ISO 27001 – ISO significa Organización Internacional de Normalización en su traducción al español, es un organismo de normalización compuesto por representantes de diversas organizaciones de normalización de diferentes países. Promueven a nivel mundial estándares propietarios, industriales y comerciales.

ISO 27001 tiene sus inicios desde la norma británica 7799, lanzada en 1995 para la gestión adecuada de la seguridad de la información de las empresas. En el año 2013 se pública el ISO/IEC 2013 (también llamado ISO 27001), siendo el estándar definitivo para implementar un programa de gestión de seguridad de la información (SGSI) en las empresas.

El enfoque que ofrece, es de mejores prácticas que ayudan a las empresas a administrar la seguridad de la información, haciendo detalle el manejo de personas y procedimientos junto con la tecnología.

Conoce sobre la ISO 27001 y como ayuda a proteger la información de las empresas. Share on X

¿Qué es la Información?

Es uno de los activos que en la actualidad tiene mucho valor para las empresas, al igual que los recursos comerciales importantes adicionales, y en consecuencia debe protegerse adecuadamente.

La información puede tener los siguientes estados:

  • Desarrollada
  • Procesada
  • Arruinada
  • Transmitida
  • Alterada
  • Extraviada
  • Robada
  • Utilizada

Tipos de información

Los tipos de información se basa en su representación, y pueden ser:

  • Impreso o escrito en papel
  • Almacenada digitalmente
  • Enviada por correo portal o utilizando medios electrónicos
  • Mostrada en videos corporativos
  • Publicada en internet o intranet
  • Verbal, hablada en conversaciones

¿Qué es la seguridad de la información?

La calidad o estado de asegurar la información para reducir los diferentes riesgos que pueda tener.

  • La protección se logra utilizando varias estrategias.
  • La seguridad se logra utilizando muchas estrategias en simultáneo o combinadas.
  • La seguridad es reconocida ya que es necesario para proteger los procesos esenciales del negocio, así como los sistemas que ofrecen los procedimientos individuales.
  • La protección no es realmente algo que usted pueda comprar, es es algo que se debe hacer.
  • Para asegurar la información se deben integrar dispositivos, sistemas y soluciones, software, alarmas y pruebas de vulnerabilidad.
  • Poder contar con personas, procesos, tecnología, políticas, procedimientos en el SGSI (Sistema de Gestión de Seguridad de la Información).

ISO 27001 – Atributos de información

La ISO 27001 define la seguridad de la información como la preservación de 3 atributos:

Confidencialidad

Garantizar que la información sea accesible solo para aquellos autorizados (procesos, sistemas, personas, etc.) a tener acceso.

Integridad

Salvaguardar la exactitud e integridad de la información y los métodos de procesamiento.

Disponibilidad

Garantizar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando sea necesario.

¿Para qué implementar la ISO 27001?

  • Proteger la información de una amplia gama de amenazas.
  • Garantizar la continuidad de los negocios.
  • Minimizar el impacto de las pérdidas financieras.
  • Optimizar el retorno de las inversiones.
  • Aumentar las oportunidades de negocio.

Si una de las brechas de seguridad se materializa, nos puede conducir a…

  • Pérdida de reputación.
  • Posibles pérdidas financieras.
  • Pérdida de propiedad intelectual.
  • Infracciones legislativas, o incumplimiento que conduzcan a acciones legales.
  • Pérdida de confianza de los clientes.
  • Costos de interrupción del negocio.

ISO 27001 – Características

  • Modelo de procesos de mejora continua, Planificar, Hacer, Verificar y Actuar (PDCA).
  • Enfoque basado en procesos.
  • Énfasis en las mejoras continuas de los procesos.
  • El alcance cubre la seguridad de la información, no solo la seguridad de TI.
  • Cubre personas, procesos y tecnología.
  • Mas de 5600 organizaciones en todo el mundo han sido certificadas.

Cláusulas de la ISO 27001

  1. Ambito de aplicación.
  2. Referencias normativas.
  3. Términos y definiciones.
  4. Contexto de la Organización.
  5. Liderazgo.
  6. Planificación.
  7. Apoyo.
  8. Funcionamiento.
  9. Evaluación de desempeño.
  10. Mejora.

Si quieres conocer el paso a paso de implementar este estándar para proteger la información de las empresas, no olvides revisar nuestro curso sobre la ISO 27001.

ISO 27001 Seguridad de la Información

No olvides dejar tu comentario y compartir el artículo, así nos ayudas a llegar a más personas.

Acerca del Autor

Grover Vásquez

Profesional de TI con más de 10 años de experiencia, en el campo de las Tecnologías de la Información, Programación y Seguridad de la Información. Instructor Online y presencial de cursos de programación de aplicaciones.

Ver Artículos