ISO 27001 es una norma internacional emitida por la International Standardization Organization (ISO) que define los sistemas de gestión de seguridad de la información. Su nombre completo es ISO/IEC 27001:2013. Esta norma fue desarrollada a partir de la norma británica BS 7799-2, fue publicada inicialmente como ISO/IEC 27001:2005 y ahora se ha convertido en una de las principales normas internacionales para la seguridad de la información. Más información aquí…
La implementación de ISO 27001 reduce los riesgos relacionados con la confidencialidad, disponibilidad e integridad de la información en una organización. También ayuda a la organización a dar cumplimiento a la legislación que regula la protección de información confidencial, de sistemas de información, de datos personales, etc. que ya está establecida en la mayoría de los países. Finalmente, la implementación de la norma debería reducir los costos comerciales debido a la menor cantidad de incidentes y a las mejoras en la comercialización por la publicidad que se puede conseguir con la norma. Más información aquí…
La norma internacional ISO 27002 (nombre completo: ISO/IEC 27002:2013) define directrices para la implementación de los controles detallados en ISO 27001. ISO 27001 especifica 114 controles que se pueden usar para disminuir los riesgos de seguridad mientras que ISO 27002 proporciona más información sobre cómo implementar esos controles. Las organizaciones pueden obtener la certificación para la norma ISO 27001, pero no para ISO 27002. A ISO 27002 anteriormente se la conocía como ISO/IEC 17799 y surgió de la norma británica BS 7799-1. Más información aquí…
Esta era una norma británica cuyo nombre completo era BS 25999-2:2007 y que definía los sistemas de gestión de la continuidad del negocio. Esta norma fue sustituida por ISO 22301 en 2012. Más información aquí…
ISO 27001 define la gestión de seguridad de la información, que también incluye la gestión de la continuidad del negocio. Sin embargo, ni ISO 27001 ni ISO 27002 describen cómo se debe implementar la gestión de la continuidad del negocio, por eso es mejor utilizar ISO 22301 (anteriormente BS 25999-2) con este objetivo. Además, las normas ISO 27001 e ISO 22301 contienen elementos que son casi idénticos (gestión de documentación, auditorías internas, revisión por parte de la dirección, medidas correctivas y preventivas); por eso estas normas son completamente compatibles. Más información aquí…
Sí. En ese caso, el énfasis estará sobre cómo garantizar la disponibilidad de la información y los procesos de negocio ante el caso de un desastre, etc. pero sin garantizar la confidencialidad e integridad de la información.
¡Seguro! Algunas partes de ISO 27001, ISO 22301 (ex BS 25999-2) e ISO 9001 son prácticamente las mismas; por ejemplo, gestión de documentación, auditorías internas, revisión por parte de la dirección y medidas correctivas. Si se utilizaron los procedimientos mencionados para ISO 9001, también pueden ser utilizados para ISO 27001 o ISO 22301 con algunas mínimas modificaciones. Es decir, a las organizaciones que ya han implementado ISO 9001 les será más sencillo implementar ISO 27001 o ISO 22301 (y viceversa). Más información aquí…
Esto realmente depende de una gran cantidad de factores pero, generalmente, las organizaciones más pequeñas pueden necesitar de 3 a 6 meses, las organizaciones de hasta 500 personas necesitarán de 8 a 12 meses y las organizaciones más grandes necesitarán 12 meses o más. Utilice este Calculador del tiempo de implementación para calcular la duración con mayor precisión.
No. Es posible establecer un alcance de la implementación para una parte de la organización solamente; esto tiene sentido en organizaciones de gran envergadura que funcionan en diferentes ubicaciones y/o en diferentes países. Para las organizaciones pequeñas, cuya actividad comercial se desarrolla en menor cantidad de ubicaciones, es mejor implementar la norma para toda la organización. Más información aquí…
Es real que ISO 27001 requiere algunos documentos obligatorios, pero la cantidad depende del tamaño y complejidad de la organización: una organización pequeña sin grandes requerimientos de seguridad solo necesitará unos doce documentos aproximadamente, un gran banco puede necesitar varios cientos de documentos. Lo importante al confeccionar la documentación es definir sólo las reglas que son realmente exigidas, para que la organización no desacelere sus operaciones de negocio. Puede encontrar un listado de los documentos necesarios aquí .
No. La seguridad de TI es parte de la seguridad de la información: la primera incluye, por ejemplo, procedimientos de respaldo o utilización de cortafuegos, mientras que la seguridad de la información también incluye la definición de roles y responsabilidades de seguridad, procedimientos operativos, capacitación y concienciación, relaciones legales con empleados y proveedores, seguridad física, etc. La seguridad de TI es, generalmente, el 50% de la seguridad de la información. Más información aquí…
Es casi imposible calcular el costo antes de completar la evaluación de riesgos y la Declaración de aplicabilidad. La mayor parte de los gastos generalmente no están relacionados con hardware o software sino con desarrollar y hacer funcionar procedimientos, con la generación de concienciación y formación de los empleados, con la certificación, etc. Los costos también dependen del tamaño de la empresa, pero es bueno saber que no todos los controles de seguridad deben ser implementados inmediatamente sino que se puede postergar la implementación algunos de ellos. Más información aquí…
No. 27001Academy solo proporciona documentación, capacitación y apoyo para la implementación de seguridad de la información y continuidad del negocio; y sí podemos ayudarle a completar satisfactoriamente todos los pasos para lograr la certificación. La certificación, sin embargo, está en las manos de las entidades de certificación acreditadas.
Debe tener todos los documentos prescriptos por la norma y debe realizar al menos una auditoría interna y una revisión por parte de la dirección. Pero, fundamentalmente, debe implementar realmente los requerimientos de la norma y los establecidos en su propia documentación ya que durante la certificación, el auditor verificará hasta qué punto se ha materializado el sistema de seguridad de la información y/o de continuidad del negocio en su empresa. Más información aquí…
No. Si soluciona esta no conformidad, la entidad de certificación emitirá un certificado. Es muy importante que solucione esa no conformidad dentro del plazo establecido y de manera que sea aceptable para el auditor. Más información aquí