La última versión de la ISO 27001 es la ISO/IEC 27001:2022. Publicada en 2022, esta versión actualizada sustituyó a la ISO/IEC 27001:2013 y ofrece un enfoque más claro y centrado en el riesgo para la gestión de la seguridad de la información.

La abreviatura «ISO 27001» se refiere a la norma internacional ISO/IEC 27001. Aquí está explicado:

• ISO: La Organización Internacional de Normalización (ISO) es una organización independiente que establece estándares internacionales en una variedad de industrias y disciplinas. La ISO es reconocida mundialmente por sus estándares de calidad, seguridad y eficiencia en diversos campos.

• 27001: Este número específico corresponde al estándar de seguridad de la información. La norma ISO/IEC 27001 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Específicamente, define cómo una organización debería gestionar la seguridad de la información de manera sistemática, teniendo en cuenta los riesgos asociados con la seguridad de los datos.

• Empresas de tecnología y servicios de TI: Las empresas que desarrollan software, proporcionan servicios en la nube, gestionan bases de datos o procesan grandes cantidades de datos de clientes pueden beneficiarse enormemente de la ISO 27001 para garantizar la seguridad y confidencialidad de la información.

• Organizaciones financieras: Bancos, instituciones financieras, firmas de inversión y compañías de seguros manejan una gran cantidad de información confidencial, incluidos datos financieros y personales. La ISO 27001 puede ayudarles a proteger esta información crítica y cumplir con regulaciones estrictas como la Ley de Protección de Datos.

• Empresas de salud y atención médica: Hospitales, clínicas, laboratorios y otras organizaciones de atención médica manejan datos de pacientes altamente sensibles y confidenciales. La ISO 27001 es fundamental para garantizar la seguridad y privacidad de la información médica y cumplir con regulaciones como la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico).

• Gobiernos y entidades gubernamentales: Las agencias gubernamentales manejan una amplia variedad de datos confidenciales, desde información fiscal hasta registros de seguridad nacional. La ISO 27001 puede ayudar a garantizar la seguridad de estos datos críticos y mejorar la resiliencia cibernética del gobierno.

• Empresas de cualquier sector: Desde pequeñas empresas hasta grandes corporaciones, cualquier organización que maneje información sensible, incluidos datos de empleados, información financiera, secretos comerciales o propiedad intelectual, puede beneficiarse de la implementación de la ISO 27001.

La norma ISO/IEC 27001 no especifica exactamente el número de controles, ya que cambian con cada revisión, pero hace referencia a un conjunto de controles de seguridad de la información que pueden ser implementados para cumplir con sus requisitos. Estos controles están detallados en la norma complementaria ISO/IEC 27002, que proporciona directrices para la implementación de controles de seguridad de la información basados en buenas prácticas.

Aunque la ISO/IEC 27002 no enumera exactamente 114 controles, ofrece un conjunto amplio de controles agrupados en diferentes categorías. Aquí hay una descripción general de algunas de las categorías comunes de controles de seguridad de la información que se encuentran en la ISO/IEC 27002:

1. Políticas de seguridad: Establecen los principios y directrices generales para la seguridad de la información en la organización.

2. Gestión de activos: Incluye la identificación, clasificación y gestión de activos de información, así como la asignación de responsabilidades para su protección.

3. Seguridad del personal: Aborda la seguridad en el empleo, la gestión de recursos humanos y la sensibilización y formación en seguridad de la información.

4. Control de accesos: Define los mecanismos para controlar el acceso a los sistemas y datos, incluida la autenticación, autorización y gestión de privilegios.

5. Cifrado y protección de la información: Detalla los requisitos para el cifrado de datos en reposo y en tránsito, así como para la protección de la información confidencial.

6. Seguridad física y del entorno: Se refiere a la protección de los recursos físicos de la organización, como centros de datos, equipos y otros activos críticos.

7. Gestión de operaciones y comunicaciones: Incluye controles para la gestión segura de sistemas de información, redes y servicios, así como para la gestión de incidentes y continuidad del negocio.

8. Cumplimiento: Aborda los requisitos legales y regulatorios relacionados con la seguridad de la información, así como la evaluación y auditoría de la conformidad.

Estos son solo algunos ejemplos de las categorías de controles que se encuentran en la ISO/IEC 27002.

La implantación de una norma ISO varía mucho de una empresa a otra, pero de manera general puede llever desde 3 a 6 meses según el volumen de datos, activos y la disposición de la empresa para llevar a cabo los cambios necesarios.