Qué es la norma ISO 27001 y para qué sirve

por Alejandro Riveros
17/12/20
3.9/5 - (23 votos)

La norma ISO 27001 es el estándar internacional para la gestión de la seguridad de la información en las organizaciones, tanto para la información física como para la digital. Es parte de la familia de estándares ISO 27000, las cuales ayudan a las organizaciones a mantener sus bienes de información seguros.

La implementación de esta normativa, adoptada por miles de empresas, públicas y privadas alrededor del mundo, establece un enfoque sistemático para la gestión de la información organizacional confidencial y asegura que se mantenga protegida y disponible. En general, es un estándar amplio que cubre la seguridad técnica, física, de personal y de procesos en la compañía.

Para qué sirve la ISO 27001

Concretamente, la norma ISO 27001 establece los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de la Seguridad de la Información (SGSI). Estos sistemas son cada vez más comunes en las compañías, debido a los nuevos riesgos digitales inherentes a tecnologías como el Cloud Computing o el Big Data y al aumento de los ciberataques.

La norma ISO también incluye los requisitos para la apreciación y el tratamiento de los riesgos de seguridad de información a la medida de las necesidades de la organización. Los requisitos establecidos en esta norma internacional son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza.

La última versión de la ISO 27001 es de 2015, si bien, en España la Asociación Española de Normalización (UNE) la aprobó en 2017, por lo que el nombre de la norma es UNE-ISO/IEC 27001. Es posible adquirir la ISO 27001 en español en la página web de AENOR, si bien, su descarga no es gratuita.

Máster en Gestión de Riesgos Digitales y Ciberseguridad

Lidera planes de gestión de riesgos tecnológicos.

Implementación ISO 27001: Principales ventajas

La principal ventaja de implementar la norma ISO 27001 es, como es obvio, garantizar que la información que maneja la empresa está bien protegida. Si bien, su implementación también ayudará a reducir los costes que podrían derivarse de incidentes de seguridad en la empresa.

Por otro lado, contar con un Sistema de Gestión de Seguridad de la Información (SGSI) también facilitará a la organización cumplir con todos los requerimientos legales que ya existen en el ámbito de la protección de la información. Por ejemplo, permitirá cumplir correctamente con el nuevo Reglamento General de Protección de Datos (RGPD).

Fases para implantar un Sistema de Gestión de Seguridad de la Información

Las fases del proceso de implantación de un SGSI basado en la norma ISO 27001 pueden resumirse en 10 puntos fundamentales:

  1. Obtención del apoyo de la dirección: La dirección o gerencia de la organización debe apoyar desde el principio la implantación del SGSI, respaldando y supervisando las medidas adoptadas.
  2. Definición del alcance e inventario de activos: El alcance describe la extensión y los límites del SGSI. También es necesario elaborar y mantener un inventario de toda aquella información que tiene valor para la empresa.
  3. Análisis de riesgos: Es importante contar con un buen plan de análisis y de tratamiento de riesgos.
  4. Desarrollo e implementación del programa de implantación del SGSI: Consiste en el proyecto de implantación en sí.
  5. Herramientas de operación del sistema: Se trata de los documentos que sustentan la operatividad del SGSI. Entre ellos debe estar el plan de continuidad.
  6. Auditoría interna: Se debe establecer un plan de auditorías internas para revisar el SGSI dentro del proceso de mejora continua.
  7. Acciones correctivas: Por cada no conformidad detectada en la auditoría, se deben proponer una o varias medidas de corrección.
  8. Auditoría de certificación: La tiene que realizar una entidad externa y certificada. Si se supera, se obtiene la certificación ISO/IEC 27001.
  9. Operación integrada en la rutina del SGSI: En esta fase se entiende que los procesos, políticas y controles de la norma están integrados en el funcionamiento rutinario de la organización.
  10. Auditorías anuales de vigilancia: Estas auditorías pueden llevarse a cabo por un auditor interno pero lo idóneo es que las realice una entidad externa.

Estructura de la norma

La norma ISO/IEC 27001 está compuesta por una introducción, 10 capítulos, un anexo y la bibliografía. Concretamente, el índice de la norma es el siguiente:

  1. Introducción.
    1. Generalidades.       
    2. Compatibilidad con otras normas de sistemas de gestión.
  2. Objeto y campo de aplicación.
  3. Normas para consulta.
  4. Términos y definiciones.     
  5. Contexto de la organización.
    1. Comprensión de la organización y de su contexto.  
    2. Comprensión de las necesidades y expectativas de las partes interesadas.  
    3. Determinación del alcance del sistema de gestión de la seguridad dela información.
    4. Sistema de gestión de la seguridad de la información.           
  6. Liderazgo.
    1. Liderazgo y compromiso.    
    2. Política.       
    3. Roles, responsabilidades y autoridades en la organización. 
  7. Planificación.
    1. Acciones para tratar los riesgos y oportunidades.    
    2. Objetivos de seguridad de la información y planificación para su consecución.          
  8. Soporte.
    1. Recursos.   
    2. Competencia.          
    3. Concienciación.       
    4. Comunicación.         
    5. Información documentada.
  9. Operación.
    1. Planificación y control operacional.
    2. Apreciación de los riesgos de seguridad de la información. 
    3. Tratamiento de los riesgos de seguridad de la información.
  10. Evaluación del desempeño.
    1. Seguimiento, medición, análisis y evaluación.           
    2. Auditoría interna.   
    3. Revisión por la dirección.    
  11. Mejora.
    1. No conformidad y acciones correctivas.       
    2. Mejora continua.    

El Anexo contiene 114 objetivos de control y controles de referencia repartidos en 14 secciones o dominios de seguridad.

Certificación en ISO 27001

Otra característica de esta norma de Seguridad de la Información es que es una norma certificable. De hecho, es la única norma de la familia de las ISO 27000 que se puede certificar. Así, contar con la certificación ISO 27001 permite a la empresa diferenciarse de otras que no cuenten con el certificado. De cara a los clientes, esto puede suponer una importante ventaja comercial. Y es que, los usuarios valorarán positivamente que una empresa se preocupe por certificar su sistema de gestión de la seguridad de la información.

Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School

La ISO 27001 se aborda en profundidad en el Máster en Ciberseguridad y Gestión de Riesgos Digitales de EALDE Business School. Se trata de un máster 100% online, orientado a formar a profesionales expertos en la identificación y mitigación de riesgos asociados a las nuevas tecnologías.

Puedes solicitar más información sobre el Máster en Ciberseguridad haciendo clic en el siguiente botón:

Amplía más conocimientos sobre esta normativa con el siguiente vídeo:

logo EALDE Business School
Máster en Ciberseguridad

Fórmate con los mejores profesionales del sector

Infórmate aquí
Descarga este eBook gratis

El rol del Big Data en la Ciberseguridad

Entradas recientes

Principales problemas de ciberseguridad asociados a los NFTs

¿Existen problemas de ciberseguridad dentro del mundo NFTs? Al tratarse de una tecnología nueva que de por sí está incompleta y que, a su vez, se desarrolla en base a distintos estándares elaborados por diferentes organismos y entidades alrededor del mundo, la...

La demanda de talento en Ciberseguridad doblará a la oferta en 2024

Varios estudios prevén que la demanda de talento en ciberseguridad seguirá superando al número de profesionales cualificados hasta el fin de la actual década. Según la CNN, hay más de 3 millones de empleos vacantes en ciberseguridad a nivel global, muchos de ellos en...

Sobre el autor

Soy Alejandro Riveros, un publicista colombiano con una amplia trayectoria en el mundo del marketing y las relaciones públicas. Mi formación profesional comenzó en la reconocida Universidad Sergio Arboleda de Bogotá, donde me especialicé en Publicidad. Durante mi tiempo en la universidad, adquirí los conocimientos y las habilidades necesarias para enfrentar los retos del campo laboral. Actualmente, formo parte del equipo de marketing de EALDE Business School, una institución de renombre. En esta posición, tengo la oportunidad de redactar artículos para el blog, lo cual me permite compartir mis conocimientos y experiencias con otros profesionales del ámbito empresarial. Trabajar en EALDE Business School ha ampliado mi perspectiva y me ha brindado la oportunidad de participar en proyectos educativos de gran envergadura. A lo largo de mi carrera, he tenido la valiosa oportunidad de trabajar tanto en el sector público como en el privado. Inicié mi trayectoria en equipos de relaciones públicas, donde desempeñé funciones en el desarrollo y ejecución de campañas publicitarias dentro de reconocidas agencias del medio. Esta experiencia me permitió desarrollar habilidades estratégicas y creativas, y despertó mi pasión por buscar nuevas oportunidades. El espíritu emprendedor siempre ha sido una de mis mayores motivaciones, lo cual me llevó a fundar mi propia empresa dedicada al marketing de influencia y Talent Management. Esta experiencia me permitió explorar nuevas formas de conectar a las marcas con su audiencia a través de influencers y desarrollar estrategias innovadoras para el crecimiento empresarial. Además de mi experiencia en el sector empresarial, he tenido el privilegio de formar parte de importantes equipos políticos en Colombia. Comencé mi trayectoria como miembro de la Unidad de Trabajo Legislativo (UTL) del Senador Colombiano Antonio Navarro Wolff, donde contribuí en la elaboración y ejecución de proyectos legislativos de gran relevancia. Posteriormente, me uní a la UTL del Senador Juan Luis Castro Córdoba, donde pude seguir aportando al desarrollo de políticas públicas. Continuando mi trayectoria en el ámbito político, formé parte de la Unidad de Apoyo Normativo (UAN) del Concejal de Bogotá Juan Javier Baena Merlano. En esta posición, trabajé en la elaboración de propuestas normativas y proyectos de impacto para la ciudad. Estas experiencias me brindaron una visión integral del sistema político y la importancia de la comunicación efectiva en el ámbito público. En mi búsqueda constante de crecimiento y conocimiento, obtuve un Máster en Marketing Político de la Universidad de Alcalá de Henares en Madrid, España. Esta experiencia académica enriquecedora me permitió profundizar mis conocimientos y habilidades en el ámbito del marketing político, fortaleciendo mi capacidad para crear estrategias efectivas y comunicar mensajes persuasivos. Además de mi dedicación profesional, tengo pasiones que me acompañan en mi día a día. Soy un apasionado del fútbol, un deporte que me apasiona tanto ver como practicar. También tengo un profundo interés por la geografía, explorando diferentes culturas y países a través de la cartografía y los viajes. Además, el ajedrez es una de mis aficiones, que me desafía intelectualmente y me ayuda a desarrollar habilidades estratégicas.
Logo EALDE

Posts relacionados

Logo EALDE

Se el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *