El articulo tiene como objetivo desarrollar habilidades en los ingenieros de sistemas, que les permitan conducir proyectos de diagnostico, para la implementacion e implantacion de sistemas de seguridad de la informacion – SGSI alineado con el estandar ISO/IEC 27001 y el sistema de control propuesto en la norma ISO/IEC 27002. Se presentan los resultados de una experiencia aplicando las fases de auditoria y la metodologia de analisis y evaluacion de riesgos con el diseno y aplicacion de diversos instrumentos como cuestionarios aplicados a los administradores, clave de seguridad, entrevistas al personal del area informatica y usuarios de los sistemas, pruebas de intrusion y testeo que permitieron establecer el diagnostico de seguridad actual. Posteriormente se aplica una lista de chequeo basada en la norma, para verificar la existencia de controles de seguridad en los procesos organizacionales. Finalmente y de acuerdo a los resultados del analisis y evaluacion de los riesgos, se proponen los controles de seguridad para que sean integrados hacia el futuro dentro de un SGSI que responda a las necesidades de seguridad informatica y de la informacion acorde a sus necesidades.