Cuando hablamos de seguridad de la información inevitablemente hacemos referencia a los requisitos de ISO 27001. Este es el estándar internacional para un sistema de gestión de seguridad de la información y sus requisitos están contenidos en una estructura divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación en el mundo corporativo, como ISO 9001, ISO 14001 o ISO 45001.
Aunque nuestra primera recomendación, para los profesionales que desean implementar este sistema en una organización, es obtener el texto completo de la norma, incluido el Anexo A, no está de más contar con un breve compendio de los requisitos de ISO 27001 para poder hacerse una idea general del contenido estructurado de la norma.
Requisitos de ISO 27001 y estructura de la norma
Dentro de las diez secciones en las que quedan divididos los requisitos de ISO 27001, las 3 primeras tratan de generalidades, definiciones y términos, que son comunes a otras normas. Las siguientes, por su parte, solicitan los requisitos concretos a cumplir.
A continuación, exponemos cada sección o capítulo que conforma la estructura de ISO 27001:
Capítulo 1. Alcance
Antes de comenzar a implantar la norma, lo primero que se debe hacer es definir su alcance o campo de actuación.
Capítulo 2. Referencias normativas
Esta sección se ocupa de la información adicional y los antecedentes a considerar para la implementación. Si bien, ISO 27000 es una familia de estándares, a la cual pertenece ISO 27001, los demás documentos no precisan ser conocidos para el desarrollo y la implementación del sistema gracias a este segundo capítulo. Para fines de certificación, solo es preciso conocer el texto y los requisitos de ISO 27001.
Capítulo 3. Términos y definiciones
En este punto, conocemos los términos en un breve glosario. Este glosario resulta de gran utilidad para entrar en contacto con el vocabulario de la norma y entenderla del modo adecuado.
Capítulo 4. Contexto de la Organización
En esta sección debemos comprender el contexto interno y externo de la organización. De la definición del contexto se deriva el alcance de la norma. Esto implica identificar los problemas que pueden afectar a la seguridad de la información, también en cuanto a las partes interesadas.
Capítulo 5. Liderazgo
ISO 27001 exige la participación de la alta dirección. Esta sección nos indica cómo liderar la organización y qué aprobaciones se requieren para implementar un sistema de gestión de seguridad de la información.
Este compromiso de la alta dirección debe ser comprobable y, además, ISO 27001 exige establecer una política de acuerdo con la seguridad de la información. Esta política debe documentarse y ser comunicada dentro de la organización y a las partes interesadas.
La #SeguridadInformación hace referencia a los requisitos de ISO 27001. Conozcamos cada uno de ellos y la estructura de la norma. Clic para tuitearCapítulo 6. Planificación
Esta etapa considera el entorno de seguridad de la información y los riesgos que pueden afectar en ella. Los objetivos de seguridad que se definan deben estar alineados con la estrategia de negocios de la organización y ser promovidos en todos los niveles.
La evaluación de riesgos y los objetivos de seguridad son la base para la construcción de un plan de tratamiento de riesgos, que a su vez, debe atenerse a los controles contenidos en el anexo A, junto con la Declaración de Aplicabilidad.
Capítulo 7. Soporte
El soporte requiere una amplia comprensión de los activos de seguridad de la información y sus capacidades. Permite definir y asegurar los recursos adecuados para administrar el sistema, desde la implementación hasta la revisión. Y todo ello debe ser documentado y actualizado de forma periódica.
Capítulo 8. Operación
En los estándares de ISO que comparten esta estructura, el octavo es el apartado de los requisitos únicos de la norma. ISO 27001 presenta una variación al respecto. Los requisitos se abordan a través del proceso de gestión de riesgos que se definió en el capítulo 6, y se complementan a través de los controles y objetivos contenidos en el Anexo A.
Capítulo 9. Evaluación del desempeño
Monitoreo, medición, análisis y evaluación del SGSI es lo que pide la norma en este apartado. Para ello se recomienda el modelo Deming PDCA. Y se contempla la realización de auditorías internas a intervalos determinados y establecidos por la alta dirección.
Capítulo 10. La mejora continua
La consecuencia de la implementación y aplicación de los nueve primeros capítulos no puede ser otra que la mejora continua del sistema. Las no conformidades deben abordarse tomando medidas correctivas, identificando la causa raíz y eliminándola, y haciendo el debido seguimiento para comprobar su efectividad.
El anexo A
A diferencia de otras normas, ISO 27001 cuenta con 114 controles y objetivos de control que pueden utilizarse para gestionar los riesgos identificados en la cláusula 6, o simplemente para su tranquilidad.
Este anexo se divide en 14 secciones y los controles que contiene reafirman uno de los conceptos esenciales de la norma: la seguridad de la información no es una competencia de TI. Así, los controles cubren una variedad de áreas del negocio, lo que significa que se deben considerar recursos humanos para diferentes áreas y para asegurar su efectividad.
Estos controles no son obligatorios. Sin embargo, si se excluye alguno, debe existir una razón justificada y documentada en la Declaración de Aplicabilidad.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Conocer y comprender los requisitos de ISO 27001 uno a uno es una de las competencias de gran valor que adquieren los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. La gestión de riesgos, y la auditoría del sistema también forman parte de este imprescindible programa de formación en el que ya puede obtener plaza inscribiéndose aquí.
