UNIVERSIDAD MAYOR REAL Y PONTIFICIA DE

SAN FRANCISCO XAVIER DE CHUQUISACA

FACULTAD DE TECNOLOGÍA
INGENIERÍA DE SISTEMAS

ISO 27001
UNIVERSITARIOS:
ORTIZ RAMOS DELMA JAEL
MOLLO FLORES EDGAR
TICONA LIMA EDWIN
DOCENTE: ING. ANGEL BASPINEIRO
 NORMA ISO 27001
Una introducción simple a los aspectos básicos
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización
(ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más
reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La
primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o
pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y
proporciona una metodología para implementar la gestión de la seguridad de la información en una
organización. También permite que una empresa sea certificada; esto significa que una entidad de
certificación independiente confirma que la seguridad de la información ha sido implementada en esa
organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y
muchas empresas han certificado su cumplimiento; aquí se puede ver la cantidad de certificados en los
últimos años:

¿Cómo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la
información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que
podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es
necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del
riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar
dónde están los riesgos y luego tratarlos sistemáticamente.
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo
la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos).
Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero
utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001
estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de
documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos,
personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos estos elementos dentro del
sistema de gestión de seguridad de la información (SGSI).
Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por
ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos, de
los recursos humanos, con la protección jurídica, la protección física, etc.
¿Por qué ISO 27001 es importante para su empresa?
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de
esta norma para la seguridad de la información:
Cumplir con los requerimientos legales – cada vez hay más y más leyes, normativas y
requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es
que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le
proporciona una metodología perfecta para cumplir con todos ellos.
Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es
posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa
mantener en forma segura su información.
Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de
seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su
empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho
menor que el ahorro que obtendrá.
Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para
hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los
empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO
27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite
reducir el tiempo perdido de sus empleados.
¿Dónde interviene la gestión de seguridad de la información en una empresa?
Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa,
hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio
y con la tecnología de la información:
¿Cómo es realmente ISO 27001?
ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y
no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo
que implica que una organización debe implementar todos sus requerimientos si quiere cumplir con
la norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden
en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la
Normalización, los títulos de las secciones de ISO 27001 son los mismos que en ISO 22301:2012,
en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente
estas normas.

 Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras

normas de gestión.
 Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
 Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como
estándar en el que se proporcionan términos y definiciones.
 Sección 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC
27000.
 Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación
del ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas,
también define las partes interesadas, sus requisitos y el alcance del SGSI.
 Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y
define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades
y el contenido de la política de alto nivel sobre seguridad de la información.
 Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo
PDCA y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos,
la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los
objetivos de seguridad de la información.
  Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y
define los requerimientos sobre disponibilidad de recursos, competencias, concienciación,
comunicación y control de documentos y registros.
 Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo
PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como
también los controles y demás procesos necesarios para cumplir los objetivos de seguridad
de la información.
 Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del
ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación,
auditoría interna y revisión por parte de la dirección.
 Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y
define los requerimientos para el tratamiento de no conformidades, correcciones, medidas
correctivas y mejora continua.
 Annexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad)
distribuidos en 14 secciones (secciones A.5 a A.18).
El Anexo A de la Norma ISO 27001 es probablemente el anexo más famoso de todas las normas
ISO – ello porque provee una herramienta esencial para la gestión de la seguridad: una lista de los
controles (o medidas) de seguridad que pueden ser usados para mejorar la seguridad de la
información.
¿Cuántos controles hay en ISO 27001?
Hay 114 controles listados en ISO 27001 – sería una violación de los derechos de propiedad
intelectual si señalo todos los controles acá, por lo que déjenme explicarles cómo se estructuran los
controles, y señalarles el propósito de cada una de las 14 secciones del Anexo A:

 5 Políticas de seguridad de la Información – controles acerca de cómo deben ser escritas

y revisadas las políticas
 6 Organización de la seguridad de la información – controles acerca de cómo se asignan
las responsabilidades; también incluye los controles para los dispositivos móviles y el
teletrabajo
 7 Seguridad de los Recursos Humanos – controles antes, durante y después de emplear
 8 Gestión de recursos – controles acerca de lo relacionado con el inventario de recursos y
su uso aceptable, también la clasificación de la información y la gestión de los medios de
almacenamiento
 9 Control de Acceso – controles para las políticas de control de acceso, gestión de acceso
de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del
usuario
 10 Criptografía – controles relacionados con la gestión de encripción y claves
 11 Seguridad física y ambiental – controles que definen áreas seguras, controles de
entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de
escritorio y pantalla despejadas, etc.
 12 Seguridad Operacional – muchos de los controles relacionados con la gestión de la
producción en TI: gestión de cambios, gestión de capacidad, malware, respaldo, bitácoras,
espejos, instalación, vulnerabilidades, etc.
  13 Seguridad de las Comunicaciones – controles relacionados con la seguridad de redes,
segregación, servicios de redes, transferencia de información, mensajería, etc.
 14 Adquisición, desarrollo y mantenimiento de Sistemas – controles que definen los
requerimientos de seguridad y la seguridad en los procesos de desarrollo y soporte
 15 Relaciones con los proveedores – controles acerca de qué incluir en los contratos, y
cómo hacer el seguimiento a los proveedores
 16 Gestión de Incidentes en Seguridad de la Información – controles para reportar los
eventos y debilidades, definir responsabilidades, procedimientos de respuesta, y recolección
de evidencias
 17 Aspectos de Seguridad de la Información de la gestión de la continuidad del
negocio – controles que requieren la planificación de la continuidad del negocio,
procedimientos, verificación y revisión, y redundancia de TI
 18 Cumplimiento – controles que requieren la identificación de las leyes y regulaciones
aplicables, protección de la propiedad intelectual, protección de datos personales, y
revisiones de la seguridad de la información
Uno de los grandes mitos acerca de ISO 27001 es que está enfocada en la TI – como se puede ver
en las secciones mostradas, esto no es totalmente cierto: no se puede negar que la TI es importante,
pero la TI por sí sola no puede proteger la información. La seguridad física, la protección legal, la
gestión de recursos humanos, los aspectos organizacionales – todos ellos juntos son requeridos para
asegurar la información.
La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de
seguridad del que se pueden seleccionar – de los 114 controles que se señalan en el Anexo A, usted
puede seleccionar los que apliquen en su compañía.
¿Cómo implementar ISO 27001?
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas
Fases del sistema de gestión
La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un
sistema de gestión de seguridad de la información está formado por cuatro fases que se deben
implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad,
integridad y disponibilidad de la información. Las fases son las siguientes:
o La Fase de planificación: esta fase sirve para planificar la organización básica y establecer
los objetivos de la seguridad de la información y para escoger los controles adecuados de
seguridad (la norma contiene un catálogo de 133 posibles controles).
o La Fase de implementación: esta fase implica la realización de todo lo planificado en la
fase anterior.
o La Fase de revisión: el objetivo de esta fase es monitorear el funcionamiento del SGSI
mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos.
o La Fase de mantenimiento y mejora: el objetivo de esta fase es mejorar todos los
incumplimientos detectados en la fase anterior.
El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas
cíclicamente para mantener la eficacia del SGSI.
Documentación obligatoria
ISO 27001 requiere que se confeccione la siguiente documentación:

 Alcance del SGSI (punto 4.3)

 Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
 Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
 Declaración de aplicabilidad (punto 6.1.3 d)
 Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
 Informe de evaluación de riesgos (punto 8.2)
 Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
 Inventario de activos (punto A.8.1.1)
 Uso aceptable de los activos (punto A.8.1.3)
 Política de control de acceso (punto A.9.1.1)
 Procedimientos operativos para gestión de TI (punto A.12.1.1)
 Principios de ingeniería para sistema seguro (punto A.14.2.5)
 Política de seguridad para proveedores (punto A.15.1.1)
 Procedimiento para gestión de incidentes (punto A.16.1.5)
 Procedimientos para continuidad del negocio (punto A.17.1.2)
 Requisitos legales, normativos y contractuales (punto A.18.1.1)
Y estos son los registros obligatorios:

 Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)

 Monitoreo y resultados de medición (punto 9.1)
 Programa de auditoría interna (punto 9.2)
 Resultados de auditorias internas (punto 9.2)
 Resultados de la revisión por parte de la dirección (punto 9.3)
 Resultados de medidas correctivas (punto 10.1)
  Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos
A.12.4.1 y A.12.4.3)
Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad
adicionales si lo considera necesario.
¿Cómo obtener la certificación?
Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las personas. Las
organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos
obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el
certificado.
Para obtener la certificación como organización, se debe implementar la norma tal como se explicó
en las secciones anteriores y luego se debe aprobar la auditoría que realiza la entidad de
certificación. La auditoría de certificación se realiza siguiendo estos pasos:

 1° paso de la auditoría (revisión de documentación): los auditores revisarán toda la

documentación.
 2° paso de la auditoría (auditoría principal): los auditores realizarán la auditoría in situ
para comprobar si todas las actividades de una empresa cumplen con ISO 27001 y con la
documentación del SGSI.
Visitas de supervisión: después de que se emitió el certificado, y durante su vigencia de 3 años, los
auditores verificarán si la empresa mantiene su SGSI.
Las personas pueden asistir a diversos cursos para obtener certificados. Los más populares son:

 Curso de Auditor Líder en ISO 27001: este curso de 5 días le enseñará cómo realizar
auditorías de certificación y está orientado a auditores y consultores.
 Curso de Implementador Principal de ISO 27001: este curso de 5 días le enseñará cómo
implementar la norma y está orientado a profesionales y consultores en seguridad de la
información.
 Curso de auditor interno en ISO 27001: este curso de 2 ó 3 días le enseñará los conceptos
básicos de la norma y cómo llevar a cabo una auditoría interna; está orientado a
principiantes en este tema y a auditores internos.
Revisiones 2005 y 2013 de ISO 27001
Como se mencionó anteriormente, la norma ISO 27001 fue publicada por primera vez en 2005 y
luego fue revisada en 2013; por lo tanto, la versión válida actual es la ISO/IEC 27001:2013.
Los cambios más importantes de la revisión 2013 están relacionados con la estructura de la parte
principal de la norma, las partes interesadas, los objetivos, el monitoreo y la medición; asimismo, el
Anexo A ha disminuido la cantidad de controles (de 133 a 114) y ha incrementado la cantidad de
secciones (de 11 a 14). En la revisión 2013 se eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados procedimientos.
Consulte también la Infografía: Nueva revisión 2013 de ISO 27001 ¿Qué ha cambiado?
Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en su conjunto, su
filosofía principal sigue centrándose en la evaluación y tratamiento de riesgos y se mantienen las
mismas fases del ciclo de Planificación, Implementación, Revisión y Mantenimiento (PDCA, por
sus siglas en inglés). Esta nueva revisión de la norma es más fácil de leer y comprender y es mucho
más sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc.
Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer la transición a la nueva
revisión 2013 hasta septiembre de 2015 si quieren mantener la validez de su certificación.
Otras normas relacionadas con seguridad de la información
ISO/IEC 27002 proporciona directrices para la implementación de los controles indicados en ISO
27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los riesgos de
seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona más información sobre
cómo implementar esos controles. A la ISO 27002 anteriormente se la conocía como ISO/IEC
17799 y surgió de la norma británica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la información; se
acopla bien con ISO 27001 ya que explica cómo determinar si el SGSI ha alcanzado los objetivos.
ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información. Es
un muy buen complemento para ISO 27001 ya que brinda más información sobre cómo llevar a
cabo la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la
implementación. ISO 27005 ha surgido de la norma británica BS 7799-3.
ISO 22301 define los requerimientos para los sistemas de gestión de continuidad del negocio, se
adapta muy bien con ISO 27001 porque el punto A.17 de esta última requiere la implementación de
la continuidad del negocio, aunque no proporciona demasiada información.
ISO 9001 define los requerimientos para los sistemas de gestión de calidad. Aunque a primera vista
la gestión de calidad y la gestión de seguridad de la información no tienen mucho en común, lo
cierto es que aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001 son los
mismos: control de documentos, auditoría interna, revisión por parte de la dirección, medidas
correctivas, definición de objetivos y gestión de competencias. Esto quiere decir que si una empresa
ha implementado ISO 9001 le resultará mucho más sencillo implementar ISO 27001.