Conoce los beneficios y los requisitos de esta norma internacional de seguridad de la información
La seguridad de la información es un aspecto clave para cualquier organización que maneje datos sensibles de sus clientes, proveedores, empleados o socios. Proteger la confidencialidad, integridad y disponibilidad de la información es una responsabilidad ética y legal que puede evitar graves consecuencias como pérdidas económicas, daños reputacionales, sanciones o demandas.
Para garantizar que la seguridad de la información se gestiona de forma adecuada y eficaz, existe la norma ISO27001, que establece los requisitos para implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). Esta norma es reconocida internacionalmente y ofrece una serie de ventajas para las organizaciones que la cumplen, como por ejemplo:
- Mejorar la confianza y la satisfacción de los clientes, demostrando que se protegen sus datos y se cumplen las normativas vigentes.
- Reducir los riesgos de sufrir incidentes de seguridad, mediante la identificación y el tratamiento de las amenazas y vulnerabilidades.
- Optimizar los procesos y los recursos, mediante la definición de roles, responsabilidades y controles.
- Diferenciarse de la competencia, mediante la obtención de un sello de calidad y prestigio.
- Aumentar las oportunidades de negocio, accediendo a mercados más exigentes y ampliando la cartera de clientes.
Para obtener la certificación ISO27001, es necesario cumplir con una serie de requisitos mínimos, que se pueden resumir en los siguientes pasos:
- Definir el alcance y los objetivos del SGSI, así como la política de seguridad de la información.
- Realizar un análisis de riesgos, identificando los activos, las amenazas, las vulnerabilidades y las medidas de tratamiento.
- Implementar los controles de seguridad, basados en las buenas prácticas de la norma ISO27002.
- Documentar y comunicar el SGSI, asegurando que se dispone de los registros, procedimientos y evidencias necesarias.
- Revisar y auditar el SGSI, verificando que se cumple con los requisitos y se mejora de forma continua.
Qué hacer si ya se dispone de certificación en la ISO27001 pero con la versión anterior
La norma ISO27001 es una norma internacional que establece los requisitos para implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). Esta norma se actualiza periódicamente para adaptarse a los cambios tecnológicos, legales y sociales que afectan a la seguridad de la información. La última versión de la norma es la ISO27001:2022, que introduce algunos cambios importantes respecto a la versión anterior, la ISO27001:2013.
Para cumplir con la ISO27001:2022, si ya se está certificado con la ISO27001:2013, se deben seguir los siguientes pasos:
– Realizar un análisis de brechas entre las dos versiones de la norma, identificando los requisitos nuevos o modificados que se deben implementar.
– Actualizar el alcance, la política y los objetivos del SGSI, teniendo en cuenta los cambios introducidos por la versión 2022.
– Revisar y actualizar el análisis de riesgos y el tratamiento de riesgos, incorporando los nuevos escenarios y controles que se requieren.
– Adaptar los procesos, procedimientos y controles del SGSI a la nueva estructura y terminología de la norma, así como a las necesidades y expectativas de las partes interesadas.
– Capacitar al personal involucrado en el SGSI sobre las novedades y los cambios de la versión 2022.
– Realizar una auditoría interna del SGSI conforme a la nueva versión de la norma, evaluando el grado de cumplimiento y la eficacia del sistema.
– Implementar las acciones correctivas y preventivas derivadas de la auditoría interna, asegurando la mejora continua del SGSI.
– Solicitar una auditoría externa de transición a la versión 2022, demostrando ante un organismo de certificación la conformidad y el desempeño del SGSI.
– Obtener el certificado ISO27001:2022, que reemplaza al anterior y tiene una validez de tres años.
A modo de resumen de la nueva ISO27001:2022 tiene un cambio en su estructura y en la cantidad de controles a seguir, aunque el cambio más visible es el propio título de la norma que ahora es “Seguridad de la información, ciberseguridad y protección de la privacidad”, en el que se incluyen los nuevos conceptos de “Ciberseguridad” y “Privacidad”, por lo que la norma agrega controles específicos para cumplir con las buenas prácticas en temas de ciberseguridad y privacidad de la información.
También estarían los cambios de que se pasa de agrupar os controles en 14 apartados a solo 4 apartados
- Controles Organizacionales
- Controles al Personas
- Controles de Seguridad Física
- Controles Tecnológicos
Y en lo que refiere a los controles pasan de los 114 a los 93 actuales, destacando que no ha sido eliminado ninguno, sino que hay 11 nuevos. La siguiente tabla resume los cambios sufridos por los controles con la nueva ISO27001:2022:
*Los nuevos controles son estos:
- 5.7 Inteligencia de Amenazas
- 5.23 Seguridad de la información para el uso de servicios en la nube
- 5.30 Preparación de las TIC para la continuidad del negocio
- 7.4 Monitoreo de la seguridad física
- 8.9 Gestión de la configuración
- 8.10 Eliminación de la información
- 8.11 Enmascaramiento de datos
- 8.12 Prevención de la fuga de datos
- 8.16 Actividades de monitoreo
- 8.23 Filtrado Web
- 8.28 Codificación Segura
Plazos para adecuarse a la nueva ISO27001
Si quieres saber más sobre la certificación ISO27001 y cómo puede ayudarte a mejorar la seguridad de la información de tu organización, no dudes en contactarnos. Somos expertos en seguridad de la información y te ofrecemos un servicio personalizado y de calidad.