Gestión de la Seguridad de la Información ISO 27001

Tanto por exigencia de los clientes así como la del estado, cada día es más relevante proteger la información de las partes interesadas que manipula nuestra organización. La norma ISO 27001, es el estándar por excelencia para la gestión de la seguridad de la información, esta norma nos brinda los lineamientos que una organización debe considerar para implementar un sistema enfocado a garantizar confidencialidad, integridad y disponibilidad de la información más sensible.

Contáctanos hoy

Recibe una asesoría personalizada gratuita. Nuestros ejecutivos te atenderán a la brevedad.

¿Cuáles son los principios del sistema de gestión de Seguridad de la información ISO 27001?

La confidencialidad es una propiedad que impide la divulgación de información a individuos, entidades o procesos no autorizados. En resumen, asegura el acceso a la información única y exclusivamente a aquellas personas que cuenten con la debida autorización.

La integridad es una propiedad que persigue el mantener los datos libres de modificaciones no autorizadas. En resumen, la integridad es el mantener, de manera exacta y fidedigna, la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados.

La disponibilidad es la condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. En resumen, la disponibilidad es el acceso a la información y a los sistemas por las entidades autorizadas que así lo requieran.

Requisitos a implementar

La norma está dividida en 10 capítulos, 7 de los cuales son obligatorios de implementar:

  • Comprensión de la organización y su contexto
  • Comprensión de las necesidades y expectativas de las partes interesadas
  • Determinación del alcance del sistema de gestión de seguridad de la información
  • Sistema de gestión de la seguridad de la información
  • Liderazgo y compromiso
  • Política
  • Roles, responsabilidades y autoridades
  • Acciones para abordar riesgos y oportunidades
  • Objetivos de la seguridad de la información y planificación para alcanzarlos
  • Recursos
  • Competencia
  • Toma de conciencia
  • Comunicación
  • Información documentada
  • Planificación y control operacional
  • Apreciación de los riesgos de seguridad de la información
  • Tratamiento de los riesgos de seguridad de la información
  • Seguimiento, medición, análisis y evaluación
  • Auditoria Interna
  • Revisión por la dirección
  • No conformidades y acción correctiva
  • Mejora continua.
  • Políticas de seguridad de la información
    • Dirección de la gerencia para la seguridad de la información
  • Organización de la seguridad de la información
    • Organización interna
    • Dispositivos móviles y teletrabajo
  • Seguridad de los recursos humanos
    • Antes del empleo
    • Durante el empleo
    • Terminación y cambio de empleo
  • Gestión de activos
    • Responsabilidad por los activos
    • Clasificación de la información
    • Manejo de los medios
  • Control de acceso
    • Requisitos de la empresa para el control de acceso
    • Gestión de acceso de usuario
    • Responsabilidades de los usuarios
    • Control de acceso a sistema y aplicación
  • Criptografía
    • Controles criptográficos
  • Seguridad física y ambiental
    • Áreas seguras
    • Equipos
  • Seguridad de las operaciones
    • Procedimientos y responsabilidades operativas
    • Protección contra códigos maliciosos
    • Respaldo
    • Registros y monitoreo
    • Control del software operacional
    • Gestión de vulnerabilidad técnica
    • Consideraciones para la auditoría de los sistemas de información
  • Seguridad de las comunicaciones
    • Gestión de seguridad de la red
    • Transferencia de información
  • Adquisición, desarrollo y mantenimiento de sistemas
    • Requisitos de seguridad de los sistemas de información
    • Seguridad en los procesos de desarrollo y soporte
    • Datos de prueba
  • Relaciones con los proveedores
    • Seguridad de la información en las relaciones con los proveedores
    • Gestión de entrega de servicios del proveedor
  • Gestión de incidentes de seguridad de la información
    • Gestión de incidentes de seguridad de la información y mejoras
  • Aspectos de seguridad de la información en la gestión de continuidad del negocio
    • Continuidad de seguridad de la información
    • Redundancias
  • Cumplimiento
    • Cumplimiento con requisitos legales y contractuales
    • Revisiones de seguridad de la información

¿Qué beneficios encuentran las organizaciones implementando la ISO 27001?

  • Proporciona ventaja competitiva al demostrarle a los clientes que la seguridad de su información es primordial.
  • Demostrar que la organización cumple con los requisitos legales aplicables a seguridad de la información.
  • Verificar, de manera independiente, que los riesgos asociados a la seguridad de la información se han identificado, analizado, evaluado y controlado de manera eficaz.
  • Cumpla los requisitos de SUNAT para ser Proveedor de Servicios Electrónicos (PSE) en Perú.

Su organización requiere implementar la ISO 27001 cuando:

  • Se desea demostrar el compromiso de la organización con la seguridad de la información.
  • La organización desea un diferencial comercial asociado a seguridad de la información.

Publicaciones relacionadas

Contáctanos hoy

Recibe una asesoría personalizada gratuita. Nuestros ejecutivos te atenderán a la brevedad.