El uso de las tecnologías informáticas en todos los aspectos de la cotidianidad humana, ha conducido a que la seguridad informática no sea sólo una preocupación de las grandes compañías, sino también de las PYMES, las cuales inconscientemente en gran parte quedan vulnerables ante la falta de controles que les permitan protegerse de intrusiones no deseadas. Aquí se propone una metodología de implementación de la ISO 27001 para que sea aplicada en la implementación de Sistemas de Gestión de Seguridad de la Información en PYMES. Busca facilitar las tareas que en este tipo de empresas se dificultan, debido a los recursos limitados con los que cuenta en presupuesto, personal y conocimiento. Adicional a esto, se propone unas prácticas iniciales mínimas como punto de partida para organizaciones que no tienen controles de seguridad de la información, como principio para iniciar un ciclo de mejora continua, que permita que la organización alcance una maduración mayor a medida que la cultura de seguridad de la información, se afianza dentro de la compañía. Aunque se proponen soluciones básicas para PYMES, al analizar ataques a grandes compañías, se encuentran estás propuestas útiles como estrategia preventiva desde los procedimientos y controles aún para este tipo de empresas