Controles de la 27001
La Norma ISO/IEC 27001 es un estándar internacionalmente reconocido de seguridad de la información que establece los requisitos para la implementación de un sistema de gestión de la seguridad de la información (SGSI). Esta norma incluye una serie de controles que deben implementarse para lograr los objetivos del SGSI. Estos controles se agrupan en 14 categorías principales:
1. Seguridad de la información estratégica: se refiere a la estrategia, los objetivos y la cultura de seguridad de la información que se necesitan para ayudar a proteger los activos de la organización.
2. Dirección de seguridad de la información: se refiere a los procesos para establecer, gestionar, supervisar y mantener un SGSI.
3. Cumplimiento legal y reglamentario: se refiere a los requisitos de cumplimiento de la organización para cumplir con los requisitos legales y reglamentarios aplicables.
4. Gestión de activos: se refiere a la identificación, clasificación, seguimiento, gestión de permisos y protección de los activos de la organización.
5. Seguridad física y ambiental: se refiere a los controles que se necesitan para proteger los activos físicos de la organización. Por ejemplo, si nos alojamos en un hosting, estamos delegando este apartado al proveedor.
6. Planificación de continuidad del negocio: se refiere a los planes para mantener la operación de la organización durante y después de un desastre.
7. Acceso al sistema: se refiere a los controles para limitar el acceso a los sistemas de la organización.
8. Operación segura del sistema: se refiere a los cambios en el sistema, los procedimientos de seguridad y la seguridad operativa.
9. Seguridad de la comunicación: se refiere a los controles de seguridad para la transmisión de información a través de redes.
10. Gestión de incidentes de seguridad: se refiere a los procedimientos para detectar, analizar, responder y recuperarse de incidentes de seguridad.
11. Gestión de problemas: se refiere a los procesos para identificar, evaluar y solucionar problemas relacionados con la seguridad de la información.
12. Gestión de la configuración: se refiere a los procesos para el control, la documentación y el mantenimiento de los elementos de configuración de la organización.
13. Control de documentos: se refiere a los procesos para la creación, el control y la mantenimiento de documentos relacionados con la seguridad de la información.
14. Gestión de los cambios: se refiere a los procesos para la evaluación, la aprobación, la documentación y el seguimiento de los cambios en los sistemas de la organización.