¿Qué es la ISO 27001?

La norma ISO/IEC 27001:2013, comúnmente conocida como ISO 27001, es un

estándar internacional que establece los requisitos para establecer, implementar,
mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la
Información (SGSI). Fue desarrollada por la Organización Internacional de
Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) para
proporcionar un enfoque sistemático y basado en el riesgo para proteger la
información confidencial y sensible de una organización.
La ISO 27001 es aplicable a cualquier tipo de organización, ya sea grande o
pequeña, del sector público o privado, y puede adaptarse a sus necesidades
específicas. Algunos de los aspectos clave de la norma incluyen:
1. Enfoque basado en el riesgo: La ISO 27001 se centra en la identificación
y gestión de los riesgos relacionados con la seguridad de la información.
Las organizaciones deben evaluar y tratar los riesgos de manera proactiva
para proteger sus activos de información.
2. Compromiso de la dirección: La alta dirección de la organización debe
demostrar liderazgo y compromiso con la seguridad de la información,
proporcionando recursos y apoyo para la implementación del SGSI.
3. Ciclo de mejora continua: La norma sigue el ciclo de mejora continua
Planificar-Hacer-Verificar-Actuar (PDCA), lo que significa que las
organizaciones deben planificar, implementar, verificar y mejorar
continuamente su SGSI para garantizar su efectividad a lo largo del tiempo.
4. Enfoque holístico: La ISO 27001 aborda varios aspectos de la seguridad
de la información, incluyendo la gestión de activos, el control de acceso, la
seguridad física, la seguridad de la comunicación y la gestión de incidentes,
entre otros.
5. Certificación: Las organizaciones pueden optar por certificar su SGSI
conforme a la norma ISO 27001 mediante una auditoría realizada por un
organismo de certificación independiente. La certificación demuestra que la
organización cumple con los requisitos de la norma y está comprometida
con la seguridad de la información.
La ISO 27001 es un estándar internacional que proporciona un marco para
establecer y mantener un SGSI efectivo, ayudando a las organizaciones a
proteger sus activos de información y mitigar los riesgos de seguridad.

Por qué se desarrolló la ISO 27001

La ISO 27001 se desarrolló en respuesta a la creciente necesidad de proteger la
información en un mundo cada vez más digitalizado y conectado. Algunas razones
clave para su desarrollo incluyen:
 1. Aumento de las amenazas cibernéticas: Con el crecimiento de la
tecnología y la expansión de internet, se ha producido un aumento
significativo en las amenazas cibernéticas, como el malware, el phishing y
los ataques de hackers. La ISO 27001 proporciona un marco para proteger
la información y mitigar los riesgos asociados con estas amenazas.
2. Requisitos legales y regulatorios: Muchas industrias están sujetas a
regulaciones estrictas relacionadas con la protección de la información,
como la GDPR en Europa o la HIPAA en los Estados Unidos. La ISO 27001
ayuda a las organizaciones a cumplir con estos requisitos legales y
regulatorios al establecer un enfoque sistemático y basado en el riesgo para
la seguridad de la información.
3. Necesidad de confianza y credibilidad: En un entorno empresarial
altamente competitivo, la confianza y la credibilidad son fundamentales para
el éxito. La implementación de un SGSI basado en la ISO 27001 ayuda a
las organizaciones a demostrar su compromiso con la seguridad de la
información a clientes, socios comerciales y otras partes interesadas.
4. Protección de la reputación y la marca: Las brechas de seguridad y los
incidentes de violación de datos pueden tener graves repercusiones en la
reputación y la marca de una organización. La ISO 27001 proporciona un
marco para gestionar proactivamente los riesgos de seguridad de la
información y proteger la reputación de la organización.
La ISO 27001 se desarrolló para abordar la necesidad creciente de proteger la
información en un entorno digitalizado y globalizado, proporcionando un enfoque
sistemático y basado en el riesgo para la gestión de la seguridad de la
información.

Dominios de la ISO 27001

La norma ISO 27001 aborda varios aspectos relacionados con la seguridad de la
información a través de una serie de dominios. Estos dominios representan áreas
específicas que deben ser consideradas al establecer y mantener un Sistema de
Gestión de Seguridad de la Información (SGSI) según lo establecido por la norma.
Aunque la ISO 27001 no enumera explícitamente los "dominios", se refiere a
diferentes áreas temáticas que son críticas para la seguridad de la información.
Aquí hay una descripción general de algunos de estos dominios:
1. Gestión de la seguridad de la información: Este dominio aborda la
estructura organizativa, el liderazgo, las políticas y los procedimientos
relacionados con la seguridad de la información dentro de la organización.
Incluye la designación de responsabilidades, la asignación de recursos, la
dirección estratégica y el compromiso de la alta dirección con la seguridad
de la información.
 2. Gestión de activos de la información: Se refiere a la identificación,
clasificación, propiedad, uso aceptable y protección de los activos de
información de la organización. Esto puede incluir datos, sistemas de
información, hardware, software y otros recursos relacionados con la
información.
3. Control de acceso: Este dominio se centra en garantizar que el acceso a
los activos de información esté controlado y limitado según sea necesario
para proteger la confidencialidad, la integridad y la disponibilidad de la
información. Incluye la autenticación, la autorización, la gestión de
privilegios y la revisión de acceso.
4. Cifrado y protección de datos: Se trata de proteger la información
sensible y confidencial mediante técnicas de cifrado y otras medidas de
protección de datos. Esto incluye la selección y aplicación de algoritmos de
cifrado adecuados, la gestión de claves y la protección de datos en tránsito
y en reposo.
5. Seguridad física: Aborda la protección de los activos de información física,
como servidores, equipos de red y centros de datos, contra amenazas
físicas como robos, vandalismo y desastres naturales. Esto puede incluir
controles de acceso físico, vigilancia, protección contra incendios y medidas
de mitigación de desastres.
6. Seguridad en la cadena de suministro: Este dominio se centra en
garantizar la seguridad de los proveedores, contratistas y socios
comerciales que tienen acceso a los activos de información de la
organización. Esto incluye la evaluación de riesgos de terceros, la selección
de proveedores confiables y la gestión de contratos de seguridad.
7. Gestión de incidentes de seguridad: Se refiere a la preparación,
detección, respuesta y recuperación de incidentes de seguridad de la
información. Esto puede incluir la implementación de procedimientos de
respuesta a incidentes, la notificación de incidentes a las partes interesadas
relevantes y la revisión post-incidente para mejorar la resiliencia de la
organización.
Estos son solo algunos de los dominios clave que aborda la ISO 27001 en relación
con la seguridad de la información. Cada dominio tiene subtemas y requisitos
específicos que las organizaciones deben cumplir para establecer un SGSI
efectivo

Alcance de la ISO 27001

El alcance de la norma ISO 27001 se refiere a la extensión y los límites de
aplicación de un Sistema de Gestión de Seguridad de la Información (SGSI)
dentro de una organización. Definir el alcance correctamente es fundamental para
asegurarse de que el SGSI aborde todas las áreas críticas de seguridad de la
información dentro de la organización. Aquí hay algunos aspectos importantes a
considerar sobre el alcance de la ISO 27001:
1. Contexto de la organización: Antes de definir el alcance, es importante
comprender el contexto de la organización, incluidos sus objetivos,
actividades, productos y servicios, así como los requisitos y expectativas de
las partes interesadas relevantes.
2. Activos de información: El alcance del SGSI debe incluir todos los activos
de información críticos para la organización, como datos, sistemas de
información, hardware, software y otros recursos relacionados con la
información. Es importante identificar y clasificar estos activos para
asegurarse de que estén protegidos adecuadamente.
3. Ubicaciones: El alcance del SGSI puede abarcar una o varias ubicaciones
físicas y/o virtuales de la organización. Esto incluye oficinas, centros de
datos, sitios web, aplicaciones en la nube y otras infraestructuras de TI
relevantes.
4. Procesos y actividades: El SGSI debe abarcar todos los procesos y
actividades que afecten la seguridad de la información dentro de la
organización, desde la gestión de activos de información hasta la gestión de
incidentes de seguridad.
5. Partes interesadas: El alcance debe tener en cuenta las necesidades y
expectativas de todas las partes interesadas relevantes, incluidos los
clientes, proveedores, empleados, socios comerciales y reguladores.
6. Exclusiones: En algunos casos, puede ser necesario excluir ciertos
activos, procesos o actividades del alcance del SGSI debido a razones
legales, contractuales o técnicas. Sin embargo, cualquier exclusión debe
estar justificada y documentada adecuadamente.
Es fundamental que el alcance del SGSI sea claro, comprensible y comunicado a
todas las partes interesadas relevantes. Esto garantiza que todas las áreas críticas
de seguridad de la información estén cubiertas y que el SGSI pueda cumplir
eficazmente con los requisitos de la norma ISO 27001. Además, el alcance del
SGSI debe revisarse y actualizarse periódicamente para reflejar los cambios en la
organización y su entorno operativo.

Quien puede emitir una certificación ISO 27001

La certificación ISO 27001 es emitida por organismos de certificación
independientes, también conocidos como organismos de certificación o entidades
de certificación. Estas organizaciones están acreditadas por organismos de
acreditación reconocidos internacionalmente para llevar a cabo auditorías y emitir
certificados de conformidad con la norma ISO 27001 y otros estándares.
Los organismos de certificación deben cumplir con ciertos criterios de acreditación
establecidos por los organismos de acreditación pertinentes para garantizar su
competencia y credibilidad. Estos criterios pueden incluir requisitos de formación y
experiencia para los auditores, procedimientos de auditoría estandarizados,
sistemas de gestión de calidad internos y cumplimiento de las normas
internacionales de auditoría.
Algunos ejemplos de organismos de certificación conocidos a nivel mundial que
pueden emitir certificados ISO 27001 incluyen:
1. Bureau Veritas
2. TÜV SÜD
3. DNV
4. SGS
5. Intertek
6. BSI Group (British Standards Institution)
7. DEKRA
Es importante que las organizaciones elijan un organismo de certificación
reconocido y acreditado para garantizar la validez y la credibilidad de su
certificación ISO 27001. La certificación demuestra que la organización ha
implementado un Sistema de Gestión de Seguridad de la Información (SGSI)
conforme a los requisitos de la norma y que ha sido evaluada por un organismo de
certificación independiente.