ISO 27001

Introducción

ISO 27001, gestión de proyectos y soporte para la implantación de sistemas de gestión de seguridad de la información

ISO 27001 es parte de una serie de normas que cubren la protección de activos de información de diversos tipos. La serie completa consta de alrededor de cincuenta estándares diferentes que cubren todo, desde la seguridad de la red hasta la gestión de incidentes, la gestión de riesgos y la seguridad del software. Al trabajar en base a un sistema de gestión, toda su organización recibe protección estandarizada para sus activos de información.

contáctenos

¿Quieres saber más sobre nuestro servicio y nuestras soluciones? Contáctanos y te ayudaremos.

Contáctenos

NUESTRO APOYO

Ayudamos a su organización con el sistema de gestión

Nuestros consultores han trabajado durante mucho tiempo con ISO 27001 y tienen un profundo conocimiento de los sistemas de gestión. Juntos, hemos guiado a empresas grandes y ligeramente más pequeñas hacia la certificación. Como ISO 27001 también afecta a muchos de nuestros otros servicios, también es algo en lo que somos muy buenos.

Esto es en lo que ayudamos en una certificación ISO 27001:

Maquetación y gestión de proyectos.
Esfuerzos de capacitación y apoyo.
Gestión de la obra.
Apoyo en la certificación ISO 27001.

Lo esencial

Proteger los bienes de valor incalculable, como los datos personales o la información de los clientes, es algo natural en la sociedad de la información actual. Pero proteger los activos que almacenan, transmiten o procesan la información en una red es más difícil.

Aquí es donde entra en juego la ISO 27001. Al comprender qué activos vale la pena proteger, podemos diseñar un sistema personalizado de reglas y procedimientos para el negocio que ayuden a aumentar la seguridad de la información. Este sistema también debe basarse en un análisis de riesgos, de modo que centremos los esfuerzos en gestionar las incidencias que sean probables y puedan tener consecuencias importantes para el negocio. Algunas cosas también se rigen por leyes, requisitos de clientes o proveedores, que también debemos tener en cuenta cuando diseñamos la gobernanza.

Alcance

Un proyecto dentro de ISO 27001 puede ser un trabajo muy extenso. Por lo tanto, es importante definir claramente un área (alcance) limitada dentro de la cual queremos aumentar la seguridad de la información.

Las empresas más pequeñas pueden cubrir todos sus procesos, pero las empresas más grandes se benefician al seleccionar partes específicas. Esto podría incluir, por ejemplo, una sala de ordenadores, el proceso de gestión de casos o el suministro de TI. Esto hace que sea más fácil avanzar mientras aumenta el conocimiento sobre seguridad de la información e ISO 27001 dentro de la empresa. A menudo, los requisitos de seguridad de la información de los clientes u otras partes interesadas también están dirigidos a una parte específica del negocio, y entonces vale la pena comenzar allí.

Implementación

Un enfoque común dentro de ISO 27001 es centrarse en soluciones técnicas desde el principio. Las soluciones técnicas son muy útiles para gestionar ciertos riesgos, pero pueden complicarlo en otros contextos.

Los requisitos excesivos de contraseñas, la autenticación de dos factores, el cifrado de documentos y las restricciones a ciertas instalaciones a menudo roban un tiempo importante del negocio principal y hacen que las personas sientan desconfianza y pierdan compromiso. Además, hemos visto que el personal encuentra sus propios atajos inseguros para eludir una seguridad demasiado estricta.

Puede ser al menos igual de inteligente capacitar al personal y abstenerse de manejar datos demasiado sensibles, o quizás transferir la responsabilidad a proveedores o clientes mediante acuerdos. También se pueden aceptar determinados riesgos sin poner en peligro a los clientes ni a las empresas por el simple hecho de hacerlo. ISO 27001 establece muy pocos requisitos absolutos, sino que permite a la organización diseñar su protección de acuerdo con sus propias necesidades.

Algunos de nuestros clientes

procedimiento

El camino hacia la certificación ISO 27001

La norma establece requisitos claros de sistemática y criterios para el análisis de riesgos y medidas. Los criterios son lo primero, luego los riesgos deben identificarse y evaluarse sistemáticamente. Cuando los criterios se establecen primero, hay menos dudas y debates sobre lo que realmente es necesario abordar una vez que comienza la evaluación de riesgos. Este es un ejemplo de cómo sería un plan para ISO 27001.

Inicio del proyecto para la ISO 27001

Comenzamos el proyecto ISO haciendo un análisis ISO. Nos brinda una mejor idea de cómo funciona su organización y resalta qué necesidades, expectativas y objetivos existen. Luego acordamos qué partes de la organización (alcance) se incluirán en el proyecto ISO.

Planificación/análisis

Establecemos un plan sobre cómo continuaremos el trabajo con el sistema de gestión y establecemos procesos sobre cómo encontraremos, analizaremos y gestionaremos los riesgos de seguridad en la organización.

Implementación

Todos los planes y procesos están en marcha. Es ahora cuando se inicia el trabajo de seguridad operativa y se implementa el propio sistema de gestión en el trabajo diario de la organización.

Mejora

Examinamos lo que funcionó y lo que no funcionó en la etapa de implementación. Luego realizamos los cambios necesarios para mejorar el resultado y asegurarnos de que las rutinas para futuras mejoras funcionen.

Certificación

Puedes leer más sobre el proceso aquí.

Preguntas y respuestas

Aquí encontrará respuestas a las preguntas más comunes sobre ISO 27001. ¿Tiene alguna pregunta que no esté en la lista? Utilice el formulario de contacto más abajo en la página.

¿Existen otros sistemas de gestión de seguridad de la información?Henrik Petterson2023-09-05T09:44:24+02:00

¿Existen otros sistemas de gestión de seguridad de la información?

Sí, existen más sistemas de gestión de seguridad de la información, incluidos NIST CSF e ISF.

¿Qué sucede después de obtener la certificación ISO 27001?Henrik Petterson2023-09-05T09:45:25+02:00

¿Qué sucede después de obtener la certificación ISO 27001?

Una vez obtenido la certificación, se somete a auditorías anuales para garantizar que la organización siga cumpliendo con los requisitos de la norma ISO 27001. Cada tres años, se realiza una recertificación, que es una auditoría un poco más grande.

¿Cuál es el propósito de la ISO 27001?Henrik Petterson2023-09-05T09:46:48+02:00

¿Cuál es el propósito de la ISO 27001?

El propósito de ISO 27001 es aumentar la seguridad en la organización a través del trabajo del sistema de gestión.

¿Tienes que tener ISO 27001?Henrik Petterson2023-09-05T09:47:20+02:00

¿Tienes que tener ISO 27001?

No, actualmente no todo el mundo necesita tener una certificación ISO 27001. Pero hay fuertes indicios de que algunas organizaciones cubiertas por NIS2 tendrán sistemas de gestión que funcionen como requisito.

¿Qué se requiere para obtener la certificación ISO 27001?Henrik Petterson2023-09-05T09:48:02+02:00

¿Qué se requiere para obtener la certificación ISO 27001?

Para obtener la certificación se requiere trabajar con la seguridad de la información de manera sistemática y cumplir con los requisitos marcados por la norma ISO 27001. La palabra certificación en sí significa auditoría aprobada. Para obtener la certificación, primero es necesario someterse a una auditoría de certificación.

¿Cuándo necesitas un sistema de gestión de la seguridad de la información?Henrik Petterson2023-09-05T09:48:44+02:00

¿Cuándo necesitas un sistema de gestión de la seguridad de la información?

La necesidad de un sistema de gestión de la seguridad de la información (LIS) a menudo surge como un requisito de un proveedor, subcontratista, socio, autoridad o regulación.

¿Cómo aumenta ISO 27001 mi seguridad?Henrik Petterson2023-09-05T09:50:03+02:00

¿Cómo aumenta ISO 27001 mi seguridad?

ISO 27001 brinda a la organización una forma estandarizada de trabajar con la seguridad. En otras palabras, la organización comienza a trabajar a partir de las mejores prácticas desarrolladas por expertos en seguridad de la información y TI sobre la mejor manera de trabajar con la seguridad en su organización.

¿Se puede trabajar con ISO 27001 sin estar certificado?Henrik Petterson2023-09-05T09:50:43+02:00

¿Se puede trabajar con ISO 27001 sin estar certificado?

Es absolutamente posible trabajar para obtener una certificación sin estar necesariamente certificado. Lo que se gana con este trabajo es una mayor seguridad que impregna todas las capas de la organización.

¿Cómo se empieza a trabajar para obtener la certificación ISO 27001?Henrik Petterson2023-09-05T09:51:41+02:00

¿Cómo se empieza a trabajar para obtener la certificación ISO 27001?

Es posible realizar un trabajo ISO sin ayuda externa. Desafortunadamente, esa ruta suele llevar mucho más tiempo que contratar a un consultor. Una buena idea es comprar el estándar y luego leerlo y crear su propio marco que implementará en su organización a través de diversos esfuerzos, como procesos y rutinas, capacitación y medidas de mejora de la seguridad.

¿Cómo funciona la certificación?Henrik Petterson2023-09-05T09:52:18+02:00

¿Cómo funciona la certificación?

Una vez que se ha introducido el sistema de gestión y la organización ha pasado una auditoría interna, un organismo de certificación independiente debe revisar y evaluar la organización/sistema de gestión para garantizar que se cumplan los requisitos. Si la auditoría es aprobada por el organismo independiente, se otorga la certificación.

¿Cuánto tiempo lleva certificarse?Henrik Petterson2023-09-05T09:53:12+02:00

¿Cuánto tiempo lleva certificarse?

El tiempo que lleva obtener la certificación depende sobre todo de qué tan maduro sea usted como organización en materia de seguridad, es decir, si ha trabajado antes con seguridad de la información y si ya ha completado ciertos procesos. Otras partes que afectan son qué tan grande eres como empresa, qué prioridad tiene la certificación y qué primicia elegimos para certificarnos. Por regla general, se estima que se necesitan entre 6 y 12 meses, pero hemos tenido proyectos que han tardado más.

¿Qué ganas con estar certificado?Henrik Petterson2023-09-05T09:53:40+02:00

¿Qué ganas con estar certificado?

Toda la organización se vuelve más resistente a los ciberataques. Las medidas de sensibilización, técnicas y organizativas para aumentar la seguridad se centran y permean a toda la organización. Además de eso, una organización certificada cumple muchos de los requisitos que los socios de colaboración pueden establecer para una colaboración.

¿Qué es la norma 27001?Henrik Petterson2023-09-05T09:54:12+02:00

¿Qué es la norma 27001?

ISO 27001 es un sistema de gestión de seguridad de la información. Al usarlo en su organización, obtiene una forma estandarizada de trabajar basada en todos los aspectos de la seguridad.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Duración	Descripción
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
_zcsr_tmp		Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Duración	Descripción
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gcl_au		Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bcookie		LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
lidc		LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
UserMatchHistory		LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.

Cookie	Duración	Descripción
50878ba340	session	No description
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.