MICROSOFT SEGURIDAD WIN DEFENDER

WD

https://support.microsoft.com/es-es/windows/mantente-protegido-con-seguridad-de-windows-
2ae0363d-0ada-c064-8b56-6a39afb6a963

Mantente protegido con Seguridad de Windows

Aplicaciones de productividad, 1 TB de OneDrive y seguridad avanzada

Desbloquear ahora

Windows 10 y 11 incluyen Seguridad de Windows, que proporciona la protección antivirus más reciente.
El dispositivo se protegerá activamente desde el momento en que inicies Windows. Seguridad de
Windows examina continuamente en busca de malware (software malintencionado), virus y amenazas
de seguridad. Además de esta protección en tiempo real, las actualizaciones se descargan
automáticamente para ayudar a mantener tu dispositivo seguro y protegerlo de amenazas.

Sugerencia: Si eres suscriptor de Microsoft 365 Familia o Personal, obtendrás Microsoft Defender,
nuestro software de seguridad avanzada para Windows, Mac, iOS y Android, como parte de tu
suscripción. Más información en Introducción a Microsoft Defender.

La aplicación Seguridad de Windows en Windows 11

Windows 10 u 11 en modo S

Algunas características serán un poco diferentes si ejecutas Windows 10 u 11 en modo S. Dado que este
modo está optimizado para conseguir mayor seguridad, el área Protección contra virus y amenazas
dispone de menos opciones. Pero no te preocupes: la seguridad integrada de este modo evita
automáticamente la ejecución de virus y otras amenazas en tu dispositivo y recibirás actualizaciones de
seguridad automáticamente. Para más información, consulta Preguntas frecuentes de Windows 10 u 11
en modo S.

Información de seguridad importante

Seguridad de Windows se integra en Windows e incluye un programa antirvirus denominado Antivirus
de Microsoft Defender. (En versiones anteriores de Windows 10, Seguridad de Windows se denominaba
Centro de seguridad de Windows Defender).

Si tienes instalada y activada otra aplicación antivirus, el Antivirus de Microsoft Defender se desactivará
automáticamente. Si desinstalas la otra aplicación, Antivirus de Microsoft Defender se volverá a activar
automáticamente.

Si tiene problemas para recibir actualizaciones de Seguridad de Windows, consulte Corregir errores de
Windows Update y la sección de preguntas más frecuentes de Windows Update.

Para obtener información sobre cómo desinstalar una aplicación, consulta Reparar o quitar una
aplicación en Windows.

Para cambiar tu cuenta de usuario a una cuenta de administrador, consulta Crear una cuenta de
administrador o de usuario local en Windows.

Comprender y personalizar características de Seguridad de Windows

Seguridad de Windows es el centro para administrar las herramientas que protegen el dispositivo y los
datos:

Protección contra amenazas y virus:Supervisa las amenazas del dispositivo, ejecuta análisis y obtén
actualizaciones para ayudar a detectar las últimas amenazas. (Algunas de estas opciones no están
disponibles al ejecutar Windows 10 en modo S).

Protección de cuenta: Accede a las opciones de inicio de sesión y de configuración de cuenta, incluido
Windows Hello y el bloqueo dinámico.

Protección de red y firewall: Administra la configuración del firewall y supervisa lo que sucede con las
redes y las conexiones a Internet.

Control de aplicaciones y explorador: Actualiza la configuración de SmartScreen de Microsoft Defender

con el fin de proteger tu dispositivo contra aplicaciones, archivos, sitios y descargas potencialmente
peligrosos. Tendrás protección contra vulnerabilidades y podrás personalizar la configuración de
protección de los dispositivos.

Seguridad del dispositivo: Revisa las opciones de seguridad integrada que ayudan a proteger tu
dispositivo contra ataques de software malintencionado.

Rendimiento y estado del dispositivo: Consulta la información del estado del rendimiento del dispositivo
y mantenlo limpio y actualizado con la última versión de Windows.

Opciones de familia: Realiza un seguimiento de la actividad de tus hijos en línea y de los dispositivos de
tu hogar.

Para personalizar cómo se protege el dispositivo con estas características de Seguridad de Windows,
selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows o selecciona el
botón siguiente.

Abrir la configuración de Seguridad de Windows

Los iconos de estado indican el nivel de seguridad:

Verde significa que no hay ninguna acción recomendada en este momento.

Amarillo significa que hay una recomendación de seguridad para ti.

Rojo advierte que algo necesita tu atención inmediata.

Ejecutar un examen de malware manualmente

Si te preocupa un archivo o carpeta específico en el dispositivo local, puedes hacer clic con el botón
derecho en el archivo o carpeta en el Explorador de archivos y seleccionar Examinar con Microsoft
Defender.

Sugerencia: En Windows 11, es posible que tengas que seleccionar Mostrar más opciones después de
hacer clic con el botón derecho para ver la opción de examinar el archivo o carpeta.
Si sospechas que hay malware o un virus en tu dispositivo, debes ejecutar inmediatamente un análisis
rápido.

Ejecutar un examen rápido en Seguridad de Windows

Nota: Debido a la seguridad simplificada, esto no está disponible si ejecutas Windows 10 u 11 en modo
S.

Selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección
contra virus y amenazas.

Abrir la configuración de Seguridad de Windows

En Amenazas actuales, selecciona Examen rápido (o en versiones anteriores de Windows 10, en Historial
de amenazas, selecciona Examinar ahora).

Si el examen no encuentra ningún problema, pero te sigue preocupando, es posible que quieras
comprobar el dispositivo con más detalle.

Ejecutar un examen avanzado en Seguridad de Windows

Selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección
contra virus y amenazas.

En Amenazas actuales, selecciona Examen rápido (o en versiones anteriores de Windows 10, en Historial
de amenazas, selecciona Ejecutar un nuevo análisis avanzado).

Selecciona una de las opciones de análisis:

Examen completo (comprobar todos los archivos y programas actualmente en el dispositivo)

Examen personalizado (analiza archivos o carpetas específicos)

Examen de Microsoft Defender sin conexión (reinicia el equipo y ejecuta un examen profundo antes de
que Windows se cargue para detectar malware especialmente difícil de descubrir). Obtén más
información sobre Microsoft Defender sin Conexión

Selecciona Examinar ahora.

Más información sobre cómo ejecutar un examen avanzado

Programar tu propio examen

Aunque Seguridad de Windows analiza periódicamente tu dispositivo para mantenerlo protegido,

también puedes establecer cuándo y con qué frecuencia se realizarán los análisis.

Nota: Debido a la seguridad simplificada, esto no está disponible si ejecutas Windows 10 u 11 en modo
S.

Programar un examen

Selecciona el botón Inicio , escribe programar tareas en el cuadro Buscar y, en la lista de resultados,
selecciona Programador de tareas.

En el panel izquierdo, selecciona la flecha (>) junto a Biblioteca del Programador de tareas para
expandirla, haz lo mismo con Microsoft > Windows y luego desplázate hacia abajo y selecciona la carpeta
Windows Defender.

En el panel central superior, selecciona Análisis programado de Windows Defender.(Apunta a las

opciones para ver los nombres completos).

En el panel Acciones de la derecha, desplázate hacia abajo y selecciona Propiedades.

En la ventana que se abre, selecciona la pestaña Desencadenadores y después, Nuevo.

Configura la hora y la frecuencia que prefieras y, después, selecciona Aceptar.

Revisa la programación y selecciona Aceptar.

Activar o desactivar la protección en tiempo real del Antivirus de Microsoft Defender

A veces es posible que tengas que dejar de ejecutar brevemente la protección en tiempo real. Mientras
la protección en tiempo real esté desactivada, no se analizarán en busca de amenazas los archivos que
abras ni los que descargues. Sin embargo, la protección en tiempo real pronto se activará
automáticamente para proteger el dispositivo.

Desactiva temporalmente la protección en tiempo real

Nota: Debido a la seguridad simplificada, esto no está disponible si ejecutas Windows 10 u 11 en modo
S.

Selecciona Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Protección
contra virus y amenazas > Administrar configuración. (En versiones anteriores de Windows 10,
selecciona Protección contra virus y amenazas > Configuración de Protección contra virus y amenazas).

Abrir configuración de Seguridad de Windows

Cambia la configuración de Protección en tiempo real a Desactivado y elige Sí para comprobarlo.

=====================================================================================
======

PUEBAS DE PENETRACIÓN

Pruebas avanzadas por expertos certificados por CREST

Las pruebas de penetración, también conocidas como pruebas de pen test, son un ataque simulado en el
mundo real en una red, aplicación o sistema que identifica debilidades y vulnerabilidades. Las pruebas
de penetración (pruebas de pen) son parte de un enfoque reconocido en la industria para identificar y
cuantificar el riesgo. Intentan activamente “explotar” las vulnerabilidades y exposiciones en la
infraestructura, aplicaciones, personas y procesos de una empresa. A través de la explotación, LRQA
Nettitude es capaz de proporcionar un contexto sobre la vulnerabilidad, el impacto, la amenaza y la
probabilidad de una violación en un activo de información.

A menudo es posible para un pen tester tener acceso remoto a sistemas operativos, lógica de
aplicaciones y registros de bases de datos. A través de la explotación activa de sistemas directos e
interconectados, LRQA Nettitude puede proporcionar orientación estratégica sobre el riesgo y consejos
personalizados sobre contramedidas.

Solicite un presupuesto gratuito

Beneficios de las pruebas de penetración:

Administra tu riesgo: una prueba de penetración identifica debilidades en tu entorno y te permite

solucionarlas antes de que un adversario las aproveche.

Protege a clientes, socios y terceros: muestra a sus clientes que se toma la ciberseguridad en serio, y
construye confianza y una buena reputación, que está haciendo todo lo posible para mitigar los riesgos
de una brecha cibernética.

Le permite entender el entorno: una prueba de penetración le permite comprender lo que ocurre en el
entorno que le rodea y le ayuda a entender los tipos de ciberataques a los que puede enfrentarse su
organización.

Identifica puntos débiles que no sabía que existían: las pruebas de penetración buscan las posibles
puertas traseras de su red que existen sin que usted lo sepa.

Fundamentos de las pruebas de penetración

Si es nuevo en el mundo de las pruebas de penetración y desea obtener una comprensión sencilla de lo
que es, asegúrese de consultar nuestros recursos de aprendizaje para ayudarle a empezar.

CREST Penetration Test

¿Qué acreditaciones debo buscar en un proveedor de pruebas de penetración?

Como líder en la industria de las pruebas de penetración, LRQA Nettitude tiene las acreditaciones más
codiciadas en todo el mundo:

LRQA Nettitude es miembro activo del Consejo de Probadores Éticos de Seguridad Registrados (CREST).

LRQA Nettitude es un orgulloso miembro del esquema NCSC del gobierno del Reino Unido. Nuestro
equipo de probadores incluye Líderes de equipos CHECK en infraestructura y aplicaciones web, así como
Miembros de equipos CHECK.

LRQA Nettitude es una organización certificada ISO27001 y realiza todos los compromisos externos de
pruebas desde un entorno rigurosamente controlado. Los consultores de seguridad de LRQA Nettitude
tienen calificaciones CISSP y muchos también tienen acreditaciones CISA y CISM. Todos nuestros
probadores han sido verificados exhaustivamente.

También somos un proveedor acreditado de CBEST y un proveedor aprobado de servicios de prueba

STAR. Además, el SOC 24/7 de LRQA Nettitude está acreditado para proporcionar servicios SOC CREST.

El equipo de pruebas de seguridad de LRQA Nettitude incluye Probadores de infraestructura certificados

por CREST (CCT Inf), Probadores de aplicaciones web certificados por CREST (CCT App) y Probadores
registrados por CREST (CRT).

Además, nuestro equipo está compuesto por consultores reconocidos en la industria y autores
publicados que han sido reconocidos por los medios y la comunidad de ciberseguridad.

¿Cuáles son los diferentes tipos de pruebas de penetración?

Hay pruebas de penetración internas y externas, dependiendo de si el probador accede al entorno físico
o al entorno accesible desde Internet.

Los tests de penetración tradicionalmente se pueden ejecutar internamente dentro de una organización
o externamente desde Internet. El punto de vista adecuado para las pruebas debe ser determinado por
el enfoque de una organización en el riesgo. Además, los dos lugares para las pruebas no son
mutuamente excluyentes. Las organizaciones con un fuerte enfoque en la gestión de riesgos suelen
realizar pruebas tanto desde una perspectiva

interna como externa.

Prueba de penetración interna

Este tipo de prueba evalúa la seguridad a través de los ojos de un usuario interno, un trabajador
temporal o un individuo que tiene acceso físico a los edificios de la organización.
Las pruebas de penetración interna se llevan a cabo dentro de una organización, a través de su red local
(LAN) o a través de redes WIFI. Las pruebas observarán si es posible acceder a la información privilegiada
de la empresa desde sistemas que están dentro de los

cortafuegos corporativos.

Los testers evaluarán el entorno sin credenciales y determinarán si un usuario con acceso físico al
entorno podría extraer credenciales y luego escalar privilegios a los de un administrador o super usuario
dentro del entorno.

Durante una prueba de penetración interna, el probador intentará acceder a datos sensibles, incluyendo
PII, datos de tarjetas PCI, material de I+D y información financiera. También evaluarán si es posible
extraer datos del entorno corporativo y evadir cualquier

dispositivo de DLP o registro para evaluar cualquier medida o controles que se hayan implementado.

Prueba de penetración externa

Este tipo de prueba evalúa la infraestructura de una organización desde fuera del cortafuegos del
perímetro en Internet. Evalúa el entorno desde el punto de vista de un hacker de Internet, un
competidor o un proveedor con información limitada sobre el entorno

de enfrentamiento a Internet.

Pruebas de penetración externas evaluarán los controles de seguridad configurados en los routers de
acceso, firewalls, sistemas de detección de intrusiones (IDS) y cortafuegos de aplicaciones web (WAFS)
que protegen el perímetro.

Las pruebas externas también brindarán la capacidad de evaluar los controles de seguridad para las
aplicaciones que se publican a través de internet. LRQA Nettitude reconoce que cada vez hay más lógica
en los servicios web para brindar funciones de extranet, comercio electrónico y gestión de la cadena de
suministro a los usuarios de Internet. Como consecuencia, LRQA Nettitude presta especial atención a
estos recursos y realiza evaluaciones granulares sobre su construcción y configuración, así como sobre su
interacción con otras

fuentes de datos que se encuentran en los segmentos de su red protegidos.

¿Cuáles son las diferentes estrategias de pruebas de penetración?

Deje que LRQA Nettitude le guíe a través de las diferencias entre los servicios de pruebas de penetración
en caja negra, caja blanca y caja gris.

¿Qué es la prueba en caja negra?

En una prueba en caja negra, el cliente no brinda a LRQA Nettitude información sobre su

infraestructura, excepto una URL o IP, o en algunos casos, solo el nombre de la empresa.

LRQA Nettitude está encargado de evaluar el entorno como si fuera un atacante externo sin información
sobre la infraestructura o la lógica de la aplicación que está probando. Las pruebas de penetración en
caja negra brindan una simulación de cómo un atacante sin información, como un hacker de Internet, un
crimen organizado o un atacante patrocinado por un estado nación, podría presentar un riesgo para el
entorno.

¿Qué es la prueba en caja gris?

Una prueba en caja gris es una mezcla de técnicas de pruebas en caja negra y caja

blanca.

En las pruebas en caja gris, los clientes brindan a LRQA Nettitude fragmentos de

información para ayudar en los procedimientos de prueba. Esto resulta en una amplitud y profundidad
adicional, junto con una cobertura de prueba más amplia que la caja negra. Las pruebas de penetración
en caja gris brindan un enfoque ideal para los clientes que desean tener una evaluación efectiva de su
postura de seguridad.

¿Qué es la Prueba de Caja Blanca?

En una prueba de caja blanca, LRQA Nettitude recibe información detallada sobre las

aplicaciones e infraestructuras.

Es común proporcionar acceso a documentos de arquitectura y al código fuente de la aplicación.

También es habitual que LRQA Nettitude tenga acceso a una gama de diferentes

credenciales dentro del entorno.

TEsta estrategia brindará una mayor seguridad de la lógica de la aplicación e

infraestructura. Proporcionará una simulación de cómo un atacante con información (empleado, etc.)
podría presentar un riesgo al entorno.

¿Cuál es el Proceso de Prueba de Penetración?

LRQA Nettitude tiene una metodología de prueba sólida que se extiende a través de las pruebas de
infraestructura y aplicación. Aunque cada prueba de penetración está adaptada a las necesidades
individuales de nuestros clientes, seguimos la misma metodología probada para mantener un conjunto
de resultados consistente y reproducible.

Fase 1: Estudio del alcance

Fase 2: Reconocimiento y Enumeración

Fase 3: Mapeo e Identificación de Servicios

Fase 4: Análisis de Vulnerabilidades

Fase 5: Explotación de Servicios

Fase 6: Pivoteo

Fase 7: Informe y Debrief

Informes y Entregables de Pruebas de Penetración

Informe de Pruebas y Documentación

Recibirá un informe de gestión de alto nivel y un documento de revisión técnica detallado para cada
compromiso.

Estos documentos destacarán las vulnerabilidades de seguridad e identificarán áreas para la explotación.

Además, proporcionarán orientación sobre la remediación, con un enfoque en las medidas preventivas.

Para acceder a un informe de gestión y técnico de muestra relacionado con su vertical de la industria,
envíenos un correo electrónico.

Informe de la prueba

LRQA Nettitude asegura que todas las pruebas tengan un informe completo al final del compromiso.

Si es necesario, LRQA Nettitude puede realizar este informe cara a cara. Durante este proceso,
proporcionaremos una presentación de vulnerabilidades críticas y de alto nivel junto con orientación
sobre remediación y medidas preventivas.

Cuando no se requiere un informe cara a cara, LRQA Nettitude realiza informes a través de conferencia
de video y WebEX. A través de este enfoque, aún somos capaces de compartir una presentación
exhaustiva de las vulnerabilidades y las áreas identificadas como de alto riesgo. También somos capaces
de brindarle demostraciones en vivo de donde fue posible la explotación, junto con orientación sobre
cómo asegurar el entorno a futuro.
Guía posterior a la prueba

Se le proporcionará un acceso gratuito de tres meses a nuestro Escritorio de soporte de seguridad.

Esto brinda un nivel de garantía durante la fase de remediación, asegurándose de que pueda solucionar
todas sus vulnerabilidades de manera oportuna.

=================================================================================
NORMA ISO 27001

Mantén la calma: Esto es la ISO 27001

ADRIEL ARAUJO

CEO

ISO 27001

THE LATEST

APRIL 21, 2024

¿Cómo la Ley 19628 se relaciona con la ISO 27001?

APRIL 21, 2024

Protección y seguridad organizacional contra el phishing

APRIL 21, 2024

Respuestas a incidentes y recuperación de ataques de phishing

APRIL 12, 2024

¿Cómo reconocer y prevenir el phishing?

APRIL 12, 2024

Introducción al phishing: qué es, cómo funciona y tipos

TOPICS

Business Resources

76

Cloud

1
Cybersecurity Experts

107

Dev Resources

28

GDPR

Entiende por qué se la piden a tu startup y aprovecha para aprender a cumplir con ella

Índice

Esto es lo primero que debes leer si estás aprendiendo sobre ISO 27001. Aquí te dejamos el índice para
que veas cuáles son los siguientes artículos de la saga.

1. Mantén la calma: Esto es la ISO 27001

2. ¿Mi startup debería cumplir con ISO 27001?

3. Cómo prepararte para la auditoría de certificación en ISO 27001

4. 7 beneficios de invertir en ISO 27001

5. Guía para implementar la ISO 27001

6. Creando un inventario en 4 sencillos pasos

7. Matriz de control de accesos: Qué es y cómo hacerla paso a paso

8. Plan de continuidad del negocio (BCP): Qué es y en qué consiste

9. 6 pasos para armar un plan de continuidad del negocio (BCP)

10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]

11. Cómo hacer un descriptivo de roles y responsabilidades

12. Cómo hacer tu política de seguridad de la información

En los últimos años, y con tantas vulnerabilidades dando vueltas en las plataformas digitales, cumplir con
la normativa ISO 27001 se ha vuelto una condición casi obligatoria para trabajar con corporativos o
grandes empresas.

ISO 27001 es una normativa internacional que permite asegurar y proteger tu información física y digital.
Para ello, te brinda una serie de requisitos a cumplir para gestionar la seguridad de la información de tu
empresa.

La razón por la que la mayoría de las startups se están certificando en ISO 27001, es porque los
controles, dentro de sus requisitos, son genéricos y globales. Esto quiere decir que pueden aplicarse a
cualquier empresa sin importar su tipo, tamaño o industria.

Y siendo ISO 27001 la normativa más común de cumplimiento de seguridad, aquí te explicamos cómo
funciona, qué debes implementar y por qué es que tarde o temprano te la van a pedir.

El origen de la normativa ISO 27001

En 2005, ISO (International Organization for Standardization) tuvo el interés de crear esta normativa para
formalizar las recomendaciones de seguridad publicadas en los 90 por la BSI (British Standards
Institution).

Al día de hoy, la versión más reciente y actualizada es la del año 2013, mismo año en que se sumó IEC
(International Electrotechnical Commission). Por eso, es formalmente conocida como ISO/IEC
27001:2013.

Al igual que tú y yo, la ISO 27001 forma parte de una gran familia: la serie ISO/IEC 27000. Esto significa
que pertenece a un conjunto de estándares desarrollados para manejar la seguridad de la información.

Pero tranquilo, hoy solo hablaremos de sus dos protagonistas, la ISO 27001 y la ISO 27002.

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?

La ISO 27001 hace foco principalmente en adoptar un Sistema de Gestión de Seguridad de la

Información (que amistosamente llamamos un SGSI).
No te abrumes, parece complicado, pero no lo es: un SGSI es básicamente una forma de lograr un
sistema integral de políticas, procedimientos y acciones para proteger la información.

Podemos pensar al SGSI como un equipo deportivo: tiene reglas de juego (políticas), tiene planificación
de tácticas que todos saben que deben seguir (procedimientos), y luego está la jugada en el campo
(acciones, para poner en marcha los procedimientos).

Lo que debes tener presente es que es el requisito principal para cumplir con la normativa. Te dejamos
por aquí una plantilla para que puedas medir tu SGSI y saber si funciona:

Métricas importantes para medir tu SGSI

¿Cómo funciona la ISO 27001?

La ISO 27001 tiene un enfoque de procesos, esto significa que sus controles se usan para asegurar que
las operaciones de un negocio agreguen valor y siempre se hagan de forma segura.

Lo que debes saber es que tiene 14 cláusulas, y en un anexo (el Anexo A) te brinda los 114 controles que
debes implementar para cumplir con la normativa.

Sin embargo, la ISO 27001 explica muy brevemente cómo implementarlos, por eso aquí es
recomendable recurrir a la ISO 27002 porque es donde se detalla de forma minuciosa y precisa cada
método necesario para mitigar los riesgos.

Hackmetrix Insight: la ISO 27002 es prácticamente una guía de recomendaciones y buenas prácticas de
cómo implementar la ISO 27001.

De todas formas, sabemos que sigue siendo un poco complejo de entender, por eso nos dimos el lujo de
resumírtelo en un gráfico:

ISO 27001

En otras palabras:
La ISO 27001 es el qué hacer: te dice qué controles debes tener para proteger tu información e
implementar un SGSI.

La ISO 27002 es el cómo hacerlo: cómo llevar a la práctica los 114 controles de seguridad del Anexo A.

¿Por qué le piden a mi startup cumplir con ISO 27001?

Más allá de que haya sido creada por una organización tan reconocida, tus clientes te pedirán que
cumplas con ella porque es un estándar muy completo: proporciona un SGSI que puedes implementar,
mantener y mejorar de forma escalable en tu negocio.

Por otro lado, también analiza y protege los activos que no son únicamente de TI, sino de la seguridad en
los procesos y gestión de una empresa.

Esto es fundamental, porque puedes tener una seguridad de código impresionante pero si los miembros
de tu equipo colocan las claves del Wi-Fi o de sus computadores en un post-it a la vista de todos, tus
esfuerzos no servirán de nada. Es como si en tu casa tuvieras un cofre con dinero con veinte candados
pero la puerta estuviera siempre abierta.

Si no hay procedimientos o planes, no hay seguridad de nada. Y adoptar un SGSI te ayuda a tener una
protección sólida con controles de punta a punta en toda la organización. Por otro lado, también te da la
posibilidad de certificarte y demostrarle a tus clientes que te tomas en serio la seguridad. De hecho, para
algunos clientes es un requisito obligatorio antes de firmar cualquier contrato.

Incluso con algunos corporativos no es necesario llegar a la certificación sino acercarse lo más posible al
cumplimiento de la normativa.

Hackmetrix Insight: recuerda que esta no es la única normativa que existe, ya que hay industrias que
deben cumplir con otras normativas más específicas como PCI DSS o SOC 2. De nuevo, todo depende de
tu tipo de negocio.

Conclusión

La normativa ISO 27001 te dice que para asegurar los datos y la información de tu startup debes crear un
Sistema de Gestión de Seguridad de la Información (SGSI). Como ya lo vimos, el SGSI es un sistema
integral con políticas, procedimientos y acciones para proteger la información.
¿Cómo debes llevar esto a la práctica? La ISO 27002 es la guía que te dirá cómo hacerlo, ya que es donde
se encuentran las buenas prácticas y la información minuciosa de cada control y procedimiento
necesario para cumplir.

También, puedes comenzar a cumplirla creando algunos de los documentos básicos que piden la
mayoría de las normativas.

Ahora ya sabes que el estándar ISO 27001 tiene controles genéricos que aplican a cualquier organización
y es por ello que casi se ha vuelto condición para trabajar con corporativos, porque es sinónimo de tener
un sistema sólido de seguridad de la información: así sea digital o física.

Si ya tienes clientes que te han preguntado por el cumplimiento de la ISO 27001 y tienes dudas de cómo
comenzar o si deberías hacerlo, contáctanos para que te demos una mano.

=====================================================================================
==

https://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/Certificacion-para-ISO-
27001/

Certificación ISO/IEC 27001 de Gestión de Seguridad de la Información

Mantenga la confidencialidad de su información con un sistema certificado ISO/IEC 27001 y demuestre

que tiene bajo control los riesgos relativos a la Seguridad de la Información. La conformidad con las
principales normas puede ayudarle a ganarse la confianza de sus clientes y a obtener nuevas
oportunidades de negocio.marca iso 27001

Esta certificación nos permite ir un paso más allá, al ofrecer a nuestros clientes la tranquilidad de contar
con los mejores controles para identificar y reducir cualquier riesgo para la información confidencial.

JITESH BAVISI, EXPONENTIAL-E, PROVEEDOR DE SERVICIOS CLOUD Y TI EN REINO UNIDO

Cómo obtener la certificación ISO/IEC 27001

Simplificamos el proceso de certificación. Después de recibir su solicitud, nombramos a un gestor de

clientes que le orientará a usted y a su empresa a lo largo de los siguientes pasos.

Gap Analysis
Se trata de un servicio opcional de evaluación previa, en el que estudiamos con atención su sistema de
Gestión de Seguridad de la Información existente y lo comparamos con los requisitos de la norma
ISO/IEC 27001. Esto le ayuda a identificar las áreas que requieren más esfuerzo antes de que llevemos a
cabo una Auditoría formal, lo que le ahorra tiempo y dinero.

Auditoría formal

Se produce en dos fases. En primer lugar, revisamos el nivel de preparación de su organización para la
auditoría comprobando si se han desarrollado los procedimientos y controles necesarios para la ISO/IEC
27001. Compartiremos con usted los detalles de nuestras conclusiones para que pueda cubrir aquellas
deficiencias que podamos encontrar. Si se cumplen todos los requisitos, evaluaremos la implantación de
los procedimientos y los controles en su organización, para asegurar que funcionen de forma eficaz, tal
como se exige para la certificación.

Después de la certificación

Tras haber aprobado la auditoría formal, recibirá un certificado ISO/IEC 27001, que tendrá una validez de
tres años. Su gestor de clientes estará en contacto con usted durante este tiempo y le hará visitas con
regularidad para asegurarse de que el sistema no quede anclado en la conformidad, sino que mejore
continuamente.

Descargue nuestra Guía de implantación que le ayudará en su proceso de certificación >

Reciba un presupuesto personalizado

Ofrecemos diferentes soluciones de certificación y formación para organizaciones de todos los tamaños
en todos los sectores. Manténgase a la vanguardia y evalue sus beneficios, sin compromiso.

Reciba un presupuesto

Lo que nuestros clientes opinan de las auditorías ISO/IEC 27001...

"Por nuestra parte, experiencia muy positiva."

- AGILITY SPAIN S.A.

"Profesionalidad de la auditora en todos los aspectos."

- TELEPERFORMANCE SPAIN

"Profesionalidad, calidad de las auditorias. Cercanía del auditor a la hora de transmitir su alto
conocimiento en el sistema de gestión."

- NEINOR HOMES, S.A.

Su camino hacia la certificación ISO/IEC 27001

Explore nuestro itinerario de certificación ISO/IEC 27001, diseñado para ayudarle en cualquier etapa en
la que se encuentre.

Introducción

Introducción

a ISO/IEC 27001

Qué es ISO/IEC 27001 y por qué supone un beneficio para su oganización

Comience con ISO/IEC 27001 >

Implantación

Implantación

ISO/IEC 27701

Descubra la mejor manera de implantar un sistema de gestión ISO/IEC 27001 y cómo podemos ayudarle

Implantación ISO/IEC 27001 >

Certificación

Certificación

ISO/IEC 27001

Obtenga una evaluación independiente y consiga la certificación de su sistema de gestión

Certificación ISO/IEC 27001 >

Próximos pasos

Tanto si está iniciando el proceso de certificación, desea transferir su certificación o simplemente

necesita barajar diferentes opciones para su negocio, comuníquese con nuestro equipo de expertos
quienes le guiarán a través del proceso.

Contactar
Transfiera su certificación a BSI

Consiga el reconocimiento internacional con la Marca de Certificación de BSI y descubra cómo nuestra
experiencia y reputación aporta un valor real a su negocio. Nos centramos en la mejora continua, así
como en mantener su sistema, mostrándole la forma de ampliar y hacer que su negocio crezca. Además,
hacemos que la transferencia de una certificación desde otro organismo de certificación resulte sencillo.

Transfiera su certificación >

Formación ISO/IEC 27001

Descubra nuestros cursos de formación ISO/IEC 27001 con BSI Training Academy

Acceder a la formación >

Recursos ISO/IEC 27001

Acceda a la documentación de ISO/IEC 27001 y descubra estudios de casos, documentos técnicos,

webinars y más.

Ver los recursos >

Contáctenos

Si hay algo en lo que le podamos ayudar, por favor, no dude en llamarnos al + +34 91 400 86 20

> Escríbanos a info.esp@bsigroup.com

> Contáctenos online

=====================================================================================
===============

Implanta y certifica tu sistema de la seguridad de la información (SGSI) para demostrar el compromiso de

tu empresa con la protección de los datos. En SGS, entendemos la importancia de salvaguardar la
integridad, disponibilidad y confidencialidad de la información bajo el control de tu organización.

¿Por qué certificar la seguridad de la información con SGS?

Mayor credibilidad: Demuestra a tus clientes y socios comerciales que tomas en serio la seguridad de la
información y que cumples con los estándares internacionales más rigurosos, a través del líder mundial
en certificación.

Reducción del riesgo: Minimiza el riesgo de fraude, pérdida y divulgación no autorizada de información
sensible, protegiendo así la reputación de tu empresa.

Demostración de integridad: Valida la integridad de tus datos y sistemas, brindando tranquilidad tanto a
tu organización como a tus clientes.

Transformación de la cultura empresarial: Al adoptar un enfoque proactivo hacia la seguridad de la

información, fomentas una cultura de protección y conciencia en todos los niveles de tu empresa.

Nuevas oportunidades de negocio: Atrae a clientes que valoran la seguridad y que buscan asociarse con
empresas certificadas, lo que te brinda ventajas competitivas y mayores oportunidades de crecimiento.

Mayor confidencialidad: Al implementar un ISMS, promoverás una mayor noción de confidencialidad en

todo el lugar de trabajo, protegiendo la información sensible de tu empresa.
Principales beneficios de la certificación ISO/IEC 27001 con SGS:

En el mundo empresarial actual, la información oportuna y precisa, las comunicaciones claras y la

confidencialidad son fundamentales. La seguridad de la información implica aprovechar
simultáneamente la interconectividad y la gestión de riesgos. SGS te ayuda a certificar tu sistema de
gestión de seguridad de la información ya sea con la norma ISO27001 y/o con el Esquema Nacional de
Seguridad. De esta forma, podrás cumplir con los requisitos necesarios para establecer, implementar,
mantener y mejorar continuamente un SGSI, adaptado a tus necesidades.

Obtén tu certificación ISO/IEC 27001Obtén tu certificación ISO/IEC 27001Política de privacidad online de

SGS. *

Términos y Condiciones

Condiciones de Uso

Política de cookies

Privacidad

© SGS Société Générale de Surveillance SA. (2023)

Preferencias de cookies

===============================================================================
NORMA ISO 27001

https://normaiso27001.es/

NORMA ISO 27001

Haga AQUI su presupuesto Online ¡en 1 minuto!

ISO 27001 todo sobre la norma

¿Qué es ISO 27001?

ISO 27001 punto por punto

Revisiones de la norma ISO 27001

Guía paso a paso para implantar ISO 27001

Controles de Seguridad ISO 27002 punto por punto

QUE ES ISO 27001

UNA EXPLICACIÓN SENCILLA DE LOS PRINCIPALES ASPECTOS DE LA NORMA ISO 27001

ISO 27001 es una norma desarrollada por ISO (organización internacional de Normalización) con el
propósito de ayudar a gestionar la Seguridad de la Información en una empresa.

La nomenclatura exacta de la Norma actual es ISO/IEC 27001 que es la revisión de la norma en su

primera versión que fue publicada en el año 2005 como una adaptación de ISO de la norma británica BS
7799-2

En este apartado tenemos más información sobre las revisiones ISO 27001

¿A QUIÉN LE INTERESA IMPLEMENTAR LA NORMA ISO 27001?

El certificado ISO 27001 le interesa a cualquier tipo de empresa sin importar su tamaño y actividad. El
factor clave para decidir sobre la implantación de un sistema de gestión de la seguridad de la
información radica en la importancia que los activos de información tienen dentro de una organización
como elementos imprescindibles para la obtención de sus objetivos.

Actualmente a nivel mundial la norma ISO 27001 es la norma de referencia para certificar la seguridad
de la información en las organizaciones. De hecho actualmente en España contamos con cerca de 800
empresas certificadas de un total de más de 33.000 certificados a nivel mundial

Infografía Numero de Certificados ISO 27001 en el mundo

QUÉ ES UN SGSI

La implementación de un sistema de Gestión para la seguridad de la información es la parte central de la

norma ISO IEC 27001

DEFINICION DE SGSI Según ISO 27001:2013

Un sistema de gestión para la Seguridad de la información se compone de una serie de procesos para
implementar, mantener y mejorar de forma continua la seguridad de la información tomando como base
los riesgos que afectan a la seguridad de la información en una empresa u organización

¿QUÉ SIGNIFICA LA IMPLANTACIÓN DE UN SGSI EN UNA EMPRESA?

Implantar un SGSI en una empresa supone:

La adopción de procesos formales

La definición de responsabilidades de cara a la seguridad de la información

Establecimiento de políticas, planes y procedimientos para la seguridad de la información

Conservar y mantener información documentada como respaldo

¿POR QUÉ IMPLANTAR UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN?

Abordar la seguridad de la información en una organización mediante un sistema de gestión nos aporta
varias ventajas que podemos enumerar:

1 MEJORA CONTINUA
Gestionar la seguridad de la información supone establecer procesos específicos para la gestión que nos
ayuden a:

Desarrollar una cultura de la seguridad en una empresa

Implantar de forma gradual el control de la seguridad de la información

Garantizar el crecimiento y la mejora continua de la Seguridad de la información

2 AJUSTARSE A LAS NECESIDADES DE CADA EMPRESA

Un sistema de gestión promueve el establecimiento de procesos de análisis de riesgos para la seguridad

basados en la situación propia de cada organización y en la adopción de medidas adecuadas dentro de
las posibilidades de cada empresa.

Esto significa que un sistema de Gestión de la seguridad de la información lejos de complicar la gestión
de la propia organización es una ayuda y una buena herramienta para integrar de forma gradual la
adopción de criterios para mejorar la seguridad de la información dentro de la toma de decisiones en
una empresa

3 ESTABLECER CONTROLES ADECUADOS PARA LA SEGURIDAD DE LA INFORMACIÓN

Los controles para la seguridad de la información que se establezcan mediante la implantación de un

sistema de gestión SGSI vendrán determinados por un análisis científico que permita evaluar cómo
afectan a las necesidades de cada empresa las amenazas y riesgos de la seguridad de la información.
Cada actividad y entorno en el que se desarrolla una actividad así como el tamaño y dimensión de cada
organización determinara los controles adecuados para cada organización

Un sistema de Gestión SGSI basado en ISO 27001 también nos permitirá beneficiarnos de la adopción de
las mejores prácticas del mercado y de la industria en todo el mundo para la seguridad de la información

4 INTEGRACIÓN DE SISTEMAS DE GESTIÓN

Un punto no menos importante es la integración del SGSI dentro de la gestión de la propia empresa. Para
ello ISO ha realizado en los últimos años un importante esfuerzo para incorporar una única estructura en
los sistemas de gestión basándose en el ANEXO SL.

Así nos encontramos que desde su última versión ISO 27001:2013 la norma sobre la seguridad de la
información comparte la misma estructura que las normas sobre la gestión de la Calidad ISO 9001 o
Gestión del Medio ambiente ISO 14001, lo que facilita la integración de distintos sistemas de gestión en
una organización

Tipo de procesos

En un sistema de gestión de la seguridad de la información nos encontraremos con dos tipos de procesos

1 Procesos de Gestión:

Propios del sistema de gestión básicamente enfocada a conseguir la revisión y mejora continua del
sistema y que serán comunes a los procesos de gestión de calidad, medioambiente etc.

2 Procesos sobre la seguridad de la información

Procesos propios de la seguridad de la información que se integraran dentro de los procesos propios de
cada actividad empresarial en conjunto con las demás dimensiones como la calidad o el medioambiente

ESTRUCTURA NORMATIVA ISO 27001

Para alcanzar el objetivo de implantar un sistema de gestión de la seguridad de la información la norma

ISO 27001 cuenta con dos cuerpos normativos

ISO 27001 Requisitos para un sistema de Gestión (SGSI)

ISO 27002 Guía de buenas prácticas para la implantación de un SGSI

ISO 27001 es la norma Certificable y que contiene los requisitos para implantar un sistema de Seguridad
de la información.

ISO 27002 se trata mas bien de una guía que nos proporciona los posibles controles o instrumentos de
control previamente pensados y diseñados específicamente para abordar los problemas o peligros para
la seguridad de la información. Los peligros para la seguridad de la información han de ser identificados
durante un proceso de evaluación de riesgos formal, previsto en los requisitos de la norma ISO 27001.
ISO 27001 PUNTO POR PUNTO

INTRODUCCION

Como aspectos generales podemos decir que esta norma es aplicable a todo tipo de organizaciones
donde la información es un activo del que dependen los objetivos y resultados de una organización.

En principio podremos pensar que las empresas del Sector TI serian las únicas interesadas en la
implantación de sistemas de Gestión de la seguridad de la información, sin embargo la información es un
activo cada vez más importante en cualquier tipo de actividad por lo que podemos afirmar que gestionar
la seguridad de la información es una necesidad cada vez más importante dentro de cualquier sector de
actividad empresarial

Actualmente es de reseñar el crecimiento de los certificados en ISO 27001 en sectores como, en el

Sector servicios, transporte y logística, salud, financiero en general y el sector de educación.

Flexibilidad

Otro aspecto interesante y común a las normas ISO es la aplicabilidad a todo tipo y tamaño de empresas.
La norma en sus requisitos no nos condiciona a cómo debemos cumplir con los requisitos de hecho no
nos condiciona a cumplir los requisitos de una determinada forma

Cada organización deberá encontrar la mejor forma de cumplir con los requisitos de la norma
adaptándose a sus necesidades particulares.

ISO 27001 -1. OBJETO Y CAMPO DE APLICACIÓN. DEFINIENDO EL ALCANCE DEL SGSI

En este capítulo la norma nos da unas indicaciones de la aplicabilidad de la norma ISO 27001 y de cómo
usarla.

De este capítulo podemos sacar como una de las principales conclusiones que la norma 27001 no solo es
aplicable por cualquier tamaño de empresas sino que además podemos concluir que las pequeñas y
medianas empresa tienen en esta normativa una herramienta a su alcance para obtener mayores
beneficios si cabe que las grandes empresas que ya cuentan con herramientas de gestión y que para las
pequeñas y medianas empresas les pueden resultar menos accesibles y costosos.
ISO 27001 pone al alcance de toda la gestión de la seguridad de la información y además a través de la
certificación independiente ofrece la posibilidad a las pequeñas y medianas empresas de competir con
empresas de mayor tamaño que pueden contar con sus propias herramientas de gestión.

ISO 27001 Objeto y Campo de Aplicación - Definiendo el Alcance del SGSI

ISO 27001 -2. REFERENCIAS NORMATIVAS

En este apartado se hace referencia a la norma ISO/IEC 27000 donde se nos ofrece una visión genérica
sobre los sistemas de Gestión de la Seguridad de la Información (SGSI) y donde se nos habla entre otras
cosas sobre la metodología base PDCA de todos los sistemas de Gestión

El ciclo PDCA de mejora continua, si bien en la versión 27001:2013 no se cita tan explícitamente como en
versiones anteriores de la norma, constituye el marco fundamental sobre el que está construido el
sistema de gestión SGSI.

Como diferencia fundamental con la versión anterior ISO 27001:2005, la revisión 27001:2013 no
establece como referencia obligatoria el anexo 27002, por lo que se dejan únicamente los términos y
definiciones como referencia normativa. Esto significa que se pueden tomar otras guías de controles de
la seguridad de la información distintas a las que propone el anexo en una clara señal para adaptar la
implantación de la norma a todo tipo de sectores.

ISO 27001 Referencias Normativas

3. TÉRMINOS Y DEFINICIONES

Con la finalidad de contar con una sola guía de términos y definiciones que sea consistente, dentro de la
norma ISO 27001 se establecen las definiciones sobre el vocabulario fundamental referente a la
seguridad de la Información que va a ser utilizado posteriormente en los requisitos de la norma.

En la actual versión de la norma ISO 27001:2013 los términos y definiciones se encuentran referenciados
en la sección 3 “Fundamento y vocabulario” de la norma ISO 27001:2013 donde se hace referencia a los
términos y definiciones dados en el documento ISO 27000

Términos y definiciones ISO 27001

4. CONTEXTO DE LA ORGANIZACIÓN
Conocer la organización y su contexto se plantea como un requisito de partida para poder establecer un
punto de referencia en la aplicación del sistema de gestión de la seguridad de la información

Se trata de que los objetivos en la seguridad de la información tengan en cuenta los propios objetivos del
negocio de cada organización

Objetivos Seguridad de la información EN LINEA con los objetivos del negocio

El conocimiento de la organización se basa en la definición todas aquellas cuestiones externas e internas

en relación a la seguridad de la información y que puedan ayudar o perjudicar a la consecución de los
objetivos de la empresa

Análisis del contexto de la Organización

5. LIDERAZGO

Los requisitos relacionados con el liderazgo se refieren al compromiso que debe ejercer la dirección de la
empresa en el proceso de implantación de un SGSI. En la revisión ISO 27001:2013 se considera como
algo fundamental la implicación constante de la dirección en la implantación de una Cultura de la
Seguridad en cada organización.

El compromiso de la dirección se verifica con la aportación de los recursos tanto humanos como
materiales para la consecución de los objetivos en la seguridad de la información

Además, dentro de las responsabilidades de la dirección se encuentran:

Elaborar una política de seguridad y establecer los objetivos de la seguridad de la información

Comunicar los objetivos a toda la organización con el objeto de involucrar a todos los empleados con los
objetivos de la seguridad de la información Definir las áreas de responsabilidad y los roles
correspondientes a la seguridad de la información

Responsabilizarse del seguimiento en las oportunidades de mejora y en la consecución de los objetivos

de la seguridad de la información con el objetivo de favorecer y conseguir la MEJORA CONTINUA

El objetivo principal de la dirección es conseguir implantar una cultura de la seguridad dentro de su

organización
La Cultura de Seguridad consiste básicamente en conseguir la colaboración activa de toda la organización
en la Seguridad de la información

Liderazgo en ISO 27001

6. PLANIFICACIÓN

Una vez identificadas las necesidades y expectativas de las partes interesadas tal como nos indica el
punto 4 del contexto de la organización, deberemos establecer un plan definir los riesgos que debemos
tratar y las actividades a realizar para mitigar o evitar dichos riesgos

Para ello deberemos

0.- Identificar las necesidades y expectativas de las partes interesadas

1.- Análisis de riesgos y oportunidades

Definir metodología de análisis de riesgos

Identificar activos de información

Análisis de riesgos ( Identificación de amenazas y vulnerabilidades de la seguridad de la información)

2.- Evaluación de riesgos (análisis de impacto o cálculo del riesgo)

3.- Plan de tratamiento de riesgos

Criterios de asignación y tratamiento de riesgos

Selección de controles

Declaración de aplicabilidad (controles necesarios y no aplicables)

Plan de Gestión de Riesgos

Planificación en ISO 27001

7. SOPORTE

En este apartado la norma nos prescribe determinar los recursos necesarios para implementar los planes
que hemos realizado en el apartado anterior 6. Planificación, siempre teniendo en cuenta el compromiso
de la dirección en proveer los recursos necesarios
Por tanto deberemos tener en cuenta

La gestión de los recursos.

La competencia y concienciación del personal

La comunicación y concienciación de todas las de todas las partes interesadas, incluyendo proveedores
externos

Los requisitos de documentación como evidencia del cumplimiento de los requisitos de la norma

Soporte en ISO 27001

8. OPERACIÓN

Este es el capítulo donde ponemos en marcha las medidas para la seguridad de la información que
hemos definido en los capítulos anteriores en concreto

4. El contexto de la organización (identificación de intereses de las partes)

6. Planificación (Plan de tratamiento de riesgos)

En este capítulo los requisitos estarán orientados al seguimiento y supervisión de los planes de
tratamiento de riesgos y su integración en los procesos

Operación en ISO 27001

9. EVALUACIÓN DEL DESEMPEÑO

Como parte fundamental de cualquier sistema de Gestión deberemos evaluar el desempeño de las
acciones emprendidas.

Para ello se cuenta con las siguientes herramientas:

Auditorías internas de Seguridad de la información

Proceso de revisión por parte de la dirección

Evaluación del desempeño en ISO 27001

10. MEJORA
La mejora del sistema de gestión de la seguridad de la información nos refiere a la actualización continua
del sistema de gestión

Esto incluye la revisión permanente para encontrar oportunidades de mejora aprendiendo por un lado
de los errores cometidos.

ACCIONES CORRECTIVAS

En este apartado tenemos los requisitos para el tratamiento de las No Conformidades como herramienta
para la mejora continua además de las ya vistas como la Auditoria Interna y la revisión por la dirección

Mejora en ISO 27001

REVISIONES DE LA NORMA ISO 27001

Actualmente la versión de la norma ISO/IEC 27001 es la norma en su versión 2013. Veamos de forma
resumida los distintos cambios que ha sufrido la norma

ISO 27001:2005 primera edición de la norma

REVISIÓN ISO 27001:2013

La revisión de la norma en 2013 introduce como principales cambios:

Mayor énfasis en la gestión de riesgos

Como punto fundamental la norma ISO 27001:2013 implica una nueva forma de hacer el análisis de
aplicabilidad de los controles basados en el análisis de riesgos.

La declaración de aplicabilidad en ISO 27001:2013 es una consecuencia del análisis de riesgos en ISO
27001:2013
Flexibiliza la elección de metodologías de análisis de riesgos

La identificación de activos pasa a segundo plano en el análisis de riesgos por lo que la norma menciona
solamente la necesidad de “identificar riesgos” que afecten a la seguridad de la información en alguna
de sus dimensiones (confidencialidad, integridad y disponibilidad de la información)

En este sentido deja abierta la posibilidad de utilizar otras opciones para el análisis de riesgos siguiendo
las recomendaciones de la norma ISO 31000 sobre la gestión de riesgos.

Nuevo enfoque en la Selección de Controles de Seguridad

La selección de controles puede realizarse en una primera fase seleccionando los controles que se
consideren adecuados con el tipo de actividad sin tener en cuenta un marco de referencia concreto
como los incluidos en el ANEXO A

Permite la utilización de sistemas de mejora continua distintos del ciclo PDCA

Introduce la nueva estructura de alto nivel según el Anexo SL por lo que se facilita la integración con
otras normas ISO

Simplifica la estructura documental manteniendo únicamente como obligatoria la “Declaración de

aplicabilidad”

Se introducen nuevos requisitos

Se revisan requisitos y modifican algunos controles en la nueva versión

REVISIÓN ISO 27001:2017

En 2017 se han introducido algunas aportaciones o más bien correcciones a la norma ISO 27001:2013.
Veamos en qué consisten:

Activos de información

Se sustituye el término “activos asociados a la información” por “la información y otros activos asociados
a la información”
Con esto se quiere precisar que el objeto de un inventario de activos es la información y sus activos
asociados, en lugar de establecer solamente como requisito el tener un inventario de activos asociados a
la información.

Se elimina la Cláusula 6.1.3 y el Anexo A, control 8.1 sobre la responsabilidad en el uso de los activos de
información en toda la cadena de uso:

Clausula eliminada

8.1.3 Uso aceptable de los activos Guía de implementación

Los empleados y usuarios externos que usan o tienen acceso a los activos de la organización deben
conocer los requisitos de seguridad de la información de los activos de la organización asociados con las
instalaciones y recursos de procesamiento de información e información.

ACLARANDO DUDAS SOBRE ISO 27001:2017

En 2017 se ha producido una revisión menor de la norma por lo que no se requiere que las empresas
deban adaptarse a los cambios introducidos y los certificados siguen emitiendo con la versión ISO
27001:2013

GUÍA DE IMPLEMENTACIÓN ISO 27001 PASO A PASO

Para empresas que están en la fase de análisis de su proyecto de implementación ISO 27001,
probablemente les sea útil una guía explicada desde cero para implementar su SGSI de la forma más fácil
posible.

Aunque de primeras no hay una manera fácil de afrontar la implementación de un SGSI que cumpla con
todos los requisitos de ISO 27001, sin embargo, con esta guía tratamos de hacer su trabajo más fácil:

Aquí les dejamos de forma gratuita los enlaces a todos los

PASOS NECESARIOS PARA IMPLEMENTAR ISO 27001:

FASE 1 AUDITORIA INICIAL ISO 27001 GAP ANALYSIS

FASE 2 ANÁLISIS DEL CONTEXTO DE LA ORGANIZACIÓN Y DETERMINACIÓN DEL ALCANCE

FASE 3 ELABORACIÓN DE LA POLÍTICA. OBJETIVOS DEL SGSI

FASE 4 PLANIFICACIÓN DEL SGSI

FASE 5 DOCUMENTACION DEL SGSI

FASE 6 IMPLEMENTANDO UN SGSI

FASE 7 COMUNICACIÓN Y SENSIBILIZACIÓN SGSI

FASE 8 AUDITORIA INTERNA SEGÚN ISO 27001

FASE 9 REVISIÓN POR LA DIRECCIÓN SEGÚN ISO 27001

FASE 10 EL PROCESO DE CERTIFICACIÓN ISO 27001

ISO 27002

La norma ISO 27002 hay que entenderla como un inventario de buenas prácticas para la seguridad de la
Información desarrollado con la experiencia de la implantación de controles para la seguridad de la
información aceptadas por las empresas y organizaciones más importantes del mundo.

Por tanto la norma 27002 se propone como una guía para implantar los controles y medidas de
seguridad. Esta guía debe ser utilizada a modos de CHEK LIST de forma que se realice una selección de
controles aplicables como resultado de un análisis o evaluación de riesgos que determinara no solo que
controles aplicamos si no en que medida o con que recursos.

ESTRUCTURA DE LA NORMA ISO 27002

La norma contiene 114 controles agrupados en 14 capítulos cada uno subdividido en áreas de
seguridad. Por otro lado se consideran categorías u objetivos de control dentro de los cuales se sitúan los
controles asociados a estos objetivos:

Estructura ISO 27002

Estructura ISO 27002

A5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A7 SEGURIDAD RELATIVA A LOS RECURSOS

A8 GESTION DE ACTIVOS

A9 CONTROL DE ACCESO

A10 CRIPTOGRAFIA

A11 SEGURIDAD FISICA Y DEL ENTORNO

A12 SEGURIDAD DE LAS OPERACIONES

A13 SEGURIDAD EN LAS COMUNICACIONES

A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN

A15 RELACION CON PROVEEDORES

A16 GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

A18 CUMPLIMIENTO

=====================================================================================
=================

NORMA ISO 27001

ISO/IEC 27001

ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar
internacional en octubre de 2005 por la International Organization for Standardization y por la
International Electrotechnical Commission y la última versión fue publicada en octubre de 202

**

AdobeStock_303353858
En la actualidad, la protección de la información es clave para todas las organizaciones a nivel mundial,
ya que existe una enorme cantidad de datos sensibles que deben, por supuesto, ser protegidos. La
norma ISO 27001 es una de las normas más importantes con respecto a la seguridad de la información
de tu empresa.

En este artículo, aprenderás todo lo que necesitas saber sobre la norma ISO 27001, su relación con la
seguridad de la información, cómo implementarla, conseguir su certificación y las ventajas que ofrecen
tanto a la seguridad de tu empresa como a su éxito en el mercado.

SRB

¿Qué es la norma ISO 27001?

La norma ISO 27001 es un estándar internacional que especifica los requisitos para establecer,
implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información
(SGSI).

Esta norma proporciona un marco que permite a las organizaciones gestionar la seguridad de sus activos
de información, incluyendo datos financieros, propiedad intelectual, detalles del empleado o
información confiada por terceros.

¿Qué es la Organización Internacional de Normalización (ISO)?

La Organización Internacional de Normalización (ISO) es una entidad independiente y no gubernamental

que desarrolla y publica estándares internacionales. Con sede en Ginebra, Suiza, la ISO es la organización
más grande del mundo para el desarrollo de estándares internacionales y ha publicado más de 22,000
estándares desde su creación en 1947. La norma ISO 27001 es uno de estos estándares y fue publicada
por primera vez en 2005.

¿Cómo implementar la norma ISO 27001?

La implementación de la norma ISO 27001 implica varios pasos:

Definición de la política de seguridad: Se establece el marco de seguridad de la organización y se definen
los objetivos de seguridad.

Evaluación de riesgos: Se identifican y evalúan los riesgos a los que está expuesta la información de la
organización.

Implementación de controles de seguridad: Se seleccionan e implementan controles para mitigar los

riesgos identificados.

Revisión y mejora continua: Se revisa regularmente el SGSI para garantizar su efectividad y se realizan
mejoras según sea necesario.

4 Ventajas de implementar la norma ISO 27001

Las ventajas de implementar la norma ISO 27001 incluyen:

Protección de la información contra amenazas de seguridad. Cumplimiento con las leyes y regulaciones
de seguridad de la información. Mejora de la reputación de la organización. Reducción de los costos
asociados con los incidentes de seguridad de la información.

¿Cómo conseguir la certificación ISO 27001?

La certificación ISO 27001 se consigue después de una auditoría realizada por un organismo de
certificación independiente. La auditoría verifica que la organización cumple con todos los requisitos de
la norma ISO 27001. Una vez obtenida, la certificación demuestra que la organización tiene un SGSI que
sigue las mejores prácticas internacionales.

**

NORMA 27002

====================================================================

EL RETASO EN TECNOLOGÍA CON LOS PAÍSES A LOS QUE OS GUSTA COMPARAROS ES EVIDENTE, ES ALGO
TANGIBLE, NO ES UNA OPINIÓN, ES UN DATO REAL.

NO ES POSIBLE ESTAR A LA ALTURA DE LOS PAÍSES EUROPEOS EN TECNOLOGÍA Y CIENCIA, SI NUESTROS

MEJORES INGENIEROS, TÉCNICOS, CIENTÍFICOS SE MARCHAN DEL PAÍS, Y ASÍ PODEMOS ENCONTRAR EN
ISRAEL, EEUU, UK, ALEMANIA, etc... A LOS ESPAÑOLES QUE EN SU PAÍS FUERON RECHAZADOS,
DENOSTADOS, HUMILLADOS, NO ES POSIBLE QUE NEGÁNDOLE EL TRABAJO A LOS MEJORES,
PAGÁNDOLES RIDÍCULOS SUELDOS, QUEREMOS COMPETIR CON ELLOS, NO ES POSIBLE COMPETIR EN
AGRICULTURA, POR PRECIOS, NO ES POSIBLE COMPETIR EN INDUSTRIA CON LA ÍNFIMA CALIDAD DE
EMPRESARISO QUE TENEMOS, DE CARGOS POLÍTICOS, DE OPOSICIONES QUE LEJOS DE EXIGIR CALIDAD,
EXIGEN CUALQUIER OTRO CONOCIMIENTO DE LEYES, etc.. NO ES POSIBLE DESTACAR, NI IGUALAR EN
NADA DIFERENE AL TURISMO, POR NUESTRA TEMPERATURA, NUESTRA CALIDAD EN TURISMO DESDE EL
PLAN DEL SEÑOR FRAGA, ES LO ÚNICO EXITOSO, Y QUIZÁS EN TURISMO DESTACAMOS, PERO PARA NO
SER UN PAÍS DE CAMAREROS, LIMPIADORES, NO ES POSIBLE QUE UN PAÍS QUE SE EN ORGULLECE DE
SUS EQUIPOS DE FUTBOL Y MALTRATA A SUS PREMIOS NÓBELES, ESCRITORES, CIENTÍFICOS,
INVESTIGADORES, PUEDA COMPETIR EN NADA DIFERENTE A ESE TURISMO QUE SE DESARROLLÓ EN LOS
SESENTA. NO ES POSIBLE QUE CUANDO UN PAÍS LLAMA VIEJOS A LAS PERSONAS EXPERTAS,
MENOSPRECIA LA SABIDURÍA DE SUS EXPERTOS, Y PREMIA LA IMAGEN PERSONAL MÁS QUE ESA
SABIDURÍA, ESTOY SEGURO QUE SI EINSTEIN HUBIESE NACIDO EN ESPÑA, HUBIESE SIDO EJECUTADO, O
INGRESADO EN UN MANICOMIO, SI KEPPLER, SI