EALDE Business School
EALDE Business School

ISO 27001 e ISO 27002 para Riesgos en la Seguridad de la Información

09/07/2017
Alejandro Riveros
5/5 - (2 votos)

La Gestión de Riesgos en la Seguridad de la Información basada en la norma ISO/IEC 27001 entiende que toda la información contenida y procesada por la empresa está sujeta a ataques, errores de la naturaleza, y sus consecuentes amenazas. Se está sujeto a vulnerabilidades que son inherentes a su utilización.

La Seguridad de la Información se basa generalmente en la información considerada como activo. La información tiene un valor que requiere protección. En caso contrario, puede suponer la pérdida de su disponibilidad, confidencialidad e integridad.

La información completa debe estar habilitada y ser precisa. De su disponibilidad va a depender la eficiencia de la compañía.

Tabla de contenidos

ISO 27002

ISO/IEC 27002 proporciona 14 dominios, 35 objetivos de control y 114 controles.

Dominios de ISO 27002:

  1. Políticas de seguridad.
  2. Aspectos organizativos de la Seguridad de la Información.
  3. Seguridad ligada a los Recursos Humanos.
  4. Gestión de activos.
  5. Control de accesos.
  6. Cifrado.
  7. Seguridad física y ambiental.
  8. Seguridad en la operativa.
  9. Seguridad en las telecomunicaciones.
  10. Adquisición, desarrollo y mantenimiento de los sistemas de información.
  11. Relaciones con proveedores.
  12. Gestión de incidentes en la Seguridad de la Información.
  13. Aspectos de la Seguridad de la Información en la gestión de la continuidad de negocio.
  14. Cumplimiento.
ISO 27001

Siguiendo ISO 27001 la evaluación de riesgos y sus controles es considerada desde el comienzo, para definir la metodología y realizar un reporte inicial de esta evaluación. Se observa cuál es la situación de los controles y los objetivos de control en relación con la Seguridad de la Información, para definir la relación de los controles y el plan de tratamiento de los riesgos. Finalmente, si se busca la aprobación de la implementación, se realiza una declaración de la aplicabilidad, partiendo de la aceptación de los riesgos residuales.

ISO 27001 orienta sobre los riesgos de Seguridad de la Información, pero no especifica el enfoque de evaluación y gestión del riesgo que se debe usar. Esta norma está alineada con ISO 31000.

Sobre el autor: Alejandro Riveros

Publicista colombiano con una amplia trayectoria en el mundo del marketing y las relaciones públicas. Experiencia en el sector empresarial y en importantes equipos políticos en Colombia. Máster en Marketing Político de la Universidad de Alcalá de Henares en Madrid, España.
Máster en Gestión de Riesgos
Fórmate con los mejores profesionales del sector

Infórmate aquí

Informe

Global Risk Analysis: Horizonte 2024

Descárgalo gratis

Artículos relacionados

Qué necesitas para la implementar Sistemas de Gestión ISO

Qué necesitas para la implementar Sistemas de Gestión ISO

Abr 15, 2024

Las líneas de gestión adoptadas en una empresa han de actuar al unísono, haciendo que todas las operaciones rutinarias sigan una misma ruta. Para que esto suceda así, nacieron las normas ISO. Un conjunto de elementos coordinados entre sí que establecen las pautas que...

leer más

Síguenos en redes sociales

Sé el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *