¿Qué es la ISO 27001?

La ISO 27001:2013 es la norma internacional que proporciona un marco

de trabajo para los sistemas de gestión de seguridad de la información
(SGSI) con el fin de proporcionar confidencialidad, integridad y
disponibilidad continuada de la información, así como cumplimiento legal.

La certificación ISO 27001 es esencial para proteger sus activos más

importantes, la información de sus clientes y empleados, la imagen
corporativa y otra información privada. La norma ISO incluye un enfoque
basado en procesos para lanzar, implantar, operar y mantener un SGSI.

La implantación de la ISO 27001 es la respuesta ideal a los requisitos

legislativos y de los clientes, incluyendo el RGPD y otras amenazas
potenciales, incluyendo: Crimen cibernético, violación de los datos
personales, vandalismo / terrorismo, fuego / daños, uso
malintencionado, robo y ataque de virus.

En 2019, cerca del 32% de los negocios sufrieron una violación de datos
personales o recibieron ataques en los últimos 12 meses.

La norma ISO 27001 se estructura para ser compatible con otras normas
de sistemas de gestión, como la ISO 9001 y es neutral respecto a
tecnología y preveedores, lo que significa que es completamente
independiente de la plataforma de IT. Por ello, todos los miembros de la
organización deben ser educados sobre el significado de la norma y
cómo se aplica en la organización.

Conseguir la certificación ISO 27001 acreditada demuestra que su

empresa está comprometida con seguir las mejores prácticas de
seguridad de la información. Adicionalmente, la certificación ISO 27001
proporciona ina evaluación experte de si la información de su empresa
está adecuadamente protegida. Siga leyendo para conocer más
beneficios de la certificación ISO 27001

Norma ISO 27001:2013

La norma ISO 27001:2013 no sólo establece cambios en el contenido sino también en la
estructura, lo que verá reflejado en otros documentos que forman parte de la familia ISO
27000.

La norma ISO 27001:2013 ha sido desarrollada con base al Anexo SL, en la que se
proporciona un formato y un conjunto de alineamiento que siguen el desarrollo documental de
un Sistema de Gestión sin que le importe el enfoque empresarial, se alinean bajo la misma
estructura todos los documentos que se relacionan con el Sistema de Gestión de Seguridad
de la Información y así se evitan problemas de integración con otros marcos de referencia.
Además, la nueva estructura queda así:

0. Introducción
En la norma ISO 27001:2013 el cambios más significativo es la eliminación de la sección
“Enfoque del proceso” que sí contenía la versión 2005, donde se describía el modelo PHVA,
considerándose el corazón del Sistema de Gestión de Seguridad de la Información (SGSI).

1. Alcance
En la norma ISO 27001:2013 se establece como obligatorio el cumplimiento de los requisitos
especificados entre los capítulos 4 a 10 de dicho documentos, para poder obtener una
conformidad de cumplimiento y así poder certificase.

2. Referencias normativas
El estándar ISO 27002 ya no será referencia normativa para la norma ISO 27001:2013,
aunque se puede considerar necesario el desarrollo de una declaración de aplicabilidad.

La norma ISO 27001:2013 se convierte en una referencia normativa obligatoria y única, ya

que contiene todos los nuevos términos y definiciones.

3. Términos y definiciones
Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y
fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”,
con el fin de contar con una sola guía de términos y definiciones que sea consistente.
 4. Contexto de la organización
Durante esta cláusula de la norma ISO 27001:2013 se identifican todos los problemas
externos e internos que rodean a la empresa:

 Se intuyen todos los requisitos para definir el contexto del SGSI sin importar el tipo de
empresa que sea y el alcance que tenga.

 Se introduce una nueva figura como un elemento primordial para definir el alcance del
SGSI

 Se establece la prioridad de identificar y definir todas las necesidades de las partes

interesadas con relación a la seguridad de la información y las expectativas creadas por
el Sistema de Gestión de Seguridad de la Información, ya que esto determinará las
políticas de Seguridad de la Información y todos los objetivos a seguir para el proceso de
gestión de riesgos.

5. Liderazgo
Se realiza un ajuste de la relación y las responsabilidades de la gerencia de la organización
con respecto al Sistema de Gestión de Seguridad de la Información, destacando como
se deberá demostrar el compromiso, como por ejemplo:

 Garantizar que los objetivos del SGSI y la política de seguridad de la información, antes se

conocía como la política del SGSI.

 Se debe garantizar la disponibilidad de todos los recursos para la implantación del SGSI.

 Se garantiza que los roles y las responsabilidades para la seguridad de la información se

asignan y se comunican de forma adecuada.

6. Planeación
En este apartado de la norma ISO 27001:2013 se enfoca a la definición de los objetivos de
seguridad como un todo, los cuales deben estar claros y se deben contar con planes
específicos para conseguirlos.

Se puede presentar grandes cambios en el proceso de evaluación de riesgos:

 El proceso para evaluar los riesgos ya no se encuentra enfocado a los activos, las
vulnerabilidades y las amenazas.

 La metodología se enfoca con el objetivo de identificar todos los riesgos asociados con la
pérdida de confidencialidad, integridad y disponibilidad de la información.

 El nivel de riesgos se determina con base a toda probabilidad de que ocurra un riego y las
consecuencias generadas, si el riesgo se materializa.
 Se elimina el término propietario del activo y se adopta el término propietario del riesgo.

 Los requisitos no han sufrido transformaciones significativas.

7. Soporte
Los requisitos del soporte para el establecimiento de la implementación y mejora
del SGSI, que incluye:

 Recursos

 Personal competente

 Conciencia y comunicación de todas las partes interesadas.

Se incluye una nueva definición que es “información documentada”, ésta sustituye a los
términos “documentos y registros”, establece el proceso de documentar, mantener,
controlar y conservar la documentación que corresponde al Sistema de Gestión de
Seguridad de la Información.

La norma ISO 27001:2013 se enfoca en el contenido de los documentos y no en que

existe un determinado número de éstos.

8. Operación
Establece todos los requisitos para medir el funcionamiento del Sistema de Gestión de
Seguridad de la Información, todas las expectativas de la gerencia de la organización y la
retroalimentación sobre estas, además de cumplir con la norma ISO 27001:2013.

Además, la organización se plantea y controla las operaciones y los requisitos de

seguridad, el pilar de este proceso se centra en realizar las evaluaciones de riesgos de
seguridad de la información de forma periódica por medio de un programa elegido.

Todos los activos, las vulnerabilidades y las amenazas ya no son la base principal de la
evaluación de riesgos. Solo se requiere para realizar la identificación de los riesgos, que
están asociados a la confidencialidad, la integridad y la disponibilidad.

9. Evaluación del desempeño

La base para poder realizar la identificación y la medición de la eficiencia y el desempeño
que realiza el Sistema de Gestión de Seguridad de la Información continúa siendo las
auditorías internas y las revisiones del SGSI.

Se tiene que considerar el estado en el que se encuentran los planes de acción para poder
atender las no conformidades como es debido, además se establece la necesidad de
definir quién y cuándo realiza las evaluaciones, además de quien tiene que analizar la
información que se ha recolectado.

10. Mejora
El principal elemento del proceso de mejora son las no conformidades identificadas, las
cuales tiene que contabilizarse y compararse con las accione correctivas para asegurarse
de que no se repitan y que las acciones correctoras que se realicen sean efectiva

Así puedes documentar un activo de información

Por Maria Camila Arévalo, en octubre 16, 2020

h_persona_cifras_5

Los activos de información son herramientas que se usan dentro del sistema de gestión de
seguridad de la información para que las empresas puedan cumplir con los objetivos propuestos
desde la alta dirección.

Una buena gestión de los activos de información requiere diseñar, establecer e implementar los
procesos para identificar, valorar y clasificar el tratamiento de los activos más importantes de la
compañía.

De acuerdo con la norma ISO 27001, los activos de información son "algo que una organización
valora y por lo tanto debe proteger".

Los activos de información pueden ser:

Información que se utiliza en diferentes procesos de la compañía, tanto digitales como manuales.

La infraestructura, el hardware y el software que se usa para almacenar la información.

Las herramientas que se utilizan para el manejo de la información.

Los instrumentos de desarrollo y de soporte a los sistemas de información.

Personas encargadas de manejar y manipular la información de la empresa.

Etapas para documentar los activos

Inventario: lo primero que se debe hacer es identificar los activos de información más importantes
de la empresa para poder clasificarlos y darles la relevancia necesaria.

Propiedad: después de identificar los activos, se les debe asignar un propietario o responsable que
se encargue de definir los controles de protección que se les van a aplicar.

Directrices de clasificación: se deben clasificar dependiendo el tipo de información, si es legal,

financiera, de operaciones, entre otras.

Tratamiento: se deben implementar las mejores prácticas de seguridad, darle el manejo adecuado
a la información siguiendo los protocolos establecidos anteriormente.

Hay que tener en cuenta que los activos de información están relacionados directa e
indirectamente con amenazas, impactos, vulnerabilidades y riesgos internos y externos.

Descarga gratis un manual para implementar la seguridad de la información

Tipos de activos de información

Digitales

Correos electrónicos.

Copias de seguridad.

Bases de datos.

Ecommerce.

Dispositivos de almacenamiento.

Servicios web.

Infraestructura digital.

Tangibles

Personas.

Financieros.

Legales.

Estrategia y comerciales.
Otros medios de almacenamiento.

Intangibles

Conocimiento de información.

Relacionamiento.

Licencias.

Conocimientos técnicos.

Imagen corporativa.

Marca.

Reputación comercial.

Confianza de los clientes.

Ética.

Operativos

Servidores.

Computadores.

Dispositivos de red.

Dispositivos de mano e incrustados.

La nube.

Servicios TI

Hardware.

Enlaces.

Dispositivos de comunicación.

Tecnología.

Administración de procesos.

Software.

Valoración de los activos

Aunque no es requisito de la norma ISO 27001, se recomienda cuantificar la importancia de los
activos de información, se puede hacer a través de tres variables: confidencialidad, integridad y
disponibilidad que también se conoce como "CID":

Confidencialidad: es la información que es clave y confidencial, como su nombre lo indica, en la

continuidad del negocio. En caso de que esta llegue a ser revelada puede traer consecuencias muy
grandes a la organización, poniendo en peligro su reputación y trayendo consigo grandes
amenazas.

Integridad: la información del activo debe ser completa y legal, por ende no debe ser alterada por
ningún motivo o manipulada por un tercero pues esto causaría errores dentro del sistema.

Disponibilidad: es la posibilidad de acceder a la información cuando se necesite. En caso de que el

activo no este disponible puede provocar que la necesidad se detenga la producción del negocio

¿Qué es un activo de información?

Tal vez hayas escuchado hablar sobre activos de información, pero ¿sabes qué son los activos de
información en una organización? De acuerdo a la ISO 27000, estos activos se refieren a cualquier
información o elemento relacionado con el tratamiento de dicha información que tengan valor
para la organización. Algunos ejemplos de activos son bases de datos, archivos físicos, sistemas de
información, cableado y redes, dispositivos de almacenamiento e incluso las mismas personas que
manejan datos o conocimiento específico del negocio.

Algo de historia...

En 1993, en el Reino Unido se creó el Institute of Asset Management (IAM) con una filosofía
gerencial denominada Gestión de Activos (Asset Management). Esta organización crea un comité
llamado British Standard en Asset Management, donde en 2004 publica el British Standard PAS 55,
el cual establece 28 requerimientos dando respuesta a la demanda de la estandarización de la
gestión de activos para la industria. Lo anterior, tuvo tan buena acogida, que en el 2008 se
internacionalizó dándole paso a la norma ISO 55000 sobre gestión de activos.

La ISO 55000 clasificó los activos en 5 super categorías, donde una de ellas fue la de activos de
información:
Activos Humanos

Activos Financieros

Activos Intangibles

Activos de Información

Activos Físicos

Hoy en día contamos con una serie de estándares internacionales definidos por la ISO para la
gestión de la seguridad de la información en la serie de normas 27000.

Nueva llamada a la acción

Responsabilidad por los activos de información: ¿Cómo identificar los activos y definir la
responsabilidad de su protección?

Imaginemos que en nuestra organización asignamos un equipo de cómputo portátil con las últimas
características del mercado a un colaborador, sin ningún tipo de reporte ni control del mismo.
Tiempo después, el trabajador se retira de la compañía y en su paz y salvo de retiro no se detalla la
devolución de dicho activo. En otras palabras, no sabemos en dónde está dicho computador, en
este escenario surgen varias incógnitas: ¿El computador lo devolvió a algún colaborador de la
empresa? Si efectivamente se realizó la devolución del equipo, ¿dónde está?, ¿En qué condiciones
se entregó?, ¿Cuánto tiempo tardaremos en investigar el destino del equipo?, ¿Realmente el
colaborador requería un computador de estas características?, ¿El control de la confidencialidad
de la información de dicho equipo se controló desde un principio?

Buena práctica:
Contar con un inventario no necesariamente tiene que ser algo sofisticado; con una hoja de
cálculo es suficiente donde se defina un propietario del activo, etiqueta (número, siglas, letras)
que también tenga un sticker físico en el dispositivo, localización, autorizados con acceso del
dispositivo, estado, último mantenimiento realizado. También se recomienda realizar un acta tipo
bitácora donde estipule quien lo recibe, las condiciones en que es entregado, quién realiza la
entrega, las fechas de entrega o recepción del mismo que pueden ir adjuntas a la hoja de cálculo.

Nueva llamada a la acción

Adicionalmente, es importante controlar que el inventario de equipos cumpla con las políticas
empresariales; como por ejemplo, hacer un backup de la información del computador por retiro
de un colaborador o si es necesario formatearlo cuando se le asigna a un nuevo empleado,
verificar qué programas deben ir instalados, así como los accesos estrictos de acuerdo con el rol
que desempeñe en la compañía. Es importante tener en cuenta que se debe destinar un equipo
acorde a la función y rol del colaborador, ya que si solo necesitamos un software ofimático como
Word, Excel, PowerPoint y navegación para internet, es probable que no se requiere un equipo
con las últimas características del mercado.

Controles que deberías implementar según el Anexo A ISO 27001:

A.8.1.1 Inventario de activos

A.8.1.2 Propiedad de los activos

A.8.1.3 Uso aceptable de los activos

A.8.1.4 Devolución de activos

Gestión de activos de información

Clasificación de la información: ¿Cómo asegurar que la información recibe el nivel adecuado de

protección de acuerdo a su importancia?

Establecer los propietarios de los activos informáticos según su rol y responsabilidad es de vital
importancia para tener un mejor control y/o manejo de la información clave de la empresa. Los
activos de información se asignan según su importancia. Si bien es cierto que podemos subsanar
en cierta manera etiquetando e inventariando los recursos disponibles también debemos definir
un propietario que no es igual al dueño. El propietario es el responsable principal del activo y de
toda la información que custodia el medio magnético o digital, y el dueño es la persona o
compañía que compró dicho activo.

Buena práctica

Seamos congruentes!. Asignar el propietario del servidor X al área de Compras, que se asignó
erróneamente dado que allí se ejerció la adquisición del equipo, ¿No es congruente verdad?
Partimos de la lógica que se debe asignar al Director de Tecnología, ¡mejor, verdad! ; además el
director podrá delegar la responsabilidad al subordinado encargado de Infraestructura, Es más
fácil, verdad! Se recomienda establecer niveles de acceso según su importancia en la organización;
por ejemplo, no podemos dar un acceso de administrador al servidor de la base de datos de
producción al Auxiliar de sistemas con pocos días de haber ingresado a la compañía sin haber
recibido la capacitación requerida para dicha responsabilidad.

Controles que deberías implementar según el Anexo A ISO 27001:

A.8.2.1 Clasificar los activos por su importancia

A.8.2.2 Clasificar los activos por el tipo de activo o información

A.8.2.3 Identificar al propietario del activo

Gestión de activos de información

Manejo de medios: ¿Cómo evitar la divulgación, la modificación, el retiro o la destrucción no
autorizada de información almacenada en los medios?

Pensando en ser práctico y aprovechando las facilidades que brinda la gestión de información en la
nube, es importante analizar la posibilidad de almacenar los archivos en una herramienta con esta
tecnología, que nos permite administrar niveles de acceso, con una alta disponibilidad, en tiempo
real y a un bajo costo, evitando el uso continuo de medios físicos.

Ahora, nunca está de más bloquear los puertos de salida como los USB y definir políticas
administrativas en cuanto a la creación, uso permitido, modificación o eliminación de archivos que
reposan allí, que sólo brinden esos privilegios únicamente cuando sea necesario y con los medios
removibles que estén previamente autorizados por el área de IT, su escaneo en el antivirus,
almacenamiento suficiente y con su mantenimiento al dia, donde en lo posible solo se utilicen
para transferencia de información y/o respaldos (copias) de seguridad.

Buena práctica

Supongamos que la empresa cuenta con una base de datos de clientes y prospectos, la cual se
almacena en un archivo de Excel y se comparte con los ejecutivos comerciales para que realicen
sus actividades diarias de llamadas y cierre de negocios con clientes. Es posible que si uno de los
colaboradores renuncia a la compañía pueda llevarse consigo una copia del archivo de Excel de
forma deshonesta para trabajar en la competencia y obtener una ventaja en sus resultados
comerciales con información que no es de su propiedad.

Por tanto, si vamos a gestionar este tipo u otra información en Excel es recomendable que
tengamos establecidos los permisos de modificación, creación, eliminación, visualización y
descarga. Analicemos previamente las necesidades reales de las personas frente a los archivos
para brindar los permisos adecuados; por ejemplo, si solo necesitamos que la persona lea
información solo le asignaremos privilegios de visualización.

Así mismo se recomienda que de acuerdo a la jerarquía organizacional se deleguen los accesos.
Por ejemplo, el Gerente General asigna permisos de información a sus directivos, estos a su vez
asignan permisos a los colaboradores a cargo, y así sucesivamente hasta llegar al último nivel de
cargos en la compañía.
Controles que deberías implementar según el Anexo A ISO 27001:

A.8.3.1. Gestión de medios removibles

A.8.3.2. Disposición de los medios

A.8.3.3. Transferencia de medios físicos

Lee también: Tips para implementar la declaración de aplicabilidad de la seguridad de la

información

Te invito a que de manera práctica implementes en tu empresa estos controles que permitan
identificar y gestionar los activos de información más importantes. Puedes empezar con un
inventario, luego definir las responsabilidades, el uso permitido y su clasificación. La primera
barrera de seguridad somos las personas, por eso es importante comunicar y hacer conciencia de
cuidar los activos de información como si fueran de nuestra propiedad

Listado de amenazas y vulnerabilidades en ISO 27001

Las amenazas

Acceso a la red o al sistema de información por personas no autorizadas.

Amenaza o ataque con bomba.

Incumplimiento de relaciones contractuales.

Infracción legal.

Comprometer información confidencial.

Ocultar la identidad de un usuario.

Daño causado por un tercero.

Daños resultantes de las pruebas de penetración.

Destrucción de registros.

Desastre generado por causas humanas.

Desastre natural, incendio, inundación, rayo.

Revelación de información.

Divulgación de contraseñas.

Malversación y fraude.

Errores en mantenimiento.

Fallo de los enlaces de comunicación.

Falsificación de registros.

Espionaje industrial.

Fuga de información.

Interrupción de procesos de negocio.

Pérdida de electricidad.

Pérdida de servicios de apoyo.

Mal funcionamiento del equipo.

Código malicioso.

Uso indebido de los sistemas de información.

Uso indebido de las herramientas de auditoría.

Contaminación.

Errores de software.

Huelgas o paros.

Ataques terroristas.

Hurtos o vandalismo.

Cambio involuntario de datos en un sistema de información.

Cambios no autorizados de registros.

Instalación no autorizada de software.

Acceso físico no autorizado.

Uso no autorizado de material con copyright.

Uso no autorizado de software.

Error de usuario.

La identificación de amenazas y vulnerabilidades en #ISO27001 es esencial para una gestión de

riesgos adecuada. Compartimos una lista.CLIC PARA TUITEAR

Las vulnerabilidades

Interfaz de usuario complicada.

Contraseñas predeterminadas no modificadas.

Eliminación de medios de almacenamiento sin eliminar datos.

Sensibilidad del equipo a los cambios de voltaje.

Sensibilidad del equipo a la humedad, temperatura o contaminantes.

Inadecuada seguridad del cableado.

Inadecuada gestión de capacidad del sistema.

Gestión inadecuada del cambio.

Clasificación inadecuada de la información.

Control inadecuado del acceso físico.

Mantenimiento inadecuado.

Inadecuada gestión de red.

Respaldo inapropiado o irregular.

Inadecuada gestión y protección de contraseñas.

Protección física no apropiada.

Reemplazo inadecuado de equipos viejos.

Falta de formación y conciencia sobre seguridad.

Inadecuada segregación de funciones.

Mala segregación de las instalaciones operativas y de prueba.

Insuficiente supervisión de los empleados y vendedores.

Especificación incompleta para el desarrollo de software.

Pruebas de software insuficientes.

Falta de política de acceso o política de acceso remoto.

Ausencia de política de escritorio limpio y pantalla clara.

Falta de control sobre los datos de entrada y salida.

Falta de documentación interna.

Carencia o mala implementación de la auditoría interna.

Falta de políticas para el uso de la criptografía.

Falta de procedimientos para eliminar los derechos de acceso a la terminación del empleo.

Desprotección en equipos móviles.

Falta de redundancia, copia única.

Ausencia de sistemas de identificación y autenticación.

No validación de los datos procesados.

Ubicación vulnerable a inundaciones.

Mala selección de datos de prueba.

Copia no controlada de datos.

Descarga no controlada de Internet.

Uso incontrolado de sistemas de información.

Software no documentado.

Empleados desmotivados.

Conexiones a red pública desprotegidas.

Los derechos del usuario no se revisan regularmente.