Servicios de consultoría y asesoría

¡Hola!, te compartimos el artículo de: Marzo, 2026

Lecciones aprendidas de la ISO 27001
Por David Mondragón Tapia

Una curiosidad agobiante

De los últimos 7 años de colaboración como consultor, apoyando a diversas organizaciones en proyectos para la implementación y certificación de Sistemas de Gestión de Seguridad de la Información ISO 27001, he podido observar una situación a la que llamaría por decir lo menos, “curiosa”.  Dicha situación peculiar radica en el hecho -obvio para unos pocos y desconocido para la gran mayoría-, de que para poder ofrecer seguridad a la información de una organización, es necesario desarrollar una práctica de Gestión de Riesgos de Seguridad de la Información (ref. ISO 27005 ó 31000). Para esto, se requiere entre otras cosas: un marco de referencia, de personal competente, de datos suficientes, una cultura adecuada y de herramientas de apoyo. Para elaborar y mantener actualizada una Matriz de valoración de riesgos y un Plan de tratamiento de riesgos de una organización pequeña a mediana, podría sorprender a más de uno y seguramente agobiar al responsable o a todo el equipo responsable de la gestión de riesgos. Definitivamente el rol del Risk Manager o Gestor de Riesgos, es uno de esos roles que llegó para quedarse en las organizaciones, que vislumbren un futuro más seguro sin importar su tamaño, tipo o naturaleza.

Sistema de Gestión de Seguridad de la Información

¡Recordemos brevemente algunos detalles de la norma ISO 27001! La ISO 27001 es la norma internacional que establece una serie de requisitos necesarios para implementar y certificar un Sistema de Gestión de Seguridad de la Información o SGSI. De estos requisitos, recordemos que algunos están orientados hacia la construcción del sistema de gestión ISO y otros hacia las actividades necesarias para llevar a cabo una Gestión de Seguridad de la Información de manera especializada. Un Sistema de Gestión de Seguridad de la Información basado en dicha norma, requiere cumplir para obtener la eventual certificación, con algunos de los siguientes aspectos claves:

  • La determinación de las obligaciones legales, regulatorias y/o contractuales aplicables en materia de seguridad de la información.
  • La definición de un alcance aplicable a la protección de la información de la organización.
  • Una política de seguridad de la información alineada a la estrategia organizacional.
  • La definición de roles y responsabilidades especializados en seguridad de la información (ej. Information Security Officer)
  • La definición de las actividades necesarias para gestionar los riesgos vinculados a la seguridad de la información.
  • La ejecución sistemática de las actividades de valoración y tratamiento de los riesgos de seguridad de la información.
  • La evaluación continua de la eficacia y desempeño de la seguridad de la información y sus controles aplicables (ej. tecnológicos y físicos; ref. ISO 27002).
  • Entre otros aspectos.

Un Sistema de Gestión de Seguridad de la Información, permite proteger la confidencialidad, integridad, disponibilidad y privacidad de la información de una organización, a partir de la valoración y tratamiento de riesgos de seguridad de la información, con base en la selección e implementación de los controles de seguridad de la información más convenientes y adecuados.

Curiosidad No. 1

Al desarrollar la práctica de Gestión de riesgos de seguridad de la información de la organización -un aspecto clave de la operación del SGSI (ref. sección 8. Operación, ISO 27001)-, es recomendable primero identificar el alcance del sistema de gestión, con el fin de determinar el universo de activos a proteger (inventario de activos) y luego utilizar el enfoque “basado en activos”, por ser el enfoque ideal para alcanzar el nivel de detalle necesario durante el “análisis de riesgos”, que permita establecer el nivel de protección adecuado para la organización.

En el papel, lo anterior sonará simple y elemental, pero en la práctica requiere de una buena definición del método de análisis de riesgos, así como de una gran capacidad para manejar y discriminar volúmenes considerables de datos relacionados a la identificación y análisis de riesgos. La situación se puede agravar, si además no se cuenta con la herramienta de apoyo adecuada.

Curiosidad No. 2

Anteriormente se mencionó que el enfoque “basado en activos”, es el recomendado para la Gestión de riesgos de seguridad de la información. Lo anterior se debe al nivel de detalle que exige al método de análisis de riesgos utilizado, al requerirle parámetros como son: activos (primarios y de apoyo), vulnerabilidades, amenazas, eventos o incidentes, consecuencias, controles existentes, entre otros parámetros, además de requerir también la definición de criterios de evaluación, de impacto y de aceptación, entre otros aspectos, ponderaciones y demás fórmulas. Un activo puede tener “n” vulnerabilidades, cada vulnerabilidad puede ser explotada por “m” amenazas, por cada combinación factible de vulnerabilidad y amenaza se identifican “n x m” riesgos y para cada riesgo pueden requerirse “c” controles para su tratamiento. Eso quiere decir que un solo activo puede tener “n x m” riesgos y cada riesgo puede requerir “c” controles, por lo que “a” activos puede abrir la relación anterior tantas veces como el valor que adquiera “a” (ej. a x (n x m) x c).

Curiosidad No. 3

A pesar de que el enfoque “basado en activos” es el recomendable para establecer un nivel de protección adecuado para la información de la organización, existe otro enfoque complementario que se debe saber integrar y combinar con el de “activos”, ese es el enfoque “basado en eventos”. El enfoque “basado en eventos” es una forma más general de analizar y tratar un riesgo identificado, limitando la cantidad de información y agrupando todos los posibles eventos que tendrían posibilidad de afectar a un activo de interés, calculando de manera simple su probabilidad e impacto, para estimar el nivel de riesgo y luego determinar las medidas a tomar, en caso de requerir tratamiento. Al combinar el enfoque “basado en eventos” con el enfoque “basado en activos”, es posible disminuir y simplificar el análisis de riesgos junto con el volumen de información manejada, pero se debe saber cuándo y cómo hacerlo, para evitar que sea en detrimento del nivel de protección requerido por la organización.

Curiosidad No. 4

Del ámbito de las mejores prácticas para gestionar servicios tecnológicos, surge una idea consistente en establecer “modelos” para el manejo de situaciones que son repetitivas y que pueden abordarse de la misma forma en beneficio del servicio. Así pues, un modelo de incidentes o un modelo de solicitudes de servicio, se puede implementar a partir de definir los pasos, la secuencia, a los responsables, los tiempos, las entradas y salidas, así como los resultados finales que se deben alcanzar para cada situación. Tal idea se puede extrapolar a la Gestión de riesgos de seguridad de la información, particularmente para el tratamiento de los riesgos, creando un “modelo de tratamiento por activo” que permita predefinir los controles aplicables así como las variantes a considerar, en caso de que al activo le apliquen diferentes riesgos, sobre todo por cambios en su entorno lo que conlleva la aplicación de diferentes amenazas. De esta forma, se puede simplificar el tratamiento de los “n x m” riesgos, al seleccionar e implementar los “c” controles aplicables al riesgo, para los “a” activos.

Reflexión final

En conclusión el aprendizaje adquirido de los proyectos, debe servir para compartir algunas experiencias que sean de utilidad a otras organizaciones y personas, que deberán afrontar en algún momento el reto de establecer y certificar su propio SGSI. Recordemos que la seguridad de la información, ciberseguridad y protección de la privacidad de una organización (ref. ISO 27001:2022), requiere del desarrollo de una práctica de Gestión de riesgos de seguridad de la información. Para lograr lo anterior con éxito, es importante considerar las reflexiones finales siguientes:

  1. La gestión de riesgos de SI requiere: marco de referencia, personal competente, datos suficientes, cultura adecuada y herramientas de apoyo.
  2. La cantidad de información a manejar y el tiempo que puede demandar, requiere una posición o un equipo de tiempo completo, preferentemente.
  3. El rol del Risk Manager llegó para quedarse en las organizaciones.
  4. La certificación ISO 27001 viene creciendo como requisito y como habilitador en el mercado.
  5. Hoy se debe proteger la confidencialidad, integridad, disponibilidad y privacidad de la información.
  6. Para el análisis de riesgos, es importante manejar e integrar el enfoque “basado en activos” y el enfoque “basado en eventos”.
  7. Para el tratamiento de riesgos, es importante incorporar el concepto de “modelo de tratamiento por activo”.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar una Gestión de riesgos de seguridad de la información, robusta y eficaz para tu organización, ¡escríbenos, será un gusto platicar contigo!

Referencias y/o consultas

1. International Standard ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.