Controles de la ISO/IEC 27001:2022 (I). Controles organizacionales
Controles organizacionales
ISO 27001 es el estándar internacional utilizado por muchas organizaciones de todo el mundo como método para garantizar que sus activos de información estén seguros. Las organizaciones hacen uso de este estándar para proteger a sus clientes y empleados del fraude, el robo y el abuso. ISO/IEC 27001:2022 describe en el Anexo A una referencia de controles de seguridad de la información. Los controles de seguridad de la información se derivan directamente de los enumerados en ISO/IEC 27002:2022. Entre ellos se destacan los controles organizacionales.
-
Políticas de seguridad de la información
La política de seguridad de la información y las políticas específicas del tema deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal y las partes interesadas, así como revisadas.
-
Roles y responsabilidades de seguridad de la información
Los roles y responsabilidades de seguridad de la información deben definirse y asignarse de acuerdo con las necesidades de la organización.
-
Segregación de deberes
Deben separarse los deberes conflictivos y las áreas conflictivas de responsabilidad.
-
Responsabilidades de gestión
La gerencia debe exigir a todo el personal que aplique la seguridad de la información de acuerdo con la política de seguridad de la información establecida, las políticas y los procedimientos específicos del tema de la organización.
-
Contacto con autoridades
La organización deberá establecer y mantener contacto con las autoridades pertinentes.
-
Contacto con grupos de interés especial
La organización deberá establecer y mantener contacto con grupos de interés especial u otros foros especializados en seguridad y asociaciones profesionales.
-
Inteligencia de amenazas
La información relacionada con las amenazas a la seguridad de la información se recopilará y analizará para generar información sobre amenazas.
-
Seguridad de la información en la gestión de proyectos.
La seguridad de la información se integrará en la gestión de proyectos.
-
Inventario de información y otros activos asociados
Se desarrollará y mantendrá un inventario de información, incluyendo a sus propietarios.
-
Uso aceptable de la información y otros activos asociados
Se identificarán, documentarán e implementarán reglas para el uso aceptable y procedimientos para el manejo de la información y otros activos asociados.
-
Devolución de activos
El personal y otras partes interesadas, según corresponda, devolverán todos los activos de la organización que estén en su poder al cambiar o terminar su empleo, contrato o acuerdo.
-
Clasificación de la información
La información se clasificará de acuerdo con las necesidades de seguridad de la información de la organización en función de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.
-
Etiquetado de información
Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información adoptado por la organización.
-
Transferencia de información
Deben existir reglas, procedimientos o acuerdos de transferencia de información para todos los tipos de instalaciones de transferencia dentro de la organización y entre la organización y otras partes.
-
Control de acceso
Las reglas para controlar el acceso físico y lógico a la información y otros activos asociados se establecerán e implementarán en función de los requisitos de seguridad de la información y del negocio.
-
Gestión de identidad
El ciclo de vida completo de las identidades se gestionará.
-
Información de autenticación
La asignación y gestión de la información de autenticación se controlará mediante un proceso de gestión, incluido el asesoramiento al personal sobre el manejo adecuado de la información de autenticación.
-
Derechos de acceso
Los derechos de acceso a la información y otros activos asociados deben proporcionarse, revisarse, modificarse y eliminarse de acuerdo con la política y las reglas de control de acceso específicas del tema de la organización.
-
Seguridad de la información en las relaciones con los proveedores
Se deben definir e implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados con el uso de los productos o servicios del proveedor.
-
Abordar la seguridad de la información en los acuerdos con los proveedores
Los requisitos de seguridad de la información pertinentes se establecerán y acordarán con cada proveedor en función del tipo de relación con el proveedor.
-
Gestión de la seguridad de la información en la cadena de suministro de tecnologías de la información y la comunicación (TIC)
Se deben definir e implementar procesos y procedimientos para gestionar los riesgos de seguridad de la información asociados con la cadena de suministro de productos y servicios de TIC.
-
Seguimiento, revisión y gestión de cambios de servicios de proveedores
La organización debe monitorear, revisar, evaluar y gestionar periódicamente los cambios en las prácticas de seguridad de la información del proveedor y la prestación de servicios.
-
Seguridad de la información para el uso de servicios en la nube
Los procesos de adquisición, uso, gestión y salida de los servicios en la nube se deben establecer de acuerdo con los requisitos de seguridad de la información de la organización.
-
Planificación y preparación de la gestión de incidentes de seguridad de la información
La organización debe planificar y prepararse para la gestión de incidentes de seguridad de la información definiendo, estableciendo y comunicando procesos, roles y responsabilidades de gestión de incidentes de seguridad de la información.
-
Evaluación y decisión sobre eventos de seguridad de la información
La organización debe evaluar los eventos de seguridad de la información y decidir si se clasificarán como incidentes de seguridad de la información.
-
Respuesta a incidentes de seguridad de la información
Se debe responder a los incidentes de seguridad de la información de acuerdo con los procedimientos documentados.
-
Aprender de los incidentes de seguridad de la información
El conocimiento obtenido de los incidentes de seguridad de la información se utilizará para fortalecer y mejorar los controles de seguridad de la información.
-
Recolección de evidencia
La organización debe establecer e implementar procedimientos para la identificación, recolección, adquisición y preservación de evidencia relacionada con eventos de seguridad de la información.
-
Seguridad de la información durante la interrupción
La organización debe planificar cómo mantener la seguridad de la información en un nivel apropiado durante la interrupción.
-
Preparación de las TIC para la continuidad del negocio
La preparación de las TIC debe planificarse, implementarse, mantenerse y probarse en función de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC.
-
Requisitos legales, estatutarios, reglamentarios y contractuales
Los requisitos legales, estatutarios, reglamentarios y contractuales de importancia para la SI y el enfoque de la empresa para cumplir con dichos requisitos se identificarán, se documentarán y se mantendrán actualizados.
-
Derechos de propiedad intelectual
La organización debe implementar procedimientos apropiados para proteger los derechos de propiedad intelectual.
-
Protección de registros
Los registros deben protegerse contra pérdida, destrucción, falsificación, acceso no autorizado y publicación no autorizada.
-
Privacidad y protección de la información de identificación personal
La organización deberá identificar y cumplir los requisitos relacionados con la preservación de la privacidad y la protección de la información de identificación personal de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.
-
Revisión independiente de la seguridad de la información
El enfoque de la organización para gestionar la seguridad de la información y su implementación, incluidas las personas, los procesos y las tecnologías, se revisará de forma independiente a intervalos planificados o cuando se produzcan cambios significativos.
-
Cumplimiento de políticas, normas y estándares de seguridad de la información
El cumplimiento de la política de seguridad de la información de la organización, las políticas, las reglas y los estándares específicos de cada tema se revisará periódicamente.
-
Procedimientos operativos documentados
Los procedimientos se documentarán y se pondrán a disposición de las personas que lo necesiten.
Diplomado en Seguridad de la Información ISO/IEC 27001
Si trabajas en una organización que ha tomado la decisión de implementar la ISO/IEC 27001, ya sea por voluntad propia o porque uno de sus clientes o proveedores lo requiere, es importante contar con un profesional que pueda aplicar todos los requisitos adecuadamente.
En la Escuela Europea de Excelencia cuentan con un excelente Diplomado en Seguridad de la Información ISO/IEC 27001 que no solo te dará los conocimientos generales que necesitas, sino que incluso tiene información específica sobre los controles de seguridad. Aprovecha el plazo para inscribirte en la convocatoria actual.