Gobernabilidad de

Tecnologías de Información
(GTI) | 02
Martin Nelbren Cuellar | 2021-10-25

Gobernabilidad de Tecnologías de Información | 02 1

 ISO/IEC 27001 Sistema de
Gestión de Seguridad de la
Información
Conocer el estándar ISO/IEC 27001

Comprender la importancia del SGSI (Sistema de

Gestión de Seguridad de la Información)

Reconocer los objetivos del SGSI en la organización

Gobernabilidad de Tecnologías de Información | 02 2
 ISO/IEC 27001
Proporciona los requisitos para establecer,
implementar, mantener y mejorar continuamente un
Sistema de Gestión de la Seguridad de la
Información.

Gobernabilidad de Tecnologías de Información | 02 3

 El uso
El establecimiento y la implementación del Sistema
de Gestión de la Seguridad de la Información de una
organización está influenciada por las necesidades y
objetivos de la organización, los requisitos de
seguridad, los procesos organizacionales utilizados y
el tamaño y estructura de la organización. Se espera
que todos estos factores influyentes cambien con el
tiempo.
Gobernabilidad de Tecnologías de Información | 02 4
 El objetivo
El SGSI preserva la confidencialidad, la integridad y
la disponibilidad de la información mediante la
aplicación de un proceso de gestión de riesgos y da
confianza a las partes interesadas que los riesgos se
gestionan adecuadamente.

Gobernabilidad de Tecnologías de Información | 02 5

Gobernabilidad de Tecnologías de Información | 02 6
 Alcance
Esta Norma Internacional define los requisitos para:
Establecer, implementar y mantener y mejorar
continuamente un SGSI en el contexto de la
organización.
La evaluación y el tratamiento de los riesgos de
seguridad de la información adaptados a las
necesidades de la organización.
Gobernabilidad de Tecnologías de Información | 02 7
Los estándares internacionales son genéricos y están
destinados a ser aplicables a todas las
organizaciones, independientemente del tipo,
tamaño o naturaleza.
Excluir cualquiera de los requisitos especificados en
las Cláusulas (Contexto de la Organización,
Liderazgo, Planificación, Soporte, Operación,
Evaluación del desempeño y Mejora) no es
aceptable cuando una organización reclama
conformidad con esta Norma Internacional.
Gobernabilidad de Tecnologías de Información | 02 8
 Referencias normativas
El siguiente documento, en su totalidad o en parte,
están referenciados normativamente en este
documento y son indispensable para su aplicación.
ISO / IEC 27000, Tecnología de la información -
Técnicas de seguridad - Gestión de la Seguridad de
la Información de Sistemas - Descripción y
vocabulario

Gobernabilidad de Tecnologías de Información | 02 9

Contexto de la organización

Gobernabilidad de Tecnologías de Información | 02 10

Comprender la organización y su contexto
Comprender las necesidades y expectativas de las
partes interesadas
Determinar el alcance del SGSI
El propio SGSI

Gobernabilidad de Tecnologías de Información | 02 11

Liderazgo
Gobernabilidad de Tecnologías de Información | 02 12
 La alta gerencia deberá demostrar liderazgo y
compromiso con respecto al SGSI al:
a) garantizar que se establezcan la política de
seguridad de la información y los objetivos de
seguridad de la información y son compatibles con la
dirección estratégica de la organización;
b) garantizar la integración de los requisitos del SGSI
en los procesos de la organización;

Gobernabilidad de Tecnologías de Información | 02 13

c) garantizar que los recursos necesarios para el SGSI
estén disponibles;
d) comunicar la importancia de una gestión eficaz de
la seguridad de la información y de ajustarse a los
requisitos del SGSI;

Gobernabilidad de Tecnologías de Información | 02 14

e) garantizar que el SGSI alcance su(s) resultado(s)
previsto(s);
f) dirigir y apoyar a las personas para que
contribuyan a la efectividad del SGSI;

Gobernabilidad de Tecnologías de Información | 02 15

g) promover la mejora continua; y
h) respaldar otras funciones de gestión relevantes
para demostrar su liderazgo, ya que se aplica a sus
áreas de responsabilidad.

Gobernabilidad de Tecnologías de Información | 02 16

 Política
La alta gerencia debe establecer una política de
seguridad de la información que:
a) sea apropiada para el propósito de la org.;
b) incluye objetivos de seguridad de la información o
proporciona el marco para establecer los objetivos
de seguridad de la información;
c) incluye un compromiso para satisfacer los
requisitos aplicables relacionados con la seguridad
de la información;
Gobernabilidad de Tecnologías de Información | 02 17
d) incluye un compromiso con la mejora continua del
SGSI.
La política de seguridad de la información deberá:
e) estar disponible como información documentada;
f) ser comunicado dentro de la organización; y
g) estar disponible para las partes interesadas, según
corresponda.

Gobernabilidad de Tecnologías de Información | 02 18

Roles, responsabilidades y autoridades
organizacionales
La alta gerencia debe asignar la responsabilidad y
autoridad para:
a) garantizar que el SGSI se ajuste a los requisitos de
este Estándar internacional;
b) informar a la alta dirección sobre el rendimiento
del SGSI.
Gobernabilidad de Tecnologías de Información | 02 19
Planificación
Gobernabilidad de Tecnologías de Información | 02 20
 Acciones para abordar riesgos y opor tunidades
General – basado en el contexto de la organización,
necesidades y expectativas; que determinan los riesgos
y oportunidades se debe:
a) garantizar que el SGSI pueda lograr los resultados
previstos;
b) prevenir o reducir los efectos no deseados; y
c) lograr una mejora continua.

Gobernabilidad de Tecnologías de Información | 02 21

 La organización debe planificar :
d) acciones para abordar estos riesgos y
oportunidades; y
e) cómo:
1. integrar e implementar las acciones en los
procesos de su SGSI; y
2. evaluar la efectividad de estas acciones.

Gobernabilidad de Tecnologías de Información | 02 22

Evaluación de riesgos - La organización debe definir
y aplicar un proceso de evaluación de riesgos de
seguridad de la información que:
a) establece y mantiene criterios de riesgo de
seguridad de la información que incluyen:
1. los criterios de aceptación de riesgos; y
2. criterios para realizar evaluaciones de riesgos de
seguridad de la información;

Gobernabilidad de Tecnologías de Información | 02 23

b) garantiza que las evaluaciones reiteradas de los
riesgos para la seg. de la infor. produzcan resultados
consistentes, válidos y resultados comparables;
c) identifica los riesgos de seg. de la información:
1. aplicar el proceso de evaluación de riesgos de
seguridad de la información para identificar los
riesgos asociados con la pérdida de
confidencialidad, integridad y disponibilidad de
información dentro del alcance del SGSI;
2. identificar a los dueños del riesgo;
Gobernabilidad de Tecnologías de Información | 02 24
d) analiza los riesgos de seguridad de la inf.:
1. evaluar las consecuencias potenciales que
resultarían si los riesgos identificados en el
inciso c.1 fueran a materializarse;
2. evaluar la probabilidad real de la ocurrencia de
los riesgos identificados en c.1; y
3. determinar los niveles de riesgo;

Gobernabilidad de Tecnologías de Información | 02 25

e) evalúa los riesgos de seguridad de la inf.:
1. comparar los resultados del análisis de riesgo
con los criterios de riesgo establecidos en el
inciso a; y
2. priorizar los riesgos analizados para el
tratamiento de riesgos.
La organización debe mantener la información
documentada sobre el proceso de evaluación del
riesgo de seguridad de la información.
Gobernabilidad de Tecnologías de Información | 02 26
 Objetivos de seguridad de la información y
planificación para alcanzarlos
Los objetivos de seguridad de la inf. deberán:
a) ser coherente con la política de seguridad de la
información;
b) ser medible (si es posible);
c) tener en cuenta los requisitos de seguridad de la
información aplicables y los resultados de la
evaluación de riesgos y tratamiento de riesgo;
d) ser comunicado
Gobernabilidad de Tecnologías de Información | 02 27
 e) actualizarse según corresponda.
Al planificar cómo lograr sus objetivos de seguridad
de la información, la organización debe determinar :
f) qué se hará;
g) qué recursos se requerirán;
h) quién será responsable;
i) cuando se completará; y
j) cómo se evaluarán los resultados.

Gobernabilidad de Tecnologías de Información | 02 28

Soporte
Gobernabilidad de Tecnologías de Información | 02 29
Recursos
La organización debe determinar y proporcionar
los recursos necesarios para el establecimiento,
implementación, mantenimiento y mejora continua
del SGSI.

Gobernabilidad de Tecnologías de Información | 02 30

 Competencia

La organización deberá:
a) determinar la competencia necesaria de la(s)
persona(s) que realiza(n) el trabajo bajo su control
que afecta el rendimiento del sistema inf.;
b) asegurarse de que estas personas sean
competentes sobre la base de una apropiada
educación, capacitación o experiencia;
c) cuando corresponda, tomar medidas para adquirir
la competencia necesaria y evaluar la efectividad de
las acciones tomadas; 31
Gobernabilidad de Tecnologías de Información | 02
Gobernabilidad de Tecnologías de Información | 02
d) Mantener apropiadamente documentada la
información como evidencia de competencia.
Conciencia
Las personas que trabajan bajo el control de la
organización deben conocer:
a) la política de seguridad de la información;
b) su contribución a la eficacia del SGSI, incluidos
los beneficios de un mejor rendimiento

Gobernabilidad de Tecnologías de Información | 02 32

c) las implicaciones de no cumplir con los requisitos
del SGSI.
Comunicación
La organización deberá saber:
a) sobre qué comunicar;
b) cuándo comunicarse;
c) con quien comunicarse;
d) quién se comunicará; y
e) los procesos por los cuales se efectuará la
comunicación.
Gobernabilidad de Tecnologías de Información | 02 33
 Información documentada

General - El SGSI de la organización incluirá:

a) infor. documentada requerida por este estándar;
b) información documentada determinada por la
organización como necesaria para la efectividad de
el SGSI. Dependerá de:
1. el tamaño de la organización y su tipo de
actividades, procesos, productos y servicios;
2. la complejidad de los procesos y sus
interacciones; y
3. la competencia de las personas. 34
Gobernabilidad de Tecnologías de Información | 02
Gobernabilidad de Tecnologías de Información | 02
 Creación y actualización - Al crear y actualizar
información documentada, la organización deberá
garantizar que sea apropiada:
a) identificación y descripción (por ejemplo, un
título, fecha, autor o número de referencia);
b) formato (ejemplo, idioma, versión de software,
gráficos) y medios (ejemplo, papel, electrónico); y
c) revisión y aprobación de idoneidad y homologada.

Gobernabilidad de Tecnologías de Información | 02 35

 Control de información documentada - La
información documentada requerida por el SGSI y
por esta Norma Internacional se controlará para
garantizar que:
a) está disponible y es adecuada para su uso, donde
y cuando sea necesario; y
b) está adecuadamente protegida (por ejemplo, por
pérdida de confidencialidad, uso inapropiado o
pérdida de integridad).
Gobernabilidad de Tecnologías de Información | 02 36
Para el control de la información documentada, la
organización debe abordar las siguientes
actividades, según corresponda:
c) distribución, acceso, recuperación y uso;
d) almacenamiento y preservación, incluida la
preservación de la legibilidad;
e) control de cambios (por ejemplo, control de
versiones); y
f) retención y disposición.
Gobernabilidad de Tecnologías de Información | 02 37
Operación
Gobernabilidad de Tecnologías de Información | 02 38
 Planificación y control operacional
La organización debe planificar, implementar y
controlar los procesos necesarios para cumplir con
los requisitos de la seguridad de la información, y
para implementar las acciones determinadas en las
“Acciones para abordar riesgos y opor tunidades”.

Gobernabilidad de Tecnologías de Información | 02 39

La organización también deberá implementar planes
para alcanzar los objetivos de seguridad de la
información determinados en los “Objetivos de
seguridad de la información y planificación para
alcanzarlos”.

Gobernabilidad de Tecnologías de Información | 02 40

La organización debe mantener la información
documentada en la medida necesaria para tener la
confianza de que los procesos se han llevado a cabo
según lo planeado.
La organización debe controlar los cambios
planificados y revisar las consecuencias de los
cambios involuntarios, tomar medidas para mitigar
cualquier efecto adverso, según sea necesario.

Gobernabilidad de Tecnologías de Información | 02 41

La organización debe garantizar que los procesos
subcontratados se determinen y controlen.
Evaluación de riesgos de seguridad de la
información
La organización debe realizar evaluaciones de
riesgos de seguridad de la información a intervalos
planificados o cuando se proponen u ocurren
cambios significativos, teniendo en cuenta los
criterios establecidos en “Evaluación de riesgos” de
la “Planificación”.
Gobernabilidad de Tecnologías de Información | 02 42
La organización debe mantener la información
documentada de los resultados de las evaluaciones
de riesgo de la seguridad de la información.
Tratamiento del riesgo de segur. de la información
La organización debe implementar el plan de
tratamiento de riesgos de seguridad de la
información.
La organización debe mantener la información
documentada de los resultados del tratamiento de
riesgo de la seguridad de la información.
Gobernabilidad de Tecnologías de Información | 02 43
Evaluación de Rendimiento

Gobernabilidad de Tecnologías de Información | 02 44

 Monitoreo, medición, análisis y evaluación
La organización debe evaluar el rendimiento de
seguridad de la información y la efectividad del
SGSI.

La organización debe determinar :

a) lo que necesita ser monitoreado y medido,
incluidos los procesos y controles de seguridad de
la información;
b) los métodos de seguimiento, medición, análisis
y evaluación, según corresponda, para garantizar
resultados válidos; 45
Gobernabilidad de Tecnologías de Información | 02
Gobernabilidad de Tecnologías de Información | 02
 c) cuando se realizará el monitoreo y la medición;
d) quién debe monitorear y medir;
e) cuando los resultados del monitoreo y la medición
sean analizados y evaluados; y
f) quién analizará y evaluará estos resultados.
Los métodos seleccionados deben producir resultados
comparables y reproducibles para ser considerados
válidos.

Gobernabilidad de Tecnologías de Información | 02 46

 Auditoria interna
La organización debe realizar auditorías internas a
intervalos planificados para proporcionar
información sobre si el SGSI:
a) se ajusta a
1. los requisitos propios de la organización para
su SGSI; y
2. los requisitos de esta norma internacional;
b) se implementa y mantiene efectivamente.
Gobernabilidad de Tecnologías de Información | 02 47
 La organización deberá:
c) planificar, establecer, implementar y mantener
un(os) programa(s) de auditoría, incluida la
frecuencia, los métodos, responsabilidades,
requisitos de planificación e informes. El (los)
programa(s) de auditoría tomarán en consideración
la importancia de los procesos involucrados y los
resultados de auditorías previas;
d) definir los criterios y el alcance de la auditoría
para cada auditoría;
Gobernabilidad de Tecnologías de Información | 02 48
e) seleccionar auditores y realizar auditorías que
garanticen la objetividad y la imparcialidad del
proceso de auditoría;
f) asegurar que los resultados relevantes de las
auditorías sean informados a la gerencia; y
g) retener información documentada como evidencia
del (los) programa(s) de auditoría y los resultados de
la auditoría.

Gobernabilidad de Tecnologías de Información | 02 49

 Revisión de la gerencia
La alta gerencia debe revisar el SGSI de la
organización en los intervalos planeados para
garantizar su idoneidad, suficiencia y eficacia.

La revisión de la administración incluirá la

consideración de:
a) el estado de las acciones de revisiones de gestión
anteriores;
b) cambios en problemas externos e internos que son
relevantes para el SGSI;
Gobernabilidad de Tecnologías de Información | 02 50
c) retroalimentación sobre el desempeño de la seg.
de la información, incluidas las tendencias en:
1. no conformidades y acciones correctivas;
2. resultados de monitoreo y medición;
3. resultados de la auditoría; y
4. cumplimiento de los objetivos de seguridad de la
información;
d) retroalimentación de las partes interesadas;
e) los resultados de la evaluación de riesgos y el
estado del plan de tratamiento de riesgos; y
f) oportunidades para la mejora continua.
Gobernabilidad de Tecnologías de Información | 02 51
Los resultados de la revisión de la gestión incluirán
las decisiones relacionadas con las oportunidades de
mejora continua y cualquier necesidad de cambios en
el SGSI.
La organización debe mantener la información
documentada como evidencia de los resultados de
las revisiones de la administración.

Gobernabilidad de Tecnologías de Información | 02 52

Mejora
Gobernabilidad de Tecnologías de Información | 02 53
 No conformidad y acción correctiva
Cuando se produce una no conformidad, la
organización debe:
a) reaccionar a la no conformidad, y según
corresponda:
1. tomar medidas para controlarlo y corregirlo; y
2. lidiar con las consecuencias;

Gobernabilidad de Tecnologías de Información | 02 54

b) evaluar la necesidad de una acción para eliminar
las causas de la no conformidad, para que no se
repita u ocurra en otro lugar, por:
1. revisar la no conformidad;
2. determinar las causas de la no conformidad; y
3. determinar si existen no conformidades similares,
o si podrían ocurrir potencialmente;

Gobernabilidad de Tecnologías de Información | 02 55

c) implementar cualquier acción necesaria;
d) revisar la efectividad de cualquier acción
correctiva tomada; y
e) realizar cambios en el SGSI, si es necesario.

Gobernabilidad de Tecnologías de Información | 02 56

Las acciones correctivas deben ser apropiadas a los
efectos de las no conformidades encontradas.
La organización debe retener información
documentada como evidencia de:
f) la naturaleza de las no conformidades y cualquier
acción posterior tomada, y
g) los resultados de cualquier acción correctiva.

Gobernabilidad de Tecnologías de Información | 02 57

 Mejora continua
La organización debe mejorar continuamente la
idoneidad, adecuación y efectividad del SGSI.

Gobernabilidad de Tecnologías de Información | 02 58

Normativa
Gobernabilidad de Tecnologías de Información | 02 59
Referencia: objetivos de control
y controles
Están directamente derivados y alineados con las
clausulas “Liderazgo, Planificación, Sopor te,
Operación” y se deben utilizar en contexto con la
clausula del “ Tratamiento de riesgo de seguridad de
la información”

Gobernabilidad de Tecnologías de Información | 02 60

Gobernabilidad de Tecnologías de Información | 02 61
Gobernabilidad de Tecnologías de Información | 02 62
Gobernabilidad de Tecnologías de Información | 02 63
Gobernabilidad de Tecnologías de Información | 02 64
Norma Incisos
A.7 Seguridad de los recursos humanos 6
A.8 Gestión de activos 10
A.9 Control de acceso 14
A.10 Criptografía 2
A.11 Seguridad física y ambiental 15
A.12 Seguridad de operaciones 14
A.13 Seguridad de las comunicaciones 7
Gobernabilidad de Tecnologías de Información | 02 65
Norma Incisos
A.14 Adquisición, desarrollo y
13
mantenimiento del sistema
A.15 Relaciones del proveedor 5
A.16 Gestión de incidentes de seguridad de
7
la información
A.17 Aspectos de seguridad de la
información de la gestión de la continuidad 4
del negocio
A.18 Cumplimiento 8
Gobernabilidad de Tecnologías de Información | 02 66
Tarea
Gobernabilidad de Tecnologías de Información | 02 67
¡Gracias por su atención!

Gobernabilidad de Tecnologías de Información | 02 68

Gobernabilidad de Tecnologías de Información | 02 69
 Bibliografía
ISO/IEC 27001:2013 Information technology --
Security techniques -- Information security
management systems -- Requirements

https://www.iso.org/standard/54534.html

Gobernabilidad de Tecnologías de Información | 02 70