UNIVERSIDAD CENTRAL

DEL ECUADOR
FACULTAD DE CIENCIAS ECONÓMICAS
CARRERA DE FINANZAS
INTELIGENCIA DE NEGOCIOS

RESUMEN EJECUTIVO DE LA NORMA ISO 27001

Estudiante: Mayeli Merino

Profesor: Ing. Iván Cervantes Curso: F03 - 001

PÁGINA | 1
INTRODUCCIÓN
La información que maneja y custodia una empresa es uno de sus principales activos; esta gran cantidad
de datos confidenciales o sensibles deben permanecer seguros y protegidos a la vez que accesibles.

Un Sistema de Gestión de Seguridad de la Información (SGSI) permite a las organizaciones conocer,

gestionar y minimizar los riesgos relacionados con la seguridad de la información de una forma
sistemática y eficiente. La adecuada implantación y certificación de este esquema ofrece una garantía
de confidencialidad, integridad y disponibilidad de los datos almacenados.

La certificación de un Sistema de Gestión de Seguridad de la Información genera confianza a los clientes

y mejora la eficiencia de la empresa. Actualmente, el estándar más reconocido para gestionar la
seguridad de la información es la ISO 27001:2022. Este estándar internacional fue desarrollado por la
Organización Internacional de Normalización (ISO) en 2005 con el objetivo de garantizar la seguridad de
la información en las compañías. Dicho esquema se revisó en 2022 y se implementaron algunos cambios
en respuesta a las necesidades detectadas tras los años de experiencia en la utilización de la norma.

DESARROLLO
¿CUÁLES SON LOS OBJETIVOS DEL SGSI DE ACUERDO CON ISO 27001?

• Proteger la información y garantizar su seguridad.

• Identificar los riesgos derivados del almacenamiento de información.
• Facilitar la comprensión del estándar y su integración con otros sistemas de gestión.

¿A QUIÉN VA DIRIGIDA LA NORMA ISO 27001?

Cualquier empresa, independientemente de su tamaño o de su actividad, puede certificar su SGSI de
acuerdo con ISO 27001:2022. Actualmente destaca la presencia de este estándar en las empresas
dedicadas a servicios de tecnología de la información, así como aseguradoras, minoristas, compañías
del sector del transporte, gobiernos, etc.

ALCANCE DE LA NORMA:

La norma es aplicable a cualquier tipo y tamaño de organización que busque proteger la confidencialidad,
integridad y disponibilidad de la información.

ESTRUCTURA DEL SGSI:

La ISO 27001 exige la creación de un marco organizativo que incluya políticas, procedimientos, roles y
responsabilidades claramente definidos para gestionar la seguridad de la información.

ENFOQUE BASADO EN EL RIESGO:

PÁGINA | 2
Se enfoca en la identificación de activos, evaluación de riesgos, implementación de controles de
seguridad y la gestión continua de estos procesos.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN:

Requiere que la alta dirección establezca una política de seguridad de la información y defina objetivos
mensurables y coherentes con la política.

BENEFICIOS DE LA CERTIFICACIÓN ISO 27001

• Minimizar los riesgos inherentes a la seguridad de la información (pérdida de datos, robo,

corrupción, etc.).
• Garantizar el cumplimiento legal.
• Reducir los costes y mejorar el funcionamiento de los procesos.
• Generar confianza en los clientes asegurando la buena gestión de los datos confiados a su
organización (gracias a su reconocimiento internacional).
• Desarrollar una ventaja competitiva para la empresa.
• Motivar al personal y concienciarles de la importancia de la seguridad de datos.
• Mejorar la eficiencia de la organización.
• Facilitar su integración con otros Sistemas de Gestión normalizados como ISO 9001, ISO 14001 o
ISO 45001.

APLICACIÓN DE LA NORMA ISO 27001 EN UNA EMPRESA

RELACIONADA CON EL ÁMBITO FINANCIERO

La aplicación práctica de la norma ISO/IEC 27001 en el Banco del Pacífico del Ecuador podría ser integral
y estratégica, contribuyendo a fortalecer la seguridad de la información en todas las operaciones y
servicios financieros. Aquí tienes un ejemplo de cómo esta norma podría implementarse en el contexto
de un banco:

➢ Identificación de Activos y Evaluación de Riesgos: El Banco del Pacífico podría comenzar

identificando todos sus activos de información críticos, como datos de clientes, transacciones
financieras, sistemas de pago, entre otros. Luego, se llevaría a cabo una evaluación de riesgos
para identificar las amenazas y vulnerabilidades que podrían afectar la seguridad de estos activos.

➢ Desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI): Se establecería un

SGSI que incluya políticas, procedimientos y controles de seguridad de la información conforme
a los requisitos de la ISO 27001. La alta dirección podría definir roles y responsabilidades
específicos para la gestión de la seguridad de la información.

➢ Implementación de Controles de Seguridad: Se aplicarían controles de seguridad específicos de

acuerdo con las necesidades del banco y los requisitos de la norma. Esto podría incluir la
implementación de firewalls, sistemas de detección de intrusiones, políticas de acceso seguro,
entre otros.

PÁGINA | 3
 ➢ Capacitación y Concientización del Personal: Se llevarían a cabo programas de capacitación para
el personal del banco, sensibilizándolos sobre la importancia de la seguridad de la información y
proporcionándoles las habilidades necesarias para cumplir con los controles establecidos.

➢ Auditorías Internas y Revisión por la Dirección: Se realizarían auditorías internas periódicas para
evaluar el cumplimiento de los controles y la eficacia del SGSI. La alta dirección revisaría
regularmente el desempeño del SGSI y tomaría decisiones para mejorar continuamente el
sistema.

➢ Respuesta a Incidentes y Continuidad del Negocio: Se establecerían planes de respuesta a

incidentes y de continuidad del negocio para asegurar una recuperación rápida y eficiente en caso
de eventos no deseados.

➢ Certificación y Cumplimiento Normativo: El Banco del Pacífico podría buscar la certificación ISO
27001 a través de un organismo de certificación reconocido, demostrando el compromiso de
cumplir con estándares internacionales. Se aseguraría de cumplir con regulaciones financieras y
de protección de datos relevantes en el ámbito bancario ecuatoriano.

La aplicación de la ISO 27001 en el Banco del Pacífico no solo fortalecería su postura de seguridad, sino
que también generaría confianza entre los clientes y partes interesadas al demostrar un compromiso
serio con la protección de la información financiera y la continuidad del negocio.

CONCLUSIÓN
En conclusión, la norma ISO/IEC 27001 emerge como un pilar fundamental en la gestión de la seguridad
de la información a nivel global. Su enfoque sistemático, basado en el riesgo y orientado a la mejora
continua proporciona a las organizaciones un marco sólido para salvaguardar la confidencialidad,
integridad y disponibilidad de la información. Al adoptar esta norma, las empresas no solo cumplen con
estándares internacionales, sino que también fortalecen su postura de seguridad, generan confianza en
clientes y socios, y cumplen con requisitos legales y reglamentarios.

La ISO 27001 no solo es un conjunto de directrices, sino una filosofía que promueve la conciencia
constante de los riesgos y la implementación de controles efectivos. La participación de la alta dirección
y la colaboración de todos los niveles de la organización son esenciales para el éxito de la
implementación y certificación. En un mundo cada vez más interconectado y digital, la ISO 27001 se
posiciona como un instrumento indispensable para garantizar la seguridad en la era de la información,
brindando a las organizaciones las herramientas necesarias para adaptarse, protegerse y prosperar en
un entorno empresarial dinámico y desafiante.

BIBLIOGRAFÍA:

- https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/
- https://www.appluscertification.com/global/es/what-we-do/service-sheet/iso-27001---gestion-
de-la-seguridad-de-la-informacion
- https://www.normas-iso.com/iso-27001/

PÁGINA | 4