¿Qué es ISO 27001?

Parte de la familia de estándares ISO 27000 el estándar ISO/IEC 27001:2005 y ahora su nueva versión 27001:2013 es un estándar para la implantación de un Sistema de Gestión de la Seguridad de la Información o SGSI.

Este estándar ayuda a las empresas a mejorar su postura de seguridad de acuerdo a políticas, procesos, metodologías, etc. Este estándar ha sido probado y comprobado por organizaciones de todos los tamaños y giros para incrementar su seguridad, disminuir y administrar riesgos.

Cuando una empresa aplica este estándar protegerá su información desde antes de que un empleado sea contratado hasta su continuidad haciendo negocios, es un estándar muy completo que ayuda a organizaciones de cualquier tipo, incluso aunque no busquen la certificación, adoptar este estándar es una excelente idea a mediano y largo plazo.

¿Es caro implementar ISO 27000?

Se tiene la idea de que aplicar los controles resulta muy costoso e inalcanzable para muchas empresas, esto puede llegar a ser cierto si los controles se quieren cubrir por completo con soluciones creadas para empresas grandes, pero al ser un estándar y no una norma, deja espacio para que sea la misma organización la que decida lo mejor. Lo importante del estándar es conocerlo bien y conocer bien su objetivo y alinearlo con los objetivos de la organización, si esta parte se hace bien, se pueden establecer controles sencillos pero efectivos, existen muchos riesgos que pueden ser mitigados con código libre, con buenas practicas, buena organización, comunicación y concientización, no necesariamente con software/hardware costoso.

¿Cuáles son los puntos claves de una implementación exitosa?

Pero por otro lado lo anterior no quiere decir que no se le deba tratar con la importancia debida, para que una implementación sea exitosa debe venir desde los niveles más altos de la organización y contar con todo el apoyo antes, durante y en el futuro ya que si no se cuenta con este apoyo, será casi imposible que sea efectivo.

¿Cuántos dominios incluye la nueva versión?

En su nueva versión ISO/IEC 27001:2013 y su documento de apoyo, ISO/IEC 27002 (ISO / IEC 17799), detalla 114 controles y que están organizadas en 14 dominios y 35 objetivos de control. Estas secciones especifican las mejores prácticas para:

A.5: Políticas de Seguridad de la Información (2 controles)
A.6: Organización de la seguridad (7 controles)
A.7: Seguridad en Recursos Humanos - 6 controles que son aplicados antes, durante y después de la contratación
A.8: Gestión de activos (10 controles)
A.9: Control de acceso (14 controles)
A.10: Cifrado (2 controles)
A.11: Seguridad física y ambiental (15 controles)
A.12: Seguridad de la operación (14 controles)
A.13: Seguridad en las telecomunicaciones (7 controles)
A.14: Adquisición, desarrollo y mantenimiento de sistemas (13 controles)
A.15: Relación con proveedores (5 controles)
A.16: Gestión de incidentes de seguridad de la información (7 controles)
A.17: Aspectos de seguridad de la información en la gestión de la continuidad del negocio (4 controles)
A.18: Cumplimiento; con requerimientos internos, como políticas, y con requerimientos externos, como las leyes (8 controles)

¿Cómo te ayudamos en Kolibërs?

Te podemos ayudar en cualquier etapa de la implementación, contamos con el personal experimentado en certificaciones desde cero hasta auditorias en el estándar. Te recomendamos controles que pueden ser implementados con software libre y/o soluciones comerciales de acuerdo a las necesidades, riesgos y objetivos de cada organización. Somos consultores con más de 10 años de experiencia en seguridad de la información y con más de 20 en el área de TI.