La protección de la información se ha convertido en una prioridad de gran relevancia para las organizaciones en la era digital. Con amenazas cibernéticas en constante evolución, asegurar la seguridad de la información es fundamental. La norma ISO/IEC 27001 se presenta como una solución integral para gestionar estos riesgos de manera efectiva aplicando mejores prácticas internacionales en Seguridad de la Información. 

Además, esta certificación es un hito significativo para Valuaciones y para nuestros clientes. Nos enorgullece anunciar que somos la primera empresa de tasaciones en Chile en recibir esta distinción, lo que demuestra nuestro compromiso con la seguridad de la información y protección de los datos. La certificación ISO/IEC 27001 es un reconocimiento a nuestros rigurosos estándares en el manejo de información sensible. 

Esto significa que nuestros clientes pueden tener total confianza en la seguridad de sus datos mientras trabajan con nosotros. En este artículo, exploraremos qué es la norma ISO/IEC 27001, su aplicabilidad, proceso de implementación, y estructura, además de los controles clave que ofrece.

Introducción a la norma ISO 27001

La ISO/IEC 27001 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Proporciona directrices y mejores prácticas para la gestión de la seguridad de la información. Establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI). Este sistema se utiliza para proteger la confidencialidad, integridad y disponibilidad de la información. La norma proporciona un marco para la seguridad de la información que ayuda a las organizaciones a identificar y gestionar sus riesgos de seguridad de la información de manera efectiva.

Aplicabilidad de la norma ISO 27001

La norma ISO 27001 se aplica a cualquier tipo de organización, incluyendo pequeñas y medianas empresas, grandes corporaciones, instituciones gubernamentales y sin fines de lucro. Se puede implementar en cualquier sector, desde tecnología de la información y finanzas hasta salud y servicios públicos.

Proceso de implementación de la norma ISO/IEC 27001

El proceso de implementación de la norma ISO/IEC 27001 se divide en cuatro fases:

• Planificación: La organización identifica sus requisitos de seguridad de la información y establece un plan para implementar el SGSI.
• Implementación: Incluye la creación de políticas, procedimientos y controles para proteger la información.
• Evaluación: La organización evalúa el desempeño y la eficacia de su SGSI e identifica áreas de mejora.
• Mejora continua: Implica la identificación y aplicación de mejoras a los procesos y controles del SGSI.

Una vez implementado, se realiza la auditoría interna, para pasar el proceso de certificación mediante auditorías realizadas por parte de la entidad certificadora (AENOR en nuestro caso), el SGSI debe ser revisado y actualizado regularmente para garantizar su continuo cumplimiento con los requisitos de seguridad de la información. 

Estructura de la norma ISO/IEC 27001

La norma ISO/IEC 27001 está estructurada en varias secciones clave que guían a las organizaciones en el establecimiento de un SGSI robusto:

• Introducción: Proporciona una descripción general de la norma, su propósito y su relación con otras normas y marcos de seguridad de la información.
• Alcance: Describe el alcance de la norma y establece los límites de la aplicación del SGSI de una organización, incluyendo la identificación de los activos de información cubiertos.
• Referencias normativas: Hace referencia a otras normas, leyes y regulaciones relevantes que deben ser consideradas en el diseño, implementación y mantenimiento del SGSI.
• Términos y definiciones: Proporciona definiciones claras de los términos y conceptos clave utilizados en la norma.
• Contexto de la organización: Describe los requisitos para comprender el contexto de la organización, incluyendo su estructura, objetivos y necesidades.
• Liderazgo: Establece los requisitos de liderazgo y compromiso de la alta dirección para el SGSI.
• Planificación: Describe los requisitos para planificar el SGSI, incluyendo la identificación y evaluación de riesgos y oportunidades.
• Soporte: Establece los requisitos para los recursos necesarios para implementar y mantener el SGSI.
• Operación: Describe los requisitos para la implementación y operación del SGSI, incluyendo la gestión de riesgos y la continuidad del negocio.
• Evaluación del desempeño: Establece los requisitos para monitorizar, medir, analizar y evaluar el desempeño del SGSI.
• Mejora: Requisitos para la mejora continua del SGSI.

Controles de la norma ISO/IEC 27001:2017

La ISO/IEC 27002 complementa la ISO/IEC 27001 proporcionando una guía detallada sobre la implementación de controles de seguridad de la información. Su objetivo es mejorar la seguridad de la información proporcionando un conjunto completo de controles para abordar diversos riesgos de seguridad.

La norma está organizada en los siguientes 14 dominios, cada uno con controles específicos:

• Políticas de Seguridad de la Información: Políticas para la gestión de la seguridad de la información.
• Organización de la Seguridad de la Información: Gobernanza de la seguridad de la información dentro de la organización.
• Seguridad de los Recursos Humanos: Asegurar que los empleados comprendan sus roles y responsabilidades en relación con la seguridad de la información.
• Gestión de Activos: Gestión de los activos de información para asegurar que estén adecuadamente protegidos.
• Control de Acceso: Controles para gestionar el acceso a la información y a los sistemas de información.
• Criptografía: Uso de controles criptográficos para proteger la información.
• Seguridad Física y Ambiental: Medidas físicas para proteger los activos de información.
• Seguridad en las Operaciones: Procedimientos para asegurar el funcionamiento seguro de las instalaciones de procesamiento de información.
• Seguridad en las Comunicaciones: Medidas para proteger la información en redes e intercambios de información.
• Adquisición, Desarrollo y Mantenimiento de Sistemas: Controles de seguridad en el desarrollo y mantenimiento de sistemas de información.
• Relaciones con Proveedores: Asegurar la seguridad en las relaciones con los proveedores.
• Gestión de Incidentes de Seguridad de la Información: Procesos para gestionar incidentes de seguridad de la información.
• Aspectos de la Seguridad de la Información en la Gestión de la Continuidad del Negocio: Asegurar la seguridad de la información durante la planificación de la continuidad del negocio.
• Cumplimiento: Asegurar el cumplimiento de requisitos legales, regulatorios y contractuales.

La certificación ISO/IEC 27001 es un hito significativo para cualquier organización comprometida con la seguridad de la información y la protección de los datos. Implementar esta norma no solo mejora la gestión de riesgos de seguridad de la información, sino que también refuerza la confianza de los clientes al demostrar un compromiso sólido con la seguridad. 

Además, la ISO/IEC 27001 se puede integrar con otros estándares y marcos de referencia, como la ISO/IEC 31000 para la gestión de riesgos o la ISO/IEC 22301 para la continuidad del negocio, ofreciendo una gestión más completa y efectiva de la seguridad de la información.

Valuaciones, empresa de tasación de propiedades le informa de las novedades más relevantes del sector.