Skip to content

¿Qué es ISO 27001 y para qué sirve?

marzo 2, 2023
5/5 - (1 voto)

 

ciberseguridad iso 27001

Certificación ISO 27001: Garantía de seguridad y protección de tus activos digitales de cualquier amenaza

 

¿Sabías que la norma ISO 27001 es esencial para la ciberseguridad? Esta norma te proporciona las directrices necesarias para implementar un sistema de seguridad eficaz y proteger la información de tu empresa.

Como técnico en ciberseguridad, es importante destacar que las empresas deben ser conscientes de la gran cantidad de riesgos y vulnerabilidades a los que están expuestas. La información que manejan las empresas, especialmente la información confidencial, es un activo valioso y por ello, debe ser protegida adecuadamente.

Para garantizar la seguridad de la información, es necesario abordar diferentes cuestiones que incluyen la elaboración de un plan de respuesta a incidentes, el análisis de riesgos, la asignación de competencias, la implicación de la dirección, la aplicación de controles y la inversión en seguridad.

En la actualidad, gran parte de la información que manejan las empresas se encuentra automatizada a través del uso de tecnologías de la información y la comunicación (TIC). Por ello, es importante que las empresas implementen medidas de seguridad adecuadas para proteger la información automatizada.

La norma ISO 27001 es una herramienta que puede ayudar a las empresas a garantizar la seguridad de su información automatizada. Esta norma establece un conjunto de requisitos y controles que deben ser implementados en un Sistema de Gestión de Seguridad de la Información (SGSI).

Para implantar un SGSI basado en la norma ISO 27001 de seguridad informática, es necesario llevar a cabo una serie de pasos que incluyen: la identificación de los activos de información, la evaluación de los riesgos, la selección de las salvaguardas, la implementación del SGSI, la monitorización y revisión continua del mismo.

¿Qué es la ISO 27001?

La norma de seguridad informática ISO 27001 es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Este estándar proporciona una estructura para la gestión de la seguridad de la información y un conjunto de controles que deben ser implementados para proteger la información.
La ISO 27001 aborda los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.

La Serie ISO 27000 de Seguridad Informática

La familia de normas ISO/IEC 27000, también conocida como la serie ISO 27000, es una serie de buenas prácticas para ayudar a las organizaciones a mejorar la seguridad de su información.

Publicada por la ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional), la serie explica cómo aplicar las mejores prácticas de seguridad.

Para ello, establece los requisitos del SGSI (sistema de gestión de la seguridad de la información).

Un SGSI es un enfoque sistemático de la gestión de riesgos, que contiene medidas que abordan los tres pilares de la seguridad de la información: personas, procesos y tecnología.

La serie consta de 46 normas individuales, incluida la ISO 27000, que ofrece una introducción a la familia y aclara términos y definiciones clave.

 

¿Cuál es el objetivo de la norma ISO 27001?

Su objetivo es asegurar que los controles implementados sean adecuados y proporcionados para la gestión de los riesgos de seguridad de la información.
La certificación en ISO 27001 es una forma de demostrar que una organización tiene un SGSI adecuado y efectivo en su lugar.

ISO 27001 Detalla los requisitos esenciales para establecer y administrar un Sistema de Gestión de Seguridad de la Información (SGSI). Esta norma cuenta con certificación.

Fases de la norma ISO 27001 de seguridad informática:

La norma ISO 27001 se divide en dos partes principales:

  1. La evaluación y tratamiento de riesgos
  2. La aplicación de medidas de seguridad. Dentro de estas medidas se incluyen procedimientos, políticas, equipos y software.

Es común que las empresas ya tengan instalados los recursos tecnológicos necesarios, pero no se utilicen de manera segura. Al aplicar la norma ISO 27001 se establecen reglas para prevenir incidentes de seguridad.

La seguridad de la información no se limita únicamente a la tecnología, sino también a aspectos como la gestión de recursos humanos, protección física y jurídica, y la gestión de procesos.

ISO 27001 permite implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la mejora continua, valorando todas las amenazas o riesgos que puedan afectar a la información que maneja la empresa, ya sea propia o de terceros. También sirve para aplicar las medidas y controles necesarios para reducir o evitar dichos riesgos.

iso 27001 ciberseguridad
La implementación del ciclo de Deming en ciberseguridad no es una opción, es la única forma de garantizar una mejora continua en la seguridad de la información de una empresa

 

Esta norma se basa en un enfoque fundamentado en el ciclo de mejora continua o ciclo de DEMIN , conocido como PDCA (Planificar-Hacer-Verificar-Actuar en inglés Plan Do Check Act). Cada fase de este ciclo conlleva acciones específicas que deben llevarse a cabo para lograr una mejora continua en la seguridad de la información de la empresa.

En cada una de las fases del ciclo PDCA, se llevan a cabo una serie de acciones específicas en ciberseguridad.

En la fase de Planificar

Se definen la política de seguridad, el alcance del SGSI, se realiza el análisis de riesgos, se seleccionan los controles, se definen competencias, se establece un mapa de procesos y se determinan las autoridades y responsabilidades.

En la fase de Hacer

Se implementa el plan de gestión de riesgos, se aplica el SGSI y se implantan los controles.

En la fase de Verificar

Se realiza la revisión interna del SGSI, se llevan a cabo auditorías internas del SGSI, se establecen indicadores y métricas, y se realiza una revisión por parte de la Dirección.

Finalmente, en la fase de Actuar

Se adoptan acciones correctivas y se aplican acciones de mejora para garantizar una mejora continua en la seguridad de la información de la empresa.

 

Apartados de la norma ISO 27001

La norma ISO 27001 se divide en los siguientes apartados:

  1. Introducción: Presenta la finalidad y el ámbito de aplicación de la norma, así como los términos y definiciones clave.
  2. Referencias normativas: Enumera las normas y estándares relacionados con la gestión de la seguridad de la información que son de aplicación en conjunción con la ISO 27001.
  3. Términos y definiciones: Establece una lista de términos y definiciones que se utilizan en la norma.
  4. Contexto de la organización: Se refiere a la identificación de las partes interesadas y los requisitos de la norma, así como la evaluación del contexto organizacional y la comprensión de la gestión de riesgos.
  5. Liderazgo: Define las responsabilidades de la dirección de la organización y su compromiso con la gestión de la seguridad de la información.
  6. Planificación: Se refiere a la planificación de los objetivos y los requisitos de la norma, así como a la evaluación de riesgos y la selección de controles.
  7. Soporte: Establece los requisitos para la gestión de recursos, la competencia, la toma de conciencia y la comunicación.
  8. Operación: Describe la implementación de los controles y medidas de seguridad de la información.
  9. Evaluación del desempeño: Se refiere a la realización de auditorías internas y la revisión por parte de la dirección.
  10. Mejora continua: Establece la necesidad de la mejora continua del Sistema de Gestión de Seguridad de la Información y el proceso de corrección y prevención de acciones.

 

Controles

También conocidos como medidas de protección, salvaguardas, contramedidas o simplemente medidas

La norma ISO 27001 establece un conjunto de controles que se pueden aplicar para proteger la seguridad de la información. Estos controles se dividen en 14 categorías y se enumeran a continuación:

  1. Política de seguridad de la información: Define los requisitos básicos para establecer, implementar, mantener y mejorar la política de seguridad de la información.
  2. Organización de la seguridad de la información: Define las responsabilidades y los roles para la gestión de la seguridad de la información.
  3. Gestión de activos: Define los requisitos para la gestión de los activos de la información, incluyendo la propiedad, el uso aceptable, el manejo y la disposición.
  4. Control de acceso: Define los requisitos para controlar el acceso a los sistemas y aplicaciones que contienen información.
  5. Criptografía: Define los requisitos para el uso de la criptografía para proteger la confidencialidad, integridad y autenticidad de la información.
  6. Seguridad física y del entorno: Define los requisitos para proteger la información contra amenazas físicas y ambientales.
  7. Seguridad en la gestión de operaciones: Define los requisitos para asegurar la correcta gestión de los sistemas y la información durante su operación.
  8. Seguridad en las comunicaciones: Define los requisitos para proteger la información durante su transmisión.
  9. Adquisición, desarrollo y mantenimiento de sistemas de información: Define los requisitos para asegurar la seguridad de la información en los sistemas desarrollados o adquiridos.
  10. Relaciones con proveedores: Define los requisitos para asegurar que los proveedores de servicios o productos que manejan información de la organización cumplan con los requisitos de seguridad.
  11. Gestión de incidentes de seguridad de la información: Define los requisitos para la gestión de incidentes de seguridad de la información, incluyendo la notificación, la respuesta y la recuperación.
  12. Aspectos de seguridad para la gestión de la continuidad del negocio: Define los requisitos para asegurar la disponibilidad de los sistemas y la información en caso de interrupciones.
  13. Cumplimiento: Define los requisitos para cumplir con las leyes, regulaciones y normas de seguridad de la información aplicables.
  14. Auditoría de seguridad de la información: Define los requisitos para la auditoría interna y externa de la seguridad de la información.

Cómo obtener la certificación ISO 27001

Para obtener la certificación ISO 27001, una organización debe seguir un proceso específico que implica los siguientes pasos:

  1. Preparación: La organización debe familiarizarse con la norma ISO 27001 y establecer su alcance y objetivos.
  2. Evaluación de riesgos: La organización debe realizar una evaluación de riesgos para identificar los riesgos a los que está expuesta su información y los controles necesarios para mitigarlos.
  3. Implementación de controles: La organización debe implementar los controles de seguridad necesarios para proteger su información y cumplir con los requisitos de la norma ISO 27001.
  4. Auditoría interna: La organización debe realizar una auditoría interna para asegurarse de que todos los controles están implementados correctamente.
  5. Auditoría externa: La organización debe contratar a una entidad de certificación acreditada para realizar una auditoría externa y verificar que cumple con los requisitos de la norma ISO 27001.
  6. Obtención de la certificación: Si la organización cumple con todos los requisitos de la norma ISO 27001, recibirá la certificación correspondiente.

Es importante destacar que la certificación no es permanente, ya que la organización debe someterse a auditorías periódicas para mantenerla y demostrar que sigue cumpliendo con los requisitos de la norma.

Conclusión:

Como técnico en ciberseguridad  he de destacar que la protección de la información es un aspecto crítico para cualquier empresa en la actualidad. La norma ISO 27001 puede ser una herramienta útil para garantizar la seguridad de la información automatizada y la implantación de un SGSI basado en esta norma puede ayudar a las empresas a proteger adecuadamente su información.

La norma ISO 27001 es una herramienta fundamental para la implementación de un sistema de gestión de seguridad de la información efectivo en cualquier organización. Al seguir los lineamientos y controles establecidos en la norma, las empresas pueden garantizar la protección de su información y la de sus clientes, minimizando los riesgos de incidentes de seguridad y aumentando la confianza en su gestión de la información. Además, la norma ISO 27001 promueve la mejora continua, lo que significa que las empresas pueden seguir actualizándose y adaptándose a las nuevas amenazas y desafíos en el ámbito de la seguridad de la información. En resumen, la ISO 27001 es una herramienta valiosa para garantizar la seguridad de la información y la protección de los intereses de la empresa y sus clientes.