Calidad Europea
Acceso estudiantes
Volver

¿Qué es la certificación ISO 27001 y cómo conseguirla?

Te contamos la importancia de esta norma de seguridad de la información y te damos las claves para convertirte en auditor.

¿Qué es la certificación ISO 27001 y cómo conseguirla?

La ISO 27001 es una norma internacional de Seguridad de la Información que pretende asegurar la confidencialidad, integridad y disponibilidad de la información de una organización y de los sistemas y aplicaciones que la tratan. Este estándar ha sido desarrollado por la Organización Internacional de Normalización (ISO: “International Organization for Standardization”) y por la Comisión Electrotécnica Internacional (IEC: “International Electrotechnical Commission”).

La norma define de manera genérica, independientemente de los factores ambientales de organización (entorno, contexto, activos de las TIC, información, cultura organizacional, etc.) —tanto internos como externos a la misma— y de los activos de los procesos de la organización (políticas, procedimientos, procesos, etc.), cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información, a partir de la realización de un análisis de riesgos y de la planificación e implantación de la respuesta a los mismos para su mitigación. Es decir, cualquier empresa u organización puede desplegar un SGSI siguiendo este estándar.

Recomendaciones para administrar la información

Pero ¿qué es un SGSI? Es un enfoque sistemático o conjunto de políticas y procedimientos para administrar la información de una empresa u organismo cumpliendo una serie de requisitos.

Así, hay que garantizar su confidencialidad (sólo las personas autorizadas pueden acceder a esta), su integridad (no ha sido manipulada de manera no autorizada) y su disponibilidad (la información puede ser accedida por las personas autorizadas cuando lo necesitan), mediante una gestión de los riesgos que considera a las personas, procesos y sistemas de TIC (Tecnología de la Información y las Comunicaciones) relacionados con la misma.

La norma está alineada con la certificación ISO 27002,  que define una serie de buenas prácticas de gestión de la seguridad de la información para todos los interesados y responsables de un SGSI.

Gestión de la calidad PDCA

La certificación ISO 27001 se basa en la teoría de gestión de la calidad PDCA (también conocida como ciclo de Deming), como se podrá observar en la estructura de esta.

  • Planificar (“Plan”): etapa inicial de diseño del SGSI en la que se realiza la identificación de los riesgos asociados con la Seguridad de la información. Esta cuestión se complementa con un análisis cualitativo y cuantitativo (si es necesario) de los riesgos identificados y la planificación de la respuesta y los controles necesarios para la mitigación de estos.
  • Hacer (“Do”): implantación y operación del Sistema de Gestión de Seguridad de la Información definido y desarrollado.
  • Verificar (“Check”): revisar y evaluar su eficacia y eficiencia. Si el desempeño no es el esperado analizar las causas y determinar las mejoras.
  • Actuar (“Act”): mejora continua del SGSI.

Estructura del estándar:

  • Objeto y campo de aplicación: objetivos y uso de la norma en el contexto de las diferentes organizaciones.
  • Referencias normativas del estándar.
  • Términos y definiciones utilizados en el desarrollo de la norma.
  • Contexto de la organización: requisitos y expectativas de los interesados tanto a nivel interno como externo y que influirán en el SGSI y determinación del alcance de este.
  • Liderazgo: importancia de la implicación de la gerencia con el sistema, mediante el establecimiento de políticas, integrando el SGSI en los procesos de la organización, y asegurando los recursos necesarios.
  • Planificación: es imprescindibles detectar, analizar y valorar los riesgos de seguridad de la información tomando como referencia los umbrales aceptables de riesgo de la organización (apetito al riesgo), así como planificar estrategias de respuesta (mitigación).
  • Soporte: recursos necesarios para la capacitación y concienciación del personal, además de la importancia de la comunicación y la propia información.
  • Operación: cómo operar el sistema e implantar la respuesta a los riesgos.
  • Evaluación de desempeño: pautas para la monitorización, seguimiento y control del SGSI y la evaluación de su eficiencia y eficacia.
  • Mejora: se centra en cómo abordar las no conformidades con la norma, las acciones correctivas que hay que implementar y la mejora periódica del Sistema de Gestión de Seguridad de la Información.
  • Anexo A: definición de los controles para mejorar la seguridad de la información.

Sin duda, la ISO 27001 es fundamental para gestionar la seguridad de la información en organismos y empresas independientemente de su tamaño, objetivos o estructura.

¿Cómo conseguir la certificación ISO 27001?

Los conocimientos necesarios para llegar a ser un auditor de esta norma se pueden adquirir a través de programas formales que incluyen el curso de formación y el examen de certificación, y que son impartidos por las entidades acreditadas para la realización de estas auditorías.

Los objetivos de estos programas formativos son:

  • Comprender los conceptos generales y fundamentales de la gestión de la seguridad de la información en las organizaciones.
  • Adquirir el conocimiento de las normas ISO/IEC 27001 y 27002 (guía de implementación de los controles de seguridad del anexo A de la 27001).
  • Distinguir los distintos componentes de un SGSI.
  • Conocer las ventajas de implementar un Sistema de Gestión de Seguridad de la Información.
  • Comprobar amenazas de seguridad y gestionar riesgos.
  • Adquirir los conocimientos necesarios para la realización (planificación y ejecución) de auditorías de SGSIs.
  • Conocer y entender el proceso de certificación.
  • Dirigir y gestionar (liderar) un equipo de auditoría de SGSIs.
  • Comprender las distintas técnicas de entrevista, la realización de los informes de auditoría y adquirir la capacidad necesaria para comprobar la competencia del Sistema de Gestión de Seguridad de la Información.

Algunos de los principales itinerarios formativos o programas para adquirir los conocimientos y competencias necesarias para ser auditor de SGSIs de conformidad con la norma ISO/IEC 27001 son:

  • Lead Auditor 27001 (Auditor líder o jefe) de AENOR.
  • Auditor Jefe 27001 de BSI.

También existe la posibilidad de ser auditor interno de ISO 27001 de una organización, una opción que brinda la Maestría en Seguridad Informática de UNIR México (además de la de ser auditor externo).

¿Qué contenidos se ven en los cursos para ser auditor?

Los contenidos impartidos en los cursos de preparación del examen de certificación certificación ISO 27001 incluyen:

  • Conceptos básicos de la seguridad de la información y su gestión.
  • La norma ISO/IEC 27002, que es una guía explicativa de implantación para cada control de seguridad de la norma 27001.
  • Procesos para la definición de un SGSI según la norma ISO/IEC 27001.
  • Cómo se define el alcance de un Sistema de Gestión de Seguridad de la Información.
  • Cómo implantar un SGSI según la norma 27001.
  • Factores de éxito en la gestión de la seguridad de la información.
  • Definición y tipos de auditoría de un SGSI.
  • Metodología (procesos y fases) de auditoría de un SGSI.
  • Proceso de certificación de un Sistema de Gestión de Seguridad de la Información de conformidad con la norma ISO/IEC 27001.

Los cursos de preparación para ser auditor de esta norma suelen tener una duración de unas 40 horas.

Noticias relacionadas

Ciberdelincuencia: ¿qué es y cuáles son los ciberdelitos más comunes?

Ciberdelincuencia: ¿qué es y cuáles son los ciberdelitos más comunes?

Los delitos en internet están a la orden del día. En este artículo explicamos qué es la ciberdelincuencia y los distintos tipos de ciberdelitos que existen.

Qué estudiar después de sistemas computacionales

¿Qué estudiar después de sistemas computacionales?

Si al terminar la Ingeniería en Sistemas Computacionales (o similares) deseas estudiar una Maestría, eres bienvenido ¡descubre las mejores alternativas para mejorar tu perfil profesional!

8 libros de Big Data para iniciarte en la materia

8 libros de Big Data para iniciarte en la materia

Se está produciendo un aumento sin precedentes en la cantidad de datos que generamos y que son explotados por las organizaciones mediante las tecnologías de Big Data. Te damos ocho lecturas imprescindibles para conocer las claves.