Escuela Europea de Excelencia

ISO 27001: Cómo escribir la metodología de evaluación de riesgos

En uno de nuestros contenidos recientes, hablamos de los 6 pasos básicos en la gestión de riesgos en ISO 27001. En el cuarto paso de dicho proceso, nos referíamos a la evaluación de los riesgos y comentábamos que “se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad”. Pues bien, para abordar ese punto, es necesario elegir un método de evaluación. Y eso nos lleva a tener que escribir la metodología de evaluación de riesgos en ISO 27001 que decidimos emplear.

¿Cómo funciona la seguridad de la información en ISO 27001?

ISO 27001 es un estándar de gestión de riesgos de seguridad de la información universalmente compatible, diseñado para guiar la selección de controles adecuados y pensados para proteger la información en las organizaciones.

Este estándar se comporta como un paraguas sobre otros requisitos legales, aborda controles técnicos, físicos y regulatorios en los procesos de gestión de riesgos de seguridad de la información.

Documentación en ISO 27001: obligatoria y no obligatoria

Como en cualquier sistema de gestión ISO, existe una documentación en ISO 27001 con la que debe contarse para mantener la conformidad con el estándar. Del mismo modo, hay documentos que, sin ser obligatorios, pueden ayudar al desarrollo del sistema de gestión de seguridad de la información.

En ocasiones puede resultar complicado tener claro cuáles son los documentos y registros necesarios. A continuación, para aclarar esta cuestión, ofrecemos un listado de la documentación en ISO 27001 obligatoria. Y también, presentamos otro listado de aquellos documentos que pueden ser de utilidad para su sistema.

Clasificación de la información según ISO 27001

La clasificación de la información según ISO 27001 es un proceso en el que la organización evalúa los datos que posee y el nivel de protección que cada uno requiere. Se trata de uno de los aspectos más complejos, pero sin duda más interesantes, en la gestión de la seguridad de la información.

Qué es y para qué sirve la Declaración de Aplicabilidad en ISO 27001

La Declaración de Aplicabilidad en ISO 27001 (Statement of Aplicability SoA ) es un documento previo a la auditoría de certificación. Al igual que el manual de calidad en ISO 9001, en ISO 27001, este documento suele ser subestimado o tratado como un trámite que alguien debe elaborar.

Sin embargo, la Declaración de Aplicabilidad en ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.

Requisitos de ISO 27001 para Seguridad de la Información

Requisitos de ISO 27001

Cuando hablamos de seguridad de la información inevitablemente hacemos referencia a los requisitos de ISO 27001. Este es el estándar internacional para un sistema de gestión de seguridad de la información y sus requisitos están contenidos en una estructura divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación en el mundo corporativo, como ISO 9001, ISO 14001 o ISO 45001.

4 beneficios de implementar ISO 27001 para nuevas empresas

Los beneficios de implementar ISO 27001 son notables y adquieren mayor relevancia en las jóvenes organizaciones que conocemos como startups. En la práctica, ISO 27001 es un estándar que incrementa la competitividad en cualquier tipo de empresa; y las nuevas empresas son las que, en general, más la necesitan.

Los beneficios de implementar ISO 27001 derivan de garantizar la seguridad de los datos personales. Ahora este es un tema de gran importancia para las organizaciones y para sus clientes. Por ello, lograr esa seguridad, de cara a esos últimos y a las responsabilidades de la empresa, genera importantes beneficios, más allá de la propia seguridad de la información. De este modo, la implantación de ISO 27001 y contar con la formación necesaria para ello resulta ser una inversión antes que un gasto.

Beneficios de la capacitación en ISO 27001 para mejorar la seguridad de las organizaciones

Capacitación en ISO 27001

Una organización funciona como un enorme organismo que está dividido en áreas y departamentos que ejercen su función particular. De este modo, la capacitación en ISO 27001 es uno de los elementos que hace posible que un sistema de gestión de la seguridad de la información funcione como debe y cumpla con su parte dentro de la complejidad del sistema general al que pertenece.

La capacitación en ISO 27001 requiere especial atención, pues gracias a ella, la organización puede garantizar la integridad de uno de los activos comerciales más importantes: la información.

El Anexo A y los controles de seguridad en ISO 27001

Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo, lo que indica que su implementación es imprescindible. Y en cuanto a controles de seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta una lista de dichos controles que pueden resultar fundamentales para mejorar la protección de la información en las organizaciones.

Usualmente, cuando se hace uso de un documento, los anexos y las referencias bibliográficas son muchas veces desestimados. En el caso de la norma que nos ocupa, esto no debería suceder, pues el Anexo A es normativo y la implementación de los controles que se encuentran en él es obligatoria, de ser aplicables para la organización.

Capacitación en ISO 27001

Categorías