La ISO 27001:2022 es el estándar internacional de referencia para sistemas de gestión de seguridad de la información (SGSI). Para organizaciones que manejan documentación sensible, su implementación es fundamental para proteger activos de información y cumplir con regulaciones. Este artículo presenta una guía práctica enfocada en gestión documental.
Introducción a ISO 27001:2022
¿Qué es ISO 27001?
ISO/IEC 27001:2022 es una norma internacional publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que especifica los requisitos para:
- Establecer un Sistema de Gestión de Seguridad de la Información (SGSI)
- Implementar controles de seguridad apropiados
- Operar, monitorear, revisar, mantener y mejorar el SGSI
- Demostrar conformidad ante terceros
Versión actual: ISO/IEC 27001:2022 (publicada octubre 2022)
Cambios respecto a ISO 27001:2013:
- Reducción de controles de 114 a 93
- Reorganización en 4 categorías (antes 14 dominios)
- Nuevos controles para amenazas actuales (cloud, threat intelligence)
- Mayor énfasis en gestión de riesgos
Beneficios de la Certificación
Beneficios comerciales:
- Diferenciación competitiva en licitaciones
- Requisito para contratos con grandes empresas
- Mejora de imagen corporativa
- Acceso a mercados internacionales
Beneficios operativos:
- Reducción de incidentes de seguridad
- Menor impacto de brechas de datos
- Procesos documentados y controlados
- Mejora continua institucionalizada
Beneficios de cumplimiento:
- Alineación con Ley 29733 (Protección de Datos Personales)
- Cumplimiento de requisitos SBS, SMV
- Base para otras certificaciones (ISO 27701, SOC 2)
Estadísticas Globales de Certificación
Según ISO Survey 2023:
- Certificados ISO 27001 a nivel mundial: 58,687
- Crecimiento anual: 12%
- Países con más certificados: Japón, Reino Unido, India, China, Alemania
En Latinoamérica:
- Brasil: 1,247 certificados
- México: 486 certificados
- Colombia: 312 certificados
- Chile: 198 certificados
- Perú: ~150 certificados (estimado)
Estructura de ISO 27001:2022
Cláusulas de la Norma
Cláusulas 1-3: Introducción
- Alcance
- Referencias normativas
- Términos y definiciones
Cláusulas 4-10: Requisitos del SGSI
| Cláusula | Título | Contenido Principal |
|---|---|---|
| 4 | Contexto de la organización | Partes interesadas, alcance del SGSI |
| 5 | Liderazgo | Compromiso de la alta dirección, política de seguridad |
| 6 | Planificación | Gestión de riesgos, objetivos de seguridad |
| 7 | Soporte | Recursos, competencia, comunicación, documentación |
| 8 | Operación | Implementación de controles, gestión de riesgos operativa |
| 9 | Evaluación del desempeño | Monitoreo, auditoría interna, revisión por la dirección |
| 10 | Mejora | Acciones correctivas, mejora continua |
Anexo A: Controles de Seguridad
ISO 27001:2022 incluye 93 controles organizados en 4 categorías:
| Categoría | Controles | Ejemplos |
|---|---|---|
| Organizacionales (37) | Políticas, roles, gestión de activos | A.5.1 Políticas de seguridad de información |
| De personas (8) | Selección, capacitación, responsabilidades | A.6.1 Selección de personal |
| Físicos (14) | Perímetros, equipos, utilities | A.7.1 Perímetros de seguridad física |
| Tecnológicos (34) | Controles técnicos, criptografía, redes | A.8.1 Dispositivos de usuario final |
11 nuevos controles en versión 2022:
- A.5.7 Threat intelligence
- A.5.23 Information security for cloud services
- A.5.30 ICT readiness for business continuity
- A.7.4 Physical security monitoring
- A.8.9 Configuration management
- A.8.10 Information deletion
- A.8.11 Data masking
- A.8.12 Data leakage prevention
- A.8.16 Monitoring activities
- A.8.23 Web filtering
- A.8.28 Secure coding
Aplicación a Gestión Documental
Activos de Información Documentales
Identificación de activos:
En un sistema de gestión documental, los activos de información incluyen:
| Tipo de Activo | Ejemplos | Criticidad Típica |
|---|---|---|
| Documentos digitales | PDFs, imágenes escaneadas, documentos Office | Variable según contenido |
| Metadatos | Índices, clasificación, historial de versiones | Media-Alta |
| Base de datos documental | Repositorio principal, índices de búsqueda | Crítica |
| Sistemas de software | SGD, ECM, workflow, OCR | Alta |
| Infraestructura | Servidores, almacenamiento, red | Alta |
| Credenciales | Usuarios, contraseñas, certificados digitales | Crítica |
| Backups | Copias de respaldo documentales | Alta |
Criterios de valoración:
- Confidencialidad: ¿Qué impacto tendría la divulgación no autorizada?
- Integridad: ¿Qué impacto tendría la modificación no autorizada?
- Disponibilidad: ¿Qué impacto tendría la indisponibilidad?
Clasificación de Información
Esquema de clasificación recomendado:
| Nivel | Descripción | Ejemplos Documentales | Controles |
|---|---|---|---|
| Público | Información de libre acceso | Comunicados, normativa pública | Integridad básica |
| Interno | Uso dentro de la organización | Procedimientos, manuales operativos | Control de acceso básico |
| Confidencial | Acceso restringido por necesidad | Contratos, expedientes de personal | Cifrado, auditoría |
| Secreto | Máxima restricción | Información estratégica, datos sensibles | Cifrado, DLP, monitoreo |
Etiquetado de documentos:
- Marcas visuales (encabezado/pie de página)
- Metadatos de clasificación
- Controles automáticos según etiqueta
Controles Específicos para Gestión Documental
A.5.9 Inventario de información y otros activos asociados:
Aplicación a SGD:
- Mantener inventario de series documentales
- Registrar ubicación de almacenamiento (físico/digital)
- Identificar propietarios de cada serie
- Actualizar periódicamente (al menos anualmente)
A.5.10 Uso aceptable de información y otros activos:
Política de uso de documentos:
- Qué documentos pueden imprimirse
- Restricciones de copia/descarga
- Manejo de documentos fuera de oficina
- Uso de dispositivos personales (BYOD)
A.5.12 Clasificación de la información:
Procedimiento de clasificación:
1. Propietario asigna clasificación inicial
2. Sistema valida según tipo documental
3. Herencia de clasificación en expedientes
4. Revisión periódica y reclasificación
A.5.13 Etiquetado de la información:
Implementación en SGD:
- Campo obligatorio de clasificación al subir documento
- Marca de agua automática según nivel
- Restricciones de acceso automáticas
- Alertas al compartir documentos sensibles
A.5.33 Protección de registros:
Requisitos para gestión documental:
- Definir períodos de retención por tipo
- Proteger contra modificación no autorizada
- Garantizar legibilidad a largo plazo
- Procedimiento de destrucción controlada
A.8.10 Eliminación de información:
Procedimiento de eliminación segura:
- Aprobación formal antes de eliminar
- Eliminación certificada (sobrescritura, destrucción física)
- Registro de eliminaciones
- Verificación de eliminación en backups
A.8.11 Enmascaramiento de datos:
Aplicación en documentos:
- Redacción de datos personales en copias
- Anonimización para pruebas/desarrollo
- Acceso a versiones enmascaradas según rol
A.8.12 Prevención de fuga de datos (DLP):
Controles DLP para documentos:
- Bloqueo de descarga de documentos confidenciales
- Alertas al enviar documentos por email
- Watermarking con identificación de usuario
- Control de dispositivos USB
Gestión de Riesgos
Metodología de Evaluación de Riesgos
ISO 27001 requiere un proceso de gestión de riesgos que incluya:
- Identificación de riesgos
- Análisis de riesgos (probabilidad e impacto)
- Evaluación de riesgos (priorización)
- Tratamiento de riesgos (mitigar, transferir, aceptar, evitar)
- Monitoreo y revisión
Metodologías compatibles:
- ISO 27005 (específica para seguridad de información)
- NIST SP 800-30
- MAGERIT (española, usada en sector público)
- OCTAVE
Riesgos Típicos en Gestión Documental
| ID | Riesgo | Amenaza | Vulnerabilidad | Impacto |
|---|---|---|---|---|
| R01 | Fuga de información confidencial | Acceso no autorizado | Control de acceso débil | Alto |
| R02 | Pérdida de documentos | Falla de hardware, desastre | Backup inadecuado | Crítico |
| R03 | Alteración de documentos | Ataque interno/externo | Falta de integridad | Alto |
| R04 | Indisponibilidad del sistema | Ransomware, DDoS | Seguridad perimetral débil | Alto |
| R05 | Incumplimiento normativo | Retención inadecuada | Falta de TRD | Medio-Alto |
| R06 | Acceso a documentos eliminados | Eliminación incompleta | Proceso deficiente | Medio |
| R07 | Fuga por impresión | Impresión no controlada | Sin DLP de impresión | Medio |
| R08 | Suplantación de identidad | Phishing, credenciales robadas | Autenticación débil | Alto |
Matriz de Riesgos
Ejemplo de evaluacion:
Escala de Probabilidad: 1=Raro, 2=Improbable, 3=Posible, 4=Probable, 5=Casi seguro
Escala de Impacto: 1=Insignificante, 2=Menor, 3=Moderado, 4=Mayor, 5=Catastrofico
| Probabilidad / Impacto | 1 (Insignificante) | 2 (Menor) | 3 (Moderado) | 4 (Mayor) | 5 (Catastrofico) |
|---|---|---|---|---|---|
| 5 (Casi seguro) | Medio | Medio | Alto | Critico | Critico |
| 4 (Probable) | Bajo | Medio | Alto | Alto | Critico |
| 3 (Posible) | Bajo | Medio | Medio | Alto | Alto |
| 2 (Improbable) | Bajo | Bajo | Medio | Medio | Alto |
| 1 (Raro) | Bajo | Bajo | Bajo | Medio | Medio |
Evaluación de riesgos documentales:
| Riesgo | Prob. | Impacto | Nivel | Tratamiento |
|---|---|---|---|---|
| R01 Fuga información | 3 | 4 | Alto | Mitigar: DLP, cifrado, auditoría |
| R02 Pérdida documentos | 2 | 5 | Alto | Mitigar: Backup 3-2-1, DR |
| R04 Indisponibilidad | 3 | 4 | Alto | Mitigar: Redundancia, BCP |
| R08 Suplantación | 4 | 4 | Crítico | Mitigar: MFA, capacitación |
Implementación del SGSI
Fase 1: Planificación (2-3 meses)
Actividades:
1.1 Compromiso de la dirección:
- Aprobación del proyecto
- Asignación de recursos
- Designación de responsable de seguridad (CISO/RSI)
1.2 Definición del alcance:
Ejemplo de alcance para SGD:
"El Sistema de Gestión de Seguridad de la Información cubre
los procesos de recepción, almacenamiento, procesamiento,
distribución y eliminación de documentos gestionados a través
del Sistema de Gestión Documental [nombre], incluyendo la
infraestructura tecnológica de soporte, ubicada en [ubicación],
y el personal involucrado en estos procesos."
1.3 Análisis de contexto:
- Partes interesadas y sus requisitos
- Requisitos legales y regulatorios
- Factores internos y externos
1.4 Política de seguridad de la información:
Contenido mínimo:
- Compromiso con la seguridad de información
- Objetivos de seguridad
- Compromiso de cumplimiento legal
- Compromiso de mejora continua
- Aprobación de la alta dirección
Fase 2: Implementación (4-6 meses)
2.1 Evaluación de riesgos:
- Inventario de activos
- Identificación de amenazas y vulnerabilidades
- Análisis y evaluación de riesgos
- Plan de tratamiento de riesgos
2.2 Declaración de Aplicabilidad (SoA):
Documento que lista todos los controles del Anexo A indicando:
- Si aplica o no (con justificación si no aplica)
- Estado actual de implementación
- Responsable del control
Ejemplo parcial de SoA:
| Control | Descripción | Aplica | Estado | Responsable |
|---|---|---|---|---|
| A.5.1 | Políticas de seguridad | Sí | Implementado | CISO |
| A.5.9 | Inventario de activos | Sí | En progreso | IT |
| A.5.12 | Clasificación información | Sí | Implementado | Propietarios |
| A.7.1 | Perímetros físicos | Sí | Implementado | Facilities |
| A.8.5 | Autenticación segura | Sí | Parcial (falta MFA) | IT |
| A.8.24 | Uso de criptografía | Sí | Implementado | IT |
2.3 Implementación de controles:
Para cada control aplicable:
- Definir procedimiento/política
- Implementar solución técnica (si aplica)
- Documentar evidencia
- Capacitar personal
2.4 Documentación obligatoria:
| Documento | Cláusula ISO | Descripción |
|---|---|---|
| Alcance del SGSI | 4.3 | Límites del sistema |
| Política de seguridad | 5.2 | Compromiso de la dirección |
| Proceso de evaluación de riesgos | 6.1.2 | Metodología de riesgos |
| Proceso de tratamiento de riesgos | 6.1.3 | Criterios de tratamiento |
| Declaración de Aplicabilidad | 6.1.3 d) | Controles seleccionados |
| Objetivos de seguridad | 6.2 | Metas medibles |
| Registros de competencia | 7.2 | Capacitación del personal |
| Resultados de evaluación de riesgos | 8.2 | Análisis de riesgos |
| Resultados de tratamiento de riesgos | 8.3 | Acciones implementadas |
| Resultados de monitoreo | 9.1 | Métricas de seguridad |
| Programa de auditoría interna | 9.2 | Plan de auditorías |
| Resultados de auditoría interna | 9.2 | Hallazgos y acciones |
| Revisión por la dirección | 9.3 | Actas de revisión |
| No conformidades y acciones correctivas | 10.1 | Registro de incidentes |
Fase 3: Operación y Monitoreo (Continuo)
3.1 Métricas de seguridad para gestión documental:
| Métrica | Fórmula | Meta | Frecuencia |
|---|---|---|---|
| Incidentes de seguridad | Número de incidentes/mes | <3 | Mensual |
| Tiempo de detección de incidentes | Horas desde ocurrencia hasta detección | <4h | Por incidente |
| Documentos sin clasificar | % documentos sin etiqueta | <5% | Mensual |
| Usuarios con capacitación vigente | % usuarios capacitados | >95% | Trimestral |
| Cumplimiento de backups | % backups exitosos | 100% | Semanal |
| Accesos no autorizados bloqueados | Número de intentos bloqueados | Monitoreo | Diario |
| Disponibilidad del SGD | % uptime | >99.5% | Mensual |
3.2 Auditoría interna:
Frecuencia recomendada: Al menos anual (antes de auditoría de certificación)
Programa de auditoría:
- Año 1: Auditoría completa de todos los controles
- Año 2-3: Auditoría por muestreo + áreas de riesgo alto
Competencia del auditor interno:
- Conocimiento de ISO 27001
- Independencia del área auditada
- Formación en técnicas de auditoría (ISO 19011)
3.3 Revisión por la dirección:
Frecuencia: Al menos anual
Entradas:
- Estado de acciones de revisiones anteriores
- Cambios en contexto interno/externo
- Desempeño de seguridad (métricas)
- Resultados de auditorías
- Retroalimentación de partes interesadas
- Resultados de evaluación de riesgos
- Oportunidades de mejora
Salidas:
- Decisiones sobre mejora continua
- Necesidades de cambio en el SGSI
- Necesidades de recursos
Fase 4: Certificación (2-3 meses)
Proceso de certificación:
4.1 Selección de organismo certificador:
Organismos acreditados en Perú:
- Bureau Veritas Perú
- SGS del Perú
- TÜV Rheinland Perú
- BSI Group
- AENOR
Criterios de selección:
- Acreditación por INACAL (o equivalente internacional)
- Experiencia en el sector
- Disponibilidad de auditores
- Costo y condiciones comerciales
4.2 Auditoría de certificación:
Etapa 1 (documental):
- Revisión de documentación del SGSI
- Verificación del alcance
- Planificación de Etapa 2
- Duración: 1-2 días
Etapa 2 (in situ):
- Verificación de implementación de controles
- Entrevistas con personal
- Revisión de evidencias
- Duración: 3-5 días (según alcance)
4.3 Resultados posibles:
| Resultado | Significado | Acción |
|---|---|---|
| Certificación otorgada | Cumple requisitos | Mantener SGSI |
| No conformidad menor | Incumplimiento parcial | Corregir en plazo acordado |
| No conformidad mayor | Incumplimiento significativo | Auditoría de seguimiento |
| Certificación denegada | Múltiples NC mayores | Reimplementar y reaplicar |
Costos estimados de certificación:
| Concepto | Rango (empresa mediana) |
|---|---|
| Auditoría Etapa 1 + 2 | USD 4,000 - 8,000 |
| Auditorías de seguimiento (año 2 y 3) | USD 2,500 - 4,000 c/u |
| Auditoría de recertificación (año 3) | USD 3,500 - 6,000 |
| Total ciclo 3 años | USD 12,500 - 22,000 |
Casos de Implementación
Caso 1: Empresa de Servicios Financieros
Contexto:
- Empresa de créditos con 200 empleados
- 500,000 expedientes de clientes
- Regulación SBS exige seguridad de información
Alcance del SGSI:
- Sistema de gestión documental (expedientes de crédito)
- Sistemas core de créditos
- Infraestructura de soporte
Implementación:
- Duración: 8 meses
- Inversión: USD 85,000 (consultoría + herramientas + certificación)
Controles destacados:
- Cifrado de documentos en reposo y tránsito
- MFA para acceso al SGD
- DLP para prevención de fuga
- Clasificación automática de documentos
Resultados:
- Certificación ISO 27001 obtenida
- Cumplimiento SBS demostrado
- Incidentes de seguridad: 12/año → 2/año
- Ganó licitación por cumplir requisito ISO
Caso 2: Entidad Pública
Contexto:
- Ministerio con 1,500 empleados
- 2 millones de documentos digitalizados
- Información de ciudadanos (datos personales)
Alcance del SGSI:
- Sistema de Gestión Documental
- Archivo central digitalizado
- Mesa de partes virtual
Implementación:
- Duración: 12 meses (incluye capacitación masiva)
- Inversión: USD 150,000
Desafíos específicos:
- Resistencia al cambio de funcionarios
- Sistemas legacy sin soporte
- Presupuesto limitado
Soluciones:
- Capacitación intensiva (awareness campaigns)
- Controles compensatorios para sistemas legacy
- Priorización de controles por riesgo
Resultados:
- Cumplimiento de Ley 29733 documentado
- Reducción de 70% en incidentes de pérdida de documentos
- Mejora en auditorías de Contraloría
Costos de Implementación
Presupuesto por Tamaño de Organización
Empresa pequeña (50-100 empleados, SGD básico):
| Concepto | Costo Estimado |
|---|---|
| Consultoría implementación | USD 15,000 - 25,000 |
| Herramientas de seguridad | USD 5,000 - 10,000 |
| Capacitación personal | USD 3,000 - 5,000 |
| Auditoría interna | USD 2,000 - 3,000 |
| Certificación | USD 4,000 - 6,000 |
| Total | USD 29,000 - 49,000 |
Empresa mediana (100-500 empleados):
| Concepto | Costo Estimado |
|---|---|
| Consultoría implementación | USD 35,000 - 60,000 |
| Herramientas de seguridad | USD 15,000 - 30,000 |
| Capacitación personal | USD 8,000 - 15,000 |
| Auditoría interna | USD 4,000 - 6,000 |
| Certificación | USD 6,000 - 10,000 |
| Total | USD 68,000 - 121,000 |
Empresa grande (500+ empleados):
| Concepto | Costo Estimado |
|---|---|
| Consultoría implementación | USD 80,000 - 150,000 |
| Herramientas de seguridad | USD 40,000 - 100,000 |
| Capacitación personal | USD 20,000 - 40,000 |
| Auditoría interna | USD 8,000 - 15,000 |
| Certificación | USD 10,000 - 18,000 |
| Total | USD 158,000 - 323,000 |
Conclusión
La implementación de ISO 27001 en sistemas de gestión documental proporciona un marco estructurado para proteger información crítica. Los beneficios incluyen:
Beneficios inmediatos:
- Identificación y tratamiento de riesgos
- Procesos de seguridad documentados
- Cumplimiento normativo demostrable
Beneficios a largo plazo:
- Cultura de seguridad organizacional
- Mejora continua de controles
- Ventaja competitiva en el mercado
Factores críticos de éxito:
- Compromiso de la alta dirección
- Recursos adecuados (presupuesto, personal)
- Enfoque basado en riesgos
- Capacitación continua
- Integración con procesos existentes
En AyP Digital acompañamos a organizaciones en la implementación de ISO 27001 para gestión documental:
- Diagnóstico inicial (gap analysis) gratuito
- Consultoría de implementación del SGSI
- Evaluación de riesgos específica para gestión documental
- Implementación de controles técnicos y organizacionales
- Preparación para certificación y acompañamiento en auditoría
¿Su organización necesita proteger su información documental y demostrar cumplimiento normativo? Contáctenos para una evaluación inicial sin costo.
