1 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

CONTENIDOS
Introduccin: el papel de la seguridad de la informacin en el
futuro de las empresas

Qu es un SGSI y qu puede aportar a su empresa?

Pilares de una Norma ISO 27001:2014:

El papel del contexto y el alcance

Poltica
Roles y responsabilidades
Riesgos y oportunidades
Gestin de recursos y competencia
Comunicacin
Informacin documentada
Auditora Interna y Revisin por la direccin
Mejora continua

10
12
13
15
16
17
18
19
20

La ISO 27002:2015 y sus controles a aplicar en la ISO 27001:2014

21

Beneficios de la implantacin de la ISO 27001 en su empresa

23

Qu puede hacer SBQ Consultores por su empresa?

25

2 / 27

Junio2016
2016 | ISO
Junio
ISO 27001:2014.
27001:2014. Protegiendo
Protegiendo su
su activo
activo ms
ms valioso:
valioso: la
la informacin
informacin

Introduccin:
El papel de la seguridad de la informacin
en el futuro de las empresas.

Vivimos en un entorno altamente cambiante, en el que la tecnologa es el

aliado perfecto de las empresas al abrir nuevas vas de negocio, la imagen
de marca se compone de numerosos factores todos ellos relevantes, los
nuevos medios de comunicacin permiten acercarse a los clientes a un nivel
que hace aos era impensable y el uso de dispositivos mviles, aplicaciones,
almacenamiento en la nube, web, etc., sita la relacin competitiva con otras
organizaciones del sector a otro nivel.

3 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

Sin embargo, en este entorno tambin tenemos que tener presente que, de
igual manera, las amenazas a las que se estn expuestas son cada vez
mayores.
Una gran proporcin de estas amenazas centran su atencin en unos de los
activos ms valiosos de que disponen todas las empresas sin distincin: la
informacin.
Solamente tenemos que observar cmo los incidentes en materia de
seguridad de la informacin estn en aumento. Los objetivos se diversifican
y ya no slo son las grandes organizaciones las que se ven afectadas sino
que las pymes tambin estn en el punto de mira. De la misma forma, cada
vez es ms habitual que se produzcan noticias en las que el tema principal
es el robo de identidad con intenciones de daar la imagen de marca, entre
otros objetivos.
Teniendo presente todo lo anterior, parece lgico pensar que contar con un
sistema de gestin de la seguridad de la informacin segn la Norma ISO
27001:2014 se convierte en una decisin estratgica clave y de gran calado
para el futuro de la empresa.
Si todava no lo ves claro piensa que la prdida o deterioro de la informacin
que tu empresa emplea en su da a da y que va recopilando poco a poco a
travs de aos, no solamente supone fallos en el funcionamiento y en la
realizacin del producto y/o servicio ofrecido al cliente, sino que se traduce a
costes econmicos directos y en prdidas de credibilidad que afecta a la
imagen de tu empresa, generando inseguridad en tu cliente y socavando la
confianza que colocan en ella para cubrir sus necesidades y superar sus
expectativas.

4 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

5 / 27

Junio
2016| ISO 27001:2014. Protegiendo su activo ms valioso: la informacin
Junio
2016

Qu es un SGSI y que puede aportar a su

empresa?

Un Sistema de Gestin de Seguridad de la Informacin (SGSI) segn la Norma

ISO 27001:2014 es una herramienta que permite establecer, implementar,
mantener y mejorar de manera continua la seguridad de la informacin de
que dispone a travs de un conjunto de procesos que toman como base los
riesgos a los que se enfrenta la empresa en su da a da y en todas sus
actividades e interacciones.
De esta forma, garantiza la integridad, confidencialidad y disponibilidad de la
informacin de que se dispone, as como de todos aquellos sistemas que la
procesan, protegiendo, como ya he indicado, uno de los activos ms valiosos
que puede poseer: la informacin.

6 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

Adems, la ISO 27001:2014 se convierte en el aliado perfecto en el control de

los riesgos y amenazas en materia de seguridad de la informacin, as como
en su tratamiento para que sean eliminados o mitigados hasta un lmite
aceptable.

Contar con la ISO 27001:2014 le permitir garantizar la

confidencialidad, integridad y disponibilidad de la
informacin, as como el control y tratamiento
adecuado de aquellos riesgos y amenazas relacionadas
con ella, a los que se encuentra expuesta su empresa y
que pueden afectarla gravemente.

7 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Pilares de la Norma ISO 27001:2014.

Como cualquier herramienta, la Norma ISO 27001:2014 se revisa cada cierto

tiempo para adaptarla a las nuevas necesidades de las organizaciones, a las
novedades del mercado, a los puntos que desde su aplicacin son
necesarios perfeccionar y mejorar, etc. El objetivo es que el sistema siga
siendo eficaz y ofrezca un apoyo real al futuro y crecimiento de las
empresas.
Esto se traduce en esta versin del 2014, entre otros aspectos, en una
integracin completa con otros sistemas de gestin como la ISO 9001,
Sistema de Gestin de la Calidad, o la ISO 14001, Sistema de Gestin
Ambiental, para que su empresa pueda contar con el valioso apoyo, ventajas y
beneficios que disponer de estos sistemas de gestin le aporta.

8 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

Esta integracin se logra gracias a la adopcin de la estructura de alto nivel

o HLS que, ms all de un ndice o esquema, aporta textos comunes,
definiciones consensuadas y una estructura general para todas las normas,
ya sean nuevas o estn revisadas.
De esta forma, se evitan duplicidades, utilizacin innecesaria de recursos para
llevar cada sistema y se disminuyen las prdidas en esfuerzo y tiempo que
sola suponer llevar varios sistemas de gestin por separado.

La Norma ISO 27001:2014 permite una integracin

perfecta con otros sistemas de gestin para que su
empresa cuente con los mejores apoyos y herramientas
que le ayuden en su presente y futuro.

Para comprender un poco ms la importancia de esta norma vamos a ver

los pilares sobre los que se sustentan y que la definen.
As que, comencemos!

9 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

El papel del contexto y el alcance.

Aunque de forma inicial se podra pensar que un sistema de gestin

solamente es asumible por aquellas empresas de grandes dimensiones, son
precisamente las pymes las que ms pueden beneficiarse ya que les aporta
un conjunto de conocimientos y herramientas que, de otra manera, saldran
fuera de sus posibilidades.
La Norma ISO 27001:2014 es adecuada para implantarse en cualquier
empresa, sin importar dimensiones, mercado o actividad.
Adems, el Sistema de Gestin de la Seguridad de la Informacin pone un
especial cuidado y tiene como uno de los objetivos clave favorecer el
desempeo de su empresa y, para ello, debe estar en consonancia y alineada
con sus objetivos de negocio.
De esta forma, debemos conocer el contexto de la organizacin valorando
aquellas cuestiones, tanto internas como externas, que pueden en alguna
medida favorecer o perjudicar la labor de lograr las metas marcadas. Como
cuestiones internas podemos identificar los recursos financieros o el
personal y sus competencias, por poner dos ejemplos. Por otro lado,
algunas cuestiones externas pueden ser los aspectos culturales o
socioeconmicos.
Todo ello permitir que ms
all de contar con una
herramienta de gestin de la
seguridad de la informacin,
adquiera una imagen global
de la posicin que ocupa y de
todo aquello que la rodea y
que le afecta en mayor o
menor medida y a lo que
afecta de igual forma.
Pero en esta imagen no

10 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

podemos olvidar el papel que ocupan las partes interesadas y sus

necesidades y expectativas. Ellos son los personajes que se mueven en el
anterior escenario y que marcan los posibles objetivos a seguir.
Por ltimo en este punto, definir el alcance del sistema es clave ya que va a
determinar el mbito de la empresa que trabajar bajo los requisitos de la
Norma ISO 27001:2014.

No es necesario que incluyamos toda la empresa desde

un principio, sino que teniendo en cuenta los recursos,
tiempo, mercado o localizacin puede ser ms prctico
comenzar la implantacin por aquellos procesos o
servicios claves para luego, en el camino de la mejora
continua, ir adaptando o ampliando el alcance del
sistema de gestin de seguridad de la informacin de
forma progresiva.

11 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Poltica

La Poltica de seguridad de la informacin es un documento clave que permite

reflejar, de forma clara y en trminos generales, los objetivos que la empresa
se ha marcado en materia de seguridad de la informacin de que dispone y
establece las principales lneas de actuacin que van a permitir proteger
todos estos datos frente a prdidas, garantizando su integridad,
confidencialidad y disponibilidad.
Este compromiso que la empresa adquiere y que es comunicado, tanto a
nivel interno como a las partes interesadas externas, aporta seguridad,
contribuye a una mejora de la imagen de la empresa y permite una
diferenciacin con la competencia.
Por lo que, ms all de un documento esttico, es uno de los pilares del
sistema de gestin de seguridad de la informacin segn la ISO 27001:2014.

12 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Roles y responsabilidades.

Saber quin tiene que hacer cada uno de los procesos o actividades es
clave para que estas se realicen de forma eficaz.
De esta forma, la identificacin adecuada de los distintos roles y
responsabilidades se convierte en otro pilar que va a permitir que todas
aquellos procesos u objetivos que se planifiquen en papel no queden ah
debido a que nadie sabe quin tiene que realizarlos, en que tiempo, a quin
tienen que aportar los resultados e incidencias, etc.
En este punto es indudable la importancia que ocupa el liderazgo, tanto de la
direccin como, si existieran, de los mandos intermedios.
Y es que la Norma ISO 27001:2014 busca y promueve un liderazgo marcado
por su capacidad para dirigir al resto de los empleados, a todos los niveles,
para alcanzar las metas y objetivos marcados a travs del uso de la
motivacin y no de la imposicin, promoviendo de forma efectiva la
implicacin de todas las personas de la empresa en la consecucin de sus
objetivos y avanzando en la mejora continua.

13 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

La norma contempla la existencia de los siguientes roles:

Responsable de seguridad que coordina actividades
en materia de seguridad y que sirve de enlace con la
direccin.
Comit de seguridad que busca soluciones en temas
de seguridad, aprueba directrices y, adems,
resuelve asuntos interdisciplinares.
Su existencia y exclusividad dependern de la
organizacin interna, nmero de empleados y jerarqua
de la empresa.

14 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Riesgos y oportunidades.

En materia de seguridad de la informacin, determinar los riesgos, los

criterios de aceptacin de estos y las medidas de tratamiento y prioridad que
permitirn que todos ellos se eliminen o se reduzcan a niveles aceptables que
previamente hemos determinado, es esencial.
Sin embargo no debemos olvidar que no solamente existen riesgos sino
tambin oportunidades que la empresa puede aprovechar si las tiene en
cuenta de forma correcta.
Esto es uno de los puntos clave de la Norma ISO 27001:2014, el punto fuerte
podramos decir, y para ayudarle en su labor cuenta con los controles
indicados en la Norma ISO 27002:2015 de los que hablar posteriormente.
Para tratar de forma adecuada los riesgos y oportunidades hay que definir
un proceso que estar marcado por las siguientes etapas:

15 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Gestin de recursos y competencia.

Contar con los recursos necesarios es clave para poder llevar a cabo las
actividades planificadas y realizar una buena gestin de la seguridad de la
informacin de que se dispone.
Es por esta razn que la Norma ISO 27001:2014 pone una especial atencin
en el papel de la direccin de comprometerse en aportar y gestionar todos
estos recursos necesarios para una efectiva gestin de la seguridad, teniendo
en cuenta las distintas fases (planificacin, implantacin, monitorizacin y
mejora) y las distintas medidas que se requieren.
De la misma forma, contar con la adecuada competencia del personal de la
empresa que va a realizar las distintas actividades es relevante si queremos
que sean realizadas de forma eficaz, continuada y que se mejoren de forma
constante.
La Norma ISO 27001:2014 indica que se debe:

Definir cada perfil con sus competencias asociadas.

Identificar las necesidades de formacin.
Realizar acciones formativas concretas centradas en estas
necesidades.
Dejar evidencias documentadas que permitan evaluarlas en un
futuro.
Y valorar la eficacia de estas acciones formativas.

El sistema de gestin de seguridad de la informacin tiene como requisito que

todas las personas que componen la empresa deben tener conciencia de la
importancia que estas actividades de formacin ocupan para alcanzar los
objetivos, tanto en la seguridad de la informacin como en la mejora continua.

16 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Comunicacin

Tal y como deca antes, la gestin de la comunicacin es imprescindible ya

que permitir que el sistema funcione adecuadamente incluyendo a las
partes interesadas internas, pero tambin a las externas, en el logro de los
objetivos, motivando a la mejora continua, consiguiendo informacin sobre
riesgos e incidencias antes de que ocurran o a tiempo real, etc.
Bien utilizada, la gestin de la comunicacin nos permitir mejorar, no slo a
nivel de la seguridad de la informacin sino en el de toda la empresa, y para
ello debemos considerar:

el contenido que se va a comunicar.

el tiempo (Cundo?)
los destinatarios (A quin?)
los responsables de esta comunicacin (Quin?)
y el medio a emplear.

17 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Informacin documentada.

Tradicionalmente se viene pensando que un sistema de gestin viene unido

a un gran nmero de documentacin que se generar en cada uno de los
pasos y que, por ello, cargar de trabajo a la empresa. Sin embargo, esto no
es as.
El sistema de gestin de la seguridad de la informacin nos aporta una gran
flexibilidad al no exigir un formato concreto en el que esta informacin
documentada sea recogida. A la vez que permite que, a parte de algunos
documentos mnimos necesarios, la empresa determine aquellos procesos y
evidencias de cumplimiento que es necesario conservar como informacin
documentada con el fin de que tenga constancia de que se ha llevado a cabo
segn lo planificado y que han resultado eficaces.

Informacin documentada necesaria:

poltica, objetivos y alcance
procesos de evaluacin y tratamiento de riesgos, as
como los resultados.
resultados de los procesos de seguimiento,
medicin, anlisis y evaluacin.
Auditorias y resultados
Revisin por la direccin.
No conformidades y acciones correctivas
Procesos y evidencias que la empresa haya
considerado que es necesario mantener como
informacin documentada.
18 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Auditora Interna y Revisin por la direccin.

Se trata de dos de las herramientas ms poderosas para la mejora si se

realizan de forma correcta. Para ello es necesario:

establecer una periodicidad de, al menos, una vez al ao,

estar planificada
y en el caso de la revisin por la direccin incluir unas entradas
concretas que deben considerarse.

Si se realizan adecuadamente, por personal competente y no como un mer

trmite las auditoras internas nos aportarn:

las evidencias recogidas y los aspectos comprobados.

las deficiencias detectadas a corregir.
las desviaciones a tener en cuenta para que en un futuro no se
conviertan en deficiencias.
y las valiosas oportunidades de mejora.
Por su parte, del Informe de la Revisin por la Direccin saldrn
como resultado decisiones sobre las necesidades de cambios en el
sistema de gestin de la seguridad de la informacin y la
identificacin de los recursos necesarios para llevarlos a cabo,
entre otros aspectos.

19 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Mejora continua.

La mejora continua, ms all de un pilar sobre el que se sustenta la Norma

ISO 27001:2014, es un eje trasversal que se encuentra presente en cada uno
de los captulos, requisitos y puntos de esta.
Tenemos que tener presente que el Sistema de Gestin de la Seguridad de la
Informacin tiene que permanecer en constante evolucin, adaptndose a los
cambios de su entorno, a las necesidades en el negocio, a las nuevas
tecnologas, a las amenazas que se produzcan o aparezcan, etc., para
mantener los riesgos controlados en todo momento, aprovechar las
oportunidades que se produzcan y gestionarse de forma cada vez ms eficaz.

20 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

La ISO 27002:2015 y los controles a

aplicar en la ISO 27001:2014.

La Norma ISO 27002:2015 es el complemento ideal del SGSI al aportar una

gua de buenas prcticas para la implantacin de controles que aseguren la
seguridad de la informacin de que se dispone.
Nos aporta ideas para la aplicacin de los controles en cada uno de sus 14
captulos pero es la empresa la que decidir cuales de ellas se implantarn y
en qu grado.
Por lo que, ms all de un requisito se trata de un apoyo, una gua a tener en
cuenta y a consultar, pero, a la vez, esencial para garantizar la eficacia del
Sistema de Gestin de la Seguridad de la Informacin implantado.

21 / 27

Junio2016
2016 | ISO
Junio
ISO 27001:2014.
27001:2014. Protegiendo
Protegiendo su
su activo
activo ms
ms valioso:
valioso: la
la informacin
informacin

Polticas de seguridad de la informacin

Organizacin de la seguridad de la informacin

Seguridad relativa a los recursos humanos

4 Gestin de activos
Control de acceso

Criptografa

Seguridad fsica y del entorno

Seguridad de las operaciones

Seguridad de las comunicaciones

Adquisiciones, desarrollo y mantenimiento de los

sistemas de informacin

10
Captulos de
la ISO
27002:2015

11

Relacin con proveedores

12

Gestin de incidentes de seguridad de la

informacin

13 Aspectos de seguridad de la informacin para la

gestin de la continuidad de negocio

14 Cumplimiento

114 Controles divididos

en 14 captulos

22 / 27

Junio2016
2016 | ISO
Junio
ISO 27001:2014.
27001:2014. Protegiendo
Protegiendo su
su activo
activo ms
ms valioso:
valioso: la
la informacin
informacin

Beneficios de la implantacin de la Norma

ISO 27001 en su empresa.

Las principales ventajas y beneficios que podr conseguir y disfrutar al

implantar un Sistema de Gestin de Seguridad de la Informacin en su
empresa se puede resumir en los siguientes puntos:

Mejorar de forma continua la gestin de la seguridad de la

informacin.
Garantizar la confidencialidad, disponibilidad e integridad de la
informacin de que dispone.
Disminuir los riesgos que pueden afectarles.
Mejorar la imagen corporativa.
Incremento de la confianza en su empresa.

23 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

Reduccin de los gastos asociados a incidentes de seguridad de la

informacin.
Mejora de los procesos y servicios.
Posible integracin con otros sistemas de gestin como ISO 9001
o ISO 14001.
Mayor implicacin del personal en la adecuada gestin y en la
seguridad de la informacin de que disponen.
Cumplimiento de la legislacin vigente en temas de seguridad de la
informacin.

24 / 27

Junio2016
2016 | ISO
Junio
ISO27001:2014.
27001:2014.Protegiendo
Protegiendosu
suactivo
activoms
msvalioso:
valioso:lalainformacin
informacin

Qu puede hacer SBQ Consultores por su

empresa?

Desde SBQ Consultores le ofrecemos un servicio totalmente personalizado,

adaptado a las peculiaridades de su empresa y a sus necesidades y objetivos
para que la implantacin del sistema de gestin de seguridad de la
informacin le aporte todos los beneficios anteriormente mencionados.
Para ello le acompaamos en todo el proceso de implantacin realizando las
siguientes actividades:

25 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

Evaluacin del estado inicial de la empresa en relacin con los

requisitos de la Norma ISO 27001.
Anlisis del contexto y partes interesadas.
Definicin del alcance.
Elaboracin de la poltica y propuesta de objetivos.
Evaluacin de riesgos Tratamiento de los riesgos Seleccin de
controles y declaracin de aplicabilidad.
Documentar la informacin del SGSI y consenso con la empresa
sobre ello.
Implementacin del SGSI.
Actividades de formacin adaptada a su empresa.
Realizacin de Auditora Interna y Revisin del Sistema.
Acompaamiento en la auditora de certificacin.
Resolucin de las posibles no conformidades detectadas.

Tambin le ofrecemos las actividades de Mantenimiento de su Sistema de

Gestin de la Seguridad de la Informacin, Auditora Interna y Formacin
especfica a sus trabajadores.

Pngase en contacto con nosotros y descubra lo que puede hacer SBQ

Consultores por su empresa.

26 / 27

Junio 2016 | ISO 27001:2014. Protegiendo su activo ms valioso: la informacin

Si te ha parecido interesante puedes seguir el contenido de nuestro blog

donde hablamos de temas relacionados con los sistemas de gestin.

Autor: ANA ROJO ROJO

Auditora en Sistemas de Gestin

Avd. Ponferrada, N 7 9
24700 Astorga (Len)
Telf. 987 044 140
info@sbqconsultores.es
www.sbqconsultores.es

27 / 27