Saltear al contenido principal
ISO 27001

Cuestiones básicas de la norma ISO 27001

ISO 27001

ISO 27001

La norma ISO 27001 2013 ha sido la primera revisión que se ha realizado al estándar internacional. La revisión se ha realizado gracias a la experiencia práctica en la utilización de la norma durante todos estos años. Existen dos claras influencias para realizar la revisión.

La primera de las influencias se encuentra relacionada con la necesidad de que todas las normas ISO cumplan con la estructura de alto nivel según lo establecido por el Anexo SL, la conformidad de dichos requisitos que establecen una tendencia en todos los Sistemas de Gestión.

CTA 27001 EBOOK BOTON

Descarga gratis e-book: La norma ISO 27001

La segunda de las influencias se encuentra relaciona con la necesidad de alinear la norma ISO 27001 con los principios y la orientación que se ofrece por la norma ISO 31000 de gestión de riesgos.

El resultado de la revisión genera una enorme diferencia entre la norma ISO 27001 2013 y la ISO 27001 2005. En la norma ISO 27001 2013 no se duplican requisitos y existe una gran libertad de elección.

El resultado de cómo queda la norma ISO 27001 2013 en comparación con la ISO 27001 2005 en cuanto a estructura es:

ISO 27001

Ventajas y desventajas

Las ventajas que ofrece la norma ISO 27001 son:

  • Facilita la integración de todos los sistemas de gestión, ya que cuenta con una estructura de alto nivel común, unos términos comunes y unas definiciones que facilitan la implantación.
  • Todas las definiciones se encuentran dentro de la norma ISO 27000.
  • Los riesgos de la seguridad de la información tienen que ser abordados satisfactoriamente.
  • Los documentos que se requieren se encuentran perfectamente establecidos, ya que se hace referencia a la complejidad y al tamaño.
  • Se hace mención a las todas las acciones preventivas.

Las desventajas que ofrece la norma ISO 27001 son:

  • Se trata de una abstracción y un elevado nivel, por lo que no está muy detallado.
  • Los requisitos pueden parecer difíciles de interpretar, ya que existen nuevos conceptos.
  • No se hace mención al modelo PHVA (Planificar, Hacer, Verificar y Actuar)
  • No se menciona en ningún momento la política del Sistema de Gestión de Seguridad de la Información.
  • No existe una descripción detallada a la hora de identificar los riesgos.

Los nuevos requisitos de la norma ISO 27001 2013 son:

4.2 Entendiendo las necesidades y expectativas de las partes interesadas.

4.3 Determinar los objetivos del SGSI.

5.1 Liderazgo y compromiso.

6.1 Acciones para direccionar los riesgos y las oportunidades.

6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos.

7.3 Sensibilización.

7.4 Comunicación.

7.5 Información documentada.

8.1 Planificación y control operativo.

9.1 Seguimiento, medición, análisis y evaluación.

9.3 Revisión de la Dirección.

10.1 No conformidades y acciones correctivas.

¿Qué es Información?

Para comprender el funcionamiento de la norma ISO 27001 tenemos que conocer lo que significa información. La información se encuentra organizada por los datos procesados, tienen un mensaje que modifica el estado de conocimiento del sujeto. Para realizar las actividades diarias, las operaciones del trabajo y cumplir con todas las funciones. La información tiene que estar estructura y que se vea modificada por las distintas interacciones entre la información y el entorno.

¿Qué es Seguridad de la Información?

La información es un recurso muy importante para las empresas, por lo que tiene que ser especialmente protegido. La seguridad de la información se encarga de proteger una amplia gama de amenazas, con el fin de garantizar la mejora continua del negocio, minimizar el daño que se pueda producir a la información e incrementar el retorno de las inversiones y las oportunidades de negocio. La información puede existir de muchas formas diferentes. Puede que se encuentre impresa, puede que se almacene de forma electrónica, puede transmitirse por correo electrónico, o estar resumida en imágenes o por otro tipo de medios, pero siempre debe estar protegida de una forma adecuada.

En la cláusula 8.1 nos encontramos con los activos que se relacionan con las instalaciones en las que se procesa la información importante de la empresa, dicha información tiene que ser perfectamente identificada y se debe guardar en un inventario de activos que debe estar perfectamente redactado y mantenido.

Dentro de la cláusula 4.2 se comprende la necesidad que existe por todas las partes interesadas. Las partes interesadas son relevantes para el Sistema de Gestión de Seguridad de la Información y todos los requisitos de las partes interesadas en cuanto a la seguridad de la información.

La cláusula 6.1.2 realiza una evaluación de los diferentes riesgos en seguridad de la información. Se identifican todos los riesgos a los que se enfrenta la información, se aplica un proceso para evaluar los riesgos realizando la identificación de éstos y asociándolos a la pérdida de confidencialidad, integridad y disponibilidad de la información propiamente dicha o que sea sensible dentro del ámbito del Sistema de Gestión de Seguridad de la Información. Se tienen que identificar a todas las personas que sean propietarias de algún riesgo.

En la cláusula 5.3 se habla de los roles de la organización, los responsables y las autoridades. La alta dirección se tiene que asegurar que las personas conocen cuáles son sus responsabilidades y las autoridades de las que disponen para realizar las funciones pertinentes a la seguridad de la información.

Con la publicación de la norma ISO 27001 2013 las organizaciones se enfrentan a un gran reto en cuanto a la gestión de la seguridad de la información.

Los conceptos que se deben reforzar son:

  • Partes interesadas
  • Liderazgo
  • Sensibilización
  • Comunicación
  • Capacidades
  • Propietario del riesgo
  • Gestión del riesgo
  • Oportunidades, etc.

La norma ISO 27002 tiene menos cantidad de controles y la metodología también presenta controles tecnológicos, de forma adicional se cuentan con políticas de control más claras.

ISO 27001

El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

CTA 27001 EBOOK BOTON

Descarga gratis e-book: La norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba