Qué es la norma ISO 27001 y para qué sirve

seguridad-informacion-iso-27001
3.7/5 - (4 votos)

La norma ISO 27001 es el estándar internacional para la gestión de la seguridad de la información en las organizaciones, tanto para la información física como para la digital. Es parte de la familia de estándares ISO 27000, las cuales ayudan a las organizaciones a mantener sus bienes de información seguros.

La implementación de esta normativa, adoptada por miles de empresas, públicas y privadas alrededor del mundo, establece un enfoque sistemático para la gestión de la información organizacional confidencial y asegura que se mantenga protegida y disponible. En general, es un estándar amplio que cubre la seguridad técnica, física, de personal y de procesos en la compañía.

Para qué sirve la ISO 27001

Concretamente, la norma ISO 27001 establece los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de la Seguridad de la Información (SGSI). Estos sistemas son cada vez más comunes en las compañías, debido a los nuevos riesgos digitales inherentes a tecnologías como el Cloud Computing o el Big Data y al aumento de los ciberataques.

La norma ISO también incluye los requisitos para la apreciación y el tratamiento de los riesgos de seguridad de información a la medida de las necesidades de la organización. Los requisitos establecidos en esta norma internacional son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza.

La última versión de la ISO 27001 es de 2015, si bien, en España la Asociación Española de Normalización (UNE) la aprobó en 2017, por lo que el nombre de la norma es UNE-ISO/IEC 27001. Es posible adquirir la ISO 27001 en español en la página web de AENOR, si bien, su descarga no es gratuita.

Implementación ISO 27001: Principales ventajas

La principal ventaja de implementar la norma ISO 27001 es, como es obvio, garantizar que la información que maneja la empresa está bien protegida. Si bien, su implementación también ayudará a reducir los costes que podrían derivarse de incidentes de seguridad en la empresa.

Por otro lado, contar con un Sistema de Gestión de Seguridad de la Información (SGSI) también facilitará a la organización cumplir con todos los requerimientos legales que ya existen en el ámbito de la protección de la información. Por ejemplo, permitirá cumplir correctamente con el nuevo Reglamento General de Protección de Datos (RGPD).

Fases para implantar un Sistema de Gestión de Seguridad de la Información

Las fases del proceso de implantación de un SGSI basado en la norma ISO 27001 pueden resumirse en 10 puntos fundamentales:

  1. Obtención del apoyo de la dirección: La dirección o gerencia de la organización debe apoyar desde el principio la implantación del SGSI, respaldando y supervisando las medidas adoptadas.
  2. Definición del alcance e inventario de activos: El alcance describe la extensión y los límites del SGSI. También es necesario elaborar y mantener un inventario de toda aquella información que tiene valor para la empresa.
  3. Análisis de riesgos: Es importante contar con un buen plan de análisis y de tratamiento de riesgos.
  4. Desarrollo e implementación del programa de implantación del SGSI: Consiste en el proyecto de implantación en sí.
  5. Herramientas de operación del sistema: Se trata de los documentos que sustentan la operatividad del SGSI. Entre ellos debe estar el plan de continuidad.
  6. Auditoría interna: Se debe establecer un plan de auditorías internas para revisar el SGSI dentro del proceso de mejora continua.
  7. Acciones correctivas: Por cada no conformidad detectada en la auditoría, se deben proponer una o varias medidas de corrección.
  8. Auditoría de certificación: La tiene que realizar una entidad externa y certificada. Si se supera, se obtiene la certificación ISO/IEC 27001.
  9. Operación integrada en la rutina del SGSI: En esta fase se entiende que los procesos, políticas y controles de la norma están integrados en el funcionamiento rutinario de la organización.
  10. Auditorías anuales de vigilancia: Estas auditorías pueden llevarse a cabo por un auditor interno pero lo idóneo es que las realice una entidad externa.

Estructura de la norma

La norma ISO/IEC 27001 está compuesta por una introducción, 10 capítulos, un anexo y la bibliografía. Concretamente, el índice de la norma es el siguiente:

  1. Introducción.
    1. Generalidades.       
    2. Compatibilidad con otras normas de sistemas de gestión.
  2. Objeto y campo de aplicación.
  3. Normas para consulta.
  4. Términos y definiciones.     
  5. Contexto de la organización.             
    1. Comprensión de la organización y de su contexto.  
    2. Comprensión de las necesidades y expectativas de las partes interesadas.  
    3. Determinación del alcance del sistema de gestión de la seguridad dela información.
    4. Sistema de gestión de la seguridad de la información.           
  6. Liderazgo.  
    1. Liderazgo y compromiso.    
    2. Política.       
    3. Roles, responsabilidades y autoridades en la organización. 
  7. Planificación.            
    1. Acciones para tratar los riesgos y oportunidades.    
    2. Objetivos de seguridad de la información y planificación para su consecución.          
  8. Soporte.     
    1. Recursos.   
    2. Competencia.          
    3. Concienciación.       
    4. Comunicación.         
    5. Información documentada.
  9. Operación.
    1. Planificación y control operacional.
    2. Apreciación de los riesgos de seguridad de la información. 
    3. Tratamiento de los riesgos de seguridad de la información.
  10. Evaluación del desempeño.
    1. Seguimiento, medición, análisis y evaluación.           
    2. Auditoría interna.   
    3. Revisión por la dirección.    
  11. Mejora.      
    1. No conformidad y acciones correctivas.       
    2. Mejora continua.    

El Anexo contiene 114 objetivos de control y controles de referencia repartidos en 14 secciones o dominios de seguridad.

Certificación en ISO 27001

Otra característica de esta norma de Seguridad de la Información es que es una norma certificable. De hecho, es la única norma de la familia de las ISO 27000 que se puede certificar. Así, contar con la certificación ISO 27001 permite a la empresa diferenciarse de otras que no cuenten con el certificado. De cara a los clientes, esto puede suponer una importante ventaja comercial. Y es que, los usuarios valorarán positivamente que una empresa se preocupe por certificar su sistema de gestión de la seguridad de la información.

Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School

La ISO 27001 se aborda en profundidad en el Máster en Ciberseguridad y Gestión de Riesgos Digitales de EALDE Business School. Se trata de un máster 100% online, orientado a formar a profesionales expertos en la identificación y mitigación de riesgos asociados a las nuevas tecnologías.

Puedes solicitar más información sobre el Máster en Ciberseguridad haciendo clic en el siguiente botón:

Más información

Amplía más conocimientos sobre esta normativa con el siguiente vídeo:

Etiquetas:, ,

author avatar
EALDE

Posts de interés

Problemas ciberseguridad NFTs
Principales problemas de ciberseguridad asociados a los NFTs
3 agosto, 2022
El 75% de los gestores de riesgos desconoce si el impacto de las criptomonedas en la economía será cuantificable
El 75% de los gestores de riesgos desconoce si el impacto de las criptomonedas en la economía será cuantificable
1 agosto, 2022
gestión de riesgos en el entorno Fintech
Los ciberriesgos asociados a las criptomonedas, detrás de su caída de valor
6 julio, 2022

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.