ISO 27001 FASE 5 DOCUMENTACION DEL SGSI

Bienvenidos a esta guía sobre ISO 27001 FASE 5 DOCUMENTACION DEL SGSI. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Fase 5: Documentación del SGSI

En cualquier sistema de gestión, la creación y mantenimiento de documentación es un elemento clave para garantizar su efectividad y cumplimiento. En el caso del Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001, la documentación no solo es un requisito normativo, sino que también facilita la operatividad y mejora continua del sistema.

¿Qué documentar en ISO 27001 y por qué?

Si tomamos como referencia el proceso de gestión de riesgos, podemos ver que su análisis nos lleva a identificar controles específicos que deben aplicarse. Finalmente, esto nos conduce a una declaración de aplicabilidad en la que confrontamos los activos de información con sus amenazas y los controles del Anexo A de la norma.

Más allá de este proceso, la gestión del SGSI requiere una estructura organizativa clara, procesos definidos de toma de decisiones, asignación de responsabilidades y mecanismos de comunicación. Estos elementos no pueden quedar al azar, sino que deben documentarse adecuadamente para que el sistema sea funcional y sostenible.

La documentación en ISO 27001 tiene dos propósitos fundamentales:

1. Garantizar la continuidad y repetición del proceso a lo largo del tiempo. La única manera de asegurar que un proceso se aplique de manera consistente es documentándolo. Esto permite que las tareas y procedimientos sean replicables sin depender exclusivamente del conocimiento de las personas involucradas.
2. Facilitar la mejora continua. La documentación proporciona información valiosa para evaluar la eficacia del SGSI. Si detectamos deficiencias, podemos modificar el proceso, redefinir la toma de decisiones o fortalecer los controles de seguridad. La mejora continua solo es posible si contamos con registros claros y accesibles.

Además, la documentación es clave para demostrar el cumplimiento con los requisitos de la norma. No es suficiente con afirmar que un proceso se lleva a cabo de una determinada manera; es necesario contar con registros verificables que evidencien cada acción realizada dentro del SGSI.

¿Qué información debe publicarse?

Toda la información oficial del SGSI debe estar disponible para el personal autorizado, garantizando que quienes necesiten consultarla puedan acceder a ella de manera eficiente.

La norma ISO 27001 no establece un medio específico de publicación, pero lo más recomendable es utilizar soportes electrónicos, como una intranet o entornos de red compartidos. Estos medios facilitan el acceso y la actualización de la documentación de manera ágil y segura.

Los documentos del SGSI deben cumplir con los siguientes requisitos:

• Completitud: Deben contener toda la información necesaria para comprender y aplicar los procesos de gestión de seguridad.
• Actualización continua: La documentación debe reflejar siempre la versión vigente del sistema, incorporando los cambios y mejoras que se implementen.
• Control de versiones: Es fundamental contar con un sistema de codificación que permita rastrear modificaciones y garantizar que siempre se utilicen las versiones actualizadas de los documentos.

Además, los documentos que contienen información crítica sobre la seguridad de la información deben ser protegidos bajo medidas de seguridad adecuadas. Entre estos documentos destacan el análisis y evaluación de riesgos, el plan de tratamiento de riesgos y la declaración de aplicabilidad.

En conclusión, la documentación del SGSI no es solo un requisito normativo, sino una herramienta indispensable para la operatividad, mejora continua y cumplimiento de la seguridad de la información dentro de una organización.

Niveles de Documentación en ISO 27001

Para que un Sistema de Gestión de Seguridad de la Información (SGSI) sea eficiente y cumpla con los requisitos de la norma ISO 27001, es fundamental estructurar su documentación de manera organizada. En este sentido, la documentación del SGSI se puede dividir en cuatro niveles principales, cada uno con un propósito específico dentro del sistema de gestión.

1. Políticas de Seguridad

Las políticas de seguridad establecen las directrices generales que rigen la gestión de la seguridad de la información en la organización. Estas políticas incluyen la Política de Seguridad de Alto Nivel, que define el compromiso global con la seguridad de la información, y otras políticas específicas que abordan áreas concretas dentro del sistema.

Algunos ejemplos de políticas específicas incluyen:

• Uso aceptable de internet dentro de la empresa
• Uso de dispositivos móviles corporativos
• Política de Bring Your Own Device (BYOD), que regula el uso de dispositivos personales en el entorno corporativo

Estas políticas permiten establecer el marco de referencia para la toma de decisiones en materia de seguridad y garantizar que todos los miembros de la organización comprendan las normas a seguir.

2. Procedimientos Administrativos y Organizativos

Los procedimientos administrativos u organizativos detallan la forma en que se deben gestionar los procesos de seguridad de la información dentro de la organización.

Ejemplo de procedimiento:

• Uso aceptable de procedimientos: Documento que explica cómo deben aplicarse los procedimientos de seguridad de la información, especificando responsabilidades y funciones dentro del sistema. También aclara el rol del propietario de los activos de información y la obligación de cumplir con los lineamientos establecidos.

Este nivel de documentación es esencial para garantizar la correcta implementación y aplicación de las políticas de seguridad.

3. Procedimientos Técnicos y Físicos

Los procedimientos técnicos establecen las directrices operativas para el uso seguro de las tecnologías y la gestión de la información sensible dentro de la organización.

Ejemplos de procedimientos técnicos:

• Tratamiento de información sensible: Define los requisitos para la protección, uso y transmisión de información de la organización según su nivel de sensibilidad.
• Procedimiento para comunicaciones inalámbricas: Especifica cómo deben configurarse y utilizarse las redes inalámbricas para minimizar riesgos de seguridad.
• Procedimiento para accesos remotos: Establece las condiciones de acceso seguro a la red corporativa desde ubicaciones externas.

Por otro lado, los procedimientos físicos regulan los controles de seguridad en el entorno físico de la organización.

Ejemplos de procedimientos físicos:

• Seguridad en la sala del servidor: Define medidas de acceso restringido, monitoreo y control ambiental de las áreas donde se almacenan servidores y equipos críticos.
• Almacenamiento y destrucción de información sensible: Determina cómo debe almacenarse y eliminarse la información clasificada para evitar filtraciones.

Estos procedimientos garantizan que la seguridad de la información no solo se enfoque en el ámbito digital, sino también en la protección de los espacios físicos donde se almacenan y procesan los datos.

4. Registros: Evidencias del SGSI

Los registros son documentos fundamentales dentro del SGSI, ya que proporcionan evidencia objetiva del cumplimiento de los requisitos de la norma ISO 27001. Estos documentos sirven para auditar el sistema y demostrar que se están implementando correctamente las medidas de seguridad.

Los registros están estrechamente ligados a los documentos de los otros niveles y sirven para documentar actividades clave dentro del SGSI.

Ejemplos de registros:

• Registro de acciones correctivas: Si se detecta una no conformidad en el sistema, debe existir un documento donde se detallen las acciones correctivas implementadas, los responsables y los tiempos de ejecución.
• Registro de capacitación del personal: Si un puesto requiere ciertas habilidades o conocimientos en seguridad de la información, debe existir un documento que evidencie que el personal cumple con los requisitos y ha recibido la capacitación necesaria.

Estos registros permiten evaluar el desempeño del SGSI y facilitan la toma de decisiones basada en datos concretos.

La documentación del SGSI en ISO 27001 es un pilar fundamental para garantizar la seguridad de la información y cumplir con la normativa. Al estructurarla en cuatro niveles —políticas, procedimientos administrativos y organizativos, procedimientos técnicos y físicos, y registros— se logra una gestión eficiente, organizada y alineada con los principios de mejora continua. Sin documentación clara y actualizada, la implementación del SGSI perdería consistencia y efectividad, comprometiendo la seguridad de la información en la organización.

Lista de Documentos Obligatorios del SGSI en ISO 27001

Para garantizar el cumplimiento de la norma ISO 27001, es fundamental contar con una serie de documentos obligatorios que evidencien la implementación efectiva del Sistema de Gestión de Seguridad de la Información (SGSI). Sin embargo, es importante tener en cuenta que los documentos exigidos en el Anexo A están sujetos a la Declaración de Aplicabilidad, lo que significa que solo serán obligatorios aquellos que correspondan a controles aplicables dentro de la organización.

Documentos Obligatorios según la Norma ISO 27001

La norma establece los siguientes documentos como obligatorios para demostrar la implementación del SGSI:

• 4.3 Alcance del SGSI: Define los límites y la aplicabilidad del sistema dentro de la organización.
• 5.2 Política de Seguridad de la Información: Documento que establece el compromiso y las directrices generales de seguridad.
• 6.1.2 Proceso de Evaluación de Riesgos de Seguridad de la Información: Define la metodología utilizada para evaluar los riesgos en el SGSI.
• 6.1.3 Proceso de Tratamiento de Riesgos de Seguridad de la Información: Especifica las acciones y estrategias para mitigar los riesgos identificados.
• 6.1.3 d) Declaración de Aplicabilidad: Documento clave que justifica la selección de controles de seguridad basados en la evaluación de riesgos y la normativa aplicable.
• 6.2 Objetivos de Seguridad de la Información: Define las metas específicas en materia de seguridad alineadas con la estrategia de la organización.
• 7.2 d) Prueba de Competencia: Evidencia que el personal cuenta con las competencias necesarias para desempeñar sus funciones en seguridad de la información.
• 7.5.1 b) Información documentada necesaria para la efectividad del SGSI: Documentos esenciales que garantizan la correcta operación del sistema.
• 8.1 Planificación y Control Operacional: Define cómo se implementan y controlan los procesos dentro del SGSI.
• 8.2 Resultados de la Evaluación de Riesgos de Seguridad de la Información: Documenta los resultados obtenidos en la identificación y análisis de riesgos.
• 8.3 Resultados del Tratamiento de Riesgos de Seguridad de la Información: Evidencia las medidas implementadas para mitigar los riesgos identificados.
• 9.1 Evidencia del Monitoreo y Medición de Resultados: Pruebas documentadas del seguimiento del desempeño del SGSI.
• 9.2 Proceso de Auditoría Interna Documentado: Procedimiento formal que detalla cómo se llevan a cabo las auditorías internas del SGSI.
• 9.2 g) Evidencia de Programas de Auditoría y Resultados: Registros de auditorías realizadas y sus hallazgos.
• 9.3 Evidencia de Resultados de Revisiones de la Administración: Pruebas de que la alta dirección revisa periódicamente el SGSI para su mejora.
• 10.1 f) Evidencia de No Conformidades y Acciones Posteriores: Documentos que detallan cualquier incumplimiento detectado y las medidas correctivas implementadas.
• 10.1 g) Evidencia de Acciones Correctivas Tomadas: Registros de las acciones implementadas para corregir problemas identificados en el SGSI.

Documentos Obligatorios según el Anexo A (Sujeto a Declaración de Aplicabilidad)

El Anexo A de la norma ISO 27001 establece una serie de controles de seguridad que pueden requerir documentación adicional. Estos documentos solo serán obligatorios si la organización los ha identificado como aplicables en su Declaración de Aplicabilidad.

Algunos de los documentos más relevantes incluyen:

• A.7.1.2 y A.13.2.4 Definición de Funciones y Responsabilidades de Seguridad: Especifica las responsabilidades en materia de seguridad dentro de la organización.
• A.8.1.1 Inventario de Activos: Registro de todos los activos de información de la organización y su clasificación.
• A.8.1.3 Reglas para el Uso Aceptable de los Activos: Define normas de uso y restricciones para los activos de información.
• A.8.2.1 Esquema de Clasificación de la Información: Determina los niveles de sensibilidad de la información y su tratamiento.
• A.9.1.1 Política de Control de Acceso: Documento que establece cómo se regulan los accesos a sistemas y datos.
• A.12.1.1 Procedimientos de Operación para la Administración de TI: Instrucciones detalladas para la gestión de operaciones de TI.
• A.12.4.1 y A.12.4.3 Registros de Actividades del Usuario, Excepciones y Eventos de Seguridad: Registro de accesos, incidentes y eventos relevantes en seguridad.
• A.14.2.5 Principios de Ingeniería de Sistemas Seguros: Directrices para el diseño e implementación de sistemas con seguridad incorporada.
• A.15.1.1 Política de Seguridad del Proveedor: Especifica los requisitos de seguridad para proveedores y terceros.
• A.16.1.5 Procedimiento de Gestión de Incidentes: Detalla cómo se detectan, notifican y gestionan los incidentes de seguridad.
• A.17.1.2 Procedimientos de Continuidad del Negocio: Define las acciones a seguir para garantizar la operatividad en caso de incidentes.
• A.18.1.1 Requisitos Legales, Reglamentarios y Contractuales: Documenta el cumplimiento con normativas y contratos que afectan la seguridad de la información.

La documentación dentro del SGSI en ISO 27001 es un requisito indispensable para demostrar el cumplimiento de la norma y garantizar la seguridad de la información dentro de la organización. Contar con estos documentos no solo facilita auditorías y revisiones, sino que también refuerza la estructura del SGSI y permite su mejora continua. Es crucial mantenerlos actualizados y protegidos, asegurando que solo el personal autorizado tenga acceso a la información confidencial.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.

Hacker de 0 a 100 desde las bases hasta conseguir empleo

Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).

Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).

El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!

Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:

• La mejor forma de Aprender Hacking y Ciberseguridad en 2025
• Lo que tienes que saber antes de empezar tu vida de hacker
• Habilidades y Competencias que debe tener un Hacker Profesional
• El Camino del Hacker – Las 3 etapas de una carrera exitosa
• Inicia tu carrera como Hacker – GENERAL CYBER SECURITY
• Qué es Realmente el Hacking y Cómo Puedo Trabajar Legalmente
• Tipos de Hackers y Teams
• Cómo Iniciarse en Hacking y Redes en 2025
• Hardware para Hacking de Redes
• Cómo Iniciarse en Hacking y Linux en 2025
• Cómo Iniciarse en Hacking y Programación en 2025
• Python para hackers en 2025
• Cómo Aprender Inglés para Hackers: Guía Definitiva 2025
• Arma tu PC ideal para Hacking en 2025
• Cómo crear un Laboratorio de Hacking en 2025
• Las 500 Mejores Herramientas para Hackers
• Cómo obtener Práctica como Hacker en 2025
• Cómo Iniciarse en CTF en 2025 y Aprender a Hackear practicando
• Mas de 100 Webs de CTF para Practicar hacking en 2025
• Cómo Obtener tus Primeras Certificaciones en 2025
• Las 10 Mejores Certificaciones de Hacking en 2025
• IA y Hacking en 2025
• OSINT en 2025 Guía Definitiva
• Hardware para Hackers en 2025
• Guia Definitiva de Flipper Zero
• Cómo Iniciarse como Pentester en 2025
• Iniciarse como Pentester en 2025 – Reconocimiento y Enumeración
• Cómo Identificar Sistemas Vulnerables y Recopilar información
• Explotación de Vulnerabilidades con Metasploit
• Post Explotación, Pivoting y Movimiento Lateral
• Reporte del Pentest, Remediación y Seguimiento
• Inicia en hacking y ciberseguridad como analista SOC en 2025
• Cómo Conseguir Trabajo de Hacker en 2025
• Como Iniciarse en Bug Bounty en 2025
• Cómo Aumentar tu Salario Pasando de Hacker Jr a Sr
• Cómo Avanzar en tu Carrera de Hacker y llegar a ser CISO
• SIGUE APRENDIENDO EN NUESTRO BLOG
  

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:

• LinkedIn
• Twitter
• Telegram
• Instagram

Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.