¿Cuántos controles tiene la norma ISO 27001?

La norma ISO 27001 está enfocada en el aseguramiento, la confidencialidad y la integridad de los datos, al igual que en los sistemas que se encargan de gestionar la seguridad de la información. 

Este estándar internacional fue creado para proporcionar un modelo que permita establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

Un enfoque del proceso para la gestión de la seguridad de la información presentado en este estándar es fomentar que sus usuarios enfaticen la importancia de:

• Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para esto. 
• Implementar y operar controles para manejar los riesgos de la seguridad de la información. 
• Monitorear y revisar el desempeño y la efectividad del SGSI.
• Mejoramiento continuo con base a la medición del objetivo.

Hay que tener en cuenta que dentro de la norma ISO 27001 se encuentra el Anexo A, el cual es indispensable implementar ya que es el normativo y dentro de este se encuentra todo lo relacionado a los controles de seguridad de la información, que son fundamentales porque estos ayudan en la protección de la información de las empresas, además, ponerlos en práctica es de carácter obligatorio. 

Controles de la norma ISO 27001

En el Anexo A de esta norma hay un total de 114 controles de seguridad. Cada organización debe elegir cuáles se aplican mejor a sus necesidades y es importante entender que no solo se limita al área de tecnología, sino que también involucra departamentos como el de recursos humanos, seguridad financiera, comunicaciones, entre otros.

En el 2013 se realizó este cambio, pues anteriormente en la norma del 2005 había un total de 133 controles y se eliminaron los estándares de acciones preventivas, y el requisito para documentar ciertos procedimientos.

Los 114 controles de la norma ISO 27001 están divididos en 14 secciones:

• Políticas de seguridad de la información.
• Organización de la seguridad de la información.
• Seguridad de los recursos humanos.
• Gestión de activos.
• Controles de acceso.
• Criptografía – Cifrado y gestión de claves.
• Seguridad física y ambiental.
• Seguridad operacional.
• Seguridad de las comunicaciones.
• Adquisición, desarrollo y mantenimiento del sistema.
• Gestión de incidentes de seguridad de la información.
• Cumplimiento.

Con una solución tecnológica como Pirani y su módulo de seguridad de la información las empresas pueden cumplir lo dispuesto por la norma ISO 27001, norma que es certificable. Por ejemplo, con este módulo puedes gestionar de manera simple los activos de información que tiene la organización, conocer su nivel de criticidad y también gestionar los riesgos e incidentes a los que estos están expuestos al no realizar una adecuada seguridad de la información.

¿Qué debes tener en cuenta para implementar estos controles?

Los controles son obligatorios según la aplicabilidad en cada organización. Los encargados de la seguridad de la información son quienes deben definir cuáles son los que se van a poner en marcha para garantizar la protección de los datos.

Es indispensable generar una capacitación sobre esta norma para establecer los controles adecuados en la gestión de la seguridad de la información.   

Adicionalmente, la norma ISO 27001 requiere algo más sobre los controles de seguridad, por eso, es necesario llevar a cabo las siguientes acciones:

• Definir responsabilidades para administrar los controles.
• Medir y monitorear la efectividad de los controles.
• Implementar acciones correctivas cuando se detecten fallos en los controles, de tal forma que se asegure el logro de los objetivos propuestos.

Por tanto, la atención al Anexo A y la capacitación adecuada sobre la norma son fundamentales para establecer los controles de seguridad pertinentes.