ISO 27001

¿Qué es ISO/IEC 27001?

ISO 27001 es la norma internacional perteneciente a la serie de normas ISO 27000, que nos permite gestionar la seguridad de la información en cualquier tipo de organización así como la certificación de su Gestión. La norma se denomina ISO/IEC 27001 y ha sido redactada por la organización Internacional de Normalización (ISO).

La serie de normas ISO 27000 se compone de:

  • ISO 27001 (Information Security Management) : Estándar sujeto a Certificación que contiene los requisitos de la norma de cara a la implementación y obtención del posterior certificado de un SGSI (Sistema de Gestión de la Seguridad de la Información).
  • ISO 27002 (Information technology — Security techniques — Code of practice for information security controls): Estándar NO sujeto a Certificación que contiene de forma detallada una serie de controles a aplicar en la implantación de los Sistemas de Gestión de la Seguridad de la información. Sin embargo ISO 27002  no distingue entre los controles que son aplicables a una organización determinada y los que no lo son.

ISO/IEC 27001 una garantía en Seguridad de la Información

Como norma internacional ISO/IEC 27001 ha ido adoptando a lo largo de sus diferentes adaptaciones, las mejores prácticas recomendadas por especialistas alrededor de todo el mundo en relación a la Gestión de la  seguridad de la información (Security Management), aprovechando las experiencias prácticas de las organizaciones más relevantes que han implementado estos sistemas de gestión y aportan a este estándar las recomendaciones para mejorar su eficacia.

¿Qué obtengo con el certificado ISO 27001?

En el mundo actual los riesgos de seguridad de la información significan una amenaza que debe ser tomada en cuenta por las empresas debido a la posibilidad de pérdidas económicas, servicios esenciales, reputación y confianza de los clientes.

Gestión de riesgos
  • Establece un método de control de riesgos como elemento clave de la prevención del fraude online,  daños informáticos,  protección de datos personales, información crítica y todo tipo de incidentes que afectan a la seguridad de la información
Garantía de continuidad del servicio
  • Previene la interrupción del servicio por daños contra la seguridad de la información
Ventajas comerciales
  • Acredita ante nuestros clientes la protección de su información
  • ISO 27001 evita inversiones y gastos asociados a la protección activos de información mejorando el desempeño y competitividad del negocio
  • ISO 27001 es una garantía de cumplimiento de las obligaciones contractuales
ISO 27001 se integra con otros sistemas de gestión

ISO 27001 y Sistemas de Gestión de la Calidad

El Sistema de Gestión de la Seguridad de la Información ISO 27001 está concebido sobre el ciclo de mejora continua PDCA, común al resto de Sistemas de Gestión ISO. Esto posibilita la integración del SGSI (Sistema de Gestión de la seguridad de la información) con cualquier otro sistema de gestión.

Implantar sistemas integrados optimiza los procesos internos y en consecuencia los tiempos y costes de implantación y auditoría. Esta estrategia está especialmente recomendada para los Sistemas de Gestión ISO 9001 y Sistema de Gestión de Calidad de Servicios TI (ISO 20000).

ISO 27001 y ENS Esquema Nacional de Seguridad 

El esquema Nacional de seguridad tiene por objeto las medidas concretas a adoptar para para garantizar la seguridad de la información y la confianza en el uso de los medios electrónicos a los usuarios de la administración Publica

En este sentido, ISO 27001 establece un procedimiento de evaluación de riesgos para la seguridad de la información y de establecimiento de controles adecuados para minimizar el impacto de dichas amenazas en un proceso de gestión de mejora continua promovido por el SGSI (Sistema de Gestión para la Seguridad de la Información), integrando dicho sistema en la filosofía de gestión de toda la organización

En cuanto a la integración de ISO 27001 y ENS podemos decir que una empresa que se certifique en ISO/IEC 27001 tiene solamente que incorporar aquellos requisitos concretos que requiere el ENS y que no estén incluidos en los controles de seguridad contemplados en la implantación o alcance de su sistema SGSI

Para las empresas que deben cumplir con el ENS, la integración en su organización de un sistema de Gestión de la Seguridad de la información supone un complemento ideal para incorporar en su organización una metodología de gestión global para acreditar su compromiso en la seguridad de la información y garantizar la mejora continua en sus procesos respecto a la seguridad de la información

ISO 27001 e ISO 22301 sistemas de Continuidad del Negocio

 La norma ISO 22301 introduce un concepto si se quiere más amplio en cuanto a los procesos de evaluación de riesgos, en cuanto que no solamente nos centramos en riesgos para la seguridad de la información, sino que contempla un escenario global de todos los riesgos que afectan a la continuidad del Negocio. Es por ello, que un Certificado según la ISOIEC 27001:2013 es sin duda una plataforma ideal para pensar en gestionar la continuidad del Negocio.

ISO 27001 y Protección de datos personales (LOPD -GRDP)

Cada vez más las empresas están apostando por el establecimiento de sistemas de Gestión de la Seguridad de la Información según los requisitos de la norma ISOIEC 27001:2013. Esto hace que las empresas cada vez más piensen en la seguridad de la información y la protección de los datos de sus clientes y partes interesadas como algo más que el simple establecimiento de medidas tecnológicas para la protección de la información

Las leyes europeas de protección de datos establecen un repositorio de medidas de seguridad aplicables a los ficheros de datos de carácter personal en función de su nivel.  Es por ello que un sistema de Gestión de la Seguridad de la Información es también una buena herramienta para considerar estas obligaciones legales y acreditar la preocupación de la organización por estos aspectos e integrarlos en la gestión de la seguridad de la Información (SGSI)

ISO 27001 ¿A quién va dirigida?

Esta norma es aplicable a todo tipo de empresas, grandes y pequeñas y especialmente a las que utilizan sistemas internos o externos que poseen informaciones confidenciales con especial dependencia de estos sistemas para el funcionamiento.

Actualmente estamos viendo los efectos de nuestro creciente uso de nuevas tecnologías, con cada vez más organizaciones que sostienen la seguridad o los incumplimientos de datos relacionados con sitios de redes sociales, teléfonos inteligentes y tabletas.

Es por ello que cada vez más esta norma está siendo empleada no solo por las grandes empresas s sino también por las pequeñas organizaciones que experimentan niveles de incidencias que antes se observaban sólo en organizaciones más grandes en relación a incidencias en la seguridad de la información.

LOS ACTIVOS DE LA ORGANIZACIÓN

La protección de los activos de una empresa es uno de los pilares y objetivos fundamentales del estándar ISO/IEC 27001:2013 ya que la información actualmente es uno de los activos más importantes para todas las organizaciones. ISO 27001 será la garantía para poder recuperar los activos de información de una organización en caso de cualquier incidente.

Un sistema de gestión de la Seguridad de la información SGSI según el estándar iso 27001 se apoya en tres puntos o pilares fundamentales:

  • Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin.
  • Integridad: es la preservación de la información completa y exacta.
  • Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.

EVALUACIÓN Y ESTABLECIMIENTO DE CONTROLES

Otro pilar fundamental de un sistema de seguridad de la Información basado en la norma ISO 27001 es:

  • Análisis y Gestión de riesgos (Risk Management):  Mediante un sistema de análisis de riesgos se puede tanto determinar el escenario de riesgos de una organización así como elegir la metodología más adecuada que permita establecer tanto una base de conocimiento del riesgo para su correcta ponderación y posterior tratamiento, así como incorporar la cultura del riesgo dentro de la organización
  • Establecimiento de controles: Los controles del riesgo deben ser adecuados a la gravedad de las amenas identificadas anteriormente en la evaluación del riesgo. Además los controles de riesgos establecidos podrán ser realmente efectivos dentro de un sistema de evaluación y mejora continua establecido en un SGSI y que permite la revisión continua tanto de nuevos riesgos como de la efectividad de los controles adoptados

ISO 27001 en España

España es uno de los primeros países en el mundo en adoptar la norma ISO 27001 en cuanto a numero de certificados situándose entre los diez primero países desde hace ya varios años tal como lo demuestran los informes de ISO SURVEY.

¿Qué es el Registro de Empresas Certificadas ISO 27001?

Con el objetivo de fomentar implantación de Standards de referencia para la Gestión de Seguridad de la Información, asi como reconocer y poner en valor el esfuerzo de el esfuerzo de las organizaciones comprometidas con la Seguridad de la Información, se ha creado un registro de empresas “Registro de Empresas Certificadas ISO 27001” promovido por IMS Forúm.

    Contáctenos

    Close Popup

    Utilizamos cookies propias y de terceros. Al hacer click en “Aceptar cookies” acepta que las cookies se guarden en su dispositivo para permitir un correcto funcionamiento de la web, analizar datos de uso, proveer funcionalidades mejoradas y personalizar anuncios en web de terceros. También puedes configurarlas o rechazar su uso clickando en “Configurar cookies”.

    Aceptar Cookies Configurar cookies
    Close Popup
    Privacy Settings saved!
    Configuracion de Privacidad

    Cuando visita cualquier sitio web, el mismo podría obtener o guardar información en su navegador, generalmente mediante el uso de cookies. Esta información puede ser sobre usted, sus preferencias o su dispositivo, y se usa principalmente para que el sitio funcione según lo esperado. Por lo general, la información no lo identifica directamente, pero puede proporcionarle una experiencia web más personalizada. Ya que respetamos su derecho a la privacidad, usted puede escoger no permitirnos usar ciertas cookies. Haga clic en los encabezados de cada categoría para saber más y cambiar nuestras configuraciones predeterminadas. Sin embargo, el bloqueo de algunos tipos de cookies puede afectar su experiencia en el sitio y los servicios que podemos ofrecer.

    Configuración de Privacidad Protección de Datos Política de Cookies
    Cookies Estrictamente Necesarias
    Estas cookies son necesarias para que el sitio web funcione correctamente y no se pueden desactivar. Están configuradas para adecuar la página web para cuestiones como recordar sus preferencias de privacidad, iniciar sesión o rellenar formularios. Puede configurar su navegador para bloquear o alertarle acerca de estas cookies, pero si lo hace puede ocasionar que algunas partes de la web no funcionen correctamente. Estas cookies no guardan ninguna información personal identificable.
    Cookies de Preferencias
    Estas cookies permiten que el sitio ofrezca una mejor funcionalidad y personalización. Pueden ser establecidas por nosotros o por terceras partes cuyos servicios hemos agregado a nuestras páginas. Si no permite estas cookies algunos de nuestros servicios podrían no funcionar correctamente.
    Cookies para Publicidad de Terceros
    Estas cookies son instaladas por nuestros socios publicitarios en diferentes partes del sitio. Se utilizan para elaborar un perfil sobre sus intereses y mostrarle anuncios relevantes en otros sitios de terceros. Solo almacenan información respecto al navegador y dispositivo que utiliza. Si no permite estas cookies, tendrá una publicidad menos dirigida.
    Cookies Analíticas
    Estas cookies nos permiten realizar un recuento de las visitas y fuentes de tráfico para poder medir y mejorar el funcionamiento de nuestro sitio. Nos ayudan a saber qué páginas son las más y menos populares, y comprobar cuántos usuarios navegan por el sitio web. Toda la información que recogen estas cookies está agregada y, por lo tanto, anónima. Si no permite estas cookies no podremos saber que visitó nuestro sitio y no podremos mejorarlo.
    Rechazar todos los servicios
    Save
    Acepto todos los servicios
    0:00
    0:00