Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

¿Qué es la norma ISO 27001 y para qué sirve?

iso27001

¿Qué es la norma ISO 27001?

ISO/IEC 27001 es el estándar internacional que define los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). También permite evaluar, desde dentro o fuera, la capacidad de la organización para cumplir sus propios requisitos de seguridad.

La norma incluye requisitos para evaluar y tratar riesgos de seguridad según el contexto de cada organización. Es genérica y aplicable a cualquier tipo y tamaño de empresa.

¿Para quién es?

  • Startups y pymes: ordenan procesos y ganan confianza con clientes grandes.

  • Medianas y grandes: alinean áreas/filiales y gestionan proveedores críticos.

  • Público y ONG: protegen datos sensibles y aseguran continuidad.

Puedes empezar con un alcance acotado y ampliarlo por etapas.

¿Para qué sirve en la práctica?

  • Proteger activos (datos de clientes, propiedad intelectual, finanzas, operaciones).

  • Reducir incidentes e impacto (fugas, fraudes, caídas de servicio).

  • Cumplir requisitos legales/contractuales y responder auditorías con confianza.

  • Priorizar inversiones en seguridad donde el riesgo es mayor.

  • Generar confianza con clientes, socios y reguladores mediante evidencias.

Cómo opera la norma

La norma te pide que:

  • Definas alcance y contexto del SGSI.

  • Establezcas criterios de riesgo y realices la apreciación.

  • Decidas tratamientos (mitigar, transferir, aceptar o eliminar).

  • Selecciones y justifiques controles en la Declaración de Aplicabilidad (SoA).

  • Operes, midas, audites y mejores el sistema con información documentada y acciones correctivas cuando haga falta.

Enfoque en riesgos + controles

Toda organización tiene riesgos que potencialmente puede afectar su seguridad de la información. Estos riesgos deben ser gestionados mediante la aplicación de controles.

Por ello, la norma propone una lista refinada de controles de seguridad que genericamente puede ayudar a cualquier organización pero no es una lista del todo rígida.

Debes elegir controles según tus riesgos y justificar tus decisiones en la SoA:

  1. Define criterios de impacto/probabilidad.

  2. Identifica y valora riesgos (activos, amenazas, vulnerabilidades, consecuencias).

  3. Elige controles (organizacionales, de personas, físicos, tecnológicos).

  4. Deja evidencia de por qué aplicas o excluyes un control y del riesgo residual.

Lo que la norma realmente exige (y qué evidencia esperar)

  • Política de seguridad aprobada y comunicada.

  • Alcance del SGSI y partes interesadas documentadas.

  • Apreciación y tratamiento de riesgos, con criterios claros.

  • SoA vigente con controles seleccionados y justificados.

  • Información documentada controlada (versiones, cambios, accesos).

  • Competencia y concienciación (registros de formación).

  • Seguimiento y medición, auditoría interna y revisión por la dirección.

  • Acciones correctivas con verificación de eficacia.

Ejemplo: Gestión de riesgos usando la norma ISO 27001

Contexto: e-commerce pequeño.

Riesgo priorizado: acceso no autorizado a cuentas de clientes por robo de credenciales.

Control aplicado: Autenticación multifactor (MFA) para personal con acceso a datos y para paneles administrativos.

Evidencia: política actualizada, registro de riesgos con decisión de tratamiento, SoA indicando el control y reporte simple del porcentaje de cuentas con MFA activado.

Preguntas tipo examen — con respuesta explicada

1) ¿Cuál es el objetivo principal de ISO/IEC 27001?

A. Definir controles técnicos obligatorios para todas las organizaciones
B. Establecer requisitos para un SGSI y gestionar riesgos con mejora continua
C. Certificar productos de seguridad
D. Estandarizar protocolos de red

Explicación: La norma se centra en requisitos de gestión para implementar, operar y mejorar un SGSI basado en riesgo. No impone una lista técnica única (eso se decide vía SoA).

Respuesta: B

2) ¿Qué documento justifica qué controles se aplican o excluyen?

A. Política de seguridad
B. Registro de activos
C. Declaración de Aplicabilidad (SoA) 
D. Informe de auditoría

Explicación: La SoA lista los controles seleccionados, su justificación, estado de implementación y cualquier exclusión razonada, vinculándolo con el riesgo.

Respuesta: C


Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 malware osint owasp phishing