- ¿Qué son los controles ISO 27001?
- ¿Cuáles son los controles de la ISO 27001?
- ¿Quién es responsable de implementar los controles del Anexo A?
- ¿Cómo identificar qué controles de seguridad ISO 27001 debes implementar?
- Implementa ISO 27001 y sus controles de forma efectiva
- Ventajas de implementar la norma ISO 27001
ISO 27001: Controles y cómo implementarlos correctamente
La ISO 27001 es una norma clave a nivel mundial para la gestión de la seguridad de la información. Su objetivo principal es ayudar a las organizaciones a proteger su información de manera eficiente y asegurarse de que se gestionen adecuadamente los riesgos relacionados con la seguridad de la información. Esta norma define un marco para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Un aspecto clave de la ISO 27001 son sus controles, los cuales se encuentran en el Anexo A de la norma.
En este especial, explicaremos en detalle qué son los controles ISO 27001, cómo se agrupan y lo que necesitas saber para su implementación en tu organización.
¿Qué son los controles ISO 27001?
Los controles ISO 27001 son medidas de seguridad que las organizaciones deben adoptar para proteger la información sensible y asegurar la integridad, confidencialidad y disponibilidad de sus sistemas de información. Estos controles son medidas específicas diseñadas para mitigar riesgos, reducir vulnerabilidades y mejorar la resiliencia de la organización frente a amenazas internas y externas.
El Anexo A de la ISO 27001 contiene una lista de 114 controles organizados en 14 categorías, que abordan diferentes aspectos de la seguridad de la información, desde la gestión de recursos humanos hasta la protección de los sistemas informáticos.
¿Cuáles son los controles de la ISO 27001?
Los controles de la ISO 27001 están organizados en 14 categorías dentro del Anexo A, que abarcan una amplia gama de aspectos relacionados con la seguridad de la información. A continuación, destacamos los principales grupos de controles, clasificados según su naturaleza y su aplicación dentro de la organización:
A5 - Controles organizacionales
Los controles organizacionales abarcan las políticas, responsabilidades y estructura de la organización, buscando establecer un marco de gobernanza que promueva la seguridad de la información. Esto incluye la dirección y compromiso de la alta gerencia, la creación de políticas de seguridad de la información y la asignación de responsabilidades claras.
|
5.1 Políticas de seguridad de la información. |
5.2 Funciones y responsabilidades de seguridad de la información. |
|
5.3 Segregación de funciones. |
5.4 Responsabilidades de la gerencia. |
|
5.5 Contacto con autoridades. |
5.6 Contacto con grupos de interés especial. |
|
5.7 Inteligencia sobre amenazas. |
5.8 Seguridad de la información en la gestión de proyectos. |
|
5.9 Inventario de información y otros activos asociados. |
5.10 Uso aceptable de la información y otros activos asociados. |
|
5.11 Devolución de activos. |
5.12 Clasificación de la información. |
|
5.13 Etiquetado de información. |
5.14 Transferencia de información. |
|
5.15 Control de acceso. |
5.16 Gestión de identidad. |
|
5.17 Información de autenticación. |
5.18 Derechos de acceso. |
|
5.19 Seguridad de la información en las relaciones con proveedores. |
5.20 Abordar la seguridad de la información en los acuerdos con proveedores. |
|
5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC. |
5.22 Monitoreo, revisión y gestión de cambios de servicios de proveedores. |
|
5.23 Seguridad de la información para el uso de servicios en la nube. |
5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información. |
|
5.25 Evaluación y decisión sobre eventos de seguridad de la información. |
5.26 Respuesta a incidentes de seguridad de la información. |
|
5.27 Aprender de los incidentes de seguridad de la información. |
5.28 Recolección de evidencia. |
|
5.29 Seguridad de la información durante una interrupción. |
5.30 Preparación de las TIC para la continuidad del negocio. |
|
5.31 Requisitos legales, estatutarios, reglamentarios y contractuales. |
5.32 Derechos de propiedad intelectual. |
|
5.33 Protección de registros. |
5.34 Privacidad y protección de la PII. |
|
5.35 Revisión independiente de la seguridad de la información |
5.36 Cumplimiento de políticas, reglas y estándares de seguridad de la información. |
|
5.37 Procedimientos operativos documentados. |
|
A6 - Controles orientados a las personas
Esta categoría se enfoca en las personas dentro de la organización. Incluye medidas como la selección, capacitación, concientización y roles y responsabilidades del personal en relación con la seguridad de la información. La seguridad de la información depende, en gran parte, del comportamiento y la formación de los colaboradores.
|
6.1 Detección. |
6.2 Términos y condiciones de empleo. |
|
6.3 Concientización, educación y capacitación sobre seguridad de la información. |
6.4 Proceso disciplinario. |
|
6.5 Responsabilidades después de la terminación o cambio de empleo. |
6.6 Acuerdos de confidencialidad o no divulgación. |
|
6.7 Trabajo remoto. |
6.8 Informes de eventos de seguridad de la información. |
A7 - Controles físicos
Los controles físicos están relacionados con el entorno físico en el que la organización opera. Abordan temas como el acceso a instalaciones, la protección contra desastres físicos, el control de acceso físico y la seguridad en áreas de alto riesgo, como centros de datos.
|
7.1 Perímetros de seguridad física. |
7.2 Entrada física. |
|
7.3 Protección de oficinas, habitaciones e instalaciones. |
7.4 Monitoreo de seguridad física. |
|
7.5 Protección contra amenazas físicas y ambientales. |
7.6 Trabajar en áreas seguras. |
|
7.7 Limpiar escritorio y limpiar pantalla. |
7.8 Ubicación y protección del equipo. |
|
7.9 Seguridad de los activos fuera de las instalaciones. |
7.10 Medios de almacenamiento. |
|
7.11 Utilidades de soporte. |
7.12 Seguridad del cableado. |
|
7.13 Mantenimiento del equipo. |
7.14 Eliminación segura o reutilización del equipo. |
A8 - Controles tecnológicos
Los controles tecnológicos se refieren a las medidas de seguridad implementadas a nivel tecnológico. Esto incluye el uso de firewalls, antivirus, cifrado, y autenticación multifactorial para proteger los sistemas, aplicaciones y redes. También abordan la gestión de vulnerabilidades y el monitoreo constante de los sistemas.
|
8.1 Dispositivos terminales de usuario. |
8.2 Derechos de acceso privilegiado. |
|
8.3 Restricción de acceso a la información. |
8.4 Acceso al código fuente. |
|
8.5 Autenticación segura. |
8.6 Gestión de capacidad. |
|
8.7 Protección contra malware. |
8.8 Gestión de vulnerabilidades técnicas. |
|
8.9 Gestión de configuración. |
8.10 Eliminación de información. |
|
8.11 Enmascaramiento de datos. |
8.12 Prevención de fuga de datos. |
|
8.13 Copia de seguridad de la información. |
8.14 Redundancia de las instalaciones de procesamiento de información. |
|
8.15 Registro. |
8.16 Actividades de seguimiento. |
|
8.17 Sincronización de reloj. |
8.18 Uso de programas de utilidad privilegiados. |
|
8.19 Instalación de software en sistemas operativos. |
8.20 Seguridad de redes. |
|
8.21 Seguridad de los servicios de red. |
8.22 Segregación de redes. |
|
8.23 Filtrado web. |
8.24 Uso de criptografía. |
|
8.25 Ciclo de vida de desarrollo seguro. |
8.26 Requisitos de seguridad de la aplicación. |
|
8.27 Principios de ingeniería y arquitectura de sistemas seguros. |
8.28 Codificación segura. |
|
8.29 Pruebas de seguridad en desarrollo y aceptación. |
8.30 Desarrollo subcontratado. |
|
8.31 Separación de los entornos de desarrollo, prueba y producción. |
8.32 Gestión de cambios. |
|
8.33 Información de prueba. |
8.34 Protección de los sistemas de información durante las pruebas de auditoría. |
¿Quién es responsable de implementar los controles del Anexo A?
La responsabilidad de implementar los controles del Anexo A recae principalmente en la alta dirección, aunque abarca a toda la organización.Los roles clave en la implementación de los controles son:
Alta dirección:
Es responsable de proporcionar el liderazgo y los recursos necesarios para establecer, implementar y mantener el SGSI. Debe demostrar su compromiso con la seguridad de la información y garantizar que se asignen recursos adecuados para la implementación de los controles.
Responsable de Seguridad de la Información (CISO)
Este rol es clave en la supervisión diaria de las políticas y controles de seguridad. El CISO lidera la ejecución y el monitoreo de los controles definidos en la ISO 27001, asegurándose de que estén alineados con las estrategias de la organización.
Equipos técnicos
Los equipos técnicos, como los de TI, seguridad informática y compliance, son responsables de implementar controles tecnológicos, como cifrado, firewalls, monitoreo de la red, entre otros.
Todos los empleados
La seguridad de la información es responsabilidad de todos dentro de la organización. Los empleados deben seguir las políticas de seguridad, asistir a capacitaciones y ser conscientes de su papel en la protección de los datos.
¿Cómo identificar qué controles de seguridad ISO 27001 debes implementar?
La selección de los controles de seguridad adecuados depende de diversos factores, especialmente de los riesgos a los que está expuesta la organización. Estos son algunos pasos clave para elegir los controles correctos:
Realizar una evaluación de riesgos:
El primer paso es identificar y evaluar los riesgos que podrían afectar a la seguridad de la información. Esto implica entender los activos de información, las amenazas, las vulnerabilidades y las posibles consecuencias de un incidente de seguridad.
Clasificar los activos de información:
Prioriza los activos críticos para la operación de la organización. Cuanto más valiosos o sensibles sean estos activos, más controles de seguridad serán necesarios para protegerlos.
Consultar el Anexo A:
Con base en la evaluación de riesgos y los activos identificados, selecciona los controles del Anexo A que sean más relevantes para mitigar esos riesgos. No todos los controles son aplicables a todas las organizaciones, por lo que es crucial seleccionar los más apropiados.
Ajustar según el contexto organizacional:
Cada organización tiene un contexto único en cuanto a sus procesos, infraestructura y personal. Los controles seleccionados deben alinearse con estos factores para ser efectivos.
Implementa ISO 27001 y sus controles de forma efectiva
La implementación de ISO 27001 y sus controles debe ser un proceso estructurado. Este proceso debe involucrar la colaboración de diversas áreas dentro de la organización. Aquí te dejamos algunas recomendaciones clave para hacerlo de forma efectiva:
Compromiso de la alta dirección:
Es fundamental que la alta dirección respalde activamente la implementación de la norma ISO 27001. Su compromiso es crucial para proporcionar los recursos, el liderazgo y el enfoque estratégico necesarios.
Establece una política de seguridad de la información clara:
Define y comunica una política de seguridad de la información que refleje los objetivos y la dirección de la organización. Esta política debe guiar la implementación de los controles y prácticas de seguridad.
Capacitación continua:
La capacitación y la concientización de los empleados son esenciales para la efectividad de los controles. Asegúrate de que el personal esté bien informado sobre sus responsabilidades y cómo deben comportarse para proteger la información.
Monitoreo y mejora continua:
Implementar ISO 27001 no es un proceso de una sola vez. Es fundamental realizar un monitoreo constante para identificar brechas y áreas de mejora. Utiliza auditorías internas, revisiones periódicas y evaluaciones de desempeño para mantener la efectividad de los controles a lo largo del tiempo.
Documentación adecuada:
Mantén una documentación precisa y actualizada de todos los procesos, controles y actividades relacionadas con la seguridad de la información. Esto será esencial no solo para la gestión interna, sino también para la obtención y mantenimiento de la certificación ISO 27001.
Ventajas de implementar la norma ISO 27001
La implementación de la norma ISO 27001, reconocida internacionalmente para la gestión de la seguridad de la información, proporciona una amplia gama de beneficios a las organizaciones que desean salvaguardar su información confidencial y reducir los riesgos relacionados con la seguridad de los datos. A continuación, te presentamos las cuatro principales ventajas de adoptar esta norma.
-
Gestión adecuada de los riesgos de seguridad de la información para evitar que se materialicen o generen grandes impactos.
-
Compromiso por parte de la alta gerencia para garantizar la confidencialidad, integridad y disponibilidad de la información.
-
Actualización y mejoramiento continuo del sistema para hacerle frente a los nuevos riesgos que amenazan la seguridad de la información.
-
Mayor confianza y credibilidad por parte de los diferentes grupos de interés.
¿Cómo puede Pirani ayudar a las organizaciones a cumplir con la ISO 27001?
Pirani facilita el cumplimiento de la norma ISO 27001 mediante un software integral que simplifica la implementación, gestión y monitoreo de sus requisitos. Con el módulo de gestión de seguridad de la información, podrás:
-
Implementar buenas prácticas de seguridad de la información.
-
Documentar de manera fácil sus activos de información y conocer cuál es su nivel de criticidad.
-
Registrar los riesgos, amenazas y vulnerabilidades a los que están expuestas.
-
Registrar los eventos o incidentes detectados, analizarlos y ejecutar planes de acción.
-
Preservar la confidencialidad, integridad y disponibilidad de la información.
-
Relacionar los diferentes activos de información a procesos, áreas y responsables.
-
Generar y descargar reportes de forma ágil para presentar a los entes reguladores.
La implementación de la ISO 27001 es esencial para proteger la información de tu organización y garantizar su continuidad frente a riesgos y amenazas. En Pirani, contamos con una solución integral que hace más sencillo cumplir con los requisitos de la norma de manera efectiva.
Recuerda que en Pirani puedes crear tu cuenta gratis en el sistema ISMS y conocer las principales funcionalidades que podemos ofrecerte para mejorar la gestión de riesgos de seguridad de la información y ciberseguridad.
Este contenido también te puede interesar:
Tipos de seguridad según la norma ISO 27001
Clasificación y gestión de activos de información
¿Cómo proteger la información de tu organización en Pirani?
