Iso 27001 Paso A Paso

FASE 1 AUDITORIA INICIAL ISO 27001 GAP
ANALYSIS
QUE ES UN ANÁLISIS DE BRECHAS GAP EN
ISO 27001
DEFINICION DE Análisis de brechas GAP
Un análisis de brechas GAP es un método para evaluar las
diferencias de rendimiento entre los sistemas de información de
una empresa o las aplicaciones de software para determinar si se
cumplen los requisitos del negocio y, de no ser así, qué pasos se
deben tomar para garantizar que se cumplan con éxito. Gap se
refiere al espacio entre "donde estamos" (el presente) y "donde
queremos estar" (el objetivo a alcanzar). Un análisis de
deficiencias también puede denominarse análisis de necesidades,
permitiéndonos determinar lo que nos falta y los recursos
necesarios para alcanzar los objetivos.
Un análisis de brechas GAP o análisis de deficiencias consiste por tanto, en un

análisis de cumplimiento tanto con los requisitos de la norma ISO 27001 como
de sus controles.
Se trata pues de algo similar a una auditoria inicial por la que podemos tener una
idea del GRADO DE IMPLANTACION de la norma eso 27001 en nuestra
organización que nos puede servir para un doble objetivo
 Establecer el punto de partida para implementar la norma y evaluar el

esfuerzo necesario, así como tener una herramienta fiable para elaborar un
plan de implementación de ISO 27001
 Mantener una herramienta de evaluación del grado de implantación de la
norma durante el proceso de implantación y evaluar el grado de avance del
proyecto
ANÁLISIS DE RIESGOS VS ANÁLISIS DE BRECHAS GAP -
ANALYSIS
No debemos confundir un análisis de cumplimiento de requisitos y controles de

la norma ISO 27001 con un análisis de riesgos.
El análisis de cumplimiento identifica que requisitos y controles incluidos en la

norma tenemos implementados en la organización y en qué grado.
Por otro lado, un análisis de riesgos nos ofrece como resultado, los controles de
la seguridad de la información que realmente necesitamos implementar. En otras
palabras, un análisis de riesgos establece la justificación de los controles que
debemos implementar para la seguridad de la información.
Cuando realizar un análisis de deficiencias o análisis de brechas GAP

Dependiendo del tamaño y alcance de nuestro proyecto podremos realizar el
análisis de brechas antes de comenzar la implementación de la norma con el
objetivo de evaluar la situación inicial y planificar los recursos necesarios para el
proyecto
En anteriores ediciones de la norma el análisis GAP era de utilidad a la hora de la

elaboración de la declaración de aplicabilidad. Sin embargo, en la versión actual
ISO 27001:2013 necesitaremos previamente realizar un análisis de riesgos para
determinar el alcance real de los controles a implementar por lo que:
Una buena recomendación

Para obtener un informe de auditoría inicial sobre el cumplimiento de
la norma podremos realizar un análisis de brechas o deficiencias GAP
antes de iniciar el proyecto aplicado a los requisitos genéricos de la
norma.
Basado en un análisis de riesgos podremos mediante el análisis de
cumplimiento de los controles, obtener el informe para establecer el
plan de aplicación de estos y su estado de cumplimiento, además de
ayudarnos en la elaboración de la Declaración de Aplicabilidad.
COMO REALIZAR UN ANÁLISIS DE BRECHAS

GAP SOBRE LA SEGURIDAD DE LA
INFORMACIÓN
Para la realización del análisis de deficiencias GAP puede ser aconsejable utilizar
un modelo de madurez para la evaluación del cumplimiento. Los modelos de
madurez más comunes tales como NIST, CITI-ISEM, COBOT, SSE / CM y
CERT / CSO nos proponen un modelo de 5 a 6 niveles de madurez o de
cumplimiento.
Estos modelos de madurez comúnmente utilizados como herramientas para la

gestión de servicios TI y se utilizan para evaluar qué tan bien se desarrollan los
procesos de gestión con respecto a los controles internos.
Este modelo se adapta de forma perfecta para establecer un modelo de auditoría

que nos permita medir su nivel de madurez actual respecto a los requisitos de un
estándar específico, en este caso ISO27001.
Como resultado el análisis de deficiencias GAP nos revelara las mejoras

prácticas a los controles internos del sistema de Gestión de la Seguridad de la
Información.
Los niveles de madurez no son un objetivo, sino más bien son un medio para
evaluar la adecuación de los controles internos respecto a los objetivos del
sistema de gestión
Dentro de las ventajas de realizar un análisis de deficiencias mediante un modelo

de niveles de madurez podemos enumerar:
 1. Proporciona el modelo para un programa de seguridad completo.
 2. Proporciona la información adecuada a la gerencia del orden en el cual
implementar los controles de seguridad
 3. Conduce hacia el uso de estándares de mejores prácticas (en nuestro
caso el ISO 27001).
En este modelo podremos evaluar tanto la existencia o no existencia como el
grado de implantación de los 11 controles (dominios) que comprenden el
ISO27001.
NIVELES DE MADUREZ
Como primer paso tomaremos en cuenta los niveles de madurez:
 No existencia (Nivel 0): no hay reconocimiento de la necesidad del control

o requisito
 Ad-hoc (Nivel 1): existe cierto reconocimiento de la necesidad de control
interno o requisito. Se aplica para algún problema o tarea específica, no
generalizable
 Ejecutado (Nivel 2): los controles existen pero no están documentados
 Definido (Nivel 3): los controles están en su lugar y están documentados
adecuadamente.
 Manipulable y medible (Nivel 4): Existe un control interno sobre la
aplicación de controles y cumplimiento de requisito.
 Optimizado (5): Existe un control interno y continúo sobre la aplicación de
controles y cumplimiento de requisitos. Se mide la eficacia de los
controles estableciendo objetivos de mejora.
NIVEL DE CUMPLIMIENTO
Para llevarlo a cabo podemos usar una lista de preguntas para obtener el nivel de
cumplimiento de la organización bajo diferentes escenarios de acuerdo con los
niveles de madurez definidos. Esto nos permitirá establecer un nivel de madurez
para cada uno de los 11 controles.
Esto lo podemos resolver diseñando las preguntas usando los controles estándar
ISO27001 y determinar cuidadosamente y obtener sus valores de madurez.
Aquí les dejamos un ejemplo de cuestionario para los distintos requisitos y
controles de la norma ISO 27001
TEST EJEMPLO DE CUMPLIMIENTO

NORMATIVO ISO 27001
4.- La Organización y su Contexto

4.1 Entendiendo la Organización y su contexto
¿Están identificados los objetivos del SGS Sistema de

1 Gestión de la Seguridad de la Información?
¿Se han identificado las cuestiones internas y externas

2 relacionadas con la Seguridad de la Información?
¿Se han identificado como las partes internas y externas

pueden suponer amenazas o riesgos para la seguridad de la
3 Información?
4.2 Expectativas de las partes interesadas
1 ¿Se han identificado las partes interesadas?
¿Existe un listado de requisitos sobre Seguridad de la

2 Información de las partes interesadas?
¿Existe un listado de requisitos sobre Seguridad de la
Información referente a reglamentos, requisitos legales y
3 requisitos contractuales?
4.3 Alcance del SGSI
¿Se ha determinado el alcance del SGS y se conserva

1 información documentada?
SGS Sistema de Gestión de la Seguridad de la

4.4 información
¿El sistema de Gestión de Seguridad de la información

SGSI está establecido, implementado y se revisa de forma
1 planificada considerando oportunidades de mejora?
5.- Liderazgo
5.1 Liderazgo y compromiso
¿Se han establecido objetivos de la Seguridad de la

1 Información acordes con los objetivos del negocio?
¿La dirección provee de los recursos materiales y humanos

2 necesarios para el cumplimiento de los objetivos del SGSI?
¿La dirección revisa directamente la eficacia del SGSI para

3 garantizar que se cumplen los objetivos del SGSI?
5.2 Política de la Seguridad de la Información

¿Se ha definido una Política de la Seguridad de la
1 Información?
¿Se ha establecido un marco que permita el

2 establecimiento de objetivos?
¿Se ha comunicado la política de la Seguridad de la

3 información a las partes interesadas y a toda la empresa?
¿Se mantiene información documentada de la política del

4 SGSI y de sus objetivos?
5.3 Roles y Responsabilidades
¿Se han asignado las responsabilidades y autoridades sobre

1 la Seguridad de la Información?
¿Se han comunicado convenientemente las

responsabilidades y autoridades para la Seguridad de la
2 Información?
6.- Planificación
6.1 Tratamiento de Riesgos y Oportunidades
¿El plan para abordar riesgos y oportunidades considera

las expectativas de las partes interesadas en relación a la
1 Seguridad de la Información?
¿Se identifican y analizan los riesgos mediante un método
2 de evaluación y aceptación de riesgos?
3 ¿Se ha definido un proceso de tratamiento de riesgos?
¿Se han establecido criterios para elaborar una

4 declaración de aplicabilidad?
¿Se mantiene información documentada de los puntos

5 anteriores?
6.2 Planificación para consecución de objetivos
¿Se han establecido objetivos de la Seguridad de la

Información medibles y acordes a los objetivos del
1 negocio?
¿Los objetivos de la Seguridad de la Información están

planificados mediante?
-Asignación de responsabilidades
-Cronograma de ejecución temporal
2 -Método de evaluación
¿Se han integrado los objetivos de la Seguridad de la

Información en los procesos de la organización teniendo en
cuenta las funciones principales dentro de la
3 Organización?
7.- Soporte
7.1 Recursos
¿Se identifican y asignan los recursos necesarios para el

1 SGSI?
7.2 Competencia
¿Se evalúa la competencia en materias de Seguridad de la

Información para personas que efectúan tareas que
1 puedan afectar a la seguridad?
¿Se mantiene información actualizada sobre la

2 competencia del personal?
7.3 Concienciación
¿El personal está involucrado y es consciente de su papel

1 en la Seguridad de la Información?
¿Existe conciencia de los daños que se pueden producir de

2 no seguir las pautas de la Seguridad de la Información?
7.4 Comunicación
¿Se comunica la política de la Seguridad de la Información

1 con las responsabilidades de cada uno?
¿Existe un proceso para comunicar las deficiencias o malas

2 prácticas en la seguridad de la Información?
7.5 SGS Sistema de Gestión de la Seguridad de la

información
¿Se dispone de la documentación requerida por la norma

más la requerida por la organización incluyendo?
-La política de la Seguridad de la Información y el alcance
del Sistema de Gestión
-Los procesos principales de la seguridad de la
Información
-Los Documentos exigidos por la Norma ISO 27001
incluyendo registros
-Los Documentos propios de Seguridad de la Información
1 identificados por la empresa (instrucciones técnicas etc.)
¿Existe un control documental donde se verifica?

-Quien publica el documento
-Quien lo autoriza y como se revisan
-Formatos y Soportes de publicación
2 -Su almacenamiento y protección
3 ¿Se controlan los documentos de origen externo?
8.- Operación
8.1 Control Operacional
¿Los procesos de seguridad de la Información están

documentados para controlar que se realizan según lo
1 planificado?
¿Existe un proceso para evaluar los riesgos en la Seguridad
de la Información antes de realizar cambios en el Sistema
2 de Gestión o procesos de Seguridad?
¿Se establecen medidas y planes para mitigar los riesgos en

3 la Seguridad de la Información ante cambios realizados?
¿Se identifican y controlan los procesos externalizados en

4 cuanto a los riesgos para la Seguridad de la Información?
Análisis de riesgos de la Seguridad de la

8.2 Información
¿Se ha establecido un proceso documentado de análisis y

evaluación de riesgos para la Seguridad de la Información
donde se identifique?
-El propietario del riesgo
-La importancia del riesgo o nivel de impacto
1 -La probabilidad de ocurrencia
Tratamiento de riesgos de la Seguridad de la

8.3 Información
¿Se ha implementado un plan de tratamiento de riesgos

dónde?
-Los propietarios del riesgo están informados y han
aprobado el plan
1 -Se documentan los resultados
2 ¿Se identifican todos los controles necesarios para mitigar

el riesgo justificando su aplicación?
¿Se documenta el nivel de aplicación de todos los controles

3 a aplicar?
9.- Evaluación del desempeño

9.1 Seguimiento y medición
¿Se ha establecido un proceso continuo de monitoreo de los

aspectos clave de la seguridad de la información teniendo
en cuenta los controles para la seguridad de la
1 información?
¿Se ha establecido un proceso documentado para evaluar

los resultados de las mediciones y de que estos resultados
son tomados en cuenta por los responsables tanto de los
2 procesos como de la Seguridad de la Información?
9.2 Expectativas de las partes interesadas
¿Se ha establecido una programación de Auditorías

1 Internas y asignado responsables?
¿Se ha definido el alcance y los requisitos para el informe

2 de auditoría?
¿Se consideran acciones correctivas y propuestas de

3 cambio en los informes de auditoría?
9.3 Informe de Revisión por la Dirección
¿Existe una programación para los informes de la

1 dirección y existe constancia de su realización periódica?
¿Se documentan los resultados de los informes y la

dirección se implica tanto en su conocimiento como en la
toma de decisiones sobre los aspectos cruciales para el
2 SGSI?
10.- Mejora
10.1 No Conformidades y acciones correctivas
¿Existe un procedimiento documentado para identificar y

1 registrar las no conformidades y su tratamiento?
¿Dentro de las acciones correctivas existe una

diferenciación entre acciones correctivas sobre la no
2 conformidad y sobre las causas de la misma?
10.2 Mejora continua
¿Existe un proceso para garantizar la mejora continua del

1 SGSI identificando las oportunidades de mejora?
TEST EJEMPLO DE CUMPLIMIENTO

CONTROLES ANEXO A ISO 27001
A5.- Políticas de Seguridad de la
Información
A5.1 Dirección de gestión para la seguridad de la información
¿La dirección ha publicado y aprobado las políticas sobre la Seguridad

1 de la Información acordar con los requisitos del negocio?
¿Existe un proceso planificado y verificable de revisión de las políticas de

2 Seguridad de la información?
A6.- Organización de la Seguridad de la

Información
A6.1
¿Se han asignado y definido las responsabilidades sobre la seguridad de

1 la Información en las distintas tareas o actividades de la organización?
¿Se han segregado las diversas áreas de responsabilidad sobre la

2 Seguridad de la Información para evitar usos o accesos indebidos?
¿Existe un proceso definido para contactar con las autoridades

competentes ante incidentes relacionados con la Seguridad de la
3 Información?
¿Existen medios y se han establecido contactos con grupos de interés y
asociaciones relacionadas con la seguridad de la información para
4 mantenerse actualizado en noticias e información sobre Seguridad?
¿Existen requisitos para afrontar cuestiones sobre la seguridad de la

5 información en la gestión de proyectos de la organización?
A6.2 Dispositivos Móviles y Teletrabajo
¿Se consideran requisitos especiales para la Seguridad de la Información

1 en la utilización de dispositivos móviles?
2 ¿Se aplican los criterios de Seguridad para los accesos de teletrabajo?
A7.- Seguridad en los Recursos Humanos

A7.1 Antes de contratar a un empleado
¿Se investigan los antecedentes de los candidatos?

-Formación
-Experiencia
-Verificar Titulación
1 -Referencias
¿Se incluyen cláusulas relativas a la Seguridad de la Información en los

2 contratos de trabajo?
A7.2 Durante el contrato
1 ¿El cumplimiento de las responsabilidades sobre la Seguridad de la

Información es exigida de forma activa a empleados y contratistas?
¿Existen procesos de información, formación y sensibilización sobre las

2 responsabilidades sobre la Seguridad de la Información?
¿Existe un plan disciplinario donde se comunica a los empleados y

contratistas las consecuencias de los incumplimientos sobre las políticas
3 de la Seguridad de la Información?
A7.3 Terminación del contrato
¿Existe un procedimiento para garantizar la Seguridad de la

Información en los cambios de empleo, puesto de trabajo o al finalizar un
1 contrato?
¿Se definen responsabilidades sobre la Seguridad de la información que

se extiendan más allá de la finalización de un contrato como por ejemplo
2 cuestiones relativas a la confidencialidad de la Información?
A8.- Gestión de Activos

A8.1 Responsabilidad sobre los Activos
¿Se ha realizado un inventarios de activos que dan soporte al negocio y

1 de Información?
¿Se ha identificado al responsable de cada activo en cuanto a su

2 seguridad?
¿Se han establecido normas para el uso de activos en relación a su
3 seguridad?
¿Existe un procedimiento para la devolución de activos cedidos a terceras

4 partes o a la finalización de un puesto de trabajo o contrato?
A8.2 Clasificación de la Información
¿Se clasifica la información según su confidencialidad o su importancia

1 en orden a establecer medidas de seguridad especificas?
¿Los activos de información son fácilmente identificables en cuanto a su

2 grado de confidencialidad o su nivel de clasificación?
¿Existen procedimientos para el manipulado de la información de

3 acuerdo a su clasificación?
A8.3 Manipulación de Soportes
¿Existen controles establecidos para aplicar a soportes extraíbles?

-Uso
-Cifrado
-Borrado
1 -Etc.
2 ¿Existen procedimientos establecidos para la eliminación de soportes?
¿Existen procedimientos para el traslado de soportes de información

para proteger su seguridad?
-Control de salidas
3 -Cifrado etc.
A9.- Control de Acceso
A9.1 Requisitos generales para el control de acceso
¿Existe una política para definir los controles de acceso a la información

que tengan en cuenta el acceso selectivo a la información según las
1 necesidades de cada actividad o puesto de trabajo?
¿Se establecen accesos limitados a los recursos y necesidades de red según

2 perfiles determinados?
A9.2 Accesos de Usuario
1 ¿Existen procesos formales de registros de usuarios?
2 ¿Existen procesos formales para asignación de perfiles de acceso?
¿Se define un proceso específico para la asignación y autorización de

3 permisos especiales de administración de accesos?
¿Se ha establecido una política específica para el manejo de información

clasificada cono secreta ? en cuanto a:
-Autenticación
4 -Compromisos
¿Se establecen periodos concretos para renovación de permisos de

5 acceso?
6 ¿Existen un proceso definido para la revocación de permisos cuando se

finalice una actividad, puesto de trabajo o cese de contratos?
A9.3 Responsabilidades de los usuarios
¿Se establecen normas para la creación y salvaguarda de contraseñas de

1 acceso?
A9.4 Control de acceso a sistemas y aplicaciones
¿Se establecen niveles y perfiles específicos de acceso para los sistemas de

Información de forma que se restringa la información a la actividad
1 específica a desarrollar?
¿Se han implementado procesos de acceso seguro para el inicio de sesión

considerando limitaciones de intentos de acceso, controlando la
2 información en pantalla etc.?
¿Se establecen medidas para controlar el establecimiento de contraseñas

3 seguras?
¿Se controla la capacitación y perfil de las personas que tienen permisos

4 de administración con perfiles bajos de Seguridad?
¿Se restringe el acceso a códigos fuente de programas y se controla

5 cualquier tipo de cambio a realizar?
A10.- Criptografía
A10.1 Control criptográfico
¿Existe una política para el establecimiento u yo de controles
1 criptográficos?
2 ¿Existe un control del ciclo de vida de las claves criptográficas?
A11.- Seguridad Física y del entorno

A11.1 Áreas de Seguridad
¿Se establecen perímetros de seguridad física donde sea necesario con

1 barreras de acceso?
¿Existen controles de acceso a personas autorizadas en áreas

2 restringidas?
¿Se establecen medidas de seguridad para zonas de oficinas para

proteger la información de pantallas etc. en áreas de accesibles a personal
3 externo?
¿Se controla o supervisa la actividad de personal que accede a áreas

4 seguras?
¿Se controlan las áreas de Carga y descarga con procedimientos de

5 control de mercancías entregadas etc.?
A11.2 Seguridad de los equipos
¿Se protegen los equipos tanto del medioambiente como de accesos no

1 autorizados?
2 ¿Se protegen los equipos contra fallos de suministro de energía?
3 ¿Existen protecciones para los cableados de energía y de datos?
4 ¿Se planifican y realizan tareas de mantenimiento sobre los equipos?
¿Se controlan y autorizan la salida de equipos, aplicaciones etc. Que

5 puedan contener información?
¿Se consideran medidas de protección específicas para equipos que se

6 utilicen fuera de las instalaciones de la propia empresa?
¿Se establecen protocolos para proteger o eliminar información de

7 equipos que causan baja o van a ser reutilizados?
¿Se establecen normas para proteger la información de equipos cuando

8 los usuarios abandonan el puesto de trabajo?
¿Se establecen reglas de comportamiento para abandonos momentáneos

9 o temporales del puesto de trabajo?
A12.- Seguridad en las Operaciones

A12.1 Procedimientos y responsabilidades
1 ¿Se documentan los procedimientos y se establecen responsabilidades?
¿Se controla que la información sobre procedimientos se mantenga

2 actualizada?
3 ¿Se dispone de un procedimiento para evaluar el impacto en la seguridad

de la información ante cambios en los procedimientos?
¿Se controla el uso de los recursos en cuanto al rendimiento y capacidad

4 de los sistemas?
¿Los entornos de desarrollo y pruebas están convenientemente separados

5 de los entornos de producción?
A12.2 Protección contra software malicioso
1 ¿Existen sistemas de detección para Software malicioso o malware?
A12.3 Copias de Seguridad
¿Se ha establecido un sistema de copias de seguridad acordes con las

1 necesidades de la información y de los sistemas?
A12.4 Registros y supervisión
¿Se realiza un registro de eventos?

-Intentos de acceso fallidos/exitosos
-Desconexiones del sistema
1 -Alertas de fallos Etc.
¿Se ha establecido un sistema de protección para los registros mediante

2 segregación de tareas o copias de seguridad?
¿Se protege convenientemente y de forma específica los accesos o los de

3 los administradores?
4 ¿Existe un control de sincronización de los distintos sistemas?
A12.5 Control del Software
¿Las instalaciones de nuevas aplicaciones SW o modificaciones son

verificadas en entornos de prueba y existen protocolos de seguridad para
1 su instalación?
A12.6 Vulnerabilidad Técnica
¿Se establecen métodos de control para vulnerabilidades técnicas

1 "hacking ético" etc.?
¿Se establecen medidas restrictivas para la instalación de Software en

cuanto a personal autorizado evitando las instalaciones por parte de
2 usuarios finales?
A12.7 Auditorias de Sistemas de Información
¿Existen mecanismos de auditorías de medidas de seguridad de los

1 sistemas?
¿Se establecen protocolos específicos para desarrollo de auditorías

2 Software considerando su impacto en los sistemas?
A13.- Seguridad en las Comunicaciones

A13.1 Seguridad de Redes
1 ¿En el entorno de red se gestiona la protección de los sistemas mediante

controles de red y de elementos conectados?
¿Se establecen condiciones de seguridad en los servicios de red tanto

2 propios como subcontratados?
¿Existe separación o segregación de redes tomando en cuenta condiciones

3 de seguridad y clasificación de activos?
A13.2 Intercambio de Información
¿Se establecen políticas y procedimientos para proteger la información en

1 los intercambios?
¿Se delimitan y establecen acuerdos de responsabilidad en intercambios

2 de información con otras entidades?
¿Se establecen normas o criterios de seguridad en mensajería

3 electrónica?
¿Se establecen acuerdos de confidencialidad antes de realizar

4 intercambios de información con otras entidades
A14.- Adquisición, desarrollo y

mantenimiento de sistemas de información
A14.1 Intercambio de Información
¿Se definen y documentan los requisitos de Seguridad de la Información

1 para los nuevos sistemas de Información?
¿Se especifican los requisitos de Seguridad de la información en el diseño
2 de nuevos sistemas?
¿Se consideran requisitos de seguridad específicos para accesos externos

3 o de redes públicas a los sistemas de información?
4 ¿Se establecen medidas de protección para transacciones Online?
A14.2 Seguridad en los procesos de Soporte
¿Se establecen procedimientos que garanticen el desarrollo seguro del

1 Software?
¿Se gestiona el control de cambios en relación al impacto que puedan

2 tener en los sistemas?
¿Se establecen procedimientos de revisión después de efectuar cambios o

3 actualizaciones?
¿Se establecen procesos formales para cambios en versiones o nuevas

4 funcionalidades para Software de terceros?
¿Se definen políticas de Seguridad de la Información en procesos de

5 ingeniería de Sistemas?
¿Se realiza una evaluación de riesgos para herramientas de desarrollo de

6 Software?
¿Se acuerdan los requisitos de seguridad de la Información para

7 Software desarrollado por terceros?
¿Se realizan pruebas funcionales de seguridad de los sistemas antes de su
8 fase de producción?
¿Se establecen protocolos y pruebas de aceptación de sistemas para

9 nuevos sistemas y actualizaciones?
A14.3 Datos de prueba
1 ¿Se utilizan datos de prueba en los ensayos o pruebas de los sistemas?
A15.- Relación con Proveedores

A15.1 Seguridad en la Relación con Proveedores
¿Existe una política de Seguridad de la información para proveedores

1 que acceden a activos de la información de la empresa?
¿Se han establecido requisitos de seguridad de la información en

2 contratos con terceros?
¿Se fijan requisitos para extender la seguridad de la información a toda

3 la cadena de suministro?
A15.2 Gestión de servicios externos
¿Se controla el cumplimiento de los requisitos establecidos con

1 proveedores externos?
2 ¿Se controlan los posibles impactos en la seguridad ante cambios de

servicios de proveedores externos?
A16.- Gestión de incidentes de seguridad de

la información
A16.1 Gestión de incidentes de seguridad de la información y mejoras.
¿Se definen responsabilidades y procedimientos para responder a los

1 incidentes de la Seguridad de la Información?
¿Se han implementado canales adecuados para la comunicación de

2 incidentes en la seguridad de la Información?
¿Se promueve y se hayan establecidos canales para comunicar o

3 identificar puntos débiles en la Seguridad de la Información?
¿Se ha establecido un proceso para gestionar los incidentes en la

¿Existen mecanismos para dar respuesta a los eventos de la Seguridad de

5 la Información?
¿La información que proporcionada por los eventos en la Seguridad de la

6 información son tratados para tomar medidas preventivas?
¿Existe un proceso para recopilar evidencias sobre los incidentes en la

7 seguridad de la Información?
A17.- Gestión de la Continuidad del
Negocio
A17.1 Continuidad de la seguridad de la información.
¿Se ha elaborado un plan de continuidad del negocio ante incidentes de

¿Se ha implementado las medidas de recuperación previstas en el plan de

2 Continuidad del Negocio?
¿Se han verificado o probado las acciones previstas en el plan de

3 Continuidad del Negocio?
A17.2 Redundancias
¿Se ha evaluado la necesidad de redundar los activos críticos de la

1 Información?
A18.- Cumplimiento
A18.1 Cumplimiento de los requisitos legales y contractuales.
1 ¿Se han identificado las legislaciones aplicables sobre protección de datos

personales y su cumplimiento?
-LOPD
-Leyes para comercio Electrónico
-Transacciones Bancarias
-Información Protegida
-Otras propias del negocio o actividad
-Ley general de Telecomunicaciones
2 ¿Existen procedimientos implementados sobre la propiedad intelectual?
¿Se establecen criterios para clasificación de registros y medidas de

3 protección según niveles?
¿Se establecen medidas para la protección de datos personales de

4 acuerdo con la legislación vigente?
¿Si se utiliza el cifrado, se establecen controles criptográficos de acuerdo

5 a la legislación?
A18.2 Revisiones de la Seguridad de la Información
¿Se revisan los controles de la Seguridad de la Información por personal

1 independiente a los responsables de implementar los controles?
¿Se revisa periódicamente el cumplimiento de las políticas y controles de

2 la Seguridad de la información?
¿Se realizan evaluaciones sobre el correcto funcionamiento de las

3 medidas técnicas de protección para la seguridad de la información?
COMO REALIZAR LOS CUESTIONARIOS

ANÁLISIS GAP ISO 27001
Aquí se no presentan dos opciones dependiendo del tamaño y actividad de
nuestra empresa
La primera opción para pequeñas y medianas empresas pasa por hacer el
cuestionario a nivel global para toda la empresa con un único interlocutor. En
empresas con mayor envergadura deberíamos definir interlocutores para cada
grupo de controles o requisitos.
ASIGNACIÓN DE INTERLOCUTORES PARA LOS

CUESTIONARIOS GAP ISO 27001
Un ejemplo para los controles del Anexo A podría ser:
Controles Interlocutores
A.5 Políticas de Seguridad de la
Información Dirección + Todos los departamentos
A.6 Organización de la Seguridad de

la Información Director Departamento TI
A.7 Seguridad en los Recursos

Humanos Director RRHH
A.8 Gestión de Activos Director Operaciones & Director de TI
A.9 Control de Acceso Director Operaciones
A.10 Criptografía Director Operaciones & Director de TI
A.11 Seguridad Física y del entorno Director Operaciones
A.12 Seguridad en las Operaciones Director Operaciones & Director de TI
A.13 Seguridad en las

Comunicaciones Director Operaciones & Director de TI
A. 14 Adquisición, desarrollo y
mantenimiento de sistemas de
información Director Departamento TI
A.15 Relación con Proveedores Director de Compras
A.16 Gestión de incidentes de

seguridad de la información Director Departamento TI
A.17 Gestión de la Continuidad del

Negocio Dirección + Todos los departamentos
A.18 Cumplimiento Departamento Legal
CRITERIOS DE EVALUACIÓN
Si asignamos valores según los niveles de madurez de 0 a 5 para cada control

podemos obtendremos para cada control un nivel medio de madurez que vendrá
determinado por:
Nivel Medio Cumplimiento = Puntuación total de cada Control / Número de

controles totales
Esta fórmula nos entregara un valor medio para cada control entre 0 y 5, con lo
que podríamos clasificar los controles y su cumplimiento entre los siguientes
valores:
 Puntaje de madurez por debajo de 1.65:_ No cumple

 Puntaje de madurez entre 1.66 y 3.25:_ Cumple parcialmente
 Puntaje de madurez por encima de 3.26:_ Cumplimiento con requisitos de
la Norma
CONCLUSIONES Y RESULTADOS
Con el propósito de evaluar el cumplimiento y estado de avance del proyecto

sería interesante presentar los resultados del análisis GAP con evaluaciones
parciales por grupos de controles
Controles de gestión:
 Política de seguridad
 Organización de la información
 Seguridad y cumplimiento
Controles técnicos
 Gestión de activos, físicos y ambientales
 Seguridad y comunicaciones y gestión de operaciones.
 Controles operacionales
Controles Operacionales
 Adquisición, desarrollo y mantenimiento de sistemas
 Control de acceso, gestión de incidentes TI y gestión de la continuidad del
negocio
En este sentido podríamos presentar un gráfico como el siguiente
También podríamos presentar un análisis por cada control de forma que

tengamos una idea más concreta del esfuerzo necesario para cumplir con el
estándar ISO 27001 y del estado de cada control
FASE 2 ANÁLISIS DEL CONTEXTO DE LA
ORGANIZACIÓN Y DETERMINACIÓN DEL
ALCANCE
Esta fase del proyecto consiste en establecer el contexto del SGSI en
cumplimiento de los requisitos de la norma ISO 27001 recogidos en la cláusula
4 de la Norma
Vamos a abordar aquí como afrontar este nuevo requisito que nos requiere la
comprensión del contexto de la Organización y sus necesidades.
QUE TENEMOS QUE HACER PARA CUMPLIR

CON LA CLÁUSULA 4
Se trata del punto de partida para desarrollar el SGSI y consiste en determinar o
identificar los “problemas” internos y externos a los que se enfrenta la
organización.
Explicado de otra forma, el contexto organizacional consiste en considerar las
expectativas y necesidades de todas las partes interesadas.
Les resumimos los pasos para poner en marcha este requisito
 Comprender la organización y su contexto

o Comunicación y Consultas
o El contexto del SGSI
o El Contexto de la Gestión de Riesgos
o Definición de criterios del riesgo
 Comprender las necesidades y expectativas de las partes interesadas
o En que consiste
o Ejemplos
 Determinación del Alcance del Sistema de Gestión
o Propósito del Alcance del SGSI
o Como definir los limites el SGSI
o Cuestionario para definir el Alcance del SGSI
o Ejemplo de Alcance del SGSI
COMPRENDER LA ORGANIZACIÓN Y SU
CONTEXTO
La norma ISO 27001 alineándose con los estándares ISO 31000 sobre Gestión
del Riesgo, nos propone ayudarnos con los requisitos del capítulo 5.3 de esta
norma a diferenciar e identificar el contexto interno y externo de la organización
Se trata de identificar en qué medida los aspectos internos y externos podrían

afectar al propósito de la organización y a su capacidad para lograr los resultados
esperados del SGSI. En otras palabras, los problemas que puedan afectar a la
Seguridad de la Información por la influencia de los agentes externos e internos
en los que está inmersa la actividad de la organización.
Se trata de identificar la influencia en la Seguridad de la Información

determinada por
 Como se gestiona y gobierna su organización

 El conocimiento y las capacidades de la organización
 La cultura de la organización
 Las relaciones contractuales
 Como influyen las condiciones ambientales
 Las tendencias del mercado y de las condiciones regulatorias
 Los avances tecnológicos
 Las relaciones con proveedores externos
Determinar todas estas influencias equivale a realizar un proceso de Análisis y
evaluación de riesgos. Para ello aconsejamos realizar los siguientes pasos:
1 COMUNICACIÓN Y CONSULTA
Conocer el punto de vista y las perspectivas de todas las partes interesadas tanto
externas como internas puede ser una herramienta que nos ayude a identificar
causas, riesgos potenciales y aspectos desconocidos sobre la efectividad de las
medidas para la seguridad de la información.
Por otro lado, la realización de un plan de comunicación en fase temprana nos

ayudara a:
 Obtener un respaldo seguro y el apoyo necesario para los planes de

tratamiento de riesgos
 Identificar riesgos aportados por distintas áreas de experiencia
 Integrar y comprender los intereses de todas las partes
 Mejorar la comunicación con las partes internas y externas
2. EL CONTEXTO DEL SGSI
Se trata de definir los parámetros externos e internos que deben tenerse en cuenta
al gestionar el riesgo:
EL CONTEXTO EXTERNO
Se trata de definir los parámetros externos e internos que deben tenerse en cuenta
al gestionar el riesgo.
El contexto externo puede incluir:

 El entorno social y cultural, político, legal, regulatorio, financiero,
tecnológico, económico, ambiental
 El entorno competitivo, ya sea internacional, nacional, regional o local;
 Los factores clave del negocio y las tendencias que tienen impacto en los
objetivos de la organización;
 Las percepciones y los valores de las partes interesadas externas
(contratistas, clientes, administraciones públicas etc.).
EL CONTEXTO INTERNO
El contexto interno incluye cualquier cosa dentro de la organización que pueda
influir en la forma en que una organización administrará su riesgo de seguridad
de la información.
El contexto externo puede incluir:
 El gobierno y administración, la estructura organizacional, los roles y

responsabilidades;
 Las políticas, los objetivos y las estrategias que existen para alcanzarlos;
 Capacidades, entendidas en términos de recursos y conocimiento (por
ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
 Las relaciones con las percepciones y valores de las partes interesadas
internas;
 La cultura de la organización;
 Los sistemas de información, flujos de información y procesos de toma de
decisiones (tanto formales como informales);
 Normas, directrices y modelos adoptados por la organización y la forma y
el alcance de las relaciones contractuales.
4. EL CONTEXTO DE LA GESTIÓN DE RIESGOS
La gestión del riesgo debe realizarse teniendo plenamente en cuenta la necesidad

de justificar los recursos utilizados para llevar a cabo la gestión del riesgo
especificando estos recursos, las responsabilidades y autoridades, y los registros
que deben mantenerse.
El contexto del proceso de gestión de riesgos variará de acuerdo con las

necesidades de una organización y entre otras cosas debe considerar:
 Definir las metas y objetivos de las actividades de gestión de riesgos;

 Definir responsabilidades dentro del proceso de gestión de riesgos;
 Definir el alcance, así como la profundidad y amplitud de las actividades
de gestión de riesgos que se llevarán a cabo, incluidas las exclusiones
específicas;
 Definir la actividad, proceso, función, proyecto, producto, servicio o
activo en términos de tiempo y ubicación;
 Definir las relaciones entre un proyecto, proceso o actividad particular y
otros proyectos, procesos o actividades de la organización;
 Definir las metodologías de evaluación de riesgos;
 Definir la forma en que se evalúa el rendimiento y la efectividad en la
gestión del riesgo;
 Identificar y especificar las decisiones que deben tomarse;
 Identificar el alcance o los estudios necesarios, su extensión y objetivos, y
los recursos requeridos para dichos estudios.
5. DEFINICIÓN DE CRITERIOS DE RIESGO
La organización debe definir los criterios que se utilizarán para evaluar la

importancia del riesgo.
Al definir los criterios de riesgo, los factores a considerar deben incluir lo

siguiente:
 La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y

cómo se medirán;
 Cómo se definirá la verosimilitud;
 El marco de tiempo de la probabilidad y / o consecuencia;
 Cómo se determinará el nivel de riesgo;
 Las opiniones de los interesados;
 El nivel al cual el riesgo se vuelve aceptable o tolerable;
 Si se deben tener en cuenta las combinaciones de riesgos múltiples y, de
ser así, cómo y qué combinaciones se deben considerar.
La etapa de evaluación de riesgos compara el nivel de riesgos con los criterios de
aceptación de riesgos, definidos durante el establecimiento del
contexto. Luego, el paso de tratamiento de riesgo establece controles. En el paso
de aceptación del riesgo, los riesgos residuales deben ser aceptados por los
gerentes de la organización. Luego, la estimación del riesgo intenta calificar las
consecuencias de la pérdida en una escala cualitativa o cuantitativa, así como la
probabilidad de ocurrencia. Identificando las fuentes del riesgo
Este paso se utiliza para determinar exhaustivamente todas las fuentes de riesgo y
posibles eventos que puedan afectar el negocio de la Organización. Cada riesgo
debe describirse de la manera más completa posible, de modo que los
responsables de la toma de decisiones puedan comprender completamente la
situación
Comprender la naturaleza de la amenaza, criticidad y vulnerabilidades relevantes

o potenciales es un componente esencial para establecer el contexto. A
continuación hay una serie de consideraciones y preguntas que pueden facilitar
este proceso:
 ¿Cómo podrían verse afectadas la confidencialidad, la integridad y la

disponibilidad de la información?
 ¿Cuál es el valor agregado de los activos de información para la
Organización?
 ¿Qué impacto tendría una divulgación involuntaria? ¿Qué supondría un
evento o incidente?
 ¿Cuál sería el impacto de la pérdida de confianza en la integridad de su
información? Por ejemplo, la integridad del registro del cliente.
 ¿Qué consecuencias tendría una divulgación involuntaria de información
en un acuerdo de subcontratación o en el extranjero? ¿Cuáles son las
fuentes de riesgo? ¿Qué amenazas hay?
 Al buscar información para el proceso de identificación de riesgos, se debe
tener en cuenta los planes de seguridad de los organismos de protección de
datos de la administración, ya que son una fuente de información
verificada sobre los riesgos para la información.
COMPRENDER LAS NECESIDADES Y
EXPECTATIVAS DE LAS PARTES INTERESADAS
La organización debe identificar las partes interesadas y los requisitos que son
relevantes para el sistema de gestión de seguridad de la información
Qué son las partes interesadas en el contexto del SGSI

Se trata de personas u organizaciones que pueden influir en la seguridad de la
información o en la continuidad del negocio. Por otro lado, puede tratarse de
personas o entidades que pueden verse afectadas por la seguridad de la
información o las actividades de continuidad del negocio.
Típicamente, las partes interesadas podrían incluir:
 Empleados y sus familias

 Accionistas o propietarios del negocio
 Agencias gubernamentales y entidades reguladoras
 Servicios de emergencia (por ejemplo, bomberos, policía, ambulancia,
etc.)
 Clientes
 Medios de comunicación
 Proveedores y socios
 Cualquier otra persona que considere importante para su negocio.
Habiendo identificado a sus partes interesadas, ahora hay demandas para que una
organización considere sus necesidades y expectativas.
NOTAS sobre las partes interesadas:

 Las necesidades y expectativas son solo aquellas relevantes para la
seguridad de la información.
 Los requisitos legales y reglamentarios así como las obligaciones
contractuales pueden incluirse en los requisitos de las partes interesadas
 Algo que parece evidente pero quo conviene resaltar es que Ud. necesita
averiguar lo que las partes interesadas quieren de usted, y necesita
averiguar cómo satisfacer todos estos requisitos en su SGSI
CASO PRACTICO:
IDENTIFICACION DE PARTES INTERESADAS
ISO 27001
Veamos en primer lugar algunos aspectos necesarios:
 Los accionistas necesitan seguridad en sus inversiones y un

buen rendimiento
 Los clientes quieren que cumpla con las cláusulas de
seguridad en los contratos
 Las entidades regulatorias quieren que cumpla con las leyes y
regulaciones de sobre seguridad de la información y
protección de datos
 Los medios demandan información y noticias de forma ágil y
precisa relacionadas con los incidentes en seguridad de
información, etc.
Esto es un primer paso, luego debe especificar exactamente qué leyes y
reglamentos, así como cláusulas de seguridad o continuidad existen en
los contratos al igual que en los demás requisitos de partes interesadas:
La tarea de identificar los requisitos hay que realizarla antes de

comenzar a desarrollar su SGSI.
Veamos un ejemplo concreto de definición de partes Interesadas y sus

intereses
Identificación de requisitos de CLIENTES

 1. Entregar productos y servicios con soporte y mantenimiento
o 1.1. de acuerdo con los requisitos contractuales.
o 1.2. En caso de interrupciones
o 1.3. Cumpliendo los requisitos legales aplicables
o 1.4. Cumpliendo los requisitos adicionales de la
industria aplicables
 2. Dar servicio de mantenimiento en condiciones (24/7/365)
 3. Cumplir con los requisitos de ISO 27001
 4. Disponibilidad de Sistemas 99,9%
 5. SLA de respuesta a incidentes: 4 horas desde recepción de
comunicaciones en centro de contacto
 6. Requisitos PCI DSS v3.2.1
Identificación de requisitos de USUARIOS FINALES
 1. Servicios disponibles
o 1.1. Sistemas de apoyo ante interrupciones
o 1.2. Mantener servicios de soporte ante interrupciones
 2. Protección de datos: Los productos y servicios protegen
adecuadamente los datos de los usuarios finales cumpliendo
los requisitos legales tanto para los datos de contacto como
para los datos confidenciales
Identificación de requisitos de SOCIOS
Los socios serán empresas que contratan nuestras aplicaciones para dar
servicio a usuarios finales
 1. Cumplir con los requisitos de desarrollo de Software según

los acuerdos firmados
 2. Cumplir con los acuerdos de confidencialidad firmados
 3. Proporcionar información técnica y soporte suficiente que
les permita desarrollar y mejorar su Interfaz de Programación
de Aplicaciones (API)
 4. Proporcionar la formación necesaria tanto técnica como
comercial enfocada a la venta de los productos y servicios
 5. Cumplir los acuerdos contractuales especialmente en los
tiempos de entrega acordados
Identificación de requisitos de PROVEEDORES
 1. Cumplir con los acuerdos contractuales
 2. Cumplir con las formas de pago acordadas
 3. Cumplir con los acuerdos de confidencialidad firmados
Identificación de requisitos de EMPLEADOS
 1. Proporcionar un ambiente de trabajo seguro y apropiado.
 2. Recibir capacitación y apoyo requeridos.
 3. La compañía especifica claramente sus requisitos y
expectativas de los trabajadores.
 4. Protección de su información personal.
 5. La compañía paga justamente por el trabajo.
 6. Continuidad del empleo
 7. Oportunidades para el avance y desarrollo profesional
Identificación de requisitos de ASEGURADORAS
 1. Cumplir con los requisitos de la política
 2. Fidelidad en los pagos
 3. Comunicación de cambios en las circunstancias del negocio
y del riesgo
Identificación de requisitos de administración
 1. Cumplir con los requisitos de las leyes de protección de
datos
 2. Identificar y cumplir con los requisitos legales propios de
cada tipo de negocio emprendido
o 2.1. Ley de comercio electrónico
o 2.2. Ley general de telecomunicaciones
o 2.3. Otras
 3. Información mediante planes de comunicación y
procedimientos establecidos para mitigar su impacto
DETERMINAR EL ALCANCE DEL SISTEMA DE

GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN SGSI
Se trata de definir los límites en la aplicación del sistema de gestión de la
Los elementos que debemos tener en cuenta para la definición del alcance son:
 El contexto de la organización: Las cuestiones Internas y Externas

 Los requisitos y expectativas de las partes interesadas
Identificar el alcance correcto del SGSI es crucial porque ayudará a las
organizaciones a cumplir sus requisitos de seguridad y planificar la
implementación del SGSI
Una correcta definición del alcance permitirá:
 Determinar los recursos necesarios evitando el uso innecesario de recursos

(en términos de tiempo, costo y esfuerzo)
 Planificar la implementación del SGSI determinando el calendario y el
presupuesto necesarios.
 Alinear los requisitos de seguridad de la organización con los ejercicios de
análisis y evaluación de riesgos.
Ejemplos de preguntas que pueden guiar a las organizaciones a la hora de definir
el alcance y los límites del SGSI:
 ¿Qué productos y servicios en su organización estarán cubiertos por el

SGSI?
 ¿Cómo y por qué el producto o servicio seleccionado es crítico para su
organización?
 Cuáles son las características del servicio seleccionado; es decir, el
negocio, la organización, sus ubicaciones, activos y tecnologías para ser
incluidos en el SGSI?
 ¿Va a requerir que las partes externas, proveedores cumplan con su SGSI?
 ¿Si las actividades realizadas por la organización requieren de interfaces o
dependencias externas o de actividades realizados por terceros? ¿Deberían
ser considerados dentro del alcance del SGSI?
Consideraciones antes de definir el Alcance del SGSI
 1. Considere los requisitos de seguridad de la información que se han
identificado en la Cláusula 4.1 – Definir los requisitos de seguridad de la
información; 2. Considerar los servicios críticos que pueden causar un
gran impacto en la organización o en sus clientes y partes interesadas
como resultado de pérdidas de confidencialidad, integridad o
disponibilidad;
 3. Definir el alcance y los límites de la organización;
 4. Definir el alcance y los límites de la Tecnología de Comunicación de
Información (TIC)
 5. Definir el alcance físico y los límites
 6. Integre alcance y límites elementales para obtener el alcance y los
límites del SGSI.
 7. Considere las actividades externalizadas así como las interfaces y
dependencias requeridas
CÓMO DEFINIR EL ALCANCE DE UN SGSI
1. Identificar lo que necesita ser protegido
Una de las primeras preguntas que debemos hacer es "¿Qué necesita protección?
En primer lugar hay que determinar que activos de información deben protegerse
para apoyar a la organización en el logro de sus objetivos comerciales.
Para establecer que los activos realmente valen la pena proteger, la organización
debe justificar por qué cada activo requiere protección mediante un inventario de
activos. El análisis y evaluación del riesgo de cada activo determinaran su
inclusión en el alcance del SGSI

Una vez definidos los procesos y las actividades incluidas en el alcance
y para que el alcance sea completamente claro, especialmente para
terceros, resulta útil identificar lo que no está en el alcance (por
ejemplo, las actividades del departamento de recursos humanos)
De cualquier manera, el alcance debe definir claramente lo que se está

incluyendo, en función de los objetivos comerciales y los activos de información
que se protegerán, y debe quedar claro que todo lo demás está fuera del alcance.
2. Comprenda la organización
Cuando el alcance de un SGSI se define por la necesidad de proteger un activo en
particular es importante entender primero los componentes del sistema y la
estructura involucrada en la entrega de los servicios relevantes.
Esto puede incluir, por ejemplo, obtener diagramas de sistema que muestren los
almacenamientos y flujos de datos y los sistemas de TI relevantes. El personal
involucrado en la administración y entrega de todos los componentes del sistema
probablemente será considerado "dentro del alcance".
3. Asegurar el apoyo al alcance del SGSI

El alcance de un SGSI, política, proyecto o auditoría, etc. debe ser respaldado y
acordado formalmente por las principales partes interesadas relevantes
Si no se identifica correctamente y se acepta formalmente el alcance seguramente
tendremos dificultades para realizar el plan de implantación del SGSI
Para quienes manejan la seguridad de la información, es importante considerar

los límites del control y la autoridad.

Si se da el caso de que la seguridad de los servicios o sistemas en un
departamento particular está fuera del control o la autoridad de los
propietarios del SGSI, no deberían incluirse en el alcance. En el
contexto de una auditoría, se hace imprescindible acordar qué sistemas
están en el alcance ya que hay que garantizar a qué sistemas el auditor
está autorizado a acceder y en qué circunstancias. En caso contrario
podemos tener problemas incluso legales.
4. Monitorear y revisar
El alcance de un SGSI, política, auditoría o proyecto no es estático y puede
evolucionar con el tiempo a medida que se desarrollan las circunstancias, las
amenazas, las tecnologías y los requisitos. Por lo tanto, el alcance no es algo que
deba hacerse una vez al comienzo de un proyecto y luego se lo olvide.
El alcance del SGSI debe ser revisado a intervalos regulares o cuando haya
cambios significativos estableciendo para ello dependencias de tiempo en el
proyecto de seguridad que debería ser aplicable para un período de tiempo
particular.
Motivos para revisar el alcance del SGSI
 Cambios en el entorno regulatorio

 Actualizaciones a estándares o en requisitos de terceros
 Cambio en la organización (por ejemplo, cambios en la estructura de la
organización)
 No conformidades o incidentes que indiquen alcance incorrecto
 Madurez general del SGSI (el alcance puede aumentar con el tiempo)
 Cambio en los procesos y las prácticas (por ejemplo, el cese de ciertas
actividades)
 Cambios en la externalización de servicios
FASE 3 ELABORACIÓN DE LA POLÍTICA.

OBJETIVOS DEL SGSI
1. POLÍTICA DE SEGURIDAD
La política de Seguridad como requisito de la norma ISO 27001 debe considerar
en líneas generales los objetivos de la seguridad de la información de la empresa
u organización. Así que la primera pregunta a hacernos es
¿Qué queremos conseguir con la Seguridad de la información?
En este documento que es responsabilidad de la dirección, tiene como misión
además de establecer los objetivos obtener una visión sintetizada de la
funcionalidad y estado del sistema de gestión de la seguridad de la información.
En otras palabras, la política de la seguridad de la información debe ser fácil de

entender y explicar de forma resumida para qué sirve la aplicación de esta
política de seguridad en la empresa, su utilidad y los responsables.
¿Cómo redactar la política sobre la Seguridad de la Información?

Atendiendo al estándar ISO 27001 tenemos que:
1. REDACTAR UNA POLÍTICA DE ACUERDO A LAS

NECESIDADES DE CADA ORGANIZACIÓN:
En este sentido debemos tener en cuenta el tamaño, la estructura y actividad de

cada organización, pues no será lo mismo redactar una política para una gran
organización donde quizás se requiera un apartado o párrafo específico para cada
división y actividad de la misma que para una pequeña empresa.
Tampoco será lo mismo si la actividad de la empresa es la fabricación de
componentes que para una empresa que se dedique a proveer servicios de TI.
2. LA POLÍTICA DE LA SEGURIDAD DE LA
INFORMACIÓN DEBE TENER EN CUENTA LOS
OBJETIVOS DE CADA ORGANIZACIÓN
Se trata de plasmar en el documento como la seguridad de la información

respalda al negocio en el logro de sus objetivos.
Los objetivos de una organización normalmente tenemos que verlos desde dos
perspectivas:
 Los objetivos comerciales

 Los objetivos de Seguridad de la información
Los objetivos de la Seguridad de la información no deben ser
identificados en sí mismos si no como consecuencia del análisis de los
objetivos del negocio en cuanto su necesidad para respaldar su
consecución
Los objetivos de seguridad se ven afectados por las limitaciones

comerciales y medioambientales, y por las amenazas y vulnerabilidades.
Objetivos medibles
Para ello deberemos considerar métricas que permitan la comparación
entre la capacidad de seguridad actual y la capacidad requerida para
cumplir con los requisitos del negocio.
3. LA POLÍTICA DEL SGSI DEBE DEMOSTRAR QUE SE

TIENEN EN CUENTA LOS REQUISITOS DE LAS PARTES
INTERESADAS
Este punto nos lleva a expresar lo que hemos analizado en el punto sobre el
contexto de la organización donde hemos identificado las expectativas de las
partes interesadas.
Ahora es el momento de mencionar el compromiso de la organización en la

satisfacción de estos intereses y de cómo la política de Seguridad e la
información contribuye a ello. Por ejemplo en el cumplimiento de los requisitos
legales demandados por clientes, socios o entidades gubernamentales Etc.
4. LA COMUNICACIÓN DE LA POLÍTICA A LAS PARTES

INTERESADAS:
Este requisito puede ser mencionado incluso dentro del documento de la política
para una vez más, dar visibilidad a la preocupación de la dirección por cumplir
con el requisito de comunicar la política dentro de la compañía y cuando
corresponda, a las partes interesadas. Para ello se puede nombrar al responsable
de realizar esta labor y hacer mención a que se establecerán procedimientos y
procesos para garantizar que se realiza en tiempo y formas adecuadas.
5. PROPIETARIO DE LA POLÍTICA
Definir un propietario de la política y un proceso de revisión es otro de los puntos

a considerar para cumplir con los requisitos de la ISO norma 27001, que
podemos incluir en este punto con el objeto de que la política de la seguridad se
mantenga actualizada.
Otros puntos a considerar en la política de la Seguridad.
También podemos incluir dentro de la política de Seguridad aspectos como:
• El alcance del SGSI:

podemos incluir dentro de la política lo que hemos definido como el Alcance del
SGSI de forma que quede claro para todo el mundo que partes de la organización
y los procesos que están afectados.
No es necesario en este documento ni se recomienda establecer exactamente que
sistemas de información están afectados. Es mejor mantener un enfoque a nivel
de procesos del negocio y de los servicios internos afectados ya que los sistemas
y activos de información son elementos que no aportan dentro de una función.
Lo importante es divulgar que funciones están cubiertas más que sistemas o

aplicaciones dado que la política de la Seguridad es un documento no solo para
establecer criterios si no para que todos los conozcan
• Las responsabilidades del SGSI:

Parece interesante también determinar o mencionar en este documento las
responsabilidades estratégicas para la seguridad dela información dentro de la
empresa tales como las responsabilidades sobre la gestión de riesgos, la
realización de las auditorías internas o la gestión de los incidentes sobre la
• La estructura de la empresa,
Incluir una estructura organizacional donde se determine la asignación, el control
y coordinan los roles, el mando y las responsabilidades, y cómo fluye la
información entre los diferentes niveles de gestión.
• El enfoque y la metodología para el análisis y evaluación de riesgos
Cuál es el enfoque cuantitativo y cualitativo en cuanto a riesgos aceptables
dependiendo de la naturaleza de su empresa y de su tolerancia al riesgo.
2 OBJETIVOS DE SEGURIDAD DEL SGSI
El objetivo general es implementar una serie de iniciativas que en conjunto
logren todos los objetivos de seguridad del SGSI
La política de seguridad define lo que se quiere proteger así como las reglas y
conductas para los usuarios del sistema para preservar la seguridad de los mismos
Cada servicio ya sea interno o externo plantea riesgos para su sistema y la red a
la que está conectado.
Una política de seguridad es un conjunto de pautas que se aplican a actividades y

los recursos de una organización incluyendo áreas tales como seguridad física,
seguridad del personal, seguridad administrativa y seguridad de la red.
La política de la Seguridad de la Información proporciona una base para la

planificación de seguridad incluso cuando se amplían los sistemas o se crean
nuevas aplicaciones:
 Describiendo las responsabilidades del usuario, como proteger la

información confidencial y crear contraseñas no triviales.
 Explicando cómo controlará la efectividad de sus medidas de seguridad.
 El control y la monitorización nos ayuda a determinar si alguien intenta
eludir las salvaguardas para proteger la información.
Para desarrollar su política de seguridad, debe definir claramente sus objetivos de
seguridad.
Los objetivos de seguridad se podrían clasificar en las siguientes categorías:
OBJETIVO 1: PROTECCIÓN DE ACTIVOS DE

INFORMACIÓN
Un esquema de protección de activos o recursos de información debe garantizar

que solo los usuarios autorizados puedan acceder a objetos de información en el
sistema.
La capacidad de asegurar todos los tipos de recursos del sistema es una fortaleza
del sistema.
Debe definir cuidadosamente las diferentes categorías de usuarios que pueden

acceder a su sistema.
Como un concepto dentro de la política de seguridad deberíamos definir qué
tipos de autorizaciones de acceso se otorgaran a los distintos grupos de usuarios.
OBJETIVO 2: AUTENTICACIÓN
Deberemos verificar que los accesos de cualquier tipo en el otro extremo de la

sesión realmente es lo que dice ser. La autenticación sólida protege a un sistema
contra el riesgo de suplantación de identidad por el que un usuario ya sea humano
o una interfaz entre aplicaciones, usa una identidad falsa para acceder a un
sistema.
Tradicionalmente, los sistemas han utilizado contraseñas y nombres de usuarios

para la autenticación. Podemos utilizar también certificados digitales como una
mejora en la seguridad. Cuando accedemos desde el sistema a una red pública
como Internet, la autenticación del usuario adquiere nuevas dimensiones. Una
diferencia importante entre Internet y su intranet ya que la capacidad para confiar
en la identidad de un usuario que inicia sesión se reduce drásticamente. Es por
ello que, deberemos pensar en utilizar métodos de autenticación más sólidos que
los que proporcionan los procedimientos tradicionales de inicio de sesión de
nombre de usuario y contraseña.
Finalmente, los usuarios autenticados pueden tener diferentes tipos de permisos

según sus niveles de autorización.
OBJETIVO 3: AUTORIZACIÓN
El nivel de autorización se define en la política de seguridad al discriminar los

usuarios que tienen autorización para el acceso a determinados recursos junto con
un proceso de segmentación de las aplicaciones y el acceso a los diferentes
recursos
Mediante los procesos de autenticación se determina además si el usuario una vez
identificado tiene los permisos o la autorización necesaria para acceder a los
recursos.
Por lo general, la autorización se realiza en el contexto de la autenticación.
Un elemento a tener en cuenta y que se puede definir en una política de seguridad

es la necesidad de revocar las autorizaciones periódicamente o una política de
renovaciones para garantizar que las personas que acceden a determinadas
informaciones sensibles son siempre las que se han determinado
OBJETIVO 3: INTEGRIDAD DE LA INFORMACIÓN
El concepto de integridad se refiere a que la información se mantenga integra

dentro las operaciones que se realizan y sobre todo en los procesos de
comunicación.
Aquí debemos considerar:
Integridad de los datos

Se define como la necesidad de proteger la información contra modificaciones o
manipulaciones no autorizadas. Por tanto, la integridad de los datos depende de
las medidas contra los riesgos de manipulación de la seguridad, en el que alguien
accede y modifica la información a la que no está autorizado.
Los riesgos para la integridad de la información deben tener en cuenta además la

fuente de los datos ya que para el caso de accesos y datos provenientes de redes
que no son de confianza como las redes públicas o internet. Para ello se deben
estudiar medidas adicionales como “encriptación de datos” o sistemas de doble
verificación para transmisiones de datos y comprobaciones de transmisiones
finalizadas y terminadas (“comprobación de no repudio”)
Para sistemas de correo electrónico también existen métodos de certificación y
medidas de seguridad adicionales para controles de acceso y otros.
Integridad del sistema

La definición de integridad para los sistemas consiste en esperar que el sistema
nos proporcione siempre resultados consistentes. Para ello se deben considerar
aspectos de rendimiento y consistencia de los distintos sistemas operativos y de
la arquitectura del sistema a la hora de elegir cual nos conviene ya que existen
sistemas que dificultan enormemente a un hacker imitar o cambiar un programa
de sistema operativo cuando usan niveles de seguridad altos.
Irrenunciabilidad de transacciones (No repudio)

Los métodos de comprobación de envíos y recepción de datos permiten obtener
protección y seguridad contra las interrupciones mediante certificados digitales y
criptografía de clave pública para firmar transacciones, mensajes y documentos
de respaldo así como de firma electrónica.
Se trata de garantizar tanto la prueba de que la transmisión fue enviada como de

que fue recibida identificando tanto al emisor como al receptor.
Confidencialidad
La política de Seguridad debe garantizar la confidencialidad de la información
esto es:
 La información sensible se mantiene en entornos privados y protegida

contra accesos no autorizados y ataques maliciosos
 Se utilizan medidas especiales orientadas a su protección tales como
 El cifrado de datos mediante el uso de certificados digitales
 Conexiones Secure Socket Layer (SSL) o red privada virtual (VPN)
 Se garantiza la confidencialidad de la información no solo dentro de la red
y sistemas privados de la organización sino también cuando la información
abandona su red
OBJETIVO 4: AUDITORÍA DE ACTIVIDADES DE
SEGURIDAD.
Se puede establecer como objetivo la constate vigilancia y registro de los

posibles incidentes y de actividades sospechosas de forma que podamos prevenir
los eventos no deseados
Se trata de supervisar los eventos relevantes para la seguridad a fin de podamos

tener por ejemplo un registro de accesos exitosos y no exitosos o denegados. Con
esta información podemos evaluar quién está haciendo qué en nuestros sistemas.
Y si alguien está intentando violar su seguridad o que se están teniendo
dificultades para acceder a nuestro sistema.
FASE 4 PLANIFICACIÓN DEL SGSI

FASE 4 Planificación del SGSI
 Inventario de Activos
 Catálogo de Amenazas
 Valoración de las amenazas Para la Seguridad de la
Información
 Análisis de Riesgos
 Evaluación de riesgos
 Plan de tratamiento de riesgos
 Selección de controles: Declaración de Aplicabilidad
INVENTARIO DE ACTIVOS
En primer lugar necesitamos identificar los activos de información junto con sus
amenazas y vulnerabilidades tal como vimos en la sección de DEFINICION DEL
ALCANCE
En primer lugar daremos unas pautas para identificar los activos de información
 1.- Identifique los servicios tanto internos como externos de la

organización
 2.- ¿Qué información necesita para desarrollar los servicios?
 3.- ¿Qué infraestructura está involucrada en la prestación de los servicios?
o Hardware, por ejemplo, computadoras portátiles, servidores,
impresoras, pero también teléfonos móviles o memorias USB.
o Infraestructura: oficinas, electricidad, aire acondicionado etc.
 4.- ¿Aplicaciones Software están involucradas en la prestación de los
servicios? No solo el software comprado, sino también el software
gratuito.
 5.- Identifique las actividades subcontratadas
o Servicios legales
o Servicios de limpieza
o Servicios en la nube
o Servicios de correo
o Etc.
 6.- Identifique las personas de las que dependen los servicios. Considere
que tipo de información relevante para el negocio se puede encontrar solo
en “las cabezas” de ciertas personas y que a menudo no está disponible en
otras formas.
 7.- Determine los medios por los que se transmite la información
 8.-Identifique los soportes en los que se encuentra la información: no solo
en soportes electrónicos como bases de datos, archivos en PDF, Word,
Excel y otros formatos, sino también en papel y otras formas.
A continuación les dejamos una recomendación para el tipo de Información y
estructura para un inventario de Activos de acuerdo a la norma ISO 27001
 Nombre del Proceso
 Dueño o propietario del proceso
 Nombre del Activo
 Descripción del Activo
 Tipo de activo de información / Medio
o Copia impresa, archivo electrónico: (especificar tipo)
o Medio / dispositivo extraíble : (especificar tipo)
 ¿Contiene Datos personales?
 ¿Contiene Datos personales Sensibles?
 Confidencialidad ( Alta – Media – Baja )
 Disponibilidad ( Alta – Media – Baja )
 Integridad ( Alta – Media – Baja )
 ¿Quién custodia el Activo? (si no es funcional)
 Periodo de retención de datos
 Nivel de protección Actual
Ejemplo:
o Para copia impresa:
• Guardado en caja fuerte a prueba de fuego
• Guardado bajo llave en todo momento
• Se mantiene bajo llave durante la noche
• Guardado en armario / archivo sin llave
• Guardado en el escritorio
o Para copia electrónica:
• Almacenado en unidades locales – PC portátil sin protección
• Almacenado en unidades locales – PC portátil, el archivo está
protegido con contraseña
• Almacenado en la unidad de red en portátil sin protección
• Almacenado en la unidad de red – PC portátil, el archivo está
protegido con contraseña
• Almacenado en PC desprotegido
• Almacenado en la PC, el archivo está protegido con contraseña
• Almacenado en computadora portátil cifrado o PC
NOTA; Si la información se transmite detallar el lugar de destino y al nivel de
protección en el lugar de destino
Valoración de Activos y asignación de riesgos
El siguiente paso será asignar a cada activo una valoración del riesgo para cada
activo en relación al impacto que tendría una pérdida de confidencialidad,
disponibilidad o integridad. En este sentido un riesgo puede definirse como un
evento posible con un impacto comercial negativo.
Junto con el impacto deberemos precisar con la mayor exactitud posible la

probabilidad de que ocurra dicho evento ya que no basta con el impacto posible
ya que el número de ocurrencias esperado es lo que junto al impacto determina
finalmente el perfil del riesgo de cada activo.
Entonces, determinar el posible daño es el primer paso. Para ello podríamos

definir una escala a aplicar para cada activo en relación a las tres dimensiones de
cada información, es decir cómo afecta su pérdida de confidencialidad, integridad
o disponibilidad.
Veamos la siguiente escala de 5 valores

5 puntos impacto Extremo
Cuando existe la posibilidad de que el impacto tenga como consecuencia
cualquiera de las siguientes eventos
 Pérdida financiera insoportable para el negocio

 Cobertura de medios negativa internacional a largo plazo; pérdida total de
la cuota de mercado
 Enfrentar juicios con posibilidad de encarcelamiento de directivos
 Multas importantes
 Litigios que incluyen acciones colectivas,
 Lesiones o muertes a empleados o terceros, como clientes o vendedores
 Fuga de talentos con consecuencias lesivas para el negocio
4 puntos impacto Importante
Si concurren alguna de las siguientes consecuencias:
 Pérdida financiera entre un valor 1 y un valor 2

 Impacto nacional negativo a nivel de medios de comunicación a largo
plazo
 Pérdida significativa de cuota de mercado
 Requisito de comunicación a las entidades reguladoras por incidentes con
un proyecto importante como acción correctiva
 Se requiere atención hospitalaria limitada para empleados o terceros, como
clientes o vendedores
 Alta rotación de personal experimentado
3 puntos impacto Moderado
 Impacto en medios de comunicación negativo a nivel nacional a corto
plazo
 Requisito de comunicación a las entidades reguladoras por incidentes con
una acción correctiva inmediata
 Tratamiento médico ambulatorio requerido para empleados o terceros,
clientes o proveedores
 Problemas generales en el ánimo o moral del personal y alta rotación
2 puntos impacto Menor

 Daño reputaciones local
 Incidente denunciable al regulador, sin seguimiento
 Sin lesiones menores a empleados o terceros, como clientes o proveedores
 Problemas generales en el ánimo o moral del personal y aumento en la
rotación
1 punto impacto incidental
 Pérdida financiera insignificante
 La atención de los medios locales se remedia rápidamente
 Incidente no reportable a las entidades reguladoras
 No hay lesiones para los empleados o terceros, como clientes o
proveedores
 Insatisfacción del personal
Valoración del impacto en un activo

Teniendo en cuenta la siguiente escala, cada activo tendrá una valoración de 0 a 5
para todas sus dimensiones
 0 No Aplicable
 1 Incidental
 2 Menor
 3 Moderado
 4 Importante
 5 Extremo
Con este esquema podremos evaluar el nivel de impacto del riesgo para la
seguridad de la información de todos y cada uno de los activos
El siguiente paso consiste en elaborar un catálogo de amenazas considerando

como tales a cualquier intento o evento capaz de alterar la seguridad de la
información:
CATÁLOGO DE AMENAZAS
Para encontrar las amenazas que pueden afectar a una organización en concreto,
se deben conocer las fuentes de amenazas y las áreas específicas del sistema que
pueden verse afectadas así como los activos de seguridad de la información que
se pueden proteger por adelantado.
Para comprender e identificar las amenazas y sus posibles impactos contamos
con diferentes maneras para clasificar dichas amenazas así como los criterios.
Normalmente deberíamos tener en cuenta para ello la fuente de la amenaza, los
agentes y las motivaciones.
Otra forma de resolver esta cuestión seria considerar las amenazas bajo el prisma
del impacto que pueden causar en la seguridad de la información
Aquí les proponemos identificar primero las amenazas para en un segundo paso
analizar el nivel de impacto de cada una aplicada cada activo de información
Existen numerosos catálogos de amenazas, a modo de ejemplo les proponemos

un catálogo genérico
Ejemplo de catálogo de amenazas para la seguridad de la información:
CASO PRACTICO:
catálogo de amenazas para la seguridad de la
información
• A1 Fuego
Aquí podríamos distinguir sobre fuego en CPD (centro proceso de datos) o en
oficinas etc.
• A2 Condiciones climáticas desfavorables
Se trata de analizar las consecuencias para equipos e instalaciones en caso de
condiciones adversas. Como ejemplo podríamos evaluar las consecuencias de las
altas temperaturas en verano junto con las necesidades de los equipos de
climatización. En este caso deberíamos evaluar fallos en equipos por altas
temperaturas o desmagnetizaciones de soportes de información etc.
• A3 Inundaciones
Aquí deberíamos evaluar las posibles causas de inundaciones de agua en las
instalaciones y oficinas
 Inundaciones por interrupciones de suministro
 Sistemas de riego
 Sistemas de calefacción
 Sistemas contra incendios
 Sabotajes (grifos bloqueo de desagües etc.)
• A4 Contaminación, polvo, corrosión
En este punto podríamos tener en cuenta el riesgo de contaminación de salas de
equipos especialmente sensibles a niveles de polvo o sustancias en suspensión
etc.
 Contaminación por obras o reformas en las salas
 Polvo derivado de tareas de empaquetado
 Instalaciones de nuevos equipos
• A5 Desastres Naturales
Probabilidad de ser afectado por inundaciones, terremotos, tormentas eléctricas,
impactos sobre la disponibilidad de servicios de comunicaciones etc.
• A6 Desastres ambientales
Probabilidad de ser afectado por desastres ambientales
 Incendios
 Explosiones
 Fugas
 Evaluación del entorno (empresas vecinas con actividades peligrosas)
 Interrupción de accesos al trabajo
• A7 eventos importantes en el medio ambiente

Probabilidad de ser afectado por obras realizadas en el entorno, manifestaciones
o desordenes públicos etc.
• A8 Interrupción de la fuente de alimentación
 Probabilidad de interrupciones micro cortes en el suministro eléctrico<
 Estabilidad de la red
 Subidas de tensión
 Afectaciones a sistemas de seguridad, ascensores
 Interrupciones prolongadas
• A9 Interrupción de las redes de comunicación

Como afectan las interrupciones de las comunicaciones a
 Comunicación con los clientes
 Procesos propios del negocio
 Perdidas de datos
 Procesos de pedidos
 Dependencia de servicios de Internet
 Etc.
• A10 Interrupción del suministro de red
Sistemas o tareas afectadas por falta de suministro
 Climatización o ventilación
 Agua y alcantarillado, (Sistema contra incendios)
 Gas
 Sistemas de alarma y control (por ejemplo, para robo, incendio, control de
limpieza)
 Sistemas de comunicación internos
• A11 Fracaso o interrupción de los proveedores de servicios

 Interrupciones parciales o totales de servicios subcontratados
 Niveles de calidad de los servicios no aceptables
 Indisponibilidad de instalaciones externas
• A12 Interferencias
Interferencias en servicios inalámbricos (p. ej. Redes WLAN, Bluetooth, GSM,
UMTS)
• A13 Emisiones comprometidas
Riesgo de interceptación de información confidencial por radiaciones emitidas
por equipos
• A14 Espionaje
 Riesgo de exposición de información sobre la compañía, productos y
servicios que puedan ser utilizados por la competencia o entidades para
perjuicio de la actividad de la organización
 Escuchas ilegales
 Intercepción de señales de transmisión
 Intercepción de transmisiones desprotegidas de datos en redes publicas
• A15 Robo de dispositivos, soportes de almacenamiento y documentos

Robo de soportes de almacenamiento de datos, sistemas de TI, accesorios,
software o datos de clientes etc.
• A16 Pérdida de dispositivos, soportes de almacenamiento y documentos
Pérdidas de equipos portátiles o soportes de almacenamiento de datos (Tarjetas
de memoria) Documentos impresos olvidados en restaurantes o en lugares
públicos, medios de transporte
• A17 Mala planificación o falta de adaptación
 Procedimientos inadecuados de mantenimiento
 Protocolos de transferencia
 Procesos de adquisición de nuevas tecnologías
• A19 Divulgación de información sensible
 Accesos no autorizados
 Reciclaje de equipos y soportes
 Destrucción de equipos y soportes
 Software malicioso
 Difusión de información inadvertida en procesos externos (Ordenes de
reparación etc.)
 Robo de contraseñas
 Etc.
• A18 Información o productos de una fuente no confiable

 Verificación insuficiente de información o software externo
 Apertura de archivos o aplicaciones provenientes de fuentes no verificadas
en equipos de trabajo (P. ej. emails)
 Instalación de aplicaciones y actualizaciones de software por usuarios
finales
• A19 Manipulación de hardware o software
 Venganzas de empleados
 Actuaciones ilícitas para beneficio propio
• A20 Manipulación de información

 Datos falos en formato electrónico o en papel
 Falsificación o modificación de datos y documentos
• A21 Acceso no autorizado a los sistemas de TI Accesos no autorizados a

aplicaciones o sistemas
• A22 Destrucción de dispositivos o soportes de almacenamiento
Destrucción de soportes de almacenamiento o sistemas TI por venganzas,
negligencias o usos indebidos
• A23 Fallo de dispositivos o sistemas
 Fallos en dispositivos críticos del sistema
 Fallos técnicos por mal funcionamiento
 Fallos por uso indebido o errores humanos
 Fallos por causas externas (falta de suministro etc.)
 Fallos por sabotaje
 Fallos por accidentes
• A24 Mal funcionamiento de dispositivos o sistemas

 Por fatiga o desgaste del material
 Falta de mantenimiento
 Tolerancias de fabricación
 Errores de diseño
 Superación de límites máximos de carga o condiciones de uso
• A25 Falta de recursos
 Congestiones en el servicio (cuellos de botella)
 Sobrecargas en sistemas e infraestructuras
 Requisitos de nuevas aplicaciones que exceden las capacidades existentes
 Falta de recursos económicos
• A26 Vulnerabilidades o errores del software

 Errores de programación
 Fallos en navegadores y aplicaciones WEB
• A27 Violación de leyes o regulaciones

 Violaciones de leyes sobre procesamientos de información
 Incumplimientos de cláusulas contractuales
 Incumplimientos legales en el tratamiento de datos personales
• A28 Uso no autorizado o administración de dispositivos y sistemas

• A29 Uso incorrecto o administración de dispositivos y sistemas
• A30 Abuso de Autorizaciones
• A31 Ausencia de personal
 Bajas prolongadas
 Sustituciones por bajas o vacaciones
 Bajas masivas por epidemias
• A32 Terrorismo
 Ataques con explosivos
 Incendios premeditados
 Ataques con armas de fuego
• A33 Coerción, extorsión o corrupción

Uso indebido de datos o acceso a datos confidenciales por chantajes, extorsiones
o corrupción de personas
• A34 Robo de identidad
 Robos de datos personales para suplantar identidades (datos bancarios etc.)
 Ataques con datos ficticios (Suplantación de identidades por maquinas o
robots)
• A35 Comportamientos anti-éticos
Negación de recepción de informaciones, mensajes o instrucciones de seguridad
(p. ej. negar la recepción de emails o pedidos realizados etc.)
• A36 Abuso de datos personales
 Violaciones a las leyes sobre protección de datos
 Recoger datos sin base legal o consentimiento,
 usa para fines diferentes al objetivo establecido en el momento de la
recolección,
 eliminación de datos personales demasiado tarde
 Divulga datos de forma no autorizada
 Etc.
• A37 Software malicioso

Ataques de software malicioso tales como virus, gusanos y caballos de Troya.
• A38 Ataques DoS o denegación de servicio
 Interrupciones de los procesos comerciales (envió masivo de formularios
etc.)
 Daños a la infraestructura (Bloque de accesos etc.)
 Fallos por sobrecarga por ataques por accesos masivos provocados
• A39 Ingeniería Social

Los ataques típicos de ingeniería social para acceder de forma no autorizada
suponen casi siempre una suplantación de identidad basándose en la confianza,
miedo o respeto de personas. Normalmente se utilizan llamadas urgentes para
reclamar información de contraseñas etc. amparados en la autoridad, la amistad o
la confianza.
• A41 Reproducción de mensajes
Intercepción de transmisiones para introducir datos maliciosos y retransmitir el
mensaje
• A42 Entrada no autorizada a las instalaciones
• A43 pérdida de datos
Perdida de la disponibilidad de datos por borrados indebidos o corrupción por
Software malicioso, usos indebidos o fallos técnicos
VALORACIÓN DE LAS AMENAZAS PARA LA

SEGURIDAD DE LA INFORMACIÓN
FRECUENCIA O PROBABILIDAD DE OCURRENCIA
Para cada amenaza deberemos identificar la probabilidad de que ocurra o la
frecuencia con la que puede presentarse determinando en una escala su valor.
La escala para definir la frecuencia podría ser:
Probabilidad Mínima o muy baja:

No se identifican agresores o incidentes ni hay antecedentes (valor 0)
Probabilidad Potencial o Baja:
Se identifica historial de este tipo de agresiones así como incidentes dentro del
sector o área geográfica, pero no hay incidentes registrados en nuestra
organización. Se esperan posibles incidentes de forma esporádica (Valor 1)
Probabilidad Creíble o Media:
Se identifica historial de este tipo de agresiones así como incidentes en nuestra
organización. Se esperan posibles incidentes de forma periódica sin frecuencia
determinada. (Valor 2)
Probabilidad Definida o Alta:
Se identifica historial de este tipo de agresiones e incidentes en nuestra
organización identificándose el origen. Incidentes o eventos de esta naturaleza
ocurren con frecuencia conocidos (Valor 3)
NIVEL DE VULNERABILIDAD
La vulnerabilidad considera el impacto potencial de la perdida de información si
la amenaza se produce. Se trata de considerar en qué grado la organización se ve
afectada cuando la amenaza se realiza.
Un componente clave de la evaluación de la vulnerabilidad es definir

adecuadamente las calificaciones para el impacto de la pérdida y la
vulnerabilidad ya que esto puede variar para distintos activos.
No es lo mismo la indisponibilidad de datos de varios minutos en un sistema de

control de tráfico ferroviario que en la indisponibilidad de minutos de la base de
datos de empleados de la misma organización.
Ejemplo de escala de valoración de vulnerabilidades de una amenaza determinada
Menor deterioro inexistente (Valor 0):

No hay impacto en las instalaciones ni en las operaciones. La interrupción es
menor a 2 horas. No hay pérdida ni daño en activos importantes.
Perceptible o deterioro bajo (Valor 1):

Las instalaciones quedan temporalmente cerrada o no puede operar, pero puede
continuar su actividad. La interrupcion es menor a 8 horas. Existe un daño
limitado de activos. La mayoría de las instalaciones no se verán afectadas.
Grave o deterioro medio (Valor 2):

Instalaciónes parcialmente dañadas (climatización, agua, humo, impacto o
incendio en algunas áreas etc.).
Algunos activos de información están dañados sin posibilidad de reparación, pero
la instalación permanece intacta en su mayoría. Toda la instalación puede estar
cerrada por un período de hasta una semana y una parte de la instalación puede
estar cerrada por un período prolongado (hasta 4 semanas). Es posible que se
deba mover algunos activos a ubicaciones remotas para protegerlos del daño
ambiental.
Catastrófica o deterioro alto (Valor 3):

Daños irreparables en instalaciones / afectada más allá del uso habitable. La
mayoría de los datos y activos se pierden, destruyen o dañan sin posibilidad de
reparación o restauración.
ANÁLISIS DE RIESGOS
Ante una amenaza potencial podemos ahora establecer un análisis en base a los
parámetros de la frecuencia y el valor de la vulnerabilidad.
Esto lo haremos en diferentes pasos

PASO 1 DEFINIR NIVELES DE IMPACTO DE LAS
AMENAZAS
Cada amenaza tendrá un nivel de impacto en base a su Nivel de Vulnerabilidad que a su
vez estará condicionada al nivel asociado a cada dimensión del activo.
Así obtenemos un nivel de impacto asociado a cada dimensión
(Confidencialidad, Disponibilidad e Integridad) del activo
Tabla 1 Valores Impacto

PASO 2 CALCULAR LOS VALORES DE IMPACTO DE
CADA ACTIVO
Con los datos que ya tenemos
 Escala de valoración de amenazas (probabilidad/ocurrencia)

 Escala de valoración de activos (Nivel de deterioro
/Confidencialidad/Disponibilidad/Integridad)
Podemos entrar en la valoración de activos
Tabla Valoración de activos

PASO 3 CALCULAR NIVEL DE IMPACTO
Basados en la tabla anterior donde tenemos la valoración de los activos en cuanto

a su probabilidad y grado de deterioro, podemos calcular el nivel de impacto para
cada valor combinado de ambos valores buscando su equivalencia en la tabla
tabla 1 Valores de Impactos.
Valor Probabilidad/Ocurrencia & Valor Deterioro = Nivel de impacto

Así obtendremos una tabla como la que sigue.
Nivel de impacto
PASO 4 CALCULAR RIESGO

El análisis de riesgos debe realizarse sin tener en cuenta las medidas
para mitigar o evitar el riesgo que se estén tomando actualmente. Se
trata de evaluar el riesgo y su impacto real antes de que se apliquen
medidas para poder evaluar realmente qué medidas son efectivas y
necesarias.
El objetivo final es asignar un valor de riesgo para cada activo de información

detallado para cada amenaza a la que está expuesta para así poder asignar luego
un tratamiento para los riesgos que resulten con niveles altos. Esto lo veremos
más adelante.
Ahora en primer lugar tendremos definir nuestra MATRIZ GENERAL DE

RIESGOS según los datos que ya tenemos
Para la matriz de riesgos utilizaremos los valores de la Tabla 1 Valores de
Impacto a los cuales les asignaremos un valor de Riesgo según la escala de
Valores de la probabilidad del riesgo:
Valores de Riesgo
Esta será por tanto nuestra matriz general de riesgos con valores de riesgo de 1 al
9
Vamos ahora a calcular el riesgo para cada activo de información. Para ellos nos
tenemos que valer de los datos de las tablas
 Tabla 2 de Valoración de Amenazas de Activos

 Tabla 3 de Nivel de Impacto
 Tabla 4 Valores de Riesgo
Para cada amenaza calcularemos el valor del riesgo buscando en la tabla 2 el
valor de la probabilidad de cada amenaza y en la tabla 3 su correspondiente Valor
de impacto para determinar su valor de Riesgo correspondiente en la Tabla 4
Valor Probabilidad/Ocurrencia & Nivel de Impacto = Nivel de Riesgo

Con ello obtendríamos una tabla con la valoración del riesgo denominada mapa
de riesgos para cada activo y amenaza
Cálculo de Valores de Impacto
EVALUACIÓN DE RIESGOS
Una vez que tenemos determinado un valor de riesgo para cada amenaza que
puede afectar a un activo de información deberemos en primer lugar definir los
criterios aceptables para el riesgo. En otras palabras, tendremos que designar que
niveles de riesgos son asumibles y cuales deberemos tomar medidas
Para nuestro caso de ejemplo vamos a definir 4 niveles de riesgo para establecer
los criterios de tratamiento o aceptación de riesgos según las puntuaciones
posibles que determinamos en la Tabla 4 Valores de Riesgo
Clasificación y valoración del riesgo
Con base en los hallazgos del análisis de riesgos, el siguiente paso en el proceso
es identificar las medidas disminuyan los diversos niveles de riesgo. Estos se
denominan dentro de la norma ISO 27001 como controles de riesgos para la
seguridad de la información
En primer lugar podríamos considerar realizar un plan urgente para incluir

actualizaciones de controles adicionales por encima de los estándares mínimos
recomendados por la organización, según sea necesario, para abordar las
amenazas específicas y los riesgos inaceptables asociados que se hayan
identificado siempre que se hayan evaluado los costes estimados para
implementar dichas las medidas.
TRATAMIENTO DE RIESGOS
Una vez identificados y valorados los riesgos el siguiente proceso dentro de la
gestión de riesgos es realizar un plan para el tratamiento de los riesgos
identificados.
Los resultados de la evaluación de riesgos nos ponen en primer lugar una

selección de los riesgos que no son aceptables para la organización.
El tratamiento de estos riesgos inaceptables es la tarea principal del siguiente
paso del tratamiento de riesgo.
La pregunta es: ¿Qué opciones tenemos a la hora de afrontar cada uno de los
riesgos inaceptables?
Antes de establecer medidas concretas para mitigar estos riesgos tenemos cuatro
opciones de tratamiento de riesgo:
• MITIGAR EL RIESGO
Se trata de disminuir los riesgos hasta un nivel de riesgo aceptable mediante la
aplicación de controles de seguridad del Anexo A incluidos en el documento
“anexo A de la norma ISO 27001” o también referenciado como ISO 27002
• TRANSFERIR EL RIESGO
Dependiendo del tipo de riesgo podemos pensar en transferir el riesgo. La
transferencia de riesgos es una estrategia de gestión y control de riesgos que
implica el cambio contractual de un riesgo puro de una parte a otra. Un ejemplo
es la compra de una póliza de seguro, por la cual se transfiere un riesgo
específico de pérdida del titular de la póliza a la aseguradora.
• EVITAR EL RIESGO
Prevenir o evitar un riesgo mediante la eliminación de peligros, actividades y
exposiciones que pueden afectar negativamente los activos de información una
organización. NO se trata de una gestión propia de los riesgos que tiene como
objetivo controlar los daños y las consecuencias financieras de los eventos
amenazantes, la prevención de riesgos busca evitar por completo el compromiso
de los eventos.
• ACEPTAR EL RIESGO
Aceptar el riesgo significa que, aunque el riesgo está identificado y registrado en
el proceso de gestión de riesgos, no se realizará ninguna acción. Simplemente se
acepta que pueda suceder y se aplicara un tratamiento específico si así ocurre.
Esta es una buena estrategia para usar con riesgos muy pequeños: riesgos que no
tendrán un gran impacto en la actividad de la organización si llega a ocurrir y
existe una solución fácil en caso de que surja. Esto lo haremos en el caso que el
coste de una estrategia alternativa de gestión de riesgos para enfrentar el riesgo
sea mayor que los recursos empleados en asumir el riesgo.
RESPONSABLE DEL RIESGO
El siguiente paso será definir qué estrategia se va a seguir para tratar cada uno de
los riesgos identificados. En este proceso ha de identificarse al propietario de los
riesgos quien deberá intervenir en la toma de decisión del tratamiento que se va a
realizar cada una de las amenazas y riesgos identificados
Resumiendo, en en análisis de riesgos tenemos la documentación sobre
 Documentación sobre los criterios utilizados para las valoraciones de los

riesgos y las evaluaciones particulares y hemos de generar explicando
como hemos valorado los impáctos de cada riesgo y que vimos en
capítulos anteriores
 Documentación sobre las valoraciones intrínsecas de cada riesgo
 El inventario de activos de información con la identificación de los
propietarios de cada activo
 La definición del riesgo asumible tomada en la evaluación de riesgos
A partir de aquí podemos determinar que vamos a hacer con cada uno de los
riesgos y documentarlo explicando la alternativa de tratamiento de riesgos
elegida (Mitigar, Trasladar, Evitar o Asumir el riesgo)
SELECCIÓN DE CONTROLES: DECLARACIÓN

DE APLICABILIDAD
La última etapa consiste en identificar los controles de seguridad que vamos a
aplicar a los activos que hemos determinado para el tratamiento de mitigación de
riesgos.
Para la selección de controles convendría tener un cuadro sobre las
características, y clasificación de la información de cada activo para poder
seleccionar los controles adecuados
Esta información preferiblemente ya debe ser recogida en el Inventario de activos

donde se puede incluir una:
 Clasificación de la información (datos personales, nivel de

confidencialidad etc.)
 Necesidad de establecer controles de acceso
 Incluida o no en procesos de copia de seguridad
 Soportes en que se encuentra
 Necesidades transmitir la información etc.
A partir de esta información podremos establecer una serie de controles técnicos
y organizativos para proteger el activo de las amenazas.
Finalmente deberemos realizar un análisis de aplicabilidad o Declaración de

aplicabilidad tomando en cuenta todos los controles del Anexo A en orden a
verificar que no se ha dejado fuera ningún control que se pueda aplicar a la
protección de este activo
Obviando los controles obligatorios de la norma ISO 27001 como la asignación

de responsabilidades o Política de privacidad, tendremos que realizar y
documentar este análisis de aplicabilidad lo que constituirá nuestra declaración
de aplicabilidad
Modelo de declaración de aplicabilidad ISO 27001

Modelo de declaración de aplicabilidad ISO 27001
FASE 5 DOCUMENTACION DEL SGSI

Como todo sistema de gestión la parte de generar o construir la documentación es
una parte Sistema documental ISO 27001
¿QUÉ DOCUMENTAR EN ISO 27001 Y POR
QUÉ?
Si tomamos como ejemplo el proceso para la gestión del riesgo visto en el
capítulo anterior, el análisis de riesgos conduce a la identificación de los
controles de riesgos a aplicar y finalmente hemos llegado a una declaración de
aplicabilidad confrontando los activos de información, sus amenazas y los
controles del anexo A.
Junto con estos procesos que hemos visto, además hemos de considerar que para
llevarlos a cabo hemos tenido que basarnos en una estructura de gestión y de un
proceso de toma decisiones, de definición de responsabilidades y de
comunicación para aprobar y validar las tareas que hemos realizado
Todo esto hay que documentarlo
El fin de que finalmente todo quede documentado es necesario por dos motivos
fundamentales
 Garantizar la repetición en el tiempo de un proceso. La base para

garantizar la aplicación sistemática de un proceso es su documentación
 Establecer un proceso de mejora. La documentación de un proceso permite
el acceso a información valiosa cuando decidimos evaluar la eficacia de
nuestro sistema de gestión y nos permite tomar decisiones para modificar
por ejemplo el proceso de toma de decisiones para mejorar nuestro
sistema. Este es uno de los principales motivos de un sistema de gestión:
LA MEJORA CONTINUA de nuestros procesos
La Mejora continua no se puede conseguir si no documentamos de forma
adecuada el mismo Sistema de Gestión
 Como evidencia del cumplimiento con los requisitos de la norma.

Mantener información documentada es el medio para justificar el
cumplimiento con los requisitos de la norma. NO basta afirmar que
realizamos una tarea de una determinada forma. Es necesario que existan
registros que dejen constancia de lo que hacemos.
¿QUÉ INFORMACIÓN DEBE PUBLICARSE?
La información oficial del sistema SGI debería estar disponible para el personal
que tenga derecho a su consulta.
En cuanto al medio de publicación no tenemos ningún requisito específico en la

norma sin embargo, resulta conveniente que se publique en soportes electrónicos
y que faciliten su difusión tales como intranet o en entornos de red compartidos
Los requisitos de la norma ISO 27001 en este caso nos piden que la
documentación:
 Este completa
 Se encuentre actualizada
 Se realice un control de la documentación. Para ello lo más conveniente es
tener un control mediante codificación que nos informe de la versión
actualizada del documento y de las últimas modificaciones
Los documentos que contienen información importante sobre cómo se gestiona la
seguridad de la información deben ser protegidos bajo medidas de seguridad. Nos
referimos a documentos como el análisis y evaluación de riesgos de la seguridad,
su plan de tratamiento o la declaración de aplicabilidad
NIVELES DE DOCUMENTOS EN ISO 27001

La documentación del SGSI podemos estructurarla en cuatro niveles de
información:
Figura1:Niveles de documentación ISO 27001

1.- Políticas de Seguridad:
Las políticas de seguridad nos proporcionan las líneas maestras de actuación en
cada caso. Además de la Política de Seguridad de alto nivel del SGSI podemos
apoyarnos en políticas específicas que desarrollan temas particulares y a los
cuales podemos hacer referencia en el mismo documento de alto nivel.
Así podemos establecer políticas específicas para:
 Uso aceptable de internet dentro de la empresa

 Uso de dispositivos móviles corporativos
 Política de uso de dispositivos móviles no corporativos (BYOD o Bering
Yogur Owen Divise)
 Etc.
Procesos y procedimientos de seguridad
Se trata de procesos definidos específicamente para mejorar la eficacia y la
eficiencia de las tareas de la Seguridad de la información. El objetivo es gestionar
responsablemente el riesgo que entraña para la seguridad de la información en
relación con los tipos de tecnologías que eligen implementar, interpretando
tecnología en sentido amplio de la palabra.
2.- Procedimientos administrativos u organizativos:

Ejemplos:
• Uso aceptable de procedimientos:
Podríamos establecer un procedimiento donde se explique cómo usar los
procedimientos de la seguridad de la información, informar al mismo tiempo de
las responsabilidades de cada uno y de aclarar las funciones del responsable o
propietario de un activo de información etc.
2. Procedimientos Técnicos:
Ejemplos:
 Tratamiento de información sensible:

Determinar requisitos para cualquier tipo información que sea propiedad,
mantenida, utilizada o transmitida por la Organización. Dependiendo de la
naturaleza de la información, se establecerán mayores niveles de seguridad
aplicables a la información con mayor nivel de sensibilidad.
 Procedimiento para comunicaciones inalámbricas
 Procedimiento para Accesos remotos
 ETC …
3. Procedimientos Físicos:
Ejemplos:
 Pautas y recomendaciones de seguridad de la sala del servidor

 Almacenamiento y destrucción de información sensible
 Etc.
Registros :
Se trata de Documentos que nos proporcionan las evidencias objetivas de la
observancia de los requisitos del Sistema de Gestión de la seguridad de la
información según la norma ISO 27001.
Los registros están necesariamente ligados o relacionados con documentos de los

otros tres niveles.
Ejemplos
 Si tenemos un plan de ejecutar una acción correctiva deberemos tener un

documento registro con las acciones que se han implementado, los
responsables, los tiempos de implementación etc.
 En el caso de que necesitemos un determinado perfil o capacitación
específica para el desempeño de tal o cual función deberíamos tener un
registro o documento donde se refleja que el personal autorizado para este
desempeño cumple con los requisitos del puesto así como un registro con
las capacitaciones del personal
LISTA DE DOCUMENTOS OBLIGATORIOS DEL
SGSI
A continuación les dejamos un listado de documentos obligatorios para cumplir
con los requisitos de la norma ISO 27001 con la observación de que los
documentos que nos solicita el anexo A están sujetos a la declaración de
aplicabilidad pues solo serían obligatorios aquellos que correspondan a cláusulas
que sean aplicables
 4.3 El alcance del SGSI

 5.2 Política de seguridad de la información
 6.1.2 Proceso de evaluación de riesgos de seguridad de la información
 6.1.3 Proceso de tratamiento de riesgos de seguridad de la información
 6. 1.3 d) La declaración de aplicabilidad
 6.2 Objetivos de seguridad de la información
 7.2 d) Prueba de competencia
 7.5.1 b) Información documentada determinada por la organización
como necesaria para la efectividad del SGSI
 8.1 Planificación y control operacional
 8.2 Resultados de la evaluación de riesgos de seguridad de la
información
 8.3 Resultados del tratamiento de riesgo de seguridad de la
información
 9.1 Evidencia del monitoreo y medición de resultados
 9.2 Un proceso de auditoría interna documentado
 9.2 g) Evidencia de los programas de auditoría y los resultados de la
auditoría
 9.3 Evidencia de los resultados de las revisiones de la administración
 10.1 f) Evidencia de la naturaleza de las no conformidades y cualquier
acción posterior tomada10. 1 g) Evidencia de los resultados de
cualquier acción correctiva tomada
DOCUMENTOS QUE NOS SOLICITA EL ANEXO,
SUJETOS A LA DECLARACIÓN DE APLICABILIDAD
Muchos de los controles en el Anexo A también afirman la necesidad de

documentación específica, incluidos los siguientes en particular:
 A 7.1.2 y A.13.2.4 Definición de funciones y responsabilidades de

seguridad
 A 8.1.1 Un inventario de activos
 A 8.1.3 Reglas para el uso aceptable de los activos
 A.8.2.1 Esquema de clasificación de la información
 A.9.1.1 Política de control de acceso
 A 12.1.1 Procedimientos de operación para la administración de TI
 A 12.4.1 y A.12.4.3 Registros de actividades del usuario, excepciones y
eventos de seguridad
 A 14.2.5 Principios de ingeniería de sistemas seguros
 A 15.1.1 Política de seguridad del proveedor
 A 16.1.5 Procedimiento de gestión de incidentes
 A 17.1.2 Procedimientos de continuidad del negocio
 A 18.1.1 Requisitos legales, reglamentarios y contractuales
FASE 6 IMPLEMENTANDO UN SGSI

La fase de implementación del Sistema tiene como base la identificación de los
controles de seguridad que hemos determinado en los capítulos anteriores, sobre
todo en la identificación del contexto de la organización, el análisis y evaluación
de riesgos y en la determinación del alcance o aplicabilidad del SGSI.
Es la hora de diseñar nuestros procesos de seguridad integrándolos en los
procesos de nuestra organización tomando en cuenta los hallazgos identificados y
los controles para mitigar los riesgos que deberemos poner en funcionamiento
para garantizar niveles aceptables en la confidencialidad, integridad y
disponibilidad de la información.
CRITERIOS PARA AGRUPAR Y ORDENAR LOS

PROCESOS DE SEGURIDAD
Contar con un método para clasificar y priorizar los proyectos de la
seguridad de la información puede ser muy útil a la hora de abordar las
medidas de para la seguridad de la información a abordar y que hemos
identificado en los pasos anteriores.
Esto puede aclararnos el orden en que debemos acometer las distintas

tareas así como su mejor integración en los procesos ya existentes.
Para desarrollar este punto podría ser útil recopilar todos los proyectos sobre la
seguridad en una tabla donde podamos recopilar información del tipo
Dimensión Del Proyecto:

 Controles de Gestión:
En este grupo estarán aquellos que afectan organización de la empresa en
cuanto a su estructura y métodos de trabajo, las responsabilidades sobre la
seguridad de la información, las instrucciones de uso de dispositivos etc.
 Controles Técnicos:
Aquellos controles que tienen en cuenta más que nada factores
tecnológicos como las medidas de seguridad sobre software de protección
para el correo electrónico o medidas para proteger las comunicaciones o
accesos externos (firewalls etc.)
 Controles Operacionales:
Nos referimos a las medidas que tienden a eliminar o minimizar los
riesgos en la seguridad de la información mediante directrices sobre tareas
peligrosas etc. Programas de formación para garantizar el buen
entendimiento de las medidas de seguridad y la sensibilización de los
empleados.
 Controles de cumplimiento:
Proyectos para incorporar o mejorar el cumplimiento y adaptación de las
actividades realizadas con las regulaciones del sector y gubernamentales
en relación la seguridad de la información.
Recursos necesarios:
 Coste económico: Aquí podemos clasificar los proyectos identificando
aquellos que tienen un menor coste de implementación, los asumibles sin
un impacto significativo en los presupuestos de la empresa y aquellos que
se salen de lo presupuestado y necesitan un estudio financiero para ser
llevados a cabo.
Los proyectos que no son asumibles económicamente se supone que han sido ya
filtrados en pasos anteriores y se han estudiado las medidas alternativas.
 Planificación temporal: Aquí podemos identificar aquellos proyectos que

son urgentes de los que no lo son. También podemos determinar la
necesidad de tiempo para afrontar el proyecto así como fechas límite para
su ejecución.
 Recursos Humanos y materiales evaluando la necesidad de recursos de
cada proyecto podremos determinar qué proyectos podemos afrontar con
recursos propios tanto humanos como materiales y cuales necesitan ser
subcontratados.
Determine que clasificación de controles de seguridad es más adecuada
para su organización ya que estas recomendaciones pueden reducirse o
ampliarse de acuerdo a sus necesidades
EL PROCESO DE LA SEGURIDAD
La seguridad de la información es un proceso cíclico que nos permite garantizar
la mejora continua. Objetivo de fondo de cualquier sistema de Gestión, No se
trata de conseguir en una primera fase atacar frontalmente todos los requisitos de
la seguridad de la información para luego quedarnos estancados, sino de
conseguir progresivamente una mejora de nuestros procesos de acuerdo a las
posibilidades y necesidades de una organización
Para ello la Seguridad se plantea como un proceso que se encuentra

continuamente en revisión para la mejora.
En el siguiente diagrama mostramos una representación de como se ha de

entender esto en el nivel de procesos de seguridad y establecimiento de controles.
PROCESOS DE SEGURIDAD
Los procesos de seguridad podemos sacarlos de los propuestos en el anexo A de
la norma ISO 27001
Procesos de seguridad Norma ISO 27001
El proceso de la seguridad de la información

RESPONSABILIDADES DE LA SEGURIDAD DE
LA INFORMACION
La asignación de tareas y responsabilidades es fundamental para desarrollar un
plan de tratamiento de riesgos y en la implementación de los controles y procesos
de seguridad
Este apartado está directamente relacionado con las tareas comunes a todos los
procesos de seguridad a las cuales deberemos asignar un responsable:
 Establecer los objetivos de las medidas de seguridad

 Hacer efectivas las medidas organizativas
 Implantar y ejecutar las tareas técnicas planificadas.
 Supervisar las actividades
 Recabar y analizar la información de los indicadores.
 La detección y notificación de las incidencias
OBJETIVOS MEDIBLES
Crear objetivos mensurables es un requisito del Estándar 27001 que nos conduce
a establecer dentro de cada proceso de seguridad los parámetros dentro de los
cuales vamos a evaluar tanto su nivel de implantación como finalmente los
resultados de cada control.
El establecimiento criterios de evaluación y medición claras y concisas nos

permitirán:
 Comunicar los objetivos al personal

 Planificar su implementación
 Medir la eficacia de los controles adoptados
 Implementar cambios a medida que surgen problemas
 Proponer mejoras y cambios en la gestión de riesgos para mejorar el
sistema SGSI
ESTABLECIENDO INDICADORES DE
PROCESOS
Conviene definir una o varios modelos o plantillas para recolectar los datos de
privadas del proceso de implantación de los controles o medidas de seguridad
derivadas del análisis de tratamiento de riesgos.
Vamos a ver con un ejemplo práctico los criterios de medición a considerar para
un tipo de control de seguridad de la información.
CASO PRACTICO:
1 Descripción del control:
Aquí deberemos especificar el objetivo que se persigue o la métrica que se
persigue a alto nivel.
Ejemplo:
 Mejorar la cobertura de defensas online: Antivirus, Antispyware, Firewall,

etc.
Descripción del control
Se trata de medidas de protección de nuestra empresa contra las amenazas más
básicas a la seguridad de la información.
El objetivo de cobertura de dispositivos con las herramientas de seguridad

(firewall, antivirus etc.) debe estar en el rango entre el 94 por ciento y el 98 por
ciento
2 Criterios de medición.
Deberemos determinar el método o la forma de evaluar las cualidades que hemos
definido

etc.
Criterio de medida
En el caso ejemplo que nos hemos puesto el criterio para medir este objetivo de
seguridad se establece en el porcentaje de dispositivos controlados o bajo las
herramientas de protección estableciéndose las IPs de los dispositivos como
identificativo en los escaneos periódicos de la red para verificar su protección.
3 Valores indicativos o metas

Determine los valores aceptables de los criterios de medida que se deben tener en
cuenta a la hora de evaluar los resultados de las distintas mediciones. Establezca
criterios de tolerancias para los valores. Veamos nuestro ejemplo
etc.
Valores indicativos o metas
Se establece como valores aceptables entre el 94 por ciento y el 98 por ciento de
los dispositivos
 Si los valores en un periodo de medición bajan del 90% debe establecerse

un análisis causal y un plan de acción para atajar el problema
 Si el valor promedio dentro de límites aceptables baja en un periodo de
medición más de 4 puntos porcentuales (p. ejemplo en un periodo 1
tenemos 96% y en el siguiente 91%) deberemos estudiar una revisión de
los protocolos de necesite protocolos para introducir dispositivos en la red
o una mejora en la forma de instalar las defensas en los dispositivos.
4 Forma de cálculo para evaluar resultados
Establezca un criterio para el cálculo de los resultados de forma que pueda
aplicar una formula sobre los parámetros a medir si es necesario para obtener
resultados conforme a un criterio establecido
En nuestro caso de ejemplo tendremos que:
Pf -> Porcentaje de dispositivos protegidos por Firewall = (Número total de

dispositivos incluidos en el firewall / Número total de dispositivos escaneados)
Pa-> Porcentaje de dispositivos protegidos por Antivirus = (Número total de
dispositivos incluidos en el Antivirus / Número total de dispositivos escaneados)
Pfinal = (media ponderada) ( Pf, Pa … Pn)
5 Periodicidad/frecuencia de las medidas

Establezca un criterio definido para la frecuencia o intervalos temporales para la
realización de las medidas: (diario, semanal, trimestral, semestral)
En nuestro caso de ejemplo estableceremos un criterio de escaneo trimestral de

vulnerabilidades dentro del cual se realizaran estas medidas
6 Anotaciones y recogida de datos
Se establecerá un registro de datos donde se anotaran las medidas realizadas
periódicamente y se guardaran en el soporte que se considere conveniente.
El formato de este registro recogerá la información necesaria para poder ser

interpretada correctamente añadiendo los campos que se considere conveniente
considerando al menos la fecha en que se ha realizado la medición
IMPLEMENTACION DEL PROCESO
Cuando el proceso se definido, se ha planificado, se han definido responsables, se

encuentra integrado dentro de los procesos de la empresa y finalmente tenemos
un periodo significativo de toma de datos para valorar la efectividad del proceso
podemos decir que hemos pasado la primera fase de implantación.
Si esto lo escalamos a los demás procesos podremos determinar en qué grado

hemos implantado el Sistema de gestión tal como vimos en la fase 1 (Link a la
fase 1 #análisis de cumplimiento)
FASE 7 COMUNICACIÓN Y SENSIBILIZACIÓN

SGSI
Implantar un sistema de gestión de la seguridad de la información requiere de
requisitos comunes relativos a los planes de comunicación comunes a cualquier
programa que pretenda introducir cambios o mejoras en una organización:
La comunicación es tan importante que es una de las claves del éxito del
proyecto ISO 27001.
PLAN DE COMUNICACIÓN ISO 27001

La norma ISO 27001 incluye requisitos en relación a la comunicación de la
política de seguridad en una empresa. Se nos pide dar una respuesta a:
 Quien debe comunicar los aspectos de seguridad
 A quienes debe llegar la comunicación
 Cuál es el contenido
 En qué momento ha de realizarse la comunicación
 Que medios utilizaremos
Podríamos afirmar que detrás de un despliegue exitoso de un SGSI, se encuentra
un plan de comunicación interno bien diseñado y aplicado de manera efectiva. El
cumplimiento de ISO 27001 y el sentido común sugieren que los componentes
clave de este plan deben incluir:
Comunicación a toda la organización de la visión de seguridad de la información

que incida en
 Por qué es necesario el SGSI.

 Cuáles son las responsabilidades legales de la organización.
 Cómo afecta a cada empleado y sección de la empresa cuando el programa
esté implantado.
¿CÓMO DOCUMENTAR EL PLAN DE COMUNICACIÓN
DEL SGSI?
Para comunicar las prioridades del SGSI y las responsabilidades a toda la

organización deberemos analizar los objetivos y la complejidad de la
organización. EN empresas pequeñas quizás sea bastante con una comunicación
simple de apenas unos cuantos párrafos. En organizaciones más complejas con
responsables independientes para seguridad de accesos y compras por ejemplo
deberemos tener mucho más cuidado a la hora de establecer un plan de
comunicación ya que se trata de implicar a responsables de área en un objetivo
común y que no siempre es fácil meterse en competencias de otros sin causar
problemas de comunicación y de implicación.
Para ello deberemos tener una estrategia y un plan de comunicación

independiente y documentado donde se reflejen los objetivos de implicación para
cada área y se pueda medir el grado de implicación de cada responsable en el
establecimiento de lo que podríamos llamar cultura de la seguridad en una
organización
HACIA LA CULTURA DE LA SEGURIDAD

El éxito de la comunicación sobre los objetivos de seguridad en una organización
compleja pasa por realizar un análisis de los distintos niveles de una organización
NIVEL 1 LA ESTRUCTURA DE LA EMPRESA EN LA

CULTURA DE LA SEGURIDAD DE LA INFORMACIÓN
Para diseñas un plan de comunicación del SGSI deberemos reflexionar en cómo

nos organizamos para realizar nuestra actividad teniendo en cuenta los procesos y
estructuras organizacionales. "Todo aquello que realmente sucede en una
organización” pues de ello depende la distribución de responsabilidades, la
definición de roles y tareas así como la forma de motivar la participación de
todos los implicados en las tareas de la seguridad de la información.
Identifica áreas de dificultad

Es sumamente importante identificar qué áreas serán más difíciles de concienciar
en su integración en un sistema de gestión de la seguridad de la información.
Estos puntos son claves para obtener buenos resultados ya que no podemos sin
más pretender auditar áreas que funcionan de forma independiente a órganos de
la empresa y no van a reconocer en principio la autoridad definida para el SGSI.
Es típico que los que gestionan la seguridad de accesos se crean propietarios del
CPD o la dirección de compras se considere la única dueña de los criterios
establecidos en la selección de proveedores.
Definir estrategias integradoras donde el SGSI y la política de la empresa se

integran en la incorporación de mejoras en estas áreas es vital para obtener el
éxito y no un fracaso temprano de la integración del SGSI en toda la
organización.
NIVEL 2 LOS VALORES DE UNA ORGANIZACIÓN Y LA

SEGURIDAD DE LA INFORMACIÓN
Los valores en una organización se pueden determinar cómo las razones o

motivos que mueven a los empleados a realizar sus tareas de una determinada
forma. Estos valores a menudo se expresan en la documentación de la
organización sobre la visión, los principios, la ética y los valores de la
organización.
La dirección de la empresa juega un papel importante o más bien protagonista en

la difusión y adquisición de los valores de la organización.
Los valores típicos de una organización normalmente van enfocados al trabajo en

equipo y a involucrar a todo el personal en los procesos de toma de decisiones.
Supuestos tácitos o rutinas

Cuando la cultura de la organización es asumida de forma que determina
comportamientos rutinarios o valores compartidos que se convierten en
elementos ya asumidos y dados por hecho entonces hablamos de “Supuestos
tácitos compartidos”
La Cultura de la seguridad de la información

La seguridad de la información requiere un nivel superior a lo que ya hemos
descrito.
Comunicacion de valores y cultura de la Seguridad de la
Información
La figura anterior quiere mostrar como el conocimiento relacionado con el
trabajo que desempeña cada función o trabajador dentro de la empresa es
fundamental para poder cumplir con los objetivos de la Seguridad de la
Información.
Los empleados necesitan tener los conocimientos necesarios para realizar sus
tareas cotidianas de forma segura.
Explicado de otra forma
El éxito de la Seguridad de la información depende de que los empleados sean

conscientes de por qué es necesario un cierto control o acción tiene la motivación
necesaria para cumplir algo que de otra forma puede no parecer razonable o
necesario.
CREANDO UNA CULTURA DE LA SEGURIDAD

DE LA INFORMACIÓN EN MI EMPRESA
Toma de conciencia
La costumbre de “Hacer las cosas de una determinada manera” normalmente es
el primer obstáculo para establecer una cultura de la seguridad en cualquier
organización
El punto de partida
Un cambio en la cultura corporativa actual requiere, en la práctica, desaprender, o
modificar, las creencias actuales de los empleados de la organización.
La implementación de la seguridad de la información debe comenzar sin duda
con la alta dirección y administración de la empresa u organización y continuar
hacia abajo en la jerarquía.
Para ello sugerimos un enfoque en 4 etapas:
 El compromiso de la alta dirección con la seguridad de la información,

 La comunicación con los miembros de la organización,
 La formación y educación de los miembros de la organización en
seguridad de la información y
 El compromiso de los empleados
No debe pasar por alto…
… que la formación en gestión de la seguridad de la Información es un
capítulo al que deben sumarse si o si los altos cargos de la empresa y los
puestos de responsabilidad, pues si los que deben convencer al resto de
los trabajadores no se involucran y conocen de primera mano las
necesidades de la seguridad de la información, luego no podrán
convencer a los demás ni apoyar la implantación de una cultura de la
Seguridad de la Información desde el desconocimiento real de sus
necesidades.
Para cumplir con los objetivos propuestos en el párrafo anterior deberemos en

primer lugar establecer una serie de políticas sobre la seguridad de la información
con el fin de:
 Establecer los cauces para las acciones en favor de la seguridad de la

información
 Dotarnos de los principios rectores o procedimientos que se consideren
necesarios para la seguridad de la información
 Transmitir a los empleados las expectativas de la dirección sobre cómo
deben actuar
Una buena política de la Seguridad de la Información.
 Requiere una gestión estructurada y sistemática. Si es necesario debe
dividirse en distintos documentos donde se abordan temas específicos
relacionados con la seguridad de la información (Por ejemplo: “uso del
correo electrónico”, “manejo de datos” etc.)
 Mantiene un enfoque de procesos
 Debe mantenerse, revisarse y actualizarse cuando sea necesario
 Debe integrar los objetivos y las acciones para conseguirlos
 Incluye los roles y responsabilidades del personal en relación a la
seguridad de la información
 Promueve y planifica la formación del personal
 Define procedimientos para el tratamiento de datos protegidos
 Contempla una estrategia o plan para prevenir y recuperarse ante desastres
 Nos informa de las consecuencias y repercusiones en caso de descuidar su
aplicación
Vea Como afrontar la política de la seguridad de la información en una empresa
Un modelo para implementar una cultura de la seguridad
Información Clave
Conocer las políticas es solo la mitad de la ecuación, el personal debe
saber cómo deben cumplir, desde una perspectiva de procedimiento
En este punto que nos proponemos abordar es el establecimiento de un modelo
de comunicación y “educación” en amplio sentido de la palabra para establecer
una cultura de la seguridad en una organización
CASO PRACTICO:
El modelo que nos proponemos se basa en la creación de tres niveles en la
definición de la política sobre la seguridad de la información
Niveles en las políticas de la Seguridad de la Información

Política Ejecutiva o de alto nivel
Aprobada por el CEO de la organización, son políticas que garanticen la
credibilidad y apoyan el cumplimiento de las normas o pautas para la seguridad
de la Información por lo que no debería ser demasiado específico o técnico, sino
algo conceptual y que pueda ser estable en el tiempo
 Políticas especiales o secundarias

Se trata de políticas secundarias de carácter más dinámico y con bastante
detalle. Se trata de directivas técnicas y reglamentaciones relativas a la
infraestructura de TI y de cualquier aspecto relacionado con la seguridad
de la información
 Manuales o Indicaciones practicas
El propósito de estos manuales o indicaciones prácticas es aumentar el
cumplimiento y la colaboración de los empleados en la Seguridad de la
Información Se trata de una serie de procedimientos simplificados,
basados en el nivel ejecutivo y las políticas secundarias
Las indicaciones prácticas deben ser como indica su nombre algo fácilmente
comprensible evitando en lo posible el lenguaje puramente técnico. Se trata de
facilitar una forma de trabajo segura en el ámbito del tratamiento de la
información.
Un ejemplo de procedimientos simplificados son las acciones propuestas para

usuarios finales.
EDUCANDO AL PERSONAL
Sin la colaboración de todo el personal los esfuerzos para la seguridad de la
información pueden quedarse en buenas intenciones por lo que:
Los empleados debidamente capacitados y diligentes pueden

convertirse en la baza más importante para fortalecer una
organización frente a las amenazas para la seguridad de la
información
Aquí no se trata de que todo el personal obtenga un certificado formal de estar
capacitado en los temas de seguridad de la información, sino de conseguir que
todos actúen según los postulados planteados por la dirección para que la
información de la empresa esté debidamente protegida
Adquirir el conocimiento y ponerlo en práctica es el objetivo final de la política

de la seguridad de la información
Para conseguir esto podríamos poner en práctica alguna de las siguientes

recomendaciones
Algunas recomendaciones
 Establecer un programa continuo de concientización sobre la seguridad de
la información para garantizar la capacitación inicial y actualizaciones y
recordatorios periódicos
 Usar un marco adecuado para incorporar los principios e ideas generales
de la dirección en documentos lógicos, no técnicos y bien estructurados.
 Los empleados no necesitan saber todo sobre la seguridad de la
información. Debemos concentrar los esfuerzos en que los empleados
conozcan los riesgos del trabajo que desempeñan y cómo minimizarlos
 Los aspectos técnicos de la seguridad de la información no deberían ser
visibles para los usuarios
 Las descripciones de los procesos y las fallos en la seguridad de la
información revelados en las auditorías internas o externas también se
deben usar al planificar la capacitación de los empleados
 La educación en seguridad de la información debe considerar el impacto
de la motivación en la experiencia de aprendizaje
 Las “presentaciones” deben centrarse en ejemplos prácticos en lugar de
enumerar cosas que los empleados no pueden hacer.
Esencialmente, los empleados deben comprender cómo actuar y por qué.
EVALUAR EL CUMPLIMIENTO
Visto el problema desde otro Angulo podemos decir que:
Los empleados representan la mayor amenaza para la seguridad de la

información de una organización.
Es por ello que no podemos contentarnos con lo expuesto hasta ahora sino que
nos queda como tarea el establecer un método de retroalimentación sobre el nivel
en que nuestros empleados están cumpliendo con los principios de la política de
la Seguridad de la información y sus reglas.
Una experiencia común es que a pesar de que las políticas y las reglas sobre la
seguridad de la información estén vigentes, los usuarios finales siguen violando
la seguridad de la información.
Para afrontar este reto no podemos simplemente pensar que los empleados son
simplemente vagos o están poco formados, sino que tenemos que revisar los
métodos por los cuales estamos motivando a nuestros empleados a cumplir con
los requisitos que se esperan de el.
No olvidemos que el comportamiento del usuario depende de una ecuación

económica simple. Se trata de una ecuación sencilla:
¿Cuáles son las ventajas y desventajas de cumplir con las reglas de seguridad
de la información?
Si la respuesta es que la relación coste / beneficio no es lo suficientemente buena
nunca podremos garantizar un comportamiento seguro en nuestra organización.
En este punto llegamos a la conclusión de que es necesario poder presentar a

cada empleado las consecuencias de una actuación poco segura
Deberemos demostrar que vale la pena invertir tiempo en el cumplimiento de la

seguridad de la información y los beneficios que obtendremos. Por ejemplo,
podemos presentar los datos sobre cuántos intentos de intrusión se detuvieron
debido a contraseñas seguras o cuántas víctimas crea una campaña de spam etc.
FASE 8 AUDITORIA INTERNA SEGÚN ISO

27001
Para cumplir con el requisito de la norma ISO 27001:_2013 deberemos
establecer un plan de auditorías internas que nos permitan revisar el sistema de
Gestión SGSI.
Sin embargo, visto desde el punto de vista de la utilidad y no tanto del
cumplimiento, la auditoria Interna se sitúa dentro del proceso de mejora continua,
donde la auditoría interna es una de las herramientas más interesantes ya que nos
permite identificar insuficiencias en el sistema y detectar potenciales situaciones
de riesgo.
¿CUÁL ES EL OBJETIVO DE UNA AUDITORIA
INTERNA ISO 27001?
En términos generales, con la auditoría interna se pretende:
 Comprobar que el SGSI que hemos implantado cumple con los requisitos
de la norma.
 Comprobar que los requisitos y procesos de la organización han integrado
correctamente los requisitos de la seguridad de la información definidos en
el SGSI
¿QUÉ BENEFICIOS TIENE UNA AUDITORIA
INTERNA DEL SGSI?
 La auditoría interna nos prepara para la auditoria de certificación
permitiéndonos identificar y corregir cualquier problema antes de que se
lleve a cabo
 Las auditorías internas identifican oportunidades de mejora.
 La realización de auditorías internas periódicas proporciona la evidencia
tanto a la propia empresa como a la certificadora de que el (SGSI) Sistema
de gestión de la seguridad de la información, se está revisando
continuamente
 Las auditorías internas sirven como un recordatorio para todo el personal
de la importancia y prioridad del cumplimiento de los requisitos sobre la
seguridad de la información suponen para la empresa y el alcance de sus
objetivos
¿CÓMO ELEGIR AL AUDITOR INTERNO DEL
SGSI?
Antes de nada deberíamos responder a la pregunta de Quién puede realizar una
auditoria Interna ISO 27001.
Definamos primero las tareas que debe desempeñar el Auditor Interno ISO 27001
REALIZACION DE INFORMES
Si tenemos en cuenta los objetivos de una auditoria interna del SGSI, podemos
considerar que el auditor interno es un papel esencial en la presentación de
informes a la alta gerencia sobre el rendimiento del sistema de gestión de
seguridad de la información (SGSI).
CONOCER y PREPARAR LA CERTIFICACION
En organizaciones más pequeñas, el auditor interno a menudo ayuda a prepararse
para la certificación o visita de mantenimiento de un organismo de certificación,
por lo que en todo caso debe tener un buen conocimiento de los requisitos y
procesos involucrados en la auditoría de certificación.
MONITOREO DEL SGSI
Otra de las funciones importantes y destacables del auditor interno podría ser la
de monitorear continuamente la efectividad del SGSI y ayudar a la dirección en
la evaluación de los objetivos de seguridad de la información en cuanto a su
contribución al cumplimiento de los objetivos comerciales de la organización.
¿CÓMO DEFINIR EL EQUIPO AUDITOR?
Está claro que en pequeñas empresas u organizaciones no podremos designar
más que a una persona para el desempeño de la tarea de auditor interno de
nuestro sistema SGSI.
Sin embargo, en empresas de cierto tamaño (mediano o grande) conviene que al

menos dos personas o más desempeñen conjuntamente esta responsabilidad.
También puede resultar interesante designar un auditor por cada departamento
como lo son Recursos Humanos, finanzas, Comercial y ventas, infraestructura ti,
etc.
El nombramiento de auditores internos por departamentos aumenta la

responsabilidad y reduce el riesgo de errores que podrían surgir de la falta de
recursos incidiendo también en el control y seguimiento de las acciones
preventivas y correctivas.
El papel de auditor interno no se limita a la realización de las prescriptivas

auditorias si no que puede ser muy útil durante la fase de implementación del
proyecto SGSI ISO 27001 y que nos puede proporcionar orientación estratégica y
establecer objetivos para el programa de auditoría
Finalmente, el auditor interno puede desempeñar un papel importante después de

la puesta en marcha del proyecto SGSI para que una vez que se ha logrado el
cumplimiento con los requisitos de la norma ISO 27001, podamos revisar y
mantener el cumplimiento de cara a la mejora continua.
¿QUIÉN PUEDE CONVERTIRSE EN UN

AUDITOR INTERNO?
Los altos directivos son buenos candidatos para los auditores internos. Por
ejemplo, los gerentes de RR. HH. Pueden beneficiarse particularmente de
calificar como auditores internos ya que están acostumbrados a asegurar que las
políticas se mantengan actualizadas con estándares y requisitos legales, como la
Ley de Protección de Datos (RGPD). Formar parte del equipo de implantación
del SGSI ISO 27001 puede facilitar el trabajo de implantación, ya que estarán
preparados para cumplir con los requisitos pertinentes.
VENTAJAS DE FORMAR AL PERSONAL COMO

AUDITORES INTENOS
Formar a un auditor interno del SGSI ISO 27001 proporciona a sus empleados
unas habilidades de auditoría genéricas que se pueden utilizar en diferentes
entornos (no solo en el contexto del cumplimiento de la norma ISO 27001).
Los auditores internos también son valiosos para una organización que audita
proveedores y socios externos para garantizar que cuentan con los controles de
seguridad adecuados.

Una buena formación como auditor interno debe estar enfocada a mirar
más allá del cumplimiento puro, ya que es importante tener la vista
puesta en la mejora.
¿EN QUÉ SE DIFERENCIA UNA AUDITORIA

INTERNA DE UNA AUDITORIA DE
CERTIFICACIÓN?
En cierto modo ya hemos respondido a esta pregunta
Ya hemos dicho que la auditoria interna sirve como preparación para la auditoria
de certificación y para ello podemos usarla. Sin embargo, la auditoria interna
tiene utilidad en cuanto nos sirve para validar la efectividad del SGSI implantado
y no solo para evaluar el cumplimiento con los requisitos del SGSI que es el
objeto más directo de la auditoria de certificación.
En otras palabras, su auditoría interna de SGSI debe incluir pruebas sustantivas

para informar sobre la efectividad de su SGSI. Mientras que la auditoría de
certificación enfatiza las pruebas de cumplimiento para informar sobre la
conformidad del SGSI. De hecho, se requiere que la auditoría de certificación
ISO 27001 confíe en la auditoría interna y en la revisión por la dirección de SGSI
para garantizar que la organización mantenga un SGSI efectivo.
Si considera que su auditoría interna es una "auditoría de certificación simulada",

no proporcionará a la dirección un informe sobre la eficacia del SGSI.
Simplemente indicará si su ISMS cumple con las políticas de la dirección, sin
decirle si el SGSI realmente está logrando los objetivos de la dirección.
La realidad es que muchas empresas están motivadas para lograr la certificación

ISO 27001 como un instrumento de ventaja competitiva al proporcionar
seguridad a clientes y terceros; la seguridad de la información puede quedar en
segundo plano.

Pero no permita que esta forma sesgada de ver las cosas se extienda a
su auditoría interna. La auditoría interna ISO 27001 es una herramienta
vital que aporta a los gerentes de seguridad una información de valor
añadido y que debería ser aprovechado.
CONSEJOS PARA REALIZAR UNA BUENA

AUDITORIA INTERNA
CASO PRACTICO:
CONSEJOS PARA REALIZAR UNA BUENA AUDITORIA
INTERNA
Tomemos como ejemplo una organización con una red con una variedad
de tipos de usuarios donde nos encontramos con usuarios temporales,
altas de nuevos empleados que llegan con sus equipos, empleados que
comparten grandes cantidades de datos, accesos remotos a servicios de
red para personas que viajan o tele trabajan etc.
DEDICAR EL TIEMPO NECESARIO

Hay 114 controles en el Anexo A, por lo que no espere una auditoría rápida si
desea hacerlo correctamente. Reserve tiempo suficiente para auditar
completamente cada área o departamento.
No existe una regla para el tiempo que debe asignarse a cada tarea ya que
depende de varios factores, entre otros:
 La madurez de su Sistema de Gestión de la Seguridad de la información

SGSI
El tamaño de su organización

 La cantidad de hallazgos identificados en la auditoría anterior.
DELEGAR RESPONSABILIDADES DE AUDITORÍA ENTRE DISTINTOS
AUDITORES
Puede ser efectivo dividir los controles entre los auditores con diferentes
habilidades y puntos fuertes.
Por ejemplo, un auditor puede ser responsable de auditar procesos orientados a

TI:
 A.9 Control de acceso

 A.10 Criptografía
 A.11 Seguridad física y ambiental
 A.12 Seguridad operacional
 A.13 Seguridad de las comunicaciones
 A.14 Adquisición, desarrollo y mantenimiento del sistema
Y un segundo auditor puede ser responsable de requisitos más generales:
 A.5 Políticas de seguridad de la información

 A.6 Organización de la seguridad de la información
 A.7 Seguridad de los recursos humanos
 A.8 Gestión de activos
 A.15 Relaciones del proveedor
 A.16 Gestión de incidentes de seguridad de la información
 A.17 Aspectos de seguridad de la información de la gestión de la
continuidad del negocio
 A.18 Cumplimiento
Para saber más acerca de los controles que componen el Anexo A
Visión general del ANEXO A de la norma ISO 27001: 2013
PREPARAR LAS AUDITORIAS

Si no estamos preparados para una auditoria entonces estamos preparando
nuestro propio fracaso. Es decir, hay cosas que hacer antes de una auditoria
Veamos algunas de ellas:

 Lo más importante es tener una comprensión profunda de los requisitos de
Anexo A y de la organización.
 Tener disponible la información requerida para la auditoria
o Los hallazgos o no conformidades en Seguridad de la información
o Los procedimientos y políticas
o La declaración de aplicabilidad
 Haber preparado una lista de verificación CHECK LIST de los puntos a
tratar en la auditoria
 Prepare un plan de auditoría incluyendo
o Horarios
o Departamentos y
o Ubicaciones
 Antes de la auditoría, coordine con tiempo el plan de auditoria con los
auditados).
 Programe tiempo con las áreas a auditar para
o Discutir y explicar el informe de auditoria
o Reuniones de seguimiento con los representantes del departamento.
Es crucial que comunique el plan de auditoría y los objetivos de la sesión por

adelantado. A nadie le gusta una sorpresa, y no es una buena manera de
comenzar una auditoría.
Para más información podemos consultar el siguiente artículo
Cómo hacer una lista de verificación de auditoría interna para ISO 27001
INVOLUCRAR A TODA LA ORGANIZACION

Este punto además de crucial es el más difícil de conseguir
Ya hemos hablado de cómo involucrar a todos los empleados y departamentos en

la Seguridad de la información.
Leer más sobre: Comunicación y sensibilización en el SGSI
En este punto nos centraremos en lo que afecta a las auditorías internas

Lo primero que debemos tener en cuenta son los puntos anteriores sobre cómo
preparar una auditoria. Una buena coordinación es fundamental o más bien
básica para lograr involucrar a todos en este proceso.
Un segundo elemento podría ser si nuestra organización tiene el tamaño de gran

empresa el hecho de dividir o responsabilizar de las auditorias a responsables de
cada departamento como mencionamos anteriormente, puede ser también de gran
ayuda para este cometido.
Además, podemos plantearnos crear objetivos de auditoria en cuanto a verificar

funciones por departamentos relacionadas con la seguridad de la información.
Por ejemplo:
 Recursos humanos: RRHH

– ¿ha definido la responsabilidad de garantizar que se mantenga la
confidencialidad de los empleados?
– ¿han incorporado el asesoramiento del Gerente de seguridad de la
información en los contratos del personal?
– Existe y se aplica un proceso disciplinario.
– El equipo de seguridad de la información es el responsable de definir las
directrices sobre la seguridad de la información, pero se asume la
responsabilidad de los recursos humanos hacer cumplir estas políticas y
directrices
 Equipos técnicos de TI:
Como los mayores contribuyentes al sistema de seguridad de la
información.
Asegúrese de que están llevando a cabo actividades tales como realizar y
probar copias de seguridad de datos, implementar medidas de seguridad de
la red y llevar a cabo el parcheo del sistema.
 Equipo Comercial y de trato con el cliente:
Asegurarse que el personal orientado al cliente mantiene la
confidencialidad de los datos del cliente en todo momento.
EVALUAR O AUDITAR LA COMPRENSIÓN DE LOS OBJETIVOS DEL
SGSI Y SU CUMPLIMIENTO
Una parte clave de la auditoria interna es verificar en qué grado los empleados y
la organización comprenden la importancia de la seguridad de la información.
Para ello deberemos estar siempre cuestionando los procesos y tareas
desempeñadas en cuanto a:
 Identificar las causas del no cumplimiento de reglas o procedimientos

sobre la seguridad de la información
 Evaluar el grado de entendimiento y comprensión de las políticas y
procedimientos sobre la seguridad de la información
En este aspecto debemos tener en cuenta de que una auditoria interna siempre es
una oportunidad para la capacitación y formación del personal sobre la seguridad
de la información
AYUDA PARA MEJORAR EL SISTEMA SGSI

Una auditoria interna no es una “caza” de incumplimientos si no una herramienta
de información para el objetivo de la mejora continua.
Para ello recomendamos tomar nota de los hallazgos sobre la seguridad de la

información siempre con comentarios aludiendo a las oportunidades de mejora
para discutirlos después en la fase de elaboración y comunicación del informe de
auditoria.
Para ello es imprescindible mantener reuniones con los responsables de los

departamentos y compartir los hallazgos, discutir las dudas que se presenten y
acordar las oportunidades de mejora para poder presentar un informe que sirva
para la mejora continua del sistema.
TOMAR ACCIONES
Para garantizar que la auditoria interna resulta efectiva deberemos asegurarnos
que los hallazgos sobre la seguridad de la información van a ser tratados
mediante unas acciones que:
 Deben ser acordadas con los responsables de los departamentos

 Queden registradas y documentadas
 Se identifiquen las medidas correctivas
 Se planifique su implementación y se establezcan responsables
 Se programe un seguimiento para verificar su implementación y la
efectividad de dichas medidas
FASE 9 REVISIÓN POR LA DIRECCIÓN SEGÚN
ISO 27001
La revisión del sistema por parte de la dirección es un requisito de la norma ISO
27001 dentro del capítulo 9 en el punto “9.3 Revisión de Gestión”
INPORTANCIA DE LA REVISION DEL SISTEMA
La revisión del sistema de gestión es otro de los puntos clave dentro de la norma
y que pudiera pasar desapercibido ya que a menudo no se le da la importancia
que tiene realmente.
Si tomamos este requisito como uno más del estándar y lo realizamos para
cumplir solamente podríamos pasar por alto que este requisito es el que permite
mantener vivo a un sistema de Gestión y permitir que el sistema de gestión
cumpla con su verdadera función dentro de las buenas prácticas en seguridad de
la información.
Con más frecuencia de lo deseado nos encontramos con que esta revisión se hace
solo para satisfacer al auditor de certificación, pero al hacerlo, se pierde una gran
oportunidad para que su alta dirección participe activamente en la seguridad de la
información.
OBJETIVO DE LA REVISION POR LA

DIRECCION
El objetivo de la Revisión del SGSI por la dirección es doble:
 Garantizar que el SGSI y sus objetivos continúen siendo adecuados y

efectivos
 Revisar la validez de los problemas identificados y los riesgos de la
organización.
No se trata de abordar de nuevo estos temas que ya se habrán abordado
anteriormente en 4.1 La Organización y su contexto , 4.2 Los requisitos de las
partes interesadas , y 6.1. Gestión de riesgos.
Se trata de evaluar los resultados de la gestión para permitir a la alta dirección

tomar decisiones estratégicas bien informadas que tendrán un efecto importante
en la seguridad de la información y en la forma en que la organización la
gestiona.
LA REVISION DE LA DIRECCION COMO PARTE

DE LA MEJORA CONTINUA
Como hemos visto hasta ahora la revisión por parte de la dirección debe
considerarse dentro del proceso de mejora continua.
LA MEJORA CONTINUA EN ISO 27001
Esto nos recuerda que en la actual versión de la normas se ha eliminado la

referencia directa al Ciclo de Mejora continua PDCA. Sin embargo podemos
afirmar el ciclo PDCA es el que ha inspirado y de hecho se encuentra implícito
dentro de la nueva estructura de la norma.
La referencia más explícita a la mejora continúa como motor del sistema de

Gestión SGSI se encuentra en el punto 10.2 de la norma;
Citando la norma:
“La organización debe mejorar de manera continua la idoneidad,
adecuación y eficacia del sistema de gestión de la seguridad de la
información”.
EL CICLO PDCA EN LA ESTRUCTURA DE LA NORMA

Siguiendo las cuatro fases del conocido ciclo de mejora continua PDCA o
también denominado ciclo de deming podríamos establecer una correlación con
la estructura de la norma ISO 27001:
PLAN (Planificar)
La fase de planificación de un sistema de Gestión incluye a los siguientes
capítulos de la norma donde claramente se identifican con el establecimiento de
la estrategia o elementos de un plan que nos servirá para determinar que hace el
sistema de seguridad de la información.
La planificación del sistema la hemos tratado en las fases del proyecto SGSI:
 Fase 1 Auditoria Inicial ISO 27001 GAP ANALySis

 Fase 2 Análisis del contexto de la Organización y determinación del
Alcance
 Fase 3 Elaboración de la política. Objetivos del SGSI.
 FASE 4 Planificación del SGSI
La planificación del sistema tiene su correspondencia directa en los siguientes
capítulos de la norma ISO 27001:2013
 4.- Análisis del contexto de la organización

 5.- Liderazgo
 6.- Planificación del Sistema
 7.- Soporte (Recursos del Sistema)
DO (Hacer)
En esta etapa del ciclo de mejora continua se corresponde con la puesta en
marcha e implementación del sistema generando la documentación necesaria,
implementando los controles para la seguridad de la información que hemos
determinado mediante el análisis de riesgos y estableciendo los roles y
responsabilidades para las tareas de la seguridad de la información
La implementación del sistema de gestión que hemos desarrollado en las fases

de:
 FASE 5 Documentación del SGSI
 FASE 6 Implantación del SGSI
 FASE 7 Formación y sensibilización SGSI
Estas fases se corresponden básicamente con el Capítulo 8 Operación, de la
norma ISO 27001:2013
CHECK (Monitorizar)
Llegamos al punto clave del ciclo de mejora continua que se corresponde con los
requisitos de la norma enfocados a la evaluación del desempeño de nuestro
sistema de gestión de la seguridad de la información.
La norma establece requisitos para establecer un sistema de control de que los

procesos de la seguridad de la información se están ejecutando de forma correcta.
Esto tiene su equivalencia en el “capítulo 9 de la norma Evaluación del

Desempeño” y que hemos desarrollado en las fases de implementación del
sistema SGSI:
 FASE 8 Auditoria interna según ISO 27001

 FASE 9 Revisión del sistema por la dirección
Act (Actuar)
El ciclo de mejora continua exige el establecimiento de acciones para la mejora
continua del sistema de gestión. No basta con detectar los incumplimientos o
deficiencias (CHECK) sino que será necesario establecer un proceso de acciones
correctivas sobre los fallos detectados.
La norma establece requisitos para esta etapa en el “capitulo 10 Mejora” donde

trata básicamente el tema de las acciones correctivas
RESUMEN
Un sistema de gestión debe plantearse una herramienta que cumple básicamente
con todas estas etapas. Es más importante tener en cuenta que cumplimos
básicamente con los 4 puntos del ciclo de mejora continua que pretender desde el
primer momento establecer todos los controles posibles para la seguridad de la
información
Un sistema SGSI en sus primeras etapas debe tener al menos:
 1. Unas políticas sobre la Seguridad de la información y un análisis de

riesgos
 2. Unas medidas de seguridad mínimas que permitan proteger la
información y cumplir con los requisitos de la norma
 3. Una revisión del sistema acompañada del seguimiento de los objetivos y
acciones correctivas sobre los fallos detectados en la seguridad de la
información.
¿QUÉ DEBEMOS CONSIDERAR EN UNA
REVISIÓN DEL SGSI?
La revisión del SGSI por parte de la dirección en primer lugar debe cumplir con
una estructura que cumpla con los requisitos de la norma ISO 27001.
Sobre esto cabe señalar que podemos integrar la revisión del SGSI en un informe
de mayor nivel, que además considere los requisitos de un sistema de calidad ISO
9001 o los requisitos de cumplimiento legal sobre protección de datos (RGPD)
por ejemplo.
Los puntos de partida o entradas para realizar su revisión del SGSI son
numerosos: informes de auditoría interna, acciones correctivas y su estado, el
estado de las tareas que se decidieron durante la última revisión de la
administración, cambios generales (internos y externos) que podrían influir en el
nivel de seguridad, resultados de mediciones (si se han logrado los objetivos),
nuevos recursos necesarios (incluido el financiero), lecciones aprendidas (de
pruebas o de incidentes reales), propuestas sobre cómo mejorar el sistema, etc.
La revisión de la gestión de ISO 27001 debe incluir al menos:

Citando la norma:
 El estado de las acciones de revisiones de gestión anteriores;
 Cambios en problemas externos e internos que son relevantes para el
sistema de gestión de la seguridad de la información;
 Retroalimentación sobre el desempeño de la seguridad de la información,
incluidas las tendencias en:
 No conformidades y acciones correctivas;
 Resultados de monitoreo y medición;
 Resultados de la auditoría; y
 Cumplimiento de los objetivos de seguridad de la información.
 Retroalimentación de las partes interesadas;
 Los resultados de la evaluación de riesgos y el estado del plan de
tratamiento de riesgos; y
 Las oportunidades para la mejora continua.
También es aconsejable agregar un punto adicional
 Planificar las fechas y el esquema de la próxima auditoría
Esto es una opción aunque puede que el auditor en el proceso de certificación les
recomiende que incluyan esta planificación
En resumen ¿qué es lo que debería tratarse en estas revisiones del SGSI?

Los resultados de la revisión de la gestión deben incluir decisiones relacionadas
con las oportunidades de mejora continua y cualquier necesidad de cambios en el
sistema de gestión de la seguridad de la información.
En una revisión deberíamos tomar al menos las siguientes decisiones:
 Si el SGSI ha cumplido sus objetivos

 Qué mejoras son necesarias
 Si es necesario realizar cambios en el alcance
 Aprobar los recursos necesarios para los controles y procesos de la
Seguridad de la información
 Si es necesario realizar modificaciones en los documentos principales (por
ejemplo, políticas de alto nivel), etc.
Pero, por supuesto, no es obligatorio limitarse únicamente a esos temas. La
revisión del SGSI por la dirección es la oportunidad perfecta para concienciar a
sus directivos sobre los principios básicos de la seguridad de la información.
Puede analizar estrategias alternativas sobre cómo pueden implementarse, puede

presentar los problemas con los que más está luchando para que pueda obtener su
apoyo, etc.
Una buena recomendaciónUna buena recomendación

En resumen, puede utilizar este requisito de ISO 27001 para hacer
mucho más que el mero cumplimiento. Úselo para construir una
relación con las personas involucradas en la toma de decisiones.
CUANDO O CON QUÉ FRECUENCIA HAY QUE

HACER LA REVISIÓN DEL SGSI
Existe un requisito mínimo para realizar la revisión del SGSI al menos una vez al
año, y con mayor frecuencia si hay algún cambio importante que pueda afectar la
seguridad de la información y el SGSI.
Sin embargo, la frecuencia idónea para cada organización debe ser definida por la
dirección teniendo en cuenta sus propios requisitos para evaluar la efectividad del
SGSI.

Existe el peligro de que, mientras mayor sea el intervalo, mayor será el
trabajo que involucrará una revisión del período anterior. También
aumenta el riesgo de fallos en el SGSI por no haberlos podido
identificarlos con prontitud.
Por esa razón, puede ser recomendable realizar una revisión al menos parcial o de
ciertos objetivos al menos trimestralmente. Ciertamente, las revisiones de gestión
deben realizarse a intervalos planificados para garantizar que el SGSI siga siendo
"adecuado, adecuado y efectivo".

Para los que se enfrentan a una auditoria de certificación de
implantación del sistema, deben tener en cuenta que es un requisito de la
FASE 1 de la auditoria presentar evidencias de que se están llevando a
cabo las revisiones regulares.
CASO PRACTICO:
Veamos el resumen de lo planteado hasta ahora con algunos consejos prácticos

para enfocar el informe de revisión por parte de la dirección sobre el SGSI
La revisión del SGSI no tiene que realizarse de la misma manera en todas las
empresas; hay muchos enfoques diferentes sobre cómo hacerlo:
Frecuencia. Como ya hemos mencionado, como mínimo deberemos realizar una

revisión administrativa una vez al año, o más a menudo si ocurre algún cambio
importante que pueda influir en la seguridad de la información (por ejemplo, hay
un nuevo cliente que tiene solicitudes muy específicas con respecto a la
confidencialidad o disponibilidad de sus sistemas). Sin embargo, podría hacerse
más a menudo (por ej., Trimestralmente) si la gerencia desea involucrarse más en
cuestiones operativas.
Fusionar con otras revisiones de gestión. Si hemos implementado ISO 27001 e
ISO 22301, o también ISO 9001, podría sentirse tentado de hacer todas esas
revisiones de gestión juntas; sin embargo, no parece recomendable; por ejemplo,
la continuidad del negocio (ISO 22301) es un tema lo suficientemente grande y
necesita un tiempo quizás extenso de atención exclusiva de su órgano de
dirección, y lo mismo aplica para la seguridad de la información o la Gestión de
la calidad.
Puede colocar todas las revisiones de gestión en el mismo día, pero colóquelas en
secuencia, no en el mismo intervalo de tiempo.
Dónde documentar los resultados. En la mayoría de los casos, las simples actas
de reunión servirán; sin embargo, algunas corporaciones más grandes requerirán
que se realicen procedimientos formales, junto con decisiones formales.
Cómo comunicar los resultados No debemos de olvidarnos de comunicar los
resultados de la revisión, enviando notificaciones por correo electrónico a todos
los empleados relevantes y a terceros, o bien organizar una reunión o algo
similar.
Quién preparará los informes necesarios para la revisión. Dado que hay una
gran cantidad de información de entrada que la dirección necesita considerar en
la reunión, alguien tiene que preparar esos materiales; por lo general, este es el
Director de Seguridad de la Información o el Coordinador de Continuidad del
Negocio; sin embargo, en compañías más grandes, estos materiales serán
preparados por varios jefes de departamento.
Asegúrese de que las revisiones son anunciadas y planificadas con tiempo para
que toda la información necesaria para realizar la revisión esté disponible.
FASE 10 EL PROCESO DE CERTIFICACIÓN ISO

27001
El proceso de certificación de la norma ISO 27001 consiste en la obtención de un
certificado de cumplimiento con los requisitos de la norma emitida por una
entidad de certificación independiente.
La norma bajo la que se obtiene el certificado es la norma UNE-EN ISO/IEC
27001. Las certificaciones emitidas por una Entidad de Certificación pueden ser
o no acreditadas por una entidad de acreditación (en España la entidad nacional
de acreditación es la ENAC). EN todo caso las entidades de acreditación deben
pertenecer a la IAF (International Accreditation Forum).
La fase de certificación no es obligatoria pero tiene sin duda beneficios
innegables a la hora de hacer valer la implantación de un SGSI ante nuestros
clientes y partes interesadas
BENEFICIOS DE CERTIFICARSE
La obtención del certificado acarrea una serie de beneficios entre otros:
 Es una ventaja competitiva ante otras empresas

 Facilita el acceso a un mercado cada vez más competitivo que exige cada
vez por mas empresas y organismos públicos un certificado de
conformidad con la Seguridad de la Información a la hora de licitaciones y
contratos
 Mejora la imagen de la empresa
 Mejora la confianza de clientes y usuarios de nuestros servicios en cuanto
a la seguridad y protección de los datos
 Nos garantiza una implantación efectiva de la norma al ser evaluados por
una entidad con experiencia y que nos aportara consejos para mejorar el
sistema
AUDITORIA DE CERTIFICACIÓN DEL SGSI
Después de la fase de implantación se realiza la auditoria de Certificación no
antes de un periodo de al menos 3 meses durante el cual el sistema debe estar
funcionando.
El proceso se inicia con la solicitud de certificación a una entidad certificadora

quien después de formalizar el proceso mediante un contrato realizara la auditoria
de certificación
La auditoría de certificación se realiza en dos fases:
Previamente al inicio de la auditoria el auditor debe enviar un plan de auditoria a

la empresa.
AUDITORIA DE CERTIFICACIÓN ISO 27001 FASE1
Se trata de un proceso de análisis de la documentación del cual saldrá un informe

sobre el cumplimiento con los requisitos de documentación básica y necesaria
para el cumplimiento con los requisitos de la norma ISO 27001. En este informe
se nos destacarán los posibles incumplimientos de la norma en cuanto a las
necesidades de documentación y de requisitos normativos que se verificarán
luego en la fase 2
Documentación obligatoria
En esta fase la tarea del auditor es revisar la documentación existente que
compone el SGSI solicitando las evidencias de la documentación obligatoria
requeridas por la norma ISO 27001.
En cuanto a los controles de seguridad el auditor utilizara la declaración de

Aplicabilidad como guía.
La documentación de apoyo a la implementación de la norma y toda la

documentación desarrollada para el sistema también será revisada-, por ejemplo:
 Información sobre los controles de Seguridad

 Diagrama de la red
 Instrucciones técnicas
 Políticas especificas
 Procesos de Seguridad
 Listado de documentación vigente
 Etc.
AUDITORIA DE CERTIFICACIÓN ISO 27001 FASE2
En esta fase se revisa la implantación del sistema SGSI. Se trata de comprobar el

cumplimiento de las políticas, la implantación de los controles de seguridad etc.
El proceso termina con la emisión de un informe donde se nos determinara si
existe alguna no conformidad o incumplimiento. La empresa dispondrá de un
plazo para la subsanación de las No Conformidades mediante las acciones
correctivas pertinentes.
La implantación de estas acciones correctivas será verificadas en siguientes

auditorias.
Finalizado el proceso de auditoría de certificación se procede a la emisión del

certificado el cual tendrá una validez de 3 años, siendo necesaria una auditoria de
renovación para mantener la validez por otro periodo
Además de la auditoria de renovación cada 3 años, se debe realizar una auditoría

de seguimiento normalmente anual para verificar que el SGSI se mantiene de
acuerdo a los requisitos de la norma.
En esta auditoria normalmente se revisa una parte del sistema SGSI para dar
mayor énfasis a temas que en una auditoria del sistema completo no ha podido
revisarse en profundidad.
Evidencia
La evidencia consiste en la comprobación de que los documentos que integran el
Sistema de Gestión de Seguridad de la Información se corresponden con la
realidad
Entrevistas
La forma de comprobar la implantación de los procesos de seguridad
documentado es verificando que los trabajadores conocen los documentos
referentes a la seguridad de la información que tienen que ver son el desempeño
de su actividad. Se trata de comprobar si la organización está desempeñando sus
actividades integrando el sistema de Gestión de la Seguridad de la Información
Concienciación
La concienciación de los empleados es una cuestión relevante en un SGSI por lo
que el auditor deslizara una serie de entrevistas a distintos trabajadores de forma
que pueda comprobar los documentos que les aplican
Los documentos más importantes que suelen aplicar a todos los trabajadores son:
 Política de seguridad de la información

 Cláusulas de confidencialidad
 Uso aceptable de los activos
 Política de control de acceso
Como preparar una auditoria de Certificación ISO 27001
Auditoria Interna
Si la empresa está o no preparada para la certificación generalmente se determina
a través de una auditoría interna, llevada a cabo por un miembro del personal
designado como auditor interno calificado en ISO 27001 o buscando la asistencia
de un auditor interno con experiencia de una consultoría ISO 27001 .
La norma ISO27001 aun siendo muy específica en sus requisitos, sigue la tónica
de todas las normas ISO en cuanto a su lenguaje genérico y no determina como
deben hacerse las cosas, por lo que puede ser difícil para los que no cuentan con
suficiente experiencia, entiendan exactamente cómo deben aplicar los requisitos
de la norma.
Es por eso que las empresas a menudo prefieren utilizar un tercero independiente
para realizar la auditoría interna para garantizar la imparcialidad y como ayuda
para preparar convenientemente la certificación
Un consultor experto brindara buenas ideas de cómo será la auditoría de

certificación y será una valiosa ayuda para estar mejor preparados para la
certificación
Un auditor externo completará la documentación de evaluación de riesgos,

tomando nota de los controles implementados y los que falten, identificando las
no conformidades y recomendando la corrección que debe implementar antes de
la auditoría de certificación.
Seleccionar un auditor
Conviene tener criterios claros para elegir a nuestro auditor interno pues un buen
auditor interno nos aportara sus conocimientos y será una garantía para estar bien
preparados para la auditoría de certificación.
Si ha optado por la ruta de consultoría para ayudarlo a implementar ISO 27001,

es importante asegurarse de que su proveedor estará a su disposición durante la
auditoría de certificación en caso de que necesite ayuda
Revise el plan de auditoría.

Anticiparse al auditor revisando el plan de auditoria para discutir con el auditor
aquellas cosas que echemos en falta o todo lo que consideremos inexacto. Se
trata también de demostrar la proactividad de la empresa ante el auditor y
aprovechar para establecer una primera relación con el auditor que a veces puede
resultar muy útil.
Prepárate para tus entrevistas.

Las entrevistas que hemos mencionado pueden incluir normalmente a los
responsables de los distintos departamentos para obtener la información de la
integración de los controles de seguridad que les afectan y de su función dentro
del SGSI
No debemos pasar por alto el prepararse para afrontar estas entrevistas, algo que
no necesita de mucho esfuerzo. Los puntos clave son:
 Enviar un correo electrónico a los empleados clave y responsables,

recordando los aspectos fundamentales de la seguridad de la información
que les atañe, es algo que no requiere de mucho tiempo o esfuerzo
 Otra recomendación es recomendar a todos que den respuestas breves y
concisas sin desviarse hacia otros temas que no están en sentido y
discusión de las preguntas
 Proporcione ejemplos prácticos sobre los tipos de evidencia solicitará el
auditor.
 Solicite con anticipación que los empleados tengan disponibles sus
portátiles o lo que sea necesario para proporcionar lo más rápido posible
las evidencias solicitadas

Iso 27001 Paso A Paso

Cargado por

Copyright:

Formatos disponibles

Iso 27001 Paso A Paso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27001 Paso A Paso

Cargado por

Copyright:

Formatos disponibles

FASE 1 AUDITORIA INICIAL ISO 27001 GAP

Un análisis de brechas GAP o análisis de deficiencias consiste por tanto, en un

 Establecer el punto de partida para implementar la norma y evaluar el

No debemos confundir un análisis de cumplimiento de requisitos y controles de

El análisis de cumplimiento identifica que requisitos y controles incluidos en la

Cuando realizar un análisis de deficiencias o análisis de brechas GAP

En anteriores ediciones de la norma el análisis GAP era de utilidad a la hora de la

Una buena recomendación

COMO REALIZAR UN ANÁLISIS DE BRECHAS

Estos modelos de madurez comúnmente utilizados como herramientas para la

Este modelo se adapta de forma perfecta para establecer un modelo de auditoría

Como resultado el análisis de deficiencias GAP nos revelara las mejoras

Dentro de las ventajas de realizar un análisis de deficiencias mediante un modelo

Como primer paso tomaremos en cuenta los niveles de madurez:

 No existencia (Nivel 0): no hay reconocimiento de la necesidad del control

TEST EJEMPLO DE CUMPLIMIENTO

4.- La Organización y su Contexto

¿Están identificados los objetivos del SGS Sistema de

¿Se han identificado las cuestiones internas y externas

¿Se han identificado como las partes internas y externas

4.2 Expectativas de las partes interesadas

1 ¿Se han identificado las partes interesadas?

¿Existe un listado de requisitos sobre Seguridad de la

4.3 Alcance del SGSI

¿Se ha determinado el alcance del SGS y se conserva

SGS Sistema de Gestión de la Seguridad de la

¿El sistema de Gestión de Seguridad de la información

¿Se han establecido objetivos de la Seguridad de la

¿La dirección provee de los recursos materiales y humanos

¿La dirección revisa directamente la eficacia del SGSI para

5.2 Política de la Seguridad de la Información

¿Se ha establecido un marco que permita el

¿Se ha comunicado la política de la Seguridad de la

¿Se mantiene información documentada de la política del

5.3 Roles y Responsabilidades

¿Se han asignado las responsabilidades y autoridades sobre

¿Se han comunicado convenientemente las

¿El plan para abordar riesgos y oportunidades considera

3 ¿Se ha definido un proceso de tratamiento de riesgos?

¿Se han establecido criterios para elaborar una

¿Se mantiene información documentada de los puntos

6.2 Planificación para consecución de objetivos

¿Se han establecido objetivos de la Seguridad de la

¿Los objetivos de la Seguridad de la Información están

¿Se han integrado los objetivos de la Seguridad de la

¿Se identifican y asignan los recursos necesarios para el

¿Se evalúa la competencia en materias de Seguridad de la

¿Se mantiene información actualizada sobre la

¿El personal está involucrado y es consciente de su papel

¿Existe conciencia de los daños que se pueden producir de

¿Se comunica la política de la Seguridad de la Información

¿Existe un proceso para comunicar las deficiencias o malas

7.5 SGS Sistema de Gestión de la Seguridad de la

¿Se dispone de la documentación requerida por la norma

¿Existe un control documental donde se verifica?

3 ¿Se controlan los documentos de origen externo?

¿Los procesos de seguridad de la Información están

¿Se establecen medidas y planes para mitigar los riesgos en

¿Se identifican y controlan los procesos externalizados en