ESCUELA DE POSGRADO

PROGRAMA ACADÉMICO DE MAESTRÍA EN INGENIERÍA DE

SISTEMAS CON MENCIÓN EN TECNOLOGÍAS DE LA
INFORMACIÓN

ASIGNATURA:
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

TRABAJO INTEGRADOR
ISO 27001: 2013
Guía de implantación para la Seguridad de la Información

DOCENTE
Dr. Manuel Pereyra Acosta

GRUPO 3
Richard Rigoberto Carrasco de la Cruz
Vanessa Perez Cruz
Kevin Arturo Sánchez Magallanes
Darwin Alain Torre Ortiz
Darwin Antonio Santisteban Salcedo

Lima - Perú
2023
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

Índice

1. Introducción......................................................................................................................3
2. Desarrollo..........................................................................................................................4
2.1. Beneficios de la implantación..............................................................................4
2.2. Principios y terminología.......................................................................................5
2.3. Ciclo PHVA................................................................................................................6
2.4. Auditorías basadas en riesgos............................................................................7
2.5. Auditorías basadas en proceso...........................................................................9
2.6. Cláusulas de la ISO 27001: 2013........................................................................10
2.7. Pasos tras la implementación............................................................................19
3. Conclusiones..................................................................................................................22
4. Recomendaciones.........................................................................................................22
5. Caso práctico.................................................................................................................23
6. Referencias.....................................................................................................................24
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

1. Introducción
La mayoría de negocios dispone o tiene acceso a información sensible. El
hecho de no proteger adecuadamente dicha información puede tener
consecuencias operativas, financieras y legales graves, que pueden incluso
llevar a la quiebra del negocio. El reto que la mayoría de negocios afronta
es el de proporcionar una adecuada protección. Particularmente, cómo
asegurar que han identificado los riesgos a los que están expuestos y cómo
gestionarlos de forma proporcionada, sostenible y efectiva.
La ISO 27001 es la norma internacional para los sistemas de gestión de
la seguridad de la información (SGSI). Proporciona un marco robusto para
proteger la información que se puede adaptar a organizaciones de todo tipo
y tamaño. Las organizaciones más expuestas a los riesgos relacionados
con la seguridad de la información eligen cada vez más implementar un
SGSI que cumpla con la norma ISO 27001.
Las normas de la serie 27000 nacen en 1995 con la BS 7799, redactada
por el Departamento de Comercio e Industria (DTI) del Reino Unido. Las
normas se denominan correctamente "ISO / IEC" porque son desarrolladas
y mantenidas conjuntamente por dos organismos internacionales de
normas: ISO (la Organización Internacional de Normalización) y la IEC (la
Comisión Electrotécnica Internacional). Sin embargo, en el uso diario, la
parte "IEC" a menudo se descarta.
Actualmente hay 45 normas publicados en la serie ISO 27000. La ISO
27001 es la única norma destinada a la certificación. Los otros estándares
brindan orientación sobre la implementación de mejores prácticas. Algunos
brindan orientación sobre cómo desarrollar el SGSI para industrias
particulares; otros brindan orientación sobre cómo implementar procesos y
controles clave de gestión de riesgos de seguridad de la información.
Recordemos que las normas ISO están sujetas a una revisión cada 5
años para evaluar la necesidad de actualizaciones. La actualización más
reciente de la norma ISO 27001 en 2013 produjo un cambio significativo con
la adopción de la estructura del "Anexo SL". Si bien se realizaron algunos
cambios menores en la redacción en 2017 para aclarar el requisito de
mantener un inventario de activos de información, la ISO 27001: 2013 sigue
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

siendo la norma actual para que las organizaciones puedan obtener la

certificación.
2. Desarrollo
2.1. Beneficios de la implantación
La seguridad de la información está ganando notoriedad en las
organizaciones y la adopción de la ISO 27001 es cada vez más común.
La mayoría de las organizaciones reconoce que las brechas de
seguridad ocurren, solo es cuestión de tiempo verse afectado por este
hecho. Implementar un SGSI y lograr la certificación ISO 27001 es una
tarea importante para la mayoría de las organizaciones. Sin embargo, si
se hace de manera efectiva, existen beneficios significativos para
aquellas organizaciones que dependen de la protección de información
valiosa o sensible. Estos beneficios generalmente se dividen en tres
áreas:
Tabla 1
Beneficios de la implantación de la ISO 27001

Comercial Tener el respaldo independiente de un SGSI por

parte de un tercero puede proporcionar a la
organización una ventaja competitiva y permitirle
"ponerse al día" con sus competidores. Los clientes
que están expuestos a riesgos importantes de
seguridad de la información están haciendo cada vez
más que la certificación ISO 27001 sea un requisito
en la presentación de ofertas. Si su cliente está
certificado en ISO 27001, elegirá trabajar solo con
proveedores cuyos controles de seguridad de la
información sean fiables y tengan la capacidad de
cumplir con los requisitos contractuales. Para las
organizaciones que desean trabajar con este tipo de
cliente, contar con un SGSI acorde a la ISO 27001 es
un requisito clave para mantener y aumentar los
ingresos comerciales.
Tranquilidad Muchas organizaciones tienen información que es
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

crítica para sus operaciones, vital para mantener su

ventaja competitiva o que es parte inherente de su
valor financiero. Contar con un SGSI sólido y efectivo
permite a la gerencia administrar los riesgos y dormir
tranquilamente, sabiendo que no están expuestos a
un riesgo de multa, interrupción del negocio o un
impacto significativo en su reputación.
Operacional El enfoque de la ISO 27001 fomenta el desarrollo de
una cultura interna que esté alerta a los riesgos de
seguridad de la información y tenga un enfoque
coherente para enfrentarlos. Esta coherencia de
enfoque conduce a controles que son más robustos
en el manejo de amenazas. El costo de
implementarlos y mantenerlos también se minimiza, y
en caso de que fallen, las consecuencias se
minimizarán y se mitigarán de manera más efectiva.

2.2. Principios y terminología

El propósito central de un SGSI es proporcionar protección a la
información sensible o de valor. La información sensible incluye
información sobre los empleados, clientes y proveedores. La
información de valor incluye propiedad intelectual, datos financieros,
registros legales datos comerciales y datos operativos. Los tipos de
riesgos que la información sensible y de valor sufren pueden agruparse
en 3 categorías:
Tabla 2
Categorías de los riesgos de información

Confidencialida Cuando una o más personas ganan acceso no

d autorizado a la información.
Integridad Cuando el contenido de la información se cambia
de manera que ya no es precisa o completa.
Disponibilidad Cuando se pierde o daña el acceso a la
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

información.

Estos tipos de riesgo de seguridad de la información se conocen

comúnmente como "CID".
Los riesgos en la seguridad de la información generalmente
surgen debido a la presencia de amenazas para los activos que
procesan, almacenan, mantienen, protegen o controlan el acceso a la
información, lo que da lugar a incidentes.
Los activos en este contexto suelen ser personas, equipos,
sistemas o infraestructura. La información es el conjunto de datos que
una organización desea proteger, como registros de empleados, de
clientes, datos financieros, de diseño, de prueba, etc.
Los incidentes son eventos no deseados que resultan en una
pérdida de confidencialidad (violación de datos), integridad (corrupción
de datos) o disponibilidad (fallo del sistema).
Las amenazas son las que causan accidentes y pueden ser
maliciosas (por ejemplo, un robo), accidentales (por ejemplo, un error
tipográfico) o un acto de divino (por ejemplo, una inundación).
2.3. Ciclo PHVA
La ISO 27001 se basa en el ciclo PHVA, también conocido como ciclo
de Deming. El ciclo PHVA puede aplicarse no solo al sistema de
gestión. sino también a cada elemento individual para proporcionar un
enfoque en la mejora continua.
Tabla 3
Ciclo PHVA

Planificar Establecer objetivos, recursos, requisitos del cliente y

accionistas, política organizativa e identificar riesgos y
oportunidades.
Hacer Implantar lo planificado.
Verificar Controlar y medir los procesos para establecer el
rendimiento de la política, objetivos, requisitos y
actividades planificadas e informar de los resultados.
Actuar Tomar acciones para mejorar el rendimiento, en la
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

medida de lo necesario.

Figura 1
Modelo PHVA para ISO 27001

Nota. Adaptado de “ISO 27001: 2013 – Guía de implantación para la

seguridad de la información” (p.7), por (NQA, 2019).
2.4. Auditorías basadas en riesgos
Las auditorías son un proceso de acercamiento sistemático y basado en
evidencias para evaluar su SGSI. Se llevan a cabo de forma interna y
externa para verificar la efectividad de un SGSI. Las auditorías son un
ejemplo brillante de como la mentalidad basada en riesgos se adopta
en el sistema de gestión.
Tabla 4
Auditorías basadas en riesgos

Auditorías Las auditorías internas son una gran oportunidad para

internas comprender su organización. Proporcionan tiempo
para enfocarse en un proceso o departamento en
particular para evaluar verdaderamente su
desempeño. Su propósito es garantizar el
cumplimiento de las políticas, procedimientos y
procesos según su organización, y confirmar el
cumplimiento de los requisitos de la norma ISO 27001.
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

Auditorías Las auditorías suelen ser realizadas por clientes o

externas proveedores externos. También pueden ser realizadas
por reguladores o cualquier otra parte externa que
tenga un interés formal en la organización. Es posible
que tenga poco control sobre el tiempo y la frecuencia
de estas auditorías, sin embargo, el establecimiento
de su propio SGSI le asegurará que está preparado.
Auditorías Las auditorías de 3ª parte son llevadas a cabo por
de organismos externos de certificación acreditados como
certificació NQA. El organismo de certificación evaluará la
n conformidad con la norma ISO 27001:2013. Esto
implica la visita de un auditor del organismo de
certificación a la organización para evaluar el sistema
relevante y sus procesos. Mantener la certificación
también implica reevaluaciones periódicas. La
certificación demuestra a los clientes que está
comprometido con la calidad.

No olvidemos que una certificación garantiza:

 Una evaluación regular para controlar y mejorar procesos de
forma continua.
 Credibilidad del sistema para conseguir objetivos deseados.
 Reducir riesgos e incertidumbre y aumentar las oportunidades de
negocio.
 Consistencia de los resultados diseñados para cumplir con las
expectativas de las partes interesadas.
 Una evaluación regular para controlar y mejorar procesos de
forma continua.
 Credibilidad del sistema para conseguir objetivos deseados.
 Reducir riesgos e incertidumbre y aumentar las oportunidades de
negocio.
 Consistencia de los resultados diseñados para cumplir con las
expectativas de las partes interesadas.
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

 Una evaluación regular para controlar y mejorar procesos de

forma continua.
 Credibilidad del sistema para conseguir objetivos deseados.
 Reducir riesgos e incertidumbre y aumentar las oportunidades de
negocio.
 Consistencia de los resultados diseñados para cumplir con las
expectativas de las partes interesadas.
2.5. Auditorías basadas en proceso
Un proceso es la transformación de una entrada en una salida, que
tienen lugar como consecuencia una serie de pasos o actividades que
tienen unos objetivos planificados. Frecuentemente, la salida de un
proceso se convierte en la entrada de otro proceso posterior. Muy
pocos procesos actúan de forma aislada.
Incluso una auditoría tiene un enfoque de proceso. Comienza con
la identificación del alcance y los criterios, establece un curso de acción
claro para lograr el resultado y tiene un resultado definido (el informe de
auditoría). El uso del enfoque basado en procesos garantiza que se
asignen el tiempo y las habilidades necesarias para la auditoría. Esto
hace de la auditoría una evaluación efectiva del rendimiento del SGSI.
Comprender cómo los se interrelacionan los procesos y cómo
producen resultados puede ayudarlo a identificar oportunidades de
mejora y, por lo tanto, a optimizar el rendimiento general. También es
aplicable cuando los procesos, o partes de los procesos, se
subcontratan. Comprender cómo afecta o podría afectar esto al
resultado y comunicarlo claramente al socio comercial (que proporciona
el producto o servicio subcontratado) garantiza la claridad y
responsabilidad en el proceso. El paso final del proceso es revisar el
resultado de la auditoría y garantizar que la información obtenida se
utilice correctamente. La revisión por la dirección supone la oportunidad
de reflexionar sobre el desempeño del QMS y de tomar decisiones
sobre cómo y dónde mejorar.
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

Figura 2
Representación gráfica de auditoría basada en procesos

Nota. Adaptado de “ISO 27001: 2013 – Guía de implantación para la

seguridad de la información” (p.9), por (NQA, 2019).
2.6. Cláusulas de la ISO 27001: 2013
La ISO 27001:2013 se compone de 10 secciones conocidas como
cláusulas. A diferencia de la mayoría de las demás normas ISO, una
organización debe cumplir con todos los requisitos, asimismo, se
pueden declarar una o más cláusulas como no aplicables.
Figura 3
Representación gráfica de las cláusulas de la ISO 27001: 2013
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

Nota. Adaptado de “ISO 27001: 2013 – Guía de implantación para la

seguridad de la información” (p.11), por (NQA, 2019).

A continuación, detallamos las 10 cláusulas de la ISO 27001: 2013

Tabla 5
Cláusulas de la ISO 27001: 2013

Cláusula 1: La sección de alcance de la ISO 27001 establece:

Alcance  El propósito de la norma.
 Los tipos de organizaciones para las que se ha
diseñado.
 Las cláusulas y los requisitos que una
organización debe cumplir para que la
organización sea considerada como conforme
con la norma.
La ISO 27001 está diseñada para ser aplicable a
cualquier tipo de organización. Independientemente del
tamaño, la complejidad, el sector industrial, el propósito
o la madurez, su organización puede implementar y
mantener un SGSI que cumpla con la ISO 27001.
Cláusula 2: En las normas ISO, la sección de referencias
Referencias normativas enumeran otras normas que contengan
normativas información relevante para determinar el cumplimiento
de una organización con la norma. Algunos de los
términos utilizados o requisitos detallados en la ISO
27001 se explican en la ISO 27000. La ISO 27000 es
muy útil para la comprensión de los requisitos y su
cumplimiento.
Cláusula 3:  Control de accesos
Términos y Procesos que garantizan que solo las personas
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

condiciones que necesitan acceso a ciertos activos disponen

de dicho acceso y la necesidad se determina
acorde a los requisitos del negocio y la
seguridad.
 Efectividad
Medida en que las actividades planeadas
(procesos, procedimientos) se ejecutan de forma
planeada o específica y se consiguen los
resultados o salidas esperados.
 Riesgo
Combinación de probabilidad de ocurrencia de
un evento de seguridad de la información y su
resultante consecuencia.
 Evaluación de riesgos
Proceso de identificación de riesgos, analizando
el nivel de riesgo de cada riesgo en particular y
evaluando acciones adicionales necesarias para
reducir los riesgos a niveles aceptables.
 Tratamiento de riesgos
Procesos o acciones que reducen los riesgos
identificados a un nivel tolerable o aceptable.
 Gerencia
Grupo de individuos que toman las decisiones
dentro de una empresa. Pueden ser
responsables de establecer la dirección
estratégica y determinar y conseguir los objetivos
de los accionistas.
Cláusula 4: El objetivo de su SGSI es proteger los activos de
Contexto de información de su empresa, de manera que la empresa
la pueda alcanzar sus objetivos.
organización La forma y las áreas específicas de prioridad
dependerán del contexto en el que opere su
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

organización. Se incluyen dos niveles:

 Interno
Aspectos sobre los que la organización tiene
control.
 Externo
Aspectos sobre los que la organización no tiene
control directo.
Un análisis cuidadoso del entorno en el que opera su
organización es fundamental para identificar los riesgos
inherentes a la seguridad de sus activos de información.
El análisis es la base que le permitirá evaluar qué
procesos necesita considerar agregar o fortalecer para
construir un SGSI efectivo.
Cláusula 5: El liderazgo significa una participación activa en la
Liderazgo dirección del SGSI, promover su implementación y
garantizar la disponibilidad de recursos apropiados.
Esto incluye:
 Asegurar que los objetivos del SGSI sean claros
y estén alineados con la estrategia general.
 Claridad sobre las responsabilidades.
 Que el pensamiento basado en el riesgo está en
el corazón de toda toma de decisiones.
 Hay una comunicación clara de esta información
a todas las personas dentro del alcance del
SGSI.
Para asegurar que la política de la seguridad de la
información está bien comunicada y disponible para las
partes interesadas, le recomendamos:
 Incluirlo en paquetes de inducción y
presentaciones para nuevos empleados y
contratistas.
 Publicar la declaración clave en tableros de
anuncios internos, intranets y el sitio web de su
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

organización.
 Hacer que su cumplimiento y /o soporte sea un
requisito contractual para los empleados,
contratistas y
 proveedores críticos de seguridad de la
información.
Cláusula 6: La ISO 27001 es una herramienta de gestión de riesgos
Planificación que guía a una organización en la identificación de
riesgos de seguridad de la información. Como tal, el
propósito subyacente de un SGSI es:
 Identificar los riesgos estratégicamente
importantes, obvios y ocultos pero peligrosos.
 Asegurarse de que las actividades y los procesos
operativos diarios de una organización estén
diseñados, dirigidos y tengan recursos para
gestionar inherentemente esos riesgos.
 Responder y se adaptarse automáticamente a
los cambios para hacer frente a los nuevos
riesgos y reducir continuamente la exposición a
los mismos.
 Tener un plan de acción detallado que esté
alineado, actualizado y respaldado por revisiones
y controles regulares es crucial y proporciona
evidencia para el auditor de una planificación del
sistema claramente definida.
La evaluación de riesgos es el núcleo de cualquier
SGSI eficaz. Incluso la organización con más recursos
no puede descartar la posibilidad de sufrir un incidente
de seguridad de la información. La evaluación de
riesgos es esencial para:
 Aumentar la probabilidad de identificar riesgos
potenciales mediante la participación de personal
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

que utiliza técnicas de evaluación sistemática.

 Asignar recursos para abordar las áreas de
mayor prioridad.
 Tomar decisiones estratégicas sobre cómo
gestionar los riesgos de seguridad de la
información significativos y lograr así sus
objetivos.
ISO 27005: la gestión de riesgos de seguridad de la
información ofrece orientación en el desarrollo de una
técnica de evaluación de riesgos. Cualquiera que sea la
técnica que desarrolle, debe incluir los siguientes
elementos clave:
 Proporcionar aviso para la identificación
sistemática de riesgos (revisión de activos,
grupos de activos, procesos, tipos de
información), verificando la presencia de
amenazas y vulnerabilidades comunes y
registrando los controles que actualmente tiene
implementados para administrarlos.
 Proporcionar un marco para evaluar la
probabilidad de que el riesgo ocurra de manera
persistente (una vez al mes, una vez al año).
 Proporcione un marco para evaluar las
consecuencias de cada riesgo que ocurra de
manera consistente (por ejemplo, pérdidas de
capital monetario).
 Proporcione un marco para calificar o categorizar
cada riesgo identificado (por ejemplo,
alto/medio/bajo), teniendo en cuenta su
evaluación de probabilidad y las consecuencias.
 Establezca criterios documentados que
especifiquen, para cada categoría de riesgo, qué
tipo de acción debe tomarse y el nivel o prioridad
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

que se le asigna.
Cláusula 7: Se refiere a los recursos. Esto se aplica a las personas,
Soporte infraestructura, medioambiente, recursos físicos,
materiales, herramientas, etc. También existe un
enfoque renovado en el conocimiento como un recurso
importante dentro de su organización. Cuando
planifique sus objetivos de calidad, una consideración
importante será la capacidad actual y la capacidad de
sus recursos, así como aquellos recursos de
proveedores/socios externos.
Para implementar y mantener un SGSI efectivo,
necesita contar con recursos de apoyo. Estos recursos
deberán ser:
 Capaces, si son equipos o infraestructura.
 Competentes, si se trata de personal.
 Disponibles en la revisión por la dirección.
Cláusula 8: Tras la planificación y evaluación de riesgos, estamos
Operación listos para pasar a la etapa de "hacer". Esta cláusula
trata de tener un control adecuado sobre la creación y
entrega del producto o servicio.
Gestionar sus riesgos de seguridad de la información y
alcanzar sus objetivos requiere la formalización de sus
actividades en un conjunto de procesos claros y
coherentes.
Es probable que muchos de estos procesos ya existan y
simplemente necesiten modificaciones para incluir
elementos relevantes para la seguridad de la
información. Otros procesos pueden ser ad-hoc (por
ejemplo, aprobaciones de proveedores), o no existir aún
(por ejemplo, auditoría interna).
Para implementar procesos efectivos, las siguientes
prácticas son cruciales:
 Los procesos se crean adaptando o formalizando
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

las actividades de negocio en costumbres dentro

de la organización.
 Identificación sistemática de los riesgos de
seguridad de la información relevantes para cada
proceso.
 Definición clara y comunicación de las
actividades requeridas para gestionar los riesgos
de seguridad de la información asociados cuando
ocurre un evento (por ejemplo, un nuevo
empleado que se une a la empresa).
 Asignación clara de las responsabilidades para
llevar a cabo actividades relacionadas.
 Asignación de recursos para garantizar que las
actividades puedan llevarse a cabo cuando sea
necesario.
 Evaluación rutinaria de la consistencia con la que
se sigue cada proceso y su efectividad en la
gestión de riesgos de seguridad de la
información.
Cláusula 9: Existen 3 formas para evaluar el rendimiento del SGSI:
Evaluación  Seguimiento de la efectividad de los controles de
del SGSI.
desempeño  Auditorías internas.
 Durante la revisión por la dirección.
Su organización necesitará decidir qué debe controlar
para asegurar que el proceso del SGSI y los controles
de seguridad de la información estén funcionando
según lo previsto. No es práctico controlar a cada
momento, si intenta hacerlo, es probable que el
volumen de datos sea tan grande que sea
prácticamente imposible usarlo de manera efectiva. Por
lo tanto, en la práctica, deberá tomar una decisión
informada sobre qué monitorear. Las siguientes
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

consideraciones serán importantes:

 ¿Qué procesos y actividades están sujetos a las
amenazas más frecuentes y significativas?
 ¿Qué procesos y actividades tienen las
vulnerabilidades más significativas?
 ¿Qué es práctico para controlar y generar
información significativa y oportuna?
Para demostrarle a un auditor que tiene implementado
el procesamiento de monitoreo adecuado, deberá
conservar registros de los resultados de monitoreo,
análisis, revisiones de evaluación y cualquier actividad
relacionada.
Cláusula 10: El objetivo de la implementación del SGSI debe ser
Mejora reducir la probabilidad de que ocurran eventos de
seguridad de la información, así como su impacto.
Ningún SGSI es perfecto, sin embargo, dichos sistemas
de gestión mejoran con el tiempo y aumentarán la
resistencia frente a los ataques de seguridad de la
información.
La mejora se consigue aprendiendo de los incidentes de
seguridad, los problemas identificados en las auditorías,
los problemas de rendimiento, las quejas de las partes
interesadas y las ideas generadas durante las
revisiones por la dirección.
Para cada oportunidad identificada, deberá mantener
registros de:
 Lo que ocurrió.
 Si el evento tuvo consecuencias indeseables,
qué acciones se tomaron para controlarlo y
mitigarlo.
 La causa raíz del evento (si se determina).
 La acción tomada para eliminar la causa raíz (si
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

es necesario).
 La evaluación de la efectividad de cualquier
acción tomada.

2.7. Pasos tras la implementación

1 Formación de  Su organización debe crear conciencia

concienciación sobre los diversos estándares cubiertos
por el sistema de gestión.
 Debe celebrar reuniones de capacitación
separadas para los diferentes niveles de
la gerencia, lo que ayudará a crear un
ambiente motivador, listo para la
implantación.
2 Política y  Su organización debe desarrollar una
objetivos política de calidad/integrada y objetivos
relevantes para ayudar a cumplir los
requisitos.
 Al trabajar con la gerencia, su empresa
debe realizar talleres con todos los
niveles de personal de gestión para
delinear los objetivos integrados.
3 Análisis de  Su organización debe identificar y
deficiencias comparar el nivel de cumplimiento de los
interno sistemas con los requisitos de las normas
de su nuevo sistema.
 Todo el personal relevante debe
comprender las operaciones de la
organización y desarrollar un mapa de
procesos para las actividades del
negocio.
4 Documentación  La organización debe crear
de diseño documentación de los procesos según los
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

requisitos de las normas relevantes.

 Debe redactar e implantar un manual,
procedimientos funcionales, instrucciones
de trabajo, procedimientos del sistema y
proporcionar los términos asociados.
5 Documentación  Los procesos / documentos desarrollados
de en el paso 4 deben implementarse en
implantación toda la organización y abarcar todos los
departamentos y actividades.
 La organización debe realizar un taller
sobre la implementación según
corresponda para los requisitos de la
norma ISO.
6 Auditoría  Un sistema de auditoría interna robusto
interna es esencial. Recomendamos la formación
de auditor interno y NQA puede
proporcionar dicha formación para las
normas que esté implantando.
 Es importante implementar acciones
correctivas para las mejoras, en cada uno
de los documentos auditados, a fin de
cerrar las deficiencias y garantizar la
eficacia del sistema de gestión.
7 Organizar la  La gerencia de debe revisar varios
dirección del aspectos comerciales de la organización,
sistema que son relevantes para las normas a
implantar.
 Revise la política, los objetivos, los
resultados de la auditoría interna y del
desempeño del proceso, los resultados
de las quejas, el cumplimiento legal, la
evaluación de riesgos y desarrolle un plan
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

de acción y un acta de revisión.

8 Análisis de  Debe realizar un análisis de deficiencias
sistemas para evaluar la efectividad y el
implantados cumplimiento de la implantación del
sistema en la organización.
 Este análisis de deficiencias preparará a
su organización para la auditoría de
certificación final.
9 Acciones  La organización estará lista para la
correctivas auditoría de certificación final, siempre
que el análisis de deficiencias y todas las
no conformidades (NC) hayan recibido
acciones correctivas.
 Verifique que todas las NC significativas
estén cerradas y que la organización esté
lista para la auditoría de certificación final.
1 Auditoría de  Una vez completada la auditoría de forma
0 certificación satisfactoria, su organización recibirá el
final certificado.

3. Conclusiones
 La guía de implantación de la norma ISO 27001 es una herramienta
valiosa para cualquier organización que busque implementar un sistema
de gestión de seguridad de la información (SGSI) basado en la norma.
La guía ofrece una estructura detallada y paso a paso para la
implementación efectiva del SGSI, que incluye desde la identificación y
evaluación de riesgos hasta la definición de políticas y procedimientos,
así como la formación y concienciación del personal.
 Al seguir los pasos descritos en la guía, las organizaciones pueden
mejorar la gestión de la seguridad de la información y cumplir con los
requisitos de la norma ISO 27001, lo que a su vez les permitirá mejorar
la confidencialidad, integridad y disponibilidad de sus datos y reducir el
riesgo de incidentes de seguridad.
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

 La guía de implantación es una herramienta útil para cualquier

organización que busque mejorar su gestión de la seguridad de la
información y cumplir con los requisitos de la norma ISO 27001.
4. Recomendaciones
 Compromiso de la dirección: La implementación de un sistema de
gestión de seguridad de la información (SGSI) debe contar con el
compromiso y apoyo de la dirección para asegurar su éxito y
efectividad.
 Identificación y evaluación de riesgos: Es importante identificar y
evaluar los riesgos de seguridad de la información de la organización
para poder seleccionar los controles adecuados para mitigarlos.
 Selección de controles: La norma ISO 27001 proporciona una lista
de controles de seguridad de la información, sin embargo, no todos
son aplicables a todas las organizaciones. Es importante seleccionar
los controles adecuados para la organización y adaptarlos según sus
necesidades y características.
 Definición de políticas y procedimientos: La definición de políticas
y procedimientos es fundamental para el correcto funcionamiento del
SGSI. Estos documentos deben ser claros, precisos y estar
disponibles para todo el personal.
 Formación y concienciación del personal: Es fundamental que el
personal esté capacitado y concienciado sobre la importancia de la
seguridad de la información y el papel que desempeñan en la
protección de los activos de la organización.
 Auditoría y revisión: La auditoría y revisión periódica del SGSI
permite asegurar que se está cumpliendo con los requisitos de la
norma ISO 27001 y que se está mejorando continuamente en la
gestión de la seguridad de la información.

El uso efectivo de la norma ISO 27001 requiere de un compromiso de la

dirección, la identificación y evaluación de riesgos, la selección adecuada
de controles, la definición de políticas y procedimientos, la formación y
concienciación del personal, y la auditoría y revisión periódica del SGSI.
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

5. Caso práctico
Un ejemplo de implementación de la norma ISO 27001 puede ser el caso de
una empresa de servicios financieros que busca mejorar la seguridad de la
información para proteger los datos confidenciales de sus clientes. El
proceso de implementación puede ser el siguiente:
 Compromiso de la dirección: La dirección de la empresa se
compromete a implementar un SGSI y nombra a un responsable del
proyecto.
 Evaluación de riesgos: Se lleva a cabo una evaluación exhaustiva
de los riesgos de seguridad de la información y se identifican las
amenazas más significativas, como el robo de datos, el acceso no
autorizado, los errores humanos y los desastres naturales.
 Selección de controles: Se seleccionan los controles adecuados
según los resultados de la evaluación de riesgos, incluyendo la
gestión de acceso, la gestión de contraseñas, la gestión de
vulnerabilidades, la gestión de incidentes y la gestión de continuidad
del negocio.
 Definición de políticas y procedimientos: Se establecen políticas y
procedimientos para garantizar la implementación efectiva del SGSI,
incluyendo la política de seguridad de la información, la gestión de
acceso, la gestión de incidentes de seguridad y la gestión de
cambios.
 Formación y concienciación del personal: Se proporciona
formación y concienciación al personal para garantizar su
comprensión y compromiso con el SGSI, así como para mejorar su
conocimiento sobre los riesgos de seguridad de la información.
 Auditoría y revisión: Se realiza una auditoría interna del SGSI para
evaluar su efectividad y se lleva a cabo una revisión periódica para
asegurarse de que el SGSI sigue siendo adecuado, efectivo y cumple
con los requisitos de la norma ISO 27001.
La implementación de la norma ISO 27001 puede mejorar la seguridad de la
información de la empresa y proporcionar tranquilidad a los clientes de que
sus datos están protegidos. Además, la implementación puede ayudar a la
 UNIVERSIDAD CESAR VALLEJO
-LIMA NORTE-

empresa a cumplir con las regulaciones de seguridad de la información y

mejorar su reputación en el mercado.
6. Referencias

NQA. (s/f). ISO 27001:2013. Nqa.com. Recuperado el 25 de abril de 2023,

de
https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/Spanish
%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

Rodríguez Baca, L. S., Universidad César Vallejo, Cruzado Puente de la

Vega, C. F., Mejía Corredor, C., Alarcón Diaz, M. A., Universidad César
Vallejo, Universidad EAN, & Universidad César Vallejo. (2020). Aplicación
de ISO 27001 y su influencia en la seguridad de la información de una
empresa privada peruana. Propósitos y representaciones, 8(3).
https://doi.org/10.20511/pyr2020.v8nspe3.786

A., L., S., M. I. V., E., P. A. L., & de Iso, A. M. F. (s/f). Fundamentos de la
ISO 27001. Redalyc.org. Recuperado el 25 de abril de 2023, de
https://www.redalyc.org/pdf/849/84921327061.pdf

ISO 27001. (2013, noviembre 7). Software ISO.

https://www.isotools.us/normas/riesgos-y-seguridad/iso-27001/