POSICIÓNATE A LA VANGUARDIA
Certifícate en la Norma ISO 27001: 2022 – SGSI
(Sistema de Gestión de Seguridad de la Información)
Norma ISO 27001: 2022 - SGSI (Sistema de Gestión de Seguridad de la Información).
La Norma ISO 27001 fue publicada oficialmente por la Organización Internacional de Normalización (ISO) en octubre de 2005. Su actualización más reciente; la Norma ISO 27001: 2022, es el estándar global más conocido para Sistemas de Gestión de la Seguridad de la Información (SGSI). Dicha norma simplemente define los requisitos que debe cumplir un SGSI proporcionando a las empresas de cualquier tamaño; y de todos los sectores, orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información.
La Certificación Norma ISO 27001: 2022 permite demostrar a sus clientes que está administrando, operando, monitoreando, midiendo, revisando, ejecutando y mejorando un Sistema de Gestión de Seguridad de la Información documentado bajo su control. Proporciona un conjunto de requisitos estandarizados para un sistema de gestión de seguridad de la información, para implementar los controles de seguridad que se adaptan a las necesidades de las organizaciones individuales.
9 Beneficios de la Norma ISO 27001: 2022 (SGSI):
- Proteger la información de los clientes y gestionar la seguridad de la información de forma profesional.
- Supervisar los riesgos para la seguridad de la información de forma eficaz.
- Logra el cumplimiento.
- Proteja su organización de incidentes de seguridad que podrían destruir su reputación.
- Protege la imagen de la organización.
- Cree un enfoque de metodología manejable y eficiente para garantizar el cumplimiento normativo.
- Mejorar el control sobre los activos comerciales.
- Mejorar la imagen y la reputación de la organización.
- Incrementar la satisfacción del cliente.
Historial
Fecha creación: Octubre 2005
Fecha actualización: Agosto 2022
Origen y evolución histórica de la Norma ISO 27001: 2022 (SGSI):
1. Antecedentes: BS 7799:
- La norma ISO/IEC 27001 tiene su origen en la norma británica BS 7799, publicada en 1995 como un conjunto de buenas prácticas para la gestión de seguridad de la información.
- Posteriormente apareció la BS 7799‑2 (alrededor de 1998), que definió requisitos de un SGSI certificable.
- Con el tiempo, las normas británicas fueron adoptadas por ISO/IEC y transformadas en estándares internacionales (BS 7799‑1 → ISO/IEC 17799 → luego ISO/IEC 27002; BS 7799‑2 → ISO/IEC 27001).
2. Publicación como estándar ISO/IEC:
- La primera versión oficial como norma ISO/IEC fue publicada en octubre de 2005 como ISO/IEC 27001 (junto con la familia ISO/IEC 27000).
- Se revisó en 2013 (ISO/IEC 27001:2013) para mantenerla alineada con los avances tecnológicos y las nuevas formas de amenazas.
- En octubre de 2022 se publicó la versión más reciente: ISO/IEC 27001:2022.
3. Motivación de la actualización:
- La versión 2022 responde a la necesidad de adaptar los controles de seguridad a nuevos escenarios: servicios en la nube, inteligencia de amenazas, privacidad, automatización, gobernanza de seguridad, amenazas emergentes, y mejor alineamiento con otras normas de sistemas de gestión.
4. Transición desde la versión 2013:
- La versión 2022 cambió principalmente el Anexo A (los controles), aunque los requisitos esenciales (cláusulas 4 a 10) han sido revisados para armonizar con la estructura de alto nivel (High Level Structure, HLS) usada en otras normas ISO de gestión.
- Se estableció un periodo de transición para que los organismos certificados bajo ISO/IEC 27001: 2013 puedan adaptarse a la versión 2022.
Estructura general y requisitos de la Norma ISO 27001: 2022 (SGSI):
La Norma ISO/IEC 27001: 2022 define un esquema para diseñar, implantar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información de manera continua.
Existen cláusulas obligatorias (Parte principal) que rigen la norma. Están cláusulas se encuentran documentadas en los capítulos del 4 al 10:
| Cláusula | Tema principal | |
|---|---|---|
|
4 |
Contexto de la organización (identificar partes interesadas, determinar el alcance del SGSI). |
|
|
5 |
Liderazgo (compromiso de la alta dirección, roles y responsabilidades, política de seguridad). |
|
|
6 |
Planificación (acciones para abordar riesgos y oportunidades, objetivos de seguridad, planificación de cambios). |
|
|
7 |
Apoyo (recursos, competencia, concienciación, comunicación, información documentada). |
|
|
8 |
Operación (planificación operacional, evaluación de riesgos, tratamiento de riesgos, controles). |
|
|
9 |
Evaluación del desempeño (monitorización, auditoría interna, revisión por la dirección). |
|
|
10 |
Mejora (no conformidades, acciones correctivas, mejora continua). |
|
Preguntas Frecuentes sobre la Norma ISO 27001: 2022 (SGSI):
¿Qué es la Norma ISO 27001: 2022?
Es el estándar internacional que especifica los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo es proteger la Confidencialidad, Integridad y Disponibilidad (C-I-D) de la información mediante un enfoque de gestión de riesgos.
¿La Norma ISO 27001 es la misma que la ISO/IEC 27001?
Sí. Aunque a veces sea referida como Norma ISO 27001, la abreviatura oficial del estándar internacional sobre requisitos para Sistemas de Gestión de Seguridad de la Información es ISO/IEC 27001.
Esto se debe a que ha sido publicada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). El número indica que se publicó bajo la responsabilidad del Subcomité SC 27 (sobre Seguridad de la Información, Ciberseguridad y Protección de la Privacidad) del Comité Técnico Conjunto ISO/IEC sobre Tecnologías de la Información (ISO/IEC JTC 1).
¿La Norma ISO 27001: 2022 se aplica a las PYMES?
Sí. La Norma ISO 27001: 2022 está diseñada para ser aplicable a organizaciones de cualquier tamaño y sector. Las PYMES se benefician especialmente al obtener una estructura formal para la seguridad.
¿Cuál es la diferencia con la Norma ISO 27002: 2022?
La Norma ISO 27001: 2022 contiene los requisitos obligatorios del SGSI y en su Anexo A lista los controles de referencia. La ISO 27002: 2022 es un código de buenas prácticas o guía que proporciona información detallada y orientación sobre cómo implementar esos 93 controles del Anexo A.
¿Qué es la Declaración de Aplicabilidad (SoA)?
Es un documento obligatorio donde la organización lista todos los 93 controles del Anexo A e indica, para cada uno, si es aplicable o no a su SGSI, y justifica el porqué. Es la piedra angular de la Certificación.
¿Cuáles son los tres principios de un SGSI también conocidos como la tríada CIA?
Confidencialidad (C: Confidentiality)
→ Significado: Sólo las personas habilitadas pueden acceder a la información que posee la organización.
⚠ Ejemplo de riesgo: Los ciberdelincuentes se hacen con los datos de acceso de sus clientes y los venden en la Darknet.
Integridad de la información (I: Integrity).
→ Significado: Los datos que la organización utiliza para desarrollar su actividad o que mantiene a salvo para terceros se almacenan correctamente y están protegidos contra cualquier daño o borrado.
⚠ Ejemplo de riesgo: Un empleado borra accidentalmente una fila de un fichero mientras está trabajando en él.
Disponibilidad de la información (A: Availability).
→ Significado: La organización y sus clientes pueden acceder a la información siempre que lo necesiten para satisfacer los objetivos empresariales y las expectativas de los clientes.
⚠ Ejemplo de riesgo: La base de datos de su empresa se queda sin conexión por problemas del servidor y la copia de seguridad es insuficiente.