¿Cuáles son los dominios de la Norma ISO 27001?
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Conocer todos los beneficios que ofrecen los dominios de la Norma ISO 27001 facilitará la gestión de información de tu empresa de forma segura. ¡Aprende cómo potenciar la seguridad de la información que fortalezca la continuidad de tu negocio!
Los 14 dominios de la Norma ISO 27001 de 2013
Según el Anexo A de la Norma ISO 27001/IEC 27001 del año 2013, esta se divide en diversos dominios y estos dominios poseen controles diseñados para aspectos determinados de la seguridad de la información.
Estos dominios funcionan como un marco de referencia para ayudar a organizar un propio Sistema de Gestión de Seguridad de la Información o SGSI en tu empresa. Estos eran los 14 dominios a tener en cuenta:
1. Políticas de seguridad de la información
Las políticas de seguridad de la información requieren de procesos rigurosos y metódicos. De esta forma se garantiza que la empresa opere con mayor facilidad, y que cada departamento, que maneje datos confidenciales, gestione las responsabilidades pertinentes para la protección de los datos.
Este dominio incluye dos controles que facilitan la creación de procedimientos que definen la manera en que la empresa desarrolla su gestión de riesgos para la información.
2. Organización de la seguridad de la información
Para implementar un SGSI en una empresa, los primeros pasos requieren de una estructura donde operar las buenas prácticas de seguridad de la información. Este dominio facilita la organización para implementar un SGSI de forma efectiva.
Este dominio se divide en dos secciones:
- Asignación de los roles y responsabilidades dentro de la organización.
- Prácticas de seguridad para la protección adecuada de dispositivos móviles y trabajo remoto.
En Delta Protect ofrecemos servicios de SGSI para empresas de todos los niveles que requieren de los mejores recursos para la prevención de incidentes de seguridad de la información.
3. Seguridad de los recursos humanos
El contenido principal de este dominio se enfoca en los aspectos de seguridad de la gestión del personal. Incluye la investigación de los antecedentes de los empleados, la oferta de capacitación en materia de ciberseguridad y la asignación de responsabilidades para garantizar una organización segura.
Con nuestros servicios de Apolo adquieres herramientas que incrementan el control de las vulnerabilidades de la organización con un módulo de capacitación de ciberseguridad para empleados.
4. Gestión de activos
Este dominio se enfoca en lograr una protección adecuada de los activos de información y otros activos de la empresa. Incluye actividades como la clasificación de la información y la determinación del nivel de seguridad que necesita cada categoría.
Para gestionar los activos de una empresa, de forma correcta, es indispensable la asignación única y especializada de un equipo de control interno.
5. Control de accesos
El control de accesos permite garantizar que solo personal autorizado pueda acceder a información confidencial. Este acceso controlado, a través de la verificación en dos pasos, incluye la gestión del acceso de usuarios, las responsabilidades de los usuarios y las políticas sobre contraseñas.
El dominio de control de accesos de la Norma ISO 27001 es indispensable para una empresa que procure una excelente gestión de la seguridad de la información.
6. Criptografía
Uno de los mejores controles de seguridad para aplicar en una empresa es la criptografía. La encriptación es un proceso en el cual, mediante el uso de una clave de encriptación, la información confidencial puede ser convertida en datos ilegibles, imposibles de entender y utilizar si no se posee la clave de desencriptado.
Encriptar la información permite lograr los objetivos de control para garantizar la protección de la información, por ejemplo, de la propiedad intelectual y de datos sensibles.
7. Seguridad física y del medio ambiente
Los controles de entrada a personas no autorizadas son conformidades de una empresa que restringen posibles daños a los activos de la organización y disminuyen las posibilidades de ocurrencia de eventos de seguridad negativos por falla de los controles físicos.
8. Seguridad de las operaciones
La implementación de tecnologías de la información en nuestras operaciones es fundamental para cumplir con políticas de seguridad de altos estándares.
Esta seguridad en las operaciones de nuestra empresa incrementa las defensas adecuadas para prevenir la ocurrencia de Data Loss Prevention (DLP) o la pérdida de datos. Incluye gestión de incidentes, copias de seguridad, procesos de recuperación de datos, entre otros.
9. Seguridad de las comunicaciones
Una evaluación de riesgos sin consideración de las comunicaciones de una empresa, es una evaluación incompleta. Este dominio de la norma contempla estrategias de gestión de las comunicaciones para proteger los datos confidenciales que se envían mediante las redes de la empresa.
10. Adquisición, desarrollo y mantenimiento de los sistemas de información
Este dominio promueve la aplicación de sistemas de seguridad de la información que fortalezcan su gestión de riesgos a lo largo de su vida útil.
Por ejemplo, el desarrollo seguro de software consiste en aplicar buenas prácticas de seguridad a lo largo del ciclo de vida de desarrollo de software, con la finalidad de prevenir posibles vulnerabilidades y disminuir la probabilidad de ser víctimas de ciberataques.
11. Relación con los proveedores
Trabajar con proveedores o terceros nos obliga a desarrollar controles de seguridad ante vulnerabilidades ajenas a nuestra empresa.
La Third Party Risk Management o gestión de riesgos de terceros es una metodología de control de riesgos orientada a la identificación y mitigación de riesgos inherentes a la relación de terceras personas, ya sean socios, proveedores, contratistas, entre otros.
12. Gestión de incidentes de seguridad de la información
Para la gestión de los eventos de seguridad que comprometen a una empresa es necesario desarrollar un plan de tratamiento, según sea el caso, para reportar, responder y gestionar los incidentes de seguridad.
Crea un plan de respuesta a incidentes y prevén los riesgos de ciberseguridad en tu negocio por mala gestión en la seguridad de la información.
13. Gestión de la continuidad del negocio
Toda gestión de riesgos en ciberseguridad debe contemplar planes de acción para desarrollar en caso de que la empresa sea severamente afectada por una vulnerabilidad.
Por ejemplo, un plan de continuidad del negocio es una planificación a seguir en caso de fallas de procesos o servicios en una empresa. Mientras que un Disaster Recovery Plan (DRP) o plan de recuperación de desastres es una planificación previa en caso del cese inesperado de las operaciones de la empresa.
14. Cumplimiento
Los procesos de mejora continua de una empresa requieren de múltiples evaluaciones de riesgos que faciliten la toma de decisiones para el cumplimiento de los requisitos legales, la planificación de impuestos y la autenticación de los contratos de seguridad de la información.
Garantizar el cumplimiento de la seguridad de la información fortalece y proyecta tu negocio hacia el crecimiento exponencial.
Cambios en la versión 2022 de la Norma ISO 27001
En la más reciente versión de la Norma ISO 27001 hubo una restructuración de los dominios para garantizar la seguridad de la información de tu empresa. De 14 dominios pasamos a tan solo 4 controles generales, estos son los controles actuales a considerar para beneficio de tu empresa:
Controles organizacionales
Relacionados con la estructura organizativa, los roles y la planificación de la seguridad de la información. Esta cláusula de control organizacional integra 37 controles orientados a las políticas de seguridad y la seguridad administrativa.
Controles personales
Enfocados en la capacitación y concienciación de los empleados. En esta cláusula de controles a los colaboradores internos de la empresa encontramos 8 controles para la seguridad de la información relacionada con el capital humano.
Controles físicos
Dirigidos a asegurar los espacios físicos donde se gestionan o almacenan datos sensibles. A través de esta cláusula podemos garantizar las operaciones físicas con la aplicación de los 14 controles enfocados en la instalación y mejora de infraestructura para las tecnologías de la información.
Controles técnicos
Son las medidas técnicas más avanzadas para la protección de la información en tu empresa. Esta cláusula posee 34 controles orientados a los aspectos de cifrado de información confidencial, autenticación de los colaboradores y la información, así como de otros aspectos tecnológicos relevantes.
La transición a esta nueva versión es fundamental para mantener a las empresas actualizadas y protegidas contra las amenazas emergentes en la era digital.
Además de los cambios en los dominios, la versión más actual de la norma ofrece mayor flexibilidad para adaptarse a múltiples tipos de organizaciones y aumentar el rendimiento operativo de las empresas con su aplicación. ¡Conoce más sobre los controles de la Norma ISO 27001:2022!
Todos los servicios que ofrecemos en Delta Protect priorizan la elevación de estándares y cumplimiento en materia de ciberseguridad para startups y pymes en toda Latinoamérica.
En Delta Protect, con el servicio de cumplimiento ISO 27001 te ayudamos a obtener la certificación 10 veces más rápido que con una consultoría tradicional. Agenda una demo de Apolo y aumenta la confianza de tus clientes a través de los mejores servicios de ciberseguridad y cumplimiento.
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
