La norma ISO 27001 es un estándar internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI) efectivo. La implementación de un SGSI basado en la norma ISO 27001 ayuda a las organizaciones a proteger su información y a garantizar la confidencialidad, integridad y disponibilidad de los datos.
Uno de los elementos clave de la norma ISO 27001 son los 114 controles que se especifican en la sección A.12 del Anexo A. Estos controles se dividen en 14 categorías, cada una de las cuales está diseñada para abordar un área específica de la seguridad de la información.
Tabla de contenidos
A continuación, analizaremos cada una de estas categorías y algunos de los controles asociados.
Política de seguridad de la información
Esta categoría se centra en el establecimiento de una política de seguridad de la información que establezca las directrices generales para la gestión de la seguridad de la información en la organización. Algunos de los controles asociados incluyen la revisión regular de la política de seguridad de la información y la asignación de responsabilidades claras para la gestión de la seguridad de la información.
Organización de la seguridad de la información
Esta categoría se centra en la organización de la seguridad de la información en la organización. Algunos de los controles asociados incluyen la designación de un responsable de la seguridad de la información y la definición de roles y responsabilidades claros para la gestión de la seguridad de la información.
Gestión de activos
Esta categoría se centra en la gestión de los activos de información de la organización, incluyendo el inventario, la propiedad y la clasificación de la información. Algunos de los controles asociados incluyen la identificación de los activos de información críticos y la implementación de medidas de seguridad adecuadas para protegerlos.
Seguridad de recursos humanos
Esta categoría se centra en la seguridad de los recursos humanos en la organización, incluyendo la contratación, la formación y la concienciación sobre la seguridad de la información. Algunos de los controles asociados incluyen la realización de verificaciones de antecedentes y la formación en seguridad de la información para todos los empleados.
Seguridad física y del entorno
Esta categoría se centra en la seguridad física y del entorno en la organización, incluyendo la protección contra el acceso no autorizado y los desastres naturales. Algunos de los controles asociados incluyen el establecimiento de medidas de seguridad física adecuadas, como el control de acceso y la vigilancia de la seguridad.
Gestión de comunicaciones y operaciones
Esta categoría se centra en la gestión de las comunicaciones y las operaciones en la organización, incluyendo la gestión de la red y la gestión de los servicios de terceros. Algunos de los controles asociados incluyen la gestión de la seguridad de los sistemas de información y la implementación de medidas de seguridad para los servicios de terceros.
Control de accesos
Esta categoría se centra en el control de acceso a la información en la organización. Algunos de los controles asociados incluyen la definición de políticas de acceso y la implementación de medidas de seguridad para la autenticación y la autorización.
Adquisición, desarrollo y mantenimiento de sistemas de información
Esta categoría se centra en la seguridad en la adquisición, desarrollo y mantenimiento de los sistemas de información de la organización. Algunos de los controles asociados incluyen la evaluación de la seguridad de los sistemas de información adquiridos y la implementación de medidas de seguridad durante el desarrollo y el mantenimiento de los sistemas de información internos.
Gestión de incidentes de seguridad de la información
Esta categoría se centra en la gestión de incidentes de seguridad de la información en la organización, incluyendo la identificación, la evaluación y la respuesta a los incidentes de seguridad de la información. Algunos de los controles asociados incluyen la definición de procedimientos para la gestión de incidentes y la realización de pruebas de simulación de incidentes.
Gestión de la continuidad del negocio
Esta categoría se centra en la gestión de la continuidad del negocio en la organización, incluyendo la planificación y preparación para la recuperación en caso de interrupciones. Algunos de los controles asociados incluyen la definición de planes de continuidad del negocio y la realización de pruebas de simulación de interrupciones.
Conformidad
Esta categoría se centra en la conformidad con los requisitos legales y reglamentarios, así como con las políticas internas y los compromisos contractuales. Algunos de los controles asociados incluyen la identificación de los requisitos legales y reglamentarios relevantes y la implementación de medidas para garantizar el cumplimiento.
Gestión de la seguridad de la información en terceros
Esta categoría se centra en la gestión de la seguridad de la información en terceros, como proveedores y contratistas. Algunos de los controles asociados incluyen la evaluación de la seguridad de los terceros y la implementación de medidas para garantizar la seguridad de la información compartida con terceros.
Seguridad en las comunicaciones
Esta categoría se centra en la seguridad en las comunicaciones electrónicas en la organización, incluyendo la protección de la información transmitida a través de redes públicas. Algunos de los controles asociados incluyen la implementación de medidas de seguridad para la transmisión de información confidencial y la protección de la información contra el acceso no autorizado.
Operaciones de seguridad
Esta categoría se centra en la gestión de las operaciones de seguridad de la información en la organización, incluyendo la realización de auditorías y revisiones de la seguridad de la información. Algunos de los controles asociados incluyen la realización de pruebas de penetración y la implementación de medidas para garantizar la seguridad en la gestión de la información.
En resumen, la norma ISO 27001 establece una serie de controles que abarcan todos los aspectos de la seguridad de la información en una organización. La implementación de estos controles puede ayudar a las organizaciones a proteger su información y a garantizar la confidencialidad, integridad y disponibilidad de los datos.
Por: Manuel De la Colina
¿Quieres o tienes que implementar y/o certificar la ISO 27001 en tu organización? Contáctanos