👋 Agenda una reunión y empieza a habilitar nuevos negocios con tu ciberseguridad
Ingresa tu correo corporativo. Nuestras soluciones están diseñadas específicamente para empresas.

Al hacer clic en Enviar, aceptas que Delta Protect almacene y procese la información personal suministrada arriba de acuerdo a la política de privacidad establecida en el Aviso de Privacidad.

🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
Oops! Something went wrong while submitting the form.

“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”

Sergio García
Engineer Manager

“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”

Pablo Padilla
Gerente TI

“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”

Jaime Zenizo
CEO & Partner

“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”

Ilse Fernández
Data and Information Management

“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”

Enrique Guzman
Chief Information and Security Officer

Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.

Manuel Andere
Chief Technology Officer

Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.

Erick Pérez
Director General

Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.

Juan Leonardo Hinojosa
Gerente de Ciberseguridad

"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”

Joaquin Rivera
Co-Founder & CEO - Kikoya

"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”

Paolo Rizzi
Co-Founder & CTO - minu

"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”

Alberto Navarro
Head of Product - Arkángeles
-
19 min.

¿Qué es la ISO 27001? Beneficios y Proceso de Certificación

Tabla de Contenidos
¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

Con la llegada y desarrollo de la tecnología se ha visto un aumento considerable en los riesgos de seguridad de la información para las empresas y organizaciones. Esto trae como consecuencia la pérdida de los servicios esenciales de red, decaimiento de la reputación y confianza de los clientes y graves problemas a nivel financiero.

En la búsqueda de soluciones a esta problemática surge la norma ISO 27001 y durante todo este artículo estaremos brindando información relevante sobre su implementación, beneficios y cómo obtener la certificación para la mejora de su organización.

¿Qué es la norma ISO 27001?

La ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe cómo gestionar la seguridad de la información en una empresa para la mejora continua de los sistemas de información y garantizar la ciberseguridad de los activos de información. La filosofía que rige a esta norma es la investigación de los riesgos para la futura creación de un plan de tratamiento adecuado. Esta se basa en el ciclo de Deming, o por sus siglas en inglés PDCA (Plan, Do, Check, Act. Planificar, Hacer, Verificar, Actuar en español)

La norma ISO 27001 especifica los controles necesarios para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, o ISMS por sus siglas en inglés (Information Security Management System), dentro del contexto de la organización. Los requisitos de la norma son de carácter genérico y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.

{{body-cta-1}}

Al igual que otros estándares de sistemas de gestión ISO, la certificación ISO/IEC 27001 es obtenible, pero no obligatoria, y puede ser implementada por cualquier tipo de organización, con o sin fines de lucro. Algunas organizaciones eligen implementar el estándar para beneficiarse de las mejores prácticas que contiene, mientras que otras deciden solamente apegarse a ciertos aspectos de la norma, pues esto conlleva ciertos beneficios de los que se hablará más adelante.  

¿Qué es ISO?

La ISO (International Organization for Standardization) es una organización internacional no gubernamental que cuenta actualmente con 167 países miembros y reúne expertos para compartir conocimientos y desarrollar normas internacionales que ayuden a adoptar las mejores prácticas para asegurar productos y servicios de calidad óptima, de forma homogénea en todo el mundo.

La organización tuvo sus inicios en el año 1946 en Londres y estuvo conformada por delegados de 25 países que fundaron los primeros comités técnicos con expertos enfocados en temas específicos y recursos necesarios en fabricación de productos y tecnologías que garanticen la satisfacción de los consumidores.

Nota curiosa: Debido a que 'Organización Internacional para la Estandarización' tendría diferentes acrónimos en diferentes idiomas (IOS en inglés, OIN en francés para Organización internacional de normalización), sus fundadores decidieron darle la forma abreviada ISO. ISO se deriva del griego 'isos', que significa igual. Sea cual sea el país, sea cual sea el idioma, siempre se podrá reconocer como ISO.

¿Cómo funciona la norma 27001?

La norma ISO 27001 es una manera de implementar seguridad de información en una organización. Esto quiere decir que busca mantener la confidencialidad e integridad de los datos, independientemente de su formato.

Esto lo hace mediante la investigación de posibles problemas, vulnerabilidades y riesgos que pueda presentar la organización. Para ello se utiliza la evaluación de riesgos y luego se define la mitigación o tratamiento de riesgos.

Es común que los controles de seguridad se implementen a través de softwares y equipos. Así como también se requiere de la definición de políticas y procedimientos.

En muchos casos ya se cuenta con las herramientas técnicas como software y hardware, pero por desconocimiento no se saca el suficiente provecho. Es de allí que surgen los requisitos de la gestión de la seguridad de la información en las organizaciones propuestas por la ISO, donde el correcto cumplimiento de requisitos garantizará la obtención del certificado.

Es importante resaltar que ISO no realiza la certificación, sino que propone los controles adecuados para lograr obtenerla. Todo esto bajo reglas de estándar internacional y requisitos generales. Esta última información la ampliaremos más adelante.

Beneficios de la norma ISO 27001

Las buenas prácticas de gestión de seguridad de la información y cumplimiento de los controles establecidos por la ISO 27001 produce ventajas esenciales para una empresa. Los mismos los veremos a continuación:

Minimización de riesgos

Se disminuye la posibilidad de sufrir un incidente que comprometa la información de la organización. Esto mediante la evaluación de riesgos que permite conocer las vulnerabilidades y a partir de allí, tomar las acciones correctivas para dar paso a la continuidad del negocio.

Algunos riesgos que se evitan o minimizan con la ISO 27001 son: obtención de datos privados del usuario o la organización, hackeo a sistemas y ataques financieros. Dicho de otra forma, promueve la ciberseguridad.

Aumento de confianza

El contar con esta certificación genera mayor confianza en clientes, proveedores y otras entidades. Además de proteger a la organización de ciberataques, al seguir los pasos de certificación, se demuestra que la misma es confiable, responsable y capaz.

{{body-cta-2}}

Incremento de reputación

El cumplimiento de esta norma proyecta una imagen de profesionalidad que genera cada vez mayor y mejor reputación.

Reducción de costos

El cumplimiento de esta norma evita multas muy costosas de incumplimiento de leyes de protección de información personal y datos personales. De esta misma forma, reduce la necesidad de realizar auditorías constantes, generando una única auditoría de certificación.

Facilitación de la continuidad de negocio

Mediante el correcto tratamiento de riesgos, la norma ISO 27001 permite una mejor gestión de continuidad del negocio al dar paso a la mitigación de amenazas que comprometan la seguridad de información o den paso a disponibilidad de la información a ciberatacantes.

Estructura de la norma ISO 27001

La norma ISO 27001 se estructura de la siguiente manera:

Objeto y campo de aplicación

La norma ISO/IEC 27001:2022 inicia definiendo su propósito, que es establecer los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Esta sección proporciona una visión general del estándar, detallando su aplicabilidad a cualquier organización, independientemente de su tamaño, tipo o sector, y especificando que puede adaptarse a distintos contextos organizacionales. Además, enfatiza que el SGSI está orientado a proteger la confidencialidad, integridad y disponibilidad de la información.

Referencias normativas

En esta sección, se enumeran los documentos que son esenciales para la correcta interpretación y aplicación de ISO 27001. La principal referencia normativa es la ISO/IEC 27002, que proporciona directrices detalladas sobre los controles de seguridad. También se menciona la Declaración de Aplicabilidad (SoA), un documento fundamental que identifica los controles seleccionados y justifica su inclusión o exclusión, asegurando la trazabilidad con los requisitos del Anexo A.

Términos y definiciones

Para facilitar una interpretación uniforme y precisa, se ofrece un glosario de términos y definiciones relevantes en el ámbito de la gestión de la seguridad de la información. Esto ayuda a generar una comprensión común entre todas las partes interesadas, evitando ambigüedades y mejorando la implementación consistente del SGSI en diferentes organizaciones.

Contexto de la organización

La norma subraya la necesidad de que la organización comprenda su propio entorno, considerando factores internos y externos que puedan afectar su capacidad para lograr los objetivos de seguridad de la información.

Se incluyen actividades como:

  • Identificación de partes interesadas (clientes, socios, reguladores, empleados, etc.) y sus expectativas.
  • Determinación del alcance del SGSI, estableciendo claramente qué unidades, procesos, ubicaciones y activos estarán cubiertos por el sistema.
  • Comprender adecuadamente el contexto y las necesidades resulta esencial para diseñar un SGSI verdaderamente efectivo y alineado con los objetivos estratégicos.

Comprender adecuadamente el contexto y las necesidades resulta esencial para diseñar un SGSI verdaderamente efectivo y alineado con los objetivos estratégicos.

Planificación

Aquí se establece que la organización debe abordar los riesgos y oportunidades que podrían impactar la consecución de los objetivos del SGSI. Esto implica:

  • Identificación de riesgos de seguridad de la información mediante metodologías adecuadas.
  • Evaluación de riesgos en términos de impacto y probabilidad.
  • Diseño de un Plan de Tratamiento de Riesgos para mitigar, transferir, aceptar o evitar riesgos identificados.
  • Definición de objetivos de seguridad, asegurando que sean medibles, coherentes con la política de seguridad y sujetos a revisión periódica.

Soporte

La correcta operación del SGSI requiere recursos adecuados. Esta cláusula cubre:

  • Asignación de recursos humanos, tecnológicos y financieros.
  • Capacitación y concienciación del personal en temas de seguridad de la información.
  • Comunicación interna y externa eficaz, asegurando que los mensajes clave lleguen a los públicos adecuados.
  • Gestión de la información documentada, asegurando que los documentos sean creados, actualizados y controlados apropiadamente para soportar el SGSI.

Operación

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos del SGSI. Esto incluye:

  • Operar los procesos en coherencia con la planificación.
  • Evaluar y tratar los riesgos de seguridad de manera continua.
  • Mantener registros que demuestren que los procesos se ejecutan según lo planificado.
  • La operación del SGSI debe ser proactiva, permitiendo una respuesta efectiva ante eventos que puedan comprometer la seguridad de la información.

Liderazgo

El compromiso de la alta dirección es un pilar fundamental del éxito del SGSI. Esta sección exige que la dirección:

  • Demuestre liderazgo mediante la definición y comunicación de una Política de Seguridad de la Información alineada a la estrategia del negocio.
  • Asigne roles y responsabilidades claros para la gestión de la seguridad.
  • Promueva una cultura organizacional que valore y apoye la seguridad de la información en todos los niveles.
  • La implicación activa de la alta dirección no solo proporciona dirección estratégica, sino también legitimidad al SGSI.

Evaluación del desempeño

Esta sección establece cómo la organización debe medir la eficacia de su SGSI. Incluye:

  • Seguimiento y medición de procesos y controles.
  • Auditorías internas periódicas para verificar la conformidad y eficacia del sistema.
  • Revisión por la dirección, donde se evalúa el desempeño general del SGSI y se toman decisiones para su mejora continua.
  • El objetivo es garantizar que el SGSI no solo esté implementado, sino que esté funcionando de manera efectiva y generando los resultados deseados.

Mejora

Por último, encontramos las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Una vez conocidos los beneficios, se abre un abanico de posibilidades para la organización que busque implementar la norma ISO 27001. Asimismo, se considera importante plantear el proceso de certificación.

{{body-cta-3}}

¿Qué requisitos establece la ISO 27001?

La norma ISO 27001 establece un conjunto de requisitos que las organizaciones deben cumplir para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) eficaz y alineado con las mejores prácticas internacionales. Estos requisitos están diseñados para proteger la confidencialidad, integridad y disponibilidad de la información, adaptándose a empresas de cualquier tamaño o sector.

A continuación, te explicamos los principales requisitos que contempla la norma:

Contexto de la organización

La empresa debe definir el alcance de su SGSI, teniendo en cuenta:

  • Las partes interesadas (clientes, reguladores, proveedores).
  • Los requisitos legales y contractuales.
  • Los activos de información y procesos críticos.

Liderazgo y compromiso

La alta dirección debe demostrar un fuerte compromiso con la seguridad de la información mediante:

  • La aprobación de la política de seguridad.
  • La asignación de recursos suficientes.
  • El liderazgo en la mejora continua del SGSI.

Planificación y gestión de riesgos

Uno de los pilares de la norma es la identificación y evaluación de riesgos. Esto implica:

  • Realizar un análisis de riesgos sistemático.
  • Establecer planes de tratamiento para mitigar los riesgos identificados.
  • Documentar todo el proceso y las decisiones tomadas.

Apoyo y recursos

La norma exige que la organización proporcione:

  • Recursos adecuados (humanos, tecnológicos y financieros).
  • Competencias y formación para el personal.
  • Comunicación interna y externa efectiva.
  • Control y gestión de la documentación del SGSI.

Operación

La empresa debe de:

  • Implementar los controles seleccionados (según el Anexo A).
  • Definir procedimientos operativos claros.
  • Gestionar incidentes y cambios de forma efectiva.


Evaluación del desempeño

El SGSI debe ser evaluado regularmente mediante:

  • Monitoreo y medición de los controles y procesos.
  • Auditorías internas planificadas.
  • Revisión por la dirección para garantizar la eficacia y adecuación continua.

Mejora continua

La norma requiere la identificación y corrección de no conformidades, así como la aplicación de acciones correctivas para prevenir su recurrencia. La mejora continua es clave para mantener la relevancia y efectividad del SGSI frente a nuevas amenazas.

Anexo A: Controles y objetivos de control

Además de los requisitos principales, la ISO 27001 incluye el Anexo A, que presenta 93 controles divididos en 4 bloques principales:

  1. Organizativos
  2. Personas
  3. Tecnológicos
  4. Físicos

Estos controles son seleccionados y adaptados según las necesidades específicas de cada organización.

💡 TIP: Aunque la ISO 27001 es flexible y adaptable, documentar cada paso y contar con una metodología clara para la gestión de riesgos son claves para cumplir todos los requisitos y pasar la auditoría sin contratiempos.

Proceso de certificación ISO 27001

Si bien ISO no realiza la certificación, se apoya de organismos de certificación externos para cumplir con este propósito. A grandes rasgos se puede considerar los siguientes pasos para obtener la certificación ISO 27001:

1. Establecer un equipo de trabajo

El trabajo de certificación es un proceso continuo y el equipo de trabajo debe estar conformado por un personal que tenga como objetivo implementar el SGSI, demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el status en relación con el alcance definido.

2. Determinar el alcance del SGSI

Como comentábamos en un principio, ISO 27001 se puede implementar en cualquier organización sin importar su rama o tamaño. Para ello, la organización que desee certificarse deberá definir el alcance del SGSI en función de las necesidades de la empresa.

Aquí se considerarán factores internos como: misión, visión y objetivos; gobierno y estructura organizacional; cuáles son los roles y responsabilidades, así como también las políticas, objetivos y estrategias de la organización.

Por otra parte, se debe tomar en cuenta factores externos como: el mercado y competencia; prácticas de la industria; cumplimiento de leyes y regulaciones; ambiente político y financiero, entre otros factores.

Además, podrá darse una idea de cuál sería su alcance si comienza a cuestionarse cuáles son sus servicios o productos más importantes para ser asegurados bajo esta norma y cuál de ellos tendría mayor relevancia competitiva frente a sus clientes. Esto sin dejar de tomar en cuenta los factores internos y externos.

3. Análisis de brechas

Se puede auxiliar de herramientas como un análisis de riesgos o una evaluación de brechas contra la norma 27001 para identificar y mitigar las amenazas a las que se encuentra expuesto. Al realizar esto podrá prepararse para la siguiente etapa.

4. Implementación de controles de seguridad

En esta etapa deberá implementar todos los controles de seguridad necesarios para mitigar los riesgos de seguridad de la información identificados. Para este punto, es crucial el apoyo de la alta dirección, pues será necesario la adición de recursos humanos, técnicos y financieros. Cabe destacar que algunos controles de seguridad se resuelven con la implementación de herramientas como mobile device management, anti-malware y la realización de pentesting a la infraestructura correspondiente.

5. Generación de documentación y evidencia

Una vez implementados los controles se deberá conservar la documentación necesaria para soportar el SGSI. Estos documentos serían todos aquellos procesos, procedimientos, guías y evidencias que más tarde serán revisadas por el auditor. Se debe tener en cuenta que es necesario cumplir al pie de la letra lo que se establezca en su documentación. Esto incluye:

  • Definir la política de seguridad.
  • Realizar un análisis y evaluación de riesgos.
  • Establecer los controles necesarios (según el Anexo A).
  • Crear procedimientos y manuales que respalden la operación del SGSI.

6. Auditoría interna y corrección de no conformidades

Antes de la auditoría oficial, es fundamental realizar una auditoría interna para verificar que el SGSI está funcionando correctamente y que se cumplen todos los requisitos de la norma. En esta etapa se identifican posibles no conformidades y se implementan las acciones correctivas necesarias.

7

7. Auditoría de certificación (Fase 1 y Fase 2)

La auditoría oficial realizada por un organismo certificador consta de dos fases:

  • Fase 1: Revisión documental del SGSI para asegurar que está correctamente diseñado.
  • Fase 2: Evaluación práctica, donde se verifica que los procesos y controles se aplican efectivamente y cumplen con los requisitos.

Si se identifican no conformidades menores, la empresa tendrá un plazo para corregirlas antes de obtener la certificación.

Delta Protect y el cumplimiento de la ISO 27001

Delta Protect surge de la necesidad de devolver la privacidad digital a las empresas de latinoamérica. Esto se hace mediante diferentes servicios en donde procuramos ocuparnos de seguir paso a paso las necesidades individuales de nuestros clientes en materia de ciberseguridad y compliance o cumplimiento.

Actualmente, contamos con el servicio de cumplimiento y certificaciones, el cuál, sirve para llevar un acompañamiento experto antes, durante e incluso después de la obtención de la certificación ISO 27001

Escrito por:
Jorge García Martinez
Head of Security & Compliance

Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.

Consulta Gratuita sobre Certificación ISO 27001

¿Tienes dudas sobre cómo implementar ISO 27001 en tu empresa? Solicita una consulta gratuita con nuestros expertos y asegura tu certificación.

¡Agendar ahora!¡Agendar ahora!
¿Necesitas ayuda para implementar ISO 27001?

Agenda una consulta gratuita con nuestros expertos y recibe asesoría personalizada para lograr la certificación.

¡Agendar ahora!¡Agendar ahora!
Asegura tu Certificación ISO 27001

Te ayudamos a aclarar las dudas sobre la implementación de ISO 27001. Agenda una consulta gratuita con nuestros especialistas y asegura tu certificación.

¡Agendar ahora!¡Agendar ahora!
👋 ¡Déjanos tu correo
para tener acceso al E-Book!
🙌 ¡Gracias por dejarnos tu correo!

Si el E-Book no se descarga automaticamente, haz click 👉 aquí.
Oops! Something went wrong while submitting the form.