ISO 27001 Versión 2022 Seguridad de la Informacion

Описание: Introducción sencilla y clara de la Norma, estructura y otros detalles...

Y si te dijera que con la norma ISO 27001 podrías garantizar la Confidencialidad, la Integridad y la Disponibilidad de la Informacion… pues SI... Y eso es lo que veremos en este video, asi que acompáñame en esta rápida y muy sencilla introducción a este estándar… VAMOS…

Y pues el estándar ISO 27001 en su versión 2022, llamado “Seguridad de la Información, Ciberseguridad y Protección de la Privacidad. Sistemas de Gestión de Seguridad de la Información y Requisitos”, tiene ese propósito dictando requisitos para la implementación y administración de un SGSI.

El SGSI es un enfoque sistémico que integra y armoniza personas, procesos y los recursos tecnológicos, que ayudará a crear, proteger y fortalecer la gestion de la informacion en las Organizaciones, y todo esto bajo el enfoque en la Gestion de Riesgos.

Esta Norma ha sido publicada ya en tres versiones, la inicial en el año 2005, posteriormente la versión en el año 2013, y más recientemente, se publicó la versión 2022, que es la versión vigente en la actualidad.

DATO IMPORTANTE, la norma ISO 27001:2022 se centra en la custodia de tres Pilares fundamentales de la información y que dan forma a toda la estructura de este estándar:
La Confidencialidad de la Informacion
La Integridad de la Informacion, y
La Disponibilidad de la Informacion.

La CONFIDENCIALIDAD de la información, asegura que los datos sensibles solo sean accesibles a personas autorizadas, protegiéndolos de divulgación no autorizada y garantizando su privacidad.

La INTEGRIDAD de la información, es la garantía que los datos son precisos, completos, coherentes y fiables, protegiendo los datos de adulteración o corrupción.

La DISPONIBILIDAD de la información, asegura que esta sea accesible y utilizable como y cuando los usuarios autorizados lo requieren.

Y aquí un dato de interés… La familia de normas de la serie ISO 27000 la llega a integrar al menos 45 estándares publicados, y de estos, la ISO 27001:2022 es la única norma CERTIFICABLE de estas…

Bueno y ya vámonos directamente al texto de la norma… esta se ajusta a la estructura de Alto Nivel de ISO, que distribuye su contenido en 10 numerales o capítulos, y estos estan alineados al modelo PHVA de la Mejora Continua.

No Voy a profundizar en los 3 primeros numerales que hablan de Objeto y campo de aplicación, de las Referencias Normativas y de los términos y definiciones, pues son netamente informativos…

Entonces vayamos al Numeral 4 “Contexto de la Organización”: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocer y comprender la organización y su contexto, la comprensión de las necesidades y expectativas de sus partes interesadas y la determinación del alcance del SGSI.

En el Numeral 5. “Liderazgo”: Este apartado destaca en la necesidad que todos en la organización contribuyan al establecimiento de la norma. Para ello, la Alta Dirección ha de demostrar su liderazgo y compromiso, presenta una política de seguridad de la informacion y asigna roles, responsabilidades y atribuciones, entre otros requisitos.

En el Numeral 6. “Planificación”: Dispone las acciones para abordar riesgos y oportunidades, así como de establecer los objetivos de Seguridad de la Información y el modo de lograrlos, incluyendo adicionalmente la planificación de los cambios.

En el Numeral 7. “Apoyo”: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.

En el Numeral 8. “Operación”: Aqui la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y el tratamiento de ellos.

Para el Numeral 9. “Evaluación del Desempeño”: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.

Y ya en el Numeral 10. “Mejora”: vamos a encontrar las acciones que aplicara una organización cuando halle una NO CONFORMIDAD y la importancia de mejorar continuamente el SGSI.

Adicional a los 10 capítulos o numerales de la norma, la 27001 contiene dos valiosísimos anexos:

El ANEXO “A” Referencia los Controles de Seguridad de la Información, donde especifica 93 controles, entre Controles Organizacionales, Controles de Personas, Controles Físicos y Controles Tecnológicos, y como dijimos atrás, si necesitamos ampliar detalles sobre los controles mencionados en este anexo, pues recurrimos a la norma ISO 27002, y el…