Puntos de control ISO 27001: Guía integral para la seguridad de la información
ISO 27001 es un estándar internacional para la gestión de la seguridad de la información (SGSI). Proporciona un marco para proteger la información a través de la implementación de un conjunto de controles que ayudan a gestionar los riesgos relacionados con la seguridad de los datos. La última versión de la norma, publicada en 2022, incluye 93 controles divididos en cuatro dominios principales: Controles Organizacionales, Controles Orientados a las Personas, Controles Físicos y Controles Tecnológicos.
A5: Controles Organizacionales
El objetivo de los controles organizacionales es asegurar que la actitud de la organización hacia la protección de datos sea integral y se refleje en políticas, procedimientos y comportamientos individuales. A continuación, se detallan algunos de los controles más relevantes de este dominio.
- 5.1 Políticas de Seguridad de la Información.
- 5.2 Funciones y responsabilidades de seguridad de la información.
- 5.3 Segregación de funciones.
- 5.4 Responsabilidades de la gerencia.
- 5.5 Contacto con Autoridades.
- 5.6 Contacto con Grupos de Interés Especial.
- 5.7 Inteligencia sobre amenazas.
- 5.8 Seguridad de la información en la gestión de proyectos.
- 5.9 Inventario de Información y Otros Activos Asociados.
- 5.10 Uso aceptable de la información y otros activos asociados.
- 5.11 Devolución de Activos.
- 5.12 Clasificación de la información.
- 5.13 Etiquetado de Información.
- 5.14 Transferencia de información.
- 5.15 Control de acceso.
- 5.16 Gestión de identidad.
- 5.17 Información de autenticación.
- 5.18 Derechos de acceso.
- 5.19 Seguridad de la Información en las Relaciones con Proveedores.
- 5.20 Abordar la seguridad de la información en los acuerdos con proveedores.
- 5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC.
- 5.22 Monitoreo, Revisión y Gestión de Cambios de Servicios de Proveedores.
- 5.23 Seguridad de la información para el uso de servicios en la nube.
- 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información.
- 5.25 Evaluación y Decisión sobre Eventos de Seguridad de la Información.
- 5.26 Respuesta a Incidentes de EI.
- 5.27 Aprender de los incidentes de seguridad de la información.
- 5.28 Recolección de evidencia.
- 5.29 Seguridad de la información durante una interrupción.
- 5.30 Preparación de las TIC para la continuidad del negocio.
- 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales.
- 5.32 Derechos de propiedad intelectual.
- 5.33 Protección de Registros.
- 5.34 Privacidad y protección de la PII.
- 5.35 Revisión independiente de la seguridad de la información.
- 5.36 Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información.
- 5.37 Procedimientos operativos documentados.
A6: Controles Orientados a las Personas
Este dominio se centra en regular cómo interactúan los empleados con los datos y entre ellos, asegurando que el componente humano del programa de seguridad esté adecuadamente gestionado.
- 6.1 Detección.
- 6.2 Términos y condiciones de empleo.
- 6.3 Concientización, educación y capacitación sobre seguridad de la información.
- 6.4 Proceso disciplinario.
- 6.5 Responsabilidades después de la terminación o cambio de empleo.
- 6.6 Acuerdos de confidencialidad o no divulgación.
- 6.7 Trabajo remoto.
- 6.8 Informes de eventos de seguridad de la información.
A7: Controles Físicos
Asegurar la seguridad de los activos físicos mediante la implementación de medidas que protejan contra accesos no autorizados y amenazas ambientales.
- 7.1 Perímetros de Seguridad Física.
- 7.2 Entrada física.
- 7.3 Protección de oficinas, habitaciones e instalaciones.
- 7.4 Monitoreo de seguridad física.
- 7.5 Protección contra amenazas físicas y ambientales.
- 7.6 Trabajar en áreas seguras.
- 7.7 Limpiar escritorio y limpiar pantalla.
- 7.8 Ubicación y protección del equipo.
- 7.9 Seguridad de los activos fuera de las instalaciones.
- 7.10 Medios de almacenamiento.
- 7.11 Utilidades de soporte.
- 7.12 Seguridad del cableado.
- 7.13 Mantenimiento del equipo.
- 7.14 Eliminación segura o reutilización del equipo.
A8: Controles Tecnológicos
Garantizar que los procedimientos digitales cumplan con criterios de configuración, administración y acceso para evitar brechas de seguridad.
- 8.1 Dispositivos terminales de usuario.
- 8.2 Derechos de acceso privilegiado.
- 8.3 Restricción de acceso a la información.
- 8.4 Acceso al código fuente.
- 8.5 Autenticación segura.
- 8.6 Gestión de capacidad.
- 8.7 Protección contra malware.
- 8.8 Gestión de vulnerabilidades técnicas.
- 8.9 Gestión de configuración.
- 8.10 Eliminación de información.
- 8.11 Enmascaramiento de datos.
- 8.12 Prevención de fuga de datos.
- 8.13 Copia de seguridad de la información.
- 8.14 Redundancia de las instalaciones de procesamiento de información.
- 8.15 Registro.
- 8.16 Actividades de seguimiento.
- 8.17-Sincronización-de-reloj.
- 8.18 Uso de programas de utilidad privilegiados.
- 8.19 Instalación de software en sistemas operativos.
- 8.20 Seguridad de Redes.
- 8.21 Seguridad de los servicios de red.
- 8.22 Segregación de Redes.
- 8.23 Filtrado web.
- 8.24 Uso de criptografía.
- 8.25 Ciclo de vida de desarrollo seguro.
- 8.26 Requisitos de seguridad de la aplicación.
- 8.27 Principios de ingeniería y arquitectura de sistemas seguros.
- 8.28 Codificación segura.
- 8.29 Pruebas de seguridad en desarrollo y aceptación.
- 8.30 Desarrollo subcontratado.
- 8.31 Separación de los entornos de desarrollo, prueba y producción.
- 8.32 Gestión de cambios.
- 8.33 Información de prueba.
- 8.34 Protección de los sistemas de información durante las pruebas de auditoría.
Implementación de los Puntos de control ISO 27001
Evaluación de Riesgos y Plan de Tratamiento
La implementación efectiva de ISO 27001 comienza con una evaluación de riesgos exhaustiva. Este proceso permite identificar y priorizar los riesgos para la seguridad de la información. Basado en esta evaluación, se desarrolla un plan de tratamiento de riesgos que define cómo se abordarán estos riesgos mediante la implementación de los controles adecuados.
Declaración de Aplicabilidad
Una vez que se ha realizado la evaluación de riesgos, se debe elaborar una declaración de aplicabilidad. Este documento justifica los controles seleccionados y aquellos que no se implementarán, proporcionando una explicación racional para cada decisión. Es fundamental para asegurar que todas las áreas de la seguridad de la información estén cubiertas de manera adecuada.
Monitoreo y Mejora Continua
La implementación de ISO 27001 no es un evento único, sino un proceso continuo. Es crucial establecer mecanismos de monitoreo y revisión regular para asegurar que los controles sigan siendo efectivos y relevantes. Esto incluye la realización de auditorías internas y la actualización constante del SGSI para adaptarse a nuevas amenazas y cambios en el entorno empresarial.
Servicio Especializado en Auditoría e Implementación ISO 27001 y ISO 27002
En NOÁTICA Programadores y Servicios Informáticos, ofrecemos un servicio especializado en Auditoría e Implementación de ISO 27001 e ISO 27002, respaldado por un equipo de profesionales altamente capacitados en seguridad de la información y cumplimiento normativo. Nuestro objetivo es ayudar a las empresas a fortalecer sus prácticas de seguridad y cumplir con las normativas de manera eficiente y efectiva.
En nuestra auditoría se realiza una revisión exhaustiva de los procesos, sistemas y controles de seguridad existentes en su organización. Identificamos áreas de mejora y ofrecemos recomendaciones personalizadas para implementar los puntos de control requeridos por la normativa.
Contacte con NOÁTICA para implantar la normativa ISO 27001
Somos expertos en auditorías informáticas, mantenimiento informático, programación y desarrollo de software a medida para empresas. Nuestros programadores informáticos trabajan con una larga lista de lenguajes de programación y entornos de desarrollo.
Para cualquier consulta, no dude en llamarnos al teléfono gratuito 900 525 715, o ponerse contacto a través del formulario de contacto de nuestra página Web, estaremos encantados de atenderle.