Implementación de controles de seguridad de la información en base a la ISO/IEC 27001

ISO 27001

La norma ISO 27001 está enfocada en el aseguramiento, la confidencialidad y la integridad de los datos, al igual que en los sistemas que se encargan de gestionar la seguridad de la información.

Este estándar internacional fue creado para proporcionar un modelo que permita establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar es fomentar que sus usuarios enfaticen la importancia de:

• Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para esto.
• Implementar y operar controles para manejar los riesgos de la seguridad de la información.
• Monitorear y revisar el desempeño y la efectividad del SGSI.
• Mejoramiento continuo con base a la medición del objetivo.

Hay que tener en cuenta que dentro de la norma ISO 27001 se encuentra el Anexo A, el cual es indispensable implementar ya que es el normativo y dentro de este se encuentra todo lo relacionado a los controles de seguridad, que son fundamentales porque estos ayudan en la protección de la información de las empresas, además, ponerlos en práctica es de carácter obligatorio.

Controles de la norma ISO 27001

En el Anexo A de esta norma hay un total de 114 controles de seguridad. Cada organización debe elegir cuáles se aplican mejor a sus necesidades y es importante entender que no solo se limita al área de tecnología, sino que también involucra departamentos como el de recursos humanos, seguridad financiera, comunicaciones, entre otros.

En el 2013 se realizó este cambio, pues anteriormente en la norma del 2005 había un total de 133 controles y se eliminaron los estándares de acciones preventivas, y el requisito para documentar ciertos procedimientos.

Los 114 controles de la norma ISO 27001 están divididos en 14 secciones:

• Políticas de seguridad de la información.
• Organización de la seguridad de la información.
• Seguridad de los recursos humanos.
• Gestión de activos.
• Controles de acceso.
• Criptografía – Cifrado y gestión de claves.
• Seguridad física y ambiental.
• Seguridad operacional.
• Seguridad de las comunicaciones.
• Adquisición, desarrollo y mantenimiento del sistema.
• Gestión de incidentes de seguridad de la información.
• Cumplimiento.

Contáctenos

Si requiere ampliación acerca de los productos y servicios ofrecidos, agradecemos diligencie el formato adjunto y a la mayor brevedad un especialista se estará comunicando con usted.