¿Cuál es el significado de ISO 27001?
Primero, es importante señalar que el nombre completo de ISO 27001 es «ISO / IEC 27001 – Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos. ”
Es el estándar internacional líder enfocado en la seguridad de la información, publicado por la Organización Internacional de Normalización (ISO), en asociación con la Comisión Electrotécnica Internacional (IEC). Ambas son organizaciones internacionales líderes que desarrollar estándares internacionales.
ISO-27001 es parte de un conjunto de estándares desarrollados para manejar la seguridad de la información: la serie ISO / IEC 27000.
¿Cuál es el propósito de ISO 27001?
ISO 27001 fue desarrollado para ayudar a las organizaciones, de cualquier tamaño o industria, a proteger su información de una manera sistemática y rentable, mediante la adopción de un Sistema de Gestión de Seguridad de la Información (SGSI).
¿Por qué es importante ISO 27001?
El estándar no solo proporciona un complemento cuenta con el know-how necesario para proteger su información más valiosa, pero una empresa también puede obtener la certificación ISO 27001 y, de esta manera, demostrar a sus clientes y socios que protege sus datos.
Las personas también pueden obtener la certificación ISO 27001 asistiendo a un curso y aprobando el examen y, de esta manera, demostrar sus habilidades a posibles empleadores.
Debido a que es un estándar internacional, ISO 27001 se reconoce fácilmente en todo el mundo, lo que aumenta las oportunidades comerciales para organizaciones y profesionales.
¿Cuáles son los 3 objetivos de seguridad del SGSI?
El objetivo básico de ISO 27001 es proteger tres aspectos de la información:
- Confidencialidad: solo las personas autorizadas tienen derecho a acceder a la información.
- Integridad: solo las personas autorizadas pueden cambiar la información.
- Disponibilidad: la información debe ser accesible a personas autorizadas cuando sea necesario.
¿Qué es un SGSI?
Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de reglas que una empresa necesita establecer para:
- identificar a las partes interesadas y sus expectativas de la empresa en términos de seguridad de la información
- identificar qué riesgos existen para la información
- definir controles (salvaguardas) y otros métodos de mitigación para cumplir con las expectativas identificadas y manejar los riesgos
- establecer objetivos claros sobre lo que debe lograrse con seguridad de la información
- implementar todos los controles y otros métodos de tratamiento de riesgos
- medir continuamente si los controles implementados funcionan como se espera
- hacer una mejora continua para hacer todo el SGSI funcionan mejor
Este conjunto de reglas puede escribirse en forma de políticas, procedimientos y otros tipos de documentos, o puede ser en forma de procesos y tecnologías establecidos que no documentado. ISO 27001 define qué documentos se requieren, es decir, cuáles deben existir como mínimo.
¿Por qué necesitamos SGSI?
Hay cuatro beneficios comerciales esenciales que que una empresa puede lograr con la implementación de este estándar de seguridad de la información:
Cumplir con los requisitos legales: existe un número cada vez mayor de leyes, regulaciones y requisitos contractuales relacionados con la seguridad de la información, y la buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 – esta norma le brinda la metodología perfecta para cumplir con todos ellos.
Logre una ventaja competitiva: si su empresa obtiene la certificación y sus competidores no, es posible que tenga una ventaja sobre ellos a los ojos de los clientes que son sensibles a la hora de mantener segura su información.
Costos más bajos: la filosofía principal de ISO 27001 es evitar que ocurran incidentes de seguridad, y cada incidente, grande o pequeño, cuesta dinero. Por tanto, al prevenirlos, su empresa ahorrará bastante dinero. Y lo mejor de todo: la inversión en ISO 27001 es mucho menor que el ahorro de costes que obtendrá.
Mejor organización: por lo general, las empresas de rápido crecimiento no tienen tiempo para detenerse y definir sus procesos y procedimientos; como consecuencia, muy a menudo los empleados no saben qué se debe hacer, cuándo, y por quien. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones, porque anima a las empresas a anotar sus procesos principales (incluso aquellos que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido por parte de sus empleados.
¿Cómo funciona ISO 27001?
El enfoque de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto se hace averiguando qué problemas potenciales podrían ocurrir con la información (p. Ej., evaluación de riesgos), y luego definir lo que se debe hacer para evitar que sucedan tales problemas (es decir, mitigación de riesgos o tratamiento de riesgos).
Por tanto, la filosofía principal de ISO 27001 se basa en un proceso de gestión de riesgos: averiguar dónde están los riesgos y luego tratarlos sistemáticamente, mediante la implementación de controles de seguridad (o salvaguardas).
ISO 27001 requiere que una empresa enumere todos los controles que se implementarán en un documento llamado Declaración de aplicabilidad.
¿Cuáles son los requisitos para ISO 27001?
Los requisitos obligatorios para ISO 27001 se definen en sus cláusulas 4 a 10; esto significa que todos esos requisitos deben implementarse en una organización si desea cumplir con el estándar. Los controles del Anexo A deben implementarse solo si se declaran aplicables en la Declaración de aplicabilidad.
Los requisitos de las secciones 4 a 10 se pueden resumir de la siguiente manera:
Cláusula 4: Contexto de la organización: define los requisitos para comprender los problemas externos e internos, las partes interesadas y sus requisitos, y define el alcance del SGSI.
Cláusula 5: Liderazgo: define las responsabilidades de la alta dirección, estableciendo los roles y responsabilidades, y el contenido de la Política de seguridad de la información de nivel superior.
Cláusula 6: Planificación: define los requisitos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y el establecimiento de los objetivos de seguridad de la información.
Cláusula 7: Soporte: define los requisitos de disponibilidad de recursos, competencias, sensibilización, comunicación y control de documentos y registros.
Cláusula 8: Operación: define la implementación de la evaluación y el tratamiento de riesgos, así como los controles y otros procesos necesarios para lograr los objetivos de seguridad de la información.
Cláusula 9: Evaluación del desempeño: define los requisitos para el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección.
Cláusula 10: Mejora: define los requisitos para no conformidades, correcciones, acciones correctivas y mejora continua.
¿Cuáles son los 14 dominios de ISO 27001?
Hay Hay 14 «dominios» enumerados en el Anexo A de ISO 27001, organizados en las secciones A.5 a A.18. Las secciones cubren lo siguiente:
A.5. Políticas de seguridad de la información: Los controles en esta sección describir cómo manejar las políticas de seguridad de la información.
A.6. Organización de la seguridad de la información: Los controles en esta sección proporcionan el marco básico para la implementación y operación de la seguridad de la información al definir su organización interna (por ejemplo, roles , responsabilidades, etc.) y a través de los aspectos organizativos de la seguridad de la información, como la gestión de proyectos, el uso de dispositivos móviles y el teletrabajo.
A.7. Seguridad de los recursos humanos: Los controles de esta sección garantizan que las personas que están bajo el control de la organización son contratadas, capacitadas y administradas de manera segura; además, el Se abordan los incipios de acción disciplinaria y la rescisión de los acuerdos.
A.8. Gestión de activos: Los controles de esta sección garantizan que los activos de seguridad de la información (por ejemplo, información, dispositivos de procesamiento, dispositivos de almacenamiento, etc.) estén identificados, que se designen las responsabilidades para su seguridad y que las personas sepan cómo manejarlas de acuerdo con una clasificación predefinida. niveles.
A.9. Control de acceso: Los controles de esta sección limitan el acceso a la información y los activos de información de acuerdo con las necesidades comerciales reales. Los controles son para acceso físico y lógico.
A.10. Criptografía: los controles de esta sección proporcionan la base para el uso adecuado de las soluciones de cifrado para proteger la confidencialidad, autenticidad y / o integridad de la información.
A.11. Seguridad física y ambiental: Los controles en esta sección evitan el acceso no autorizado a áreas físicas y protegen los equipos e instalaciones de ser comprometidos por la intervención humana o natural.
A.12. Seguridad de las operaciones: los controles de esta sección garantizan que los sistemas de TI, incluidos los sistemas operativos y el software, estén seguros y protegidos contra la pérdida de datos. Además, los controles en esta sección requieren los medios para registrar eventos y generar evidencia, verificación periódica de vulnerabilidades y tomar precauciones para evitar que las actividades de auditoría afecten las operaciones.
A.13. Seguridad de las comunicaciones: Los controles de esta sección protegen la infraestructura y los servicios de la red, así como la información que viaja a través de ellos.
A.14. Adquisición, desarrollo y mantenimiento de sistemas: Los controles de esta sección garantizan que se tenga en cuenta la seguridad de la información al comprar nuevos sistemas de información o actualizar los existentes.
A.15.Relaciones con proveedores: los controles de esta sección garantizan que las actividades subcontratadas realizadas por proveedores y socios también utilicen controles de seguridad de la información adecuados y describen cómo supervisar el rendimiento de seguridad de terceros.
A.16. Gestión de incidentes de seguridad de la información: los controles de esta sección proporcionan un marco para garantizar la comunicación y el manejo adecuados de los incidentes y eventos de seguridad, de modo que puedan resolverse de manera oportuna; también definen cómo preservar la evidencia, así como cómo aprender de los incidentes para prevenir su recurrencia.
A.17. Aspectos de seguridad de la información de la gestión de la continuidad del negocio: Los controles de esta sección garantizan la continuidad de la gestión de la seguridad de la información durante las interrupciones y la disponibilidad de los sistemas de información.
A.18. Cumplimiento: Los controles en esta sección proporcionan un marco para prevenir infracciones legales, estatutarias, regulatorias y contractuales, y auditar si la seguridad de la información se implementa y es efectiva de acuerdo con las políticas, procedimientos y requisitos definidos de la norma ISO 27001.
Una mirada más cercana a estos dominios nos muestra que la gestión de la seguridad de la información no se trata solo de seguridad de TI (es decir, firewalls, antivirus, etc.), sino también de gestión de procesos, protección legal, gestión de recursos humanos, protección, etc.
¿Qué son los controles ISO 27001?
Los controles ISO 27001 (también conocidos como salvaguardas) son las prácticas que se deben implementar para reducir los riesgos a niveles aceptables. Los controles pueden ser técnicos, organizacionales, legales, físicos, humanos, etc.
¿Cuántos controles hay en ISO 27001?
ISO 27001 Anexo A enumera 114 controles organizados en las 14 secciones enumerados A.5 a A.18 enumerados anteriormente.
¿Cómo se implementan los controles ISO 27001?
Los controles técnicos se implementan principalmente en los sistemas de información, utilizando componentes de software, hardware y firmware agregado al sistema. P.ej. copia de seguridad, software antivirus, etc.
Los controles organizativos se implementan mediante la definición de reglas a seguir y el comportamiento esperado de los usuarios, equipos, software y sistemas. P.ej. Política de control de acceso, política BYOD, etc.
Los controles legales se implementan asegurando que las reglas y los comportamientos esperados sigan y hagan cumplir las leyes, regulaciones, contratos y otros instrumentos legales similares que la organización debe cumplir. P.ej. NDA (acuerdo de no divulgación), SLA (acuerdo de nivel de servicio), etc.
Los controles físicos se implementan principalmente mediante el uso de equipos o dispositivos que tienen una interacción física con personas y objetos. P.ej. Cámaras de CCTV, sistemas de alarma, cerraduras, etc.
Los controles de recursos humanos se implementan proporcionando conocimientos, educación, habilidades o experiencia a las personas para que puedan realizar sus actividades de manera segura. P.ej. capacitación en conciencia de seguridad, capacitación de auditor interno ISO 27001, etc.
documentos obligatorios ISO 27001
ISO 27001 especifica un conjunto mínimo de políticas, procedimientos, planes, registros y otra información documentada que se necesita para cumplir con la normativa.
ISO 27001 requiere que se redacten los siguientes documentos:
Y estos son los registros obligatorios:
Por supuesto, una empresa puede decidir escribir documentos de seguridad adicionales si lo considera necesario.
Para ver una explicación más detallada de cada uno de estos documentos, descargue el documento técnico gratuito Lista de verificación de la documentación obligatoria requerida por ISO 27001 (revisión de 2013).
¿Cuánto cuesta ISO 27001? ?
Los costos de implementación y certificación del SGSI dependerán del tamaño y la complejidad del alcance del SGSI, que varía de una organización a otra. El costo también dependerá de los precios locales de los diversos servicios que utilizará para la implementación.
En términos generales, estos son algunos de los costos que debe considerar:
- Capacitación y literatura
- Asistencia externa
- Tecnologías para ser actualizado / implementado
- Esfuerzo y tiempo de los empleados
- El costo del organismo de certificación
Para ver una explicación más detallada de la certificación costos, descargue el informe técnico gratuito Cómo presupuestar un proyecto de implementación de ISO 27001.
¿Qué es la «certificación ISO 27001»?
Una empresa puede optar por la certificación ISO 27001 invitando a un organismo de certificación para realizar la auditoría de certificación y, si la auditoría tiene éxito, para emitir el certificado ISO 27001 a la empresa. Este certificado significará que la empresa cumple plenamente con la norma ISO 27001.
Un individuo puede obtener la certificación ISO 27001 al pasar por la capacitación ISO 27001 y aprobar el examen. Este certificado significará que esta persona ha adquirido las habilidades adecuadas durante el curso.
¿Cuánto tiempo es válida la norma ISO 27001 una vez certificada?
Una vez que un organismo de certificación emite un certificado ISO 27001 a una empresa, es válido por un período de tres años, durante el cual el organismo de certificación realizará auditorías de vigilancia para evaluar si la organización está manteniendo el SGSI de manera adecuada. y si las mejoras necesarias se están implementando a su debido tiempo.
¿Qué empresas tienen la certificación ISO 27001?
El sitio web ISO.org proporciona una descripción general de las organizaciones certificadas, categorizadas por industria, país, número de sitios, etc. Puede encontrar el Encuesta ISO en este enlace: https://www.iso.org/the-iso-survey.html.
Para verificar si una empresa en particular tiene la certificación ISO 27001, debe comunicarse con el organismo de certificación, porque no base de datos centralizada oficial de empresas certificadas.
¿Puede una persona obtener la certificación ISO?
Sí, una persona puede obtener la certificación ISO 27001 asistiendo a una o más de las siguientes capacitaciones y aprobando el examen:
- Curso de implementador líder de ISO 27001: esta capacitación está dirigida a consultores y profesionales avanzados.
- Curso de auditor líder de ISO 27001: esta capacitación está destinada a auditores en certificación organismos y para consultores.
- Curso de auditor interno ISO 27001: esta capacitación está dirigida a personas que realizarán auditorías internas en su empresa.
- Curso de Fundamentos de ISO 27001: esta capacitación está dirigida a personas que desean aprender los conceptos básicos del estándar y los pasos principales en la implementación.
¿Qué son los estándares ISO 27000?
Debido a que define los requisitos para un SGSI, ISO 27001 es el estándar principal de la familia de estándares ISO 27000. Pero, debido a que principalmente define lo que se necesita, pero no especifica cómo hacerlo, se han desarrollado varios otros estándares de seguridad de la información para proporcionar una guía adicional. Actualmente, hay más de 40 normas en la serie ISO27k, y las más comúnmente utilizadas son las siguientes:
ISO / IEC 27000 proporciona términos y definiciones utilizados en la serie de normas ISO 27k.
ISO / IEC 27002 proporciona pautas para la implementación de los controles enumerados en el Anexo A de ISO 27001. Puede ser bastante útil, porque proporciona detalles sobre cómo implementar estos controles.
ISO / IEC 27004 proporciona pautas para la medición de la seguridad de la información; encaja bien con ISO 27001, porque explica cómo determinar si el SGSI ha logrado sus objetivos.
ISO / IEC 27005 proporciona pautas para la gestión de riesgos de seguridad de la información. Es un muy buen complemento de ISO 27001, porque brinda detalles sobre cómo realizar la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la implementación.
ISO / IEC 27017 proporciona pautas para la seguridad de la información en entornos de nube.
ISO / IEC 27018 proporciona pautas para la protección de la privacidad en entornos de nube.
ISO / IEC 27031 proporciona pautas sobre qué considerar al desarrollar la continuidad del negocio para las Tecnologías de la Información y la Comunicación (TIC). Este estándar es un gran vínculo entre la seguridad de la información y las prácticas de continuidad empresarial.
¿Cuál es la versión actual de ISO 27001?
A la fecha de publicación de este artículo, la versión actual de ISO 27001 es ISO / IEC 27001: 2013.
La primera versión de ISO 27001 se lanzó en 2005 (ISO / IEC 27001: 2005), la segunda versión en 2013, y la norma se revisó por última vez en 2019 , cuando se confirmó la versión 2013 (es decir, no se necesitaron cambios).
Es importante tener en cuenta que los diferentes países que son miembros de ISO pueden traducir el estándar a sus propios idiomas, haciendo pequeñas adiciones (p. ej. , prólogo nacionales) que no afecten al contenido de la versión internacional de la norma. Estas «versiones» tienen letras adicionales para diferenciarlas de la norma internacional, p. Ej., NBR ISO / IEC 27001 designa la «versión brasileña», mientras que BS ISO / IEC 27001 designa la «versión británica». Estas versiones locales de la norma también contienen el año en que fueron adoptadas por el organismo de normalización local, por lo que la última versión británica es BS EN ISO / IEC 27001: 2017, lo que significa que ISO / IEC 27001: 2013 fue adoptada por la Institución de Normalización Británica. en 2017.
¿Cuál es la diferencia entre ISO 27001 y 27002?
ISO 27001 define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), mientras que ISO 27002 proporciona orientación sobre la implementación de los controles de ISO 27001 Anexo A.
En otras palabras, para cada control, ISO 27001 proporciona solo una breve descripción, mientras que ISO 27002 proporciona una guía detallada.
¿Cuál es la diferencia entre ¿NIST e ISO 27001?
Si bien ISO 27001 es un estándar internacional, NIST es una agencia del gobierno de EE. UU. Que promueve y mantiene estándares de medición en los Estados Unidos, entre ellos la serie SP 800, un conjunto de documentos que especifica mejores prácticas para la seguridad de la información.
Aunque no son lo mismo, la serie NIST SP 800 e ISO 27001 se pueden usar juntas para la implementación de la seguridad de la información.
¿Es obligatoria la ISO 27001?
En la mayoría de los países, la implementación de ISO 27001 no es obligatoria. Sin embargo, algunos países han publicado regulaciones que requieren que ciertas industrias implementen ISO 27001.
Para determinar si ISO 27001 es obligatorio o no para su empresa, debe buscar asesoramiento legal experto en el país donde opera.
¿Qué son los controles de ISO 27001?
Las organizaciones públicas y privadas pueden definir el cumplimiento de ISO 27001 como un requisito legal en sus contratos y acuerdos de servicio con sus proveedores. Además, como se mencionó anteriormente, los países pueden definir leyes o regulaciones que conviertan la adopción de ISO 27001 en un requisito legal que deben cumplir las organizaciones que operan en su territorio.
Para obtener más información sobre el RGPD de la UE y por qué es aplicable a todo el mundo, consulte este artículo.