Guia practica

Guia de implementacion ISO 27001 paso a paso

Protege la informacion de tu organizacion con un SGSI certificado

Implementa ISO 27001 en tu organizacion: desde la gestion de riesgos hasta los controles del Anexo A y la Declaracion de Aplicabilidad.

Que es ISO 27001 y por que implementarla

ISO 27001 es la norma internacional que define los requisitos para un sistema de gestion de seguridad de la informacion (SGSI). Aplica a organizaciones de cualquier tamano que necesiten proteger informacion sensible.

En un contexto donde los incidentes de ciberseguridad crecen ano a ano, contar con un SGSI certificado demuestra a clientes y socios que tu organizacion protege la informacion de forma sistematica.

La norma es especialmente relevante para empresas de tecnologia, fintech, salud, servicios profesionales y cualquier organizacion que maneje datos sensibles de terceros.

Anexo A: los controles de seguridad de la informacion

ISO 27001:2022 incluye el Anexo A con 93 controles organizados en 4 categorias. No todos son obligatorios: se seleccionan segun la evaluacion de riesgos.

  • Controles organizacionales (37): politicas, roles, gestion de activos, control de acceso, seguridad en relaciones con proveedores.
  • Controles de personas (8): seleccion, concientizacion, responsabilidades, desvinculacion.
  • Controles fisicos (14): perimetros de seguridad, equipamiento, proteccion contra amenazas ambientales.
  • Controles tecnologicos (34): gestion de vulnerabilidades, criptografia, seguridad en redes, monitoreo, desarrollo seguro.
  • Controles nuevos en la version 2022: inteligencia de amenazas, seguridad en la nube, prevencion de fuga de datos, monitoreo de actividades.

Gestion de riesgos de seguridad de la informacion

La gestion de riesgos es el motor del SGSI. ISO 27001 requiere un proceso formal de evaluacion y tratamiento de riesgos que determine que controles implementar.

La norma no prescribe una metodologia especifica, pero debe ser sistematica, repetible y producir resultados comparables.

  • Definir criterios de aceptacion de riesgos y criterios de evaluacion.
  • Identificar riesgos: amenazas, vulnerabilidades y activos de informacion afectados.
  • Analizar riesgos: estimar probabilidad e impacto de cada escenario.
  • Evaluar riesgos: comparar contra los criterios de aceptacion y priorizar.
  • Tratar riesgos: seleccionar controles del Anexo A u otras fuentes. Opciones: mitigar, transferir, evitar o aceptar.
  • Documentar el plan de tratamiento de riesgos con responsables y plazos.
  • ISO 27005 proporciona lineamientos complementarios para este proceso.

Declaracion de Aplicabilidad (SOA)

La Declaracion de Aplicabilidad (Statement of Applicability, SOA) es un documento obligatorio que lista todos los controles del Anexo A y justifica cuales se aplican y cuales no.

Es uno de los documentos mas importantes para la auditoria de certificacion. El auditor lo usa como mapa para verificar la implementacion de controles.

  • Listar los 93 controles del Anexo A (version 2022).
  • Para cada control, indicar si aplica o no aplica con justificacion.
  • Referenciar la evaluacion de riesgos que sustenta cada decision.
  • Indicar el estado de implementacion de cada control aplicable.
  • Mantener el SOA actualizado ante cambios en riesgos o en la organizacion.
  • Error comun: excluir controles sin justificacion basada en riesgos.

Auditoria de certificacion ISO 27001

La auditoria de certificacion ISO 27001 verifica que el SGSI cumple los requisitos de la norma y que los controles seleccionados estan efectivamente implementados.

  • Etapa 1: revision del SGSI documental, politica, SOA, evaluacion de riesgos y planificacion.
  • Etapa 2: verificacion en sitio de la implementacion de controles, entrevistas con personal clave y pruebas de evidencia.
  • El auditor verifica la coherencia entre la evaluacion de riesgos, el SOA y los controles implementados.
  • Hallazgos frecuentes: controles documentados pero no operativos, falta de metricas de efectividad, gestion de incidentes inmadura.
  • Post-certificacion: vigilancia anual y recertificacion cada 3 anos.
  • Recomendacion: realizar pruebas de penetracion o evaluaciones tecnicas antes de la auditoria.

Preguntas frecuentes

No. Solo se implementan los controles que resulten aplicables segun la evaluacion de riesgos. Los que no aplican se excluyen con justificacion en la Declaracion de Aplicabilidad (SOA).

La version 2022 actualizo los controles del Anexo A (de 114 a 93), agrego controles nuevos como seguridad en la nube e inteligencia de amenazas, y reorganizo las categorias de controles.

Si. Ambas usan la estructura de alto nivel (Anexo SL), lo que permite integrar el SGSI con el sistema de gestion de calidad en una auditoria combinada.

Tipicamente entre 6 y 14 meses dependiendo del alcance, la cantidad de controles aplicables y la madurez de seguridad existente en la organizacion.

Recursos relacionados

¿Querés avanzar con tu certificación?

Respondemos en 24 horas con asesoramiento y próximos pasos.

Solicitar cotización WhatsApp