SGSI

E-BOOK
GRATUITO

Guía para la implantación

de ISO/IEC 27001:2022

SEGURIDAD DE LA INFORMACIÓN

isotools.us | esginnova.com
ÍNDICE
Introducción...........................................................................................................................................04

Última actualización de la ISO 27001: Hacia un futuro más seguro......................06

La evolución de la ISO 27001:2022:

Nuevas perspectivas en Seguridad de la Información...................................................08

Evolución del Anexo A en la ISO 27001:2022: Adaptación a los Desafíos

Actuales de Seguridad de la Información..............................................................................10

Características de los Controles en la Norma ISO 27002:2022...............................12

Proceso de Transición a la ISO 27001:2022: Etapas,

Consideraciones y Estrategias.....................................................................................................14

· Publicación de la Norma:..............................................................................................................14
· Acreditación de Entidades de Certificación:.......................................................................15
· Período de Transición:...................................................................................................................15
· Validez de los Certificados:.........................................................................................................16
· Consideraciones Durante las Auditorías de Transición:................................................16
· Impacto de los Cambios en el Anexo A:.................................................................................17

Beneficios de la última versión de la norma

ISO/IEC 27001......................................................................................................................................19

El Sistema de Gestión de Seguridad de la

Información (SGSI) basado en la norma ISO 27001.........................................................21

El impacto de la revolución digital.............................................................................................23

02 isotools.us · esginnova.com
ÍNDICE
Fundamentos y Aplicaciones en la Gestión de
Seguridad de la Información.........................................................................................................25

· La Importancia de la Seguridad de la Información............................................................25

· Relación con otras Normas ISO................................................................................................26

Interconexión de la Norma ISO 27001 con Otros Estándares ISO.........................27

· ISO 22301: Garantizando la Continuidad del Negocio..................................................27

· ISO/IEC 20000: Mejorando la Calidad de los Servicios de TI....................................28
· ISO 27701: Adaptación a la norma..........................................................................................28
· Sinergia entre Normas para la Excelencia Empresarial..................................................28

Transición hacia la Seguridad del Futuro:

Actualización a la Norma ISO/IEC 27001:2022.................................................................29

Prioridades Sectoriales: Implementación del Sistema ISO/IEC 27001:2022...31

El Ecosistema de Normas ISO/IEC 27001: Complementos para

una Gestión Integral de la Seguridad de la Información...............................................33

ISO/IEC 27001:2022: Un Camino Hacia el Liderazgo Sectorial...............................35

03 isotools.us · esginnova.com
Introducción
La seguridad de la información es un aspecto fundamental en el entorno empresarial
moderno, y su gestión eficaz es crucial para proteger los activos más valiosos de una
organización. En este contexto, la Norma Internacional ISO 27001 desempeña un
papel central al proporcionar un marco sólido y reconocido a nivel mundial para la
gestión de la seguridad de la información.

La última actualización de la norma ISO 27001, publicada el 25 de octubre de 2022,

marca un hito significativo en la evolución de las prácticas de seguridad de la información.
En este ebook, nos adentraremos en los cambios y las mejoras introducidas en esta
nueva edición, así como su impacto en el panorama de la seguridad de la información.

Desde su edición anterior en 2013, la ISO 27001:2022 refleja no solo los avances
tecnológicos, sino también los cambios en el entorno laboral, especialmente a raíz de
la pandemia mundial. El aumento del trabajo remoto y la ampliación del perímetro de
seguridad hacia los hogares de los empleados han presentado nuevos desafíos para
la gestión de la seguridad de la información. En respuesta a estas transformaciones, la
norma ha sido revisada para proporcionar pautas actualizadas y relevantes que aborden
estos desafíos emergentes.

La ISO 27001:2022 aborda específicamente la protección de

la información en entornos remotos, la seguridad en la
nube, y la gestión de riesgos en dispositivos móviles,
entre otros aspectos clave. Además, examinaremos
cómo la norma ha simplificado su lenguaje y

I S O T o o l s estructura para hacerla más accesible y fácil de

implementar para organizaciones de todos los
is the answer tamaños.

04 isotools.us · esginnova.com
Con un enfoque proactivo hacia la gestión de la seguridad de la información, la última
actualización de la norma ISO 27001 representa un paso adelante en la adaptación
a los cambios en el entorno laboral y los riesgos emergentes en el ámbito de la
ciberseguridad.

A lo largo de este ebook, nos centraremos en analizar cómo estas actualizaciones pueden
ayudar a las organizaciones a fortalecer su postura de seguridad y mantenerse a la
vanguardia en un mundo digital en constante evolución.

05 isotools.us · esginnova.com
Última actualización de la
ISO 27001: Hacia un futuro
más seguro

La última actualización de la norma ISO 27001:2022, publicada el 25 octubre de 2022,

refleja los cambios significativos en la gestión de la seguridad de la información desde la
edición anterior de 2013. Esta revisión se centra en adaptar las prácticas de seguridad
a la nueva realidad laboral, especialmente tras la pandemia, que ha promovido el trabajo
remoto y la ampliación del perímetro de seguridad hacia los hogares de los empleados.

Para hacer frente a estos desafíos, la norma proporciona pautas actualizadas para
identificar, evaluar y gestionar los riesgos asociados con el trabajo remoto y la
protección de la información en entornos fuera de la oficina tradicional. Además, se han
revisado y actualizado los controles de seguridad para abordar los desafíos emergentes
en el panorama de la ciberseguridad, como la protección de la información en entornos
de nube y dispositivos móviles.

En línea con la tendencia de las normas ISO hacia la simplicidad y la claridad, la ISO
27001:2022 ha simplificado el lenguaje y la estructura de la norma para hacerla más
accesible y fácil de implementar para organizaciones de todos los tamaños.

06 isotools.us · esginnova.com
Además, se ha asegurado la alineación con otras normas
ISO relacionadas, como la ISO 27002, para garantizar una
implementación coherente de las prácticas de seguridad de
la información en todas las áreas.

Por tanto, la última actualización de la norma ISO 27001 refleja

un enfoque proactivo hacia la gestión de la seguridad de la
información, adaptándose a los cambios en el entorno laboral y
los riesgos emergentes en el ámbito de la ciberseguridad.

07 isotools.us · esginnova.com
La evolución de la ISO
27001:2022: Nuevas
perspectivas en Seguridad de
la Información

La reciente actualización de la norma ISO 27001 marca de forma significativa la gestión

de la seguridad de la información. En esta edición, se han introducido una serie de
cambios destinados a adaptar la norma a los desafíos emergentes.

Una de las modificaciones más destacadas es la reestructuración de la numeración

para alinearse con la estructura de alto nivel, lo que facilita su integración con
otros sistemas de gestión y promueve una mayor coherencia en la implementación
de estándares organizativos. Además, se ha enfatizado la importancia de la gestión
por procesos, con requisitos explícitos para definir los procesos y sus interacciones,
asegurando así una base sólida para la efectiva administración de la seguridad de la
información.

Otro aspecto clave de la actualización es la comunicación de roles relevantes en

seguridad de la información en toda la organización, fortaleciendo la responsabilidad
y la conciencia en materia de seguridad en todos los niveles. Asimismo, se ha
resaltado la necesidad de monitorear los objetivos de seguridad de la información y de
planificar los cambios en el sistema de gestión de manera controlada, garantizando
una adaptación efectiva a los cambios en el entorno operativo.

08 isotools.us · esginnova.com
La ISO 27001:2022 también pone énfasis en la gestión continua del sis-
tema de gestión de seguridad de la información, con requisitos claros
para establecer criterios para los procesos y aplicar el control correspon-
diente. La revisión por la dirección se ha destacado como un momento
crucial para tener en cuenta los cambios en las necesidades y expecta-
tivas de las partes interesadas relevantes para el SGSI, asegurando
así una gestión ágil y adaptativa de la seguridad de la información.

Además de los cambios en el cuerpo principal de la norma, se han reali-

zado actualizaciones significativas en el Anexo A y en la norma ISO/IEC
27002, que desarrollan los controles específicos a aplicar. Estas modifi-
caciones reflejan los avances en las mejores prácticas de seguridad de
la información y ofrecen orientación actualizada sobre cómo imple-
mentar y mantener un SGSI efectivo en el contexto cambiante de la
ciberseguridad.

La ISO 27001:2022 representa una evolución significativa en

la gestión de la seguridad de la información, proporcionan-
do un marco sólido y actualizado para abordar los
desafíos emergentes en un mundo digital en cons-
tante cambio. Esta actualización no solo asegura la
relevancia continua de la norma, sino que también
promueve una mayor eficacia y eficiencia en la
protección de la información sensible en las orga-
nizaciones de todo el mundo.

09 isotools.us · esginnova.com
Evolución del Anexo A en la
ISO 27001:2022: Adaptación
a los Desafíos Actuales de
Seguridad de la Información
Una de las actualizaciones más destaca-
das en la ISO 27001:2022 se encuentra
en el Anexo A, que presenta los controles
relacionados con la seguridad de la infor-
mación. Es importante destacar que estos
controles no son obligatorios para todas
las organizaciones, pero es necesario jus-
tificar en la Declaración de Aplicabilidad
(SOA) el motivo por el cual no se aplican.
Estos controles se derivan de la norma
ISO 27002:2022, la cual se publicó el
15 de febrero del mismo año, y que pro-
porciona orientación detallada sobre
la implementación de los mismos. En
esta nueva versión de la ISO 27001, se ha
realizado una reestructuración significati-
va en el Anexo A. Ahora, en lugar de 114
controles organizados en 14 categorías
como en la versión de 2013, se presentan
93 controles organizados en 4 grupos.
10 isotools.us · esginnova.com
Esta racionalización y reorganización tiene como objetivo
minimizar la complejidad y agrupar los controles de una
manera más lógica y comprensible. Además, se han introducido
11 nuevos controles, se han fusionado 24 controles existentes y
se ha revisado un total de 58 controles. A su vez, 35 controles
se han mantenido sin cambios, garantizando la continuidad en
la cobertura de los aspectos esenciales de la seguridad de la
información.

Los cuatro grupos en los que se organizan los controles son:

controles organizacionales, personas, controles físicos y
controles tecnológicos. Esta estructura proporciona una visión
más clara y coherente de los aspectos que deben considerarse
en la implementación y mantenimiento de la seguridad de la
información en una organización.

Estos cambios reflejan un enfoque actualizado y más eficiente

para abordar los desafíos emergentes en el ámbito de la
seguridad de la información, brindando a las organizaciones una
base sólida para proteger sus activos de manera efectiva en un
entorno digital en constante evolución.

11 isotools.us · esginnova.com
Características de los
Controles en la Norma
ISO 27002:2022
En la norma ISO 27002:2022, cada control se presenta con una tabla que enumera
cinco atributos esenciales para su comprensión y aplicación efectiva:
• Tipo de Control: Evalúa cómo y cuán-
do el control modifica el riesgo asociado
con la ocurrencia de un incidente de se-
guridad de la información. Los controles
pueden ser preventivos, correctivos o
predictivos, según su función en la ges-
tión del riesgo.
• Propiedades de la Seguridad de la In-
formación: Identifica las características
de la información que el control contri-
buye a preservar, incluyendo la confi-
dencialidad, integridad y disponibilidad
de los datos.
• Conceptos de Ciberseguridad: Asocia los
controles con los conceptos de ciberseguri-
dad definidos en ISO/IEC TS 27110 y utiliza-
dos en otros marcos de trabajo reconocidos,
como el NIST-Cibersecurity Framework.
Estos conceptos incluyen identificar, prote-
ger, detectar, responder y recuperar.
• Capacidad Operativa: Permite ver los
controles desde la perspectiva del pro-
fesional de la seguridad de la informa-
ción, considerando capacidades clave
como la gobernanza, gestión de activos,
protección de la información y otros as-
pectos operativos relevantes.
12 isotools.us · esginnova.com
• Dominios de Seguridad: Permite una vista organizada de los controles en función de
cuatro dominios principales de seguridad de la información: gobernanza y ecosistema,
protección, defensa y resiliencia.

La norma ISO 27002:2022 presenta una estructura clara y detallada de los controles,
distribuidos en cuatro categorías principales:

• Controles Organizacionales: Incluye • Controles Físicos: Incluye 14 controles,

37 controles, de los cuales 34 son
existentes y 3 son nuevos, destinados
a establecer y mantener la estructura y
políticas de seguridad de la información
dentro de la organización.
13 existentes y 1 nuevo, que se centran
en la protección física de los activos de
información de la organización.

• Controles de Personas: Comprende 8 • Controles Tecnológicos: Consta de 34

controles, todos ellos existentes, cen- controles, de los cuales 27 son existen-
trados en la gestión y capacitación del tes y 7 son nuevos, que abordan aspec-
personal para garantizar la seguridad de tos relacionados con la seguridad de los
la información. sistemas y tecnologías de la información.

Estos atributos y categorías proporcionan una guía detallada para la implementación

y evaluación efectiva de los controles de seguridad de la información, asegurando una
gestión integral y robusta de los riesgos en un entorno digital en constante evolución.

13 isotools.us · esginnova.com
Proceso de Transición
a la ISO 27001:2022:
Etapas, Consideraciones y
Estrategias

La transición a la última versión de la norma ISO 27001:2022 representa un paso

crucial para las organizaciones que buscan mantener y mejorar su Sistema de Gestión
de Seguridad de la Información (SGSI) en un entorno digital en constante cambio.
Este proceso de transición sigue una serie de etapas bien definidas y conlleva
consideraciones clave que deben abordarse de manera efectiva para garantizar una
implementación exitosa y una conformidad continua con los estándares de seguridad de
la información.

Publicación de la Norma:

La norma ISO 27001:2022 fue publicada el 25 de octubre de 2022, marcando el inicio

oficial del proceso de transición para las organizaciones. Esta publicación introduce
nuevos requisitos y directrices que deben ser comprendidos y aplicados en el contexto
específico de cada organización.

14 isotools.us · esginnova.com
Acreditación de Entidades de Certificación:

Las entidades de certificación deben someterse a un proceso de acreditación bajo la

nueva versión del estándar antes de poder realizar auditorías y emitir certificaciones
conforme a la ISO 27001:2022. Se espera que estas entidades estén preparadas para
llevar a cabo las auditorías bajo la nueva versión a partir del primer trimestre de 2023,
lo que requiere una adecuada preparación y actualización de sus procesos y recursos.

Período de Transición:

Durante el período de transición, que se extiende hasta el 25 de abril de 2024, las

organizaciones tienen la oportunidad de certificarse o renovar su certificado bajo la
versión anterior, ISO 27001:2013. Este período de dieciocho meses permite a las
organizaciones planificar y ejecutar sus procesos de transición de manera gradual
y estructurada, asegurando una transición sin contratiempos hacia la nueva versión.

15 isotools.us · esginnova.com
Validez de los Certificados:

Es importante destacar que todos los certificados emitidos bajo la norma ISO
27001:2013 seguirán siendo válidos hasta el 25 de octubre de 2025, lo que brinda un
período adicional de tres años para que las organizaciones completen su transición y se
adapten por completo a los requisitos de la nueva versión.

Consideraciones Durante las Auditorías de Transición:

Durante las auditorías de transición, se pondrá énfasis en varios aspectos clave que
requieren una atención especial por parte de las organizaciones:

• Análisis de Brechas de Seguridad: Se • Plan de Tratamiento de Riesgos: Si

llevará a cabo un análisis detallado de las
brechas de seguridad en comparación
con los requisitos de la ISO/IEC
27001:2022, identificando áreas donde
se necesiten cambios o mejoras en el
SGSI existente.
es necesario, el plan de tratamiento
de riesgos debe ser actualizado para
abordar cualquier cambio en el contexto
operativo de la organización y garantizar
una gestión efectiva de los riesgos de
seguridad de la información.

• Actualización de la Declaración de • Implementación y Efectividad de

Aplicabilidad (SOA): La SOA debe
ser revisada y actualizada para reflejar
los nuevos controles y requisitos
introducidos por la nueva versión,
asegurando una cobertura completa
y precisa de los aspectos de seguridad
de la información relevantes para la
organización.
Nuevos Controles: Se evaluará la
implementación y efectividad de los
nuevos controles y modificaciones
introducidas por la organización
para garantizar su alineación con los
requisitos de la norma y su capacidad
para mitigar los riesgos de seguridad
de la información de manera efectiva.

16 isotools.us · esginnova.com
Impacto de los Cambios en el Anexo A:

Como se menciona, el impacto principal de los cambios introducidos por la ISO

27001:2022 se centra en los requisitos del Anexo A, que proporciona una guía detallada
sobre los controles de seguridad de la información. Estos cambios requieren una
comprensión clara y una implementación efectiva por parte de las organizaciones para
garantizar la conformidad con la nueva versión de la norma.

Para garantizar una transición exitosa a la ISO 27001:2022, las organizaciones deben
adoptar una serie de estrategias y mejores prácticas, que incluyen:

• Planificación Temprana: Comenzar el

proceso de transición lo antes posible
para permitir suficiente tiempo de pre-
paración y ejecución.

• Compromiso de la Alta Dirección:

Obtener el apoyo y el compromiso de la
alta dirección para garantizar recursos
adecuados y una implementación efec-
tiva del SGSI.
• Formación y Sensibilización: Propor-
cionar formación y sensibilización ade-
cuadas a todo el personal involucrado
en el SGSI para garantizar una com-
prensión clara de los cambios y requisi-
tos de la nueva versión.
• Colaboración con Entidades de Cer-
tificación: Trabajar en estrecha colabo-
ración con las entidades de certificación
para asegurar una transición suave y
oportuna hacia la nueva versión.
• Evaluación Continua y Mejora: Imple-
mentar un enfoque de evaluación con-
tinua y mejora para garantizar que el
SGSI se mantenga actualizado y efecti-
vo en un entorno en constante cambio.

17 isotools.us · esginnova.com
La transición a la ISO 27001:2022 representa un proceso significativo que requiere
una planificación cuidadosa, una ejecución meticulosa y un compromiso continuo
con la mejora de la seguridad de la información en las organizaciones. Al adoptar las
estrategias adecuadas y abordar las consideraciones clave, las organizaciones pueden
garantizar una transición exitosa y continuar protegiendo sus activos de información de
manera efectiva en el futuro.

18 isotools.us · esginnova.com
Beneficios de la última
versión de la norma
ISO/IEC 27001

Los avances en la última versión de la norma ISO/IEC 27001

traen consigo una serie de beneficios significativos para las
empresas que buscan fortalecer su seguridad informática y
proteger sus activos de manera integral.

Una de las ventajas más destacadas es la garantía de mantener

segura la información en todas sus formas, ya sean documentos
físicos o datos digitales, proporcionando una capa adicional de
protección en un entorno cada vez más digitalizado. Además,
con los protocolos de seguridad de la información adaptados a
entornos en la nube, se mejora la protección de los datos frente a
amenazas cibernéticas.

La nueva versión también se centra en aumentar la resiliencia

cibernética, permitiendo a las organizaciones enfrentar de
manera más efectiva las amenazas en constante evolución. Esto
se logra a través de un marco administrativo centralizado que
consolida los procesos de seguridad de la información, evitando
la rigidez burocrática y promoviendo la eficacia operativa.

19 isotools.us · esginnova.com
 Esto incluye la evaluación y la implemen-

i o s tación de estrategias de gestión de riesgos

eB n fe ic específicas que son aplicables a organiza-

ciones de todos los tamaños y sectores en
todo el mundo.

A pesar de las actualizaciones, la estruc-

tura de la norma permanece intacta, lo
que facilita la transición para las em-
presas que ya están certificadas. Para
superar con éxito las auditorías de con-
formidad, sigue siendo necesario cumplir
con las cláusulas de la norma, del 4 al 10,
manteniendo así la practicidad y la consis-
Además, la norma ofrece garantías inte- tencia para las empresas certificadas.
grales de protección sobre medios, recur-
sos y sistemas de información, incluyendo
salvaguardas contra riesgos digitales y
otras amenazas emergentes. Se estable-
cen políticas, procesos y procedimien-
tos para salvaguardar la integridad,
confidencialidad y disponibilidad de los
datos en todo momento.

La actualización del año 2022 de la nor-

ma ISO 27001 establece requisitos claros
para el establecimiento, implementa-
ción, mantenimiento, monitoreo y me-
jora continua de un Sistema de Gestión
de Seguridad de la Información (SGSI).

20 isotools.us · esginnova.com
El Sistema de Gestión de
Seguridad de la Información
(SGSI) basado en la norma
ISO 27001

La ISO 27001, última versión de la norma internacional para sistemas de gestión de

seguridad de la información (SGSI), se erige como un marco esencial para salvaguardar
la confidencialidad, integridad y disponibilidad de los datos, así como para cumplir con
los requisitos legales pertinentes. Esta actualización, publicada en 2022, reemplaza a
sus predecesoras de 2018 y 2013, consolidando y mejorando aún más los estándares
de seguridad.

La implantación de la ISO 27001 emerge como la solución óptima para enfrentar los
requerimientos legislativos y las demandas de los clientes, incluyendo el Reglamento
General de Protección de Datos (RGPD), y para hacer frente a una serie de amenazas
potenciales, como crímenes cibernéticos, violaciones de datos personales, vandalismo,
terrorismo, entre otros. Los datos revelan que en 2019, aproximadamente el 32% de las
empresas sufrieron violaciones de datos o ataques cibernéticos.

21 isotools.us · esginnova.com
Esta norma está diseñada para ser compatible con otras normativas de sistemas de
gestión, como la ISO 9001, y es neutral en cuanto a tecnología y proveedores, lo que
la hace adaptable a diversas plataformas de IT. Por tanto, es fundamental que todos los
miembros de la organización comprendan su alcance y aplicación.

Obtener la certificación ISO 27001 acreditada representa un compromiso con las

mejores prácticas en seguridad de la información. Además, brinda una evaluación
experta sobre la protección de los activos de la empresa. Los beneficios de esta
certificación son diversos y significativos.

22 isotools.us · esginnova.com
El impacto de la revolución
digital

Una perspectiva general sobre cómo la revolución digital ha

impactado en la adopción y relevancia de la norma ISO 27001
en el ámbito de la seguridad de la información. La revolución
digital representa una transformación radical en la sociedad
moderna, impulsada por avances tecnológicos rápidos y
disruptivos. Desde la conectividad ubicua hasta la transformación
digital empresarial y los nuevos modelos de negocio basados en
plataformas, esta revolución está cambiando fundamentalmente
la forma en que trabajamos, nos comunicamos y vivimos.

Además de su impacto en la economía y la innovación, la

revolución digital también está dando forma a la cultura y la
interacción social, aunque plantea desafíos como la privacidad
de los datos y la brecha digital. Estamos inmersos en un cambio
profundo y continuo que redefine la forma en que interactuamos
con la tecnología y el mundo que nos rodea.

23 isotools.us · esginnova.com
Es por ello que queremos destacar los siguientes escenarios:

• Aumento de amenazas cibernéticas: Con la creciente digitalización de los negocios,

las amenazas cibernéticas también han aumentado significativamente. Esto incluye
ataques de ransomware, phishing, malware, y otros tipos de ataques sofisticados.
Como resultado, muchas empresas están recurriendo a la ISO 27001 como un marco
para fortalecer sus medidas de seguridad.

• Mayor conciencia sobre la importancia de la seguridad de la información: La

revolución digital ha llevado a una mayor conciencia sobre la importancia de proteger
la información sensible y los datos de los clientes. Las empresas están reconociendo
la necesidad de implementar estándares sólidos de seguridad de la información para
mantener la confianza de los clientes y cumplir con las regulaciones.

• Integración de la tecnología en los SGSI: Con la proliferación de tecnologías como la

nube, el IoT (Internet de las cosas) y la inteligencia artificial, las empresas están buscando
maneras de integrar estas tecnologías en sus sistemas de gestión de seguridad de la
información. La ISO 27001 proporciona un marco sólido que puede adaptarse para
abordar los desafíos y oportunidades que presenta la revolución digital.

• Aumento en la adopción de la certificación ISO 27001: A medida que las empresas

buscan fortalecer su postura de seguridad cibernética en un entorno digitalmente
transformado, la certificación ISO 27001 se ha vuelto cada vez más relevante. Esto se
refleja en un aumento en la adopción de la certificación por parte de las organizaciones
en todo el mundo.

Por tanto, la revolución digital ha ampliado la necesidad de contar con sólidos sistemas
de gestión de seguridad de la información, y la norma ISO 27001 se ha convertido en
un referente importante en este contexto.

24 isotools.us · esginnova.com
Fundamentos y Aplicaciones
en la Gestión de Seguridad de
la Información

En la era actual, las empresas se encuentran constantemente expuestas a una variedad

de riesgos y amenazas que pueden comprometer sus activos más valiosos: la
información. La norma ISO 27001 se erige como un pilar fundamental en la regulación
y protección de estos activos en un entorno empresarial cada vez más digitalizado y
conectado.

La Importancia de la Seguridad de la Información

Los activos de información de una empresa están intrínsecamente vinculados a diversos

riesgos y amenazas que explotan una amplia gama de vulnerabilidades. La gestión
efectiva de la seguridad de estos activos requiere una atención cuidadosa a factores
como la capacidad organizativa, la elaboración de planes de contingencia, el
análisis de riesgos, las competencias del personal, el compromiso de la dirección,
las inversiones en seguridad y la implementación de controles adecuados.

En el contexto actual, donde la información automatizada domina, impulsada por las

Tecnologías de la Información y la Comunicación (TIC), la norma ISO 27001 se centra
principalmente en aspectos informáticos para abordar estos desafíos de seguridad.

25 isotools.us · esginnova.com
Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).
La norma ISO 27001 proporciona un marco sólido para el desarrollo de un SGSI,
permitiendo a las organizaciones evaluar y mitigar una amplia gama de riesgos y
amenazas a la información. Este sistema facilita la implementación de controles y
estrategias adecuadas para proteger la información tanto de la organización como
de terceros, siguiendo un enfoque de mejora continua.

Basado en el ciclo PDCA (Planificar-Hacer-Verificar-Actuar), el SGSI planteado por la

ISO 27001 abarca una serie de pasos, desde la planificación e identificación de controles
hasta la revisión y mejora continua del sistema.

Relación con otras Normas ISO

La norma ISO 27001 está estrechamente relacionada con otros estándares ISO, como
la ISO 22301 de continuidad del negocio y la ISO/IEC 20000 de gestión de servicios
TI. Mientras que la ISO 22301 se centra en garantizar la continuidad del negocio en
general, incluyendo aspectos financieros y operativos, la ISO/IEC 20000 se enfoca en
la calidad de los servicios de TI.

Estas normas trabajan en conjunto para garantizar la seguridad, la continuidad y la

calidad en un entorno empresarial cada vez más exigente y digitalizado. La norma ISO
27001 sigue siendo un componente crucial en la gestión de la seguridad de la información,
proporcionando un marco robusto y flexible para abordar los desafíos de seguridad
en un mundo empresarial en constante evolución. Desarrollamos esta información más
en profundidad en el siguiente epígrafe.

26 isotools.us · esginnova.com
Interconexión de la Norma
ISO 27001 con Otros
Estándares ISO

La norma ISO 27001 no opera en un vacío; se entrelaza con

otros estándares ISO relevantes, como la ISO 22301 y la ISO/
IEC 20000, cada uno contribuyendo a diferentes aspectos
críticos de la gestión empresarial en un entorno digitalizado y
conectado.

ISO 22301: Garantizando la Continuidad del

Negocio
La ISO 22301, dedicada a la continuidad del negocio, amplía
el enfoque de la seguridad más allá de la protección de datos e
información. Se centra en asegurar que, ante eventos disruptivos,
la organización pueda mantener operaciones esenciales
y servicios críticos sin interrupciones significativas. Esto
abarca no solo aspectos financieros y operativos, sino también
la infraestructura tecnológica, los recursos humanos y otros
elementos vitales para la resiliencia empresarial.

27 isotools.us · esginnova.com
ISO/IEC 20000: Mejorando la Calidad de los Servicios de TI

Por otro lado, la norma ISO/IEC 20000 se enfoca específicamente en la gestión

de servicios de TI, abordando la calidad y eficiencia en la entrega de servicios
tecnológicos. Desde el alojamiento web hasta el desarrollo de software, esta norma
establece prácticas y requisitos para garantizar que los servicios de TI satisfagan las
necesidades y expectativas de los clientes, promoviendo la estabilidad, la seguridad y la
mejora continua en la prestación de servicios.

ISO 27701: Adaptación a la norma

La norma ISO/IEC 27701:2019 es una especificación internacional que establece los

requisitos y proporciona orientación para establecer, implementar, mantener y
mejorar continuamente un sistema de gestión de la privacidad de la información
(SGPI) en el contexto de una organización. Fue publicada en agosto de 2019 y se enfoca
en ayudar a las organizaciones a proteger la privacidad de las personas y a gestionar
adecuadamente los datos personales.

Sinergia entre Normas para la Excelencia Empresarial

Al integrar la ISO 27001 con otras normas, las organizaciones pueden fortalecer su
capacidad para enfrentar desafíos complejos en un mundo empresarial dinámico.
Esta sinergia permite una gestión más holística de la seguridad de la información, la
continuidad del negocio y la calidad de los servicios de TI, lo que resulta en una mejora
global en la resiliencia, la eficiencia y la satisfacción del cliente.

La interconexión entre estas normas ISO no solo fortalece la seguridad y la capacidad de

respuesta de las organizaciones, sino que también impulsa la excelencia empresarial
en un entorno cada vez más competitivo y tecnológicamente avanzado.

28 isotools.us · esginnova.com
Transición hacia la Seguridad
del Futuro: Actualización a la
Norma ISO/IEC 27001:2022

El 22 de octubre de 2022 marcó un hito

importante con la publicación de la última
versión de la norma ISO/IEC 27001:2022,
ahora rebautizada como “Seguridad de la
información, ciberseguridad y protección
de la privacidad - Sistemas de gestión de la
seguridad de la información - Requisitos”.
Esta actualización sustituye a la versión
anterior, la ISO/IEC 27001:2013.

Se ha establecido un período de transición

con una duración máxima de tres años
para implementar este cambio. Por
consiguiente, todas las organizaciones
que deseen mantener su certificación
conforme a la norma ISO/IEC 27001
deberán realizar la transición a la versión
de 2022 dentro del plazo establecido.

29 isotools.us · esginnova.com
El calendario de transición fijado por los organismos internacionales para migrar de
los certificados acreditados ISO/IEC 27001:2013 a los de la ISO/IEC 27001:2022 es
el siguiente:

• A partir del 1 de mayo de 2024, todas las certificaciones iniciales deberán

ajustarse a la ISO 27001:2022. Se recomienda también que todas las auditorías de
recertificación a partir de esta fecha se lleven a cabo conforme a la ISO 27001:2022.

• Para el 31 de julio de 2025, todas las auditorías de transición deberán haberse

completado.

Finalmente, el 31 de octubre de 2025 marca el fin del período de transición. A partir de

esta fecha, los certificados acreditados emitidos bajo la norma ISO/IEC 27001:2013
perderán su validez y no serán reconocidos.

30 isotools.us · esginnova.com
Prioridades Sectoriales:
Implementación del Sistema
ISO/IEC 27001:2022

La implantación del sistema ISO/IEC 27001:2022 es de particular interés para una

variedad de sectores que valoran la seguridad de la información y la protección de la
privacidad como elementos cruciales para su funcionamiento. Entre los sectores más
interesados en adoptar este sistema se encuentran:

• Sector Financiero: Los bancos, institu- • Sector de la Salud: Las organizaciones

ciones financieras y empresas de servi-
cios financieros son altamente sensibles
a los riesgos asociados con la seguridad
de los datos, ya que manejan informa-
ción confidencial de clientes, transaccio-
nes y activos financieros. La adopción
de la norma ISO/IEC 27001 les permite
fortalecer sus sistemas de gestión de la
seguridad de la información para pro-
teger los activos críticos y mantener la
confianza del cliente.
sanitarias, incluyendo hospitales, clíni-
cas y proveedores de servicios médi-
cos, gestionan una gran cantidad de da-
tos personales y médicos sensibles. La
implementación de la norma ISO/IEC
27001 les ayuda a garantizar la confi-
dencialidad, integridad y disponibilidad
de la información de los pacientes, así
como a cumplir con las estrictas regula-
ciones de protección de datos en el sec-
tor de la salud.

31 isotools.us · esginnova.com
• Sector Tecnológico: Las empresas de tecnología, especialmente aquellas que
desarrollan software, proporcionan servicios en la nube o gestionan plataformas
digitales, enfrentan constantemente amenazas cibernéticas y riesgos de seguridad.
La adopción de la norma ISO/IEC 27001 les permite establecer un marco sólido
para gestionar los riesgos de seguridad de la información y mejorar la resiliencia ante
posibles brechas de seguridad.

• Sector Gubernamental: Las agencias gubernamentales y los organismos del

sector público manejan una gran cantidad de datos confidenciales y críticos para la
seguridad nacional, la prestación de servicios públicos y la administración de justicia.
La implementación de la norma ISO/IEC 27001 les ayuda a proteger la información
sensible, a fortalecer la ciberseguridad y a cumplir con los requisitos legales y
regulatorios en materia de protección de datos.

Estos son solo algunos ejemplos de los sectores más interesados en la implantación
del sistema ISO/IEC 27001:2022. En general, cualquier organización que valore la
seguridad de la información y busque proteger sus activos y la confianza de sus partes
interesadas puede beneficiarse de la adopción de esta norma internacionalmente
reconocida.

32 isotools.us · esginnova.com
El Ecosistema de
Normas ISO/IEC 27001:
Complementos para una
Gestión Integral de la
Seguridad de la Información

La norma ISO/IEC 27001:2022, como piedra angular de la seguridad de la información,

se ve complementada por una serie de estándares adicionales que enriquecen y
fortalecen su implementación. Estos complementos abarcan diversos aspectos clave
de la gestión de la seguridad de la información y la privacidad de los datos, ofreciendo
orientación detallada y específica para las organizaciones que buscan establecer un
enfoque integral y efectivo en este ámbito.

Entre estos complementos, destaca la ISO/IEC 27002, también conocida como el

“Código de buenas prácticas para la gestión de la seguridad de la información”. Esta
norma proporciona directrices detalladas sobre los controles de seguridad que pueden
ser implementados para abordar los riesgos de seguridad de la información identificados
durante el proceso de evaluación de riesgos.

Asimismo, la ISO/IEC 27003 ofrece orientación sobre cómo implementar un sistema

de gestión de la seguridad de la información de acuerdo con los requisitos de la
ISO/IEC 27001. Esta norma proporciona una estructura y metodología detalladas para
la planificación, implementación y mantenimiento del Sistema de Gestión de Seguridad
de la Información (SGSI).

33 isotools.us · esginnova.com
Otro complemento importante es la ISO/IEC 27004, que se centra en la medición
del desempeño del SGSI. Esta norma ofrece directrices para establecer indicadores
clave de rendimiento (KPIs) y métricas que permiten evaluar la efectividad y eficiencia
del sistema de gestión de la seguridad de la información, así como identificar áreas de
mejora continua.

Además, la ISO/IEC 27005 proporciona un marco para la gestión de riesgos de

seguridad de la información, ofreciendo directrices detalladas sobre la identificación,
evaluación y tratamiento de los riesgos de seguridad de la información de manera
sistemática y efectiva.

Estos son solo algunos ejemplos de los complementos que conforman el ecosistema de
normas ISO/IEC 27001, cada uno de los cuales desempeña un papel fundamental en
la construcción de un enfoque integral y robusto para la gestión de la seguridad de la
información y la protección de la privacidad de los datos.

34 isotools.us · esginnova.com
ISO/IEC 27001:2022: Un
Camino Hacia el Liderazgo
Sectorial

Las empresas y organizaciones que adoptan la resiliencia

cibernética a través de la nueva ISO/IEC 27001:2022 emergen
como pioneras en sus respectivos campos. La adopción de la
resiliencia cibernética mediante una estrategia de seguridad
robusta asegura que las organizaciones asciendan rápidamente
al liderazgo en su industria, marcando el estándar para
su entorno operativo. El enfoque integral de la ISO/IEC
27001:2022 abarca no solo la tecnología de la información, sino
también a toda la organización en su conjunto. Tanto las personas
como los procesos se ven beneficiados por la implementación de
este riguroso estándar.

La implementación de la norma ISO/IEC 27001 permite

demostrar a las partes interesadas y clientes el compromiso
total con la gestión segura de la información. Es la vía óptima
para promover una organización, resaltando sus logros y
consolidando la confianza en sus servicios.

35 isotools.us · esginnova.com
ISOTools se convertirá en tu aliado estraté-
gico a la hora de actualizar tu Sistema de Se-
guridad de la Información

La administración de la seguridad de la información se

vuelve más eficiente que nunca. La solución de software
ISOTools, diseñada para cumplir con la actualización ISO
27001:2022, puede convertirse en un valioso aliado dentro
de su organización. Con esta herramienta, se reducirán los
tiempos y los costos asociados con la implementación y el
mantenimiento de la norma ISO 27001.

Además, se disminuirán los riesgos y se evitarán posibles

sanciones al simplificar el proceso de documentación
y registro. Si desea optimizar sus recursos enfocándose
únicamente en los riesgos que representan una amenaza real
para su organización, no dude en solicitar más información
sobre la tecnología ISOTools, sin compromiso alguno.

QUIERO SABER MÁS SOBRE ISO 27001:2022

Calle Villnius,
P.I. Tecnocórdoba,
Parcela 6-11 Nave H,
14014 Córdoba
isotools.us