ISO 27001:2022

Seguridad de la Información

Implantación y Adecuación de un SGSI para su Certificación según ISO 27001 última versión 2022.

  • Somos consultores expertos en Seguridad de la Información.
  • Implante la versión de 2022 de ISO/IEC 27001 y distíngase de su competencia

¿Qué es
ISO 27001?

ISO 27001 pertenece a la familia de normas recogidas en ISO / IEC 27000 amparadas en la Organización Internacional de Estandarización (ISO), donde se determina una implementación efectiva de la seguridad de la información empresarial desarrollada en las normas:

  • ISO 27001 Contiene los requisitos a certificar.
  • ISO 27002 Se presenta como un conjunto de buenas prácticas y recomendaciones que nos ayudan a implementar la norma 27001 que es la norma a certificar.
  • ISO 27001 es una disposición internacionalmente reconocida que nos ayuda a gestionar la seguridad de la información en cualquier tipo de organizaciones.
  • La norma ISO 27001 es un esquema certificable que ha sido probado a nivel internacional cuyo origen se sitúa en la norma británica BS 7799-2.
  • Desde sus primeros pasos en el año 2005 hasta el día de hoy ISO 27001 ha sufrido varias revisiones donde se han ido incorporando progresivamente las mejores prácticas en seguridad de la información, basándose en la experiencia de todo tipo de organizaciones y con la ayuda de los mejores expertos en seguridad de la información.

Última versión ISO 27001:2022

La ISO 27001:2022 surge de la necesidad de incorporar ciertos cambios a la norma, los cuales se centran en cambios en el cuerpo normativo y Cambios en el Anexo A que afectan a los controles a implementar en la empresa y en la forma de estructurar la Declaración de Aplicabilidad (SOA).

Cambios en el Sistema de GEstión

Cambios en el cuerpo de la ISO 27001:2022.

No son muy significativos. Pasamos a enumerar los principales.

  • Reestructuración de la numeración para acercarla a la estructura de alto nivel.
  • Alinear el SGSI con las mejores prácticas de los sistemas de gestión que indican que estos deben de construirse alrededor de los procesos y de sus interacciones.
  • En la cláusula 5.3. se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
  • Respecto de la cláusula 6.2. ISO 27001 hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
  • La cláusula 6.3. nos indica que hay que planificar los cambios del sistema de gestión y que estos se realicen de manera controlada, existiendo un plan de cómo estos se van a implementar y validar.
  • En la sección 8 se vuelve a insistir en la gestión por procesos del sistema de gestión de seguridad de la información. En la cláusula 8.1. especifica: “establecer criterios para los procesos y aplicar el control de los mismos.”
  • En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

Como vemos los cambios en el cuerpo de la nueva versión son menores, haciendo especialmente hincapié en que los procesos estén claramente definidos junto con sus interacciones. Los cambios más importantes se encuentran dentro del Anexo A y de la ISO/IEC ISO 27002 que desarrollan los controles a aplicar.

Cambios en el Anexo A

Para esta nueva versión hay 93 controles los cuáles están organizados en 4 grupos, versus los 114 controles organizados en 14 categorías de la versión de 2013.

Ha habido una reestructuración, racionalización, reagrupación de controles con el objetivo de minimizar los controles y agruparlos de una forma más lógica y fácil de entender.

Hay un total de 11 nuevos controles, 24 se han fusionado y un total de 58 han sido revisados. 35 controles se mantienen sin cambios.

  • Controles organizacionales.
  • Personas.
  • Controles físicos.
  • Controles tecnológicos.

Controles

En ISO 27002 cada control se presenta con una tabla de 5 atributos que pueden ayudarnos significativamente en la categorización y en el monitoreo de los mismos. Estos aparecen presentados como tabla y clasifica cada control según.

  • Tipo de control.
  • Las propiedades de la seguridad de la información
  • Conceptos de ciberseguridad.
  • Capacidad operativa.
  • Dominios de Seguridad.

¡NO SE QUEDE ATRÁS Y CERTIFÍQUESE!
De forma sencilla, rápida y económica

Prestigio internacional del
CERTIFICADO ISO 27001

El certificado ISO 27001 es actualmente el principal referente para garantizar las buenas prácticas en la seguridad de la información en las empresas a nivel mundial, algo que está siendo refrendado año a año las estadísticas de crecimiento mundial de certificados.

Un sistema de Seguridad de la información es una herramienta indispensable en el mundo actual para proteger a las empresas y organizaciones de las amenazas y riesgos contra la información.

Para ello ISO 27001 nos permite:

  • Conocer los riesgos.
  • Gestionar los riesgos.
  • Minimizar los riesgos.

Integración con otras normas del
CERTIFICADO ISO 27001

Una empresa que ya tenga implantado un sistema de gestión basado en una estructura de alto nivel según el anexo SL común a las normas ISO les resultara más sencillo implantar la norma ISO 27001. Esto ocurre con las normas ISO 9001 y 14001 en su versión 2015 así como otras normas como ISO 22301 Continuidad del Negocio o ISO 31000 gestión del riesgo.

En este caso se recomienda implantar un sistema Integrado de Gestión donde podamos aprovechar los puntos comunes entre las distintas normas para no duplicar esfuerzos ya que al existir muchos puntos en común entre las diferentes normas se pueden unificar documentos.

INTEGRACION ISO 9001 & ISO 27001

Un caso típico seria por ejemplo la integración de un sistema de gestión de la seguridad de la Información según ISO 27001 en un sistema de gestión de la calidad según ISO 9001 ya implantado.

Un proceso de integración ISO 9001 – ISO 27001 debe comenzar por incorporar los requisitos de seguridad de la información de la norma ISO 27001 a los procesos de calidad ya definidos, tales como:

Requisitos comunes

Podemos identificar varios requisitos comunes no solo a las normas ISO 9001 e ISO 27001 si no para otras normas también y que pueden ser abordados conjuntamente:

  • Competencia
  • Sensibilización
  • Comunicación
  • Control documental y registros
  • No Conformidades / Acciones correctivas

Contexto de la Organización

En este punto deberemos identificar los aspectos internos y externos relacionados con la seguridad de la información para añadirlos a los ya identificados con relación a la calidad.

Partes Interesadas

Integrados en el mismo proceso ya existente deberemos determinar las partes interesadas y sus requisitos en relación a la seguridad de la información.

Roles y responsabilidades

Se deben definir los roles y responsabilidades requeridos por el SGSI (Sistema de Gestión de la seguridad de la Información).

Auditorías Internas y revisión por la dirección

Aun siendo un punto común entre ambas normas, deberemos tener en cuenta las distintos datos/resultados para efectuar la revisión, pudiéndose integrar ambas auditorias, la de calidad y seguridad de la Información en una misma auditoria si el tamaño de la empresa así lo aconseja.

Ambas normas ISO 9001 e ISO 27001 son complementarias y se potencias mutuamente de forma que la norma 27001 aporta a los requisitos de calidad principalmente:

Una evaluación de riesgos de la Seguridad de la Información

La evaluación del riesgo y su tratamiento es el paso más importante en su proyecto de seguridad de la información. Aquí se establecen las bases para la seguridad de la información en la empresa.

Plan de tratamiento de riesgos

Además de identificar cada uno de los riesgos se establecerán los controles apropiados para gestionar el riesgo de manera sistemática de forma que consideremos todos los aspectos importantes para la empresa. Aquí se establecen además el cronograma de implantación, los recursos necesarios además del plan de auditorías.

NORMAS FACILMENTE INTEGRABLES CON ISO 27001

  • ISO 9001 Gestión de la calidad
  • ISO 14001 Gestión medio ambiental
  • ISO 22301 Continuidad del negocio
  • ISO 31000 Gestión de riesgos
  • ENS Esquema Nacional de Seguridad
  • ISO 20000 Calidad de servicios TI
  • ISO 15504 Calidad del SW
Las 8 Tendencias en Normativas ISO

Estructura y apartados del
CERTIFICADO ISO 27001

La norma ISO 27001 tras su última revisión permite entre otras cosas una mayor facilidad de integración con otras normas como la ISO 9001 y esquemas basados en sistemas documentales desarrolladas en base al anexo SL.

La estructura de la norma ISO 27001 para la Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

Destacamos que la norma ISO 27001 nos ofrece la confianza de que los riesgos son gestionados adecuadamente integrando los procesos de la seguridad de la información dentro de la gestión de una organización.
En este capítulo, la norma ISO 27001:2013 establece el obligatorio el cumplimiento de los requisitos especificados entre los capítulos 4 a 10 incluidos en el documento normativo como requisito para obtener una conformidad de cumplimiento y así poder certificase.
Como novedad sobre la versión ISO 27001:2005, la revisión 27001:2013 elimina como referencia normativa obligatoria el anexo 27002, quedando como única referencia los términos y definiciones contenidos en el texto del documento ISO 27001:2013.
Los términos y las definiciones que se encontraban en la ISO 27001:2005 los trasladaron y fueron agrupados en la sección 3 de la norma ISO 27001:2013 “Fundamento y vocabulario”, con el fin de contar con una sola guía de términos y definiciones que sea consistente.
Como primer requisito de la norma ISO 27001:2013 se debe definir:

  • Los problemas o cuestiones externas que afectan a la capacidad para obtener los resultados previstos en el sistema de seguridad de la información.
  • Determinar las necesidades y expectativas de todas las partes interesadas.
  • Determinación del alcance del SGSI.

Para ello la alta dirección ha de demostrar su liderazgo y compromiso:

  • Elaborando una política de seguridad.
  • Comunicar convenientemente a toda la organización los objetivos de la política de seguridad.
  • Asignar roles, responsabilidades y autoridades dentro del sistema de seguridad de la información.
  • Conseguir la contribución activa de toda la empresa en el sistema de la seguridad de la información.

En este capítulo se establece como requisito la definición de los objetivos de seguridad mediante:

  • Análisis de evaluación de riesgos partiendo de las amenazas y vulnerabilidades.
  • Plan de tratamiento del riesgo.
Los requisitos del soporte para el establecimiento de la implementación y mejora del SGSI, que incluye:

  • Personal competente.
  • Conciencia y comunicación de todas las partes interesadas.
  • Documentación de los procesos.
Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.

Aquí se establecen los requisitos para evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información mediante controles de seguimiento, medición, análisis y evaluación de la seguridad de la información.

Se establecen para ello además los procesos de:

  • Auditorías internas periódicas
  • Proceso de revisión por parte de la dirección

Requisitos para los procesos de:

  • Seguimiento de No conformidades y Acciones correctivas.
  • Proceso de mejora continua.

Plazos de la ISO 27001

El 25 de octubre de 2022 se publicó la revisión de la norma ISO 27001 de Seguridad de la Información, con un plazo de transición de 3 años.

Esto implica que los certificados de la versión de 2013 dejarán de tener validez el 30 de octubre de 2025.

Artículos
relacionados

Pide tu PRESUPUESTO

Completa el formulario y te contactaremos lo más pronto posible