La norma y controles ISO 27001 están desarrollados por la Organización Internacional de Normalización y tienen como objetivo ayudar a gestionar la seguridad de la información en una empresa, así como asegurar la confidencialidad y la integridad de sus datos. ¿Tienes un negocio y quieres saber más sobre el tema? En CTMA Consultores te damos las claves más importantes.
La primera versión de este precepto se publicó en 2005 como una adaptación de ISO de la norma británica BS 7799-2. Desde entonces, la obtención de este certificado es del interés de cualquier tipo de empresa, ya sea grande o pequeña e independientemente de su volumen de actividad.
Su importancia radica principalmente en el papel fundamental que juegan los activos de información dentro de una organización como elementos imprescindibles para la obtención de sus objetivos. Cada año que pasa, la cifra de sociedades que cuentan con este título aumenta de manera exponencial.
Se trata de una norma de referencia a nivel global en la actualidad. En España ya son en torno a 800 las empresas que están certificadas con los controles ISO 27001 y el total mundial asciende a más de 33.000 entidades, según los datos obtenidos en 2016.
La aplicación de los controles ISO-27001 significa la adopción de unos procesos formales para definir responsabilidades en lo que a la seguridad de la información se refiere. De esta manera, una organización puede diferenciarse respecto al resto, mejorando así su competitividad e imagen.
¿Cuántos controles tiene la ISO 27001 Anexo A?
Es importante saber que dentro de la norma ISO 27001 se encuentra el Anexo A, cuya implementación es elemental ya que es el normativo y dentro de este se encuentra todo lo relativo a los controles de seguridad. Su práctica es obligatoria y ayudan en la protección de la información de las empresas.
En la norma ISO 27001 Anexo A hay un total de 114 controles de seguridad. Cada organización debe elegir aquellos que se adapten mejor a sus necesidades, no solo en el área de tecnología, sino también dentro de otros departamentos como el de recursos humanos, seguridad financiera, comunicaciones y otros más.
Estos 114 controles ISO 27001 están divididos en las siguientes 14 secciones:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad de los recursos humanos
- Gestión de activos
- Controles de acceso
- Criptografía – Cifrado y gestión de claves
- Seguridad física y ambiental
- Seguridad operacional
- Seguridad de las comunicaciones
- Adquisición, desarrollo y mantenimiento del sistema
- Gestión de incidentes de seguridad de la información
- Cumplimiento
En la normativa inicial de 2005 había hasta 133 controles, pero en 2013 se produjeron modificaciones para eliminar los estándares de acciones preventivas y el requisito para documentar ciertos procedimientos.
Estructura de la norma y controles ISO 27001
De manera general, se puede decir que la norma y controles ISO 27001 se pueden aplicar a todo tipo de organizaciones donde la información sea un activo del que dependen sus objetivos y resultados.
La realidad es que gestionar la seguridad de la información es una necesidad cada vez más importante dentro de cualquier sector de actividad empresarial y, actualmente, cada vez existen más certificados de este tipo en los sectores servicios, transporte y logística, salud, financiero en general y el sector de educación.
Así se estructura:
⇨ Objeto y campo de aplicación
La norma comienza facilitando una serie de directrices acerca del uso que se le debe dar, cuál es su finalidad y la manera en la que este estándar se debe aplicar.
⇨ Referencias Normativas
La Organización Internacional de Normalización recomienda la consulta de una determinada documentación que es indispensable para la correcta aplicación de ISO 27001.
⇨ Términos y Definiciones
Posteriormente, se describe la terminología aplicable a este estatuto.
⇨ Contexto de la Organización
Se trata del primer requisito de la norma y controles ISO 27001. En este vienen recogidas una serie de pautas que versan sobre el conocimiento de la Organización Internacional de Normalización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas en el proceso y la determinación del alcance del Sistema de Gestión para la Seguridad de la Información (SGSI).
⇨ Planificación
Este apartado expresa la importancia que tiene la especificación de oportunidades y riesgos existentes dentro de la planificación de un Sistema de Gestión de Seguridad de la Información. De la misma manera, es elemental que se fije una serie de objetivos a cumplir en clave de Seguridad de la Información y la manera en la que se ejecutarán.
⇨ Soporte
Los controles ISO 27001 esclarecen en esta cláusula que la empresa debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso para que el SGSI funcione correctamente.
⇨ Operación
Con el propósito de cumplir con los objetivos marcados en la fase de planificación, esta sección del estatuto señala que se debe implementar y controlar los procesos de la organización, así como realizar una valoración y tratamiento de los riesgos de la Seguridad de la Información.
⇨ Evaluación
A continuación, se decreta la manera en la que se llevarán a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del SGSI. Esta es la manera de certificar que todo funciona tal y como se había planificado.
del SGSI. Esta es la manera de certificar que todo funciona tal y como se había planificado.
⇨ Mejora
En el último lugar residen las obligaciones que tendrán las empresas cuando estén disconformes con cualquier aspecto y, en consecuencia, la importancia de expresarlo con el objetivo de mejorar continuamente la conveniencia, adecuación y eficacia del Sistema de Gestión de Seguridad de la Información.
Si necesitas un certificado de SGSI en tu empresa, cuenta con la ayuda del servicio de consultoría profesional de CTMA Consultores. Tenemos un 100% de empresas certificadas. Todas las que han pasado la auditoría de certificación con nosotros se han certificado.
Nuestros especialistas se adaptan a cada cliente, su necesidad y disponibilidad de manera individualizada para lograr la certificación ISO 27001 de manera rápida y eficaz. Contacta con nosotros a través de correo electrónico, llamando al 91 809 19 02 o acudiendo a nuestras oficinas en Madrid. Te esperamos.