La norma ISO 27001 es un estándar internacional que establece los requisitos para la implementar y mantener la SGSI.
Esta norma establece un marco de referencia para la gestión de la seguridad de la información en un centro de datos, y proporciona una guía para la implementación de medidas de seguridad adecuadas para proteger los activos de información de una organización.
Para cumplir con la norma ISO 27001, un centro de datos debe llevar a cabo un análisis de riesgos y implementar medidas de seguridad adecuadas para mitigar los riesgos identificados.
Estas medidas pueden incluir el uso de firewalls, sistemas de detección y prevención de intrusiones (IPS/IDS), cifrado de datos y contraseñas seguras, entre otras.
Además, la norma requiere la implementación de procedimientos de gestión de incidentes y la realización de pruebas periódicas para garantizar que el SGSI está funcionando correctamente.
La norma ISO 27001 proporciona un marco para la gestión de la seguridad de la información en un centro de datos y establece los requisitos para la implementación y el mantenimiento de un SGSI efectivo.
La norma ISO 27001 se divide en ocho dominios de SGSI:
Liderazgo y estrategia:
Se refiere a la toma de decisiones y la orientación de la organización en materia de seguridad de la información.
Gestión de activos:
Se refiere a la protección de los activos de información de la organización.
Seguridad de la información:
Se refiere a la protección de la información contra la pérdida, el uso no autorizado o el acceso no autorizado.
Acceso a la información:
Se refiere a la gestión de los derechos de acceso a la información y a la protección de la información contra el acceso no autorizado.
Gestión de la seguridad de la información:
Se refiere a la planificación, implementación, operación, monitoreo y revisión del SGSI.
Gestión de la continuidad del negocio:
Se refiere a la planificación y el mantenimiento de los procesos y sistemas para garantizar la continuidad del negocio en caso de una interrupción.
Gestión de cumplimiento:
Se refiere a la gestión de los requisitos legales y reguladores en materia de seguridad de la información.
Mejora:
Se refiere a la identificación de oportunidades de mejora y la implementación de cambios para mejorar el SGSI.
Estos ocho dominios cubren todas las áreas clave de la seguridad de la información y proporcionan un marco completo para la implementación y el mantenimiento de un SGSI efectivo.
¿Cómo se auditan estos dominios?
Liderazgo y estrategia
Revisar la política de seguridad de la información y los objetivos de seguridad de la información de la organización para asegurarse de que están establecidos por la dirección y están alineados con la estrategia general de la organización.
Verificar que la dirección de la organización está comprometida con la implementación y el cumplimiento de la norma ISO 27001.
Evaluar cómo se integra la seguridad de la información en la planificación estratégica y en la toma de decisiones de la organización.
Revisar la estructura de gestión de la seguridad de la información de la organización y cómo se asegura que está adecuadamente resolviendo los problemas de seguridad de la información.
Verificar que la organización tiene un proceso para la gestión de riesgos de seguridad de la información que es adecuado para su tamaño y naturaleza.
Revisar la forma en que la organización asegura la competencia y el conocimiento de seguridad de la información en toda la empresa.
Verificar que la organización tiene un sistema de gestión de seguridad de la información documentado y que se está implementando y manteniendo de manera efectiva.
Realizar entrevistas con los responsables de la seguridad de la información y otros miembros clave del personal para obtener una comprensión más profunda de cómo se lleva a cabo la gestión de la seguridad de la información en la organización.
Gestión de Activos
Un auditor de ISO 27001 debe realizar las siguientes acciones para auditar el dominio de Gestión de activos:
Revisar la política y los procedimientos de Gestión de activos de la organización para asegurarse de que estén alineados con los requisitos de la norma ISO 27001.
Verificar que la organización haya identificado y clasificado adecuadamente sus activos de información, incluyendo la propiedad intelectual, los datos confidenciales y los sistemas de información.
Seguridad de la Información
Para auditar el dominio de Seguridad de la Información de una organización, un auditor de ISO 27001 debe realizar una serie de acciones. Algunas de ellas incluyen:
Revisar la política de Seguridad de la Información de la organización y asegurarse de que está alineada con los requisitos de la norma ISO 27001.
Analizar los procesos de gestión de la Seguridad de la Información de la organización y evaluar su eficacia.
Revisar los registros de la organización y asegurarse de que se están llevando a cabo correctamente.
Evaluar el nivel de cumplimiento de la organización con los requisitos de la norma ISO 27001.
Realizar entrevistas con el personal de la organización para comprender cómo se están llevando a cabo las actividades relacionadas con la Seguridad de la Información.
Revisar los sistemas y aplicaciones de la organización para asegurarse de que están protegidos adecuadamente.
Realizar pruebas de penetración y evaluar la vulnerabilidad de la red de la organización.
Presentar un informe de auditoría con las conclusiones y recomendaciones para mejorar la Seguridad de la Información de la organización.
Asegurarse de que la organización haya establecido medidas adecuadas para proteger sus activos de información contra riesgos como el acceso no autorizado, la pérdida o el daño.
Revisar los registros de cambios y la documentación de los procesos de Gestión de activos para asegurarse de que se estén llevando a cabo de manera adecuada y que se estén registrando los cambios y las actividades de manera adecuada.
Verificar que la organización haya establecido medidas adecuadas para garantizar la disponibilidad de los activos de información, incluyendo la realización de copias de seguridad y la implementación de planes de recuperación ante desastres.
Revisar la documentación de los procesos de Gestión de activos para asegurarse de que se estén llevando a cabo de manera adecuada y que se estén registrando los cambios y las actividades de manera adecuada.
Realizar entrevistas con el personal clave para obtener una comprensión más profunda del proceso de Gestión de activos y cómo se está llevando a cabo en la práctica.
Revisar cualquier otra información relevante, como informes de auditorías previas y resultados de pruebas de penetración, para obtener una visión completa del dominio de Gestión de activos de la organización.
Una vez completadas todas estas acciones, el auditor debe preparar un informe de auditoría detallado que incluya una evaluación de los hallazgos y recomendaciones para mejorar la Gestión de activos de la organización.
Acceso a la Información
Para auditar el dominio de Acceso a la Información de una organización, un auditor de ISO 27001 debe realizar una serie de acciones. Algunas de ellas incluyen:
Revisar la política de Acceso a la Información de la organización y asegurarse de que está alineada con los requisitos de la norma ISO 27001.
Analizar los procesos de gestión del Acceso a la Información de la organización y evaluar su eficacia.
Revisar los registros de la organización y asegurarse de que se están llevando a cabo correctamente.
Evaluar el nivel de cumplimiento de la organización con los requisitos de la norma ISO 27001 en cuanto al Acceso a la Información.
Realizar entrevistas con el personal de la organización para comprender cómo se están llevando a cabo las actividades relacionadas con el Acceso a la Información.
Revisar los sistemas y aplicaciones de la organización para asegurarse de que están protegidos adecuadamente y de que se está llevando a cabo un control de acceso adecuado.
Realizar pruebas de acceso y evaluar la vulnerabilidad de la red de la organización en cuanto al Acceso a la Información.
Presentar un informe de auditoría con las conclusiones y recomendaciones para mejorar el Acceso a la Información de la organización.
Gestión de Seguridad de la Información
Un auditor de ISO 27001 debe realizar una serie de acciones para auditar el dominio de Gestión de la Seguridad de la Información de una organización. Algunas de estas acciones incluyen:
Revisar la documentación de la organización, incluyendo su política de seguridad de la información, procedimientos y registros relacionados con la gestión de la seguridad de la información.
Entrevistar a miembros clave de la organización para obtener una comprensión de cómo se está implementando y manteniendo la gestión de la seguridad de la información.
Revisar la implementación de controles de seguridad de la información en la organización, incluyendo controles físicos y lógicos.
Realizar pruebas de penetración y evaluaciones de vulnerabilidad para determinar el nivel de seguridad de la red de la organización.
Revisar los planes de respuesta a incidentes de seguridad de la información y verificar que se están implementando adecuadamente.
Verificar que se están llevando a cabo revisiones periódicas de la seguridad de la información y que se están realizando mejoras continuas en la gestión de la seguridad de la información de la organización.
Preparar un informe de auditoría que resuma los hallazgos del proceso de auditoría y proporcione recomendaciones para mejorar la gestión de la seguridad de la información de la organización.
Gestión de la Continuidad del Negocio
Un auditor de ISO 27001 debe realizar las siguientes acciones para auditar el dominio de Gestión de la Continuidad del Negocio:
Revisar la política y los objetivos de continuidad del negocio de la organización.
Verificar que la organización ha identificado los activos críticos y ha evaluado los riesgos de interrupción de los mismos.
Revisar el plan de continuidad del negocio de la organización y verificar que está basado en los resultados de la evaluación de riesgos y que incluye medidas para minimizar la interrupción del negocio.
Verificar que la organización ha probado el plan de continuidad del negocio y ha realizado revisiones periódicas para asegurarse de que sigue siendo adecuado.
Revisar los planes de respuesta a emergencias y verificar que están en línea con el plan de continuidad del negocio y que se han probado adecuadamente.
Verificar que la organización ha establecido arreglos para la recuperación de activos críticos y ha probado estos arreglos.
Asegurarse de que la organización tiene una comunicación adecuada en caso de una interrupción del negocio, incluyendo planes de notificación y comunicación con empleados, clientes y otras partes interesadas.
Revisar la documentación y registros relacionados con la continuidad del negocio para asegurarse de que está completa y actualizada.
Gestión de Cumplimiento
Para auditar el dominio de Gestión de cumplimiento en el marco de la norma ISO 27001, un auditor debe realizar las siguientes acciones:
Revisar la política de cumplimiento de la organización y asegurarse de que sea adecuada y sea compatible con la norma ISO 27001.
Revisar los procedimientos de cumplimiento de la organización y asegurarse de que se estén siguiendo adecuadamente.
Verificar que se haya identificado y evaluado adecuadamente el cumplimiento legal y regulatorio relevante para la organización.
Revisar la forma en que se gestiona el cumplimiento legal y regulatorio en la organización y asegurarse de que se está implementando de manera efectiva.
Verificar que se hayan establecido y estén siendo seguidas adecuadamente las medidas de cumplimiento necesarias para garantizar el cumplimiento legal y regulatorio.
Revisar cómo se monitorean y evalúan los procesos de cumplimiento en la organización y asegurarse de que se está haciendo de manera efectiva.
Verificar que se haya establecido un proceso para tratar los incumplimientos de cumplimiento y asegurarse de que se esté implementando adecuadamente.
Realizar entrevistas con los responsables de la gestión de cumplimiento y otras personas relevantes para obtener una comprensión más profunda de cómo se gestiona el cumplimiento en la organización.
Revisar documentación y registros relacionados con la gestión de cumplimiento para asegurarse de que se están manteniendo adecuadamente y que reflejan la implementación efectiva de los procesos de cumplimiento.
Realizar pruebas de cumplimiento, como verificar que se están siguiendo adecuadamente los procedimientos de cumplimiento o revisar la documentación de cumplimiento para asegurarse de que se está cumpliendo con todas las obligaciones de cumplimiento aplicables.
Preparar un informe de auditoría que resuma los hallazgos del proceso de auditoría y proporcione recomendaciones para mejorar la gestión de cumplimiento en la organización.
Mejora
Un auditor de ISO 27001 debe realizar una serie de acciones para auditar el dominio de mejora en una organización.
Estas acciones incluyen:
Revisar la política de seguridad de la información y los objetivos de seguridad de la información de la organización.
Revisar los planes de tratamiento de riesgos y la documentación relacionada con el proceso de evaluación de riesgos.
Verificar que la organización haya establecido, implementado y mantenido un sistema de gestión de la seguridad de la información.
Revisar la documentación del sistema de gestión de la seguridad de la información y verificar que se haya llevado a cabo una evaluación del cumplimiento con los requisitos de la norma ISO 27001.
Realizar entrevistas con el personal relevante y observar las operaciones para verificar el cumplimiento de los requisitos de la norma ISO 27001.
Revisar los registros y la documentación de la organización para verificar que se estén llevando a cabo actividades de mejora continua.
Realizar pruebas y verificaciones para confirmar el cumplimiento de los requisitos de la norma ISO 27001.
Preparar un informe de auditoría que incluya una evaluación de los hallazgos del auditor y recomendaciones para la mejora.
Participar en reuniones de cierre de auditoría y discutir los hallazgos y recomendaciones con la gerencia de la organización.
Conclusión
La norma ISO 27001 es un estándar internacional para la implementación de sistemas de gestión de la seguridad de la información.
La certificación de ISO 27001 demuestra que una entidad financiera ha implementado medidas para proteger la confidencialidad, integridad y disponibilidad de su información y ha establecido un enfoque sistemático para gestionar y mejorar la seguridad de la información de manera continua.
Para una entidad financiera, la seguridad de la información es especialmente importante debido a la cantidad y sensibilidad de los datos que maneja.
Estos pueden incluir información confidencial sobre clientes, transacciones financieras y datos internos.
La certificación de ISO 27001 puede ayudar a una entidad financiera a proteger esta información y a demostrar a sus clientes y otros interesados que está tomando medidas para proteger sus datos.
Además, la certificación de ISO 27001 puede ayudar a una entidad financiera a cumplir con ciertas regulaciones y requisitos legales en materia de seguridad de la información.
Por ejemplo, muchos países tienen leyes que exigen a las entidades financieras proteger adecuadamente la información de sus clientes.
La certificación de ISO 27001 puede ser una forma de demostrar que se están cumpliendo estas regulaciones y requisitos.
En resumen, la certificación de ISO 27001 es importante para una entidad financiera ya que demuestra que se están tomando medidas para proteger la información y establece un enfoque sistemático para gestionar y mejorar la seguridad de la información de manera continua.
También puede ayudar a cumplir con ciertas regulaciones y requisitos legales en materia de seguridad de la información.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad
Trident Ursa: Gamaredon, UAC-0010, Primitive Bear, Shuckworm
Infraestructuras críticas son foco de ciberataques en 2022
Ciberamenazas: predicciones para los próximos 12 meses