Guía De Implementación ISO/IEC 27002 Para Microempresas

1. Introducción Y Propósito De La Guía

1.a) ¿Por qué la seguridad de la información importa a una microempresa?

Existe un mito muy extendido en el tejido empresarial: "Mi empresa es demasiado pequeña como para que un ciberdelincuente se fije en ella". La realidad en el panorama actual demuestra lo contrario. Los ataques automatizados, el ransomware y las campañas de phishing masivas no discriminan el tamaño de la organización ni la facturación; buscan vulnerabilidades explotables.

Para una microempresa, la pérdida de control sobre sus datos no es solo un contratiempo operativo, sino una amenaza existencial. Un incidente de seguridad menor puede desencadenar consecuencias devastadoras:

• Impacto Financiero Directo: Pérdida de flujos de caja por interrupción de la operación, costos de recuperación de sistemas o posibles extorsiones por secuestro de datos.

• Daño Reputacional Inmediato: La confianza de los clientes es el activo más difícil de construir y el más fácil de destruir. Saber que sus datos personales o comerciales fueron expuestos destruye la lealtad de marca.

• Sanciones Legales y Regulatorias: Las leyes de protección de datos personales vigentes imponen severas multas a cualquier entidad que custodie información de terceros y sufra brechas por negligencia o falta de controles básicos.

La seguridad de la información no es un lujo técnico reservado para las corporaciones multinacionales; es un pilar de sostenibilidad y continuidad de negocio para la microempresa.

1.b) El mito del presupuesto inalcanzable

Muchos microempresarios asocian la ciberseguridad con inversiones astronómicas en hardware especializado, licenciamiento de software propietario y la contratación de un departamento entero de ingenieros. Esta percepción errónea suele paralizar las iniciativas de protección.

La norma ISO/IEC 27002:2022 no exige una marca específica de tecnología ni un gasto mínimo de dinero. Lo que la norma propone es la adopción de buenas prácticas, procesos lógicos y configuraciones correctas. Para una microempresa, alcanzar un nivel óptimo de cumplimiento es perfectamente viable mediante:

1. Higiene Digital: Modificaciones en el comportamiento y hábitos del equipo de trabajo (por ejemplo, el uso estricto de contraseñas robustas y el principio de menor privilegio).

2. Optimización de Recursos Existentes: Activación y configuración adecuada de características de seguridad que ya vienen incluidas de manera gratuita en los sistemas operativos actuales (como cortafuegos locales y herramientas nativas de cifrado).

3. Adopción de Software Libre (Open Source): El ecosistema de código abierto ofrece soluciones maduras, estables y de nivel empresarial para backups, cortafuegos perimetrales y monitoreo, eliminando por completo el costo de licenciamiento comercial.

La inversión inicial más importante para una microempresa no se mide en dinero, sino en organización, cultura y disciplina.

1.c) Cómo usar esta guía: La ruta del avance trimestral progresivo

Esta guía ha sido diseñada para ser un mapa de ruta práctico y realista. En lugar de intentar implementar los 93 controles de la norma ISO/IEC 27002:2022 de manera simultánea —lo cual desbordaría la capacidad operativa y financiera de cualquier equipo pequeño—, el documento propone un Plan de Implementación Trimestral a un Año.

La estrategia se basa en un enfoque de madurez progresiva:

Cada trimestre agrupa un conjunto seleccionado de controles críticos que preparan el terreno para la siguiente fase. El microempresario avanzará desde las políticas documentales básicas y la concientización en el primer trimestre, hasta la arquitectura de red y el monitoreo avanzado en el último tramo del año, permitiendo amortizar los esfuerzos de tiempo y dinero a lo largo del proceso.

1.d) El rol de tu aliado experto: Skina IT Solutions

Aunque esta guía está estructurada con un enfoque práctico y auto-ejecutable para que la organización asuma el liderazgo de su propia seguridad, existen ciertos hitos del camino donde la falta de experiencia técnica especializada puede ralentizar el avance o dar una falsa sensación de seguridad (como configurar erróneamente una regla en el cortafuegos o diseñar una política de copias de seguridad que falle al momento de restaurarse).

Para garantizar el éxito de este proyecto, Skina IT Solutions se posiciona como el aliado estratégico de la microempresa a lo largo de este viaje de cumplimiento:

• Cultura y Mitigación del Factor Humano: Durante las fases iniciales, la primera barrera defensiva depende de las personas. Skina IT Solutions ofrece servicios especializados de Capacitación al Personal en Ciberseguridad, transformando el desconocimiento de los empleados en una ventaja táctica mediante talleres prácticos dirigidos al entorno empresarial real.

• Consultoría Técnica y Aseguramiento: En los trimestres avanzados, cuando se requiere desplegar arquitecturas lógicas complejas, segmentación de redes, implementación de soluciones basadas en Software Libre o auditorías de código seguro, los servicios de Consultoría en Seguridad de Skina IT Solutions proveen el conocimiento de ingeniería necesario para validar que cada control técnico cumpla estrictamente con el estándar internacional, optimizando al máximo la infraestructura tecnológica de la empresa.

El microempresario ejecuta el plan a su propio ritmo, con la tranquilidad de contar con el respaldo de un equipo experto listo para intervenir en las áreas de mayor complejidad técnica.

2. Fundamentos De La Norma ISO/IEC 27002:2022

Para que una microempresa pueda proteger sus activos sin ahogarse en tecnicismos, es fundamental comprender la lógica detrás de la norma. La ISO/IEC 27002:2022 no es una ley rígida, sino un catálogo de buenas prácticas internacionales diseñado para ser adaptable. No le dice a la empresa qué software comprar, sino qué objetivo de seguridad debe alcanzar.

2.a) Los 4 pilares fundamentales (Temas)

La versión 2022 de la norma simplificó drásticamente su estructura, organizando sus 93 controles en 4 grandes temas. Esta división facilita que un microempresario distribuya las tareas entre las diferentes áreas de su negocio (administración, talento humano, operaciones y tecnología):

• Controles Organizacionales (37 controles): Se refieren a la estrategia, las políticas, los contratos y la forma en que la empresa gestiona la seguridad desde la gerencia. Para una microempresa, esto se traduce en definir quién es responsable de qué y dejar las reglas claras por escrito.

• Controles de Personas (8 controles): Abordan el ciclo de vida de los empleados y contratistas: desde antes de contratarlos, durante su permanencia y tras su retiro. Su objetivo es evitar errores humanos o acciones maliciosas.

• Controles Físicos (14 controles): Protegen los entornos tangibles donde residen los datos. Esto incluye las oficinas, los archivadores, los computadores locales y las instalaciones eléctricas o de red.

• Controles Tecnológicos (34 controles): Se centran en las soluciones de software, hardware y configuraciones de red que defienden activamente los sistemas de información (cifrado, autenticación, antivirus, cortafuegos).

2.b) La Tríada CID: El núcleo de la seguridad

Toda acción, política o herramienta tecnológica que se implemente bajo la norma ISO 27002 persigue proteger una o más de las tres dimensiones que componen la Tríada CID. Si uno de estos tres elementos falla, la información pierde su valor estratégico o expone al negocio a graves crisis:

Confidencialidad

Asegura que la información sea accesible únicamente por las personas autorizadas.

• El riesgo: Que un tercero, un competidor o un empleado sin autorización acceda a la base de datos de tus clientes, las fórmulas de tus productos o el código fuente de tu software.

• Control asociado: Cifrado de archivos y asignación estricta de permisos de usuario.

Integridad

Garantiza que la información se mantenga exacta, completa y veraz desde su creación hasta su almacenamiento.

• El riesgo: Que un atacante modifique los saldos de una base de datos contable, altere las líneas de código de una aplicación en producción o que un fallo en el disco duro corrompa los contratos de la empresa.

• Control asociado: Control de versiones, firmas digitales y registros de auditoría (logging).

Disponibilidad

Garantiza que los usuarios autorizados tengan acceso a la información y a los sistemas asociados oportunamente para operar el negocio.

• El riesgo: Un ataque de Ransomware que secuestre los servidores, un corte de energía prolongado o la pérdida de conexión a internet que impida facturar o atender a los clientes.

• Control asociado: Copias de seguridad automatizadas, planes de contingencia y redundancia de servicios.

2.c) Gestión del Riesgo Básica para Microempresas

La ISO 27002 no exige que protejas todo con el mismo nivel de fuerza. Hacerlo sería económicamente inviable para una microempresa. La norma promueve un enfoque basado en el riesgo: invierte más recursos donde el impacto de una pérdida sea fatal, y menos donde el impacto sea despreciable.

Para realizar una gestión de riesgos simplificada en una microempresa, se deben seguir tres pasos:

Identificación de Activos Críticos

Haz una lista de lo que si se pierde, destruye o filtra, detiene tu operación o te quiebra. Ejemplos comunes en una microempresa:

• La base de datos de clientes y facturación.

• El código fuente del software que desarrollas (propiedad intelectual).

• Las credenciales de acceso a las cuentas bancarias y pasarelas de pago.

• Los computadores portátiles del equipo de soporte o ventas.

Evaluación de Amenazas y Vulnerabilidades

Pregúntate qué podría salir mal con cada activo técnico o humano:

1. ¿Qué pasa si le roban el portátil al ingeniero de desarrollo? (Amenaza: Robo / Vulnerabilidad: El disco no está cifrado y no tiene contraseña fuerte).

2. ¿Qué pasa si un empleado abre un archivo adjunto malicioso? (Amenaza: Malware / Vulnerabilidad: Falta de capacitación en el equipo).

Priorización y Mitigación

Calcula el riesgo combinando la probabilidad de que pase y el impacto financiero/operativo que causaría. Los riesgos que resulten "Altos" o "Críticos" son los primeros que atacaremos en el Trimestre 1 (Q1) de nuestro plan, utilizando controles de bajo costo pero de enorme efectividad. Aquellos riesgos menores o que requieran inversiones de capital avanzadas se programarán estratégicamente para los trimestre finales (Q3 y Q4).

2.d) El concepto de Atributos: El lenguaje moderno de la norma

Una de las grandes innovaciones de la versión ISO/IEC 27002:2022 es la inclusión de Atributos para cada control. Los atributos son etiquetas numéricas y temáticas que permiten clasificar los controles desde diferentes perspectivas. Para un microempresario, el atributo más útil es el de Conceptos de Ciberseguridad, el cual alinea la norma con los marcos internacionales más modernos (como el NIST Framework):

Atributo de Ciberseguridad	¿Qué significa para la microempresa?	Ejemplo de Control
Identificar (Identify)	Saber con precisión qué recursos, datos y riesgos tiene el negocio.	Inventario de Activos (5.9)
Proteger (Protect)	Poner barreras para evitar que ocurra un incidente de seguridad.	Uso de Criptografía (8.24)
Detectar (Detect)	Darse cuenta rápidamente cuando algo extraño o malicioso está pasando.	Registro de Eventos (8.15)
Responder (Respond)	Actuar de forma ordenada para detener y contener un ataque en curso.	Gestión de Incidentes (5.24)
Recuperar (Recover)	Restaurar la operación normal y los datos tras haber sufrido un impacto.	Copias de Seguridad (8.13)

Al entender estos fundamentos, la microempresa deja de ver la norma como un manual de cumplimiento burocrático y pasa a verla como una herramienta táctica para asegurar su crecimiento en el mercado digital.

3. Plan De Implementación Trimestral

El éxito de este plan radica en la constancia y en entender que la seguridad de la información es un proceso de mejora continua, no un destino estático. Al segmentar la norma en una ruta anual, la microempresa puede asimilar los cambios operativos y culturales de manera orgánica, evitando la parálisis por análisis que suele ocurrir al intentar abordar los 93 controles de forma simultánea. Cada trimestre ha sido diseñado para generar victorias tempranas, donde el cierre de brechas críticas justifique el esfuerzo y prepare la infraestructura técnica y organizacional para los desafíos de la siguiente fase.

Para garantizar la viabilidad financiera, el cronograma sigue una lógica de inversión inversa: comenzamos explotando al máximo las capacidades ya existentes en la empresa y el potencial del software libre, dejando las inversiones en dinero sustancial para los trimestres finales, cuando el negocio ya posea una estructura madura. Ningún trimestre es independiente del anterior; por el contrario, los cimientos de políticas y hábitos que se construyen al inicio del año de trabajo son los que permitirán que las herramientas tecnológicas avanzadas que se adquieran después funcionen con verdadera eficacia y no se conviertan en un gasto inútil.

Antes de ejecutar las acciones de cada periodo, la gerencia debe designar a un líder de implementación interno que, aunque no tenga un perfil estrictamente técnico, actúe como doliente del proceso y custodie los avances documentales y operativos. Asimismo, es el momento ideal para mapear los canales de comunicación con Skina IT Solutions, asegurando que el equipo de trabajo sepa en qué controles específicos puede avanzar con total autonomía y en cuáles requerirá activar las horas de acompañamiento de consultoría o capacitación externa para validar que el estándar se esté cumpliendo con rigor internacional.

3.a) Trimestre 1 (Q1): Cimientos, "Higiene Digital" y Políticas de Costo Cero

El primer trimestre tiene un objetivo fundamental: cerrar las brechas de seguridad más críticas y comunes utilizando recursos que la microempresa ya posee. En esta etapa no realizaremos inversiones en software comercial ni en hardware. Nos enfocaremos en organizar la casa por escrito, mapear lo que tenemos, transformar los hábitos del equipo de trabajo y asegurar los accesos lógicos mediante configuraciones nativas a costo cero.

1. Controles Organizacionales y de Gestión

Control 5.1: Políticas para la seguridad de la información

• Objetivo de la norma: Definir la postura de la gerencia frente a la seguridad y guiar el comportamiento de toda la organización mediante reglas claras.

• Paso a paso para la microempresa:

  • Familiarizarse con la documentación que comparte gratuitamente el instituto nacional de ciberseguridad español INCIBE “Políticas de seguridad para la PyME” localizada en: https://www.incibe.es/empresas/herramientas/politicas

  • Inspirándose en ésos documentos, redactar un documento de máximo dos páginas titulado "Política General de Seguridad de la Información".

  • Establecer allí las reglas del juego: el uso obligatorio de contraseñas individuales, la prohibición de instalar software pirata o no autorizado, el deber de bloquear la sesión del computador al levantarse del puesto y la obligación de reportar de inmediato cualquier pérdida de un dispositivo o sospecha de virus.

  • El documento debe ser firmado por la gerencia y socializado formalmente con todo el equipo, preferiblemente adjuntándolo como un anexo firmado al contrato laboral o de prestación de servicios.

Control 5.9: Inventario de activos de información y otros asociados

• Objetivo de la norma: Saber con precisión qué información y qué elementos tecnológicos tiene la empresa para poder protegerlos adecuadamente. No se puede defender lo que no se sabe que existe.

• Paso a paso para la microempresa:

  • Crear una hoja de cálculo simple (en local o en una nube segura) con tres pestañas: Hardware (computadores, servidores, routers, indicando marca, serial y responsable), Software (sistemas operativos, herramientas de oficina, aplicaciones de facturación, bases de datos) e Información (archivos de clientes, código fuente, estados financieros).

  • Clasificar cada elemento según su nivel de criticidad para el negocio (Baja, Media, Alta) pensando en preguntas como:

    • ¿qué pasa si se filtra ésta información? (confidencialidad).

    • ¿puedo tomar decisiones basándome en ésta información si no es confiable? (integridad).

    • ¿cual es el impacto de que se pierda ésta información? (disponibilidad).

    Este inventario será la brújula para los siguientes trimestres, indicando qué equipos requieren prioridad al configurar copias de seguridad o parches de actualización.

Controles de Personas: El Factor Humano

Control 6.3: Concientización, educación y capacitación en seguridad de la información

• Objetivo de la norma: Dotar al personal de los conocimientos necesarios para que comprendan sus responsabilidades y aprendan a detectar amenazas cotidianas como el phishing (correos falsos), el malware o los intentos de engaño telefónico (ingeniería social).

• Paso a paso para la microempresa:

  • Iniciar con campañas informativas internas breves: enviar un boletín mensual por correo o un mensaje en el grupo de trabajo con tips prácticos sobre cómo identificar un correo falso (revisar el remitente real, desconfiar de la urgencia extrema, no descargar archivos adjuntos inesperados).

  • Establecer un protocolo de inducción en seguridad para cada persona nueva que ingrese al equipo, explicándole la política del Control 5.1 desde su primer día.

Punto de Apoyo Estratégico con Skina IT Solutions: Aunque la microempresa puede difundir recomendaciones básicas, el eslabón más débil ante los atacantes siempre serán las personas despistadas o poco informadas. Diseñar un cambio cultural que realmente impacte los hábitos del equipo requiere un enfoque pedagógico y técnico especializado. Skina IT Solutions ofrece programas llave en mano de Capacitación al Personal en Ciberseguridad, con talleres diseñados para el entorno de microempresas y simulaciones de ataques reales que entrenan los ojos de tus empleados, convirtiéndolos en un escudo defensivo humano en lugar de una puerta abierta para los delincuentes.

Controles Tecnológicos Inmediatos (Configuraciones Nativas)

Controles 8.2 y 8.5: Derechos de acceso y autenticación segura

• Objetivo de la norma: Garantizar que cada empleado acceda solo a las herramientas indispensables para cumplir con sus funciones diarias (principio de menor privilegio) y que los mecanismos de entrada sean robustos para impedir accesos no autorizados.

• Paso a paso para la microempresa:

  • Eliminar cuentas genéricas: Está rotundamente prohibido que tres personas compartan el mismo usuario y contraseña para entrar al sistema contable o al panel de administración. Cada persona debe tener su propia cuenta para asegurar la trazabilidad de las acciones.

• Configurar privilegios mínimos: Un empleado del área de ventas no debe tener permisos de administrador en su computador ni acceso a las carpetas lógicas de desarrollo o contabilidad. Si no lo necesita para su labor diaria, se le revoca el acceso.

• Fortalecer contraseñas y activar MFA: Configurar en todas las plataformas posibles (correo corporativo, herramientas en la nube) la obligatoriedad de contraseñas de mínimo 12 caracteres que combinen mayúsculas, minúsculas, números y símbolos. Activar de forma obligatoria el Factor de Doble Autenticación (MFA/2FA) gratuito utilizando aplicaciones móviles como Google Authenticator o Microsoft Authenticator. Esto frena el 99% de los ataques de robo de identidad.

Control 8.24: Uso de criptografía

• Objetivo de la norma: Proteger la confidencialidad de la información confidencial mediante el uso de herramientas de cifrado, de modo que si un dispositivo es robado o extraviado, los datos sean totalmente ilegibles para terceros.

• Paso a paso para la microempresa:

  • Cifrado de almacenamiento local (Discos duros): Aprovechar las herramientas gratuitas que vienen integradas de forma nativa en los sistemas operativos modernos. Para computadores con Windows Pro, activar BitLocker. Para equipos de desarrollo o administrativos basados en distribuciones Linux, cerciorarse de utilizar LUKS/dm-crypt en el proceso de instalación para cifrar las particiones de disco. En computadores Mac, activar FileVault. Con esto, si un portátil es robado en un café o un transporte público, nadie podrá extraer la información del disco duro.

  • Cifrado en tránsito (Web y datos): Asegurar que todas las herramientas web internas o portales de la empresa utilicen de forma estricta conexiones seguras mediante el protocolo HTTPS con certificados SSL/TLS vigentes (los cuales se pueden obtener a costo cero mediante autoridades certificadoras libres como Let's Encrypt).

Lista de Verificación (Checklist) de Cierre para el Q1

Para dar por terminado de forma exitosa este primer trimestre, la gerencia de la microempresa debe certificar que se han completado los siguientes entregables:

• [ ] Documento de Política General de Seguridad de la Información redactado, firmado y divulgado al 100% del personal.

• [ ] Matriz de Inventario de Activos (Hardware, Software e Información) diligenciada por completo.

• [ ] Cuentas compartidas eliminadas y Factor de Doble Autenticación (MFA) activo en los correos y sistemas críticos.

• [ ] Discos duros de todos los portátiles de la empresa cifrados con las herramientas nativas del sistema operativo.

• [ ] Programación del taller de concientización coordinado con el equipo experto de Skina IT Solutions.

3.b) Trimestre 2 (Q2): Protección de Dispositivos (Endpoints) y Resiliencia del Negocio

Con los cimientos organizacionales y las políticas de acceso del primer trimestre asentadas, el segundo trimestre se enfoca en blindar los dispositivos de trabajo (endpoints) contra ataques de software malicioso y en garantizar la continuidad de la operación ante desastres informáticos. En esta fase, la microempresa implementará controles técnicos críticos para neutralizar amenazas destructivas como el Ransomware (secuestro de datos), optimizando las herramientas existentes y adoptando metodologías de respaldo inexpugnables.

Seguridad Operacional y de Dispositivos

Control 8.7: Protección contra malware

• Objetivo de la norma: Evitar que software malicioso (virus, troyanos, ransomware, spyware) se ejecute en los equipos de la empresa, comprometa la información o se propague por la red interna.

• Paso a paso para la microempresa:

  • Aprovechar defensas nativas: Si la empresa utiliza sistemas Windows, asegurarse de que Microsoft Defender esté activo, actualizado diariamente y configurado con la protección en tiempo real y la protección basada en la nube encendidas. En distribuciones Linux de escritorio, implementar herramientas de escaneo y endurecimiento (hardening) del sistema operativo.

  • Restringir la instalación de software: Modificar los permisos de los usuarios en sus sistemas operativos para que operen bajo cuentas estándar y no de administrador. Esto evita que, si un empleado ejecuta por error un archivo malicioso, este tenga los privilegios necesarios para instalarse en el sistema profundo.

  • Bloqueadores de publicidad y filtrado DNS: Instalar extensiones de navegación reputadas (como uBlock Origin) en los navegadores web del personal para bloquear anuncios maliciosos (malvertising) y ventanas emergentes que suelen redirigir a sitios de descarga de virus.

Control 8.8: Gestión de vulnerabilidades técnicas

• Objetivo de la norma: Corregir los fallos de seguridad (bugs) detectados en los sistemas operativos y aplicaciones antes de que los ciberdelincuentes los utilicen para tomar el control de los equipos.

• Paso a paso para la microempresa:

  • Automatizar actualizaciones: Configurar los sistemas operativos (Windows Update o los gestores de paquetes automáticos en Linux como dnf-automatic o unattended-upgrades) para que descarguen e instalen los parches de seguridad de forma automática fuera de la jornada laboral.

  • Actualizar software crítico de terceros: Crear una directiva que exija la actualización inmediata de navegadores web (Chrome, Firefox), clientes de correo, entornos de ejecución (Java, .NET) y herramientas de oficina. Los atacantes suelen explotar vulnerabilidades en aplicaciones desactualizadas para vulnerar el equipo entero.

Continuidad del Negocio y Protección de Datos

Control 8.13: Copias de seguridad / Backups

• Objetivo de la norma: Mantener copias exactas y actualizadas de la información crítica para poder restaurar la operación del negocio de manera rápida y completa en caso de un ataque informático, daño de hardware o error humano.

  Para que una estrategia de backup sea verdaderamente efectiva en una microempresa, se debe implementar de forma estricta la Regla 3-2-1:

• Paso a paso para la microempresa:

  • Mapear los datos a respaldar: Utilizando el inventario del Control 5.9 (Q1), identificar las carpetas específicas que contienen bases de datos, código fuente, documentos contables y archivos de clientes. No se gasta espacio respaldando archivos temporales del sistema operativo.

  • Automatización y cifrado: Utilizar herramientas que automaticen el proceso para eliminar el error humano de "olvidar conectar el disco". Se pueden aprovechar herramientas integradas o utilidades libres de nivel profesional que cifren los datos antes de salir del computador.

  • Aislamiento técnico (Air-gapping): El ransomware moderno está diseñado para buscar y borrar los backups que encuentre conectados a la red local. Por lo tanto, el repositorio final de respaldo debe ser inmutable o permanecer estrictamente desconectado de la red de producción una vez finalice la copia.

Punto de Apoyo Estratégico con Skina IT Solutions: El error más catastrófico que cometen las microempresas no es no hacer backups, sino descubrir que sus backups no funcionan el día que intentan restaurarlos. Diseñar una arquitectura de copias de seguridad automatizada, cifrada, resistente al ransomware y que cumpla con los tiempos de recuperación que el negocio exige es una tarea técnica de alta precisión. Mediante sus servicios de Consultoría en Seguridad, Skina IT Solutions audita, diseña e implementa tu estrategia de resiliencia empresarial. El equipo experto de Skina se encarga de configurar repositorios seguros y realizar pruebas controladas de restauración, dándole a la gerencia la certeza matemática de que su negocio podrá levantarse en cuestión de horas ante cualquier contingencia o secuestro de información.

Lista de Verificación (Checklist) de Cierre para el Q2

Al finalizar este periodo, la microempresa debe validar el cumplimiento técnico de los siguientes hitos:

• [ ] Cuentas de usuario configuradas como "Usuarios Estándar" (sin permisos de administración local) en todos los computadores de la empresa.

• [ ] Antivirus/Microsoft Defender activo y actualizándose automáticamente en el 100% de los endpoints.

• [ ] Directiva de actualizaciones automáticas del sistema operativo y navegadores web activada e implementada.

• [ ] Estrategia de Backup 3-2-1 diseñada, con herramientas de automatización configuradas.

• [ ] Primera prueba de restauración de datos ejecutada con éxito y validada bajo la asesoría de Skina IT Solutions.

3.c) Trimestre 3 (Q3): Seguridad Perimetral, Control Físico y Relación con Terceros

En este tercer trimestre, la guía eleva el alcance de la seguridad más allá de los dispositivos individuales. El objetivo central es controlar los canales por donde viaja la información y los entornos donde se procesa. Blindaremos el perímetro lógico de la red de la microempresa mediante soluciones de código abierto de nivel corporativo, definiremos reglas claras de seguridad física para las oficinas o entornos de teletrabajo y cerraremos las brechas legales e informáticas que representan los proveedores externos y contratistas.

Seguridad de Red y Conectividad (Perímetro Lógico)

Control 8.20: Seguridad de los servicios de red

• Objetivo de la norma: Proteger la red interna de la empresa contra intrusiones externas, interceptación de datos y accesos no autorizados, garantizando la confidencialidad y la disponibilidad del tráfico de datos.

• Paso a paso para la microempresa:

  • Reemplazar el enrutador doméstico: Los routers comerciales que entregan los proveedores de internet (ISP) no tienen la capacidad de procesamiento ni las funciones de seguridad necesarias para proteger un entorno empresarial.

  • Implementar un Firewall de Código Abierto: Aprovechar hardware existente o un equipo dedicado de bajo costo para instalar soluciones robustas de software libre como pfSense o OPNsense. Estas plataformas actúan como un escudo perimetral sin costo de licenciamiento, permitiendo filtrar el tráfico de internet entrante y saliente.

  • Segmentación básica de red: Configurar redes separadas (VLANs) para aislar los flujos de datos. Por ejemplo, los computadores de desarrollo y servidores locales deben estar en una red totalmente distinta a la red Wi-Fi que se le ofrece a las visitas o clientes de la oficina.

  • Accesos remotos seguros: Desactivar por completo la exposición directa de puertos a internet (como el escritorio remoto o SSH sin protección). Para el personal que realiza teletrabajo, implementar túneles cifrados mediante VPNs seguras y modernas como WireGuard o OpenVPN, integradas de manera gratuita en el firewall perimetral.

Punto de Apoyo Estratégico con Skina IT Solutions: Configurar la arquitectura de red, definir reglas estrictas en un cortafuegos perimetral e implementar túneles VPN sin dejar brechas que un atacante pueda explotar es una tarea que requiere ingeniería de seguridad avanzada. Un error de configuración en el firewall puede dejar expuesta toda la base de datos de la empresa a internet. A través de sus servicios de Consultoría Avanzada, Skina IT Solutions diseña, despliega y asegura la infraestructura de red de tu microempresa. Utilizando el máximo potencial del Software Libre, el equipo de ingeniería de Skina se encarga del hardening (endurecimiento) de tus conexiones y del montaje de firewalls perimetrales, garantizando un entorno de conectividad inmune a escaneos de puertos e intrusiones externas.

Controles Físicos y del Entorno de Trabajo

Controles 7.1 y 7.2: Perímetros de seguridad física y seguridad de las oficinas

• Objetivo de la norma: Impedir el acceso físico no autorizado, daños e interferencias a las instalaciones y a la infraestructura tecnológica de la empresa.

• Paso a paso para la microempresa:

  • Control de acceso físico básico: Mantener las puertas de la oficina cerradas con llave o controles biométricos sencillos. Registrar formalmente la entrega de llaves o tarjetas de acceso a los empleados.

  • Ubicación de equipos críticos: Si la empresa cuenta con un servidor local, un sistema de almacenamiento NAS o el switch central de red, estos no deben estar en el pasillo ni en la recepción. Deben ubicarse en un cuarto o gabinete cerrado con llave, con ventilación adecuada y acceso restringido solo al personal técnico autorizado.

  • Política de escritorio limpio y pantalla limpia (Control 7.7): Obligar al personal a no dejar documentos confidenciales impresos (como contratos o nóminas) sobre los escritorios al terminar la jornada. Asimismo, configurar el bloqueo automático de pantalla en todos los computadores tras un máximo de 5 minutos de inactividad.

Gestión de Terceros (Proveedores y Contratistas)

Control 5.19: Seguridad de la información en las relaciones con proveedores

• Objetivo de la norma: Asegurar que los datos de la empresa a los que tienen acceso los proveedores externos (contadores públicos, agencias de marketing, desarrolladores freelance o servicios de hosting) se mantengan protegidos bajo los mismos estándares de la organización.

• Paso a paso para la microempresa:

  • Acuerdos de Confidencialidad (NDA): Antes de entregar accesos a los sistemas o compartir bases de datos con un tercero, firmar un acuerdo legal de confidencialidad vinculante.

  • Cláusulas de ciberseguridad en contratos: Incluir en los contratos de prestación de servicios cláusulas básicas donde el proveedor se comprometa a: utilizar software legal, mantener sus equipos actualizados, no almacenar contraseñas de la microempresa en texto plano y notificar de inmediato si sufre una brecha de seguridad que pueda salpicar a los datos de la organización.

  • Accesos temporales y auditados: Si un proveedor externo requiere soporte en un servidor o plataforma, se le otorgan credenciales temporales que se desactivarán inmediatamente al finalizar la labor. Jamás se le entregan las contraseñas principales de administración del negocio.

Lista de Verificación (Checklist) de Cierre para el Q3

Al finalizar este trimestre, la gerencia de la microempresa debe validar que se han cumplido los siguientes hitos operativos:

• [ ] Firewall perimetral (pfSense / OPNsense) instalado, configurado y aislando la red corporativa de conexiones externas no autorizadas.

• [ ] Red Wi-Fi de invitados totalmente aislada y separada de la red donde operan los computadores de la empresa.

• [ ] Conexiones de teletrabajo protegidas obligatoriamente mediante túneles cifrados VPN (WireGuard o OpenVPN).

• [ ] Equipos críticos de red y servidores ubicados en un área física restringida bajo llave.

• [ ] El 100% de los contratistas y proveedores externos con acceso a datos han firmado Acuerdos de Confidencialidad (NDA).

3.d) Trimestre 4 (Q4): Monitoreo Activo, Desarrollo Seguro y Gestión de Incidentes

El último trimestre del plan de implementación consolida la estrategia de seguridad de la microempresa, llevándola de una postura puramente defensiva a una de visibilidad, reacción y mejora continua. En esta fase final, la organización aprenderá a escuchar lo que ocurre en sus sistemas para detectar anomalías antes de que causen daño, blindará su línea de producción digital mediante prácticas de codificación segura (vital para empresas que desarrollan software) y definirá un protocolo ágil para contener y recuperarse de un ataque cibernético de manera profesional.

Monitoreo y Visibilidad del Entorno Técnico

Control 8.15: Registro de eventos / Logging

• Objetivo de la norma: Recolectar y almacenar de forma segura los registros de actividad (logs) generados por los sistemas operativos, aplicaciones y redes para permitir la auditoría técnica y el rastreo de cualquier comportamiento sospechoso.

• Paso a paso para la microempresa:

  • Activar el registro en puntos críticos: Asegurar que los servidores de bases de datos, paneles de administración web y el firewall perimetral (pfSense/OPNsense configurado en el Q3) tengan encendido el registro de eventos de autenticación (intentos de inicio de sesión fallidos y exitosos).

  • Centralización básica de logs: Los atacantes, al vulnerar un sistema, lo primero que hacen es borrar los logs locales para ocultar sus huellas. Utilizar utilidades nativas de Software Libre (como un servidor remoto syslog dedicado) para enviar copias de estos registros en tiempo real a una máquina independiente y aislada de la red común.

Control 8.16: Actividades de supervisión

• Objetivo de la norma: Analizar los sistemas de forma continua para detectar comportamientos inusuales o anomalías que puedan indicar la presencia de un atacante o un software malicioso en la red.

• Paso a paso para la microempresa:

  • Establecer alarmas de umbral: Configurar los sistemas críticos para que envíen notificaciones automatizadas inmediatas (vía correo electrónico o canales de mensajería del equipo) ante eventos específicos: un inicio de sesión de administrador fuera del horario laboral, cinco intentos fallidos de contraseña en menos de un minuto o picos inusuales de uso de procesador y disco duro (comportamiento típico del Ransomware cifrando archivos).

Ciclo de Vida del Software y Desarrollo Seguro (Si aplica)

Control 8.28: Codificación segura

• Objetivo de la norma: Garantizar que las aplicaciones web, plataformas de comercio electrónico o soluciones de software creadas o modificadas por la empresa se diseñen bajo estándares de ingeniería que impidan la introducción de vulnerabilidades lógicas explotables (como inyección SQL o Cross-Site Scripting).

• Paso a paso para la microempresa:

  • Adoptar el estándar OWASP: Obligar al equipo de desarrollo a estudiar e implementar la guía de seguridad para desarrolladores de OWASP (Open Web Application Security Project).

  • Buenas prácticas en el código: Prohibir de forma estricta malas prácticas de programación como el uso de funciones de codificación obsoletas, la concatenación directa de variables en consultas a bases de datos, o dejar credenciales de desarrollo, API keys y contraseñas quemadas (hardcoded) directamente dentro del código fuente.

  • Sanitización de entradas: Implementar filtros estrictos de validación en todos los formularios y campos donde el usuario final pueda introducir texto, asegurando que los sistemas limpien los datos antes de procesarlos.

Punto de Apoyo Estratégico con Skina IT Solutions: Evaluar que un desarrollo de software no contenga vulnerabilidades ocultas requiere de un ojo experto y herramientas de análisis estático y dinámico avanzadas. Un software inseguro no solo pone en riesgo a la microempresa, sino que traslada el peligro a sus clientes finales, destruyendo la viabilidad comercial del producto. A través de sus servicios de Consultoría en Seguridad, Skina IT Solutions ofrece auditorías especializadas de código seguro y análisis de vulnerabilidades lógicas. El equipo de ingeniería de Skina acompaña a tu casa de software para validar que la arquitectura de tus aplicativos cumpla con las mejores prácticas de la ISO 27002, blindando tu propiedad intelectual y garantizando soluciones web de alta confianza.

Preparación y Respuesta ante Crisis Informativas

Control 5.24: Planeación y preparación para la gestión de incidentes de seguridad de la información

• Objetivo de la norma: Definir un protocolo de acción rápido, ordenado y eficiente para reaccionar ante la sospecha o confirmación de un hackeo, fuga de datos o desastre técnico, minimizando el impacto financiero y reputacional.

• Paso a paso para la microempresa:

  • Diseñar el "Plan de Choque" de una página: Redactar un diagrama de flujo sencillo que responda a la pregunta: ¿Qué hacemos si nos hackean hoy?

  • Pasos de contención inmediata: Establecer que ante la sospecha de una infección por malware o ransomware, el usuario afectado debe desconectar inmediatamente el equipo de la red Wi-Fi o del cable, pero jamás apagarlo (para conservar la memoria volátil útil para la investigación técnica).

  • Directorio de emergencia: Definir quién llama a quién. El plan debe listar los números de contacto del líder de tecnología interno, el asesor legal, la aseguradora (si aplica) y el canal de atención prioritaria de tu proveedor de ciberseguridad.

Lista de Verificación (Checklist) de Cierre para el Q4 y Fin de Ciclo

Al cerrar este último periodo, la gerencia habrá completado un año entero de maduración en ciberseguridad:

• [ ] Logs de autenticación activados y enviándose de forma externa a un servidor centralizado seguro.

• [ ] Notificaciones automáticas de actividad anómala configuradas y operando en las plataformas críticas.

• [ ] Lineamientos de codificación segura (OWASP) formalizados y aplicados en la línea de desarrollo de software.

• [ ] Plan de respuesta a incidentes documentado, difundido y probado mediante un simulacro de mesa con el equipo.

• [ ] Auditoría técnica final y validación general de la postura de la norma ISO 27002 ejecutada en conjunto con Skina IT Solutions.

4. Matriz De Herramientas Recomendadas (Open Source Y Bajo Costo)

Para que una microempresa pueda ejecutar con éxito los controles técnicos descritos a lo largo de esta guía, no es necesario adquirir costosas licencias de software comercial corporativo. El ecosistema de Código Abierto (Open Source) y las utilidades nativas de los sistemas operativos ofrecen soluciones maduras, estables y seguras que eliminan por completo el costo de adquisición de licencias.

La siguiente matriz organiza las herramientas recomendadas por su costo, el trimestre de implementación sugerido y el control específico de la norma ISO/IEC 27002:2022 que ayudan a cumplir:

Control ISO 27002	Función de la Herramienta	Opción Recomendada (Software Libre / Nativo)	Costo de Licencia	Trimestre Sugerido	Ventaja Clave para la Microempresa
8.2 y 8.5 (Acceso y Autenticación)	Bóveda y gestión segura de contraseñas corporativas.	Bitwarden / Vaultwarden	$0 USD (Plan libre o auto-alojado)	Trimestre 1 (Q1)	Permite compartir credenciales de forma cifrada entre el equipo sin exponerlas en texto plano.
8.5 (Autenticación Segura)	Generación de códigos para Doble Factor de Autenticación (MFA/2FA).	Aegis Authenticator (Android) / Raivo (iOS) / Google Authenticator	$0 USD	Trimestre 1 (Q1)	Alternativas de código abierto y gratuitas que mitigan el riesgo de phishing y robo de identidad.
8.24 (Criptografía)	Cifrado completo del disco duro en computadores portátiles y de escritorio.	BitLocker (Windows Pro) / LUKS (Linux) / FileVault (macOS)	$0 USD (Incluido en el sistema operativo)	Trimestre 1 (Q1)	Protección nativa. Si un portátil se pierde o es robado, la información es completamente inaccesible.
8.7 (Protección contra malware)	Defensa activa contra virus, troyanos y software espía (Spyware).	Microsoft Defender (Windows) / ClamAV (Linux)	$0 USD (Nativo / Open Source)	Trimestre 2 (Q2)	Excelente tasa de detección sin necesidad de pagar suscripciones anuales de antivirus comerciales.
8.13 (Copias de seguridad)	Automatización, cifrado y deduplicación de copias de seguridad.	BorgBackup / Duplicati	$0 USD	Trimestre 2 (Q2)	Permite hacer backups incrementales cifrados eficientes, ideales para conexiones de internet domésticas o de microempresa.
8.20 (Servicios de red)	Cortafuegos (Firewall) perimetral y servidor de conexiones remotas seguras (VPN).	pfSense / OPNsense	$0 USD (Requiere un hardware o máquina dedicada básica)	Trimestre 3 (Q3)	Transforma un computador antiguo o un equipo de bajo costo en un enrutador de seguridad perimetral de nivel corporativo.
8.20 (Servicios de red)	Protocolo moderno y rápido para redes privadas virtuales (VPN).	WireGuard	$0 USD	Trimestre 3 (Q3)	Conexión de teletrabajo sumamente rápida y con un consumo de batería y datos mínimo comparado con VPNs antiguas.
8.15 (Registro de eventos)	Centralización y almacenamiento seguro de registros de actividad (Logs).	RSYSLOG / Grafana Loki (Configuración básica)	$0 USD	Trimestre 4 (Q4)	Permite extraer los logs de los servidores críticos y guardarlos en un lugar seguro antes de que un atacante intente borrarlos.

Nota de Seguridad Operacional: Aunque el costo de licenciamiento de estas herramientas es cero, su valor real radica en una correcta instalación y endurecimiento (hardening). Una herramienta de código abierto mal configurada (por ejemplo, un firewall pfSense con las credenciales por defecto o una VPN con certificados débiles) puede generar una falsa sensación de seguridad y abrir puertas traseras a los atacantes.

Si tu microempresa no cuenta con un departamento de ingeniería con experiencia en la administración de estas plataformas lógicas, te recomendamos apoyarte en el servicio de Consultoría Técnica de Skina IT Solutions, quienes se encargarán del despliegue, la parametrización óptima y la entrega llave en mano de esta infraestructura bajo el estándar estricto de la ISO 27002.

5. Plantillas Y Anexos Operativos

El verdadero valor de una guía de seguridad no radica en la sofisticación de su teoría, sino en la capacidad de la microempresa para trasladar los controles a la operación diaria del negocio. Este capítulo final recopila las herramientas prácticas y los esqueletos documentales indispensables para aterrizar el estándar ISO/IEC 27002:2022 de forma ágil y sin burocracia excesiva. Diseñadas bajo un enfoque de "llenar espacios", estas plantillas están pensadas para que el líder de implementación interno pueda formalizar las políticas del primer trimestre, estructurar el inventario de activos lógicos y realizar el seguimiento gerencial periódico sin necesidad de redactar complejos manuales desde cero.

Es fundamental comprender que estos documentos no deben tratarse como un simple requisito para archivar, sino como registros vivos que evolucionan junto con el crecimiento tecnológico de la organización. A medida que se adquieran nuevos equipos, se contrate personal o se modifiquen los flujos de software, los anexos operativos deben actualizarse de inmediato para mantener una radiografía exacta del nivel de riesgo de la empresa. Para garantizar que la personalización de estos formatos guarde una estricta conformidad con las exigencias de la norma, la gerencia puede apoyarse en las sesiones de validación de Skina IT Solutions, asegurando que la documentación no solo sea funcional, sino técnicamente sólida ante auditorías o requerimientos de clientes exigentes.

Anexo A: Matriz Simplificada De Inventario De Activos

Este anexo es una plantilla diseñada para cumplir directamente con el Control 5.9 (Inventario de activos de información y otros asociados) de la norma ISO/IEC 27002:2022. Su estructura permite mapear de forma rápida la infraestructura técnica y lógica de la microempresa.

Para implementarlo de forma práctica, se recomienda transcribir esta estructura a una hoja de cálculo local o en un entorno de nube corporativa segura con acceso restringido únicamente a la gerencia y al líder de tecnología.

Pestaña 1: Inventario de Hardware (Dispositivos Físicos)

Esta sección permite rastrear la ubicación física y los responsables de cada equipo, facilitando la auditoría y la aplicación del control de cifrado de discos (Control 8.24) realizado en el Trimestre 1.

ID Activo	Tipo de Dispositivo	Marca / Modelo	Número de Serial	Sistema Operativo	Responsable (Nombre y Cargo)	Criticidad (Baja / Media / Alta)	¿Cifrado Activo? (Sí / No)
HW-01	Portátil Administrativo	Lenovo ThinkPad E14	PF-2X4Y8Z	Windows 11 Pro	Constanza Mancera (Gerente)	Alta	Sí (BitLocker)
HW-02	Portátil de Desarrollo	ASUS ZenBook 14	K9N0B303	AlmaLinux 9	Juan Felipe Naranjo (Ing. Dev)	Alta	Sí (LUKS)
HW-03	Servidor Local / NAS	Synology DS224+	23A0PTR89	DSM (Linux)	Líder de Tecnología Interno	Media	Sí (AES-256)
HW-04	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]
...

Pestaña 2: Inventario de Software y Plataformas Lógicas

Aquí se consolidan las aplicaciones y servicios donde la empresa procesa información. Ayuda a controlar los ciclos de actualizaciones automáticas (Control 8.8) definidos en el Trimestre 2.

ID Activo	Nombre de la Plataforma	Tipo de Servicio (Nube / Local)	Función en el Negocio	Proveedor / Enlace de Acceso	Administrador del Sistema	Criticidad (Baja / Media / Alta)	¿Tiene MFA Activo? (Sí / No)
SW-01	Google Workspace	Nube (SaaS)	Correo corporativo y archivos	Google LLC	Constanza Mancera	Alta	Sí (Obligatorio)
SW-02	Siigo / Alegra	Nube (SaaS)	Contabilidad y Facturación	Proveedor Contable	Contador Externo	Alta	Sí
SW-03	Repositorio GitHub	Nube (SaaS)	Custodia de Código Fuente	github.com/skinait	Juan Felipe Naranjo	Alta	Sí (Llaves SSH + MFA)
SW-04	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]
...

Pestaña 3: Inventario de Activos de Información (Datos Puros)

Esta es la pestaña más importante para la gestión de riesgos (Capítulo 2). Define el valor lógico de tu negocio y establece la prioridad para el diseño de la estrategia de copias de seguridad (Control 8.13).

ID Activo	Nombre del Activo de Información	Descripción del Contenido	Formato (BD / PDF / Código)	Ubicación de Almacenamiento	Clasificación de Seguridad	Criticidad (Baja / Media / Alta)	Frecuencia de Backup Requerida
INF-01	Base de Datos de Clientes	Datos de contacto, contratos y cobros	Base de datos PostgreSQL	Servidor Cloud (SW-02)	Confidencial	Alta	Diaria (Automatizada)
INF-02	Código Fuente (27K Pal)	Propiedad intelectual del software	Archivos .php / .js / .css	Repositorio Git (SW-03)	Confidencial	Alta	Cada cambio (Push)
INF-03	Plantillas de Nómina y Pagos	Datos sensibles de empleados	Hojas de cálculo (.xlsx)	Google Drive Corporativo	Restringido	Media	Semanal
INF-04	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]	[Completar]
...

Criterios Básicos para Definir la Criticidad en la Microempresa

Para ayudar al líder de implementación a clasificar los activos sin ambigüedades, se sugiere adoptar la siguiente regla de negocio:

• Criticidad Alta: Si el activo se pierde, se destruye o se filtra a terceros, la operación de la microempresa se detiene inmediatamente, se incurre en pérdidas financieras catastróficas o se enfrentan demandas legales graves de forma inmediata.

• Criticidad Media: Si el activo se ve comprometido, genera traumatismos operativos fuertes y costos de recuperación moderados, pero el negocio puede continuar operando manualmente o de forma parcial durante algunos días.

• Criticidad Baja: Si el activo falla o se pierde, el impacto es puramente cosmético o genera una molestia menor que se soluciona en un par de horas sin pérdida económica ni afectación a clientes externos.

Anexo B: Modelo Base De Política General De Seguridad De La Información

Este documento constituye el esqueleto fundamental para dar cumplimiento al Control 5.1 (Políticas para la seguridad de la información) de la norma ISO/IEC 27002:2022. Está diseñado bajo una estructura ágil, clara y directa para que cualquier microempresa pueda personalizarlo y socializarlo formalmente con su equipo de trabajo durante el Trimestre 1 (Q1).

Política General De Seguridad De La Información

[Nombre de la Microempresa / Razón Social]

1. Propósito Y Alcance

El propósito de esta política es establecer las directrices básicas para proteger los activos de información de [Nombre de la Microempresa] contra amenazas internas o externas, accidentales o deliberadas. Esta política es de estricto y obligatorio cumplimiento para todo el personal de la empresa, incluyendo empleados directos, contratistas, pasantes y proveedores externos que tengan acceso a nuestros sistemas o datos.

2. Principios Fundamentales (La Tríada CID)

Todas nuestras operaciones y decisiones tecnológicas se guiarán por preservar:

• Confidencialidad: Garantizar que los datos sensibles (clientes, código fuente, finanzas) solo sean accesibles por el personal explícitamente autorizado.

• Integridad: Proteger la exactitud y totalidad de la información, evitando modificaciones no autorizadas o maliciosas.

• Disponibilidad: Asegurar que los sistemas y los datos estén listos para ser usados cuando la operación del negocio lo requiera.

Responsabilidades Y Reglas De "Higiene Digital"

Gestión de Accesos y Credenciales (Controles 8.2 y 8.5)

• Cuentas Individuales: Queda rotundamente prohibido el uso de cuentas de usuario compartidas para el acceso a sistemas críticos (correo corporativo, servidores, paneles financieros). Cada usuario dispondrá de credenciales únicas e intransferibles.

• Robustez de Contraseñas: Toda contraseña corporativa debe tener una longitud mínima de 12 caracteres, combinando letras mayúsculas, minúsculas, números y caracteres especiales. No se deben reutilizar contraseñas personales.

• Doble Factor de Autenticación (MFA): Es obligatorio activar el segundo factor de autenticación en todas las plataformas que lo permitan (Google Workspace, GitHub, pasarelas de pago, etc.), utilizando las aplicaciones móviles autorizadas por la empresa.

Uso de Dispositivos y Cifrado (Control 8.24)

• Cifrado Obligatorio: Todo computador portátil o de escritorio asignado por la empresa debe mantener activo el cifrado de disco nativo (BitLocker, LUKS o FileVault).

• Bloqueo de Sesión (Control 7.7): Todo colaborador debe bloquear la pantalla de su equipo (Windows + L en Windows o Ctrl + Cmd + Q en Mac) cada vez que se retire de su puesto de trabajo, por breve que sea el tiempo. Las pantallas se configurarán para bloquearse automáticamente tras 5 minutos de inactividad.

• Software Autorizado: Está estrictamente prohibido instalar o ejecutar software pirata, 'cracks', o programas no autorizados explícitamente por la gerencia. Todo el software debe provenir de fuentes oficiales y legítimas.

Protección de Datos y Clasificación de la Información

• Propiedad Intelectual: El código fuente, los diseños lógicos, las metodologías y las bases de datos de clientes son propiedad exclusiva de la empresa y tienen clasificación de Información Confidencial. Ningún colaborador está autorizado a extraer, copiar o almacenar estos activos en dispositivos personales o nubes ajenas a la organización.

• Escritorio Limpio: Al finalizar la jornada laboral, no debe quedar ningún documento físico con datos confidenciales (nóminas, contratos, facturas) expuesto sobre los escritorios. Estos deben custodiarse en archivadores bajo llave.

Reporte De Incidentes (Control 5.24)

Cualquier anomalía técnica, sospecha de virus, recepción de correos electrónicos altamente sospechosos (Phishing), o la pérdida/robo de un dispositivo corporativo debe ser reportada de manera inmediata al Líder de Implementación Interno. La detección temprana es nuestra mejor defensa.

Sanciones Y Consecuencias

El incumplimiento de las directrices establecidas en esta política pone en riesgo la continuidad de la empresa y la confianza de nuestros clientes. Por lo tanto, la inobservancia de estas reglas dará lugar a las medidas disciplinarias correspondientes, de acuerdo con el Reglamento Interno de Trabajo y la legislación civil o penal aplicable en materia de protección de datos y delitos informáticos.

Firma Y Compromiso De Aceptación

Al firmar este documento, declaro que he leído, comprendido y aceptado en su totalidad la Política General de Seguridad de la Información de [Nombre de la Microempresa], comprometiéndome a aplicar estas directrices en mis labores diarias.

Nombre del Colaborador: __________________________________________ Documento de Identidad: __________________________________________

Cargo: __________________________________________

Fecha: ______ / ______ / ____

 

 

____________________________________

Firma del Colaborador

Consejo de Personalización Práctica: Para que esta política no se quede en un papel muerto, la gerencia de la microempresa debe entregarla impresa o en PDF firmado digitalmente a cada trabajador en el momento de su contratación o durante el taller de alineación de higiene digital del Q1.

Si requieres validar que los términos legales o técnicos de tu política personalizada se ajusten con precisión matemática a las exigencias de entes reguladores o clientes internacionales, puedes apoyarte en el servicio de Consultoría de Skina IT Solutions para realizar un blindaje documental y operativo completo.

Anexo C: Lista De Verificación (Checklist) De Seguimiento Gerencial

Esta herramienta operativa está diseñada para que la gerencia general y el líder de implementación interno evalúen formalmente el avance del proyecto al cierre de cada periodo. Cumplir con estas revisiones sistemáticas asegura la gobernanza de la seguridad y garantiza que el plan de un año avance sin desviaciones lógicas.

Para dar por aprobado cada trimestre, todos los controles obligatorios asociados deben estar marcados como "Completado" y contar con su respectiva evidencia verificable.

Lista de Control: Cierre de Trimestres

TRIMESTRE 1 (Q1): Cimientos, "Higiene Digital" y Políticas de Costo Cero

Enfoque: Organización interna, aseguramiento de identidades y blindaje nativo de dispositivos.

• [ ] Control 5.1 (Políticas de Seguridad): ¿La Política General fue redactada, firmada por la gerencia y firmada en señal de aceptación por el 100% de los colaboradores y contratistas?

  • Evidencia: Carpeta física o digital con las políticas firmadas.

• [ ] Control 5.9 (Inventario de Activos): ¿Se completó el mapeo total de Hardware, Software e Información (Anexo A) indicando responsables y niveles de criticidad?

  • Evidencia: Archivo de la matriz de inventario actualizado.

• [ ] Controles 8.2 y 8.5 (Accesos y Autenticación): ¿Se eliminaron las cuentas compartidas y se activó de forma obligatoria el Doble Factor de Autenticación (MFA) en los correos y plataformas críticas?

  • Evidencia: Capturas de pantalla de los paneles de administración con la directiva MFA activa.

• [ ] Control 8.24 (Criptografía): ¿Se verificó que todos los computadores portátiles de la empresa tienen el cifrado de disco encendido (BitLocker, LUKS o FileVault)?

  • Evidencia: Reporte de estado de cifrado de los equipos del inventario.

• [ ] Control 6.3 (Concientización): ¿Se programó y ejecutó el taller inicial de higiene digital para entrenar al personal contra ataques de phishing e ingeniería social en alianza con Skina IT Solutions?

  • Evidencia: Registro de asistencia al taller y certificados de capacitación.

TRIMESTRE 2 (Q2): Protección de Dispositivos (Endpoints) y Resiliencia del Negocio

Enfoque: Mitigación activa de malware y blindaje de la información contra secuestro de datos.

• [ ] Control 8.7 (Protección contra Malware): ¿Microsoft Defender o el antivirus centralizado se encuentra activo, ejecutándose en tiempo real y actualizándose diariamente en el 100% de los equipos?

  • Evidencia: Consola o reporte de estado de salud del antivirus local.

• [ ] Control 8.8 (Gestión de Vulnerabilidades): ¿Se configuraron las actualizaciones automáticas del sistema operativo y de los navegadores web fuera de la jornada laboral?

  • Evidencia: Configuración de políticas de actualización verificadas en los dispositivos.

• [ ] Control 8.13 (Copias de Seguridad): ¿Se implementó la estrategia de backup bajo la regla 3-2-1 de forma automatizada y con cifrado antes del envío al repositorio?

  • Evidencia: Bitácora de ejecución de backups diarios sin errores.

• [ ] Resiliencia Operativa (Validación Experta): ¿Se realizó una prueba real de restauración y recuperación de datos críticos con el acompañamiento técnico de la consultoría de Skina IT Solutions?

• Evidencia: Acta de conformidad de la prueba de restauración exitosa.

TRIMESTRE 3 (Q3): Seguridad Perimetral, Control Físico y Relación con Terceros

Enfoque: Control de flujos de red, protección del entorno físico y aseguramiento de fronteras legales.

• [ ] Control 8.20 (Servicios de Red): ¿El firewall perimetral de código abierto (pfSense / OPNsense) está instalado y configurado bloqueando los accesos externos no autorizados?

  • Evidencia: Reporte de reglas del firewall y logs de bloqueo perimetral.

• [ ] Control 8.20 (Accesos Remotos): ¿Todo el personal en teletrabajo se conecta de forma obligatoria a través de túneles VPN cifrados (WireGuard / OpenVPN)?

  • Evidencia: Listado de usuarios autorizados y perfiles de conexión VPN en el firewall.

• [ ] Controles 7.1 y 7.2 (Seguridad Física): ¿Los equipos críticos (servidores, NAS, switches) están resguardados en un espacio físico restringido bajo llave y se configuró el bloqueo automático de pantallas a 5 minutos?

  • Evidencia: Inspección visual de la gerencia y verificación de políticas locales de pantalla.

• [ ] Control 5.19 (Relación con Proveedores): ¿El 100% de los proveedores externos con acceso a datos o sistemas firmaron Acuerdos de Confidencialidad (NDA) y cláusulas de ciberseguridad?

  • Evidencia: Contratos y NDAs debidamente legalizados.

TRIMESTRE 4 (Q4): Monitoreo Activo, Desarrollo Seguro y Gestión de Incidentes

Enfoque: Visibilidad de eventos sospechosos, aseguramiento de líneas de código y preparación ante crisis.

• [ ] Control 8.15 y 8.16 (Logging y Supervisión): ¿Los registros de autenticación de los servidores y el firewall se están centralizando de forma segura y se activaron alertas automatizadas ante anomalías?

  • Evidencia: Servidor de logs operativo y pruebas de envío de alertas de umbral ejecutadas.

• [ ] Control 8.28 (Codificación Segura): ¿El equipo de desarrollo adoptó formalmente el estándar OWASP y se eliminaron las credenciales quemadas (hardcoded) en el código fuente?

  • Evidencia: Repositorio de código limpio y directrices de desarrollo documentadas.

• [ ] Auditoría de Código (Aseguramiento Especializado): ¿Se contrató y ejecutó el análisis técnico de vulnerabilidades lógicas sobre las aplicaciones web de la empresa a través de Skina IT Solutions?

  • Evidencia: Reporte técnico de análisis de vulnerabilidades emitido por Skina IT Solutions con plan de mitigación.

• [ ] Control 5.24 (Gestión de Incidentes): ¿El Plan de Choque de respuesta a incidentes de una página fue documentado, socializado y se realizó un simulacro de mesa con el equipo de trabajo?

  • Evidencia: Documento del plan de incidentes aprobado y acta del simulacro.

Control de Firmas de Cierre de Ciclo Anual

Al completarse los cuatro trimestres, la gerencia general certifica que la microempresa ha alcanzado un nivel de madurez operativa alineado con las mejores prácticas de la norma ISO/IEC 27002:2022.

[Nombre del Líder de Implementación]

Líder de Seguridad Interno

Fecha: ______ / ______ / 2026

[Nombre de la Gerente General]

Representante Legal / Gerencia

Fecha: ______ / ______ / 2026

Anexo D: Controles Excluidos Y Justificación De Exclusión

La norma ISO/IEC 27002:2022 contiene un total de 93 controles. Con el fin de estructurar una guía que fuera financieramente viable, técnicamente alcanzable y adaptada a la realidad operativa de una microempresa, se seleccionaron los controles más críticos y de mayor impacto inmediato.

Los controles restantes no han sido ignorados por negligencia, sino excluidos estratégicamente mediante un análisis de costo-beneficio y aplicabilidad. Adoptar la burocracia documental o la complejidad técnica de estos controles generaría una sobrecarga operativa (parálisis) o exigiría presupuestos que asfixiarían la caja de una empresa pequeña.

A continuación, se agrupan los principales controles excluidos y las razones técnicas y de negocio que justifican su salida del plan de un año:

1. Controles Organizacionales Excluidos

Control ISO 27002	Nombre del Control	Razón de la Exclusión / Justificación para la Microempresa
5.5	Contacto con autoridades	Excesivo para el tamaño: Las microempresas no requieren canales de comunicación preestablecidos y formales con organismos de regulación especializada o ministerios de defensa, salvo los canales judiciales ordinarios en caso de denuncias por delitos informáticos.
5.6	Contacto con grupos de interés especial	Bajo impacto inmediato: Pertenecer y participar activamente en comités de seguridad internacionales o foros especializados de ciberseguridad demanda un tiempo del que el personal operativo no dispone. Esta necesidad se cubre delegando la vigilancia en su aliado experto (Skina IT Solutions).
5.7	Inteligencia de amenazas	Complejidad y costo elevado: Consumir, procesar y actuar basados en fuentes de datos de amenazas en tiempo real (Threat Intelligence) requiere de analistas dedicados y herramientas comerciales costosas. Para una microempresa, la protección genérica basada en firmas y comportamiento de su antivirus nativo (Q2) es suficiente.
5.35 y 5.36	Cumplimiento de políticas y revisión independiente	Estructura organizativa pequeña: Exigir auditorías internas independientes y revisiones formales segregadas del área que implementa carece de sentido cuando el equipo técnico está compuesto por una o pocas personas. La revisión de la gerencia (Anexo C) sustituye esta función de control jerárquico.

2. Controles de Personas y Físicos Excluidos

Control ISO 27002	Nombre del Control	Razón de la Exclusión / Justificación para la Microempresa
6.5	Seguridad en el teletrabajo (Políticas complejas)	Simplificado en otros controles: En lugar de redactar una política formal extensa de teletrabajo que requiere inspecciones físicas a los hogares de los empleados, la guía resolvió el riesgo técnico de forma directa mediante controles lógicos obligatorios: el cifrado de discos en el Q1 y la conectividad VPN en el Q3.
7.4	Monitoreo de seguridad física perimetral	Inversión sustancial innecesaria: Instalar sistemas de circuito cerrado de televisión (CCTV) avanzados, sensores de movimiento conectados a centrales de monitoreo y vigilancia privada 24/7 desborda el presupuesto de una microempresa. Se mitiga mediante el control de llaves y la ubicación de servidores en cuartos cerrados (Q3).
7.11	Eliminación segura de activos	Bajo volumen operativo: Las grandes corporaciones requieren contratos con empresas certificadas de destrucción de discos duros y bitácoras de desmagnetización. Una microempresa puede resolver esto asegurando que el disco duro esté cifrado (Q1) antes de formatearlo o destruirlo físicamente de forma manual antes de desecharlo.

3. Controles Tecnológicos Excluidos

Control ISO 27002	Nombre del Control	Razón de la Exclusión / Justificación para la Microempresa
8.9	Gestión de privilegios de acceso (Sistemas Centralizados)	Complejidad de software comercial: Implementar soluciones corporativas tipo PAM (Privileged Access Management) o directorios activos complejos (como LDAP/Active Directory corporativos) requiere servidores dedicados y licenciamiento costoso. Se sustituye aplicando manualmente el principio de menor privilegio cuenta por cuenta (Q1).
8.12	Gestión de privilegios operativos	Falta de segregación de funciones: En una microempresa es común que el mismo ingeniero de desarrollo configure el servidor, despliegue el código y asigne los accesos. Separar estrictamente estas funciones operativas congelaría la agilidad del negocio debido a la falta de personal.
8.23	Filtrado web corporativo avanzado	Falsa relación costo-beneficio: Desplegar servidores proxy dedicados para controlar cada categoría de página web que visitan los empleados genera bloqueos falsos y fricción operativa. El uso de bloqueadores de publicidad y extensiones DNS recomendados en el Q2 mitiga el malware web a costo cero.
8.25	Ciclo de vida del desarrollo de software (Gobernanza completa)	Burocracia de procesos: Exigir metodologías de gobernanza de software formalizadas bajo estándares pesados ralentiza el despliegue de las microempresas de software. La guía simplifica este riesgo concentrando el esfuerzo exclusivamente en el código fuente mediante las prácticas técnicas de OWASP y auditorías de vulnerabilidades (Q4).

Nota de Escalabilidad: Si en el futuro la microempresa experimenta un crecimiento en su planta de personal, abre sucursales físicas o comienza a licitar con contratos estatales o multinacionales de alta exigencia, muchos de estos controles excluidos pasarán a ser aplicables.

Cuando llegue ese momento de madurez empresarial, la organización no tendrá que desarmar lo que construyó en este primer año; simplemente deberá expandir su Sistema de Gestión apoyándose en la infraestructura técnica robusta que ya tiene operando y en los servicios de Consultoría Avanzada de Skina IT Solutions para diseñar e integrar las fases de cumplimiento de nivel corporativo.

Licencia

Guía De Implementación ISO/IEC 27002 Para Microempresas está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.