<< Vuelve al Blog

Norma ISO27001 | Versión 2022

certiprof iso27001 Dec 12, 2022

La ISO27001 es la norma que define buenas prácticas asociadas a la Seguridad de la Información, definiendo todos los requisitos genéricos y que se pueden aplicar a cualquier tipo de organización, sin importar su tamaño o tipo. El principal objetivo de esta norma es la defensa, la protección y la gestión de la información, siendo uno de los activos más importantes de la organización.

Al momento de implementar la norma ISO 27001 las organizaciones deberán identificar todos los activos de información, riesgos de seguridad y definir los controles para gestionar las amenazas.

Esta implementación en su organización genera mucha más confianza a los clientes, proveedores o interesados en sus servicios.

Algunos beneficios de la Norma ISO27001

  •  Identificar los principales riesgos en materia de seguridad informática y establecer controles para gestionarlos o eliminarlos.
  •  Reduce las posibilidades de que se produzcan fallos de seguridad en su entorno informático.
  •  Garantía de que la información está accesible únicamente a personal autorizado.
  • Implementa procedimientos para permitir la detección oportuna y a tiempo de brechas de seguridad.
  • Ventaja por cumplimiento de la organización de los requisitos reconocidos internacionalmente.
  • Aumento de la confianza en la organización con respecto a los socios, los clientes y el público.
  • Detecta y clasifica los riesgos en función de su gravedad y posibilidades reales de que se lleguen a producir.
  • Ahorro costes de la organización por la reducción de incidentes.

¿Qué es el SGSI (Sistema de Gestión de Seguridad de la Información)?

El SGSI es la herramienta que dispone la dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad. Este proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y los planes estratégicos de la empresa.

Un Sistema de Gestión de Seguridad de la Información debe preservar la confidencialidad, integridad y disponibilidad de la información, y para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Todo esto lo constituye el SGSI.

Fases del SGSI

Cabe recalcar que SGSI es un sistema dinámico que mejora continuamente la detección, evaluación y mitigación de amenazas y riesgos de información. Convirtiéndose en un ciclo de cambios y ajustes constantes en la planificación, nuevas implementaciones de seguridad, monitoreo y control constantes, para lograr un alto nivel de seguridad de datos empresariales. Para que sea un procedimiento la norma 27001 especifica un esquema de fases como se observa en el gráfico, que ayuda a realizarlo en orden y sus documentos entregables que se obtienen de cada fase.

ISO/IEC 27001:2022 ÚLTIMA EDICIÓN

La nueva versión de la norma iso27001 refleja la estructura de otros nuevos estándares de gestión como ISO 9000, ISO 20000 e ISO 22301 y ayuda a las organizaciones a cumplir con varias normas.

La industria ha cambiado con la aparición del Marco de Seguridad Cibernética (CSF) del NIST, que se enfoca en proteger la infraestructura crítica que respalda los servicios esenciales en los Estados Unidos, las propuestas de seguridad cibernética de la UE reflejadas en varios documentos ENISA, ITIL y COBIT (2019) y PCI, también han influido en la necesidad de actualizar el contenido de la norma.

Hay 93 controles en 4 dominios en comparación con los 114 controles en 14 cláusulas en la versión de 2013.

Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos

  • Se agregaron 11 nuevos controles 🛡️ (Inteligencia de amenazas, Seguridad de la información en la nube, continuidad del negocio, seguridad física y su supervisión, configuración, eliminación de la información, encriptación de datos, seguimiento y monitoreo, filtrado web, codificación segura).
  • 1 control se eliminó (eliminación de activos)
  • 58 controles se actualizaron
  • 24 controles fusionados
  • 4 dominios: organizacional (37 controles), personas (8 controles), físico (14 controles), tecnológico
  • (34 controles)

¿Qué función cumple el Auditor Interno ISO 27001?

  • Desarrollo de la auditoría: Facilitar y proveer las herramientas y aptitudes necesarias para desarrollar la auditoría interna en el SGSI.
  • Mejora continua: Contribuir de manera oportuna a la mejora continua de la organización.
  • Identificación de amenazas: Controlar e identificar las diversas amenazas a las que se enfrenta la organización.
  • Generación de alternativas: Generar alternativas que logren solucionar los posibles riesgos de las organizaciones.

Si quieres convertirte en un auditor interno ISO27001 con certificación internacional, te invitamos a acceder al siguiente enlace donde encontraras más detalles sobre cómo hacerlo:

Más información Programa Certificación ISO27001

Team Hacker Mentor