UNIVERSIDAD PÚBLICA DE EL ALTO

AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS

CARRERA: CONTADURIA PUBLICA

International Standarization Organization

(ISO 27001)

Introducción a la norma ISO 27001

La norma ISO 27001 es un estándar internacional que establece los requisitos
para la implementación, mantenimiento y mejora continua de un Sistema de
Gestión de la Seguridad de la Información (SGSI). Este sistema se utiliza para
proteger la confidencialidad, integridad y disponibilidad de la información. La
norma proporciona un marco para la seguridad de la información que ayuda a las
organizaciones a identificar y gestionar sus riesgos de seguridad de la información
de manera efectiva.

Aplicabilidad de la norma ISO 27001

La norma ISO 27001 se aplica a cualquier tipo de organización, incluyendo
pequeñas y medianas empresas, grandes corporaciones, instituciones
gubernamentales y sin fines de lucro. También se puede aplicar en cualquier
sector, incluyendo tecnología de la información, finanzas, salud y servicios
públicos.
Proceso de implementación de la norma ISO 27001

El proceso de implementación de la norma ISO 27001 se divide en cuatro fases:

planificación, implementación, evaluación y mejora continua.

o Fase de planificación

Durante la fase de planificación, la organización identifica sus requisitos de

seguridad de la información y establece un plan para implementar el SGSI.

o Fase de implementación

La fase de implementación incluye la creación de políticas, procedimientos y

controles para proteger la información.

1
 UNIVERSIDAD PUBLICA DE EL ALTO
AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS
CARRERA: CONTADURIA PUBLICA

o Fase de evaluación

Durante la fase de evaluación, la organización evalúa la eficacia de su SGSI e

identifica áreas de mejora.

o Fase de mejora continua

La fase de mejora continua implica la identificación y aplicación de mejoras a los

procesos y controles del SGSI.

Una vez implementado y certificado, el SGSI debe ser revisado y actualizado

regularmente para garantizar su continuo cumplimiento con los requisitos de
seguridad de la información. La certificación ISO 27001, aunque no es obligatoria,
también puede mejorar la imagen de la marca y la confianza de los clientes, ya
que demuestra que la organización está comprometida con la protección de la
información y esto lo acredita una entidad certificadora independiente.

Además, la norma ISO 27001 se puede integrar con otros estándares y marcos de
referencia para lograr una gestión más completa y efectiva de la seguridad de la
información en una organización. Entre los que destacan ISO 31000 para llevar a
cabo el análisis y gestión de riesgos, o ISO 22301 para la gestión de la
continuidad de negocio, entre otros. No obstante, es importante destacar que,
aunque la norma ISO 27001 se puede integrar con estos estándares y marcos de
referencia, cada uno tiene su propio enfoque y objetivos específicos.
Estructura de la norma ISO 27001

1. Introducción: Proporciona una descripción general de la norma, su

propósito y su relación con otras normas y marcos de seguridad de la
información.
2. Alcance: Describe el alcance de la norma y establece los límites de la
aplicación del Sistema de Gestión de Seguridad de la Información (SGSI)
de una organización. Esto incluye la identificación de los activos de

2
 UNIVERSIDAD PÚBLICA DE EL ALTO
AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS
CARRERA: CONTADURIA PUBLICA

información que están cubiertos por la norma y las actividades, procesos y

ubicaciones geográficas incluidas en el alcance.
3. Referencias normativas: Hace referencia a otras normas, leyes y
regulaciones relevantes que deben ser consideradas en el diseño,
implementación y mantenimiento del SGSI. Esto incluye normas
internacionales de seguridad de la información como la ISO 27000, leyes de
privacidad y protección de datos, regulaciones específicas de la industria y
otros marcos de seguridad de la información.
4. Términos y definiciones: Proporciona definiciones claras de los términos y
conceptos clave utilizados en la norma para garantizar una comprensión
común de los requisitos.
5. Contexto de la organización: Describe los requisitos para comprender el
contexto de la organización, incluyendo su estructura, objetivos,
necesidades y expectativas de las partes interesadas. Esto ayuda a la
organización a identificar y evaluar los riesgos y oportunidades relevantes
para su SGSI.
6. Liderazgo: Establece los requisitos de liderazgo y compromiso de la alta
dirección para el SGSI. Esto incluye la asignación de roles y
responsabilidades, la comunicación de la política de seguridad de la
información y el establecimiento de objetivos y planes de mejora continua.
7. Planificación: Describe los requisitos para planificar el SGSI, incluyendo la
identificación y evaluación de riesgos y oportunidades, la definición de
objetivos y requisitos de seguridad, la selección de controles de seguridad y
la elaboración de planes de implementación.
8. Soporte: Establece los requisitos para los recursos necesarios para
implementar y mantener el SGSI, incluyendo el personal, la infraestructura y
los recursos financieros. También incluye requisitos para la competencia, la
toma de conciencia y la comunicación en la organización.
9. Operación: Describe los requisitos para la implementación y operación del
SGSI, incluyendo la gestión de riesgos, la seguridad de la información, el
control de acceso, la continuidad del negocio y otros controles de

3
 UNIVERSIDAD PUBLICA DE EL ALTO
AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS
CARRERA: CONTADURIA PUBLICA

seguridad. También se incluyen requisitos para la documentación y el

control de los registros.
10. Evaluación del desempeño: Establece los requisitos para monitorizar,
medir, analizar y evaluar el desempeño del SGSI. Esto incluye la realización
de auditorías internas, revisiones de gestión y evaluaciones de la
conformidad con la norma. También se incluyen requisitos para la mejora
continua del SGSI.
Esta estructura se basa en un enfoque de ciclo de vida continuo, que permite a la
organización mejorar continuamente su seguridad de la información y cumplir con
los requisitos aplicables.

Controles de la norma ISO 27001

La norma ISO/IEC 27002 establece un marco de gestión de seguridad de la

información que incluye una serie de controles norma iso 27001 para garantizar la
confidencialidad, integridad y disponibilidad de la información. Algunos de los
controles incluidos en la norma son:

1. Acceso controlado:Restricción del acceso a los recursos de información

solamente a las personas autorizadas.

2. Clasificación de la información:Identificación y clasificación de la información

crítica para determinar el nivel de protección necesario.

3. Seguridad física:Medidas de seguridad para proteger los recursos de

información físicos, como dispositivos de almacenamiento, edificios y áreas.

4. Control de dispositivos:Medidas para proteger y controlar los dispositivos que

acceden a la información.

5. Criptografía:Uso de técnicas de cifrado para proteger la información en reposo

y en tránsito.

4
 UNIVERSIDAD PÚBLICA DE EL ALTO
AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS
CARRERA: CONTADURIA PUBLICA

6. Copias de seguridad y recuperación:Planificación y realización de copias de

seguridad regulares para asegurar la disponibilidad de la información en caso de
un desastre.

7. Monitoreo y auditoría:Monitoreo y revisión periódica de los sistemas y

registros de seguridad para detectar posibles vulnerabilidades y actividades
sospechosas.

Estos son solo algunos de los controles incluidos en la norma ISO/IEC 27002, que
abarca un enfoque integral para la gestión de la seguridad de la información. La
versión de la norma de 2022 se compone de 93 controles dispuestos en 4 grandes
grupos de controles (Organizacionales, Personal, Físicos y Tecnológicos).
Ventajas de implantar la norma 27001 con un software
Implantar la norma ISO/IEC 27001 con un software puede ofrecer varias ventajas,
tales como
o Automatización
o Eficiencia
o Integración
o Rapidez en la identificación de problemas
o Reportes y análisis
En definitiva, la implantación de la norma ISO 27001 a través de un software
puede mejorar significativamente la eficiencia, la eficacia y la transparencia de la
gestión de la seguridad de la información, lo que a su vez puede ayudar a mitigar
los riesgos y proteger la información crítica.
Novedades de la norma ISO 27001:2022

Las principales novedades de la norma ISO 27001:2022 comprenden el PDCA de

la norma y los controles de seguridad:

 Contexto de la Organización, se refleja la nueva necesidad de mapeo de

los procesos de la empresa contra el propio PDCA y los controles.
 Liderazgo, se ha añadido una mención explícita a la necesidad de
comunicar los roles y responsabilidades dentro de la organización.

5
 UNIVERSIDAD PUBLICA DE EL ALTO
AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS
CARRERA: CONTADURIA PUBLICA

 Planificación, se han establecido dos cambios relevantes relacionados con

los objetivos de seguridad de la información y la planificación de los
cambios.
 Operación, se indica que los procesos contratados por externos, sus
productos y servicios también deben ser controlados.
 Controles de seguridad: El Anexo A de la norma recoge dichos controles
y ha sido objeto de una reorganización completa, reduciendo la cantidad de
controles de 114 a 93.
 Los controles se dividen ahora en cuatro grandes grupos: Controles
Organizacionales, Controles al Personal, Controles Físicos y
Controles Tecnológicos.
 Se han añadido 11 nuevos controles, mientras que otros 57 controles
han sido fusionados en 24.
 Algunos de los controles existentes han sufrido modificaciones que
requerirán cambios de adaptación en las organizaciones.
¿Cómo puede nuestro software GRC GlobalSuite y el módulo de ISO 27001
ayudar a tu organización?

Si tu organización busca implementar y mantener un Sistema de Gestión de la

Seguridad de la Información (SGSI) en cumplimiento con la norma ISO 27001,
nuestro software de ISO 27001 es la solución ideal para ti. Con nuestras
soluciones podrás:

Automatizar el proceso de implementación de la norma

Nuestro software GRC te permitirá planificar, implementar, evaluar y mejorar

continuamente tu SGSI en cumplimiento con la norma ISO 27001 de manera
automatizada, lo que reducirá el tiempo y los costes que implicaría realizar estas
actividades manualmente.

Centralizar y simplificar la gestión de la seguridad de la información

6
 UNIVERSIDAD PÚBLICA DE EL ALTO
AREA: CIENCIAS ECONOMICAS, FINANCIERAS Y ADMINISTRATIVAS
CARRERA: CONTADURIA PUBLICA

Con la plataforma podrás centralizar y simplificar la gestión de la seguridad de la

información en tu organización, ya que podrás tener un único punto de acceso
para la gestión de tus políticas, procedimientos y controles de seguridad.

Garantizar el cumplimiento continuo de la norma

El software también te permitirá mantener tu SGSI actualizado y en cumplimiento

con los requisitos de la norma ISO 27001 de manera constante, lo que garantizará
que tu organización esté preparada para afrontar los riesgos y amenazas actuales
y futuros.

Conclusión:

La norma ISO27001:2013 es una herramienta efectiva para manejar un Sistema

de Gestión de Seguridad de la Información en cualquier organización, sin importar
a que se dedique esta, debido a que es un tema de extrema trascendencia y
permanente actualidad. Es de uso global y además es certificable.

Bibliografía:

https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-
sirve/

https://www.isotools.us/normas/riesgos-y-seguridad/iso-27001/