IEC 27001

• ISO/IEC 27001 - Wikipedia, la enciclopedia libre
• Planifica SGSI ISMS
• Gestión de riesgos y respuesta ante incidentes
• Estándar internacional de seguridad de la información
• Anexos y cláusulas principales:

  • [¿Qué es la norma ISO 27001 y para qué sirve?

    GSS](https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/)

  • ISO 27001 - Certificado ISO 27001 punto por punto - Presupuesto Online
  • Documento Norma UNE-EN ISO-IEC 27001 MINTUR

Conceptos Clave

• SGSI / ISMS (Sistema de Gestión de Seguridad de la Información)
  • Conjunto de políticas, procesos y controles diseñados para gestionar riesgos de seguridad de información.
  • Permite la mejora continua mediante el ciclo PDCA (Plan-Do-Check-Act).
• Gestión de riesgos
  • Identificación de activos, amenazas y vulnerabilidades.
  • Evaluación de impacto y probabilidad.
  • Definición de controles para mitigación y respuesta.
• Cláusulas principales de ISO 27001
  • Contexto de la organización
  • Liderazgo y compromiso
  • Planificación del SGSI
  • Soporte y operación
  • Evaluación del desempeño
  • Mejora continua
• Anexos (A)
  • Contienen 114 controles agrupados en 14 dominios, incluyendo:
    • Política de seguridad
    • Organización de la seguridad de la información
    • Gestión de activos
    • Control de acceso
    • Criptografía
    • Seguridad física y ambiental
    • Seguridad en operaciones
    • Seguridad en comunicaciones
    • Adquisición, desarrollo y mantenimiento de sistemas
    • Relaciones con proveedores
    • Gestión de incidentes de seguridad
    • Gestión de continuidad del negocio
    • Cumplimiento legal y contractual

Casos de Uso y Aplicación

• Empresas que manejan información sensible, como:
  • Datos de clientes
  • Información financiera
  • Propiedad intelectual
• Mejora de la confianza frente a clientes y socios mediante certificación ISO 27001.
• Integración con otros estándares y marcos:
  • ISO 27701 (privacidad)
  • ISO 22301 (continuidad del negocio)
  • NIST CSF

Implementación

• Fases principales:
  • Evaluación inicial y análisis de brechas
  • Planificación y definición de políticas y procedimientos
  • Implementación de controles y formación del personal
  • Monitoreo, auditoría interna y revisión por la dirección
  • Certificación por un organismo acreditado

Herramientas y Recursos

• Software de gestión de SGSI para seguimiento de controles y riesgos.
• Guías de implementación paso a paso de consultoras especializadas.
• Plantillas para documentación de políticas y procedimientos.

Recursos Adicionales

• ISO/IEC 27001 - Wikipedia
• GSS: Qué es ISO 27001
• Norma ISO 27001 - Presupuesto Online
• Documento Norma UNE-EN ISO-IEC 27001 MINTUR

ISO/IEC 27001 – Detalles Avanzados

1. Detalles de los 14 dominios del Anexo A con ejemplos de controles

1. Política de seguridad
   • Controles: definición de políticas, aprobación por dirección, revisión anual.
   • Ejemplo: política de uso aceptable de TI y acceso remoto.
2. Organización de la seguridad de la información
   • Controles: roles y responsabilidades claras, comités de seguridad.
   • Ejemplo: responsable de seguridad de la información (CISO).
3. Gestión de activos
   • Controles: inventario de activos, clasificación de información, etiquetado.
   • Ejemplo: clasificación de documentos confidenciales como “Interno”, “Confidencial”.
4. Control de acceso
   • Controles: gestión de identidades, control de privilegios, autenticación multifactor.
   • Ejemplo: acceso a sistemas críticos solo a personal autorizado.
5. Criptografía
   • Controles: uso de cifrado para datos en tránsito y reposo, gestión de llaves.
   • Ejemplo: cifrado AES-256 para bases de datos críticas.
6. Seguridad física y ambiental
   • Controles: control de accesos a edificios, videovigilancia, detección de incendios.
   • Ejemplo: tarjeta de acceso para entrar al centro de datos.
7. Seguridad en operaciones
   • Controles: gestión de cambios, segregación de entornos, backup regular.
   • Ejemplo: pruebas de backup semanales y restauración documentada.
8. Seguridad en comunicaciones
   • Controles: protección de redes, segmentación, VPNs seguras.
   • Ejemplo: cifrado TLS para todas las comunicaciones internas y externas.
9. Adquisición, desarrollo y mantenimiento de sistemas
   • Controles: seguridad en el ciclo de vida de software, pruebas de vulnerabilidad.
   • Ejemplo: revisión de código fuente antes de despliegues críticos.
10. Relaciones con proveedores
    • Controles: acuerdos de nivel de servicio, evaluación de seguridad de proveedores.
    • Ejemplo: cláusula de confidencialidad y auditoría en contratos.
11. Gestión de incidentes de seguridad
    • Controles: registro de incidentes, notificación y análisis de causa raíz.
    • Ejemplo: plan de respuesta ante ransomware con simulaciones trimestrales.
12. Gestión de continuidad del negocio
    • Controles: planes BCP/DRP, pruebas periódicas de recuperación.
    • Ejemplo: conmutación por error de sistemas críticos cada 6 meses.
13. Cumplimiento legal y contractual
    • Controles: auditoría de cumplimiento, revisión de requisitos legales.
    • Ejemplo: cumplimiento con GDPR, HIPAA según tipo de información.
14. Seguridad de recursos humanos
    • Controles: verificación de antecedentes, formación y concienciación.
    • Ejemplo: curso anual obligatorio de seguridad para todo el personal.

2. Métricas y KPIs de seguridad

• Número de incidentes reportados (por trimestre)
• Tiempo promedio de resolución de incidentes
• % de activos con clasificación correcta
• % de empleados que completaron formación de seguridad
• Cumplimiento de controles del Anexo A
• Frecuencia de auditorías internas y hallazgos críticos

3. Integración con otros estándares

• ISO 27701 – Gestión de privacidad y protección de datos (extensión de ISO 27001).
• ISO 22301 – Continuidad del negocio, se integra con el dominio de continuidad y BCP.
• NIST CSF / SP 800-53 – Buenas prácticas de seguridad y controles adicionales.
• COBIT – Gobernanza de TI, métricas y alineación con objetivos de negocio.

4. Ejemplos de políticas y procedimientos plantillas

• Política de uso aceptable:

	Todos los usuarios deben usar cuentas individuales y no compartir credenciales.
	Prohibido instalar software no autorizado.
	Acceso remoto solo vía VPN corporativa.
	```


- **Procedimiento de gestión de incidentes:**  
	

1. Detectar y registrar incidente.
2. Clasificar severidad.
3. Notificar a responsable de seguridad.
4. Contener, erradicar y recuperar.
5. Documentar lecciones aprendidas.
```

• Checklist de control de acceso:

	- Usuarios con privilegios revisados mensualmente.
	- Autenticación multifactor activada.
	- Revisar accesos inactivos > 90 días.
	```


## 5. Auditoría interna y certificación

- **Pasos de preparación para auditoría ISO 27001:**  
	1. Revisar todos los controles del Anexo A.  
	2. Documentar políticas, procedimientos y registros.  
	3. Realizar auditoría interna simulada.  
	4. Corregir hallazgos y actualizar evidencias.  
	5. Seleccionar organismo certificador acreditado.  

- **Checklist de auditoría interna:**  
	

- SGSI implementado y documentado.
- Registro de incidentes actualizado.
- Evidencias de formación y concienciación.
- Evaluación de riesgos reciente.
- Pruebas de continuidad de negocio realizadas.
```

6. Lecciones de implementación y errores comunes

• No subestimar la formación y concienciación del personal.
• Documentación incompleta es la causa más común de no conformidad.
• Integrar controles de seguridad en los procesos de negocio desde el inicio.
• Realizar auditorías internas frecuentes para identificar problemas antes de la certificación.
• Evitar controles genéricos; personalizar según riesgos reales de la organización.
• Monitorear y actualizar el SGSI regularmente, no solo para certificación.

Recursos y Tools ISO/IEC 27001 2025‑2026

🛠️ Plataformas y Software de Compliance GRC

• Scytale – Plataforma de automatización de cumplimiento ISO 27001: mapeo automático de controles, recolección de evidencia desde sistemas, paneles de estado y soporte experto. Ideal para certificación con menos trabajo manual. LinkedIn
• Drata – Plataforma de automatización de cumplimiento con integración continua y seguimiento de evidencia para ISO 27001 y otros estándares. Risk Cognizance
• Secureframe – Solución de compliance con automatización de evidencia, monitoreo continuo y soporte especializado para ISO 27001. Risk Cognizance
• Sprinto – Herramienta enfocada en empresas cloud: automatiza seguimiento de cumplimiento, documentación y roadmaps de ISO 27001. Risk Cognizance
• ZenGRC – Gestión centralizada de riesgos y documentación para ISO 27001 con enfoque en registros de riesgo y workflows. LinkedIn
• LogicGate – Motor de automatización de workflows que permite construir procesos personalizados alrededor de ISO 27001. LinkedIn
• ISOTools – Plataforma para SGSI que cubre automatización de procesos, gestión móvil de tareas y cumplimiento de controles del Anexo A. ISOTools
• Isolución Seguridad de la Información – Software con análisis GAP, administración de incidentes, documentación y métricas SGSI para ISO 27001. Isolución

📁 Toolkits, Plantillas y Documentación

• **[ISO 27001 Toolkit

  ISO‑IEC‑27001.com]** – Kit descargable con manual, procedimientos, formularios y checklists editables para SGSI. ISO-IEC-27001.com

• **[ISO 27001 Toolkit

  IT Governance EU]** – Kit completo con análisis GAP, roles y responsabilidades, SoA y herramientas de seguimiento para ISO 27001. IT Governance EU

• vsRisk (IT Governance) – Herramienta especializada para evaluaciones de riesgo ISO 27001 con reportes de SoA y planes de tratamiento. IT Governance EU
• Plantillas de evaluación de riesgos (Word) – Plantilla estructurada para auditorías de riesgo alineada con cláusulas de ISO 27001:2022. ISO 27001 Risk Assessment Template

📚 Cursos y Educación (2025‑2026)

• FutureLearn – Implementing ISO 27001 – Curso MOOC gratuito autoguiado para fundamentos y gestión de SGSI. Reddit
• Udemy – ISO/IEC 27001:2022 ISMS – Curso gratuito o económico sobre implementación y control de ISO 27001. Reddit
• Advisera / 27001Academy – Webinars – Seminarios bajo demanda con temas de implementación y preparación para auditorías. Reddit
• British Assessment Bureau – Curso ISO 27001 – Introducción a la ISO 27001 con enfoque práctico. Reddit
• Alison – Curso de fundamentos de ISO 27001 – Formación gratis sobre gestión de seguridad de la información y fundamentos del estándar. Reddit
• Mastermind Assurance – Curso de auditor ISO 27001 – Curso gratuito orientado a formar auditores internos de SGSI. Reddit

🔍 Análisis, Evaluación de Riesgos y Metodologías

• MEHARI – Método gratuito de análisis y gestión de riesgos alineado con ISO/IEC 27005 (apoya SGSI ISO 27001). Wikipedia
• Plantillas y recursos comunitarios – Sitios y repositorios de plantillas y guías compartidas por profesionales. Reddit

🧠 Contenido de Apoyo y Video

• YouTube: Controles de SGSI según ISO 27001 – Playlist con explicación de controles, métricas y KPIs prácticos. YouTube

📌 Repositorios y Enlaces de Referencia

• Enlaces recopilados para SGSI y herramientas – Página con kits, enlaces de referencia, guías y recursos en español. ISO27000.es

🔁 Consejos para Elegir Recursos

• Herramientas GRC (como Scytale, Drata y Secureframe) son ideales si quieres automatización y monitoreo continuo.
• Los toolkits descargables y plantillas (ISO‑IEC‑27001.com, IT Governance) son útiles para documentación y preparación de auditoría.
• Cursos y webinars gratuitos son buenos para formación rápida y básica antes de decidir inversión en software.

🧩 Integración con otras Normas (Recursos Útiles)

• Plataformas como ISOTools permiten integrar ISO 27001 con sistemas como ISO 9001, ISO 14001 e ISO 45001. ISOTools