¿Qué es el ISO 27001? Resolvemos tus dudas

¿Cuál es el significado de la ISO 27001?

Es la principal norma internacional centrada en la seguridad de la información, publicada por la Organización Internacional de Normalización (ISO), en colaboración con la Comisión Electrotécnica Internacional (IEC). Ambas son las principales organizaciones internacionales que elaboran normas internacionales.

¿Cuál es el propósito de la ISO 27001?

La ISO 27001 fue desarrollada para ayudar a las organizaciones, de cualquier tamaño o industria, a proteger su información de una manera sistemática y rentable, a través de la adopción de un Sistema de Gestión de Seguridad de la Información (SGSI).

¿Por qué es importante la ISO 27001?

La norma no sólo proporciona a las empresas los conocimientos necesarios para proteger su información más valiosa, sino que una empresa también puede obtener la certificación de la ISO 27001 y, de esta manera, demostrar a sus clientes y socios que protege sus datos.

Los individuos también pueden obtener la certificación ISO 27001 asistiendo a un curso y aprobando el examen y, de esta manera, probar sus habilidades a los potenciales empleadores.

Debido a que es una norma internacional, la ISO 27001 se reconoce fácilmente en todo el mundo, lo que aumenta las oportunidades de negocio para las organizaciones y los profesionales.

¿Cuáles son los 3 objetivos de seguridad del SGSI?

El objetivo básico de la ISO 27001 es proteger tres aspectos de la información:

  • Confidencialidad: sólo las personas autorizadas tienen derecho a acceder a la información.
  • Integridad: sólo las personas autorizadas pueden cambiar la información.
  • Disponibilidad: la información debe ser accesible a las personas autorizadas cuando sea necesario.

¿Qué es un SGSI?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de reglas que una empresa debe establecer para:

  • Identificar a las partes interesadas y sus expectativas de la empresa en materia de seguridad de la información
  • Identificar los riesgos que existen para la información
  • Definir controles (salvaguardias) y otros métodos de mitigación para cumplir las expectativas identificadas y manejar los riesgos
  • Establecer objetivos claros sobre lo que se debe lograr con la seguridad de la información
  • Aplicar todos los controles y otros métodos de tratamiento de riesgos
  • Medir continuamente si los controles aplicados funcionan como se espera
  • Hacer mejoras continuas para que todo el ISMS funcione mejor

Este conjunto de reglas puede ser escrito en forma de políticas, procedimientos y otros tipos de documentos, o puede ser en forma de procesos y tecnologías establecidos que no están documentados. La ISO 27001 define qué  documentos se requieren, es decir, cuáles deben existir como mínimo.

¿Cuáles son los requisitos para la ISO 27001?

Los requisitos obligatorios para la ISO 27001 están definidos en sus cláusulas 4 a 10 – esto significa que todos esos requisitos deben ser implementados en una organización si quiere cumplir con la norma. Los controles del Anexo A deben implementarse sólo si se declaran como aplicables en la Declaración de Aplicabilidad.

Los requisitos de las secciones 4 a 10 pueden resumirse de la siguiente manera:

  • Cláusula 4: Contexto de la organización – define los requisitos para comprender las cuestiones externas e internas, las partes interesadas y sus requisitos, y define el alcance del SGSI.
  • Cláusula 5: Liderazgo – define las responsabilidades de la alta dirección, estableciendo las funciones y responsabilidades, y el contenido de la Política de Seguridad de la Información de alto nivel.
  • Cláusula 6: Planificación – define los requisitos para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el plan de tratamiento de riesgos, y el establecimiento de los objetivos de seguridad de la información.
  • Cláusula 7: Apoyo – define los requisitos para la disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.
  • Cláusula 8: Operación – define la aplicación de la evaluación y el tratamiento de los riesgos, así como los controles y otros procesos necesarios para alcanzar los objetivos de seguridad de la información.
  • Cláusula 9: Evaluación del rendimiento – define los requisitos de vigilancia, medición, análisis, evaluación, auditoría interna y examen de la gestión.
    Cláusula 10: Mejora – define los requisitos para las no conformidades, las correcciones, las medidas correctivas y la mejora continua.

¿Cuántos controles hay en la ISO 27001?

El Anexo A de la ISO 27001 enumera 114 controles organizados en las 14 secciones numeradas.

¿Cómo se implementan los controles de la ISO 27001?

  • Los controles técnicos se implementan principalmente en los sistemas de información, utilizando componentes de software, hardware y firmware añadidos al sistema. Por ejemplo, copias de seguridad, software antivirus, etc.
  • Los controles organizacionales se implementan definiendo las reglas a seguir y el comportamiento esperado de los usuarios, equipos, software y sistemas.
  • Los controles legales se implementan asegurando que las reglas y los comportamientos esperados sigan y hagan cumplir las leyes, regulaciones, contratos y otros instrumentos legales similares que la organización debe cumplir. Por ejemplo, NDA (acuerdo de no divulgación), SLA (acuerdo de nivel de servicio), etc.
  • Los controles físicos se implementan principalmente mediante el uso de equipos o dispositivos que tienen una interacción física con personas y objetos. Por ejemplo, cámaras de CCTV, sistemas de alarma, cerraduras, etc.
  • Los controles de recursos humanos se aplican proporcionando conocimientos, educación, habilidades o experiencia a las personas para que puedan realizar sus actividades de forma segura. Por ejemplo, la formación de concienciación sobre seguridad, la formación de auditores internos de la ISO 27001, etc.

¿Cuánto cuesta la ISO 27001?

Los costos de la implementación y certificación del SGSI dependerán del tamaño y complejidad del alcance del SGSI, que varía de una organización a otra. El costo también dependerá de los precios locales de los diversos servicios que se utilizarán para la implementación.

En términos generales, estos son algunos de los costos que debe considerar:

  • Capacitación y literatura
  • Asistencia externa
  • Tecnologías que se actualizarán / aplicarán
  • El esfuerzo y el tiempo de los empleados
  • El costo del organismo de certificación
  • Para ver una explicación más detallada de los costos de certificación, descargue el libro blanco gratuito Cómo presupuestar un proyecto de implementación de ISO 27001.

¿Qué empresas están certificadas con la ISO 27001?

El sitio web de ISO.org proporciona una visión general de las organizaciones certificadas, clasificadas por industria, país, número de sitios, etc. Puede encontrar la encuesta ISO en este enlace: https://www.iso.org/the-iso-survey.html.

Para comprobar si una empresa en particular está certificada por la ISO 27001, hay que ponerse en contacto con el organismo de certificación, ya que no existe una base de datos oficial centralizada de empresas certificadas.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

PACK DIGITALÍZATE