ISO/IEC 27001 explicado en español 

seguridad header

 

 

Guía completa sobre qué es, para qué sirve y cómo aplicarla en empresas  

 Introducción 

La información es hoy uno de los activos más valiosos de cualquier organización. Sin embargo, también es uno de los más vulnerables. Pérdidas de datos, accesos no autorizados, errores humanos y ciberataques afectan cada vez más a empresas de todos los tamaños. 

Ante este escenario, ISO/IEC 27001 se ha convertido en el estándar internacional de referencia para la gestión de la seguridad de la información. 

Esta guía explica qué es ISO 27001, cómo funciona, qué exige realmente y cómo puede aplicarse de forma práctica en empresas, independientemente de su tamaño o sector. 

importancia de la seguridad

   ¿Qué es ISO/IEC 27001? 

ISO/IEC 27001 es una norma internacional que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). 

Su objetivo es proteger la confidencialidad, integridad y disponibilidad de la información, mediante un enfoque sistemático basado en la gestión de riesgos. 

ISO 27001 no es un producto ni una herramienta: 
es un marco de gestión. 

iso 27001
 ¿Qué es un SGSI (Sistema de Gestión de Seguridad de la Información)?
Un SGSI es el conjunto de:
Políticas 
 Procesos
Roles
Controles
Tecnologías
que permiten gestionar la seguridad de la información de forma estructurada y continua.
 ¿Para qué tipo de empresas aplica ISO 27001?

ISO 27001 es agnóstica al tamaño y sector. Aplica a: 

  • PYMES y grandes empresas 
  • Empresas de TI y no TI 
  • Sector financiero, salud, educación, gobierno, industria 
  • Organizaciones públicas y privadas 

Cualquier organización que gestione información sensible puede y debería aplicar ISO 27001. 

 

 

para quien aplica

  Principios clave de ISO 27001

Confidencialidad 

La información solo es accesible para quien debe acceder a ella. 

confindencialidad

                                Integridad 

La información es correcta, completa y no ha sido alterada sin autorización. 

integridad

                           Disponibilidad

La información está disponible cuando se necesita. 

informacion disponible 

 

ISO 27001:2013 vs ISO 27001:2022

 

La versión vigente es ISO/IEC 27001:2022. 

Principales cambios: 

Aspecto 2013 2022
Controles 

114

93

Enfoque 

Técnico

Riesgo + negocio 

Cloud 

Limitado 

Explícito 

Proveedores 

Básico

Reforzado 

Gobierno

Implícito 

Central 

 La versión 2022 es más clara, moderna y alineada al contexto digital actual.

  Estructura de ISO 27001 (Cláusulas 4 a 10)

4. Contexto de la organización

  • Entender el negocio 
  • Identificar partes interesadas 
  • Definir alcance del SGSI 

5. Liderazgo

  • Compromiso de la dirección 
  • Política de seguridad 
  • Roles y responsabilidades 

6. Planificación

  • Evaluación de riesgos 
  • Tratamiento de riesgos 
  • Objetivos de seguridad 

 

7. Soporte

  • Recursos 
  • Competencia 
  • Concienciación 
  • Documentación 

8. Operación

 

  • Implementación de controles 
  • Gestión de cambios 
  • Gestión de proveedores 

9. Evaluación del desempeño

  • Monitoreo 
  • Auditoría interna 
  • Revisión por la dirección 

 

10. Mejora

  • Gestión de incidentes 
  • No conformidades 
  • Mejora continua 

 

Los controles de ISO 27001 (Anexo A)

                             

    ISO 27001 incluye 93 controles, agrupados en 4 temas: 

palomita verde de correcto sin incluir texto ni fondo-1

Organizacionales 

palomita verde de correcto sin incluir texto ni fondo-1

Personas 

palomita verde de correcto sin incluir texto ni fondo-1


Físicos 

palomita verde de correcto sin incluir texto ni fondo-1

Tecnológicos 

    ⚠ Importante: 
NO es obligatorio implementar todos los controles. 

Solo se implementan los controles necesarios según el riesgo, lo cual se documenta en la Declaración de Aplicabilidad (SoA). 

 ¿Qué es la Declaración de Aplicabilidad (SoA)?

Es uno de los documentos más importantes del SGSI. 

La SoA: 

  • Lista los controles 
  • Indica cuáles aplican 
  • Justifica exclusiones 
  • Muestra el estado de implementación 

Es el puente entre riesgos y controles. 

 

que aplica

 

 Gestión de riesgos en ISO 27001

La norma no impone una metodología específica, pero exige: 

palomita verde sin fondo-1 Identificar riesgos  

palomita verde sin fondo-1Analizar impacto y probabilidad 

palomita verde sin fondo-1 Evaluar nivel de riesgo 

palomita verde sin fondo-1Definir tratamiento 

palomita verde sin fondo-1 Aceptar riesgos residuales 

 

¿ISO 27001 exige tecnología específica?

 

No. 

ISO 27001: 

        equis rojo de errorNo exige marcas

        equis rojo de errorNo exige software específico 

        equis rojo de errorNo exige infraestructura costosa 

Exige controles adecuados al riesgo, que pueden ser: 

palomita verde de correcto sin incluir texto ni fondo-1

Organizativos 

palomita verde de correcto sin incluir texto ni fondo-1

Técnicos 

palomita verde de correcto sin incluir texto ni fondo-1

Físicos 

Implementar ISO 27001 vs Certificarse

No es lo mismo. 

  • Implementar ISO 27001: adoptar el SGSI 
  • Certificarse: auditarlo con un organismo acreditado 

Muchas empresas implementan primero y se certifican después, cuando el sistema está maduro. 

 

IIMPLEMENTR VS CERTIFICARSE
 Beneficios reales de ISO 27001

Para el negocio 

  • Confianza de clientes 
  • Ventaja competitiva 
  • Acceso a nuevos mercados 
    negocio sin incluir texto ni fondo

Para operaciones 

  • Procesos claros 
  • Menos incidentes 
  • Mejor control 
    icono sin texto ni fondo de procesos claros

Para cumplimiento

  • Evidencia ante auditorías 
  • Reducción de riesgos legales
  •  
    icono con fondo transparente y sin incluir texto de cumplimiento-1
 Errores comunes al implementar ISO 27001

equis rojo de error

Verla solo como TI  


equis rojo de error

Copiar plantillas sin adaptar 

equis rojo de error

Documentar sin aplicar  

equis rojo de error

Implementar controles sin análisis de riesgos 

ISO 27001 como mejora continua
ISO 27001 MEJORA CONTINUA
Conclusión 

ISO/IEC 27001 es el estándar más reconocido para gestionar la seguridad de la información de forma estructurada, medible y alineada al negocio. 

Cuando se implementa correctamente: 

  • No es burocrática 
  • No es costosa 
  • No es solo técnica 

Es una herramienta estratégica para proteger información y generar confianza. 

 

 

Sección de preguntas y respuestas.