Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción.
La ISO 27001:2022 es la norma internacional más implementada y aceptada en
términos de seguridad de la información porque:
• Ha sido diseñada para “proporcionar los requisitos para establecer,
implementar, mantener y mejorar continuamente un sistema de gestión de
seguridad de la información”.
• Puede ser utilizada por partes internas y externas para evaluar
la capacidad de la organización para cumplir con sus propios requisitos de
seguridad de la información”.
• Incluye requisitos para la valoración y tratamiento de los riesgos en la
seguridad de la información.
• Genera competitividad a la Organización, pues establece las mejores
prácticas en seguridad de la información con reconocimiento internacional
• Se adecua a las necesidades de la organización, permitiendo certificar los
procesos que se definan en el alcance del SGSI con posibilidad de
ampliación en caso necesario.
• Los requisitos establecidos en esta Norma Internacional son genéricos y se
pretende que sean aplicables a todas las organizaciones, sin importar su
tipo, tamaño o naturaleza”.
• Genera capacidad de cumplimiento legal.
Este enfoque está basado en una apreciación del riesgo y en los niveles de
aceptación del riesgo de la organización diseñados para tratar y gestionar con
eficacia los riesgos.
El análisis de los requisitos para la protección de los activos de la información y la
aplicación de controles adecuados para garantizar la protección de estos activos
de información, según sea necesario, contribuye a la exitosa implementación de
un SGSI.
Los siguientes principios fundamentales también pueden contribuir a la
implementación exitosa de un SGSI:
• La conciencia de la necesidad de seguridad de la información.
• La asignación de responsabilidades en seguridad de la información.
• La incorporación del compromiso de la Dirección y los intereses de las
partes interesadas.
• La mejora de los valores sociales.
• Apreciaciones de riesgo para determinar los controles adecuados para
alcanzar niveles aceptables de riesgo.
• La seguridad incorporada como un elemento esencial de los sistemas y
redes de información.
• La prevención y detección activas de incidentes de seguridad de la
información.
• El garantizar una aproximación exhaustiva a la gestión de la seguridad de la
información.
• La evaluación continua de la seguridad de la información y la realización de
modificaciones cuando corresponda
La Seguridad de la Información
La Seguridad de la Información.
Define tres dimensiones principales: la confidencialidad, la disponibilidad y la
integridad.
• Disponibilidad. Propiedad que la información sea accesible y utilizable por
solicitud de los autorizados 2.10 ISO 27000.
• Confidencialidad. Propiedad que determina que la información no está
disponible ni sea revelada a quien no esté autorizado 2.13 ISO 27000.
• Integridad. Propiedad de salvaguardar la exactitud y el estado completo de
los activos 2.36 ISO 27000.
El Sistema de Gestión
El Sistema de Gestión.
Un sistema de gestión utiliza un marco de recursos para alcanzar los objetivos de
una organización.
El sistema de gestión incluye la estructura organizativa, las políticas,
la planificación de
actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
En términos de seguridad de la información, un sistema de gestión permite a una
organización:
• Satisfacer los requisitos de seguridad de los clientes y otras partes
interesadas
• Mejorar los planes y actividades de la organización
• Cumplir con los objetivos de seguridad de información de la organización
• Cumplir con las regulaciones, leyes y obligaciones sectoriales
• Gestionar los activos de información de una manera organizada que facilita
la mejora continua y la adaptación a las actuales metas de la organización y
a su entorno
NOTA: Los requisitos de las partes interesadas pueden incluir requisitos legales y
regulatorios, así como obligaciones contractuales.
Parte Interesada es una persona u organización que puede afectar, verse afectada
o percibirse como afectada por una decisión o actividad.
Algunos ejemplos de partes interesadas:
5.2 Política
5.2 Política.
La alta dirección debe establecer una política de seguridad de la información que:
1. Sea adecuada al propósito de la organización.
2. Incluya objetivos de seguridad de la información (véase 6.2) o proporcione
un marco de referencia para el establecimiento de los objetivos de
seguridad de la información.
3. Incluya el compromiso de cumplir con los requisitos aplicables a la
seguridad de la información.
4. Incluya el compromiso de mejora continua del sistema de gestión de la
seguridad de la información.
7.1 Recursos
7.1 Recursos.
La organización debe determinar y proporcionar los recursos necesarios para
el establecimiento, implementación, mantenimiento y mejora continua
del sistema de gestión de la seguridad de la información.
El el siguiente video podrás observar los recursos necesarios que necesita una
organización.
7.2 Competencia
7.2 Competencia.
La organización debe:
1. Determinar la competencia necesaria de las personas que realizan, bajo su
control, un trabajo que afecta a su desempeño en seguridad de la
información.
2. Asegurarse que estas personas sean competentes, basándose en
la educación, formación o experiencia adecuadas.
3. Cuando sea aplicable, poner en marcha acciones para adquirir la
competencia necesaria y evaluar la eficacia de las acciones llevadas a
cabo.
4. Conservar la información documentada apropiada, como evidencia de la
competencia.
NOTA: Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría
o la resignación de las personas empleadas actualmente; o la contratación de
personas competentes.
El el siguiente video podrás observar las competencias que existen dentro de una
organización.
7.3 Concienciación
7.3 Concienciación.
Las personas que trabajan bajo el control de la organización deben ser
conscientes de:
1. La política de la seguridad de la información.
2. Su contribución a la eficacia del sistema de gestión de la seguridad de la
información, incluyendo los beneficios de una mejora del desempeño en
seguridad de la información.
3. Las implicaciones de no cumplir con los requisitos del sistema de gestión
de la seguridad de la información.
7.4 Comunicación
7.4 Comunicación.
La organización debe determinar la necesidad de comunicaciones internas y
externas pertinentes al sistema de gestión de la seguridad de la información, que
incluyan:
1. El contenido de la comunicación.
2. Cuándo comunicar.
3. A quién comunicar.
4. Quién debe comunicar.
5. Los procesos por los que debe efectuarse la comunicación.
8.3 Tratamiento de
los Riesgos de Seguridad de la Información.
La organización debe implementar el plan de tratamiento de los riesgos de
seguridad de la información.
La organización debe conservar información documentada de los resultados del
tratamiento de los riesgos de seguridad de la información.
Conclusiones
Conclusiones.
La Normal ISO 27001 puede ser implementada en cualquier tipo de
organización pues proporciona una metodología para implementar un Sistema
para la Gestión de la Seguridad de la Información, permitiendo también que una
empresa sea certificada según el cumplimiento de esta norma, donde su eje
central es proteger la confidencialidad, integridad y disponibilidad de la
información en una empresa. Esto lo hace investigando cuáles son los potenciales
problemas que podrían afectar la información (evaluación de riesgos) y luego
definiendo lo que es necesario hacer para evitar que estos problemas se
produzcan (tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de
riesgos: investigar dónde se encuentran, para así tratarlos sistemáticamente.