Entender el proceso de implementación

de la Norma ISO 27001 en un SGSI

Avanzamos a través del conocimiento

Índice de contenidos
Consideraciones básicas de ISO 27001 antes de su implantación .............................................................. 2
Introducción ............................................................................................................................................... 2
Enfoque a procesos .................................................................................................................................. 2
Requisitos .................................................................................................................................................. 4
Metodología PDCA .................................................................................................................................... 5
Compatibilidad de ISO 27001 con otros sistemas de gestión ...................................................................... 8
Integración con otros sistemas .................................................................................................................. 8
Términos y definiciones ................................................................................................................................. 9
Términos y definiciones clave de la ISO 27001 ........................................................................................ 9
Creación y alcance de un SGSI .................................................................................................................. 11
Creación de un SGSI .............................................................................................................................. 11
Sistemas de información ......................................................................................................................... 12
Elementos del sistema de información ................................................................................................... 12
Ejemplo práctico: el sistema de información de RR. HH. ....................................................................... 13
Alcance de un SGSI ................................................................................................................................ 14
Los riesgos en el SGSI ............................................................................................................................ 16
Bibliografía................................................................................................................................................... 18
Enlaces ........................................................................................................................................................ 19

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

1
Consideraciones básicas de ISO 27001 antes
de su implantación
Introducción

ISO 27001 es el estándar internacional creado para “proporcionar un modelo para diseñar,
implementar, revisar y mejorar un SGSI”.

La adopción de un sistema de gestión de la seguridad de la información es una decisión estratégica, y

el Sistema de Gestión de Seguridad de la Información (SGSI) se diseña e implanta de forma específica
en cada organización.

La aplicación de la normativa de referencia requerirá como mínimo de la participación de todo el

personal de la organización, y también puede requerir de la implicación en diferente grado de las partes
interesadas, como proveedores, clientes o accionistas.

Seguridad de la información y enfoque a procesos

El Sistema de Gestión de la Seguridad de la Información se configura como un conjunto de procesos a

controlar, que constituyen el eje de la norma ISO 27001.

Enfoque a procesos

Resultados y procesos

Se puede definir un proceso como un conjunto de actividades orientadas a generar un valor

añadido a sus entradas para conseguir un resultado que satisfaga los requisitos de las partes
interesadas.

Resultados

Un resultado deseado se alcanza más eficientemente cuando las actividades y recursos

relacionados se gestionan como un proceso.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

2
 Enfoque a procesos

Toda actividad que se realice dentro de una organización, sea del tipo que sea, procesos productivos,
administrativos, comerciales o de gestión, debe ser tratada y gestionada como si fuese un proceso, y
se considera como “un enfoque a procesos”.

Por tanto, la empresa puede ser entendida como un sistema complejo formado por un conjunto de
elementos como producción, ventas, finanzas, recursos humanos, etc., en interacción entre sí y con
el exterior.

Una empresa u organización debe gestionar un gran número de procesos que de ningún modo son
independientes, sino que se encuentran todos interrelacionados de forma que, normalmente, las
salidas de unos son las entradas de otros.

Ventajas del enfoque a procesos

◼ Permite controlar de forma continua todos los procesos, tanto individuales como globales.
◼ Se reducen los costes y se acortan tiempos si los recursos se utilizan adecuadamente
◼ Proporciona mejores resultados, con una mayor consistencia y que además se pueden
predecir de forma más sencilla y fiable.
◼ Permite establecer prioridades a la hora de realizar mejoras.

En la gestión de la seguridad de la información, gracias al enfoque del proceso, los usuarios dan más
importancia a diferentes hechos:

◼ Entender los requerimientos de seguridad de la información de una organización y su

necesidad de establecer una política y unos objetivos para este fin.
◼ Poner en marcha controles para los riesgos de la seguridad de la información.
◼ Revisar la efectividad del SGSI, y buscar una mejora continua en base a una medición de
resultados.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

3
 Mapa de procesos

El mapa de procesos es la representación gráfica de la estructura de un proceso que conforma un

Sistema de Gestión.

Define la organización como un sistema de procesos interrelacionados, mostrando cómo sus

actividades están relacionadas con las partes interesadas, como los clientes y proveedores.

Requisitos

Adoptar esta visión de la actividad de una organización, implica necesariamente la realización de

diversas tareas.

Tareas Actividades

Tareas

◼ Enfocar la gestión como un proceso sobre determinadas partes de la empresa, como por
ejemplo provisión de recursos, que mejorará las actividades de la organización.
◼ Realizar una definición precisa de las actividades necesarias para lograr el resultado deseado.
◼ Establecer la jerarquía de responsabilidades, y dar indicaciones para gestionar las actividades
clave.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

4
Actividades

De esta forma, toda actividad debe tener unas características determinadas:

◼ Un objeto definido, con límites bien determinados para cada una de las etapas y para el
proceso global.
◼ Algún tipo de indicador que sea cuantificable o medible, para poder comprobar el grado de
cumplimiento de los objetivos.
◼ Designar un responsable de dicho proceso.

Metodología PDCA

Modelo PDCA Modelo PDA aplicado a procesos SGSI

Modelo PDCA

Gracias al enfoque de toda actividad como un proceso, se puede aplicar la metodología conocida
como PDCA (Plan-Do-Check-Act), que es un sistema de mejora continua.

Para poder establecer los objetivos de cada actividad, es necesario tener una
Planificar política clara de lo que se pretende con respecto al sistema de gestión, para
determinar los procesos necesarios para conseguir los resultados deseados.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

5
 Es la etapa de proceso en la que es necesario gestionar de forma adecuada
Hacer
todos los recursos de la empresa.

Todos los procesos deben ser analizados y medidos, para cumplir con los
Verificar
requisitos, la política y los objetivos de la organización.

Una vez realizado el análisis de los resultados producidos, se adoptarán las

Actuar medidas adecuadas, y se replanificará nuevamente con el fin de obtener una
mejora continua.

Modelo PDCA aplicado a procesos SG SI

ISO 27001 adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PDCA), que se puede
aplicar a todos los procesos SGSI, y que está implícito en la cláusula 0.1 de la Norma.

El SGSI debe intentar conseguir con el modelo PDCA satisfacer los requerimientos y expectativas
en seguridad de la información de las partes interesadas a través de las acciones y procesos
necesarios.

Ejemplo de requerimientos y expectativos

Ejemplo

Ejemplo de requeri mientos y expect ativos

Que las violaciones de seguridad de la información no causen daño

Requerimiento
financiero ni pérdida de imagen a la organización.

Que si ocurre un incidente serio, como el pirateo de una web, se

Expectativa
tenga a personas capacitadas para minimizar el daño.

Aplicación del modelo PDCA en el SGSI

Establecer la política, objetivos, procesos y

Contexto de la organización procedimientos del SGSI para controlar el

riesgo, y mejorar la seguridad de la
Planificar Liderazgo
información para entregar resultados
Planificación acordes con los objetivos generales de la
organización.

Operación Implementar y operar la política, objetivos,

Hacer
procesos y procedimientos SGSI.
Soporte

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

6
 Evaluar, auditar y medir la política,
objetivos, procesos y procedimientos
Chequear Evaluación del desempeño
SGSI, y realizar la revisión del sistema por
la alta dirección.

Realizar acciones correctivas como

resultado de la auditoría interna,
Actuar Mejora evaluación continua de los procesos y
controles o la revisión gerencial para la
mejora continua del SGSI.

Vídeo: Los activos de seguridad de la información

Enlace
externo

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

7
Compatibilidad de ISO 27001 con otros
sistemas de gestión
Integración con otros sistemas

Uno de los principales aciertos de ISO 27001 es que es compatible con otros sistemas de gestión.

Junto con ISO 9001 e ISO 14001, se integra con los otros estándares de gestión para dar soporte a
una implementación fuerte y consistente.

Por tanto, ISO 27001 está diseñado para satisfacer adecuadamente los requerimientos de los otros
estándares, a la vez que cumple su función.

Por ello, una organización puede implantar su SGSI cumpliendo con los requisitos de los otros sistemas
de gestión relacionados.

Visualiza el siguiente vídeo sobre la unidad

ISO 27001

Alcance

Los requerimientos que recoge ISO 27001 alcanzan a todo tipo de empresas, con independencia de
sus dimensiones o finalidad.

Todas ellas pueden, siguiendo las pautas del estándar, cualquier empresa puede implementar el SGSI
que está concebido para que pueda implantarse dentro del contexto de riesgos de las organizaciones.

El SGSI proporciona controles de seguridad que protegen los activos de información de las
empresas. Estas deben justificar la exclusión de cualquiera de los controles y asumir el riesgo que ello
conlleva.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

8
Términos y definiciones
Términos y definiciones clave de la ISO 27001

Algunos conceptos que se manejan a lo largo de la norma ISO 27001 y que deben conocerse para
implantar un SGSI:

◼ Riesgo. Toda situación que genera incertidumbre en la consecución de los objetivos

definidos por la organización.
◼ Disponibilidad. El recurso de información debe estar disponible y utilizable cuando
lo requiera una entidad autorizada.
◼ Confidencialidad. La información está disponible y no se divulga a personas,
entidades o procesos no autorizados.
◼ Integridad. La propiedad de salvaguardar la exactitud e integridad de los recursos
de información.

◼ Seguridad de información. Preservación de la confidencialidad, integridad y

disponibilidad de la información.
◼ Evento de seguridad de información. Una ocurrencia identificada del estado de un
sistema, indicando una posible violación de la política de seguridad de la información
o una situación previamente desconocida que puede ser relevante para la seguridad.
◼ Incidente de seguridad de información. Un único o una serie de eventos de
seguridad de la información no deseados o inesperados que tienen una significativa
probabilidad de comprometer las operaciones comerciales y amenazan la seguridad
de la información.
◼ Sistema de Gestión de Seguridad de la Información (SGSI). Parte del sistema
gerencial general basado en un enfoque de riesgo del riesgo para establecer,
implementar, revisar, mantener y mejorar la seguridad de la información.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

9
◼ Riesgo residual: el riesgo remanente después del tratamiento del riesgo.
◼ Aceptación del riesgo: decisión de aceptar el riesgo.
◼ Análisis del riesgo: uso sistemático de la información para identificar fuentes y para
estimar el riesgo.
◼ Evaluación del riesgo: proceso de comparar el riesgo estimado con el criterio de
riesgo dado para determinar la importancia del riesgo.
◼ Gestión del riesgo: actividades coordinadas para dirigir y controlar una
organización con relación al riesgo.
◼ Tratamiento del riesgo: proceso de tratamiento de la selección e implementación
de medidas para modificar el riesgo.
◼ Declaración de aplicabilidad: documento que describe los objetivos de control y los
controles que son relevantes y aplicables al SGSI de la organización.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

10
Creación y alcance de un SGSI
Creación de un SGSI

Todas las organizaciones tienen que tratar información en su gestión empresarial diaria, y
aparecen riesgos que pueden afectar a su actividad y desempeño habitual.

La posibilidad de cuantificar un riesgo puede suponer en muchos casos alcanzar el éxito o el

fracaso en una decisión empresarial.

El proceso de análisis de riesgos debe estar perfectamente documentado para justificar las
acciones a realizar y conseguir el nivel de seguridad que la organización quiere alcanzar.

Por esa razón, apreciar el riesgo permite valorar si los activos de la organización pueden
resultar dañados y la probabilidad de que se puedan producir, por lo que es necesario dar
respuesta a:

◼ ¿Qué puede suceder y por qué?

◼ ¿Cuáles son las consecuencias?
◼ ¿Cuál es la probabilidad de que se produzca un daño a corto, medio o largo plazo?
◼ ¿Existe algún factor que pueda reducir la probabilidad del riesgo?

El proceso de análisis de riesgos consiste en identificar los riesgos que afectan a una
organización, el alcance de los mismos y las áreas donde deben identificar o implantar las
salvaguardas de seguridad.

De esta manera, existe la seguridad de que se protegen los activos más críticos, analizando
el inventario de activos de la organización, y el nivel de seguridad de cada activo, para que
se puedan gestionar correctamente los posibles riesgos:

◼ Identificación de los activos.

◼ Valoración de las amenazas que puedan afectar a los activos.
◼ Vulnerabilidades de los activos identificados y valoración de los mismos.

Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita
manifestarse, el riesgo es menor que si existe la vulnerabilidad.

Medidas de seguridad que deben adoptar las empresas

Para garantizar la seguridad y confidencialidad de los sistemas informatizados, las

empresas deberían:

◼ Codificar los datos, de forma que el usuario no autorizado no pueda

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

11
 comprenderlos.
◼ Permitir el acceso a diferentes parcelas de la base de datos, mediante el uso
de determinados códigos.
◼ Establecer criterios claros de acceso a la información.
◼ Implantar políticas que regulen el uso de información sobre el empleado,
informándoles de cómo funcionan estas políticas.

Sistemas de información

Un sistema de información es un conjunto de procedimientos que permite gestionar la información de la

organización, para ello se deben:

◼ Recoger los datos necesarios.

◼ Procesarlos adecuadamente con la finalidad de convertirlos en información.
◼ Almacenar la información útil en bases de datos.
◼ Proporcionar la información en tiempo y forma a los responsables de la organización.

El objetivo fundamental de estos sistemas es proporcionar la información necesaria que facilite la

acertada toma de decisiones.

Elementos del sistema de información

Información y datos

Elementos con los que el sistema trabaja, y transforma unos datos (inputs) en información
(outputs).

Personas

Forman parte del sistema de información:

◼ Personal técnico encargado de su diseño y correcto funcionamiento o encargados de

introducir los datos en el sistema.
◼ Personas que utilizan la información que éste proporciona.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

12
 Elementos de soporte

Sirven para dar soporte al sistema, por ejemplo teléfonos, archivadores, si se tratara de un
sistema automatizado habría que contemplar el hardware y el software.

Ejemplo práctico: el sistema de información de RR. HH.

Es un subsistema del sistema de información general, y permite registrar, analizar y recoger información
sobre los recursos humanos de una empresa.

Se obtienen datos e informaciones de cada empleado de la organización. Al ser las personas el eje
principal del sistema de información de recursos humanos, en muchas ocasiones resulta difícil o
complicado cuantificar los datos.

Hoy en día, la mayoría de los sistemas de información de recursos humanos están informatizados, lo que
permite mejorar la rapidez, flexibilidad y comodidad para acceder a la información en un momento dado.

Aspectos básicos de un sistema de información de RR. HH.

◼ Incluye solo información útil: la que no se necesite o sea irrelevante representa una pérdida de
tiempo para aquellos que desean usarla, y puede llegar a ocultar información realmente
valiosa.
◼ Ofrece una información exacta: es un requisito prioritario, ya que si los datos manejados
fueran inexactos o erróneos, la información carecería de valor, y conduciría en todo caso a
decisiones equivocadas.
◼ Presenta la información de forma atractiva: al usuario le debe resultar fácilmente
comprensible, con la utilización de subrayados, negritas, color y una alta calidad en la
impresión para facilitar la comprensión del mensaje.

Herramientas de gestión

Un sistema de información de recursos humanos informatizado está compuesto de hardware y

aplicaciones de software, que trabajan conjuntamente para ayudar a los responsables a adoptar
decisiones sobre los recursos humanos que componen la empresa.

El hardware puede ser un gran ordenador central o un ordenador personal. El software puede estar
constituido por un programa diseñado a medida del cliente o estar prefabricado.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

13
 Sistemas gestores Para construir bases de datos y guardar la información relativa a los
de bases de datos recursos humanos.

Permiten realizar operaciones de forma rápida en función de las relaciones

Hojas de cálculo
que el usuario haya establecido previamente.

Procesadores de Facilitan la creación y organización de los textos, y el intercalado de

texto gráficos para elaborar documentos escritos.

Permiten obtener información sobre la evolución de algunas variables,

como:
◼ La edad media de la plantilla.
Gráficos negocios
◼ El número de empleados por unidad, departamento.
◼ Los costes salariales.
◼ Las bajas por enfermedad o por accidente.

Características del sistema de RR. HH.

La informatización de los sistemas de información de recursos humanos debe contemplar una serie de
características:

◼ Confidencialidad y seguridad. Muchos de los datos que forman parte de estos sistemas
informatizados guardan relación con la privacidad de los empleados.
◼ El departamento de recursos humanos debe desarrollar políticas que protejan la
confidencialidad de los sistemas, para que la información personal de cada empleado, datos
sobre la salud, situación familiar o los salarios, no sea usada por quien no deba.
◼ Es un requisito imprescindible que el acceso a esta información solo contemple a aquellas
personas que verdaderamente estén autorizadas, evitando que usuarios no autorizados
accedan a esta información.
◼ Flexibilidad, rapidez y fiabilidad. El sistema debe adaptarse en el tiempo requerido a las
necesidades del departamento de recursos humanos.
◼ Para ello, los sistemas informatizados deben acompañarse de una amplia documentación.

Alcance de un SGSI

Es fundamental identificar el alcance que va a tener dentro de una organización el sistema de gestión de
la seguridad de la información, pues este alcance es muy variado y puede englobar a:

◼ Entorno de la organización (factores internos y externos)

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

14
 ◼ Necesidades y expectativas de las partes interesadas de la organización
◼ Actividades
◼ Localizaciones
◼ Activos
◼ Tecnología

Entorno de la organización Partes interesadas

Entorno de la organización

Entorno interno y externo en el cual la organización busca alcanzar sus objetivos:

◼ Externos: factores culturales, sociales, políticos, legales, normativos, financieros,

tecnológicos, económicos, ambientales y de competitividad, ya sean internacionales,
nacionales, regionales o locales.
◼ Internos:
□ Estructura organizativa, roles, responsabilidades y relaciones contractuales con
terceros.
□ Políticas, normas, guías, objetivos y estrategias existentes.
□ Cultura de la organización.
□ Capacidades y recursos: recursos financieros, tiempo, personas, procesos, sistemas y
tecnologías.

Partes interesadas

Las partes interesadas serán aquellas personas o grupos que se vean afectadas o tengan la
percepción de serlo por el rendimiento o éxito de su organización:

◼ Clientes.
◼ Inversores.
◼ Aseguradores.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

15
 ◼ Organizaciones gubernamentales.
◼ Empleados.
◼ Público.

Los riesgos en el SGSI

La organización definirá un método de valoración del riesgo para el SGSI al objeto de reducir el riesgo a
un nivel aceptable.

Un procedimiento especifica la manera de llevar a cabo una actividad o proceso.

Para evitar los posibles riesgos en el sistema de gestión se debe requerir a la organización que
establezca roles y responsabilidades incluyendo la seguridad en las responsabilidades de trabajo,
tal y como establece la cláusula 5.3 ISO 27001:2022, proporcionando además los recursos
necesarios para facilitar una gestión efectiva de la seguridad de la información.

La toma de decisiones es un punto clave en el buen funcionamiento de una organización, y han de

estar basadas en una información precisa y fiable y a través de un acertado análisis de los datos.

Decisión = Información + Riesgo

En cualquier momento y a todos los niveles de la empresa es preciso tomar una decisión, por ello los
datos deben estar a disposición de aquellos que los necesitan para que la decisión sea lo más
acertada posible.

En la medida en que se pueda disponer de la información adecuada, se disminuirá el riesgo en las

decisiones.

Ventajas de la aplicación de un SGSI

◼ Genera mayor competitividad y una mejor imagen de la empresa.

◼ Se manifiesta una amplia confianza en relación con terceros, y se producen también
ventajas comerciales al garantizarse la confidencialidad y el cumplimiento las exigencias
legales, generando una plena seguridad.
◼ Una adecuada gestión de la seguridad de la información permitirá la reducción de riesgos, y
consecuentemente mayor eficacia y eficiencia en la gestión empresarial.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

16
 Lectura recomendada
Lectura

Lectura recomendada

Se recomienda la lectura del libro Implantación de un sistema de gestión de la seguridad de la

información según ISO 27001 de Merino Bada, Cristina, Madrid, 2011, Fundación Confemetal.

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

17
Bibliografía
Referencias bibliográficas
1. Agencia Española de Protección de Datos: Informes y Resoluciones
2. Sistema de Gestión de Seguridad de la Información según ISO 27001. C. Merino Bada. FC Editorial
3. Plan de Implementación de ISO 27001: asegurando los activos de información de una empresa. H.
Rojas Valduciel. Editorial Académica Española.
4. Guía de aplicación Norma ISO 27001 sobre seguridad en sistemas de información para pymes: L,
Gomez Fernández, A, Andrés Alvarez. AENOR Ediciones.
5. Seguridad informática. P. Aguilera López. Ediciones Editex

Bibliografía recomenda da

1. ¿Cómo implantar un SGSI según ISO 27001 y su aplicación en el Esquema Nacional de Seguridad? L.
A, Gomez. Editorial AENOR Internacional

2. Auditoria de Sistemas de Gestión. J. C, Bajo. Aranzadi Editorial

3. ISO 27001 Controls: a guide to implementing and auditing. B, Kenyon. Editorial ITGP.
4. Nueve pasos para el éxito: J.C. Miguel Perez. Editorial Ra-ma.
5. Auditoria de la seguridad; aplicando controles del estándar internacional ISO 27001. J.C Najar
Pacheco. Editorial EAE

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

18
Enlaces
Enlace url https://www.aepd.es/es

Nombre de la página Agencia Española de Protección de Datos

1
Descripción Autoridad Pública independiente encargada de velar por la privacidad y
la protección de datos de los ciudadanos

Enlace url https://www.iso.org/isoiec-27001-information-security.html

Nombre de la página ISO

2
Descripción La Organización Internacional de Normalización o ISO, es el organismo
encargado de promover el desarrollo de normas internacionales, tanto
de productos como de servicios,

Enlace url https://www.incibe.es

3 Nombre de la página Incibe

Descripción Instituto Nacional de Ciberseguridad

Entender el proceso de implementación de la Norma ISO 27001 en un SGSI

19
 900 921 292

formacion@bvbs.es

www.bureauveritasformacion.com

© BUREAU VERITAS INSPECCIÓN Y TESTING, S.L.

Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.