ISO 27001 - Seguridad de la Información
Summary
TLDREl estándar ISO 27001 es un sistema de gestión de la seguridad de la información que busca preservar la confidencialidad, integridad y disponibilidad de la información empresarial. Este sistema se basa en un enfoque de proceso y mejora continua, aplicable a organizaciones de cualquier tamaño y sector. Aborda desde la identificación de riesgos hasta la implementación de medidas para su tratamiento, pasando por el establecimiento de políticas y objetivos de seguridad, y la evaluación del desempeño del sistema. La certificación ISO 27001 demuestra la conformidad con estos requisitos y la gestión efectiva de la seguridad de la información.
Takeaways
- 🔐 ISO 27001 es un sistema de gestión de la seguridad de la información que busca preservar la confidencialidad, integridad y disponibilidad de la información.
- 🏢 La información corporativa es un activo crucial para las empresas y requiere un enfoque de gestión seguro para su protección.
- 🔄 El sistema de gestión se basa en un enfoque de procesos y en el ciclo de mejora continua, conocido como PDCA (Plan-Do-Check-Act).
- 📚 La familia ISO 27000 proporciona soporte para mantener la seguridad de la información, siendo ISO 27001 el estándar más conocido dentro de esta familia.
- 📈 ISO 27001 incluye 10 cláusulas que abordan desde los requisitos del sistema hasta la mejora continua, siguiendo una estructura similar a otros estándares ISO recientes.
- 🌐 La norma ISO 27001 es aplicable a cualquier organización, independientemente de su tamaño o sector.
- 👥 La cláusula 4 destaca la importancia de considerar aspectos internos y externos, así como las partes interesadas, para implementar un sistema de gestión de la seguridad de la información.
- 📊 La cláusula 5 enfatiza la necesidad de liderazgo y compromiso de la alta dirección en la implementación y mejora del sistema de seguridad de la información.
- 🛠️ La cláusula 6 trata la planificación para abordar los riesgos y oportunidades que afectan la seguridad de la información, promoviendo la implementación de un proceso de gestión de riesgos.
- 💼 La cláusula 7 aboga por la necesidad de recursos adecuados, incluyendo la competencia del personal y la comunicación de políticas y objetivos de seguridad de la información.
- 🔧 La cláusula 8 se centra en la operación, mantenimiento y control de los procesos de seguridad de la información para cumplir con los objetivos y mitigar riesgos.
- 📏 La cláusula 9 establece la importancia de la evaluación del desempeño del sistema de seguridad de la información, incluyendo auditorías internas y la revisión por parte de la alta dirección.
- 🔄 La cláusula 10 trata la mejora continua, enfocándose en el manejo de no conformidades y en la mejora de la seguridad de la información en la empresa.
Q & A
¿Qué es el ISO 27001 y qué significa para una organización?
-El ISO 27001 es un estándar de gestión de la seguridad de la información que promueve la preservación de la confidencialidad, integridad y disponibilidad de la información. Para una organización, significa un sistema de gestión que apoya a mantener sus activos de información seguros y confidenciales.
¿Cuál es la importancia de la seguridad de la información en el mundo empresarial actual?
-La información corporativa es uno de los activos más importantes que maneja una empresa y se ha convertido en una herramienta fundamental. La seguridad de la información ayuda a proteger estos activos, evitando peligros y riesgos.
¿Qué es el ciclo de mejora continua y cómo se relaciona con el ISO 27001?
-El ciclo de mejora continua, también conocido como PDCA (Plan-Do-Check-Act), es un enfoque basado en procesos que promueve la mejora continua de los sistemas de gestión. El ISO 27001 se basa en este ciclo para mejorar la seguridad de la información de una organización.
¿Qué es la ISO 27000 y cómo se relaciona con el ISO 27001?
-La ISO 27000 es una familia de estándares que ayuda a las organizaciones a mantener sus activos de información de forma segura. El ISO 27001 es el estándar más conocido de esta familia, proporcionando los requisitos para implementar un sistema de gestión de la seguridad de la información.
¿Qué se debe considerar en el contexto de la organización según el ISO 27001?
-Se deben considerar aspectos internos y externos relevantes que puedan afectar el sistema de gestión, identificar partes interesadas y cumplir con sus requisitos, definir el alcance del sistema de gestión y establecer los límites y aplicabilidad del mismo.
¿Qué implica la cláusula 5 del ISO 27001 en términos de liderazgo y compromiso de la alta dirección?
-La cláusula 5 indica que la alta dirección debe mostrar compromiso y apoyo en todos los aspectos relacionados con la seguridad de la información, asegurando el cumplimiento de la política y objetivos de seguridad, integrando el sistema de gestión con las operaciones de la empresa y proporcionando los recursos necesarios.
¿Cuáles son las acciones clave que debe tomar una empresa durante la cláusula 6 del ISO 27001?
-Durante la cláusula 6, una empresa debe considerar los peligros de la información, identificar riesgos y oportunidades, planificar cómo enfrentar los riesgos y dar lugar a las oportunidades, evaluar la efectividad de las acciones y establecer objetivos y planificación para el manejo de la seguridad de la información.
¿Qué recursos se deben tener en cuenta en la cláusula 7 del ISO 27001?
-La cláusula 7 requiere que la organización cuente con recursos necesarios como la competencia de las personas, la toma de conciencia sobre la seguridad de la información, la comunicación de políticas y objetivos, y la medición constante de la información documentada que respalde el sistema de gestión.
¿Cómo se gestionan los procesos relacionados con la seguridad de la información según la cláusula 8 del ISO 27001?
-La cláusula 8 indica que una empresa debe planificar, implementar y controlar procesos relacionados con la seguridad de la información para garantizar el cumplimiento de las acciones definidas para mitigar riesgos y objetivos de seguridad. Esto incluye el manejo y aseguramiento de los riesgos, y la conservación de la información documentada.
¿Qué se evalúa durante la cláusula 9 del ISO 27001 y cómo se realiza?
-Durante la cláusula 9, se evalúa el desempeño del sistema de gestión de la seguridad de la información mediante la implementación de un sistema de auditoría interna. Esto incluye la ejecución, control, medición y seguimiento de un programa de auditoría, y la evaluación por parte de la alta dirección del cumplimiento de la política y objetivos, el manejo de riesgos y la retroalimentación de las partes interesadas.
¿Cómo se aborda la mejora continua en la cláusula 10 del ISO 27001?
-La cláusula 10 trata las formas en cómo una organización trata las no conformidades que ocurran, lo que incluye el conocimiento de los incumplimientos a los requisitos. Después de tratar las no conformidades, la organización debe mejorar continuamente en aquellos aspectos que promueven la seguridad de la información.
Outlines
🔐 Introducción al Sistema de Gestión de Seguridad de la Información
El primer párrafo explica la importancia de la seguridad de la información en las empresas y cómo la ISO 27001 puede ayudar a preservar la confidencialidad, integridad y disponibilidad de la información. Se menciona que la información corporativa es un activo crítico y que un sistema de gestión de la seguridad de la información es esencial para su protección. Además, se habla sobre el enfoque basado en procesos y la mejora continua, conocido como ciclo PH, y se menciona que la ISO 27001 es el estándar más conocido dentro de la familia ISO 27000.
📚 Detalles del Sistema de Gestión de Seguridad de la Información
Este párrafo profundiza en qué es un sistema de gestión de seguridad de la información, destacando que es un enfoque que incluye personas, procesos y sistemas informáticos, y que se centra en la gestión de riesgos. Se describe el contenido de la norma ISO 27001, que consta de 10 cláusulas homogéneas que abordan aspectos como el contexto de la organización, liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora. También se menciona que si una empresa ya está certificada bajo estándares como la ISO 9001 o la ISO 14001, puede incorporar este sistema de gestión basándose en su estructura existente.
🛠 Implementación y Auditoría del Sistema de Gestión de Seguridad de la Información
El tercer párrafo se enfoca en la implementación y auditoría del sistema de gestión de seguridad de la información. Se describen las cláusulas 5 a 10 de la norma ISO 27001, que abordan aspectos como el liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora. Se enfatiza la importancia de la alta dirección en la implementación de la política de seguridad de la información y la asignación de roles y responsabilidades. También se menciona la necesidad de planificar cómo enfrentar los riesgos y aprovechar las oportunidades, así como la importancia de contar con recursos y competencias para cumplir con los objetivos de seguridad de la información. Finalmente, se habla sobre la evaluación del desempeño del sistema a través de auditorías internas y la revisión periódica por parte de la alta dirección.
Mindmap
Keywords
💡ISO 27001
💡Seguridad de la información
💡Confidencialidad
💡Integridad
💡Disponibilidad
💡Gestión de la seguridad de la información
💡Proceso de mejora continua (PH)
💡ISO 27000
💡Planificación
💡Apoyo
💡Evaluación del desempeño
Highlights
ISO 27001 es un sistema de gestión de la seguridad de la información.
La seguridad de la información implica preservar la confidencialidad, integridad y disponibilidad de la información.
La información corporativa es un activo crucial para las empresas.
Un sistema de gestión de la seguridad de la información promueve un enfoque basado en procesos y mejora continua.
La familia ISO 27000 apoya a las organizaciones para mantener la seguridad de la información.
ISO 27001 es el estándar más conocido en la familia ISO 27000.
El estándar ISO 27001 provee requisitos para implementar un sistema de gestión de la seguridad de la información.
El sistema de gestión de la seguridad de la información incluye personas, procesos y sistemas informáticos.
ISO 27001 ayuda a gestionar la información de manera confidencial y segura.
La norma ISO 27001 se compone de 10 cláusulas homogéneas.
Cláusula 1: Objeto, describe los requisitos de un sistema de gestión de la seguridad de la información.
Cláusula 2: Referencias normativas, hace referencia a la familia ISO 27000.
Cláusula 3: Términos y definiciones, indica la ISO 27000 para una mejor comprensión.
Cláusula 4: Contexto de la organización, aborda aspectos relevantes para implementar el sistema de gestión.
Cláusula 5: Liderazgo, habla del compromiso y apoyo de la alta dirección en la seguridad de la información.
Cláusula 6: Planificación, indica cómo la empresa debe considerar los riesgos y oportunidades para la seguridad de la información.
Cláusula 7: Apoyo, requiere recursos para cumplir con los planes de seguridad de la información.
Cláusula 8: Operación, trata cómo la empresa debe planificar y controlar los procesos de seguridad de la información.
Cláusula 9: Evaluación del desempeño, menciona la importancia de medir el desempeño del sistema de seguridad de la información.
Cláusula 10: Mejora, trata las no conformidades y promueve la mejora continua en la seguridad de la información.
ISO 27001 puede ser certificada, pero no es un requisito dictado por la norma.
Transcripts
00:00[Música]
00:00iso 27001 sistema de gestión de la
00:04seguridad de la información
00:06la palabra seguridad quiere decir
00:09ausencia de peligro o de riesgo en el
00:12mundo de las hizo seguridad de la
00:14información significa preservación de la
00:18confidencialidad integridad y
00:21disponibilidad de la información hoy en
00:24día la información corporativa es uno de
00:27los activos más importantes que maneja
00:29una empresa convirtiéndose en una
00:32herramienta fundamental optar por un
00:35sistema de gestión que nos apoya
00:37garantizar la seguridad de la misma
00:40como sabes un sistema de gestión es la
00:43forma en que una organización maneja su
00:46gestión interna a fin de lograr sus
00:48objetivos un sistema de gestión de la
00:51seguridad de la información promueve un
00:54enfoque en base a procesos apoyándose a
00:57la vez en el ciclo de la mejora continua
01:00o mejor conocido como ph
01:05que es la iso 27001 la familia de las
01:09formas iso 27000 apoya a las
01:12organizaciones a mantener los activos de
01:14su información de forma segura entre las
01:18más conocidas podemos encontrar hizo
01:2127000 términos y definiciones de un
01:25sistema de gestión de la seguridad de la
01:27información iso 27001 es el estándar más
01:32conocido en esta familia de normas
01:34proveyendo los requerimientos para
01:36implementar un sistema de gestión de la
01:39seguridad de la información utilizar
01:42esta familia de estándares ayudará a
01:44manejar la información corporativa de
01:46forma confidencial y segura desde la
01:49información financiera propiedad
01:51intelectual detalles de los
01:53colaboradores o información de partes
01:56interesadas
01:59qué es un sistema de gestión de
02:02seguridad de la información como lo
02:04hemos dicho se trata de un enfoque que
02:07permite el manejo seguro de la
02:08información confidencial de una compañía
02:12incluye las personas procesos sistemas
02:15informáticos y aplicar un proceso de
02:19gestión de riesgos puede apoyar a las
02:22pequeñas medianas y grandes empresas de
02:24cualquier ruta a mantener los activos de
02:27información de forma segura
02:30cuál es el contenido de la norma iso
02:3327001 la norma se compone de 10
02:36cláusulas homogéneas a las últimas
02:40normas publicadas por la iso las 10
02:43cláusulas son objeto referencias
02:47normativas términos y definiciones
02:50contexto de la organización liderazgo
02:54planificación apoyo operación evaluación
02:59del desempeño y mejor la buena noticia
03:03es que si ya está certificado bajo un
03:05estándar recientemente actualizado como
03:08la iso 9.001 o la iso 14.001 puedes
03:11incorporar este sistema de gestión a tu
03:14organización tomando como base la
03:17estructura de alto nivel
03:18[Música]
03:21cláusula 1 objeto
03:25y esta norma nos habla de los
03:27requerimientos de un sistema de gestión
03:29de la seguridad de la información indica
03:32que puede ser aplicable a cualquier
03:34organización independientemente de su
03:37tamaño o giro empresarial clausula dos
03:41referencias normativas esta norma hace
03:44referencia a la familia de las hizo
03:4727.000 cláusula tres términos de
03:51pensiones esta norma nos indica que el
03:54osario para mejor comprensión de esta
03:57norma podemos encontrarlo en la iso
03:5927000 2018 cláusula 4 contexto de la
04:05organización esta cláusula no sabrá de
04:08varios aspectos que una organización
04:10debe considerar para implementar un
04:13sistema de gestión de la seguridad de la
04:15información primero debe determinar
04:19todos aquellos aspectos internos y
04:21externos a la empresa que son relevantes
04:24y que pueden llegar a afectar el
04:26desempeño en su sistema de gestión
04:28segundo la organización debe identificar
04:32cuáles son aquellas partes interesadas
04:34relevantes al sistema de gestión de la
04:37seguridad de la información y asegurarse
04:40de cumplir con sus requisitos tercero el
04:43alcance de este sistema de gestión de la
04:46seguridad de la información debe ser en
04:49base a las necesidades de la empresa
04:52tomando como referencia los requisitos
04:55de sus partes interesadas y cada uno de
04:58los procesos de la organización
05:00finalmente esta cláusula termina
05:03diciendo que corresponde a la empresa
05:06definirá aquellos límites y
05:08aplicabilidad del sistema de gestión de
05:11la seguridad de la información
05:14clausura 5 liderazgos en esta cláusula
05:18la norma nos indica el compromiso y
05:21apoyo que debe existir por parte la alta
05:24dirección de la empresa en todos
05:26aquellos aspectos relativos al sistema
05:29incluyendo en el cumplimiento de la
05:32política y objetivos de la seguridad de
05:34la información asegurando que el sistema
05:37de gestión de la seguridad de la
05:39información se integre con la operación
05:42de la empresa proveer los recursos
05:45necesarios para que se desempeñe el
05:47sistema entre otros a la vez esta
05:51cláusula nos habla sobre la
05:53implementación de una política de
05:55seguridad de la información que sea
05:57conforme al alcance del negocio y sobre
06:01todo que considere los requisitos de
06:03seguridad de la información definidos
06:06por la empresa
06:08esta cláusula finaliza diciendo que la
06:10alta dirección debe asignar roles
06:14responsabilidades y autoridades que
06:16velen por la seguridad de la información
06:18y que comuniquen
06:20donde la misma
06:23clausula 6 planificación aquí es donde
06:27se vuelve interesante la iso 27001
06:30indica que la empresa debe considerar
06:32todos aquellos peligros de la
06:34información que rodean el contexto de la
06:37organización e identificar todos los
06:40riesgos y oportunidades que necesitan
06:42abordarse a fin de asegurar que se
06:45cumplan los objetivos planificados
06:47reducir aquellos efectos no deseados y
06:51se promueva la mejora continua la
06:53organización debe planificar la forma
06:56como enfrentar a los riesgos y dará
06:59lugar a las oportunidades para evaluar
07:01la efectividad de dichas acciones
07:03también la norma indica que la empresa
07:07debe implementar un proceso de manejo de
07:10riesgos para la seguridad de la
07:12información
07:13primero contando con información de cómo
07:16manejar dichos riesgos asegurando que
07:19contenga los procesos de cómo tratar un
07:22riesgo cuando se materialice y evitar la
07:25pérdida total de confidencialidad
07:27integridad y disponibilidad
07:30formación a la vez la norma motiva a la
07:33empresa a que se proponga objetivos en
07:36cuanto al manejo de seguridad de la
07:38información y establezca una
07:41planificación para cumplirlos
07:43clausula 7 apoyo en esta cláusula la
07:48norma requiere que la organización
07:51cuente con los recursos necesarios para
07:54que todo lo que hemos planeado en la
07:55cláusula anterior pueda cumplirse
07:58incluyendo la competencia de las
08:01personas y la toma de conciencia sobre
08:03la seguridad de la información
08:05comunicando activamente las políticas
08:08objetivos de la seguridad de la
08:10información y asegurando su cumplimiento
08:13y medición constante también manejando
08:16toda aquella información documentada que
08:19respalde y apoye el sistema de gestión
08:21incluyendo la requerida por la norma y
08:24la necesaria para lograr la efectividad
08:27del sistema de gestión de la seguridad
08:29de la información cláusula 8 operación
08:33en esta cláusula la norma nos habla de
08:36como una empresa debe planificar
08:39implementar y controlar todos aquellos
08:42procesos relacionados a la seguridad de
08:45la información a fin de garantizar que
08:48se cumplen las acciones que definimos
08:50para mitigar los riesgos y los objetivos
08:53de la seguridad de la información a la
08:56vez nos habla tanto del manejo como del
08:59aseguramiento de los riesgos
09:01relacionados a la información de la
09:04empresa esto debe conservarse como
09:06información documentada la cual debe
09:09ejecutarse evaluarse y medirse para
09:13garantizar que la empresa cuenta con las
09:15medidas de contingencia para disminuir y
09:18tratar los riesgos relacionados a la
09:21seguridad de la información si te fijas
09:24en la cláusula 6 planificamos en la
09:27cláusula 7 establecemos los recursos que
09:30necesitamos en la planificación y en
09:32esta cláusula 8 echamos a andar lo
09:35planificado
09:36[Música]
09:37clausula 9 evaluación del desempeño ya
09:42que echamos a andar lo planificado
09:44es hora de medirlo y de esto nos habla
09:46esta cláusula la empresa implementa un
09:49sistema de gestión de la seguridad de la
09:51información debe medirlo para garantizar
09:55su desempeño y mejor a la vez indica
09:58como un método infalible la auditoría
10:00interna requiriendo que se audite en
10:04sistema de gestión de la seguridad de la
10:06información en los periodos o intervalos
10:09que la organización dictamina como ayuda
10:12a ello la norma 27001 propone la
10:15ejecución control implementación
10:18medición y seguimiento de un programa de
10:21auditoría
10:22esta cláusula finaliza con la evaluación
10:24por parte de la alta dirección
10:27asegurando que la alta dirección o
10:29gerencia revise el estatus de
10:32cumplimiento de la política y objetivos
10:34el manejo de los riesgos de la seguridad
10:37de la información y la retroalimentación
10:39de las partes interesadas entre otros
10:43cláusula 10 mejora finaliza la iso 27001
10:49con esta cláusula que menciona las
10:51formas en cómo una organización trata
10:54las no conformidades que ocurran para tu
10:57conocimiento una no conformidad es un
11:00incumplimiento a los requisitos luego de
11:04tratar las no conformidades la
11:07organización debe mejorar continuamente
11:10en todos aquellos aspectos que promueven
11:13la seguridad de información en la
11:15compañía se puede certificar la iso
11:1927001 como otros estándares iso si es
11:23posible certificar a una organización
11:25sin embargo no es un requisito que dicta
11:29la norma algunas organizaciones escogen
11:32simplemente implementar los requisitos
11:35del estándar a fin de beneficiarse de
11:37las mejores prácticas que contienen
11:39mientras que otras deciden optar por
11:42certificarse para asegurar
11:45y partes interesadas que esos procesos
11:48de información son confiables y seguros
11:51si quieres más información cómo puede
11:53certificarse bajo esta norma podemos
11:56apoyar contáctanos ahora para recibir
11:58una asesoría gracias a frente con
12:01process norma iso 27001 requisitos para
12:05un sistema de gestión de seguridad de la
12:08información
5.0 / 5 (0 votes)
