El objetivo del modelo es facilitar la implantación y mantenimiento de un Sistema de Gestión de Seguridad de la Información (en adelante, SGSI) alineado con ISO/IEC 27001:2022 en pequeñas empresas que almacenan o procesan información confidencial o personal, pero no disponen de un departamento específico de seguridad de la información. Para ello, transforma los requisitos de la norma en un conjunto estructurado de fases, actividades, responsables, calendarios y evidencias que pueda integrarse en la operativa diaria de la organización sin generar una carga desproporcionada.
Para aplicar el modelo es necesario contar, como mínimo, con las funciones de Dirección, Responsable del SGSI, IT, Recursos Humanos, Administración y Operaciones, aunque no tengan que corresponder a departamentos formales ni a personas distintas. También se requiere una relación básica de los sistemas y servicios utilizados, acceso a la documentación interna relevante y una ubicación común donde conservar las evidencias generadas.
El alcance del modelo debe adaptarse a la realidad de cada organización. Antes de aplicar las fichas de actividad, es necesario identificar qué áreas, información, servicios, activos y ubicaciones quedan incluidos dentro del SGSI.
Como criterio general, deben incluirse todos los procesos, herramientas, personas, proveedores y activos que almacenen, procesen, transmitan o permitan acceder a información relevante para la organización. También deben incluirse los servicios externalizados cuando sean necesarios para la actividad diaria, como correo corporativo, almacenamiento cloud, aplicaciones SaaS, copias de seguridad, soporte IT o acceso remoto.
Para definir el alcance, se recomienda revisar al menos estos elementos:
Áreas incluidas
Dirección, Responsable del SGSI, IT, Recursos Humanos, Administración y Operaciones, o las funciones equivalentes existentes en la organización.
Información incluida
Información corporativa, información de clientes, datos personales, información contractual, documentación interna, registros del SGSI, credenciales y cualquier otra información necesaria para la actividad de la organización.
Servicios incluidos
Correo corporativo, almacenamiento compartido, aplicaciones cloud, herramientas SaaS, copias de seguridad, gestión de usuarios, soporte IT, conectividad remota y servicios tecnológicos prestados por terceros.
Activos incluidos
Ordenadores, portátiles, móviles corporativos, cuentas de usuario, dispositivos de red, soportes de almacenamiento, aplicaciones, servicios cloud y cualquier activo que permita tratar o acceder a información incluida en el SGSI.
Ubicaciones incluidas
Oficina principal, espacios donde se utilicen activos corporativos, entornos de trabajo remoto y servicios externos donde se almacene o procese información de la organización.
Controles no aplicables por defecto
El modelo considera no aplicables por defecto los siguientes controles del Anexo A de ISO/IEC 27001:2022, al estar normalmente vinculados a entornos de desarrollo de software, áreas físicas de alta seguridad o infraestructuras tecnológicas avanzadas que no suelen existir en una pequeña empresa de servicios.
A.7.6 - Trabajo en áreas seguras
No aplicable si la organización no dispone de salas técnicas restringidas, zonas de alta seguridad física o áreas especialmente protegidas.
A.8.4 - Acceso al código fuente
No aplicable si la organización no desarrolla software propio ni gestiona repositorios de código fuente.
A.8.14 - Redundancia de instalaciones de procesamiento de información
No aplicable si la organización no dispone de infraestructura propia redundante ni requiere alta disponibilidad avanzada mediante instalaciones duplicadas.
A.8.25 - Ciclo de vida de desarrollo seguro
No aplicable si la organización no desarrolla software o sistemas propios.
A.8.27 - Arquitectura segura y principios de ingeniería de sistemas
No aplicable si la organización no diseña ni desarrolla sistemas propios.
A.8.28 - Codificación segura
No aplicable si la organización no realiza programación interna.
A.8.29 - Pruebas de seguridad en desarrollo y aceptación
No aplicable si la organización no cuenta con procesos internos de desarrollo, pruebas y aceptación de software.
A.8.30 - Desarrollo externalizado
No aplicable si la organización no contrata desarrollo de software a terceros.
A.8.31 - Separación de entornos de desarrollo, prueba y producción
No aplicable si la organización no mantiene entornos diferenciados de desarrollo, pruebas y producción.
A.8.33 - Información de prueba
No aplicable si la organización no utiliza datos de prueba en entornos de desarrollo o testing.
A.8.34 - Protección de sistemas durante pruebas de auditoría
No aplicable si la organización no realiza pruebas técnicas de auditoría sobre sistemas operacionales propios.
Revisión de aplicabilidad
Estos controles se marcan como no aplicables por defecto, pero deben revisarse antes de cerrar el alcance. Si la organización realiza desarrollo de software, mantiene entornos técnicos complejos, dispone de áreas físicas restringidas o tiene requisitos avanzados de disponibilidad, alguno de estos controles puede pasar a ser aplicable.
Cualquier exclusión debe quedar justificada en la declaración de aplicabilidad o en el documento equivalente utilizado para definir el alcance del SGSI.
El modelo se organiza en tres fases de trabajo y un bloque de anexos.
Fase 1 - Planificación
Establece las bases del SGSI. En esta fase se definen los elementos mínimos necesarios para iniciar la implantación: política de seguridad, roles y responsabilidades, inventario de activos, normas básicas de uso, clasificación de la información, gestión de accesos y obligaciones iniciales del personal.
Fase 2 - Implantación
Aplica controles concretos sobre la operativa de la organización. En esta fase se implantan actividades relacionadas con proveedores, incidentes, privacidad, formación, seguridad física, protección de equipos, configuración técnica, copias de seguridad, redes, software y nuevas aplicaciones.
Fase 3 - Operación, seguimiento y mejora
Mantiene el SGSI en funcionamiento. En esta fase se ejecutan actividades de revisión, continuidad, monitorización, eliminación de información, protección de registros, filtrado, cifrado, gestión de cambios, responsabilidades tras bajas o cambios de puesto y revisión del cumplimiento.
Anexos
Incluye las plantillas necesarias para documentar las actividades y conservar evidencias: políticas, matrices, registros, checklists, procedimientos e informes.
Cada fase se divide por departamentos. En cada departamento se incluyen el calendario de ejecución, las fichas de actividad correspondientes y la checklist para el cierre de la fase.
Las fichas de actividad son la unidad principal del modelo. Cada ficha indica una acción concreta que debe realizarse para implantar, mantener o revisar un control del SGSI.
Cada ficha puede cubrir un único control o varios controles del Anexo A, siempre que sean consecutivos, pertenezcan a la misma categoría y puedan documentarse mediante una misma política, procedimiento, matriz, registro, checklist o informe.
Cada ficha incluye los siguientes campos:
ID
Código único de la actividad. El formato identifica la fase, el departamento encargado y el número de actividad dentro de esa fase.
Ejemplo: F1-SGSI-01
Actividad
Acción concreta que debe ejecutarse. Debe estar redactada de forma clara y práctica.
Ejemplo: Redactar, aprobar y comunicar la política de seguridad de la información
Referencia
Requisito o control de ISO/IEC 27001:2022 al que da respuesta la actividad.
Ejemplo: A.5.1 Políticas para la seguridad de la información
Requisitos previos
Condiciones que deben cumplirse antes de ejecutar la actividad. Si no existe ningún requisito previo real, se indica N/A.
Objetivo
Finalidad de la actividad. Explica qué se pretende conseguir con su ejecución.
Encargado
Persona o área que prepara, coordina o ejecuta la actividad.
Responsable
Persona que responde de que la actividad se realice y se cumpla correctamente.
Colaboradores
Personas o áreas que participan en la actividad. Si no hay colaboradores necesarios, se indica N/A.
Periodicidad
Frecuencia con la que debe realizarse la actividad: inicial, anual, trimestral, mensual, por incorporación, por baja, por cambio o por proyecto.
Resultados esperados
Resultado práctico que debe conseguirse al ejecutar la actividad.
Evidencia documental
Documento, registro, checklist, informe o comunicación que demuestra que la actividad se ha realizado.
Indicador de eficacia
Criterio que permite comprobar si la actividad se ha realizado correctamente y si el resultado esperado se ha conseguido.
Una ficha solo debe considerarse completada cuando se haya ejecutado la actividad, se haya generado la evidencia documental indicada, se haya comprobado el indicador de eficacia y se haya marcado como completada en la checklist de la fase.
El modelo debe utilizarse de forma secuencial, siguiendo el orden Fase 1 -> Checklist de Fase 1 -> Fase 2 -> Checklist de Fase 2 -> Fase 3 -> Checklist de Fase 3.
Primero, cada departamento debe leer esta guía de uso y revisar las actividades que tiene asignadas en la Fase 1. Después, debe ejecutar cada ficha según el calendario indicado, generar la evidencia documental correspondiente y guardarla en la ubicación definida para el SGSI.
Al terminar la Fase 1, debe completarse la checklist de cierre de la fase. Esta checklist sirve para comprobar que todas las fichas previstas se han ejecutado, que las evidencias existen, que los indicadores de eficacia se han revisado y que no quedan tareas críticas pendientes antes de pasar a la Fase 2.
El mismo proceso se repite en la Fase 2. Cada departamento ejecuta sus fichas, genera las evidencias indicadas y completa la checklist de cierre antes de avanzar a la Fase 3.
La Fase 3 funciona como ciclo de operación, seguimiento y mejora. Sus actividades deben ejecutarse según la periodicidad indicada en cada ficha. La checklist de Fase 3 debe utilizarse en cada ciclo de revisión para comprobar que las actividades recurrentes se han realizado, que las evidencias están actualizadas y que las desviaciones tienen una acción asignada.
Las plantillas incluidas en Anexos deben utilizarse cuando la ficha indique una evidencia documental basada en un documento, matriz, registro, checklist, procedimiento o informe.