👋 Agenda una reunión y empieza a habilitar nuevos negocios con tu ciberseguridad
Ingresa tu correo corporativo. Nuestras soluciones están diseñadas específicamente para empresas.

Al hacer clic en Enviar, aceptas que Delta Protect almacene y procese la información personal suministrada arriba de acuerdo a la política de privacidad establecida en el Aviso de Privacidad.

🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
Oops! Something went wrong while submitting the form.

“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”

Sergio García
Engineer Manager

“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”

Pablo Padilla
Gerente TI

“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”

Jaime Zenizo
CEO & Partner

“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”

Ilse Fernández
Data and Information Management

“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”

Enrique Guzman
Chief Information and Security Officer

Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.

Manuel Andere
Chief Technology Officer

Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.

Erick Pérez
Director General

Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.

Juan Leonardo Hinojosa
Gerente de Ciberseguridad

"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”

Joaquin Rivera
Co-Founder & CEO - Kikoya

"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”

Paolo Rizzi
Co-Founder & CTO - minu

"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”

Alberto Navarro
Head of Product - Arkángeles
Regresar
Ciberseguridad
-
Tiempo
11 min.

Norma ISO/IEC 27701: qué es, función, cómo certificarse y beneficios

Aprende todo lo que debes saber sobre la norma ISO 27701: qué es, para qué sirve, cómo certificarse y los beneficios que puede otorgarle a tu empresa.

Juan José Santos Chavez
Actualizado: 
16/10/24
Publicado: 
31/7/24
Tabla de Contenidos
Link
¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

El manejo de los datos personales dentro de las empresas se ha hecho cada vez más complejo debido a la necesidad de compartir información entre departamentos de una empresa, o incluso entre distintas empresas para prestar un servicio. Por ello, es necesario utilizar guías como la norma ISO 27701, también llamadas ISO/IEC 27701 e ISO 27701:2019.

A continuación, te explicaremos en qué consiste esta norma y cómo ayuda a las empresas a establecer sistemas de gestión de privacidad de la información. ¡Comencemos!

¿Qué es la norma ISO 27701?

La norma ISO/IEC 27701, publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrónica Internacional (IEC), establece los requerimientos para que las empresas implementen un Sistema de Gestión de Privacidad de la Información (SGPI). También se le conoce como Sistema de Gestión de la Información sobre la Privacidad (PIMS por sus siglas en inglés).

Dicho de otra forma, esta norma funciona como una guía para los responsables del tratamiento de datos personales dentro de la empresa, de manera que puedan crear, implementar y optimizar un SGPI que les permita resguardar la privacidad digital de la información.

Es importante destacar que esta norma internacional fue creada como una extensión de la ISO 27001, que establece la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI); y de la norma ISO 27002, que establece la implementación de Controles de Seguridad de la Información. Por lo tanto, la norma ISO 27701 funciona como una ampliación de ambas normas que busca robustecer la gestión de la privacidad de la información en las empresas.

¿Quién debería utilizar la norma ISO/IEC 27701?

Esta norma puede ser utilizada por cualquier tipo de organización, ya sea del sector privado, público e incluso por organizaciones sin fines de lucro. Cualquier empresa o institución que no tenga un SGPI y desee mejorar la protección de datos personales y disminuir sus riesgos de privacidad puede implementar la norma ISO 27701.

Sin embargo, el estándar tiene utilidad especial para las organizaciones que son responsables de controladores y procesadores de la información de identificación personal (PII) y, por ello, deben cumplir con los requisitos de protección de la privacidad establecidos en esta norma.

En el mismo orden de ideas, aquellas empresas que ya han implementado la norma ISO 27001 pueden utilizar el estándar ISO 27701 para reforzar la gestión de la información personal que manejan.

¿Para qué sirve la norma ISO 27701?

El objetivo principal de esta normativa internacional es proporcionar a las organizaciones orientación adecuada sobre la protección de la privacidad de los datos personales, incluida la gestión de la información de identificación personal (PII). 

Además, facilita el cumplimiento de normativas internacionales clave, como el Reglamento General de Protección de Datos (GDPR o RGPD) de la Unión Europea.

Esto se logra ya que la norma provee un enfoque efectivo para administrar los activos de información de las organizaciones, permitiendo una eficiente evaluación de riesgos y un adecuado tratamiento de datos personales.

¿Cómo obtener la certificación ISO 27701?

Obtener la certificación ISO 27701 puede parecer un proceso complejo que requiere ajustar muchos procesos. Por ello, lo mejor es buscar la guía de expertos para lograr esta certificación con mayor facilidad. Un ejemplo de ello son los servicios de un Chief Information Security Officer (CISO).

En Delta Protect comprendemos esto, y te ofrecemos nuestro CISO as a Service. Este servicio te permite tener a un Chief Information Security Officer y un equipo de especialistas enfocados en ayudarte a conseguir la certificación ISO 27701, así como optimizar el cumplimiento normativo y la ciberseguridad de tu empresa.

¿Cuál es la estructura de la norma ISO 27701?

En cuanto a su estructura, la ISO/IEC 27701, esta norma incluye 8 cláusulas, 6 anexos y 263 controles en materia de seguridad. A continuación, te explicaremos brevemente cada una de las cláusulas y sus anexos.

Cláusulas de la norma ISO/IEC 27701

  1. Alcance: en esta cláusula se explica el objeto y campo de aplicación de la norma, haciendo énfasis en la importancia de garantizar la privacidad de los datos personales.
  2. Normativas de referencia: la norma ISO 27701 utiliza como referencia a la ISO 27001 y amplía sus requerimientos. La ISO 27001 resalta la importancia de la «seguridad de la información», mientras que la ISO 27701 se basa en la «seguridad y privacidad de la información».
  3. Términos, definiciones y abreviaturas: en esta cláusula se desglosan las definiciones y abreviaturas que se utilizarán a lo largo de la norma, con el fin de comprender adecuadamente su contenido.
  4. Requisitos generales: en esta cláusula se explican los principales requisitos de la norma ISO 27701, que son:
    • Haber implementado previamente la norma ISO 27001 para trabajar sobre la misma y poder realizar las actualizaciones pertinentes.
    • Si la empresa nunca ha implementado la ISO 27001, se realizará el proceso de implementación en conjunto con la ISO 27701.
    • Determinar las expectativas y exigencias de las partes interesadas.
  5. Requisitos específicos SGPI - ISO 27001: esta cláusula amplía la información sobre los requisitos de privacidad y protección de la información de la norma ISO 27001. Es particularmente importante destacar dos aparatos:
    • El apartado 4, donde se explica la adaptación de la norma al contexto de cada empresa.
    • El apartado 6, donde se explica la implementación de la gestión de riesgos y vulnerabilidades.
  6. Requisitos específicos SGPI - ISO 27002: esta cláusula extiende los requisitos y buenas prácticas previamente establecidos en la norma ISO 27002. Sin embargo, no se modifica el control 17, que trata sobre la seguridad de la información en la continuidad del negocio.
  7. Medidas adicionales para los responsables o propietarios de la información: determina controles o medidas adicionales que deben cumplir los propietarios de la PII, proporcionando una guía para implementar dichos controles.
  8. Medidas adicionales para los encargados de tratar la información: determina controles adicionales para los encargados del tratamiento de datos personales con la respectiva guía para su implementación.

Anexos de la norma ISO/IEC 27701

La norma ISO 27701 cuenta con 6 anexos, entre los cuales hay dos normativos (A y B) y cuatro informativos (C, D, E y F). Estos son:

  • Anexo A: en éste se enumeran los objetivos de control y controles específicos para los responsables del manejo y tratamiento de la información pública.
  • Anexo B: expone los objetivos de control y controles específicos aplicables a los encargados del tratamiento de la PII.
  • Anexo C: explica la relación entre las disposiciones de la norma ISO 27701 y la norma ISO 29100.
  • Anexo D: este anexo explica la relación entre las disposiciones de la ISO 27701 y el RGPD de la Unión Europea.
  • Anexo E: expone la relación entre la ISO 27701, la ISO 27018 y la ISO 29151.
  • Anexo F: este anexo contiene una guía práctica para la aplicación de la ISO 27701 una vez que ya se cumple con la ISO 27001 y la ISO 27002.

7 ventajas de aplicar la norma ISO/IEC 27701

La norma ISO/IEC 27701, además de servir como guía para los responsables del manejo de los datos personales durante la creación y mantenimiento de un SGPI, ofrece otros beneficios a las empresas que deciden implementarla. Entre estos beneficios destacan los siguientes:

Cumplir con las leyes y regulaciones

La implementación de esta norma ayuda a las empresas a dar cumplimiento a leyes nacionales e internacionales sobre la gestión de la privacidad de la información, evitando sanciones que pueden implicar un daño a la reputación de la empresa. 

Esto puede incluir la ya mencionada RGPD, así como también la Ley de Ciberseguridad de México y la Ley de Ciberseguridad de Chile, por ejemplo.

Mejorar la reputación de la empresa

La aplicación de este tipo de normativas es una prueba del compromiso de una empresa con la privacidad de los datos que maneja. Esto ayuda a generar confianza en socios, clientes y otras partes interesadas, elevando la reputación de la empresa y otorgándole una ventaja competitiva sobre otras empresas en su cadena de suministro.

Optimizar la gestión de riesgos

Esta norma está diseñada para servir como una guía que ayuda a las empresas e instituciones a detectar y mitigar los riesgos de privacidad de la información de la forma más efectiva posible. 

Con ello, disminuye la probabilidad de que ocurran incidentes como el robo de datos y las violaciones de confidencialidad.

Promover la mejora continua

Ya que la aplicación de esta norma implica revisiones periódicas, ayuda a las empresas a buscar la mejora continua de sus SGPI. 

Esto implica la inspección y actualización constante de políticas, prácticas y controles de privacidad con el fin de mantenerlas lo más efectivas y garantizar continuidad de negocio frente a un panorama de ciberataques cada vez más sofisticados.

Reducir los costos operativos

Al mejorar la gestión de riesgos de privacidad, esta norma ayuda a prevenir brechas de ciberseguridad y ciberataques, por lo que reduce los costos generados durante la respuesta a incidentes. 

Esto incluye posibles multas por incumplimiento de leyes e, incluso, la pérdida de clientes o socios debido a manchas en la reputación de la empresa.

Minimizar las interrupciones

Esta norma lleva a las empresas a implementar políticas y controles robustos para mantener la privacidad de los datos, lo que minimiza la posibilidad de que ocurran interrupciones a las operaciones de la empresa. De esta forma, ayuda a garantizar la continuidad del negocio.

Proteger los datos de las partes interesadas

Como es lógico, todas las prácticas que establece esta normativa llevan a una mejor protección de los datos confidenciales y la PII, lo que permite a las empresas garantizar la privacidad y confidencialidad de la información que manejan.

La ISO 27701 es una herramienta sumamente útil para guiar la creación de un SGPI, que a su vez permite reforzar la seguridad de la información confidencial. Por ello, cobra gran importancia que las empresas comprendan esta norma y la apliquen en sus políticas y procesos.

En Delta Protect trabajamos con organismos especializados en cumplir con las normas y requisitos internacionales para cumplir con las leyes de seguridad de la información. Agenda una demo de Apolo con nosotros y logra la mejora continua de tu organización en cuanto a la protección de la información.

Escrito por:
Juan José Santos Chavez
Chief Technology Officer

Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.

Sigue aprendiendo

Tecnología
Latencia en internet: qué es, causas, importancia y cómo disminuirla
Publicado: 
10
11
,
2024
Ciberataque
¿Qué es el doxing? ¿Cómo puedo prevenirlo en mi empresa?
Publicado: 
10
11
,
2024
Tecnología
¿Qué es la huella digital en Internet y cómo protegerla?
Publicado: 
10
11
,
2024
Tecnología
Datos biométricos: qué son y cuáles son sus usos
Publicado: 
10
11
,
2024
Ciberseguridad
Web scraping: qué es, usos y 6 medidas para proteger a tu empresa
Publicado: 
4
11
,
2024
Cumplimiento
ISO 27001 vs NIST: ¿Cuál es mejor para mi empresa?
Publicado: 
4
11
,
2024
Cumplimiento
¿Cuáles son los dominios de la Norma ISO 27001?
Publicado: 
14
10
,
2024
Cumplimiento
Guía completa para obtener la certificación ISO 27001
Publicado: 
14
10
,
2024
👋 ¡Déjanos tu correo
para tener acceso al E-Book!
🙌 ¡Gracias por dejarnos tu correo!

Si el E-Book no se descarga automaticamente, haz click 👉 aquí.
Oops! Something went wrong while submitting the form.
Logo Delta Protect
Empresa
Países
Soluciones
Servicios
Cumplimiento y CertificacionesIngeniería en CiberseguridadPruebas de Penetración y Hackeo Ético
Apolo
Conoce ApoloIngresarAgendar demo
Recursos
WebinarsNewsletterEventosE-BooksGlosarioBlog¿Qué es la Norma ISO 27001?
Encuéntranos
ConócenosContáctanosÚnete al equipoTestimonios
Legales
Aviso de privacidadTérminos y CondicionesPolítica de Seguridad de la Información
Servicios de Respaldo y Continuidad
Servicios de Seguridad Informática o Ciberseguridad
Test de Intrusión Informática
Servicios de Seguridad en la Nube
SIEM as a Service
Servicio de Threat Intelligence
Servicio de Análisis Estático de Código
Servicio de Auditoría de Seguridad Informática
Servicio de Vigilancia Digital
Servicio de Auditoría de aplicaciones
Pruebas de Denegación de Servicio (DoS test)
Servicio de Hardening
Servicios de Threat Hunting
Servicios de Purple Team
Gestión e implementación de programas de Bug Bounty
Servicios de Red Team
Servicios de Blue Team
Auditoria de Configuración de la Nube
Ramsomware Simulation
Pruebas de Ingeniería Social
Phishing as a Service (PhaaS)
Servicio AntiBotnet
Sistema de Gestión de Seguridad de la Información (SGSI)
Consultoría en Business Impact Analysis (BIA)
Consultoría en Business Continuity Plan (BCP)
Consultoría en Disaster Recovery Plan (DRP)
Servicio de Revisión de código fuente
Pentesting de Workstations
Pentesting de Firewalls
Pentesting de Redes: Routers y Switches
Pentesting de Servidores
Pentesting de API
Pentesting de Aplicaciones Móviles iOS y Android
Pentesting Web
Pentesting de Sistemas de Backoffice
Pentesting para plataformas SaaS
Ciso as a Service
SOC as a Service
NOC as a Service
DLP: Servicio de Prevención de Pérdida de Datos
Seguridad Profunda
Empresa
Servicios
Cumplimiento y CertificacionesIngeniería en CiberseguridadPruebas de Penetración y Hackeo Ético
Apolo
Conoce ApoloIngresarAgendar demo
Recursos
WebinarsNewsletterEventosE-BooksGlosarioBlog¿Qué es la Norma ISO 27001?
Encuéntranos
ConócenosContáctanosÚnete al equipoTestimonios
Legales
Aviso de privacidadTérminos y CondicionesPolítica de Seguridad de la Información
Países
Soluciones
Servicios de Respaldo y Continuidad
Servicios de Seguridad Informática o Ciberseguridad
Test de Intrusión Informática
Servicios de Seguridad en la Nube
SIEM as a Service
Servicio de Threat Intelligence
Servicio de Análisis Estático de Código
Servicio de Auditoría de Seguridad Informática
Servicio de Vigilancia Digital
Servicio de Auditoría de aplicaciones
Pruebas de Denegación de Servicio (DoS test)
Servicio de Hardening
Servicios de Threat Hunting
Servicios de Purple Team
Gestión e implementación de programas de Bug Bounty
Servicios de Red Team
Servicios de Blue Team
Auditoria de Configuración de la Nube
Ramsomware Simulation
Pruebas de Ingeniería Social
Phishing as a Service (PhaaS)
Servicio AntiBotnet
Sistema de Gestión de Seguridad de la Información (SGSI)
Consultoría en Business Impact Analysis (BIA)
Consultoría en Business Continuity Plan (BCP)
Consultoría en Disaster Recovery Plan (DRP)
Servicio de Revisión de código fuente
Pentesting de Workstations
Pentesting de Firewalls
Pentesting de Redes: Routers y Switches
Pentesting de Servidores
Pentesting de API
Pentesting de Aplicaciones Móviles iOS y Android
Pentesting Web
Pentesting de Sistemas de Backoffice
Pentesting para plataformas SaaS
Ciso as a Service
SOC as a Service
NOC as a Service
DLP: Servicio de Prevención de Pérdida de Datos
Seguridad Profunda
Copyright® 2024. Delta Exponential Technologies, S.A. de C.V.
Insignia: Protegido por Delta Protect. Iso 27001
Insignia: Protegido por Delta Protect
🚀 Apolo 4.1 ¡Está listo!

Habilitamos el módulo de Entrenamiento para incentivar la ciberseguridad en tus colaboradores.

Conoce más