Blog Grupo CFI

7 claves para implantar la ISO 27001

Escrito por Cristina Corbillón Gómez | Oct 13, 2023 11:45:54 AM

La seguridad de la información se ha convertido en una de las tareas más esenciales que tienen que garantizar las organizaciones. Para proteger los datos y mejorar la reputación y la confianza de cara a los clientes, existe la norma internacional ISO 27001. En este post vamos a detallar de forma pormenorizada las 7 claves principales para la implantación de esta norma en una entidad, desde la evaluación de riesgos hasta la concienciación y formación de los empleados. Todo esto te asegura una eficaz protección de los activos más valiosos en una empresa y, por ende, cumplir con uno de los estándares más exigentes de protección de la información. ¡Sigue leyendo!

¿Para qué sirve la norma ISO 27001?

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (SGSI).

¿Qué es un SGSI?

Un SGSI es un conjunto de políticas, procedimientos, instrucciones técnicas, herramientas y controles que se utilizan para proteger la información de una organización.

 Cuando hay muchos actores implicados, hay que acordar controles, procedimientos y unas evaluaciones que hay que realizar para que realmente se esté gestionando la seguridad de la información de forma apropiada y no se tengan incidentes. ¿Por qué?

Pues porque el objetivo principal de un SGSI es garantizar la disponibilidad, la integridad y la confidencialidad de la información de una organización, así como asegurar su cumplimiento legal, contractual y normativo, especialmente para aquellas organizaciones que tienen información sensible y/o propia (por ejemplo, despachos de abogados, empresas que realizan desarrollo de software o data center, entre otros). Por ello, tienen que cumplir, por un lado, los requisitos legales que se establece, entre otras, la norma de Protección de Datos; y, por otro lado, los requisitos contractuales que tienen con sus clientes. Con lo cual, el SGSI permite asegurar el cumplimiento de los requisitos legales y de los requisitos contractuales, al mismo tiempo que se protege la seguridad de la información.

¿Qué es disponibilidad?

Pues es la propiedad de la información por la que no se revela a individuos o a personas no autorizadas, es decir, solo tiene acceso a la información aquellos que deben tener acceso. Además, es que está en el momento en el que tiene que estar.

¿Qué es integridad?

 Consiste en la propiedad de la información que se mantiene veraz y no es manipulada de forma no autorizada, es decir, la información es correcta.

Ciclo de Deming (PDCA)

 La norma ISO 27001 también cumple con el ciclo de Deming (PDCA), es decir, Planificar, Hacer, Realizar, Corregir y Mejorar. En cada vuelta de ciclo que se hace, se mejora la seguridad de la información, es decir, un mejor sistema que va actualizándose y mejorando en cada vuelta.

 ¿Por qué es importante la ISO 27001?

 Porque tenemos más Sistemas de Gestión de Seguridad de la Información, pero ¿por qué esta norma es la referente a nivel mundial?

Pues porque la norma ISO/IEC 27001 es una Norma de ámbito mundial para la implementación de un SGSI, con lo que su certificación es reconocida y valorada en todos los países del mundo.

Importancia de un SGSI

 Un SGSI es una herramienta esencial para proteger los activos de información de una organización. Ayuda a prevenir la pérdida o filtración de información confidencial, proteger la reputación de la organización y garantizar el cumplimiento legal, contractual y normativo.

Última versión de las normas

UNE-EN ISO/IEC 27001:2023

Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos (ISO/IEC 27001:202

UNE-EN ISO/IEC 27002:2023 (versión corregida en fecha 2023-06-21)

Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la Seguridad de la información (ISO/IEC 27002:2022).

 

¿Cómo se implanta un Sistema de Gestión de Seguridad de la Información? Claves principales

 
Por un lado, debe establecerse un procedimiento para la creación y actualización de los documentos del sistema
  • Identificación y descripción (título, fecha, autor, código, etc.)
  • Formato y medios de soporte (papel, electrónico, etc.)
  • Revisión y aprobación
Elaborar los documentos del SGSI
  • Contexto y partes interesados
  • Alcance
  • Política de Seguridad de la Información
  • Roles y responsabilidades
  • Declaración de Aplicabilidad
  • Plan de tratamiento de riesgos
  • Procedimientos de seguridad

Realizar una evaluación de riesgos
La evaluación de riesgos es un proceso que se utiliza para identificar y evaluar los riesgos que existen para la seguridad de la información de la organización. Debe identificar amenazas, vulnerabilidades, impacto y probabilidad de que la amenaza tenga existo.

Plan de tratamiento de riesgos

Formular un plan de tratamiento de los riesgos de seguridad de la información y obtener la aprobación del plan de tratamiento de los riesgos y la aceptación de los riesgos residuales. Debe incluir medidas organizativas, técnicas y físicas

Implantar los controles de seguridad

Los controles de seguridad son las medidas específicas que se implementa para proteger la información. Pueden ser organizativos, técnicos y físicos. La ISO 27002 proporciona un catálogo de controles.

Auditoría del SGSI

La auditoría implica una revisión sistemática del SGSI por un auditor externo o interno con el objetivo de revisar si el sistema cumple con los requisitos propios de la organización y los requisitos de la ISO 27001 de forma eficaz.

Revisión por la dirección

La alta dirección debe revisar el SGSI a intervalos planificados para asegurarse de su conveniencia, adecuación y eficacia continuas. Se debe conservar información documentada de las revisiones por la dirección.

Los controles de la ISO 27002

ISO 27002:2022 Número de controles

A.5 Controles organizacionales

37

A.6 Controles de personas

8

A.7 Controles físicos

14

A.8 Controles tecnológicos

34

Organización

  • Políticas de seguridad
  • Roles y responsabilidades
  • Clasificación de la información
  • Inventario de activos
  • Uso aceptable de la información y activos asociados
  • Control de acceso y permisos
  • Gestión de las contraseñas
  • Proveedores y requisitos de seguridad y confidencialidad
  • Servicios Cloud
  • Gestión de incidentes
  • Requisitos legales y contractuales
  • Protección de datos personales
Controles de personas
  • Responsabilidades en relación con la seguridad de la información
  • Concienciación y formación
  • Proceso disciplinario
  • Acuerdo de confidencialidad
  • Teletrabajo
  • Notificación de eventos de seguridad de la información

Controles físicos

  • Perímetro de seguridad física
  • Protección contra amenazas físicas y ambientales (fuego, agua, etc.)
  • Puesto de trabajo despejado y pantalla limpia
  • Soportes de almacenamiento
  • Eliminación o reutilización de equipos
Controles tecnológicos
  • Dispositivos del usuario
  • Gestión de privilegios de acceso
  • Autenticación segura
  • Antimalware
  • Gestión de vulnerabilidades técnicas
  • Gestión de configuración
  • Copias de seguridad
  • Seguridad de las redes
  • Segregación de las redes
  • Filtrado de webs
  • Cifrado de la información
  • Instalación del software
  • Registro de eventos
  • Redundancia de los recursos de tratamiento de la información

  7 Claves para implantar la ISO 27001

  1. Contexto adecuado
    Debe realizarse una comprensión de la organización y su contexto, determinando las cuestionas externas e internas pertinentes para su propósito en relación con la seguridad de la información.

    Determinar expectativas de las partes interesadas y sus requisitos en relación con la seguridad de la información.
  1.  Definir bien el alcance del SGSI
    El alcance del SGSI define la extensión y los límites del sistema de gestión de seguridad de la información.
    Qué activos de información y qué activos de soportes están incluidos (ubicaciones físicas, actividades o procesos, equipamiento, etc.
  1. Definir la Política de Seguridad de la Información
    La Política de Seguridad de la información es un documento personalizado que define los principios, directrices y compromisos de la alta dirección para proteger la información y prevenir y mitigar los riesgos que puedan afectarla.
  1. Identificar los activos
    Identificar bien los activos de información que posee la organización y todos los activos de soportes. Los soportes pueden ser digitales y físicos.
  1. Evaluación de riesgos
    La evaluación de riesgos debe tener siempre una metodología que concrete claramente la asignación de los valores y cuyos resultados sean replicables por personas distintas. Debe identificar amenazas, vulnerabilidades, impacto y probabilidad.
  1. Plan de tratamiento de riesgos
    Formular un plan de tratamiento de los riesgos de seguridad de la información de seguridad de la información y obtener la aprobación del plan de tratamiento de los riesgos y la aceptación de los riesgos residuales. Debe incluir medidas organizativas, técnicas y físicas.
  1. Concienciación y comunicación
    La organización debe tener evidencias de que ha comunicado la política de seguridad de la información y que ha realizado actividades de formación y concienciación respecto a la seguridad de la información.

    Propuesta única que ofrecemos


  • Curso Implantador ISO 27001 (60h)
    Aquí podrás ver de forma pormenorizada cómo se realiza la implantación de la ISO 27001 en una organización.
  • ISO Director – Plataforma de Gestión e Implantación
    Plataforma única en el mercado para implantar y gestionar la ISO 27001 y el Esquema Nacional de Seguridad (ENS).
  • Plataforma que está preparada la ISO 27002:2022
  • Bolsa de horas
    Con un consultor especialista para resolver todas tus dudas
    Todo lo que necesitas para implantar la ISO 27001: formación + software + soporte.
Ver post completo