ISO 27001

Nombre: Yojan Heduin Herrera Romero

Erin Minerva Alvarado Sotelo Carrera: Ing. de
Sistemas Año: 4to

Introducción
Desde hace algunos años, muchas empresas han comenzado a implementar un
proceso de transformación digital, que entre otras cosas requiere del uso de
nuevas tecnologías y almacenamiento de la información en la nube y en diferentes
dispositivos electrónicos.

Y aunque esto, sin duda, trae muchas ventajas, también genera más exposición a
riesgos cibernéticos, por eso cada vez es más importante contar con un sistema
de gestión de seguridad de la información basado en la norma ISO 27001 para
proteger los datos y prevenir las consecuencias que traería la materialización de
un riesgo de este tipo.

En general, esta norma ofrece herramientas que permiten asegurar, integrar y

tener de manera confidencial toda la información de la compañía y los sistemas
que la almacenan, evitando así que un ciberataque se materialice y así mismo,
hacer más competitiva a la empresa y cuidar su reputación.

¿Qué es la seguridad de la información?

La seguridad de la información se define como un proceso integrado que permite

proteger la identificación y gestión de la información y los riesgos a los que esta se
puede ver enfrentada. Esta gestión se hace a través de estrategias y acciones de
mitigación para asegurar y mantener de manera confidencial los datos de una
empresa.

Para implementar la seguridad de la información en tu organización, es importante

que tengas en cuenta tres elementos claves: las personas, los procesos y la
tecnología.

 Personas: realizan la gestión y el tratamiento de la información. Pueden

ser empleados, directivos, autoridades competentes, clientes, proveedores,
contratistas y prestadores de servicio.

 Procesos: son las actividades que se realizan para cumplir con los
objetivos planteados, la mayoría de estas incluyen información o dependen
 de esta, por eso, son vulnerables.

 Tecnología: está relacionada con los servicios e infraestructura de la

empresa, es la que lleva el manejo y el desarrollo de la información,
además, brinda la oportunidad de almacenar, recuperar, difundir y darle
mantenimiento a los datos de valor que se encuentran ahí.

¿Qué es la norma ISO 27001?

Es una norma internacional creada por la Organización Internacional de

Normalización (ISO) para garantizar buenas prácticas de seguridad de la
información. Además, la norma ISO 27001 brinda herramientas que permiten a las
empresas gestionar su información de manera segura.

Este estándar internacional se creó, entre otras razones, para proporcionar a las
organizaciones un modelo consistente que permita establecer, implementar,
monitorear, revisar y mantener un Sistema de Gestión de Seguridad de la
Información (SGSI).

En 2005 fue publicada su primera versión, enfocada en la norma británica y en

2013 fue actualizada ajustándose a las novedades tecnológicas del mercado y
basándose en normas como ISO y las directrices de la Organización para la
Cooperación y el Desarrollo Económico, para la seguridad de sistemas y redes de
información. Esta norma puede aplicarse a cualquier tipo de empresa, sin importar
su industria o tamaño.

¿Qué permite la norma ISO 27001?

La norma ISO 27001 permite que los datos suministrados sean confidenciales,
íntegros, disponibles y legales para protegerlos de los riesgos que se puedan
presentar.

Contar con este sistema dentro de la organización genera confianza entre los
clientes, proveedores y empleados, además, es un referente mundial.

La implementación de esta norma permite evaluar y controlar los riesgos que se

hayan identificado, creando un plan que ayude a prevenirlos y, en caso de
presentarse, a mitigar su impacto.
ISO 27001 también sirve a las empresas para:

 Obtener un diagnóstico por medio de entrevistas.

 Realizar un análisis exhaustivo de todos los riesgos que se puedan
presentar.
 Crear un plan de acción acorde a las necesidades puntuales de la empresa.
 Diseñar procedimientos.
 Entender los requerimientos de seguridad de la información y la necesidad
de establecer una política y objetivos para la seguridad de la información.
 Implementar y operar controles para manejar los riesgos de la seguridad de
la información.
 Monitorear y revisar el desempeño y la efectividad del Sistema de Gestión
de Seguridad de la Información (SGSI).
 Favorecer el mejoramiento continuo con base en la medición del objetivo.

Es bueno tener en cuenta que la norma ISO 27001 otorga certificación, esto
permite a las empresas demostrarle a sus clientes, empleados y proveedores que
realmente están blindadas en materia de seguridad de la información.

Con el módulo de seguridad de la información, en tu organización pueden cumplir

esta normativa porque podrán implementar buenas prácticas de seguridad de la
información, documentar de manera fácil sus activos de información y conocer
cuál es su nivel de criticidad, registrar los riesgos, amenazas y vulnerabilidades a
los que están expuestas, así como los eventos o incidentes detectados,
analizarlos y ejecutar planes de acción, entre otras funcionalidades.

Importancia de la norma ISO 27001

hoy en día la información de las compañías, su activo más importante, puede

sufrir algún tipo de fraude, hackeo, sabotaje, vandalismo, espionaje o un mal uso
por parte del recurso humano.

Estos actos delictivos, generalmente, son realizados por ingenieros, hackers,

empleados u organizaciones dedicadas al robo de datos, que lo único que buscan
es interferir en la reputación de la empresa. Por esta razón, es tan importante
contar con herramientas que te permitan evitar que este tipo de hechos sucedan.

Tener en tu empresa un Sistema de Gestión de Seguridad de la Información te

permite cumplir con los requerimientos legales, pues muchos países lo exigen. En
la norma ISO 27001 encuentras la metodología que debes seguir para
implementarlo y poder cumplir con lo exigido.
Obtener la certificación en ISO 27001 genera un valor agregado para tu compañía
con respecto a tus competidores, además, mayor confianza entre tus clientes y
futuros clientes. Esta certificación también ayuda a disminuir la probabilidad de
ocurrencia de incidentes que generen grandes pérdidas para tu empresa, así
evitas consecuencias perjudiciales y ahorras dinero.

Estructura de la norma ISO 27001

 Objeto y campo de la aplicación: brinda las herramientas para saber

cómo es el uso de la norma, qué beneficios trae y cómo debes aplicarla.

 Referencias normativas: son los documentos que debes tener en cuenta

para aplicar las recomendaciones de la norma.

 Términos y definiciones: es un glosario que te permite entender las

palabras claves de lo que está descrito allí.

 Contexto de la organización: es uno de los requisitos fundamentales de la

norma. Busca entender el contexto de la empresa y cuáles son sus
necesidades para verificar cuál será el alcance del Sistema de Gestión de
Seguridad de la Información que se va a poner en marcha.

 Liderazgo: es importante generar una cultura en la compañía alrededor de

la seguridad de la información, por eso, todos los empleados deben estar
enterados sobre los planes de acción que se van a llevar a cabo y de qué
manera ellos contribuyen a su cumplimiento. Por eso, es clave que los
líderes de la empresa nombren responsables y den a conocer
oportunamente las políticas establecidas.

 Planificación: aquí debes establecer los objetivos y cuál va a ser el camino

a seguir para lograrlos, cómo será la implementación del Sistema de
Gestión de Seguridad de la Información teniendo en cuenta los riesgos que
fueron identificados previamente.

 Soporte: para el adecuado funcionamiento del sistema debes contar con

los recursos necesarios que les permitan ser competentes, contar con una
óptima comunicación y documentar la información requerida para cada
caso.

 Operación: para tener una gestión eficaz debes planificar, implementar,

monitorear y controlar cada uno de los procesos, valorar cada riesgo y crear
una solución para cada uno de ellos.

 Evaluación de desempeño: aquí debes realizar el seguimiento, la

medición, el análisis y la evaluación del sistema implementado con el fin de
 verificar que se está cumpliendo con lo establecido.

 Mejora: se trata de identificar qué aspectos no están funcionando

correctamente para poder ajustarlos y cumplir con su objetivo final.

Protocolos de la seguridad de la información

lo primero que debes saber es que cuando tú o cualquier persona realiza alguna
búsqueda en internet, el navegador intercambia datos con las diferentes páginas
que visitas, esto pasa de manera automática o consciente.

Para proteger la información se utilizan protocolos que garantizan la seguridad e

integridad por medio de reglas establecidas. Estos protocolos se diseñaron para
prevenir que agentes externos no autorizados tengan acceso a los datos, están
compuestos por:

 Cifrado de datos: cuando el mensaje es enviado por el emisor lo que hace

es ocultar la información hasta que esta llegue al receptor.
 Lógica: debe contar con un orden en el que primero van los datos del
mensaje, el significado y en qué momento se va a enviar este.
 Autenticación: esta técnica se utiliza para saber que la información está
siendo manipulada por un ente autorizado y no está sufriendo algún tipo de
intervención por agentes externos.

Sistema de Gestión de Seguridad de la Información

El Sistema de Gestión de Seguridad de la Información (SGSI) es el concepto

central sobre el que se construye la norma ISO 27001. De acuerdo con esta
normativa, la seguridad de la información consiste en la preservación de la
confidencialidad, integridad y disponibilidad y es bajo estos tres términos que se
realiza el análisis y evaluación de los activos de información.

El SGSI debe estar enfocado en cuatro fundamentos:

Disponibilidad Confidencialidad Integridad Autenticación

Se refiere a tener
acceso a la información La información que
Esta información
necesaria. Es Es la información que está registrada debe
la brinda
importante evitar que el solo está disponible ser la correcta y no
directamente un
sistema tenga para el personal tener errores o algún
usuario y se debe
problemas o que algún autorizado, por ende, tipo de
validar que los
ente externo intente esta no debe ser modificaciones. Esto
datos otorgados
acceder de manera distribuida por se hace para evitar
sean los
ilícita a los terceros. amenazas externas o
correctos.
programadores de la errores humanos.
compañía.

Este proceso permite garantizar que la gestión de la seguridad de la información

se realiza de la manera adecuada, por eso debe documentarse para que toda la
organización lo conozca y sepa cómo actuar frente a situaciones de posible
amenaza.

¿Para qué sirve un SGSI?

la información de una compañía es uno de sus activos más importantes, por eso
es indispensable protegerla porque esta es esencial para el cumplimiento de los
objetivos.

Un SGSI es de gran ayuda para cumplir con la legalidad y la protección de los

datos, permite definir los procedimientos y controles que se llevarán a cabo para
mantener los datos blindados.

¿Qué incluye un SGSI?

Un Sistema de Gestión de Seguridad de la Información, según la norma ISO

27001, debe incluir los siguientes elementos:

 Manual de seguridad
Este documento contiene la guía de cómo se debe implementar y seguir el
Sistema de Gestión de Seguridad de la Información. Aquí se incluye toda la
información como objetivos, alcance, responsables, políticas, directrices,
entre otras actividades que se decidan llevar a cabo.
 Procedimientos
Estos se relacionan con las actividades operativas, ya que estos dan los
parámetros que se deben seguir para que la gestión sea eficaz y la
planificación, la operación y el control sean los adecuados en los procesos
de seguridad de la información.
 Instrucciones
 Es la descripción de lo que se debe hacer paso a paso, cuáles son las
tareas y actividades que se deben cumplir para que la gestión sea eficiente.
 Registros
Es la evidencia de la información que ha sido documentada durante toda la
gestión para verificar que se estén cumpliendo con los objetivos
propuestos.

¿Cómo se implementa un SGSI?

Casos que debes seguir para implementar un Sistema de Gestión de Seguridad

de la Información.

 Contar con el apoyo de la alta gerencia, directores y junta directiva.

 Establecer la metodología que se va a implementar.
 Definir el alcance del SGSI.
 Redactar una política de seguridad de la información.
 Definir la evaluación de riesgos.
 Llevar a cabo la evaluación y el tratamiento de riesgos.
 Dar a conocer cómo va ser la aplicabilidad del SGSI.
 Tener claro el plan de tratamiento de riesgos.
 Definir cómo se medirá la efectividad de los controles.
 Implementar todos los controles y procedimientos necesarios.
 Crear cultura dentro de la empresa a través de programas de capacitación y
concientización.
 Monitorear y medir el SGSI para verificar si sí está siendo efectivo.
 Hacer auditoria interna.
 Si hay que hacer mejoras en algunas de las fases ponerlo en práctica.

Ventajas de implementar un SGSI bajo la norma ISO 27001

 Permite que los procesos de seguridad estén equilibrados y a la vez

coordinados entre sí.
 Aunque es imposible reducir a cero el riesgo, permite crear metodologías
que contribuyan a la mitigación de los mismos y a aumentar la seguridad en
la información que se tiene.
 En caso de que se llegue a presentar un riesgo permite que este no cause
pérdidas tan profundas y que se cuente con un plan de acción para actuar
de manera eficaz.
 Permite cumplir con los requerimientos legales exigidos por los entes de
control.
 Genera valor agregado dentro de la compañía, pues aún no son muchas las
empresas que cuenten con la certificación ISO 27001.
 Gracias a la eficiencia que se emplea permite reducir costos.
  Genera confianza con todos los miembros de la entidad, ya sean clientes,
proveedores o empleados.
 Da la posibilidad de que se puedan activar alertas en caso de que se llegue
a presentar alguna actividad sospechosa.
 Permite hacerles seguimiento a los controles de seguridad.
 Es una herramienta que da la posibilidad de planificar y hacerle seguimiento
a los procesos.
 Contribuye a la imagen corporativa (reputación).
 Permite contar con una metodología clara y eficaz.
 Reduce el riesgo de pérdida o robo de la información

DONDE SE APLICA LA ISO 27001 Y QUE SE DEBE TENER

Fredrickson International. - es una agencia de cobranza líder. Al haber

implementado ISO/IEC 27001 tiene ahora una mayor consciencia de la seguridad
a través de la organización. La certificación ha reducido significativamente el
tiempo que toma hacer la oferta para los contratos y ha ofrecido confianza al
mercado de sus prácticas de seguridad en la información.

Thames Security Shredding. -(TSS) ofrece una recolección eficiente y segura y

destrucción de documentos confidenciales. La certificación para ISO/IEC 27001 le
da a la compañía un margen competitivo en satisfacer los requisitos contractuales
ya que demuestra su compromiso en la gestión de la seguridad de la información
a un nivel internacional de mejor práctica. También proporciona a TSS con un
importante diferencial de mercado que ha atraído nuevos negocios.

• Para implementar la norma ISO 27001 en una empresa se tiene que seguir
estos 16 pasos:
• 1) Obtener el apoyo de la dirección
• 2) Utilizar una metodología para gestión de proyectos
• 3) Definir el alcance del SGSI
• 4) Redactar una política de alto nivel sobre seguridad de la
información
• 5) Definir la metodología de evaluación de riesgos
• 6) Realizar la evaluación y el tratamiento de riesgos
 • 7) Redactar la Declaración de aplicabilidad
• Redactar el Plan de tratamiento de riesgos
• 9) Definir la forma de medir la efectividad de sus controles y de su SGSI
• 10) Implementar todos los controles y procedimientos necesarios
• 11) Implementar programas de capacitación y concienciación
• 12) Realizar todas las operaciones diarias establecidas en la
documentación de su SGSI
• 13) Monitorear y medir su SGSI
• 14) Realizar la auditoría interna
• 15) Realizar la revisión por parte de la dirección
• 16) Implementar medidas correctivas

Conclusión

Como hemos ido observado la iso27001 se aplica en un sistema de gestión de

seguridad de la información. Que no solo permite proteger los datos de tu
organización, que son el activo más importante, sino también generar mayor
confianza entre tus clientes, proveedores y empleados.