¿Qué son los estándares ISO 27001 e ISO 27701 y para qué sirven?

ISO27001

Comparta esta publicación

Son Sistemas de Gestión de la Seguridad de la Información, es decir, que estas normas internacionales permiten el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La aplicación de estos estándares significa generar una diferenciación respecto al resto, que mejora la competitividad y la imagen de tu organización. 

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos y hay una serie de requisitos para que una organización comience a aplicar los estándares ISO, que se obtendrá de acuerdo a tres fases.

Fase A: Planificación del Proyecto

El primer paso en esta fase es establecer un equipo de proyecto y evaluaciones organizativas. 

Se definen los trabajadores que participarán en el proyecto, incluido el Jefe de Proyecto.

Se definirá también quiénes son los elementos de la organización que deben ser entrevistados y se determinarán los calendarios y el plan de trabajo del proyecto.

Fase B: Análisis de las deficiencias de la norma

El objetivo de esta fase es identificar las diferencias entre la situación existente en la organización y los requisitos de la norma, y en consecuencia formular un plan de trabajo correctivo.

Se debe asegurar una recopilación de la información obtenida en una la encuesta sobre carencias, que se basará en: El aprendizaje de los documentos existentes (documentos de estrategia sobre seguridad informática) y de la  información de tu organización (políticas, procedimientos y directrices de trabajo).

Se realizarán entrevistas con los trabajadores responsables del proyecto (según lo establecido en el plan), para conocer el entorno empresarial y tecnológico de la organización.

Al final de esta fase, se obtiene un informe de deficiencias, en el que se detallará el grado de cumplimiento (total, parcial y/o incumplimiento) de la organización con cada uno de los apartados de la norma. 

Fase C: Asistencia para cerrar las las lagunas que conducen a la certificación

Esta fase incluirá el apoyo y la asistencia continuos para colmar las lagunas, realizando correcciones y mejoras derivadas del análisis de brechas para garantizar que la organización pase la prueba y reciba la certificación de la norma.

Entre otras cosas, en esta fase se realizan actividades, como:

La redacción de políticas y procedimientos.

Definir las políticas y los procedimientos de la EM tal y como exige la norma. 

Además, hay una lista de procedimientos que se definirán en el proyecto y consisten en la Política de Seguridad de la Información (Política Manam)  y Declaración de aplicabilidad (SOA), que se realizan dentro de las siguientes normas de cumplimiento:

Política A6 – Política organizativa de seguridad de la información, que consistiría en la seguridad de los dispositivos móviles y del trabajo a distancia.

Política A7 – Seguridad de los recursos humanos.

Política A8 – Gestión de activos, emisión y destrucción de medios.

Política A9 – Control de accesos.

Política A10 – Encriptación 

Política A11 – Seguridad física 

Política A12:

a) – Copia de seguridad

b) – gestión de cambios 

c) – Protección de código hostil 

d) – Supervisión de la seguridad 

Política A13 – Seguridad de las comunicaciones 

Política A14 -Desarrollo y contratación segura 

Política A15 – Seguridad de los proveedores 

Política A16 – Gestión de eventos 

Política A17 – continuidad del negocio Política 

Fase D: Acompañar a la organización durante los días de certificación

 

Esta última fase consistirá en un concentrado de jornadas de trabajo en las que un representante del Instituto de Normas ISO vendrá a la organización y revisará el sistema de seguridad de la información. Nosotros acompañaremos al revisor y a la organización durante estos días.

 

Si quieres saber más sobre los estándares, no dudes en contactarnos.

Contáctanos.

El personal de SymbioLAB cuenta con múltiples certificaciones internacionales en Seguridad de la Información. Esta capacitación constante y alineación a estándares internacionales nos permite entregar resultados óptimos de accuerdo a su necesidad. 

Más para explorar