¿Cuántos controles tiene la norma ISO 27001?

Por María Camila Arévalo J., el 04 de noviembre, 2019

cuantos-controles-tiene-la-norma-iso

La norma ISO 27001 se encuentra enfocada en el aseguramiento confidencialidad e integridad de los datos, al igual que de los sistemas que se encargan de gestionar la seguridad de la información. 

Este estándar internacional fue creado para proporcionar un modelo para establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

Un enfoque del proceso para la gestión de la seguridad de la información presentado en éste estándar es fomentar que sus usuarios enfaticen la importancia de:

  • Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información. 
  • Implementar y operar controles para manejar los riesgos de la seguridad de la información. 
  • monitorear y revisar el desempeño y la efectividad del SGSI y
  • mejoramiento continuo en base a la medición del objetivo.

Hay que tener en cuenta que dentro de la ISO 27001 se encuentra el Anexo A, el cual es indispensable implementar ya que es el normativo y dentro de este se encuentra todo lo relacionado a los controles de seguridad, que son fundamentales, debido a que estos ayudan en la protección de la información de las empresas, además ponerlos en práctica es de carácter obligatorio para todas las compañías. 

Controles de la ISO 27001

En el Anexo A, se encuentran un total de 114 controles de seguridad. La organización debe elegir cuales se aplican mejor a sus necesidades, es importante entender que no solo se limita al área TI, sino que también involucra departamentos como el de recursos humanos, seguridad financiera, comunicaciones, entre otros.

En el 2013 se realizó este cambio, pues anteriormente en la norma del 2005 había un total de 133 controles y se eliminaron los estándares de acciones preventivas, y el requisito para documentar ciertos procedimientos.

Los 114 controles se dividen en 14 secciones que son las siguientes:

  • Políticas de seguridad de la información.
  • Organización de la seguridad de la información.
  • Seguridad de los recursos humanos.
  • Gestión de Activos.
  • Controles de acceso.
  • Criptografía – Cifrado y gestión de claves.
  • Seguridad física y ambiental.
  • Seguridad operacional.
  • Seguridad de las comunicaciones.
  • Adquisición, desarrollo y mantenimiento del sistema.
  • Gestión de incidentes de seguridad de la información.
  • Cumplimiento.

¿Qué se debe tener en cuenta para implementarlos?

Los controles son obligatorios teniendo en cuenta la aplicabilidad dentro de la institución, las personas que estén a cargo de la seguridad de la información son quienes deben definir que cuáles son los que se van a poner en marcha, con el fin de garantizar la protección de datos.

Es indispensable generar una capacitación sobre esta norma para establecer los controles adecuados dentro de la gestión de  

Además, ISO 27001 requiere algo más sobre los controles de seguridad. Es preciso efectuar las siguientes acciones:

  • Definir responsabilidades para administrar los controles.
  • Medir y monitorear la efectividad de los controles.
  • Implementar acciones correctivas cuando se detecten fallos en los controles, de tal forma que se asegure el logro de los objetivos propuestos.

Por tanto, la atención al Anexo A y la capacitación adecuada sobre la norma son fundamentales para establecer los controles de seguridad pertinentes.

 

Nueva llamada a la acción

Temas:Riesgos Ciberneticos

Comentarios