Andrea Giesler | 3 de junio de 2019

La norma ISO 27001 ofrece requisitos y una estructura que proporcionará orientación en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Como sistema de gestión, ISO 27001 se basa en la mejora continua; en este artículo, aprenderá más sobre cómo esto se refleja en los requisitos y la estructura de ISO 27001.

Dos partes principales del estándar

El estándar se divide en dos partes. La primera parte principal consta de 11 cláusulas (0 a 10). La segunda parte, llamada Anexo A, proporciona una guía para 114 objetivos de control y controles. Las cláusulas 0 a 3 (Introducción, Alcance, Referencias normativas, Términos y definiciones) establecen la introducción de la norma ISO 27001. Las siguientes cláusulas 4 a 10, que proporcionan los requisitos de ISO 27001 que son obligatorios si la empresa desea cumplir con la norma, se examinan con más detalle en este artículo.

El anexo A de la norma respalda la cláusulas y sus requisitos con una lista de controles que no son obligatorios, pero que se seleccionan como parte del proceso de gestión de riesgos. Para obtener más información, lea el artículo La lógica básica de ISO 27001: ¿Cómo funciona la seguridad de la información?

Cláusula 4: Contexto de la organización

Un requisito previo para implementar con éxito un Sistema de Gestión de Seguridad de la Información es comprender el contexto de la organización. Es necesario identificar y considerar las cuestiones externas e internas, así como las partes interesadas. Los requisitos pueden incluir cuestiones regulatorias, pero también pueden ir mucho más allá.

Teniendo esto en cuenta, la organización debe definir el alcance del SGSI. ¿En qué medida se aplicará ISO 27001 a la empresa?

Lea más sobre el contexto de la organización en los artículos Cómo definir el contexto de la organización según ISO 27001, Cómo identificar a las partes interesadas según ISO 27001 e ISO 22301, y Cómo definir el alcance del SGSI.

Cláusula 5: Liderazgo

Los requisitos de ISO 27001 para un liderazgo adecuado son múltiples. El compromiso de la alta dirección es obligatorio para un sistema de gestión. Los objetivos deben establecerse de acuerdo con los objetivos estratégicos de una organización. Proporcionar los recursos necesarios para el SGSI, así como apoyar a las personas para contribuir al SGSI, son otros ejemplos de las obligaciones a cumplir.

Además, la alta dirección necesita establecer una política acorde a la seguridad de la información. Esta política debe documentarse, así como comunicarse dentro de la organización y a las partes interesadas.

También se deben asignar roles y responsabilidades para cumplir con los requisitos de la norma ISO 27001 e informar sobre el desempeño del SGSI.

Obtenga más información sobre la alta dirección en ISO 27001 en estos artículos: Perspectiva de la alta dirección de la implementación de la seguridad de la información, Roles y responsabilidades de la alta dirección en ISO 27001 e ISO 22301, y ¿Qué debería escribir en su Política de Seguridad de la Información de acuerdo con ISO 27001?

Cláusula 6: Planificación

La planificación en un entorno SGSI siempre debe tener en cuenta los riesgos y oportunidades. Una evaluación de riesgos de seguridad de la información proporciona una base sólida en la que confiar. En consecuencia, los objetivos de seguridad de la información deben basarse en la evaluación de riesgos. Estos objetivos deben estar alineados con los objetivos generales de la empresa. Además, los objetivos deben promoverse dentro de la empresa. Proporcionan los objetivos de seguridad en los que trabajar para todos los miembros de la empresa y alineados con ella. A partir de la evaluación de riesgos y los objetivos de seguridad, se deriva un plan de tratamiento de riesgos, basado en los controles que se enumeran en el Anexo A.

Para una mejor comprensión de los riesgos y oportunidades, lea el artículo Evaluación de riesgos ISO 27001 & tratamiento – 6 pasos básicos. Obtenga más información sobre los objetivos de control en el artículo Objetivos de control de ISO 27001: ¿Por qué son importantes? Para obtener más detalles sobre la dirección de una empresa, lea el artículo Alineación de la seguridad de la información con la dirección estratégica de una empresa de acuerdo con ISO 27001.

Cláusula 7: Soporte

Recursos, competencia de los empleados, la conciencia y la comunicación son cuestiones clave para apoyar la causa. Otro requisito es la documentación de la información de acuerdo con la norma ISO 27001. La información debe documentarse, crearse y actualizarse, además de controlarse. Es necesario mantener un conjunto adecuado de documentación para respaldar el éxito del SGSI.

Para obtener más información sobre formación, sensibilización y comunicación, lea los artículos Cómo realizar la formación & conciencia de ISO 27001 e ISO 22301 y Cómo crear un plan de comunicación de acuerdo a ISO 27001. Obtenga más información sobre la gestión de documentos en el artículo Gestión de documentos en ISO 27001 & BS 25999-2.

Cláusula 8: Funcionamiento

Los procesos son obligatorios para implementar la seguridad de la información. Estos procesos deben planificarse, implementarse y controlarse. La evaluación y el tratamiento de riesgos, que deben estar en la mente de la alta dirección, como aprendimos anteriormente, deben ponerse en acción.

Obtenga más información sobre la evaluación y el tratamiento de riesgos en los artículos Evaluación de riesgos de ISO 27001: cómo emparejar activos, amenazas y vulnerabilidades y cómo evaluar las consecuencias y la probabilidad en el análisis de riesgos ISO 27001, y en este diagrama gratuito del proceso de evaluación y tratamiento de riesgos ISO 27001: 2013.

Cláusula 9: Evaluación del desempeño

Los requisitos de la norma ISO 27001 esperan el seguimiento, medición, análisis y evaluación del Sistema de Gestión de Seguridad de la Información. El departamento no solo debe verificar su trabajo, además, es necesario realizar auditorías internas. A intervalos establecidos, la alta dirección debe revisar el SGSI de la organización.

Obtenga más información sobre el rendimiento, el seguimiento y la medición en los artículos Indicadores clave de rendimiento para un SGSI ISO 27001 y Cómo realizar el seguimiento y la medición en ISO 27001.

Cláusula 10: Mejora

Mejora sigue la evaluación. Las no conformidades deben abordarse tomando medidas y eliminando las causas cuando corresponda. Además, se debe implementar un proceso de mejora continua, aunque el ciclo PDCA (Planificar-Hacer-Verificar-Actuar) ya no sea obligatorio (lea más sobre esto en el artículo ¿Se ha eliminado el ciclo PDCA de las nuevas normas ISO? El ciclo PDCA se recomienda a menudo, ya que ofrece una estructura sólida y cumple con los requisitos de ISO 27001.

Para obtener más información sobre la mejora en ISO 27001, lea el artículo Lograr una mejora continua mediante el uso de modelos de madurez.

Anexo A (normativo) Objetivos y controles de control de referencia

El Anexo A es una lista útil de objetivos y controles de control de referencia. Comenzando con A.5 Políticas de seguridad de la información hasta A.18 Cumplimiento, la lista ofrece controles mediante los cuales se pueden cumplir los requisitos de ISO 27001 y se puede derivar la estructura de un SGSI. Los controles, identificados a través de una evaluación de riesgos como se describe anteriormente, deben ser considerados e implementados.

Para más sobre el Anexo A, lea los artículos Una guía rápida de ISO Controles 27001 del Anexo A y Cómo estructurar los documentos para los controles del Anexo A de ISO 27001.

Requisitos de un SGSI

La implementación y el estándar en sí pueden parecer desafiantes o complicados a primera vista , porque algunos requisitos pueden no parecerle lógicos. Pero, con un aprendizaje más profundo al respecto, las cosas encajan y uno comienza a apreciar la amplitud que la implementación de ISO 27001 aporta a la seguridad. Poco después de cumplir con la normativa, seguramente se dará cuenta de que el estándar le ofrece una guía estructurada y quedará satisfecho con su decisión sobre la implementación.

Para obtener más información sobre los requisitos de ISO 27001, descargue esta cláusula gratuita. -cláusula explicación de ISO 27001.

Aquí puede aprender ¿Qué tan detallados deben ser los documentos de ISO 27001?

Para los tomadores de decisiones en el mundo de las startups , es muy recomendable leer por qué deberían invertir en ISO 27001 y cómo la implementación puede proporcionar un impulso a la empresa.

Sobre el autor:

Andrea Giesler es Auditor Interno , con sede en Colonia, Alemania, especializada en las áreas de ISO 27001, ISO 9001 y EU GDPR. Es Auditora Certificada de Sistemas de Información (CISA) y está certificada en Control de Sistemas de Información y Riesgos (CRISC) por ISACA.