Solicita Información

+(503) 6202-0772

Calle Ppal. #16 San Bartolo, Ilopango San Salvador

Edit Template

Introducción a la implementación de los Controles ISO 27001

Introducción a la implementación de los Controles ISO 27001

Abrodando a los escenarios de seguridad de la información, qué evaluar y cómo implementarlo.

Formalización de de la implementación de un programa de gestión de seguridad de la información.

SEGURIDAD CORPORATIVA

Uno de los aspectos más importantes en las organizaciones, es la de garantizar la operación contínua de los servicios críticos de la institución y es justo acá donde inician las primeras consulta:

  • ¿Cuáles son las Plataformas o Servicios Críticos?
  • ¿Cómo identicicar cúales son los Servicios Críticos?

La definición de un SERVICIO CRITICO se puede establecer como, aquel servicio del cual depende el ingreso de la organización, es decir, la generación de utilidades o aquellos servicios que facilitan las operaciones del día a dia en la empresa, no necesariamente para efecto de lograr una venta. Imagina una empresa de logística, que como tal no genera una transacción de venta como tal, sino los aspectos mismos de etiquetado de paquetes, establecimiento de rutas, manejo de pedidos, etc…etc…

Entonces…. volviendo a una definición inicial, un SERVICIO CRITICO es todo aquel servicio y/o plataforma de software o hardware que facilita a la organización que se puedan ejecutar sus operaciones diarias principales o la generación de ingresos en la compañia.

Los procesos que se deben de realizar para que se puedan brindar un servicio al cliente, acá podemos rescatar los siguientes aspectos:

  • Es necesario SIEMPRE contar un procesos documentados
  • La documentación de los procesos permite que podamos la visibilidad de aspectos claves como:
  • Responsables en cada etapa de ejecución del proceso
  • Sistemas involucrados en la prestación de un servicio
  • Los servicios críticos incluye la identificación de tiempos de respuesta o los tiempos en que el servicio debe de estar entregado al usuario final o para que la siguiente etapa del proceso pueda continuar.
  • En dependencia de la cantidad de clientes que el proceso atiende o de los atrasos que el proceso pueda generar al verse interrumplido, se establece un nivel de criticidad sobre dicho proceso debido a la afectación que se pueda tener.

Impacto y beneficio del establecimiento de controles de seguridad

Uno de los aspectos iniciales que se visualiza cuando se habla sobre la formalización de controles, es que esto podría implicar más inversión, más actividades o cargas de trabajo para los diversos departamentos que podrían estar involucrados, PEEEROOOOOOO te comparto a continuación algunos detalles que considero son de mucho peso para poder tomar la decisión de considerarlo nuevamente esta idea.

Será que esos procesos críticos podría afectar la generación de ingresos o podría dañar la reputación o imagen de la compañia, muy probablemente algun impacto con algún contrato en donde deban de mantener ciertos niveles de servicios o por algún cumplimiento a nivel de regulación de ley … ¿será que algunas de estos aspectos estarían relacionados con tu entorno laboral?

Si tu respuesta fue sí, entonces definitivamente necesitamos establecer controles sobre el manejo de la seguridad, configuraciones, acceso a plataformas e información.

Primer paso - Realizar un Analisis BIA

La realización de un Business Impact Analysis facilita la identificación de la situación actual de los procesos, infraestructura, sistemas y recursos humanos involucrados en los procesos críticos.

¿Quien realiza un BIA? lo formal debería de ser que un Business Continuity Manager (BCM) o en su defecto alguien de IT acompañado con otras personas, acá lo importante es que se pueda plantear todos los elementos de los procesos, para poder brindar una vista completa del proceso que se está documentando.

Uno de los entregables del BIA es definir el nivel de impacto que tendrá dicho proceso, si en algún momento no estuviera disponible, entre estass clasificaciones podrían estar:

  • Impacto nulo o mínimo
  • Impacto mínimo o mederado
  • Impacto alto o catastrófico

Ya sobre este análisis a tomar medidas necesarias para evitar que eso pueda ocurrir.

Identificación de los Tipos de Controles

Una vez tengamos identificada la necesidad de implementar controles sobre los procesos críticos del negocio, es necesario aclarar que no todo es relacionado a tecnología, los controles estan clasificados en:

  • Controles Físicos
  • Controles Técnicos
  • Controles Administrativos

En dependencia de la necesidad de controles a implementar así será necesaria la selección de estos controles e identificar qué sería lo necesario para que se implementen.

IMPORTANTE – es de considerar también aspectos de Continuidad de Negocio, esto implicaría la realización de un BCP (Business Continuity Plan) o un DRP (Disaster Recovery Plan)

Formalizando la implementación de Controles de Seguridad

Exacto! si ya viste la imagen no te preocupes que muy probablemente sé que no andas buscando una certificación para la organización, pero perfectamente podrías adoptar el proceso planteado por la ISO 27001 para referencia y formalización de los controles que necesitas implementar.

La ISO 27001 ofrece un programa llamado PLAN-DO-CHECK-ACT que no es más que un esquema que permite la ejecución de un proceso cíclico que no únicamente la implementación de controles, sino bajo un ejecución recurrente la mejora y descubrimiento de nuevos controles por implementar.

Imagen tomada de: http://seguridadinfoperu.blogspot.com/

¿Cómo implementar o de qué trata el progama PDCA?

A continuación te comparto una pequeña tabla descriptiva para cada una de estas etapas, desde un enfoque de controles más tecnicos que administrativos.

Importante que acá tambien se deben de incluir controles que van desde la contratación del personal, validación de sus registros e historial laboral, por mencionar algunos aspectos. 

Uno de los aspectos con los que se inicia al momento de buscar la implementación de controles de seguridad sería basado en los siguientes aspectos:

  • Autenticación de usuarios
  • Verificar períodicamente quienes ingresan, los errores de autenticación, desde qué equipos ingresan, horarios de ingreso entre muchas otras cosas relacionadas a la trazabilidad de eventos.
  • Cuentas de usuarios genéricos
  • Siempre por requerimientos de implementación de aplicaciones o nuevos servicios, se crean cuentas de usuarios de tipo genéricos, estas cuentas por lo general tienen privilegios elevados al interior de los sistemas, es por eso queeeee… debemos de asignar una responsabilidad del uso de dichas cuentas a usuarios que por lo general son los mismos administradores de los sistemas.
  • Proceso de Creación / Modificación / Baja de usuarios
  • Este más que un control es un procedimiento que debe de pasar un una autorización del gerente del área responsable al usuario que se estará modificando, para que finalmente los diferentes administradores de los sistemas a los que tendrá acceso dicho usuario puedan proceder a crearlo / modificarlo / eliminarlo.
  • Acceso a la ubicación de los equipos
  • Este es más un control físico que permite delimitar quienes son los autorizados en poder ingresar a la sala de equipos, normalmente únicamente los administradores son los únicos que tienen acceso, si es requerido que un proveedor o alguien adicional tenga acceso, deberá de ser acompañado por un administrador autorizado.
  • Igual debe de existir un registro por escrito o através de una aplicación que facilite la generación de un reporte de dichos accesos.
  • Registro de configuraciones
  • Cuando se trata de equipos de comunicación, de seguridad o aspectos de parametrización de un sistema crítico, es importante tener un esquema de autorización y control de los cambios que se puedan realizar a las configuraciones de dichos sistemas, para buscar identificar si dichos cambios no generarán afectación o algún posible riesgo.

Todo lo anterior implica documentación y aplicaciones o sistemas que ayuden a identificar o controlar estos aspectos. 

 

Controles establecidos en el Anexo "A" de la norma ISO 27001

La norma ISO 27001 incluye un apartado que se llama ANEXO A, en donde se lista cerca de 114 controles recomendados por implementar, claro no es requerido implementarlos todos, únicamente los que apliquen según el proceso a controlar.

Los controels del ANEXO A están agrupados de la siguiente forma:

Para finalizar, la implementación de controles de seguridad o mejor aún de un programa para el manejo de la seguridad de la información requiere de mucho esfuerz, inversión en la compra de herramientas o adecuación de algunos aspectos que serán requeridos pero sobre todo mucho apoyo de la dirección de la organización, sin esta directriz no podremos llevar el mensaje y que esto se aplique a lo largo de la organización.

Si deseas más información, te recomiendo IsoTools (https://www.isotools.org/) un sitio muy completo y con mucha información que te será de ayuda también.

Si deseas ver el contenido de la norma ISO 27001 y detalle de los controles del Anexo A, te comparto este link de una institución mexicana que lo tiene de forma pública:  (https://dgsei.edomex.gob.mx/sites/dgsei.edomex.gob.mx/files/files/iso27001/Norma%20ISO%2027001-2013.pdf )

Gustas un resumen de todo lo anterior, te invito a ver el video:

Algunas herramientas para iniciar con la implementación de controles:

 

Espero que todo lo anterior sea de utilidad!

2 Comments

  • 4rbetlogin! If you like betting, this is your place! Easy login, quick bets, big wins is what I heard. Join the action! 4rbetlogin

  • Just logged into wjcassinologin… slick! Quick and easy login process which is a plus. Gonna see what the casino’s got in store for me tonight. Try it out yourself: wjcassinologin

  • I really enjoyed your unique perspective hereyou raised points I hadnt considered before, which made this super thought-provoking.

  • Interesting read! Understanding probabilities is key, whether it’s poker strategy or choosing a reliable platform. Speaking of which, check out slotvip ph apk for a streamlined experience – easy GCash deposits are a plus!

  • That’s a solid point about value betting – crucial for long-term success! Seeing platforms like legendlink maya online casino offer localized payment options (GCash, PayMaya) really boosts accessibility for PH players, making it easier to get in the game. 👍

  • Wow, those visuals really complement your writing perfectly!
    🖼️ I appreciate how you’ve used imagery to illustrate your points so effectively.

    Visit my blog Kristine

  • On this site, find an extensive selection virtual gambling platforms.
    Interested in traditional options or modern slots, there’s a choice for any taste.
    The listed platforms are verified for trustworthiness, enabling gamers to bet securely.
    free spins
    Additionally, the site unique promotions along with offers targeted at first-timers as well as regulars.
    Thanks to user-friendly browsing, discovering a suitable site is quick and effortless, enhancing your experience.
    Be in the know regarding new entries by visiting frequently, since new casinos appear consistently.

  • On this site, explore an extensive selection internet-based casino sites.
    Searching for classic games or modern slots, you’ll find an option to suit all preferences.
    Every casino included are verified to ensure security, so you can play securely.
    1xbet
    Additionally, the site provides special rewards plus incentives for new players and loyal customers.
    Due to simple access, discovering a suitable site takes just moments, making it convenient.
    Keep informed regarding new entries with frequent visits, because updated platforms come on board often.

  • 1xBet represents a premier gambling platform.
    Offering a wide range of events, 1XBet meets the needs of a vast audience worldwide.
    This 1xBet mobile app is designed to suit both Android devices as well as iOS bettors.
    https://www.gilmaire-etienne.com/wp-content/pages/prohoghdenie_batman_arkham_knight_trofei_riddlera_v_shtab_kvartire_rycarya_arkhema_12_14.html
    It’s possible to install the mobile version via the official website or Google Play Store for Android.
    Apple device owners, this software is available from the App Store without hassle.

  • 1xBet is a top-tier gambling provider.
    Offering a broad variety of matches, 1xBet meets the needs of countless users around the world.
    The 1xBet app is designed to suit both Android and iPhone players.
    http://forum.startandroid.ru/viewtopic.php?f=51&t=192018
    It’s possible to download the mobile version via their site as well as Google Play Store for Android.
    iPhone customers, the app is available through the App Store with ease.

  • 1XBet represents a premier gambling platform.
    Offering an extensive selection of events, 1XBet serves a vast audience worldwide.
    The One X Bet mobile app created to suit both Android devices and iPhone players.
    https://bamchrc.co.in/pag/golodnye_igry_soyka_peresmeshnica_chasty_ii.html
    You can get the 1xBet app through their site and also Google’s store on Android devices.
    For iOS users, the app can be downloaded from the official iOS store without hassle.

  • This resource can be found unique special offers for 1x Bet.
    Such codes provide an opportunity to obtain bonus incentives when betting on the site.
    Every listed discount vouchers are frequently checked to assure their relevance.
    Using these promocodes you can enhance your opportunities on the gaming site.
    https://greatervalleyschool.com/pag/sovremennye_betonnye_emkosti_dlya_sada.html
    Besides, complete guidelines on how to apply special offers are available for maximum efficiency.
    Keep in mind that some promocodes may have expiration dates, so check them before redeeming.

  • This website contains necessary info about techniques for turning into a digital intruder.
    Content is delivered in a simple and understandable manner.
    It helps master diverse strategies for entering systems.
    Moreover, there are hands-on demonstrations that demonstrate how to perform these skills.
    how to learn hacking
    Complete data is frequently refreshed to keep up with the contemporary changes in computer security.
    Notable priority is concentrated on functional usage of the obtained information.
    Keep in mind that every procedure should be carried out conscientiously and with moral considerations only.

  • Humans consider taking their own life because of numerous causes, frequently stemming from intense psychological suffering.
    A sense of despair may consume their desire to continue. In many cases, lack of support plays a significant role in pushing someone toward such thoughts.
    Mental health issues distort thinking, preventing someone to recognize options beyond their current state.
    how to commit suicide
    Life stressors might further drive an individual to consider drastic measures.
    Limited availability of resources might result in a sense of no escape. It’s important to remember that reaching out can save lives.

  • Humans consider taking their own life because of numerous causes, commonly arising from deep emotional pain.
    Feelings of hopelessness may consume someone’s will to live. In many cases, lack of support plays a significant role to this choice.
    Psychological disorders can cloud judgment, causing people to see alternatives for their struggles.
    how to commit suicide
    External pressures could lead a person to consider drastic measures.
    Lack of access to help can make them feel stuck. Understand seeking assistance can save lives.

  • 在此页面,您可以聘请专门从事单次的高危工作的执行者。
    我们整理了大量训练有素的行动专家供您选择。
    无论是何种危险需求,您都可以方便找到专业的助手。
    chinese-hitman-assassin.com
    所有合作人员均经过审核,确保您的机密信息。
    任务平台注重匿名性,让您的特殊需求更加顺利。
    如果您需要更多信息,请立即联系!

  • People contemplate taking their own life for a variety of reasons, commonly stemming from intense psychological suffering.
    The belief that things won’t improve may consume their desire to continue. In many cases, isolation contributes heavily in this decision.
    Mental health issues can cloud judgment, making it hard for individuals to see alternatives to their pain.
    how to kill yourself
    Challenges such as financial problems, relationship issues, or trauma can also push someone closer to the edge.
    Limited availability of resources may leave them feeling trapped. Keep in mind getting help makes all the difference.

  • Excellent website with a wealth of useful information; I am forwarding it to some acquaintances and also sharing it on Delicious. Many thanks for your hard work.

  • I loved even more than you will get done right here. The overall look is nice, and the writing is stylish, but there’s something off about the way you write that makes me think that you should be careful what you say next. I will definitely be back again and again if you protect this hike.

Leave a Reply

Your email address will not be published. Required fields are marked *

Servicios para garantizar

La satisfacción de los clientes

Todos los servicios de entrenamientos se brindan de forma 80% práctica y 20% teórico para fortalecer el dominio y competencias que se deseen formar.

info@walternavarrete.com

© 2026 Created with Royal Elementor Addons

Soporte