Piraní Academy

¿Cuántos controles tiene la norma ISO 27001?

by Maria Camila Arévalo, on octubre 13, 2020

h_persona_cifras_1

La norma ISO 27001 está enfocada en el aseguramiento, la confidencialidad y la integridad de los datos, al igual que en los sistemas que se encargan de gestionar la seguridad de la información. 

Este estándar internacional fue creado para proporcionar un modelo que permita establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar es fomentar que sus usuarios enfaticen la importancia de:

  • Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para esto. 
  • Implementar y operar controles para manejar los riesgos de la seguridad de la información. 
  • Monitorear y revisar el desempeño y la efectividad del SGSI.
  • Mejoramiento continuo con base a la medición del objetivo.

Hay que tener en cuenta que dentro de la norma ISO 27001 se encuentra el Anexo A, el cual es indispensable implementar ya que es el normativo y dentro de este se encuentra todo lo relacionado a los controles de seguridad, que son fundamentales porque estos ayudan en la protección de la información de las empresas, además, ponerlos en práctica es de carácter obligatorio. 

Todo lo que debes saber sobre la auditoría interna

Controles de la norma ISO 27001

En el Anexo A hay un total de 114 controles de seguridad. La organización debe elegir cuáles se aplican mejor a sus necesidades, es importante entender que no solo se limita al área de tecnología, sino que también involucra departamentos como el de recursos humanos, seguridad financiera, comunicaciones, entre otros.

En el 2013 se realizó este cambio, pues anteriormente en la norma del 2005 había un total de 133 controles y se eliminaron los estándares de acciones preventivas, y el requisito para documentar ciertos procedimientos.

Los 114 controles están divididos en 14 secciones:

  • Políticas de seguridad de la información.
  • Organización de la seguridad de la información.
  • Seguridad de los recursos humanos.
  • Gestión de activos.
  • Controles de acceso.
  • Criptografía – Cifrado y gestión de claves.
  • Seguridad física y ambiental.
  • Seguridad operacional.
  • Seguridad de las comunicaciones.
  • Adquisición, desarrollo y mantenimiento del sistema.
  • Gestión de incidentes de seguridad de la información.
  • Cumplimiento.

¿Qué debes tener en cuenta para implementar estos controles?

Los controles son obligatorios según la aplicabilidad en cada organización. Los encargados de la seguridad de la información son quienes deben definir cuáles son los que se van a poner en marcha para garantizar la protección de datos.

Es indispensable generar una capacitación sobre esta norma para establecer los controles adecuados en la gestión de la seguridad de la información.   

Adicionalmente, la norma ISO 27001 requiere algo más sobre los controles de seguridad, por eso, es necesario llevar a cabo las siguientes acciones:

  • Definir responsabilidades para administrar los controles.
  • Medir y monitorear la efectividad de los controles.
  • Implementar acciones correctivas cuando se detecten fallos en los controles, de tal forma que se asegure el logro de los objetivos propuestos.

Por tanto, la atención al Anexo A y la capacitación adecuada sobre la norma son fundamentales para establecer los controles de seguridad pertinentes.

Topics:Gestión de riesgosCiberseguridadSeguridadSeguridad de la informaciónActivo de informaciónControlesNorma ISO 27001

Sobre el Blog

Infórmate sobre todo lo que necesitas saber sobre la gestión integral de riesgos y la prevención del fraude LAFT

Nueva llamada a la acción