• Programas
    • Gestión de Riesgos
    • Dirección de Proyectos
    • Dirección General
    • Compliance
    • Riesgos Digitales y Ciberseguridad
  • EALDE
    • EALDE
    • Nuestro equipo
    • Profesorado
    • Metodología
    • Testimonios de Alumnos
    • Preguntas frecuentes
    • ¿Por qué estudiar en EALDE?
  • Matriculación
    • Proceso de admisión
    • Solicita admisión
    • Matriculación
    • Becas y Financiación
  • Actualidad
    • Eventos
    • Blog
  • Contacto
  • Campus
Logo-Ealde-Negativo-200x50pxLogo EALDE
  • Programas
    • Gestión de Riesgos
    • Dirección de Proyectos
    • Dirección General
    • Compliance
    • Riesgos Digitales y Ciberseguridad
  • EALDE
    • EALDE
    • Nuestro equipo
    • Profesorado
    • Metodología
    • Testimonios de Alumnos
    • Preguntas frecuentes
    • ¿Por qué estudiar en EALDE?
  • Matriculación
    • Proceso de admisión
    • Solicita admisión
    • Matriculación
    • Becas y Financiación
  • Actualidad
    • Eventos
    • Blog
  • Contacto
  • Campus

Ciberseguridad y Riesgos Digitales

  • Inicio
  • Blog
  • Ciberseguridad y Riesgos Digitales
  • Qué es la norma ISO 27001 y para qué sirve

Qué es la norma ISO 27001 y para qué sirve

  • Escrito por EALDE
  • Categorías Ciberseguridad y Riesgos Digitales
  • Fecha 17 diciembre, 2020
  • Comentarios 0 comentarios
seguridad-informacion-iso-27001
5 / 5 ( 2 votos )

La norma ISO 27001 es el estándar internacional para la gestión de la seguridad de la información en las organizaciones, tanto para la información física como para la digital. Es parte de la familia de estándares ISO 27000, las cuales ayudan a las organizaciones a mantener sus bienes de información seguros.

La implementación de esta normativa, adoptada por miles de empresas, públicas y privadas alrededor del mundo, establece un enfoque sistemático para la gestión de la información organizacional confidencial y asegura que se mantenga protegida y disponible. En general, es un estándar amplio que cubre la seguridad técnica, física, de personal y de procesos en la compañía.

Para qué sirve la ISO 27001

Concretamente, la norma ISO 27001 establece los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de la Seguridad de la Información (SGSI). Estos sistemas son cada vez más comunes en las compañías, debido a los nuevos riesgos digitales inherentes a tecnologías como el Cloud Computing o el Big Data y al aumento de los ciberataques.

La norma ISO también incluye los requisitos para la apreciación y el tratamiento de los riesgos de seguridad de información a la medida de las necesidades de la organización. Los requisitos establecidos en esta norma internacional son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza.

La última versión de la ISO 27001 es de 2015, si bien, en España la Asociación Española de Normalización (UNE) la aprobó en 2017, por lo que el nombre de la norma es UNE-ISO/IEC 27001. Es posible adquirir la ISO 27001 en español en la página web de AENOR, si bien, su descarga no es gratuita.

Implementación ISO 27001: Principales ventajas

La principal ventaja de implementar la norma ISO 27001 es, como es obvio, garantizar que la información que maneja la empresa está bien protegida. Si bien, su implementación también ayudará a reducir los costes que podrían derivarse de incidentes de seguridad en la empresa.

Por otro lado, contar con un Sistema de Gestión de Seguridad de la Información (SGSI) también facilitará a la organización cumplir con todos los requerimientos legales que ya existen en el ámbito de la protección de la información. Por ejemplo, permitirá cumplir correctamente con el nuevo Reglamento General de Protección de Datos (RGPD).

Fases para implantar un Sistema de Gestión de Seguridad de la Información

Las fases del proceso de implantación de un SGSI basado en la norma ISO 27001 pueden resumirse en 10 puntos fundamentales:

  1. Obtención del apoyo de la dirección: La dirección o gerencia de la organización debe apoyar desde el principio la implantación del SGSI, respaldando y supervisando las medidas adoptadas.
  2. Definición del alcance e inventario de activos: El alcance describe la extensión y los límites del SGSI. También es necesario elaborar y mantener un inventario de toda aquella información que tiene valor para la empresa.
  3. Análisis de riesgos: Es importante contar con un buen plan de análisis y de tratamiento de riesgos.
  4. Desarrollo e implementación del programa de implantación del SGSI: Consiste en el proyecto de implantación en sí.
  5. Herramientas de operación del sistema: Se trata de los documentos que sustentan la operatividad del SGSI. Entre ellos debe estar el plan de continuidad.
  6. Auditoría interna: Se debe establecer un plan de auditorías internas para revisar el SGSI dentro del proceso de mejora continua.
  7. Acciones correctivas: Por cada no conformidad detectada en la auditoría, se deben proponer una o varias medidas de corrección.
  8. Auditoría de certificación: La tiene que realizar una entidad externa y certificada. Si se supera, se obtiene la certificación ISO/IEC 27001.
  9. Operación integrada en la rutina del SGSI: En esta fase se entiende que los procesos, políticas y controles de la norma están integrados en el funcionamiento rutinario de la organización.
  10. Auditorías anuales de vigilancia: Estas auditorías pueden llevarse a cabo por un auditor interno pero lo idóneo es que las realice una entidad externa.

Estructura de la norma

La norma ISO/IEC 27001 está compuesta por una introducción, 10 capítulos, un anexo y la bibliografía. Concretamente, el índice de la norma es el siguiente:

  1. Introducción.
    1. Generalidades.       
    2. Compatibilidad con otras normas de sistemas de gestión.
  2. Objeto y campo de aplicación.
  3. Normas para consulta.
  4. Términos y definiciones.     
  5. Contexto de la organización.             
    1. Comprensión de la organización y de su contexto.  
    2. Comprensión de las necesidades y expectativas de las partes interesadas.  
    3. Determinación del alcance del sistema de gestión de la seguridad dela información.
    4. Sistema de gestión de la seguridad de la información.           
  6. Liderazgo.  
    1. Liderazgo y compromiso.    
    2. Política.       
    3. Roles, responsabilidades y autoridades en la organización. 
  7. Planificación.            
    1. Acciones para tratar los riesgos y oportunidades.    
    2. Objetivos de seguridad de la información y planificación para su consecución.          
  8. Soporte.     
    1. Recursos.   
    2. Competencia.          
    3. Concienciación.       
    4. Comunicación.         
    5. Información documentada.
  9. Operación.
    1. Planificación y control operacional.
    2. Apreciación de los riesgos de seguridad de la información. 
    3. Tratamiento de los riesgos de seguridad de la información.
  10. Evaluación del desempeño.
    1. Seguimiento, medición, análisis y evaluación.           
    2. Auditoría interna.   
    3. Revisión por la dirección.    
  11. Mejora.      
    1. No conformidad y acciones correctivas.       
    2. Mejora continua.    

El Anexo contiene 114 objetivos de control y controles de referencia repartidos en 14 secciones o dominios de seguridad.

Certificación en ISO 27001

Otra característica de esta norma de Seguridad de la Información es que es una norma certificable. De hecho, es la única norma de la familia de las ISO 27000 que se puede certificar. Así, contar con la certificación ISO 27001 permite a la empresa diferenciarse de otras que no cuenten con el certificado. De cara a los clientes, esto puede suponer una importante ventaja comercial. Y es que, los usuarios valorarán positivamente que una empresa se preocupe por certificar su sistema de gestión de la seguridad de la información.

Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School

La ISO 27001 se aborda en profundidad en el Máster en Ciberseguridad y Gestión de Riesgos Digitales de EALDE Business School. Se trata de un máster 100% online, orientado a formar a profesionales expertos en la identificación y mitigación de riesgos asociados a las nuevas tecnologías.

Puedes solicitar más información sobre el Máster en Ciberseguridad haciendo clic en el siguiente botón:

Más información

Amplía más conocimientos sobre esta normativa con el siguiente vídeo:

Sumario
título
Qué es la norma ISO 27001 y para qué sirve
Descripción
La norma ISO 27001 establece los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de la Seguridad de la Información (SGSI)
Autor
EALDE Business School
Publisher Name
EALDE Business School

Etiquetas:ISO 27001, seguridad de la información, Sistema de Gestión de la Seguridad de la Información

  • Compartir:
author avatar
EALDE

Anteriores posts

La consultoría en gestión de riesgos, un área profesional en auge
17 diciembre, 2020

Próximos posts

Las 10 áreas de conocimiento en dirección de proyectos según el PMBOK® Guide
17 diciembre, 2020

Posts de interés

Inscripción al ciclo de Análisis forense y ciberseguridad
EALDE lanza un ciclo de webinars sobre análisis forense y ciberseguridad
19 enero, 2021
Amenazas de seguridad en dispositivos móviles
Seguridad en dispositivos móviles: Principales amenazas
11 enero, 2021
Un smart contract es un contrato autoejecutable muy usado en las Fintech
Los principales riesgos de Ciberseguridad de los smart contracts
28 diciembre, 2020

Deja un comentario Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

máster en Ciberseguridad y Riesgos Digitales

Síguenos

Beneficios de la ISO 27001

Temáticas

Entradas recientes

  • Ventajas de las nuevas especializaciones en Dirección de Proyectos de EALDE
  • Qué son las Fintech y qué servicios pueden ofrecer
  • EALDE colabora con el VI Encuentro Cumplen sobre Compliance
  • 5 pasos para elaborar un buen plan de comunicación interna
Emagister

logo-footer

edificioC/ del Golfo de Salónica, 27
28033 Madrid, España

mail[email protected]
telefono +34 917 710 259

SOBRE NOSOTROS


EALDE
Profesorado
Metodología
Campus Virtual
Testimonios de Alumnos
Preguntas frecuentes

ÁREAS DE CONOCIMIENTO


Dirección General
Banca y Finanzas
Dirección de Proyectos
Gestión de Riesgos
Marketing y Comunicación
Comercio Internacional

¿HABLAMOS?


Entra en nuestro blog
Envíanos tus comentarios
Solicita admisión
Becas

Aviso Legal         Condiciones de Contratación         Trabaja con nosotros

©2020 EALDE Business School. Todos los derechos reservados.