CAMPO DE APLICACIÓN.

La norma ISO 27001 se aplica a cualquier tipo de organización, incluyendo pequeñas y

medianas empresas, grandes corporaciones, instituciones gubernamentales y sin fines
de lucro. También se puede aplicar en cualquier sector, incluyendo tecnología de la
información, finanzas, salud y servicios públicos.

FASES DE IMPLEMENTACIÓN

Las cuatro fases que establece la ISO 27001 para constituir un SGSI se basan en el
ciclo de mejora continua, llamado ciclo de “Deming”. Y es que, la idea es que la
organización instaure este sistema de gestión para mejorar el tratamiento y la
seguridad de la información. Cada una de estas fases implica llevar a cabo una serie
de acciones

 Planificación

Se trata de una fase esencial a la hora de implantar la ISO 27001. La idea aquí es
establecer los objetivos de seguridad de la información que se quieren seguir y realizar
un análisis del riesgo a los que se enfrenta la compañía. En esta fase también es
esencial que el gestor de riesgos o experto en Ciberseguridad obtenga la aprobación
de la gerencia para implementar el SGSI.

 Implementación del Sistema de Gestión de Seguridad de la Información

En esta segunda fase es cuando se implementa como tal el SGSI. De esta forma, se
tiene que implantar el plan de tratamiento del riesgo previsto. El objetivo, por ejemplo,
puede ser establecer medidas para evitar situaciones perjudiciales como consecuencia
de un ciberataque o de un robo de datos. Cabe tener en cuenta que la ISO 27001
pretende que se proteja tanto la información física como la información digital que la
empresa tiene en sus archivos.

En esta fase es por tanto donde se ponen en marcha los procedimientos de detección y
respuesta a incidentes de seguridad.
 Fase de control o de verificación

Para implementar el SGSI según la ISO 27001, otro paso es monitorizar el

funcionamiento del propio sistema de gestión y controlar que todas las medidas se
ponen en marcha correctamente. Esto implica, por ejemplo, realizar auditorías internas
del SGSI, o revisar el nivel de riesgo residual aceptable.

 Actuación, mantenimiento y mejora

Como se trata de un ciclo de mejora, la cuarta fase del proceso para implantar la norma
ISO 27001 en una organización consiste en actuar. Esto quiere decir que la
organización tiene que implementar mejoras identificadas en fases anteriores. En el
caso de que se hubieran detectado errores que puedan poner en peligro la seguridad
de la información, se tendrán que tomar medidas correctoras. También se tendrán que
comunicar los resultados y acciones tomadas a las partes interesadas.

Estas cuatro fases para implementar la ISO 27001 son esenciales para que una
empresa pueda certificarse en esta normativa. Y es que una compañía que cuente con
el certificado en ISO 27001 se diferenciará de su competencia y tendrá ventajas
competitivas a ojos de sus clientes potenciales.

PROCESO DE CERTIFICACIÓN.

El proceso de certificación en la norma ISO 27001 no tiene un tiempo de duración

estándar, este depende principalmente de aspectos como los procesos del negocio, la
industria de la organización que esté implementando la norma y el tamaño de esta.
Puede requerir varios meses e incluso, un año o un poco más.

Recomendaciones para llevar a cabo el proceso de certificación:

 Ver la certificación como algo que le aporta valor a la organización y no solo

buscarla por cumplir. Esto implica ser rigurosos con el seguimiento y actualización
del Sistema de Gestión de Seguridad de la Información de la compañía, porque
 después de obtenerla hay tres revisiones para conocer cómo ha evolucionado el
sistema.

 Contar con un aliado estratégico que tenga experiencia en la implementación

de la norma ISO 27001. Es importante contar con la orientación adecuada dentro de
la organización con relación al sector, operación y tamaño de la misma, porque si
bien la norma incluye todos los puntos que se deben seguir, esta es muy conceptual
y no profundiza ni contrasta con la realidad de las organizaciones.

 Contar con el compromiso de la alta dirección. Es necesario que la gerencia o la

dirección general de la empresa conozca el proyecto que se va a desarrollar para
buscar la certificación en seguridad de la información, brindando los recursos que se
necesitan para asegurar el buen desarrollo del proyecto.

 Conformar un equipo de trabajo idóneo con personas con experiencia en

seguridad de la información y en gestión de riesgos, además, que conozcan muy
bien a la organización.

GUÍA PARA OBTENER LA CERTIFICACIÓN ISO 27001

Después de aplicar los puntos mencionados anteriormente, las etapas a seguir para
buscar la certificación ISO 27001 son las siguientes:

1. Conocer a la organización: Para esto se debe realizar un análisis del contexto

interno y externo de la compañía, que permita identificar cuáles son sus debilidades,
oportunidades, fortalezas y amenazas. Aquí debe revisarse el mapa de procesos de la
compañía y analizar la información que es considerada relevante y confidencial para el
negocio y que es necesario proteger.

Es fundamental que la organización se conozca a sí misma, ya que de esta manera se

pueden determinar cuáles son sus principales riesgos y cuál es la relevancia de estos
mismos que pueden estar relacionados con la operación, las personas, el acceso a la
información, entre otros.

2. Establecer el alcance del sistema de seguridad de la información: Después de

revisar y analizar el contexto interno y externo, se debe determinar el alcance del
sistema, es decir, en cuáles procesos se va a implementar la norma y van a ser
evaluados en términos de seguridad de la información bajo los tres pilares que
establece la norma: integridad, confidencialidad y disponibilidad.

3. Definir la metodología para la identificación y evaluación de riesgos: Aquí se

deben definir los criterios para identificar tanto los activos como las vulnerabilidades y
amenazas de cada uno de estos y, además de analizarlos y evaluarlos, se deben
clasificar teniendo en cuenta su integridad, confidencialidad y disponibilidad.

Establecer controles para los activos, desde los más críticos a los menos críticos, para
mitigar la probabilidad de ocurrencia o el impacto que tendrían los riesgos en caso de
materializarse.

4. Hacer la declaración de aplicabilidad: La norma ISO 27001 está compuesta por 10

secciones que se deben cumplir en su totalidad. Adicionalmente, la norma señala 114
controles que se deben revisar y en la matriz de aplicabilidad especificar cuáles son
aplicables y cuáles no: en los que sí apliquen se debe mostrar cómo se cumple con ese
control y en los que no, dejar claro por qué no es aplicable para la organización. La
aplicabilidad de estos controles depende principalmente del núcleo del negocio y de la
realidad de cada organización.

5. Realizar revisiones o auditorías del sistema:

Auditorías internas: Aquí debe hacerse revisiones o auditorías internas para verificar
que los controles implementados para prevenir la materialización de los riesgos de
seguridad de la información o mitigar su impacto se están cumpliendo y realmente son
efectivos.

Auditorías externas: Así mismo, la norma establece que deben realizarse auditorías
externas, puede hacerlas el aliado estratégico de la organización, porque además de
agregar valor permiten conocer si se están haciendo las cosas correctamente e
identificar brechas o deficiencias que tenga el sistema para corregirlas.

6. Revisar las no conformidades y acciones correctivas: A partir de los hallazgos

de las auditorías, se analizan las no conformidades y se establecen las acciones
correctivas que deben implementarse para mejorar los controles y mitigar de manera
efectiva los diferentes riesgos de los procesos.

7. Auditoria de certificación: Después de esto, la organización está lista para solicitar

la auditoría de certificación. En esta auditoría, que puede durar una o más semanas,
según el tamaño de la empresa, el personal encargado revisa punto por punto la
conformidad de los requisitos de la norma, es decir, consultan y revisan si cada uno de
estos se cumple o no.

Si bien este es el último paso para obtener la certificación, no es el punto final. Lo que
sigue es hacer un monitoreo y evaluación constante para garantizar que el sistema
funcione y siga evolucionando a través del modelo PHVA: planificar, hacer, verificar y
actuar.

Cumplimiento con regulaciones legales y requisitos contractuales.

Una forma de garantizar que las personas conozcan todos los roles y las
responsabilidades en una empresa será definidas de forma clara en las políticas y los
procedimientos. Pero esta solución tiene una limitación, solo cubre a las personas que
trabajan en la organización o tienen acceso a la información.
Cuando la empresa selecciona a los candidatos adecuados, es importante que se
garantice que la información se encontrará adecuadamente protegida incluso en las
primeras etapas.

Los términos y condiciones de trabajo son las reglas generales por las que los jefes y
los trabajadores o el personal contratado que trabajan en nombre de la empresa
acuerdan para realizar el trabajo. De forma norma se presentan durante el proceso de
preempleo en documentos como los términos y condiciones de empleo, contrato de
trabajo, etc.

Los documentos cumplen con una gran lista de elementos como el tiempo de trabajo, la
remuneración y las condiciones del lugar de trabajo. Sin embargo, con la creciente
preocupación sobre el impacto potencial de la pérdida o divulgación no autorizada, o la
alteración de la información, las empresas deberán comenzar a incluir elementos de
protección de información de diferentes acuerdos.

En diferentes situaciones los términos y condiciones de empleo son requisitos legales

para el establecimiento de una relación de trabajo, incluyendo términos y condiciones
de seguridad que se encuentran relacionados con la confidencialidad, protección de
datos, ética, utilización apropiada de los equipos e instalaciones de la empresa y el uso
de las mejores prácticas, una empresa puede mejorar su protección o soporte en caso
de que se realicen acciones legales que involucren incidentes de seguridad de la
información.

Contratos de trabajo contractuales según ISO 27001.

La norma de gestión, ISO 27001 no nos dice que debe incluir en términos de seguridad
y condiciones de empleo, solo qué objetivos tienen que conseguirse, mediante el
control de los términos y condiciones de empleo. Es necesario que se declare de
manera formal a los empleados, contratistas, y a las empresas las mismas
responsabilidades para la seguridad de la información. Es necesario que se cumpla con
dicho objetivo, las empresas tienen tres alternativas:

 Se incluye el contenido completo de todas las políticas de seguridad de la

información según el acuerdo. Si bien dicha opción facilita la cobertura ideal para
presentar el comportamiento esperado hacía la seguridad de la información en una
etapa temprana de empleo, esto puede hacer que el documento sea confuso, ilegible
o ineficaz en la práctica.

 Incluir versiones resumidas de todas las políticas de seguridad de la información.

Los documentos cortos son mucho más legibles, pero si se resumen mucho, los
elementos más importantes pueden quedar fuera y no se conocidos hasta que la
persona tenga contacto con las políticas completas, proporcionando una sensación
de seguridad falta para las partes interesadas.

 Incluir una parte de contenido completo y parte de las versiones resumidas de las
políticas de seguridad de la información mucho más relevantes. Este enfoque
representa la relación más rentable en relación con la preservación de la seguridad y
el uso práctico, y se puede conseguir resumiendo sólo las políticas que se califican
como menos riesgosas según los resultados objetivos de una evaluación de riesgos.
Debe mantener el contenido completo de las políticas que cubren todos los riesgos
de áreas.

Aspectos de las políticas de seguridad de la información.

Es necesario que se vean las recomendaciones que ofrece la norma ISO 27002, siendo
un estándar de soporte para la implantación de ISO 27001. La norma ISO 27002
recomienda que los aspectos incluyan:

 Condiciones para conseguir el acceso a la información sensible, y que estas

condiciones deben cumplirse antes de que el personal nuevo pueda acceder a las
instalaciones y a la información.
 Derechos y responsabilidades de todas las partes involucradas con respecto a los
requisitos legales, tales como los requisitos para la protección de la información
protegida o privado pajo el GDPR de la Unión Europea.
 Responsabilidades con respecto a la clasificación y el manejo de todos los activos
que se relacionan con la información, ya sea propiedad de la empresa o recibida de
terceros.
 Las acciones que se deben tomar si las partes involucradas violan los requisitos de
seguridad.
Es muy importante tener en cuenta que los términos y condiciones de seguridad
deberán continuar, durante un periodo que sea definido una vez finalice la relación
laboral.

 *Pasos para obtener la certificación ISO 27001

 *Auditorías internas y externas
 Mantenimiento y mejora continua del sistema de gestión de seguridad de la información
(SGSI).
 Proceso de evaluación de riesgos y tratamiento
-Protección contra amenazas de seguridad, tanto internas como externas
-Cumplimiento con regulaciones legales y requisitos contractuales.