ISO 27001 FOUNDATION

(I27001F)
1. Introducción y Antecedentes
 Introducción

• La Norma ha sido diseñada para “proporcionar los requisitos para establecer,

implementar, mantener y mejorar continuamente un sistema de gestión de
seguridad de la información”.
• La Norma “puede ser utilizada por partes internas y externas para evaluar la
capacidad de la organización para cumplir con sus propios requisitos de
seguridad de la información”.
• La Norma también incluye “requisitos para la evaluación y el tratamiento de los
riesgos en la seguridad de la información a la medida de las necesidades de
la organización. Los requisitos establecidos en esta Norma Internacional son
genéricos y se pretende que sean aplicables a todas las organizaciones, sin
importar su tipo, tamaño o naturaleza”.

3
 Historia de la Norma

4
ISO 27000 Familia de
Normas
 ISO/IEC 27001:2013
Estructura

La nueva estructura refleja la estructura de otras normas nuevas de gestión, tales como
ISO 9000, ISO 20000 e ISO 22301, que ayudan a las organizaciones a cumplir con
varias normas.

Los Anexos B y C del 27001:2005 han sido eliminados.

Hay una sección adicional sobre la subcontratación.

El ciclo PDCA de mejora continua ya no es central. La evaluación del riesgo más

importante del contexto organizacional cambió.

Hay 114 controles en 14 grupos en comparación con los 133 controles en 11 grupos en
la versión de 2005.

6
 ISO 27000 Familia de
Normas

La familia de normas de SGSI cuenta con normas para:

a) Definir los requisitos para un SGSI y para los organismos que certifiquen tales
sistemas.
b) Abordar la evaluación de la conformidad para el SGSI.
c) Proporcionar apoyo directo, orientación detallada y/o interpretación para el proceso
general a establecer, implementar, mantener y mejorar un SGSI.
d) Abordar directrices sectoriales específicas para el SGSI.

7
2. Conceptos Claves
¿Qué es un SGSI?
 Información y Principios
Generales
Un SGSI (Sistema de Gestión de la Seguridad de la Información) consiste en un
conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son
gestionados de manera colectiva por una organización.

Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorizar,

revisar, mantener y mejorar la seguridad de la información de una organización para
alcanzar los objetivos de negocio.

Este enfoque está basado en una apreciación del riesgo y en los niveles de aceptación
del riesgo de la organización diseñados para tratar y gestionar con eficacia los riesgos.

El análisis de los requisitos para la protección de los activos de la información y la

aplicación de controles adecuados para garantizar la protección de estos activos de
información, según sea necesario, contribuye a la exitosa implementación de un SGSI.

10
 Información y Principios
Generales
Los siguientes principios fundamentales también pueden contribuir a la implementación
exitosa de un SGSI:

a) La conciencia de la necesidad de seguridad de la información.

b) La asignación de responsabilidades en seguridad de la información.
c) La incorporación del compromiso de la Dirección y los intereses de las partes
interesadas.
d) La mejora de los valores sociales.
e) Apreciaciones de riesgo para determinar los controles adecuados para alcanzar niveles
aceptables de riesgo.
f) La seguridad incorporada como un elemento esencial de los sistemas y redes de
información.
g) La prevención y detección activas de incidentes de seguridad de la información.
h) El garantizar una aproximación exhaustiva a la gestión de la seguridad de la
información.
i) La evaluación continua de la seguridad de la información y la realización de
modificaciones cuando corresponda.
11
 La Seguridad de la Información

La seguridad de la información incluye tres

dimensiones principales: la
confidencialidad, la disponibilidad y la
integridad. Con el objetivo de garantizar el
éxito empresarial sostenido, así como su
continuidad y minimizar impactos, la
seguridad de la información conlleva la
aplicación y la gestión de medidas de
seguridad adecuadas, que implican la
consideración de una amplia gama de
amenazas.

12
 La Seguridad de la Información

La seguridad de la información se consigue mediante la implementación de un conjunto de

controles aplicables, seleccionados a través del proceso de gestión de riesgo que se haya
elegido y gestionado por medio de un SGSI, empleando políticas, procesos, procedimientos,
estructuras organizativas, software y hardware para proteger los activos de información
identificados.

Estos controles necesitan ser especificados, implementados, monitorizados, revisados y

mejorados cuando sea necesario, para garantizar que la seguridad y los objetivos de negocio
y de seguridad específicos se cumplan. Estos controles de seguridad de la información
deben integrarse de forma coherente con los procesos de negocio de una organización.

13
 El Sistema de Gestión
Un sistema de gestión utiliza un marco de recursos para alcanzar los objetos de una
organización. El sistema de gestión incluye la estructura organizativa, las políticas, la
planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.

En términos de seguridad de la información, un sistema de gestión permite a una organización:

a) Satisfacer los requisitos de seguridad de los clientes y otras partes interesadas.

b) Mejorar los planes y actividades de la organización.
c) Cumplir con los objetivos de seguridad de información de la organización.
d) Cumplir con las regulaciones, leyes y obligaciones sectoriales.
e) Gestionar los activos de información de una manera organizada que facilita la mejora
continua y la adaptación a las actuales metas de la organización y a su entorno.

14
 Factores Críticos de Éxito
de una SGSI
Un gran número de factores son fundamentales para la implementación exitosa de un SGSI que
permite a una organización cumplir con sus objetivos de negocio. Algunos ejemplos de factores
críticos de éxito son:

a) Que la política, los objetivos y actividades de seguridad de la información estén alineadas con
los objetivos.
b) Un enfoque y un marco para el diseño, ejecución, seguimiento, mantenimiento y mejora de
la seguridad de la información en consonancia de la cultura de la organización.
c) El apoyo visible y el compromiso de todos los niveles de la Dirección, especialmente de alta
Dirección.
d) El conocimiento y entendimiento de los requisitos de protección de los activos de
información obtenido mediante la aplicación de la gestión del riesgo de la seguridad de la
información (véase la Norma ISO/IEC 27005).

15
 Factores Críticos de Éxito
de una SGSI

e) Un programa efectivo de concienciación, formación y educación sobre seguridad de la

información, informando a todos los empleados y otras partes pertinentes de sus
obligaciones en seguridad de la información establecidas en las políticas de seguridad de la
información, normas, etc., y motivarlos a actuar en consecuencia.
f) Un proceso eficaz de gestión de incidentes de seguridad de la información.
g) Un enfoque efectivo de gestión de la continuidad del negocio.
h) Un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de
la información y para proporcionar sugerencias de mejora.

Un SGSI aumenta la probabilidad de que una organización alcance de forma coherente los
factores críticos de éxito para proteger sus activos de información.

16
 Beneficios de la Familia de
Normas SGSI
Los beneficios de implementar un SGSI producirán principalmente una reducción de los riesgos
asociados a la seguridad de la información (es decir, reduciendo la probabilidad y/o el impacto
causado por los incidentes de seguridad de la información). De una forma más específica los
beneficios que para una organización produce la adopción exitosa de la familia de normas SGSI
son:

a) Un apoyo al proceso de especificar, implementar, operar y mantener un SGSI, global,

eficiente en costes, integrado y alineado que satisfaga las necesidades de la organización en
diferentes operaciones y lugares.
b) Una ayuda para la dirección en la estructura de su enfoque hacia la gestión de la seguridad
de la información, en el contexto de la gestión y gobierno del riesgo corporativo, incluidas las
acciones de educación y formación en una gestión holística de la seguridad de la información
a los propietarios del negocio y del sistema.

17
 Beneficios de la Familia de
Normas SGSI

c) La promoción de buenas prácticas de seguridad de la información, aceptadas a nivel mundial,

de una manera no preceptiva, dando a las organizaciones la flexibilidad para adoptar y
mejorar los controles aplicables, respetando sus circunstancias específicas y para
mantenerlos de cara a futuros cambios internos y externos.
d) Disponer de un lenguaje común y una base conceptual para la seguridad de la información,
haciendo más fácil confiar a los socios de un negocio que esté en conforme a un SGSI,
especialmente si requieren la certificación conforme a la Norma ISO/IEC 27001 por un
organismo de certificación acreditado.
e) Aumentar la confianza en la organización por las partes interesadas.
f) Satisfacer necesidades y expectativas sociales.
g) Una más eficaz gestión desde un punto de vista económico de las inversiones en seguridad
de la información.

18
Estructura de la Norma
 Estructura de ISO/IEC 27001

0.Introducción
1.Alcance
2.Referencias normativas
3.Términos y definiciones

4. Contexto de la organización
5.Liderazgo
6.Planificación
7.Soporte
8.Operación
9.Evaluación del desempeño
10.Mejora

20
Estructura de ISO/IEC 27001
Ciclo Deming PHVA Y SGSI
4. Contexto de la Organización
 4.1 Comprensión de la Organización y
de su Contexto

La organización debe determinar las

cuestiones externas e internas que son
pertinentes para su propósito y que afectan a
su capacidad para lograr los resultados
previstos de su sistema de gestión de la
seguridad de la información.

NOTA: La determinación de estas cuestiones se

refiere al establecimiento del contexto externo
e interno de la organización considerando el
apartado 5.3 de la Norma ISO 31000.

24
 4.1 Comprensión de la Organización y
de su Contexto

• Contexto Externo: Es el entorno externo en el que la organización busca alcanzar sus

objetivos.

• Contexto Interno: Es el entorno interno, en el que la organización busca alcanzar sus

objetivos.

25
 4.2 Comprensión de las Necesidades y
Expectativas de las Partes Interesadas
La organización debe determinar:

a) Las partes interesadas que son relevantes

para el sistema de gestión de la seguridad de la
información.

b) Los requisitos de estas partes interesadas

que son relevantes para la seguridad de la
información.

NOTA: Los requisitos de las partes interesadas

pueden incluir requisitos legales y regulatorios,
así como obligaciones contractuales.

26
 4.2 Comprensión de las Necesidades y
Expectativas de las Partes Interesadas
Parte Interesada es una persona u organización que puede afectar, verse afectada o percibirse
como afectada por una decisión o actividad.

Algunos ejemplos de partes interesadas:

27
 4.3 Determinación del Alcance del
Sistema de Gestión de la Seguridad de
la Información

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la

seguridad de la información para establecer su alcance.

Cuando se determina este alcance, la organización debe considerar:

a) Las cuestiones externas e internas referidas en el apartado 4.1.

b) Los requisitos referidos en el apartado 4.2.
c) Las interfaces y dependencias entre las actividades realizadas por la organización y las que
se llevan a cabo por otras organizaciones.

El alcance debe estar disponible como información documentada.

28
 4.3 Determinación del Alcance del
Sistema de Gestión de la Seguridad de
la Información

29
 4.3 Determinación del Alcance del
Sistema de Gestión de la Seguridad de
la Información

Para el alcance es relevante tener en cuenta los siguientes aspectos:

• Los resultados del contexto.

• Los resultados del análisis de brechas.
• Los Sistemas de Gestión existentes en la organización.
• Las áreas de aplicación que dan valor a las partes interesadas.
• Los requisitos legales, regulatorios, contractuales.
• Los objetivos de la Organización.
• Los límites organizacionales.
• Los límites de los sistemas de información.
• Los límites físicos.

30
 4.3 Determinación del Alcance del
Sistema de Gestión de la Seguridad de
la Información

Un documento de definición de alcance podría considerar lo siguiente:

• Definición del Alcance.

• Características de la organización.
• Procesos de la organización.
• Funciones y responsabilidades.
• Activos de Información.
• Sistemas de Información.
• Ubicación geográfica.

31
 4.4 Sistema de Gestión de la
Seguridad de la Información

La organización debe establecer, implementar,

mantener y mejorar de manera continua un
sistema de gestión de la seguridad de la
información, de acuerdo con los requisitos de
esta norma internacional.

32
5. Liderazgo
 5.1 Liderazgo y Compromiso

La alta dirección debe demostrar liderazgo y compromiso con

respecto al sistema de gestión de la seguridad de la información:

a) Asegurando que se establecen la política y los objetivos de

seguridad de la información y que estos sean compatibles con la
dirección estratégica de la organización.
b) Asegurando la integración de los requisitos del sistema de gestión
de la seguridad de la información en los procesos de la
organización.
c) Asegurando que los recursos necesarios para el sistema de gestión
de la seguridad de la información estén disponibles.

34
 5.1 Liderazgo y Compromiso

d) Comunicando la importancia de una gestión de la seguridad de la información eficaz y

conforme con los requisitos del sistema de gestión de la seguridad de la información.
e) Asegurando que el sistema de gestión de la seguridad de la información consigue los
resultados previstos.
f) Dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de gestión de
la seguridad de la información.
g) Promoviendo la mejora continua.
h) Apoyando otros roles pertinentes de la dirección, para demostrar su liderazgo aplicado a
sus áreas de responsabilidad.

35
 5.1 Liderazgo y Compromiso

El compromiso de la Alta Dirección puede demostrarse por ejemplo por:

• Estableciendo, Aprobando y Apoyando el cumplimiento una Política de Seguridad de la

información.
• Aprobar y Asegurar los recursos necesarios para el SGSI.
• Asegurando que el SGSI tiene definidos los roles, las responsabilidades y las autoridades.
• Comunicando la importancia de la Seguridad de la Información.
• Motivando a los colaboradores para contribuir a la eficacia del SGSI.
• Fortaleciendo la rendición de cuentas por resultados de gestión de seguridad de la
información.
• Estableciendo las condiciones adecuadas para el involucramiento de los colaboradores en el
logro de los objetivos de seguridad de información de la organización.

36
 5.2 Política

La alta dirección debe establecer una política de seguridad de la información que:

a) Sea adecuada al propósito de la organización.

b) Incluya objetivos de seguridad de la información (véase 6.2) o proporcione un marco de
referencia para el establecimiento de los objetivos de seguridad de la información.
c) Incluya el compromiso de cumplir con los requisitos aplicables a la seguridad de la
información.
d) Incluya el compromiso de mejora continua del sistema de gestión de la seguridad de la
información.

37
 5.2 Política

La política de seguridad de la información

debe:

e) Estar disponible como información

documentada.
f) Comunicarse dentro de la organización.
g) Estar disponible para las partes interesadas,
según sea apropiado.

38
 5.2 Política

Algunos métodos de comunicación interna de la Política de Seguridad de la Información pueden

ser los siguientes:

• Inducción y entrenamiento mediante charlas.

• Envío por correo electrónico.
• Entrega de manera personal.
• Publicación en tablones de anuncios (Declaración de Política de Seguridad de la Información).
• Publicación en la Intranet corporativa.

No obstante estos métodos pueden usarse de manera individual o de forma combinada como
parte de un Programa permanente de Sensibilización en Seguridad de la Información y se debe
asegurar que los colaboradores comprendan y entiendan la Política de Seguridad de la
Información; estos resultados pueden medirse mediante la realización de evaluaciones periódicas
y así generar registros con los resultados obtenidos y determinar mejoras.

39
5.2 Política
 5.3 Roles, Responsabilidades y
Autoridades en la Organización
La alta dirección debe asegurarse que las responsabilidades y autoridades para los roles
pertinentes a la seguridad de la información se asignen y comuniquen dentro de la organización.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) Asegurarse que el sistema de gestión de la seguridad de la información es conforme con los

requisitos de esta norma internacional.
b) Informar a la alta dirección sobre el comportamiento del sistema de gestión de la seguridad
de la información.
NOTA: La alta dirección también puede asignar responsabilidades y autoridades para informar
sobre el comportamiento del sistema de gestión de la seguridad de la información dentro de la
organización.

41
 5.3 Roles, Responsabilidades y
Autoridades en la Organización
En esta fase de ha de definir claramente los Roles, Responsabilidades y Autoridades sobre Seguridad
de la Información para ello es necesario designar al responsable de seguridad de la Información ,
establecer las autoridades que pueden ser mediante la designación de un Comité SGSI.

Las buenas practicas nos indican que este Comité SGSI puede estar conformado por representantes
las áreas de la relevantes de la organización como por ejemplo Alta Dirección, Administración y
Finanzas, Recursos Humanos, Tecnología de Información y Legal.

Asimismo se deben establecer las responsabilidades para el Oficial de Seguridad de la Información, el

Comité SGSI (de ser el caso) y los Colaboradores de la Organización.

Es importante que tener en cuenta que el responsable de Seguridad de la Información no debe

depender jerárquicamente del área de TI porque se debe tener independencia y permitir
adecuadamente se cumpla con la segregación de funciones.

42
6. Planificación
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

6.1.1 Consideraciones Generales

Al planificar el sistema de gestión de la seguridad de la información, la organización debe
considerar las cuestiones a las que se hace referencia en el apartado 4.1 y los requisitos
incluidos en el apartado 4.2, y determinar los riesgos y oportunidades que es necesario tratar
con el fin de:

a) Asegurar que el sistema de gestión de la seguridad de la información pueda conseguir sus

resultados previstos.
b) Prevenir o reducir efectos indeseados.
c) Lograr la mejora continua.

44
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

La organización debe planificar:

d) Las acciones para tratar estos riesgos y oportunidades.

e) La manera de:
1. Integrar e implementar las acciones en los procesos del sistema de gestión de la
seguridad de la información.
2. Evaluar la eficacia de estas acciones.

45
 6.1 Acciones para Tratar los
Riesgos y Oportunidades
6.1.2 Apreciación de Riesgos de Seguridad de la Información
La organización debe definir y aplicar un proceso de apreciación de riesgos de seguridad de la información que:

a) Establezca y mantenga criterios sobre riesgos de seguridad de la información incluyendo:

1. Los criterios de aceptación de los riesgos.
2. Los criterios para llevar a cabo las apreciaciones de los riesgos de seguridad de la información.
b) Asegure que las sucesivas apreciaciones de los riesgos de seguridad de la información generan resultados
consistentes, válidos y comparables.
c) Identifique los riesgos de seguridad de la información:
1. Llevando a cabo el proceso de apreciación de riesgos de seguridad de la información para identificar los
riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información en el
alcance del sistema de gestión de la seguridad de la información.
2. Identificando a los dueños de los riesgos.

Propietario del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.

46
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

47
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

Riesgo: Efecto de la incertidumbre en los objetivos.

Un efecto es una desviación de lo esperado; puede ser positivo, negativo o ambos, y puede abordar,
crear o resultar en oportunidades y amenazas.

Positivo : Ganancia Potencial / Negativo: Suceso perjudicial.

Los objetivos pueden tener diferentes aspectos y categorías, y pueden aplicarse a diferentes niveles.

El riesgo se expresa generalmente en términos de fuentes de riesgo, eventos potenciales, sus

consecuencias y su probabilidad.

48
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

Nivel de riesgo: Magnitud de un riesgo expresada en términos de la combinación de las consecuencias

y de su probabilidad.

Los riesgos de seguridad de la información son los asociados a la pérdida de la confidencialidad,

integridad y disponibilidad para la información.

49
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

50
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

Propietario del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para
gestionar un riesgo.

Amenaza: Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un

sistema o a una organización.

Vulnerabilidad: Debilidad de un activo o control que puede ser aprovechado por una o más
amenazas.

Control: medida que modifica el riesgo.

51
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

d) Analice los riesgos de seguridad de la información:

1. Valorando las posibles consecuencias que resultarían si los riesgos identificados en el
punto 6.1.2 c) 1) llegasen a materializarse.
2. Valorando de forma realista la probabilidad de ocurrencia de los riesgos identificados
en el punto 6.1.2 c) 1).
3. Determinando los niveles de riesgo.
e) Evalúe los riesgos de seguridad de la información:
1. Comparando los resultados del análisis de riesgos con los criterios de riesgo
establecidos en el punto 6.1.2 a).
2. Priorizando el tratamiento de los riesgos analizados.

La organización debe conservar información documentada sobre el proceso de apreciación de

riesgos de seguridad de la información.

52
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

6.1.3 Tratamiento de los Riesgos de Seguridad de la Información

La organización debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad

de la información para:

a) Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la

información teniendo en cuenta los resultados de la apreciación de riesgos.
b) Determinar todos los controles que sean necesarios para implementar la(s) opción(es)
elegida(s) de tratamiento de riesgos de seguridad de la información.

NOTA: Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir
de cualquier fuente.

53
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

c) Comparar los controles determinados en el punto 6.1.3 b) con los del anexo A y comprobar
que no se han omitido controles necesarios.

NOTA 1: El anexo A contiene una amplia lista de objetivos de control y controles. Se indica a los
usuarios de esta norma internacional que se dirijan al anexo A para asegurar que no se pasan
por alto controles necesarios.

NOTA 2: Los objetivos de control se incluyen implícitamente en los controles seleccionados. Los
objetivos de control y los controles enumerados en el anexo A no son exhaustivos, por lo que
pueden ser necesarios objetivos de control y controles adicionales.

54
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

d) Elaborar una “Declaración de Aplicabilidad”

que contenga:

• Los controles necesarios [véase 6.1.3 b)

y c)].
• La justificación de las inclusiones.
• Si los controles necesarios están
implementados o no.
• La justificación de las exclusiones de
cualquiera de los controles del anexo A.

55
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

e) Formular un plan de tratamiento de riesgos de seguridad de la información.

f) Obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información y la

aceptación de los riesgos residuales de seguridad de la información por parte de los dueños de
los riesgos.

La organización debe conservar información documentada sobre el proceso de tratamiento de

riesgos de seguridad de la información.

NOTA: La apreciación de los riesgos de seguridad de la información y el proceso de tratamiento

recogido en esta norma internacional se alinean con los principios y directrices genéricas
definidos en la Norma ISO 31000.

56
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

Declaración de Aplicabilidad (Statement of Applicability –SoA)

57
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

Estrategias

Mitigar: Implemento controles para reducir el

nivel de riesgo.

Asumir: Se asume o retiene el riesgo en su nivel

actual.

Transferir: Comparto el riesgo con partes

externas (compra de un seguro o tercerización
de servicios).

Eliminar: Cancelo la actividad que genera el

riesgo.

58
 Plan de Tratamiento
de Riesgos

59
 6.1 Acciones para Tratar los
Riesgos y Oportunidades

Riesgo residual: riesgo remanente después del tratamiento del riesgo.

60
 Estructura de la Norma ISO 31000
Gestión de Riesgos – Directrices
• Este documento proporciona directrices para
gestionar el riesgo al que se enfrentan las
organizaciones. La aplicación de estas
directrices puede adaptarse a cualquier
organización y a su contexto.

• Este documento proporciona un enfoque

común para gestionar cualquier tipo de riesgo y
no es específico de una industria o un sector.

• Este documento puede utilizarse a lo largo de la

vida de la organización y puede aplicarse a
cualquier actividad, incluyendo la toma de
decisiones a todos los niveles.

61
 6.2 Objetivos de Seguridad de
la Información y Planificación
para su Consecución
La organización debe establecer los objetivos de seguridad de la información en las funciones y
niveles pertinentes.

Los objetivos de seguridad de la información deben:

a) Ser coherentes con la política de seguridad de la información.

b) Ser medibles (si es posible).
c) Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de
la apreciación y del tratamiento de los riesgos.
d) Ser comunicados.
e) Ser actualizados, según sea apropiado.

62
 6.2 Objetivos de Seguridad de
la Información y Planificación
para su Consecución
La organización debe conservar información documentada sobre los objetivos de seguridad de la
información.

Cuando se hace la planificación para la consecución de los objetivos de seguridad de la

información, la organización debe determinar:

f) Lo que se va a hacer.
g) Qué recursos se requerirán.
h) Quién será responsable.
i) Cuándo se finalizará.
j) Cómo se evaluarán los resultados.

63
 6.2 Objetivos de Seguridad de
la Información y Planificación
para su Consecución

Ejemplo de un objetivo del SGSI para el Servicio de Seguridad Gestionada por un Security
Operation Center (SOC).

64
7. Soporte
 7.1 Recursos

La organización debe determinar y proporcionar los

recursos necesarios para el establecimiento,
implementación, mantenimiento y mejora continua
del sistema de gestión de la seguridad de la
información.

66
 7.2 Competencia

La organización debe:
a) Determinar la competencia necesaria de las personas que realizan, bajo su control, un
trabajo que afecta a su desempeño en seguridad de la información.
b) Asegurarse que estas personas sean competentes, basándose en la educación, formación o
experiencia adecuadas.
c) Cuando sea aplicable, poner en marcha acciones para adquirir la competencia necesaria y
evaluar la eficacia de las acciones llevadas a cabo.
d) Conservar la información documentada apropiada, como evidencia de la competencia.

NOTA: Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la
reasignación de las personas empleadas actualmente; o la contratación de personas
competentes.

67
 7.3 Concienciación

Las personas que trabajan bajo el control de la

organización deben ser conscientes de:

a) La política de la seguridad de la información.

b) Su contribución a la eficacia del sistema de
gestión de la seguridad de la información,
incluyendo los beneficios de una mejora del
desempeño en seguridad de la información.
c) Las implicaciones de no cumplir con los
requisitos del sistema de gestión de la
seguridad de la información.

68
 7.4 Comunicación

La organización debe determinar la necesidad de

comunicaciones internas y externas pertinentes al
sistema de gestión de la seguridad de la
información, que incluyan:

a) El contenido de la comunicación.
b) Cuándo comunicar.
c) A quién comunicar.
d) Quién debe comunicar.
e) Los procesos por los que debe efectuarse la
comunicación.

69
 7.5 Información Documentada
7.5.1 Consideraciones Generales
El sistema de gestión de la seguridad de la información de la organización debe incluir:

a) La información documentada requerida por esta norma internacional.

b) La información documentada que la organización ha determinado que es necesaria para la
eficacia del sistema de gestión de la seguridad de la información.

NOTA: El alcance de la información documentada para un sistema de gestión de la seguridad de la

información puede ser diferente de una organización a otra, debido a:

1. El tamaño de la organización y a su tipo de actividades, procesos, productos y servicios.

2. La complejidad de los procesos y sus interacciones.
3. La competencia de las personas.

70
 7.5 Información Documentada

7.5.2 Creación y Actualización

Cuando se crea y actualiza la información documentada, la organización debe asegurarse, en la

manera que corresponda, de lo siguiente:

a) La identificación y descripción (por ejemplo, título, fecha, autor o número de referencia).

b) El formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte
(por ejemplo, papel, electrónico).
c) La revisión y aprobación con respecto a la idoneidad y adecuación.

71
 7.5 Información Documentada

7.5.3 Control de la Información Documentada

La información documentada requerida por el sistema

de gestión de la seguridad de la información y por esta
norma internacional se debe controlar para asegurarse
que:

a) Esté disponible y preparada para su uso, dónde y

cuándo se necesite.
b) Esté protegida adecuadamente (por ejemplo,
contra pérdida de la confidencialidad, uso
inadecuado, o pérdida de integridad).

72
 7.5 Información Documentada
Para el control de la información documentada, la organización debe tratar las siguientes actividades, según
sea aplicable:

c) Distribución, acceso, recuperación y uso.

d) Almacenamiento y preservación, incluida la preservación de la legibilidad.
e) Control de cambios (por ejemplo, control de versión).
f) Retención y disposición.

La información documentada de origen externo, que la organización ha determinado que es necesaria para
la planificación y operación del sistema de gestión de la seguridad de la información se debe identificar y
controlar, según sea adecuado.

NOTA: El acceso implica una decisión concerniente al permiso solamente para consultar la información
documentada, o el permiso y la autoridad para consultar y modificar la información documentada, etc.

73
 7.5 Información Documentada

74
8. Operación
 8.1 Planificación y Control
Operacional
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos de seguridad de la información y para implementar las acciones determinadas en
el apartado 6.1. La organización debe implementar también planes para alcanzar los objetivos
de seguridad de la información determinados en el apartado 6.2.

En la medida necesaria la organización debe mantener información documentada, para tener la

confianza de que los procesos se han llevado a cabo según lo planificado.

La organización debe controlar los cambios planificados y revisar las consecuencias de los
cambios no previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea
necesario.

La organización debe garantizar que los procesos contratados externamente estén controlados.

76
 8.2 Apreciación de los Riesgos de
Seguridad de la Información

La organización debe efectuar apreciaciones de

riesgos de seguridad de la información a
intervalos planificados, y cuando se propongan
o se produzcan modificaciones importantes,
teniendo en cuenta los criterios establecidos en
el punto 6.1.2 a).

La organización debe conservar información

documentada de los resultados de las
apreciaciones de riesgos de seguridad de
información.

77
 8.3 Tratamiento de los Riesgos de
Seguridad de la Información

La organización debe implementar el plan de

tratamiento de los riesgos de seguridad de la
información.

La organización debe conservar información

documentada de los resultados del
tratamiento de los riesgos de seguridad de la
información.

80
 8.3 Tratamiento de los Riesgos de
Seguridad de la Información

81
 Evaluación y Tratamiento
de Riesgos

82
9. Evaluación del Desempeño
 9.1 Seguimiento, Medición,
Análisis y Evaluación

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del

sistema de gestión de la seguridad de la información.

La organización debe determinar:

a) A qué es necesario hacer seguimiento y qué es necesario medir, incluyendo procesos y

controles de seguridad de la información.
b) Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
garantizar resultados válidos.

NOTA: Los métodos seleccionados deben producir resultados comparables y reproducibles para
ser considerados válidos.

84
 9.1 Seguimiento, Medición,
Análisis y Evaluación

c) Cuándo se deben llevar a cabo el seguimiento y la

medición.
d) Quién debe hacer el seguimiento y la medición.
e) Cuándo se deben analizar y evaluar los resultados
del seguimiento y la medición.
f) Quién debe analizar y evaluar esos resultados.

La organización debe conservar la información

documentada adecuada como evidencia de los
resultados.

85
 9.1 Seguimiento, Medición,
Análisis y Evaluación

86
 9.2 Auditoría Interna

La organización debe llevar a cabo auditorías internas a

intervalos planificados, para proporcionar información
acerca de si el sistema de gestión de la seguridad de la
información:

a) Cumple con:
1. Los requisitos propios de la organización para su
sistema de gestión de la seguridad de la información.
2. Los requisitos de esta norma internacional.
b) Está implementado y mantenido de manera eficaz.

87
 9.2 Auditoría Interna
La organización debe:

c) Planificar, establecer, implementar y mantener uno o varios programas de auditoría que

incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación, y
la elaboración de informes. Los programas de auditoría deben tener en cuenta la
importancia de los procesos involucrados y los resultados de las auditorías previas.
d) Para cada auditoría, definir sus criterios y su alcance.
e) Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y la
imparcialidad del proceso de auditoría.
f) Asegurarse de que se informa a la dirección pertinente de los resultados de las auditorías.
g) Conservar información documentada como evidencia de la implementación del programa
de auditoría y de los resultados de esta.

88
 Auditoría

Auditoría se define como el proceso sistemático, independiente y documentado para obtener

evidencia objetiva y evaluarla objetivamente para determinar en qué medida se cumplen los
criterios de auditoría.

Evidencia objetiva datos que respaldan la existencia o la verdad de algo.

La evidencia objetiva se puede obtener a través de observación, medición, prueba o por otros
medios.

La evidencia objetiva para el propósito de la auditoría generalmente consiste en registros,

declaraciones de hechos u otra información que son relevantes para los criterios de auditoría y
verificables.

89
 Auditoría

Criterios de auditoría conjunto de requisitos utilizados como referencia con respecto a los
cuales se compara la evidencia objetiva.

Si los criterios de auditoría son legales (incluidos los requisitos legales o reglamentarios), las
palabras “cumplimiento” o “incumplimiento” a menudo se utilizan en una conclusión de
auditoría

Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos

legales, obligaciones contractuales, etc.

90
 Auditoría

Alcance de auditoría se refiere al alcance y límites de una auditoría

El alcance de la auditoría generalmente incluye una descripción de las ubicaciones físicas y

virtuales, funciones, unidades organizativas, actividades y procesos, así como el período de
tiempo cubierto.

Una ubicación virtual es cuando una organización realiza un trabajo o proporciona un servicio
usando un entorno en línea que permite a las personas, independientemente de las ubicaciones
físicas, ejecutar procesos.

91
 9.3 Revisión por la Dirección

La alta dirección debe revisar el sistema de gestión de la seguridad de

la información de la organización a intervalos planificados, para
asegurarse de su conveniencia, adecuación y eficacia continua.

La revisión por la dirección debe incluir consideraciones sobre:

a) El estado de las acciones desde anteriores revisiones por la

dirección.
b) Los cambios en las cuestiones externas e internas que sean
pertinentes al sistema de gestión de la seguridad de la
información.

92
 9.3 Revisión por la Dirección

c) La información sobre el comportamiento de la

seguridad de la información, incluidas las tendencias
relativas a:
1. No conformidades y acciones correctivas.
2. Seguimiento y resultados de las
mediciones.
3. Resultados de auditoría.
4. El cumplimiento de los objetivos de
seguridad de la información.
d) Los comentarios provenientes de las partes
interesadas.

93
 9.3 Revisión por la Dirección

e) Los resultados de la apreciación de los riesgos y el estado del plan de tratamiento de riesgos.
f) Las oportunidades de mejora continua.

Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas
con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de
gestión de la seguridad de la información.

La organización debe conservar información documentada como evidencia de los resultados de

las revisiones por la dirección.

94
 9.3 Revisión por la Dirección

Las actas de Revisión por la Dirección se debe incluir estos puntos como mínimo y estar numeradas en
orden correlativo.
1) Acciones de seguimiento de los acuerdos del Acta anterior de Reunión del Comité SGSI.
2) Cambios en los asuntos externos e internos que son pertinentes al SGS.
3) Los comentarios sobre el desempeño de la seguridad de la información, incluidas tendencias en:
no conformidades y acciones correctivas.
4) Resultados del monitoreo y mediciones.
5) Resultados de auditoría.
6) Cumplimiento de los objetivos de seguridad de la información.
7) Comentarios de las partes interesadas.
8) Resultados de la evaluación de riesgo y el estado del plan de tratamiento de riesgo.
9) Oportunidades para la mejora continua.

95
10. Mejora
 10.1 No Conformidad y
Acciones Correctivas

Cuando ocurra una no conformidad, la organización debe:

a) Reaccionar ante la no conformidad, y según sea aplicable:

1. Llevar a cabo acciones para controlarla y corregirla.
2. Hacer frente a las consecuencias.
b) Evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de
que no vuelva a ocurrir, ni ocurra en otra parte, mediante:
1. La revisión de la no conformidad.
2. La determinación de las causas de la no conformidad.
3. La determinación de si existen no conformidades similares, o que potencialmente
podrían ocurrir.

97
 10.1 No Conformidad y
Acciones Correctivas
c) Implementar cualquier acción necesaria.
d) Revisar la eficacia de las acciones correctivas llevadas a cabo.
e) Si es necesario, hacer cambios al sistema de gestión de la seguridad de la información.

Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades
encontradas.

La organización debe conservar información documentada, como evidencia de:

f) La naturaleza de las no conformidades y cualquier acción posterior llevada a cabo.

g) Los resultados de cualquier acción correctiva.

98
 10.2 Mejora Continua

La organización debe mejorar de manera

continua la idoneidad, adecuación y eficacia del
sistema de gestión de la seguridad de la
información.

99
Conclusiones
 Conclusiones

La Normal ISO 27001 puede ser implementada en cualquier tipo de organización pues
proporciona una metodología para implementar un Sistema para la Gestión de la Seguridad de
la Información, permitiendo también que una empresa sea certificada según el cumplimiento de
esta norma, donde su eje central es proteger la confidencialidad, integridad y disponibilidad de
la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas
que podrían afectar la información (evaluación de riesgos) y luego definiendo lo que es
necesario hacer para evitar que estos problemas se produzcan (tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde se encuentran, para así tratarlos sistemáticamente.

101