad ante clientes, proveedores y otros interesados.

Una vez analizados los criterios de varios autores, se presenta a modo de resumen, las
consideraciones necesarias para implementar una norma ISO en seguridad informática
(ISO/IEC 27001) en una organización pública o privada, considerando siempre, que estos
deben estar alineados a los objetivos y filosofía de la organización, estos son:

1. Identificación del alcance del SGSI: es necesario determinar qué información se

considera crítica para la organización y cuáles son los procesos que se deben
proteger.
2. Realizar un análisis de riesgos: es necesario realizar un análisis para identificar los
posibles riesgos a la seguridad de la información y los sistemas informáticos.
 3. Establecer un marco de gestión de la seguridad de la información: se debe
establecer un marco de gestión de la seguridad de la información que incluya
políticas, procedimientos y responsabilidades.
4. Desarrollar planes de acción: se deben desarrollar planes de acción para mitigar
los riesgos identificados en el análisis de riesgos.
5. Implementar y documentar los controles: es necesario implementar y documentar
los controles necesarios para cumplir con los requisitos de la norma ISO.
6. Realizar pruebas y verificaciones: es importante realizar pruebas y verificaciones
para asegurar que los controles estén funcionando adecuadamente.
7. Monitorear y evaluar continuamente el sistema de gestión: se debe monitorear y
evaluar continuamente el sistema de gestión para identificar posibles mejoras y
asegurar que se esté cumpliendo con los requisitos de la norma ISO.
8. Certificación: una vez que se ha implementado y verificado el SGSI, se puede
solicitar la certificación de acuerdo a la norma ISO/IEC 27001.

Es importante tener en cuenta que la implementación de la norma ISO/IEC 27001

requiere un compromiso y un esfuerzo sostenidos por parte de la organización. Se trata de
un proceso continuo y es necesario asegurarse de que se llevan a cabo revisiones periódicas
y actualizaciones para mantener el SGSI efectivo. Debido a su complejidad puede requerir el
apoyo de profesionales expertos en seguridad o en la certificación de normas ISO.

Implementar la norma ISO 27001 tiene varias ventajas para las organizaciones.
Algunas de ellas incluyen:

 Mayor protección de la información: Al implementar la norma ISO 27001, las

organizaciones pueden establecer un marco de seguridad de la información sólido y
coherente, lo que les ayuda a proteger sus datos de ataques cibernéticos y
pérdidas.
 Mayor confianza de los clientes: Las organizaciones que implementan la norma ISO
27001 pueden demostrar a sus clientes y socios que tienen medidas adecuadas de
seguridad de la información en su lugar, lo que puede aumentar la confianza de los
clientes en la empresa.
 Mayor eficiencia: Implementar la norma ISO 27001 puede ayudar a las
organizaciones a identificar y eliminar procesos ineficientes y a mejorar la gestión
de la información. Esto puede aumentar la eficiencia y reducir los costos a largo
plazo.
  Mayor flexibilidad: La norma ISO 27001 es flexible y se puede adaptar a las
necesidades y requisitos de una organización en particular. Esto significa que las
empresas pueden personalizar su ISMS para adaptarse a sus necesidades
específicas.

En Ecuador, la norma ISO/IEC 27001 se aplica de la misma manera que en otros

países, y su implementación es voluntaria. Sin embargo, algunas organizaciones pueden
decidir implementarla para mejorar la seguridad de la información y demostrar su
compromiso con la protección de los datos confidenciales y sensibles. Para su aplicación, el
Instituto Ecuatoriano de Normalización INEN (2011) emitió la norma técnica ecuatoriana NTE
INEN-ISO/IEC 27001:2011, la misma que proporciona un modelo para la creación,
implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de
Gestión de la Seguridad de la Información (SGSI). De acuerdo a lo que establece esta
norma, la adopción de un SGSI debería ser fruto de una decisión estratégica de una
organización. El diseño y la implementación del SGSI dependen de las necesidades y
objetivos de cada organización, así como de sus requisitos de seguridad, sus procesos, su
tamaño y estructura.

Aunque es posible que los factores y los sistemas que soportan EL SGSI cambien con
el tiempo. Lo habitual es que la implementación de un SGSI se ajuste a las necesidades de la
organización; por ejemplo, una situación sencilla requiere un SGSI simple. Esta norma sirve
para que cualquier parte interesada, ya sea interna o externa a la organización, pueda
efectuar una evaluación de la conformidad con sus sistemas de información. En esta norma
se describe, además, el proceso para la gestión de seguridad de la información, señalando
que los usuarios deben hacer énfasis en los siguientes aspectos:

a) Comprender los requisitos de seguridad de la información de una organización y la

necesidad de establecer una política de seguridad de la información y sus objetivos;
b) Implementar y operar los controles para administrar los riesgos de seguridad de la
información de una organización en el marco de sus riesgos empresariales generales;
c) Supervisar y revisar el rendimiento y la eficacia del SGSI; y
d) Asegurar la mejora continua sobre la base de la medición objetiva (INEN , 2015).

De acuerdo al criterio de ISO (2022) e INEN (2015) conjuntamente con el análisis de

otros autores, para la implementación de la norma ISO/IEC 27001:2022 se debe seguir el
modelo PHVA, también conocido como ciclo Deming, “Planificar-Hacer-Verificar-Actuar“; un
enfoque basado en procesos creado por Deming (2012), aplicable para todos los procesos
del SGSI. Este modelo debe partir de los Requisitos particulares y expectativas de seguridad
de la información de las partes interesadas adoptando las acciones y procesos necesarios
para producir los elementos que garanticen la seguridad de la información.

En el ciclo de mejora continua o ciclo Deming, la etapa de planificación consiste en

establecer objetivos y estrategias para mejorar un proceso o producto. La etapa de hacer
consiste en implementar las mejoras planificadas. La etapa de verificar consiste en evaluar el
rendimiento del proceso o producto y compararlo con los objetivos establecidos. La última
etapa, actuar, consiste en tomar medidas correctivas si es necesario y continuar el proceso
de mejora continua.

Es importante que la adopción del modelo PHVA refleje también los principios definidos
en las Directrices de la OCDE (2021) que rigen la seguridad de los sistemas y las redes de
información. Esta norma proporciona un modelo robusto para implementar los principios de
dichas directrices que rigen la evaluación de riesgos, el diseño y la implementación de la
seguridad, así como la gestión y la reevaluación de la seguridad (OCDE, 2012). El modelo
PHVA puede utilizarse en conjunción con la norma ISO 27001 para mejorar la seguridad de
la información en una organización. Por ejemplo, una organización puede utilizar el modelo
PHVA para identificar áreas de su SGSI que necesitan mejoras y establecer objetivos y
estrategias para mejorar la seguridad de la información. Luego, pueden implementar las
mejoras planificadas y evaluar su rendimiento para asegurar su efectividad. Si es necesario,
pueden tomar medidas correctivas y continuar el proceso de mejora continua.

En resumen, el modelo PHVA y la norma ISO 27001 pueden utilizarse juntos para
mejorar la seguridad de la información en una organización. El modelo PHVA proporciona un
marco para identificar áreas de mejora y establecer objetivos y estrategias para mejorar la
seguridad de la información, mientras que la norma ISO 27001 proporciona un conjunto de
requisitos y directrices para proteger la información de una organización.

Conclusiones

La seguridad informática es un componente clave de la seguridad de la información y

se refiere a la protección de los sistemas informáticos y de la información almacenada en
ellos. La norma ISO/IEC 27001 establece un marco de referencia para la gestión de la
seguridad de la información, incluyendo la seguridad informática, y proporciona una serie de
requisitos y directrices para proteger la información de una organización.
 Al implementar la norma ISO/IEC 27001, las empresas deben realizar un análisis de
riesgos y establecer políticas y objetivos de seguridad de la información para proteger los
activos de información de la organización. También deben diseñar y implementar medidas de
seguridad adecuadas, como firewalls, protección contra virus y software de control de
acceso, para proteger los sistemas informáticos y la información almacenada en ellos. 

Considerando que la seguridad informática es un elemento esencial para proteger los

sistemas y datos de las organizaciones, y la implementación de normas como la ISO 27001
puede ayudar a garantizar que se tomen las medidas adecuadas para proteger la
información y cumplir con las regulaciones aplicables, se evidencia la necesidad de que las
organizaciones públicas o privadas establezcan objetivos y políticas de seguridad informática
con las que se pueda gestionar adecuadamente la seguridad de información con la que
cuenta cada una de ellas, independientemente del tamaño o giro de la actividad económica.

La aplicación de las normas ISO 27001 y NTE ISO 27001 en Ecuador puede ayudar a
las organizaciones a proteger sus activos informáticos y garantizar la seguridad de la
información en un entorno cada vez más cibernéticamente sofisticado y cambiante. Estas
normas proporcionan un marco de referencia para la implementación y gestión de un
sistema de gestión de la seguridad de la información (SGSI), que incluye la identificación de
los activos que deben protegerse, la evaluación de los riesgos, la ejecución de medidas de
protección y la realización de revisiones periódicas.

La implementación de las normas ISO 27001 y NTE ISO 27001 también puede
contribuir a que las organizaciones cumplan con ciertos requisitos legales y reguladores en
materia de seguridad de la información y protección de datos personales. Además, la
certificación ISO 27001 puede proporcionar una mayor confianza y credibilidad a los clientes
y usuarios de la organización que decide tomar el reto de su implementación.
BIBLIOGRAFÍA

Bibliography
Baca, G. (2016). “Introducción a la seguridad informática”. Obtenido de
https://books.google.com.mx/books?
hl=es&lr=&id=IhUhDgAAQBAJ&oi=fnd&pg=PP1&dq=Que+es+seguridad+informatic
a+&ots=0XNw6yzgJq&sig=g1RUxYuKQOC9ifL5dyGDndMMaAg&redir_esc=y#v=onep
age&q&f=false

Casares, P. (2021). Seguridad en la Información. PUCE.

Deming, W. (1989). Calidad, Productividad y Competitividad: la salida de la crisis. Díaz de

Santos .

INEN . (2015). Instituto Ecuatoriano de Normalización . Obtenido de Norma Técnica

Ecuatoriana NTE INEN-ISO/IEC 27001:2011:
https://www.normalizacion.gob.ec/buzon/normas/nte_inen_iso_iec_27001extracto.pd
f

ISO. (2015). ISO/IEC 27001:2022. Obtenido de https://www.iso.org/standard/82875.html

ISOTOOLS. (2020). Normas y riesgos de seguridad . Obtenido de ISO 27001:

https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

OCDE. (2012). Directrices de la OCDE para la Seguridad de los Sistemas y Redes de

Información – Hacia una cultura de la seguridad. Obtenido de www.oecd.org.

Palafox, L. (2016). UNIR . Obtenido de Una metodología de ciberseguridad para pymes en

entornos industriales: https://reunir.unir.net/handle/123456789/9422