Guía paso a paso ISO 27001:2013

1 Introducción....................................................................................................................
2 Compromiso de la Alta Dirección...................................................................................
3 Designación del equipo...................................................................................................
4 Capacitación de concientización del personal..............................................................
5 Decide el alcance de tu SGSI.........................................................................................
6 Realizar una evaluación de brechas...............................................................................
7 Revisión inicial de activos y recopilación de datos.......................................................
8 Planificación de la implementación...............................................................................
9 Desarrollo de Documentación.........................................................................................
10 Implementación..............................................................................................................
11 Consejos prácticos para cumplir con la ISO 27001.....................................................
12 Evaluación y Certificación............................................................................................

P á g i n a |1
 Guía paso a paso ISO 27001:2013

1 Introducción
Felicitaciones por su decisión de construir un Sistema de Gestión de Seguridad de la Información
(SGSI) centrado en el cliente para su organización y nuestros mejores deseos para una
implementación exitosa del proyecto ISO27001:2013.

Estas pautas brindan una descripción general de cómo desarrollar e implementar un SGSI compatible
con ISO 27001 para su organización y, si desea o requiere el reconocimiento de un tercero
independiente, obtenga la certificación de un organismo de certificación acreditado.

2 Compromiso de la Alta Dirección

ISO define a la Alta Dirección como:

Persona o grupo de personas, que dirige y controla una organización al más alto nivel.

Nota:

 La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la

organización.
 si el alcance del sistema de gestión cubre solo una parte de una organización, entonces la alta
dirección se refiere a aquellos que dirigen y controlan esa parte de la organización
La alta dirección debe demostrar su compromiso y determinación para implementar un Sistema de
Gestión de Seguridad de la Información ISO 27001 en su organización. Sin el compromiso de la alta
dirección, ninguna iniciativa de seguridad de la información puede tener éxito.

Para proporcionar evidencia de compromiso con el desarrollo e implementación de un SGSI y

mejorar continuamente su eficacia, la alta dirección debe:

 aclarar a la organización la importancia de cumplir con los requisitos del cliente, legales y
reglamentarios,

 definir la política de seguridad de la información de la organización y darla a conocer a todos

los miembros del personal

 garantizar que los objetivos de seguridad de la información se establezcan en todos los

niveles y para todas las funciones

 asegurar la disponibilidad de los recursos necesarios para el desarrollo e implementación del

SGSI

 dirigir las reuniones de revisión de gestión necesarias

 fomentar la implicación de todo el personal

 Identificar y comunicar los objetivos clave a lograr a través del SGSI, tales como:

- manteniendo segura la información confidencial

- proporcionar a los clientes y partes interesadas confianza en la forma en que

gestionamos el riesgo

- permitiendo el intercambio seguro de información

P á g i n a |2
 Guía paso a paso ISO 27001:2013

- garantizar que se cumplan las obligaciones legales

- proporcionando una ventaja competitiva

- gestionar mejor y minimizar la exposición al riesgo

- sensibilizar sobre cuestiones de seguridad

- proteger la empresa, los activos, los accionistas y el personal

Finalmente, demuestre su compromiso convocando una reunión de todos los gerentes sénior e
informando luego sobre la decisión de la organización de optar por ISO27001, la designación del
ISMR (ver más abajo) y también sobre el plazo de finalización del proyecto.

3 Designación del equipo

La alta dirección debe designar a un Representante de gestión de seguridad de la información
(ISMR), como su director de proyecto para planificar y supervisar la implementación, y un equipo de
apoyo, incluidos representantes de todas las funciones de la organización que se encuentran dentro
del alcance.

El "Representante de gestión de seguridad de la información" deberá (y estar dispuesto a)

convertirse en un experto y defender la norma ISO 27001, tener los atributos y la autoridad
necesarios para liderar el equipo de implementación y, si opta por la certificación de terceros,
representar a su organización para el certificador

El ISMR debería:

 contar con el respaldo total del director general o equivalente

 tener un compromiso genuino y apasionado con la seguridad de la información en general y

la implementación de un SGSI ISO 27001 en particular

 tener la capacidad y presencia para influir en el personal en todos los niveles y funciones de
la organización

 ser organizado, un pensador claro y lógico, con conocimientos de informática

 tener una amplia comprensión de los procesos que subyacen a las operaciones comerciales

 tener un buen conocimiento de los métodos de seguridad de la información en general e ISO

27001 en particular (o un aprendizaje rápido, la capacitación sería muy ventajosa)

ISO 27001 requiere que el ISMR tenga una responsabilidad clara para:

1. garantizar que el SGSI se defina, implemente, mantenga y mejore de conformidad con los
requisitos de la norma ISO 27001

2. informar a la alta dirección sobre qué tan bien o mal está funcionando el SGSI, incluida la
identificación de cualquier necesidad de mejora

P á g i n a |3
 Guía paso a paso ISO 27001:2013

4 Capacitación de concientización del personal

Es importante informar a todo el personal relevante, tan pronto como sea posible, que planea
adoptar un SGSI ISO 27001. Deberá explicar el concepto de ISO 27001 y cómo afectará a todo el
personal para obtener aceptación y apoyo.

Los programas de capacitación deben estructurarse para diferentes categorías de personal: gerentes
superiores, gerentes de nivel medio, supervisores y operativos. Esta formación debe cubrir:

 los conceptos básicos de SGSI y el estándar,

 el impacto general en los objetivos estratégicos de la empresa

 los procesos de trabajo modificados y las probables implicaciones de la cultura laboral del
SGSI

Además, la capacitación inicial también puede ser necesaria en temas como el mapeo de procesos.

5 Decide el alcance de tu SGSI

5.1 General
La alta dirección debe definir el alcance de la implementación de su SGSI para que coincida con el
alcance de la información que el SGSI pretende proteger. Obtener el alcance adecuado para sus
propósitos puede ser complicado, por lo que entraremos en un pequeño detalle.

No importa cómo o dónde se almacene esta información, usted se propone proteger esta
información sin importar dónde, cómo y quién acceda a esta información.

Entonces, por ejemplo, si tiene dispositivos móviles, incluso si no contienen información

confidencial, entrarían dentro del alcance si pueden acceder de forma remota a información segura
almacenada en su red.

Si opta por la certificación, el auditor verificará si todos los elementos del SGSI funcionan bien dentro
de su alcance, no verificará los departamentos o sistemas que no están incluidos en su alcance.

Básicamente, ISO 27001 dice que debe hacer lo siguiente al definir el alcance:

 tener en cuenta los problemas internos y externos definidos en la cláusula 4.1

 tener en cuenta todos los requisitos definidos en la cláusula 4.2

 considerar las interfaces y dependencias entre lo que sucede dentro del alcance del SGSI y el
mundo exterior

Aunque no es requerido por el estándar, a menudo es útil incluir una breve descripción de su
ubicación (podría usar planos de planta para describir el perímetro) y unidades organizativas (p. ej.,
organigramas) en su alcance documentado.

5.2 dependencias
Para visualizar mejor esto, dibuje sus procesos (todos los procesos comerciales, no solo los procesos
de seguridad o TI) que están incluidos en el alcance de su SGSI, y luego, fuera de este círculo, dibuje
los procesos que se proporcionan desde fuera de su alcance.

P á g i n a |4
 Guía paso a paso ISO 27001:2013

Si ya ha implementado ISO 9001, probablemente tenga un diagrama de proceso similar a este:

Una vez que conoce las dependencias, debe identificar las interfaces. Una vez que haya identificado
las interfaces y sus entradas/salidas, puede incluirlas en el alcance si tienen un impacto en la
seguridad de la información.

5.3 27001 Ejemplos de alcances

 El Sistema de Gestión de Seguridad de la Información (SGSI) se aplica al control de todo
nuestro negocio, instalaciones y recursos dentro del Reino Unido. Las instalaciones y los
recursos fuera del Reino Unido están excluidos del alcance del SGSI.

 El alcance del SGSI incluye todos los procesos comerciales realizados por el departamento de
TI de XYS Motors. Todas las demás unidades de negocio están excluidas del alcance.

 El SGSI protegerá la confidencialidad, integridad y disponibilidad de los datos de los

clientes de motores XYS en todo momento mientras se encuentren en las oficinas del
Reino Unido. Esto incluye el departamento de TI, los centros de llamadas y las
ubicaciones de las oficinas de XYS.

6 Realizar una evaluación de brechas

La primera tarea principal del ISMR es realizar una comparación de su SGSI existente con los
requisitos de la norma ISO 27001. Esto a menudo se denomina "evaluación de brechas" y debe
determinar:

 qué políticas y procedimientos existentes de la empresa ya cumplen con los requisitos de la

norma ISO 27001

 qué políticas y procedimientos existentes deben modificarse para cumplir con los requisitos
de ISO 27001

P á g i n a |5
 Guía paso a paso ISO 27001:2013

 qué políticas y procedimientos adicionales deben crearse para cumplir con los requisitos de
ISO 27001

Su kit de herramientas de documentos de Doxonomy es de gran ayuda para llevar a cabo esta tarea,
ya que esencialmente "desempaqueta" la norma ISO 27001 en forma de un borrador del manual y
los procedimientos de seguridad de la información que establecen los requisitos de la norma 27001
de manera clara.

7 Revisión inicial de activos y recopilación de datos

Si bien este paso no es absolutamente necesario, a menudo es útil, ya que comprenderá mejor la
tarea que tiene por delante y será más capaz de predecir escalas de tiempo, para hacer un análisis
inicial de los activos y sus riesgos asociados antes de elaborar un plan de implementación detallado.

7.1.1 Identificación de activos

Guiado por el documento Apéndice A Controles "Controles de gestión de activos" incluido, lleve a
cabo un primer escaneo inicial de los activos de información:

 En primer lugar, enumere las instalaciones de procesamiento de información que utilizan

más de un departamento, como por ejemplo:

- el sitio web de la empresa

- la oficina principal (registro de visitas, asistencia de empleados, registro de entrada y

salida de material, controles de seguridad, etc.)

- Red de área local (computadora del servidor, software del sistema operativo del
servidor, enrutadores, computadoras cliente, etc.)

- programa ERP

- base de datos de clientes

- sistema de control de acceso, etc

 Luego observe los activos de información dentro de cada departamento (tanto en formato
electrónico como en papel), tales como:

- software CRM

- especificaciones suministradas por el cliente y otros artículos patentados

- comunicación por correo electrónico/copia impresa con los clientes, etc.

- base de datos y sistemas del departamento de marketing

- Datos de I+D del departamento de diseño

- software de prueba e informes de prueba

- diseños y especificaciones

- bases de datos

7.1.2 Evaluación inicial de riesgos de seguridad de la información

P á g i n a |6
 Guía paso a paso ISO 27001:2013

ISO 27001 establece el proceso que debe adoptar para identificar, analizar, evaluar y tratar los
riesgos de sus activos de información:

Guiado por el Procedimiento de Control de Riesgos y Oportunidades, realice una evaluación inicial
de riesgos para cada área funcional para:

 identificar los riesgos y los propietarios de los riesgos

 identificar los activos de información afectados y sus propietarios

 cuantificar el riesgo

 priorizar los riesgos para el tratamiento

Si el mismo riesgo se aplica a más de un área, puede juntarlas al tratar el riesgo.

Además del enfoque simple de evaluación de riesgos que hemos incluido, existen muchos marcos de
gestión de riesgos maduros, como: ISO/IEC 27005, ISO 31000, NIST SP800-37 (RMF)

Los riesgos surgen de sus activos existentes, así que considere;

– ¿Qué información tenemos?

– ¿Quiénes son los responsables de ellos?

– ¿A cuál de ellos debemos proteger?

P á g i n a |7
 Guía paso a paso ISO 27001:2013

– ¿Con qué prioridad debemos protegerlos?

– ¿A qué costes estamos dispuestos a tratar estos riesgos?

En sus consideraciones:

 usar el contexto definido por el SGSI

 definir el apetito y la tolerancia al riesgo: ¿cuánto es demasiado riesgo?

7.1.3 Preparar una 'Declaración de Aplicabilidad' tentativa

Teniendo en cuenta la lista de riesgos identificados, revise la lista de verificación de control (basada
en el Anexo A de la norma) e identifique aquellos objetivos de control y controles que son aplicables
y por qué y también registre aquellos que considera que no son aplicables y por qué.

7.1.4 Plan de tratamiento de riesgos

Revisar los resultados de la evaluación de riesgos inicial y preparar un plan de tratamiento de riesgos
inicial.

¡Recuerde, solo los propietarios de riesgos pueden aceptar riesgos y su tratamiento!

8 Planificación de la implementación
Después de la evaluación de brechas, debe tener una idea clara de cómo su SGSI existente se
compara con el estándar ISO 27001.

Luego se debe desarrollar un plan de implementación detallado que identifique y describa las tareas
requeridas para que su SGSI cumpla completamente con el estándar. Este plan debe ser minucioso y
específico, e incluir:

 documentación de seguridad de la información a desarrollar

 persona o equipo responsable

 entrenamiento requerido

 recursos requeridos

 aprobaciones requeridas (si va a obtener una certificación de terceros)

 Fecha estimada de finalización

El tiempo necesario para pasar de una decisión de implementación a la certificación final depende
de muchos factores. Es esencial que el plan no sea apresurado ni tan lento que se pierda la energía y
el impulso.

Un plan de acción típico de implementación de alto nivel, para una implementación modesta, podría
(en términos muy generales) verse como:

Número de mes
Actividad
1 2 3 4 5 6 7 8 9 10 11 12
Designar líder ISMS y
establecer equipo

P á g i n a |8
 Guía paso a paso ISO 27001:2013

Capacitación de
concientización del
personal
Evaluación de brechas y
planificación
Desarrollar
Documentación
Selección de certificador

Implementar EMS y
capacitar al personal
Auditorías internas

Revisión por la dirección

y acciones correctivas
Auditoría de evaluación
previa

Acciones correctivas

Auditoría de certificación
de etapa 2

9 Desarrollo de Documentación
Felicitaciones: ¡habiendo comprado el kit de herramientas de documentación ISO 27001:2013 de
Doxonomy, esta fase va a ser mucho más fácil de lo que podría haber sido de otra manera!

Consulte nuestras "Instrucciones - Doxonomy ISO 27001 2013 Toolkit" para conocer los pasos
prácticos que debe seguir en el contexto de configurar la documentación proporcionada por
Doxonomy según las necesidades de su organización.

10 Implementación
10.1 Implementación y Capacitación de Empleados
El SGSI recientemente documentado ya está listo para implementarse en toda su organización.

La gerencia y el personal deben estar capacitados en los procesos de trabajo, procedimientos y

mantenimiento de registros nuevos o revisados, tal como se establece en el SGSI.

10.2 Elección de un certificador SGSI

Un organismo de certificación es una organización independiente que está oficialmente acreditada
para emitir certificaciones ISMS. Si tiene la intención de obtener la certificación, es recomendable
seleccionar un organismo de certificación que se adapte a su organización relativamente temprano
en su programa de implementación. El certificador auditará el SGSI de su empresa y, si la auditoría
tiene éxito, emitirá un certificado que confirme que su SGSI cumple con los requisitos de la norma
ISO 27001:2013.

P á g i n a |9
 Guía paso a paso ISO 27001:2013

Al elegir un organismo de certificación para llevar a cabo su auditoría de certificación ISO 27001,
considere lo siguiente:

 ¿Está acreditado el organismo de certificación y, de ser así, por quién?

Acreditación significa que el organismo de certificación ha sido aprobado oficialmente por

un organismo nacional de acreditación como competente para llevar a cabo la certificación.

 ¿El organismo de certificación es reconocido por los clientes de su empresa?

 ¿Los auditores del organismo de certificación tienen experiencia en el sector comercial de su

organización?

 ¿Pueden proporcionar sitios de referencia?

10.3 Formar auditores internos y realizar auditorías internas

ISO 27001 requiere que realice periódicamente una auditoría interna para evaluar la eficacia de su
SGSI y comprobar que cumple tanto con los requisitos de ISO 27001 como con las prácticas de
trabajo documentadas de su organización.

Una auditoría es un “proceso sistemático, independiente y documentado para obtener evidencia de

auditoría y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de
auditoría”

Las auditorías internas ayudan con la implementación de su SGSI y también se requiere una auditoría
interna completa antes de que pueda aprobar su auditoría de certificación.

Su programa de auditoría interna debe planificarse teniendo en cuenta el estado y la importancia de

los diferentes procesos que componen sus operaciones.

Al menos dos de sus empleados deberán estar capacitados como auditores internos. Los auditores
internos deben poder ser objetivos e imparciales y no pueden auditar su propio trabajo.

10.4 Revisión de gestión

Las revisiones de gestión se llevan a cabo para garantizar la idoneidad, adecuación y eficacia
continuas de su SGSI. La revisión debe incluir la evaluación de oportunidades de mejora y la
necesidad de cambios en el SGSI, incluida la política y los objetivos de seguridad de la información.
Las Revisiones de la Gerencia deben considerar todos los aspectos del desempeño del SGSI,
incluyendo:

 los resultados de las auditorias

 rendimiento del sistema de gestión de seguridad de la información

 preparación y respuesta a emergencias

 estado de las acciones preventivas y correctivas

 acciones de seguimiento de revisiones de gestión anteriores

 cambios que podrían afectar el SGSI y recomendaciones para mejorar

P á g i n a |10
 Guía paso a paso ISO 27001:2013

Es útil realizar revisiones de gestión con bastante frecuencia una vez que el SGSI se vuelve operativo
y solo alargar los períodos entre cada revisión una vez que esté seguro de que el SGSI está
funcionando satisfactoriamente, según lo confirmen las auditorías internas y externas.

11 Consejos prácticos para cumplir con la ISO 27001

 Lema del SGSI: "cuanto menos {poseas, hagas, gestiones, conserves...}, ¡más fácil de
cumplir!"

 subcontratar servicios no esenciales, aprovechar los servicios en la nube: correo electrónico,

antivirus, monitoreo de servidores, infraestructura y copias de seguridad

 no guarde datos que no sean necesarios (datos = carga)

 automatizar, automatizar, automatizar - no hagas cosas que la computadora puede hacer

por ti

 no se deje llevar, alinéese con las demandas de seguridad realistas y actuales para garantizar
una superficie de ataque mínima

 BESO

- se pueden entender políticas simples,

- se pueden seguir procedimientos simples

- lo pequeño es hermoso en la documentación del SGSI

 Declaración de aplicabilidad (SoA)

- la mayoría de los controles se aplican al alcance completo

- adaptar a los niveles operativos/funcionales (equipos)

 utilizar las listas de verificación de autoevaluación

12 Evaluación y Certificación
12.1 Auditoría de evaluación previa
Cuando su SGSI haya estado en funcionamiento durante algunos meses y se haya estabilizado,
puede programar una auditoría de certificación inicial de 'evaluación previa' para que la realice el
organismo de certificación seleccionado.

Su organismo de certificación seleccionado primero llevará a cabo una auditoría de su

documentación y luego, si sus documentos cumplen con los requisitos de la norma, el certificador
visitará sus instalaciones y realizará una auditoría de evaluación previa para garantizar que se hayan
cumplido todos los requisitos aplicables de ISO 27001.

12.2 Acciones correctivas

Después de su auditoría de evaluación previa, debe revisar los resultados y tomar las medidas
correctivas necesarias para corregir las no conformidades (actividades que no cumplen con los

P á g i n a |11
 Guía paso a paso ISO 27001:2013

requisitos de la norma y/o sus propias prácticas de trabajo documentadas) señaladas por el
auditores de certificación durante la auditoría de evaluación previa.

12.3 Auditoría de Certificación

Una vez que esté satisfecho de que se hayan abordado todas las no conformidades señaladas
durante su evaluación previa, solicite a su certificador seleccionado que realice una auditoría de
certificación completa para garantizar que se hayan cumplido todos los requisitos aplicables de ISO
27001.

Después de completar con éxito una auditoría de certificación completa, se le otorgará un

Certificado ISO 27001, generalmente por un período de tres años. Durante este período de tres
años, su organismo de certificación llevará a cabo auditorías de vigilancia periódicas para garantizar
que el sistema continúe funcionando satisfactoriamente.

12.4 Mejora continua

La certificación ISO 27001 no es el final de la historia. Según lo exige la norma, debe buscar
continuamente mejorar la eficacia y la idoneidad de su SGSI mediante el uso de su:

 Política de seguridad de la información

 Objetivos de seguridad de la información

 resultados de la auditoría

 análisis de los datos

 acciones correctivas y preventivas

 revisión de gestión

P á g i n a |12