ISO 27001 Archives - Página 9 de 9 - Software ISO
cerrar

Software para la Gestión de la Excelencia

Cerrarcerrar_megamenu

Sobre ISOTools

Cerrarcerrar_megamenu
PLATAFORMA TECNOLÓGICA PARA LA GESTIÓN DE LA EXCELENCIA Demo Login

ISO 27001

¿Se tiene una política formal y se han adoptado controles adecuados para la protección de riesgos? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida?

Para poder responder a estas preguntas de manera contundente, y poder protegernos de forma óptima hacia todos los ataques en cuanto a seguridad de la información, tenemos que tener muy presente en nuestra organización norma ISO 27001.

Esta norma supone que los riesgos en seguridad de la información son controlados por parte de la organización de una forma eficiente, tanto para la propia empresa en sí, como para el resto de empresas del entorno.

La causa del artículo de hoy esta sostenida en la próxima actualización de la norma, de la cual hablábamos en nuestro blog el pasado mes de marzo, señalando diversos cambios que se llevaran a cabo con respecto a la norma ISO 270001: 2005.

Cabe señalar que el borrador ya ha salido publicado, pero mucho tememos que la versión oficial no la podremos tener hasta mediados del segundo trimestre del año.

Aunque como he referenciado anteriormente, se escribió un artículo de la norma, hemos considerado necesario, dedicarle un artículo a uno de los aspectos más interesantes en cuanto a cambios que se van a producir de cara a próximos meses, más concretamente estamos hablando de la nueva metodología que a partir de ahora va a suponer la Evaluación de los Riesgos.

Antes de señalar dichos cambios queremos recordarle como se está realizando esta valoración del riesgo hoy en día conforme la ISO 27001:2005:

La evaluación de riesgos debe ser comprobada en intervalos planeados y revisar riesgos residuales y los niveles de riesgo aceptables que han sido identificados, todo ello teniendo presente los cambios en:

  • Organización
  • Objetivos empresariales
  • Factores externos
  • Tecnología
  • Amenazas identificadas
  • Controles implementados

Una gestión eficaz de la evaluación de riesgos de la seguridad de la información permite garantizar:

  • Confidencialidad
  • Integridad
  • Disponibilidad

La evaluación de riesgos debe cerciorar que la evaluación de riesgos que generan resultados comparables y reproducibles.

Una vez explicado puntualmente, el formato actual de la evaluación de riesgos, pasaremos a describir que cambios se han producido en este campo de la norma, cabe señalar que no son riesgos demasiados drásticos pero que si cobran gran importancia para nosotros.

Los activos, vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos. Sólo se solicita para identificar los riesgos asociados con la Confidencialidad, Integridad y Disponibilidad. La norma permite mayor libertad en la forma en que se identifican los riesgos.

El concepto de la determinación del nivel de riesgo en base a consecuencias y probabilidad sigue siendo el mismo y en contraposición el concepto de propietario de los activos se ha ido.

Añadir que la metodología de evaluación del riesgo no necesita ser documentada, aunque si debe ser previamente definido el proceso de evaluación

Por último comentar el nacimiento de nuevo término “risk owners”,  por lo que el nivel de responsabilidad es empujado hacia un nivel más alto.

Desde ISOTools contamos con experiencias y soporte suficiente para adaptarnos a los nuevos cambios de ISO 27001, por ellos estamos tranquilos de que nuestros clientes van a seguir teniendo una confianza del 100% en nosotros.

ISOTools es la plataforma tecnológica necesaria para la mejora continua  en empresas comprometidas con lograr una ventaja competitiva en el sector con el que se desarrollan.


27001

ISO 27001

La declaración de aplicabilidad o en inglés, Statement of Applicability (SoA) de la ISO 27001 es un elemento fundamental a la hora de implementar un sistema de gestión de seguridad de la información (SGSI) en una organización. Se trata de un documento que relaciona los controles que su utilizan en el sistema de gestión.

Leer más


En la actualidad,  la información es una herramienta estratégica fundamental en el la actividad normal de cualquier organización. Por ello se hace indispensable la implantación de un adecuado Sistema de Gestión de la Seguridad de la Información en la propia organización. Sin embargo, en muchas ocasiones la implantación no se realiza llevando a cabo un proceso efectivo, eficaz ni útil para la empresa.

Los errores que se pueden cometer en este proceso los encontramos en  todas las fases, desde la planificación hasta el propio mantenimiento del sistema.

A continuación detallamos los errores en el proceso de implantación y mantenimiento de un SGSI:

  • En cuento a la planificación del proceso de implantación, la escasa adaptación a los objetivos corporativos es bastante común, de hecho, habitualmente  se cae en el error de diseñar un SGSI por encima de las necesidades y posibilidades de la organización.
  • Dependencia absoluta del sistema a una consultora externa. Este error es más común de lo que en un principio pueda parecer y sin ninguna duda es uno de los que más aumenta la probabilidad de fracaso del SGSI.

Para que la organización cuente con un SGSI óptimo, este debe integrarse perfectamente en las actividades habituales de la organización, de modo que todos los miembros de la institución utilicen e interactúen con el mismo.

  • También ocurre todo lo contrario, es decir, la organización es la encargada de todo el proceso. Esto hace que las evaluaciones y controles internos que se llevan a cabo sean, en muchos caos, insuficientes.
  • La implantación y el mantenimiento de un SGSI no sólo concierne al departamento relacionado con las TIC, todos y cada uno de los empleados tiene que ser consciente de que papel poseen dentro del sistema, ya que es probable que deban modificar, perfeccionar o rediseñar algunas de sus funciones.
  • En ningún caso tendrá éxito  la implantación de este sistema con el único fin de conseguir una acreditación o certificación oficial de cara a la galería. Lo que hace que un SGSI sea válido y útil es su mantenimiento constante  y continuo en el tiempo.

Las consecuencias negativas de implantar erróneamente un SGSI son diversas, llegando a afectar a planes estratégicos de la organización. El principal efecto perjudicial para una organización que no implante y mantenga correctamente su SGSI es el aumento importante de riesgos, no sólo aquellos referidos a la seguridad de la información, sino que también afecta a la consecución de objetivos establecidos, a la toma de decisiones y a la posición competitiva en el mercado.

Para evitar los riesgos derivados de una inadecuada implantación y mantenimiento de su SGSI, ISOTools ofrece su  herramienta web que facilita la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001. Permitiendo:

  • Garantizar la confidencialidad, integridad y disponibilidad de los datos.
  • Conocer los riesgos de seguridad de la Organización para poder dirigir inversiones a esos riesgos.
  • Lograr un equilibrio entre la seguridad técnica, procedimental y de personal.
  • Establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) que se integre con otros sistemas de gestión previos o futuros.

Todos sabemos la importancia de obtener  la certificación en ISO 27001 en unos tiempos en los que la obtención de información juega un papel fundamental para reducir la incertidumbre en la toma de decisiones empresariales y aumentar la probabilidad de éxito. Los Sistemas de Gestión de Seguridad de la Información cada día cobran mayor importancia no sólo en el ámbito empresarial, sino también en ámbitos relacionados con la Administración Pública o incluso con la actividad más personal de los individuos.

Para la adecuada gestión de la seguridad de la información, es vital integrar un sistema que sea capaz de desarrollar esta tarea de una forma controlada, documentada y centrada en unos objetivos bien definidos de seguridad, además de establecer técnicas de evaluación de riesgos en función de las necesidades de cada organización.

Los costes derivados de la integración de SGSI, se pueden imputar principalmente a las siguientes actividades:

–          Realización de inventarios, para conocer el valor de los activos totales de una empresa. Para ello es necesario llevar a cabo la identificación, definición, descripción y valoración de los activos, lo que conlleva tiempo y costes.

–          Implantar una mejora continua del sistema requerida por la propia norma.

–          Analizar los riesgos a los que se encuentran sometidas las empresas.

–          Desarrollo de un plan de continuidad del negocio.

–          Integrar diversos controles de seguridad y control de riesgos.

–          Mantenimiento a largo plazo del sistema.

Aunque en un primer momento pueda parecer que la implantación de un SGSI no es rentable por los costes que supone, los beneficios que se derivan son diversos y abundantes. Veamos algunos ejemplos:

–          Aumento de la competitividad en el mercado, proporciona diferenciación.

–          La seguridad como un sistema metódico y controlado.

–          Reducción de riesgos.

–          Mayor compromiso de mantenimiento y mejora de la seguridad.

–          Adaptación a la legislación vigente.

–          Realización de auditorias externas, otorgan una visión diferente que se traduce en actividades de mejora interna.

–          Acceso a un mayor número de clientes que exigen la acreditación en ISO 27001.

–          Mayor efectividad y eficiencia en la resolución de incidencias.

En la actualidad ya se han propuesto diversos métodos para calcular la rentabilidad que otorga la implantación de un SGSI. Un buen ejemplo de ello es el ROSI o también conocido como el ROI de la seguridad de la Información. Para el cálculo de la  ROSI de un sistema de seguridad de la información es necesario conocer:

–          Coste de implantar la norma dentro de la organización.

–          Ahorro derivado de reducir o evitar incidentes.

–          Beneficios directos por la mejora de la imagen de la empresa y su mejor posicionamiento en el mercado en el que opera.

Por último debemos indicar que la integración de un sistema de seguridad de la información no garantiza al 100% la inexistencia de incidencias o problemáticas surgidas como consecuencia de los datos de los que dispone una organización.

En ISOTools consideramos fundamental la integración se Sistemas de la Seguridad de la Información en todos aquellas empresas que dispongan de valiosa y abundante información. Por ello ponemos a disposición de todas ellas  nuestra herramienta web que facilita la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001.


La información es un activo fundamental hoy día  para la consecución del éxito empresarial  y el mantenimiento en el mercado  de cualquier organización. Esto se debe a que reduce el nivel de incertidumbre en la toma de decisiones y ayuda a definir con mayor exactitud la política estratégica a seguir de cara al futuro.

Esta norma persigue establecer una guía básica que ayude a las distintas organizaciones, tanto públicas como privadas, a  organizar la seguridad de la información de la que disponen. Ha sido elaborada por los mejores y más reconocidos profesionales del ámbito de la seguridad de la información, así que no es de extrañar que la ISO 27001 se haya convertido en un modelo a seguir en campos como la protección de datos personales, protección de información confidencial o gestión de riesgos operativos en organizaciones financieras.

Al igual que las normas ISO 9001 o  ISO 14001, el sistema de gestión de seguridad de la información consta de cuatro fases cíclicas que se repiten con cada nueva actividad que se introduzca:

  • Primera fase: PLANIFICACIÓN.

Las acciones dentro de esta primera fase son fundamentalmente  establecer un programa de acción, fijar los objetivos y decidir que controles de los 133 posibles es el que se va a utilizar.

  • Segunda fase: IMPLEMENTACIÓN.

Puesta en marcha de todas las actividades programadas en la fase anterior.

  • Tercera fase: REVISIÓN.

Monitoreo del SGSI (sistema de Gestión de la Seguridad de la Información) y comprobación de los resultados obtenidos con los objetivos previamente establecidos.

  • Cuarta fase: MANTENIMIENTO Y MEJORA.

Rectificación de desviaciones e incumplimientos detectados en la fase anterior.

Los objetivos que se persiguen con la implantación y mantenimiento de un SGSI y la certificación  ISO 27001 son:

  • Garantizar la confidencialidad, integridad y disponibilidad de los datos
  • Conocer los riesgos de seguridad de la Organización para poder dirigir mejoras a esos riesgos y así reducirlos.
  • Conseguir un equilibrio entre la seguridad física, técnica, procedimental y de personal.
  • Establecer una metodología estructurada según los principios de Planificar-Hacer-Controlar-Actuar (PHCA) que se integre con otros sistemas de gestión previos o futuros.

Con la certificación en ISO 27001, las empresas ofrecen mayores garantías de seguridad a sus clientes al llevar a cabo evaluaciones periódicas del sistema, implantar controles internos que cumplan con los requisitos de gestión empresarial y continuidad de la actividad comercial, verifica que los riesgos asociados a la gestión de la información estén perfectamente identificados, evaluados y gestionados y ayuda a mejorar el rendimiento interno de la empresa.

ISOTools es la herramienta web que facilita la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información conforme a la norma ISO 27001.

ISOTools permite mantener su Sistema se Gestión de la Seguridad de la Información (SGSI) mediante la automatización de los procedimientos y planes que establece el estándar ISO 27001.


Nueva versión de la ISO 27001Como ya debéis saber, la International Organization for Standardization,  ha publicado la última versión de la norma ISO 27000 de Gestión de Seguridad de la Información, la ISO 27000: 2013 que sustituye a la ISO 27000: 2005.

Entre dichas normas existen multitud diferencias y aunque las mismas no son demasiado drásticas dedicaremos este artículo a su análisis.

  • El cambio más evidente en la nueva versión de la norma es el de su estructura la cual se adapta a todas las normas de gestión. Además en esta nueva norma se eliminan los anexos B y C permaneciendo, tan solo, el anexo A.
  • Las partes interesadas cobran gran importancia en esta versión, ya que incluye a accionistas, clientes, autoridades, socios, etc. La norma posee un listado de posibles partes interesadas en una organización.
  • Los conceptos «documentos» y «registros» pasan a llamarse información documentada, en esta nueva norma.
  • La evaluación de riesgos ya no se realizará a partir de los activos, las vulnerabilidades y las amenazas sino que estos solo se emplearán para establecer los riesgos consecuencia de la Integridad, la Confidencialidad y la Disponibilidad. Con este cambio se logra aportar capacidad de decisión a la empresa a la hora de identificar los riesgos.
  • nueva 27001:2013En el informe de objetivos propuestos por la empresa, ahora, será necesario especificar quién será el responsable de comprobar que se realizan, el responsable de medirlos y además con qué frecuencia lo hace. También será necesario especificar como se planea hacer posibles los objetivos.
  • Las acciones preventivas también son objeto de cambio en la norma 27001, ya que la nueva versión no incluye acciones preventivas ya que estas pasarán a formar parte de la evaluación del riesgo y el tratamiento.
  • Por otro lado, las acciones correctivas se clasifican en dos tipos, las enfocadas a hallar solución a no conformidades y las dedicadas a eliminar la causa que provoca no conformidades.
  • En la nueva norma también será necesario indicar toda la información relativa a la comunicación, incluyendo los requisitos a comunicar, cuando, como y a quién se comunica etc.

Estos cambios no solo modifican a la norma anterior sino que la mejoran al hacerla más fácil de integrar a otras normas ISO como la ISO 9001 y o la norma ISO 20000.

Gestión de riesgos de la información según la 27001:2013La ISO 27000: 2013 aporta mayor libertad a las empresas, las cuales podrán adaptar el Sistema de Gestión a sus necesidades, lo cual mal interpretado puede ser una excusa para que las empresas no se esfuercen y traten de cumplir el mínimo de requisitos.

ISOTools ya ha adaptado su plataforma a los nuevos cambios de la normativa, haciendo posible facilitarle la implantación y el mantenimiento de su Sistema de Gestión de Seguridad de la Información.

La plataforma ISOTools es totalmente parametrizable por lo que se adapta a las necesidades propias de cada organización.

ISOTools automatiza y simplifica el tedioso proceso de implantación y posterior seguimiento requerido por las normas internacionales, así como los modelos de Excelencia y cualquier otro tipo de estándar internacional.

ISOTools le permite ahorrar, tiempo, dinero y papel.


Cada día más, se hace necesario en las organizaciones el contar con un sistema de protección de la información, que nos ayude a identificar las amenazas a las que estamos expuestos y poder controlarlas.

La implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) nos va a permitir asegurar la continuidad de nuestro negocio, mediante la reducción de riesgos y costos y maximización de las oportunidades de negocio.

Uno de los requerimientos que exige un SGSI es el Control de la Documentación,  de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada a dicho SGSI.

Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. Para ello se deberán establecer los procedimientos necesarios para controlar y proteger dicha información, mediante el desarrollo de documentos, control de cambios y versiones, disponibilidad, aprobación, control de la distribución, entre otros.

Pero la duda de muchas organizaciones a la hora de establecer un SGSI es: ¿Cuáles son los documentos obligatorios de un SGSI?

Se trata de los siguientes:

  • Alcance del SGSI:

Se trata de la aclaración de “hasta dónde” se aplica el SGSI, es decir, qué áreas, divisiones, procesos, etc.  abarca el SGSI.

  • Política del SGSI:

Es un documento en el que se establece el compromiso de la dirección y el enfoque de la organización en cuanto a la seguridad de la información.

Se trata de definir de qué manera se va a evaluar el riesgo (evaluación de amenazas, vulnerabilidad y probabilidad de ocurrencia, impactos que generan en nuestros activos, definición de criterios de aceptación de riesgo, etc.)

  • Informe de Evaluación del Riesgo:

Es el resultado de cruzar la Metodología de Evaluación del riesgo con los Activos de Información.

  • Plan de Tratamiento del Riesgo:

Es un documento en el que a partir de la evaluación del riesgo y los objetivos  de control establecidos; se plasman las acciones que se van a tomar para gestionar el riesgo, identificando dichas acciones, los responsables, los recursos que se van a emplear, etc.

  • Declaración de Aplicabilidad:

Es un documento  en el que se listan los objetivos y controles que se van a implementar en la organización, así como la justificación de aquellos controles que no van a ser implementados.

  • Procedimientos para el control de la documentación:

Son los procedimientos que aseguran la planificación, operación y control de los procesos de seguridad del SGSI.

  • Registros:

Son documentos que evidencien el constante y correcto funcionamiento de SGSI.

  • Autorización y compromiso de la Dirección con el SGSI

Toda documentación generada por el SGSI debe pasar por distintas fases propias del Ciclo de Vida de los documentos del SGSI, tal y como comentamos al inicio y antes de ser distribuida a la organización debe ser revisada y aprobada por la dirección.

ISOTools es una herramienta de gestión integral de los SGSI, que permite gestionar el Ciclo de Vida de la documentación propia del sistema, con la posibilidad de gestionar las alertas que avisen a los responsables, distribución de la documentación, control de versiones y responsabilidades, etc.


top