7 claves para implantar la ISO 27001

La seguridad de la información se ha convertido en una de las tareas más esenciales que tienen que garantizar las organizaciones. Para proteger los datos y mejorar la reputación y la confianza de cara a los clientes, existe la norma internacional ISO 27001. En este post vamos a detallar de forma pormenorizada las 7 claves principales para la implantación de esta norma en una entidad, desde la evaluación de riesgos hasta la concienciación y formación de los empleados. Todo esto te asegura una eficaz protección de los activos más valiosos en una empresa y, por ende, cumplir con uno de los estándares más exigentes de protección de la información. ¡Sigue leyendo!

¿Para qué sirve la norma ISO 27001?

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (SGSI).

¿Qué es un SGSI?

Un SGSI es un conjunto de políticas, procedimientos, instrucciones técnicas, herramientas y controles que se utilizan para proteger la información de una organización.

Cuando hay muchos actores implicados, hay que acordar controles, procedimientos y unas evaluaciones que hay que realizar para que realmente se esté gestionando la seguridad de la información de forma apropiada y no se tengan incidentes. ¿Por qué?

Pues porque el objetivo principal de un SGSI es garantizar la disponibilidad, la integridad y la confidencialidad de la información de una organización, así como asegurar su cumplimiento legal, contractual y normativo, especialmente para aquellas organizaciones que tienen información sensible y/o propia (por ejemplo, despachos de abogados, empresas que realizan desarrollo de software o data center, entre otros). Por ello, tienen que cumplir, por un lado, los requisitos legales que se establece, entre otras, la norma de Protección de Datos; y, por otro lado, los requisitos contractuales que tienen con sus clientes. Con lo cual, el SGSI permite asegurar el cumplimiento de los requisitos legales y de los requisitos contractuales, al mismo tiempo que se protege la seguridad de la información.

¿Qué es disponibilidad?

Pues es la propiedad de la información por la que no se revela a individuos o a personas no autorizadas, es decir, solo tiene acceso a la información aquellos que deben tener acceso. Además, es que está en el momento en el que tiene que estar.

¿Qué es integridad?

Consiste en la propiedad de la información que se mantiene veraz y no es manipulada de forma no autorizada, es decir, la información es correcta.

Ciclo de Deming (PDCA)

La norma ISO 27001 también cumple con el ciclo de Deming (PDCA), es decir, Planificar, Hacer, Realizar, Corregir y Mejorar. En cada vuelta de ciclo que se hace, se mejora la seguridad de la información, es decir, un mejor sistema que va actualizándose y mejorando en cada vuelta.

¿Por qué es importante la ISO 27001?

Porque tenemos más Sistemas de Gestión de Seguridad de la Información, pero ¿por qué esta norma es la referente a nivel mundial?

Pues porque la norma ISO/IEC 27001 es una Norma de ámbito mundial para la implementación de un SGSI, con lo que su certificación es reconocida y valorada en todos los países del mundo.

Importancia de un SGSI

Un SGSI es una herramienta esencial para proteger los activos de información de una organización. Ayuda a prevenir la pérdida o filtración de información confidencial, proteger la reputación de la organización y garantizar el cumplimiento legal, contractual y normativo.

Última versión de las normas

• UNE-EN ISO/IEC 27001:2023

Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos (ISO/IEC 27001:202

• UNE-EN ISO/IEC 27002:2023 (versión corregida en fecha 2023-06-21)

Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la Seguridad de la información (ISO/IEC 27002:2022).

¿Cómo se implanta un Sistema de Gestión de Seguridad de la Información? Claves principales

Por un lado, debe establecerse un procedimiento para la creación y actualización de los documentos del sistema

• Identificación y descripción (título, fecha, autor, código, etc.)
• Formato y medios de soporte (papel, electrónico, etc.)
• Revisión y aprobación

Elaborar los documentos del SGSI

• Contexto y partes interesados
• Alcance
• Política de Seguridad de la Información
• Roles y responsabilidades
• Declaración de Aplicabilidad
• Plan de tratamiento de riesgos
• Procedimientos de seguridad

Realizar una evaluación de riesgos

La evaluación de riesgos es un proceso que se utiliza para identificar y evaluar los riesgos que existen para la seguridad de la información de la organización. Debe identificar amenazas, vulnerabilidades, impacto y probabilidad de que la amenaza tenga existo.

Plan de tratamiento de riesgos

Formular un plan de tratamiento de los riesgos de seguridad de la información y obtener la aprobación del plan de tratamiento de los riesgos y la aceptación de los riesgos residuales. Debe incluir medidas organizativas, técnicas y físicas

Implantar los controles de seguridad

Los controles de seguridad son las medidas específicas que se implementa para proteger la información. Pueden ser organizativos, técnicos y físicos. La ISO 27002 proporciona un catálogo de controles.

Auditoría del SGSI

La auditoría implica una revisión sistemática del SGSI por un auditor externo o interno con el objetivo de revisar si el sistema cumple con los requisitos propios de la organización y los requisitos de la ISO 27001 de forma eficaz.

Revisión por la dirección

La alta dirección debe revisar el SGSI a intervalos planificados para asegurarse de su conveniencia, adecuación y eficacia continuas. Se debe conservar información documentada de las revisiones por la dirección.

Los controles de la ISO 27002

Organización

• Políticas de seguridad
• Roles y responsabilidades
• Clasificación de la información
• Inventario de activos
• Uso aceptable de la información y activos asociados
• Control de acceso y permisos
• Gestión de las contraseñas
• Proveedores y requisitos de seguridad y confidencialidad
• Servicios Cloud
• Gestión de incidentes
• Requisitos legales y contractuales
• Protección de datos personales

Controles de personas

• Responsabilidades en relación con la seguridad de la información
• Concienciación y formación
• Proceso disciplinario
• Acuerdo de confidencialidad
• Teletrabajo
• Notificación de eventos de seguridad de la información

Controles físicos

• Perímetro de seguridad física
• Protección contra amenazas físicas y ambientales (fuego, agua, etc.)
• Puesto de trabajo despejado y pantalla limpia
• Soportes de almacenamiento
• Eliminación o reutilización de equipos

Controles tecnológicos

• Dispositivos del usuario
• Gestión de privilegios de acceso
• Autenticación segura
• Antimalware
• Gestión de vulnerabilidades técnicas
• Gestión de configuración
• Copias de seguridad
• Seguridad de las redes
• Segregación de las redes
• Filtrado de webs
• Cifrado de la información
• Instalación del software
• Registro de eventos
• Redundancia de los recursos de tratamiento de la información

  7 Claves para implantar la ISO 27001

1. Contexto adecuado
   Debe realizarse una comprensión de la organización y su contexto, determinando las cuestionas externas e internas pertinentes para su propósito en relación con la seguridad de la información.

   Determinar expectativas de las partes interesadas y sus requisitos en relación con la seguridad de la información.

7. Concienciación y comunicación
   La organización debe tener evidencias de que ha comunicado la política de seguridad de la información y que ha realizado actividades de formación y concienciación respecto a la seguridad de la información.

   

   Propuesta única que ofrecemos

• Curso Implantador ISO 27001 (60h)
  Aquí podrás ver de forma pormenorizada cómo se realiza la implantación de la ISO 27001 en una organización.