BLOG ESCAE

Cargando

Categoría Privacidad de la información ISO IEC 27701

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

La norma ISO/IEC 27001:2022 simplificada: un enfoque paso a paso para la certificación.

Introducción

La norma ISO/IEC 27001:2022 ofrece un marco actualizado y simplificado para gestionar
eficazmente la seguridad de la información en un mundo donde las amenazas cibernéticas son
cada vez más prevalentes. Siguiendo este enfoque paso a paso para su certificación, las
organizaciones no solo mejorarán su postura frente a riesgos cibernéticos, sino que también
fortalecerán su reputación como entidades responsables en el manejo de información
crítica (Mendoza, 2023) .

La ISO/IEC 27001:2022 fue publicada el 25 de octubre de 2022, marcando una evolución
necesaria tras casi una década desde su versión anterior en 2013 (DIPREM Global, 2022) . La
transición hacia esta nueva norma debe ser vista como una oportunidad para mejorar
continuamente las prácticas organizacionales en materia de seguridad.

Esta además de adaptar los controles existentes, busca también introducir nuevos que
aborden las amenazas emergentes, como la gestión de servicios en la nube y el desarrollo
seguro de software (Iturriaga, 2022) . A continuación, se presenta un enfoque simplificado paso
a paso para la certificación bajo esta norma.

Estructura de la Norma

Manteniendo un formato estructural que se parece mucho a su predecesor, el estándar se
compone de 11 cláusulas distintas que delinean los requisitos específicos necesarios para un
SGSI efectivo. Cabe destacar, que se puede observar una transformación significativa en el
anexo A, donde el número total de controles se ha reducido juiciosamente de 114 a 93,
clasificándolos así en cuatro categorías principales: organizacionales, personales, físicos y
tecnológicos (DQS, s. f.) . Esta metodología simplificada facilita una identificación y gestión más
sencillas de los controles esenciales para garantizar una seguridad de la información sólida en
los diversos contextos organizacionales.

Paso a paso para la certificación

  1. Compromiso de la alta dirección

El primer paso esencial es obtener el compromiso y apoyo de la alta dirección. Esto implica que
los líderes deben entender la importancia de la seguridad de la información y estar dispuestos
a proporcionar los recursos necesarios para implementar y mantener el SGSI. La dirección
debe establecer políticas claras y objetivos alineados con los requisitos de la norma.

2. Evaluación inicial

Realizar una evaluación inicial del estado actual del SGSI es fundamental. Esto incluye
identificar los activos de información, evaluar los riesgos asociados y determinar las
vulnerabilidades existentes. Esta evaluación ayudará a establecer una línea base sobre la cual
se pueden implementar mejoras.

3. Definición del alcance

Es de suma importancia definir los límites y el alcance del SGSI que se está estableciendo. Este
proceso implica determinar qué segmentos específicos de la organización estarán bajo el
ámbito del sistema, así como identificar qué activos se clasificarán como críticos para
mantener la seguridad. Un alcance bien articulado y claramente definido sirve para centrar los
esfuerzos y asignar los recursos de manera eficaz hacia las áreas más críticas y vulnerables que
requieren atención y protección inmediatas.

4. Desarrollo e Implementación del SGSI

Con base en la evaluación inicial y el alcance definido, se procede a desarrollar e implementar
políticas, procedimientos y controles necesarios para cumplir con los requisitos de la norma.
Esto incluye:

Controles técnicos: implementar medidas como control de accesos, criptografía y seguridad
física.

Controles organizacionales: establecer roles y responsabilidades claras dentro del SGSI.

Capacitación: proporcionar formación continua al personal sobre las políticas y
procedimientos establecidos.

5. Monitoreo y revisión

Tras la implementación del SGSI, resulta necesario establecer un proceso de supervisión y
revisión completo, que garantice la eficacia y el cumplimiento continuos. Este proceso abarca
auditorías internas periódicas diseñadas para evaluar rigurosamente el cumplimiento de los
controles establecidos y, al mismo tiempo, permitir los ajustes y mejoras necesarios a medida
que evolucionen las circunstancias. La norma hace especial hincapié en el ciclo PDCA
(planificar, hacer, verificar, actuar), que es reconocido como un marco altamente eficaz para
fomentar la mejora continua en el panorama de la seguridad de la información (NQA-ISO-
27001-Guia-de-implantacion.pdf, s. f.) .

6. Auditoría externa

Para obtener la certificación según la norma ISO/IEC 27001:2022, es esencial someterse a una
auditoría externa realizada por un organismo certificador acreditado que posea la autoridad y
la experiencia necesarias. Esta auditoría externa evaluará si el SGSI en cuestión cumple con
todos los requisitos estipulados, tal como se describe en la propia norma. Es muy
recomendable que las organizaciones preparen toda la documentación necesaria y se
aseguren de que todos los procesos operativos se alineen perfectamente con lo que se ha
implementado.

7. Mantenimiento y mejora continua

Al obtener la certificación, es importante garantizar que el SGSI se mantenga actualizado y
responda a los riesgos y cambios emergentes en el entorno organizacional. Este proceso
continuo requiere la realización de revisiones periódicas del sistema, la actualización de los
controles según se considere necesario y la participación constante de todo el personal en la
promoción de prácticas seguras para mitigar las posibles vulnerabilidades.

Beneficios de certificarse

La certificación según la norma ISO/IEC 27001:2022 no solo confiere una ventaja competitiva
significativa al demostrar de manera visible un compromiso firme con la seguridad de la
información, tanto para los clientes como para los socios comerciales, sino que desempeña un
papel crucial a la hora de mitigar los riesgos sustanciales asociados con los ciberataques y otros
incidentes de seguridad (Solutions, 2023) . Además, al adoptar un enfoque basado en el riesgo,
las organizaciones pueden priorizar de manera efectiva sus recursos y esfuerzos en las áreas
que son más susceptibles a las vulnerabilidades y amenazas.

Conclusiones

La norma ISO/IEC 27001:2022 proporciona un marco actualizado y simplificado que es esencial
para la gestión eficaz de la seguridad de la información en un entorno en el que las
ciberamenazas son cada vez más frecuentes y generalizadas. Al adoptar este enfoque
detallado y gradual para sus iniciativas de certificación, las organizaciones no solo mejorarán
su postura general de seguridad frente a los persistentes riesgos cibernéticos, también
reforzarán su reputación como administradoras responsables de la gestión de la información
crítica y confidencial. La transición a este nuevo estándar debe aprovecharse como una valiosa
oportunidad para mejorar y perfeccionar continuamente las prácticas organizativas en el
ámbito de la gestión de la seguridad.

Referencias Bibliográficas

DIPREM Global. (2022, noviembre 15). (18) Actualización ISO/IEC 27001:2022 | LinkedIn. DIPREM Global.
https://www.linkedin.com/pulse/actualizaci%C3%B3n-isoiec-270012022-diprem-sa/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 22 de septiembre de 2024, de
https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Iturriaga, I. (2022, diciembre 23). Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo
ISO/IEC 27002/2022. Global Technology. https://globalt4e.com/cambios-en-la-norma-iso-iec-27001-2022-
y-su-guia-de-desarrollo-iso-iec-27002-2022/

Mendoza, M. Á. (2023, febrero 9). ISO 27001:2022: ¿qué cambios introdujo el nuevo estándar de seguridad?
welivesecurity. https://www.welivesecurity.com/la-es/2023/02/09/iso-270012022-cambios-nuevo-
estandar-seguridad/

NQA-ISO-27001-Guia-de-implantacion.pdf. (s. f.). Recuperado 22 de septiembre de 2024, de
https://www.nqa.com/medialibraries/NQA/NQA-Media-
Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Cómo abordar la nueva norma ISO/IEC 27001:2022: cambios clave y qué significan para usted

Introducción

La norma ISO/IEC 27001:2022 ha obtenido el reconocimiento mundial como el estándar preeminente relacionado con la gestión de la seguridad de la información, lo que subraya su importancia en la era digital contemporánea. A la luz de la transformación sustancial que se ha producido en el panorama de las ciberamenazas desde la anterior revisión de esta norma en el año 2013, ha surgido la necesidad de modificar las normas existentes para que reflejen adecuadamente estos desafíos cambiantes. La versión lanzada en el 2022, se esfuerza no sólo por preservar la relevancia duradera de la norma, sino también por mejorar su compatibilidad y alineación con otros marcos regulatorios y estándares internacionales establecidos, incluida la ISO/IEC 27002, que también es una piedra angular de la gestión de la seguridad de la información(DQS, s. f.).

Esta norma, publicada el 25 de octubre de 2022, representa una actualización significativa del estándar internacional para la gestión de la seguridad de la información. Esta revisión es crucial para las organizaciones que buscan mejorar su Sistema de Gestión de Seguridad de la Información (SGSI) y adaptarse a un entorno digital en constante evolución. A continuación, se analizan los cambios clave introducidos por esta nueva norma y su impacto en las organizaciones.

Cambios clave en la norma

Estructura general

La estructura general de la norma se mantiene con 11 cláusulas, cabe destacar que varias de estas cláusulas han sufrido modificaciones menores pero significativas. Algunas partes de las cláusulas 4 a 10 se han revisado para reforzar la claridad y la adaptabilidad de la norma y garantizar que pueda aplicarse de manera efectiva en diversos contextos y marcos organizacionales(Jiménez, 2023). Por ejemplo:

Cláusula 4 (Contexto de la organización): se requiere que las organizaciones identifiquen los requisitos pertinentes de las partes interesadas y especifiquen cómo serán abordados en el SGSI.

Cláusula 6 (Planificación): se ha introducido una nueva cláusula que enfatiza la planificación de cambios necesarios en el SGSI.

Cambios en las Cláusulas

Las primeras tres cláusulas han sufrido modificaciones menores en redacción, sin afectar el sentido original(Mendoza, 2023). En particular:

Cláusula 1 (Alcance): define el ámbito de aplicación del estándar.

Cláusula 2 (Referencias normativas): se actualizan las referencias a documentos normativos.

Cláusula 3 (Términos y definiciones): se recomienda utilizar el estándar ISO/IEC 27000 para un lenguaje estandarizado.

Cambios en los controles del Anexo A

Uno de los cambios más significativos se encuentra en el Anexo A, que ahora contiene 93 controles organizados en cuatro secciones, en lugar de los 114 controles anteriores distribuidos en 14 secciones. Esto simplifica el enfoque hacia la gestión de riesgos. Algunos controles han sido actualizados, mientras que otros han sido reagrupados o eliminados para reflejar mejor las amenazas actuales y las mejores prácticas en ciberseguridad(Innevo, 2023). Esta reestructuración estratégica sirve para simplificar el enfoque global de la gestión de riesgos, promoviendo así la eficiencia y la eficacia en la aplicación de las medidas de seguridad. Además de la reorganización de los controles, algunos controles se han actualizado, mientras que otros se han reagrupado cuidadosamente o se han eliminado por completo para garantizar que reflejen con mayor precisión el panorama actual de amenazas y las mejores prácticas en el ámbito de la ciberseguridad. La intención de esta reestructuración no es solo simplificar sino también mejorar la eficacia de los controles de seguridad vigentes.

  1. Controles Organizacionales: 37 controles, con 3 nuevos.
  2. Controles al Personal: 8 controles, sin cambios.
  3. Controles Físicos: 14 controles, con 1 nuevo.
  4. Controles Tecnológicos: 34 controles, con 7 nuevos.

Nuevos Controles

Los nuevos controles introducidos incluyen aspectos críticos como:

  1. Inteligencia de amenazas.
  2. Seguridad de la información en servicios en la nube.
  3. Preparación para la continuidad del negocio.
  4. Supervisión de la seguridad física.
  5. Gestión de la configuración.

Enfoque en ciberseguridad y privacidad

El título de la norma se ha revisado para incorporar explícitamente términos críticos como «ciberseguridad» y «protección de la privacidad», ampliando así significativamente el alcance de la norma. Esta expansión es particularmente relevante a la luz de la creciente importancia de estas cuestiones en el contexto sociotécnico actual, que se caracteriza por un aumento continuo de la frecuencia y sofisticación de los ciberataques y las violaciones de datos. El reconocimiento proactivo de estos importantes desafíos es esencial para las organizaciones que desean fortalecer sus defensas contra tales amenazas(Innevo, 2023).

Implicaciones para las organizaciones

Adaptación a los cambios

Las organizaciones disponen de un período de transición hasta octubre de 2025 para adaptarse a esta última versión de la norma, por lo que es imperativo que inicien los ajustes necesarios en sus sistemas actuales para garantizar el cumplimiento de los requisitos recientemente establecidos. Este proceso de adaptación incluye una revisión exhaustiva y la posterior actualización de las políticas, procedimientos y medidas de control existentes, alineándose meticulosamente con las directrices recientemente delineadas que figuran en la norma revisada(RINA, s. f.).

Mejora continua

El principio de mejora continua sigue siendo una piedra angular fundamental del SGSI en el marco de la nueva norma, y hace hincapié en la necesidad de que las organizaciones instituyan procesos claros y sistemáticos para la evaluación de su desempeño y la implementación de los ajustes necesarios a lo largo del tiempo. Esto no solo implica cumplir con los requisitos establecidos, sino que también requiere que las organizaciones busquen de manera proactiva métodos innovadores y efectivos para mejorar sus prácticas de seguridad de forma continua(Mendoza, 2023).

Capacitación y concientización

Es imperativo que las organizaciones prioricen la capacitación de su personal en relación con los nuevos requisitos y controles, ya que esto es vital para garantizar la implementación efectiva del SGSI dentro de su marco operativo. Las organizaciones deben estar dispuestas a invertir en programas de capacitación integrales que aborden las dimensiones técnicas y operativas pertinentes a la seguridad de la información,

fomentando así una cultura de vigilancia y preparación ante los cambiantes desafíos de seguridad(Cruz, 2022).

Conclusiones y recomendaciones finales

La actualización a la ISO/IEC 27001:2022 representa una oportunidad significativa para que las organizaciones fortalezcan su postura frente a la seguridad de la información. Al adoptar un enfoque más integrado hacia la ciberseguridad y al simplificar sus controles, las empresas pueden mejorar su resiliencia frente a las amenazas emergentes. Es fundamental que cada organización evalúe su situación actual, planifique adecuadamente su transición hacia el nuevo estándar y asegure que todos los niveles dentro de la empresa estén comprometidos con esta transformación. La implementación exitosa no solo contribuirá a cumplir con los requisitos normativos, sino que también mejorará significativamente la confianza del cliente y protegerá los activos más valiosos: su información. En resumen, abordar adecuadamente esta nueva norma no solo es un requisito regulatorio; es una estrategia esencial para cualquier organización que busque prosperar en un entorno digital cada vez más complejo y desafiante.

Referencias bibliográficas:

Cruz, H. de la. (2022, julio 5). Principales cambios de la ISO/IEC 27001 en 2022. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2022/07/principales-cambios-de-la-iso-iec-27001-en-2022/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 21 de septiembre de 2024, de https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Innevo. (2023, abril 14). ISO 27001 Última Versión 2022: Novedades y Cambios Más Importantes. https://blog.innevo.com/iso27001-2022

Jiménez, M. M. (2023, noviembre 23). Principales cambios de la norma ISO 27001:2022. https://www.piranirisk.com/es/blog/cambios-norma-iso-27001-2022

Mendoza, M. Á. (2023, marzo 10). ISO 27001:2022: Cambios en las cláusulas que introdujo la nueva versión del estándar de seguridad. https://www.welivesecurity.com/la-es/2023/03/10/iso-27001-2022-cambios-clausulas-nueva-version-estandar-seguridad/

RINA. (s. f.). ISO/IEC 27001 Nueva edición de la Norma: Cambios y plazo—RINA.org. Recuperado 21 de septiembre de 2024, de https://www.rina.org/es/news/iso-iec-27001

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Del cumplimiento a la confianza: cómo la norma ISO/IEC 27001:2022 puede transformar su negocio

Introducción

En la era digital actual, la seguridad de la información se ha transformado en una piedra angular para el éxito y la sostenibilidad de las organizaciones. La globalización de los mercados y la digitalización acelerada hacen imperativo proteger los activos de información contra amenazas cada vez más sofisticadas(Chavez et al., 2024).

La norma ISO/IEC 27001:2022 surge como un marco esencial que desempeña un papel fundamental en la gestión de la seguridad de la información, ya que ofrece a las organizaciones un enfoque estructurado del cumplimiento que no solo cumple con los requisitos reglamentarios, sino que también fomenta una capa fundamental de confianza tanto entre los clientes como entre los socios comerciales. La relevancia de esta norma abarca una amplia gama de sectores, alcanzando dominios tan diversos como la tecnología y las finanzas, lo que subraya su importancia crítica en cualquier contexto en el que la protección de la información confidencial sea primordial. Los datos empíricos recientes revelan que las brechas de seguridad pueden causar daños financieros por valor de millones de dólares a las empresas, lo que deja muy claro que invertir en un sistema de gestión de la seguridad de la información (SGSI) completo y sólido no solo es aconsejable, sino que, de hecho, es esencial para garantizar la continuidad del negocio y la resiliencia ante posibles interrupciones(Vakhula et al., 2024).

El potencial transformador de la norma ISO/IEC 27001:2022 para operaciones comerciales

La implementación del estándar ISO/IEC 27001:2022 proporciona a las organizaciones un enfoque estructurado que trasciende el ámbito de la protección básica de datos; más bien, sirve para fortalecer la totalidad de la administración operativa dentro de la organización. Esta norma en particular es fundamental para identificar, gestionar y mitigar de forma proactiva los riesgos de seguridad, lo que, a su vez, permite a las organizaciones optimizar sus procesos operativos y reforzar su capacidad para lograr una continuidad empresarial sostenida. Al cumplir con estos estándares establecidos, las organizaciones no solo mejoran la eficiencia de sus procesos operativos, sino que también integran de manera efectiva las prácticas de seguridad en el núcleo mismo de sus operaciones diarias, lo que aumenta significativamente la eficiencia y la eficacia organizativas generales(Secureframe, 2023).

Protección esencial de los datos críticos

A la luz de la frecuencia cada vez mayor y los costos sustanciales asociados a las filtraciones de datos en el mundo interconectado actual, el estándar ISO/IEC 27001:2022 se ha diseñado meticulosamente para fortalecer la seguridad de los activos de datos críticos. Esta norma reconocida internacionalmente proporciona un enfoque sistemático y rigurosamente estructurado destinado a garantizar la confidencialidad, la integridad y la disponibilidad de la información crítica. Al establecer controles estrictos y participar en procesos de evaluación continuos, las organizaciones están facultadas no solo para evitar incidentes de seguridad, sino también para organizar respuestas eficaces en el desafortunado caso de que se produzcan ciberataques o brechas de seguridad(Toro, 2018).

Mejorar la reputación y la confiabilidad de los clientes

Establecer y mantener la confianza de los clientes es un principio fundamental en el entorno empresarial contemporáneo, donde hay más en juego que nunca. La implementación de un SGSI que cumpla con las normas ISO/IEC 27001:2022 es una indicación clara y demostrable del compromiso serio de una organización con la seguridad de la información, un compromiso que puede mejorar profundamente la percepción del mercado con respecto a la confiabilidad y la estabilidad de la empresa. Para las empresas que manejan cantidades importantes de información confidencial, este nivel de dedicación a la seguridad es particularmente crucial, ya que la confianza de los clientes suele ser el factor decisivo que influye en el éxito y la sostenibilidad de la empresa en general(CyberSeg Solutions, 2023).

Beneficios de implementar ISO 27001


Seguridad mejorada  
Proporciona un marco sistemático para identificar, evaluar y gestionar los riesgos de seguridad de la información. Esto conduce a una mejor protección de los datos confidenciales, lo que reduce la probabilidad de infracciones y accesos no autorizados.

Gestión de riesgos		A través de un proceso exhaustivo de evaluación de riesgos, las organizaciones pueden identificar vulnerabilidades y amenazas potenciales a sus activos de información. Esto les permite abordar estos riesgos de manera proactiva, minimizando el impacto potencial.

Cumplimiento normativo		Ayuda a las organizaciones a alinearse con diversas regulaciones de privacidad y protección de datos, como LFPDPPP, GDPR, PCI/DSS, HIPAA y otras, garantizando el cumplimiento legal y evitando multas elevadas.

Mejor reputación empresarial
Demostrar el cumplimiento de la norma ISO 27001 mejora la reputación de una organización como entidad confiable que prioriza la seguridad de la información. Esto puede generar una mayor confianza del cliente y potencialmente nuevas oportunidades comerciales.

Ventaja competitiva		La certificación ISO 27001 puede proporcionar una ventaja competitiva en el mercado al mostrar un compromiso con prácticas de seguridad sólidas, particularmente en industrias donde la seguridad de la información es una preocupación crítica.

Procesos eficientes		El estándar fomenta el desarrollo de procesos y procedimientos de seguridad de la información eficientes y efectivos, lo que contribuye a optimizar las operaciones y reducir el tiempo de inactividad.


Preparación para incidentes
La implementación de ISO 27001 fomenta una cultura de preparación al establecer planes y procedimientos de respuesta a incidentes, lo que permite una acción rápida y efectiva en caso de incidentes de seguridad.

Conciencia en los empleados		ISO 27001 promueve la conciencia y la participación de los empleados en las prácticas de seguridad de la información, creando una cultura consciente de la seguridad en toda la organización.

Conclusiones y recomendaciones finales

La norma ISO/IEC 27001:2022 no debe percibirse simplemente como otro requisito reglamentario impuesto a las empresas contemporáneas; más bien, debe considerarse una inversión estratégica que es fundamental para garantizar la seguridad y la credibilidad futuras de la organización.

Dadas las alarmantes estadísticas sobre la frecuencia y el impacto financiero de las brechas de seguridad, es prudente y recomendable que las organizaciones adopten esta norma no solo por motivos de cumplimiento, sino también como pilar fundamental de su estrategia global de seguridad corporativa. Se recomienda encarecidamente que las organizaciones realicen auditorías periódicas, brinden capacitación continua a sus miembros del personal y mantengan un diálogo abierto y transparente con las partes interesadas en relación con la seguridad de la información, todo ello en un esfuerzo por cultivar y mantener un entorno digital seguro.

En última instancia, la transparencia y un compromiso inquebrantable con la seguridad representan la base sobre la que se construye la confianza de los clientes en esta era cada vez más digital.

Referencias bibliográficas

Chavez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering (Confluence), 184-189. https://doi.org/10.1109/Confluence60223.2024.10463392

CyberSeg Solutions. (2023, agosto 28). Beneficios de implementar ISO 27001 en las organizaciones—CyberSeg Solutions. https://www.cyberseg.solutions/beneficios-de-implementar-iso-27001-en-las-organizaciones/

Secureframe. (2023). ¿Por qué es importante la ISO 27001? Beneficios de la certificación. Secureframe. https://secureframe.com/hub/iso-27001/why-is-iso-27001-important

Toro, R. (2018, julio 5). ¿Cómo te ayuda la norma ISO 27001 en la seguridad de tu negocio? PMG SSI – ISO 27001. https://www.pmg-ssi.com/2018/07/ayuda-norma-iso-27001-seguridad-negocio/

Vakhula, O., Kurii, Y., Opirskyy, I., & Susukailo, V. (2024). Security-as-Code Concept for Fulfilling ISO/IEC 27001:2022 Requirements. 59-72. https://ceur-ws.org/Vol-3654/paper6.pdf

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Descubriendo los secretos de la norma ISO/IEC 27001:2022: su guía definitiva sobre seguridad de la información

Introducción

A medida que la prevalencia de los ciberataques continúa aumentando a escala mundial, las organizaciones y empresas de diversos sectores comienzan a reconocer cada vez más la necesidad crítica de protegerse contra una amplia gama de actividades maliciosas que tienen como objetivo infiltrarse en sus sistemas y obtener acceso no autorizado a sus valiosos activos de información. Ante este panorama apremiante, es necesario que las organizaciones adopten un enfoque de gestión integral y eficaz para la seguridad de la información, lo que exige fundamentalmente la adopción de una postura proactiva que incluya la implementación de regulaciones y políticas sólidas diseñadas para mitigar los riesgos asociados con posibles ciberamenazas y ataques(Diéguez et al., 2023).

La norma ISO/IEC 27001:2022 representa un punto de referencia reconocido internacionalmente que proporciona un marco estructurado y sistemático para el establecimiento y el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Este estándar en particular es de suma importancia para cualquier organización que aspire a proteger sus activos de información de manera diligente, garantizando así que los elementos cruciales de confidencialidad, integridad y disponibilidad de los datos no solo se mantengan, sino que también se refuercen de manera efectiva(Kurii & Opirskyy, 2024).

¿Qué es la norma ISO/IEC 27001?

La ISO/IEC 27001 es la norma más conocida del mundo para  SGSI. Define los requisitos que debe cumplir un SGSI. Además, proporciona a las empresas de cualquier tamaño y de todos los sectores, orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información. La conformidad con la ISO/IEC 27001 implica que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja, y que este sistema respeta todas las buenas prácticas y principios contemplados en esta Norma Internacional(International Standard, 2022).

¿Por qué es importante la norma ISO/IEC 27001?

Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, puede parecer difícil o incluso imposible gestionar los riesgos cibernéticos. La ISO/IEC 27001 ayuda a las organizaciones a ser conscientes de dichos riesgos y a identificar y abordar los puntos débiles de forma proactiva. Esta norma promueve un enfoque integral de la seguridad de la información, que abarca a las personas, las políticas y la tecnología. Un sistema de gestión de la seguridad de la información implantado conforme a esta norma es una herramienta clave para la gestión de riesgos, la resiliencia cibernética y la excelencia operativa(Chávez et al., 2024).

Norma ISO/IEC 27001:2022

BeneficiosProtección de la
información
Ayuda a proteger la información sensible contra
accesos no autorizados, robos y pérdidas
Cumplimiento
normativo
Facilita el cumplimiento de leyes y regulaciones
relacionadas con la protección de datos, como
el GDPR.
Confianza del cliente
Al demostrar un compromiso con la seguridad
de la información, las organizaciones pueden
aumentar la confianza de sus clientes y socios
comerciales.
Mejora de la
reputación
La certificación ISO/IEC 27001 puede mejorar
la imagen de la organización, destacando su
responsabilidad en la gestión de la seguridad
de la información.
Identificación de
riesgos
Proporciona un marco para identificar, evaluar y
gestionar riesgos relacionados con la seguridad
de la información.
EstructuraContexto de la
organización
Se requiere que la organización entienda su
contexto interno y externo, así como las partes
interesadas y sus necesidades en relación con
la seguridad de la información.
Liderazgo
La alta dirección debe demostrar liderazgo y
compromiso con el SGSI, asegurando que se
asignen recursos adecuados y se establezcan
roles y responsabilidades claras.
Planificación
Se deben identificar y evaluar los riesgos
relacionados con la seguridad de la
información, así como establecer objetivos y
planes para abordarlos.
Apoyo
La norma enfatiza la importancia de la
formación y concienciación del personal, así
como la gestión de la documentación y la
comunicación.
Operación
Se deben implementar las medidas de seguridad necesarias para gestionar los riesgos identificados y cumplir con los objetivos
establecidos.
Evaluación del
desempeño
La organización debe monitorear, medir y evaluar el desempeño del SGSI para asegurar su eficacia.
ImplementaciónMejora continua
Se requiere que la organización tome medidas para mejorar continuamente el SGSI, basándose en los resultados de las evaluaciones y auditorías.
Compromiso de la alta
dirección
Es fundamental que la alta dirección esté comprometida con la implementación del SGSI
y que asigne los recursos necesarios.
Definición del alcance
La organización debe definir el alcance del SGSI, identificando qué activos de información
se incluirán y qué áreas de la organización estarán cubiertas.
Evaluación de riesgosRealizar una evaluación de riesgos para
identificar las amenazas y vulnerabilidades que
afectan a los activos de información. Esto
incluye la identificación de controles existentes
y la determinación de la efectividad de estos
controles.
Desarrollo de políticas
y procedimientos
Establecer políticas y procedimientos claros
que guíen la gestión de la seguridad de la
información dentro de la organización.
Formación y
concienciación
Proporcionar formación y concienciación a
todos los empleados sobre la importancia de la
seguridad de la información y sus roles en el
SGSI.
Implementación de
controles
Implementar controles de seguridad para
mitigar los riesgos identificados. Esto puede
incluir medidas técnicas, administrativas y
físicas.
Monitoreo y revisión
Establecer un proceso de monitoreo y revisión
para evaluar la eficacia del SGSI y realizar
ajustes según sea necesario.
Auditoría interna
Realizar auditorías internas para verificar el
cumplimiento de la norma y la efectividad del
SGSI.
Certificación
Si se desea, la organización puede buscar la
certificación por parte de un organismo de
certificación acreditado para demostrar su
cumplimiento con la norma ISO/IEC
27001:2022.
Desafíos en la implementaciónResistencia al cambio
Algunos empleados pueden resistirse a los
cambios en los procesos y políticas de
seguridad.
Falta de recursos
La implementación puede requerir recursos
significativos, tanto en términos de tiempo como
de dinero.
Complejidad del
entorno tecnológico		La rápida evolución de la tecnología puede dificultar la identificación y gestión de riesgos.

Conclusiones y recomendaciones

La norma ISO/IEC 27001:2022 es esencial para cualquier organización que busque proteger sus
activos de información y cumplir con las regulaciones de seguridad. A través de un enfoque
sistemático y la implementación de un SGSI efectivo, las organizaciones no solo pueden mitigar
riesgos, sino también construir confianza y mejorar su reputación en el mercado. La seguridad de la
información es un proceso continuo que requiere compromiso y adaptabilidad, pero los beneficios a
largo plazo superan con creces los desafíos iniciales.

Referencias bibliográficas

Chávez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering, 184-189. https://doi.org/doi: 10.1109/Confluencia60223.2024.10463392.

Diéguez, M., Cares, C., Cachero, C., & Hochstetter, J. (2023). MASISCo—Methodological Approach for the Selection of Information Security Controls. Applied Sciences, 13(2), Article 2. https://doi.org/10.3390/app13021094

International Standard. (2022, octubre). Information security, cybersecurity and privacy protection—Information security management systems—Requirements. ISO. https://www.iso.org/es/contents/data/standard/08/28/82875.html

Kurii, Y., & Opirskyy, I. (2024). Overview of the Cis Benchmarks Usage for Fulfilling the Requirements From International Standard ISO/IEC 27001:2022. Scientific Journal «Computer Systems and Networks», 6(1), 89. https://doi.org/10.23939/csn2024.01.089

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Liderazgo en los sistemas de gestión de seguridad de la información

Introducción

El concepto de liderazgo es, sin lugar a dudas, un componente fundamental que influye de manera
significativa en la eficacia general y el éxito de los sistemas de gestión de la seguridad de la información
(SGSI) dentro de varios marcos organizacionales. Es necesario que un liderazgo eficaz, en particular por
parte de la alta dirección, no solo esté presente, sino que también participe de forma activa para garantizar que la seguridad de la información pase a ser una prioridad estratégica, facilitando así su integración en todos los procesos de negocio.

Un estudio realizado por la Asociación Española para la Calidad revela una estadística asombrosa:
aproximadamente el 60% de los incidentes de seguridad se producen como consecuencia directa de un
error humano. Esto sirve para recalcar la importancia tanto del compromiso, como del comportamiento
de los líderes para fomentar una cultura de seguridad sólida y resiliente dentro de sus organizaciones.
(AEC, s. f.)

Los marcos de SGSI que se adhieren a la norma ISO/IEC 27001, reconocida a nivel mundial, se han
adoptado en diversos sectores y regiones para salvaguardar la confidencialidad, la integridad y la
disponibilidad de los activos de información. Estos sistemas están diseñados para ser aplicables a
organizaciones de todos los tamaños, independientemente del sector específico en el que operen o de su
posición geográfica en el escenario mundial (Kurii & Opirskyy, 2023).

Asimismo, un informe publicado por Marketsand Markets prevé que el mercado mundial del SGSI
alcanzará una impresionante valoración de 48 000 millones de dólares en el año 2025, junto con una
importante tasa de crecimiento anual del 13,9% prevista para el período comprendido entre 2020 y 2025.

El papel del liderazgo en el SGSI

La última versión de la norma ISO/IEC 27001:2022 pone un énfasis aún mayor en el papel vital que
desempeña el liderazgo en el funcionamiento efectivo del SGSI. Es esencial que la alta dirección no solo
exprese su compromiso, sino que acepte y cumpla con las responsabilidades específicas que son cruciales para la implementación y el funcionamiento exitosos del sistema de gestión (Podrecca et al., 2022).

Estas responsabilidades incluyen garantizar que la política de seguridad de la información y sus objetivos asociados estén alineados estratégicamente con los objetivos comerciales generales de la organización. Conjuntamente, es necesario integrar los requisitos y mandatos del SGSI en los procesos organizativos más amplios para mejorar la coherencia y la eficacia.

Otra responsabilidad fundamental implica la asignación de recursos suficientes, tanto financieros como
humanos, para facilitar la implementación y el mantenimiento continuo del SGSI. También es imperativo
que la importancia de la seguridad de la información se comunique de manera efectiva a todos los
miembros de la organización, que fomente un entendimiento compartido y una responsabilidad colectiva. Asimismo, la alta dirección debe garantizar que el SGSI logre de manera consistente los resultados y objetivos previstos que se han establecido (Izquierdo, 2023).

Funciones y desafíos de liderazgo

Para ejercer un liderazgo efectivo en el ámbito de la seguridad de la información, la alta dirección debe
adoptar un enfoque multifacético que abarque varios comportamientos y prácticas clave. Deben predicar
con el ejemplo, demostrando de manera efectiva a través de sus propias acciones y comportamientos la
importancia primordial de la seguridad y la protección en el contexto organizacional.

Al mismo tiempo, es crucial que los líderes escuchen activamente a su personal sobre el terreno y se
relacionen con él, dedicándose el tiempo necesario para comprender las realidades y los desafíos a los que se enfrentan los empleados en el día a día. Reconocer y valorar las prácticas de seguridad ejemplares es esencial, ya que promueve una cultura de equidad y rendición de cuentas (Organismo Internacional de Energía Atómica, s. f.).

Los líderes tienen la tarea de proporcionar los recursos técnicos y organizativos necesarios para
implementar controles de seguridad efectivos en toda la organización. Cultivar un espíritu de equipo
orientado a la seguridad y arraigado en el respeto mutuo también es un aspecto vital del liderazgo efectivo (Reyes Chacón et al., 2021).

Sin embargo, los líderes se enfrentan a varios desafíos importantes que pueden obstaculizar su eficacia en este ámbito. Uno de los principales, es la necesidad de mantener la seguridad de la información como una prioridad continua, particularmente ante las presiones empresariales contrapuestas que compiten por la atención y los recursos.

La comunicación efectiva del valor inherente de la seguridad, a las partes interesadas que pueden carecer de experiencia técnica, es otro obstáculo que los líderes deben superar. Igualmente, atraer y retener talento especializado en el campo de la ciberseguridad, plantea un desafío importante, especialmente en un mercado laboral cada vez más competitivo. Por último, los líderes deben demostrar agilidad y adaptabilidad para responder al panorama en constante evolución de las amenazas a las que se enfrentan las organizaciones, lo que requiere un enfoque proactivo en lugar de reactivo en la gestión de la seguridad (Certification & Webmaster, 2020).

Conclusiones y reflexiones finales

El liderazgo representa un elemento fundamental crucial que contribuye a la eficacia de los SGSI, así
como al establecimiento y mantenimiento de una cultura de seguridad resiliente dentro de una
organización. Es fundamental garantizar que la estrategia de seguridad se alinee meticulosamente con los objetivos empresariales generales de la organización y, al mismo tiempo, se comunique con la máxima claridad a todas las partes interesadas pertinentes. Se debe desarrollar y promover activamente políticas de seguridad integrales que se adapten cuidadosamente al contexto específico y a las circunstancias únicas de la organización en cuestión.

El personal directivo superior debe participar activamente en los procesos de gestión de riesgos y en las
actividades de toma de decisiones relacionadas con las cuestiones relacionadas con la seguridad,
reforzando así su compromiso con estas áreas críticas. Es esencial fomentar una cultura organizacional
que haga hincapié en la confianza y el aprendizaje continuo; en ese entorno, las prácticas ejemplares se
reconocen y recompensan, mientras que los errores se someten a un análisis justo y constructivo.

Referencias bibliográficas

Asociación Española para la Calidad (AEC). (s. f.). AEC. Recuperado 3 de septiembre de 2024, de
https://www.aec.es/conocimiento/conocimiento-aec/
Certification, G., & Webmaster, A. (2020, diciembre 18). 5 claves para el liderazgo en los sistemas de gestión. Global Standards. https://www.globalstd.com/blog/5-claves-para-el-liderazgo-en-los-sistemas-de-gestion/

Izquierdo Pomalazo, J. E. (2023). Implementación de un SGSI bajo la norma ISO/27001 para la gestión de la seguridad de la información en la Comunidad Campesina San Antonio, 2023. Repositorio Institucional – UTP. http://repositorio.utp.edu.pe/handle/20.500.12867/8440

Kurii, Y., & Opirskyy, I. (2023). Analysis of changes and compliance features of the new version of the standard. Cybersec, 3, 46-55. https://doi.org/10.28925/2663-4023.2023.19.4655

Organismo Internacional de Energía Atómica. (s. f.). Liderazgo y gestión en relación con la seguridad tecnológica y física | OIEA. Recuperado 3 de septiembre de 2024, de https://www.iaea.org/es/temas/liderazgo-y-gestion-en-relacion-con-la-seguridad-tecnologica-y-fisica

Podrecca, M., Culot, G., Nassimbeni, G., & Sartor, M. (2022). Information security and value creation: The performance implications of ISO/IEC 27001—ScienceDirect. ScienceDirect, 142, 103744. https://doi.org/10.1016/j.compind.2022.103744

Reyes Chacón, D. A., Cadena López, A., & Rivera González, G. (2021). El Sistema de Gestión de Calidad y su relación con la innovación. INTER DISCIPLINA, 10(26), 217. https://doi.org/10.22201/ceiich.24485705e.2022.26.80975

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001

Marco regulatorio sobre Seguridad de la Información en Colombia

Introducción

La seguridad de la información representa un componente fundamental en el avance y la transformación de la sociedad contemporánea, en la que la información se ha convertido en un activo de gran valor (Sánchez & R, 2001). En Colombia, el panorama regulatorio que rodea a la seguridad de la información se ha fortalecido significativamente en los últimos años, caracterizado por la promulgación de leyes y regulaciones fundamentales destinadas a salvaguardar los datos personales y mantener la integridad de los sistemas de información.

La ley 1581 de 2012 establece las estipulaciones generales para la protección de los datos personales,
reforzando los derechos constitucionales de las personas a acceder, modificar y corregir la información que se ha recopilado sobre ellos (Logo.gov, s. f.; UNIR, 2024). Por otro lado, la Ley 1273 de 2009 introduce una nueva entidad legal protegida denominada «protección de la información y los datos», salvaguardando así los sistemas que emplean tecnologías de la información y la comunicación (UNAD, 2020).

Los decretos complementarios, como el 1377 de 2013 y el 338 de 2022, mejoran aún más el marco regulatorio al instituir disposiciones sobre el consentimiento del propietario de los datos para procesar sus datos personales, la gobernanza de la seguridad digital y la delineación de conceptos esenciales, como un incidente de seguridad digital y una infraestructura cibernética crítica(Gov.co, s. f.-b).

Seguridad de la Información

La información producida, difundida y existente en todos los contextos, es considerada como un bien de
incalculable valor para el desarrollo y la evolución de las diferentes instancias de la sociedad. Es la presencia, la manipulación, el intercambio y uso, lo que la define y la convierte en una ventaja o desventaja, generando mayor o menor igualdad de oportunidades entre los individuos, grupos u organizaciones, según signifiquen, para ellos, un peligro o una oportunidad (Sánchez & R, 2001).

La Seguridad de la Información la definen autores como Cuevas, (2024), como el grado, nivel o conjunto de medidas que garanticen la protección de la información, tanto de los propios sistemas como los contenidos; protección necesaria a lo largo del ciclo de vida de la información, y que debe asegurarse frente a una amplia diversidad de amenazas y posibles peligros de diferente naturaleza, tratando de evitar el acceso, pérdida, interrupción o alteración y aprovechamiento no permitido de los sistemas de información o de la información que contienen.

Esto se enmarca en ámbito de dominio de la seguridad del sistema de información, que, dentro del contexto general de seguridad, conforma un aspecto estratégico emergente, ya que se refiere a la protección de la información que, reunida y procesada por el sistema de información de la organización, ya sea en forma manual o mediante una infraestructura computacional, incorpora los procedimientos, sistemas y recursos asociados. Lo cual implica una asociación de la seguridad con aspectos no sólo tecnológicos, sino organizacionales, humanos, económicos, accesibilidad, confidencialidad, aspectos referentes a la gestión y continuidad del negocio, cumplimiento regulatorio de desarrollo normativo, ético, entre otros (FCA, 2024).

Normativas y leyes principales sobre Seguridad de la Información en Colombia

La seguridad de la información en Colombia posee desafíos y diversidad de retos, no solo para el gobierno, sino también para las empresas y la sociedad en general. Asimismo, existen muchos puntos críticos que demandan atención urgente; sin embargo, se destacan los más relevantes, como la formación, capacitación y especialización de mano de obra calificada y la adopción del marco regulatorio vigente, a fin de seguir creciendo en materia de seguridad de la información. En ese sentido, Colombia cuenta con un marco regulatorio en seguridad de la información y transacciones electrónicas alineado a los estándares internacionales, que abarca riesgos y normativas en seguridad informática, como la puesta en marcha y disponibilidad de la información.

Colombia cuenta con varias leyes y normativas clave que rigen la protección de datos personales y la
seguridad de la información en el país. Algunas de las más importantes son:

Leyes y normativasContenido
Ley 1581 de 2012
(Logo.gov, s. f.; UNIR, 2024)		Es la normativa principal que establece disposiciones generales para la
protección de datos personales en Colombia. Algunos puntos clave de esta ley
son:
– Desarrolla el derecho constitucional de las personas a conocer, actualizar y
rectificar la información que se haya recogido sobre ellas en bases de datos o
archivos.
– Aplica a los datos personales registrados en cualquier base de datos que los
haga susceptibles de tratamiento por entidades públicas o privadas.
– Crea obligaciones para las personas naturales y jurídicas responsables y
encargadas del tratamiento de datos personales.
– Otorga a la Superintendencia de Industria y Comercio la función de vigilancia
y sanción para garantizar la legalidad en el tratamiento de datos personales.
Ley 1273 de 2009 –
Protección de la
Información y los Datos
(UNAD, 2020).		Esta ley crea un nuevo bien jurídico tutelado denominado «de la protección de
la información y de los datos» y preserva integralmente los sistemas que
utilicen las tecnologías de la información y las comunicaciones.
Decreto 1377 de 2013 –
Reglamentación Parcial de
la Ley 1581 (Gov.co, s. f.-b).		Este decreto reglamentó parcialmente la Ley 1581 de 2012, estableciendo
disposiciones relacionadas con la autorización del titular para el tratamiento de
sus datos personales, las políticas de tratamiento de los responsables y
encargados, el ejercicio de los derechos de los titulares, las transferencias de
datos personales y la responsabilidad demostrada frente al tratamiento de
datos.
Decreto 338 de 2022 –
Gobernanza de la
Seguridad Digital (Gov.co,
s. f.-a).		Este decreto establece el Sistema Nacional de Seguridad Digital, definiendo
conceptos clave como gobernanza de la seguridad digital, incidente de
seguridad digital e infraestructura crítica cibernética. También define las
funciones del Comité Estratégico de Seguridad Digital.

Estas leyes y decretos conforman el marco legal que rige la protección de datos personales y la seguridad de la información en Colombia, estableciendo derechos, obligaciones y mecanismos de control para garantizar la adecuada gestión de la información en el país.

Conclusiones y recomendaciones finales

La información es un activo fundamental para el progreso socioeconómico, por lo que es necesario protegerla para fomentar la igualdad de oportunidades y la confianza institucional. Colombia ha instituido un aparato regulatorio integral, ejemplificado por la Ley 1581 de 2012 y la Ley 1273 de 2009, que protegen los datos personales y mejoran la seguridad de la información, alineándose con los puntos de referencia mundiales. No obstante, a pesar de los avances, persisten obstáculos, incluido el imperativo de la educación en ciberseguridad y la aplicación efectiva de las regulaciones, obstaculizados por la escasez de personal calificado en seguridad de la información, lo que subraya la necesidad de un compromiso institucional continuo y una colaboración social para reforzar la resiliencia de la ciberseguridad.

Referencias bibliográficas

Cuevas, A. (2024). Estructura Organizacional en la Seguridad de la Información. Tecnec one. https://blog.tecnetone.com/estructuraorganizacional-en-la-seguridad-de-la-informaci%C3%B3n

FCA. (2024). Objetivos De Seguridad De La Información De Una Organización. Financial Crime Academy.
https://financialcrimeacademy.org/es/objetivos-de-seguridad-de-la-informacion-de-una-organizacion/

Gov.co. (s. f.-a). Decreto 338 de 2022—Gestor Normativo—Función Pública. Recuperado 27 de agosto de 2024, de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=181866

Gov.co. (s. f.-b). Protección de datos personales | MINCIT – Ministerio de Comercio, Industria y Turismo. Recuperado 27 de agosto de 2024, de https://www.mincit.gov.co/minindustria/estrategia-transversal/regulacion/proteccion-de-datos-personales

Logo.gov. (s. f.). Ley 1581 de 2012—Gestor Normativo—Función Pública. Recuperado 27 de agosto de 2024, de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981

Sánchez, A., & R, I. (2001). La importancia social de la información. ACIMED, 9(3), 221-223. http://scielo.sld.cu/scielo.php script=sci_abstract&pid=S102494352001000300007&lng=es&nrm=iso&tlng=es

UNAD, W. (2020, agosto 13). Leyes Informáticas. Universidad Nacional Abierta y a Distancia UNAD – Educación Virtual. https://gpit.unad.edu.co/seguridad-de-la-informacion/leyesinformaticas

UNIR. (2024). Ley de protección de datos en Colombia: Claves y regulación. Universidad Virtual. | UNIR Colombia – Maestrías y Grados virtuales. https://colombia.unir.net/actualidad-unir/ley-proteccion-datos/

GOBERNANZA DE LAS TIC , Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001

Análisis del contexto organizacional en los SGSI

Introducción

La seguridad de la información se ha convertido en un pilar fundamental para lograr la estabilidad y
el éxito en las organizaciones del mundo. Las crecientes amenazas de ciberataques, fuga de datos
confidenciales y las interrupciones en los servicios han subrayado la necesidad imperante de
salvaguardar la integridad, confidencialidad y la disponibilidad de la información.

Esto destaca la importancia del Sistema de Gestión de Seguridad de la Información (SGSI) en el
marco de las operaciones organizacionales. El análisis del contexto organizacional desempeña un
papel fundamental en la determinación de la eficacia general de SGSI, ya que tiene una influencia
directa en los procesos de toma de decisiones estratégicas y la asignación de recursos dentro de
una organización (Daneshmandnia, 2023).

El establecimiento de un marco de gobernanza de la seguridad claramente articulado que esté
armonizado con los objetivos generales de la organización mejora significativamente la calidad de las
decisiones relacionadas con la seguridad, y va más allá de la mera implementación de medidas de
mitigación de riesgos y mecanismos de control. Realizar una evaluación exhaustiva del contexto
organizacional es imprescindible para lograr una gestión de riesgos eficaz, ya que esta evaluación
ayuda a identificar las posibles vulnerabilidades y garantiza que las políticas de seguridad estén
alineadas estratégicamente con los objetivos empresariales más amplios (Santos et al., 2022).

Contexto de la organización según la norma ISO/IEC 27001:2022

Una comprensión profunda del contexto de la organización es indispensable para la implementación
exitosa de un SGSI, tal como se describe en la norma ISO/IEC 27001:2022, que se alinea
estrechamente con las normas ISO 31000 que rigen la gestión de riesgos.

La fase inicial del desarrollo sistemático de un SGSI se basa fundamentalmente en la identificación y
determinación exhaustivas de los «desafíos» o «problemas» internos y externos a los que se
enfrenta actualmente la organización dentro de su marco operativo. Este paso crucial implica un
análisis y una evaluación de los diversos factores que pueden afectar negativamente al desempeño y
la postura de seguridad de la organización en relación con la gestión y la protección de la
información.

Esta norma fomenta un enfoque estructurado para cumplir los requisitos articulados en el capítulo
5.3, haciendo hincapié en la importancia de distinguir y reconocer los contextos internos y externos
que podrían influir en los objetivos de la organización y en su capacidad para lograr los resultados
deseados del SGSI(«El contexto de la Organización – ISO 27001 – Como cumplir el requisito», s. f.)

Contexto interno

De acuerdo con los estándares establecidos por la norma ISO/IEC 27001:2022, el término «contexto
interno» de una organización abarca una amplia gama de factores y circunstancias que tienen el
potencial de influir significativamente en la capacidad de la organización para alcanzar con éxito los
objetivos establecidos para su SGSI. Este contexto particular se describe detalladamente en la
cláusula 4.1 de la norma antes mencionada, y es fundamentalmente crucial para la implementación
efectiva y exitosa del marco del SGSI dentro de la organización (ESGinnova, 2022).

Los principales componentes que constituyen el contexto interno son la estructura organizacional,
que abarca la intrincada jerarquía y distribución de roles, responsabilidades y autoridad dentro de la
organización. Un conocimiento profundo de cómo se organiza sistemáticamente la empresa es
fundamental para identificar a las personas o grupos que tienen la responsabilidad de supervisar y
garantizar el cumplimiento de los protocolos de seguridad de la información.

Los objetivos generales y la dirección estratégica de la organización pueden tener un efecto profundo
en la manera en que se identifican, evalúan y administran los riesgos de seguridad de la información.
Es de suma importancia garantizar que el SGSI esté alineado de manera efectiva con los objetivos
estratégicos y la dirección operativa de la organización para facilitar un enfoque coherente de la
gestión de riesgos (Solutions, 2023).

Los recursos disponibles abarcan los recursos humanos, tecnológicos y financieros que la
organización tiene a su disposición para la implementación de las medidas de seguridad. La
disponibilidad, la calidad y la competencia de estos recursos influirán directamente en la capacidad
de la organización para implementar, administrar y mantener el SGSI de manera efectiva a lo largo
del tiempo.

La cultura que impregna la organización, incluidos sus valores fundamentales, creencias y normas
de comportamiento, puede tener un impacto significativo en la aceptación y la eficacia generales de
las políticas e iniciativas de seguridad de la información que se pongan en marcha. Una cultura
organizacional positiva puede aumentar la probabilidad de que los empleados cumplan con éxito las
políticas.

Por su parte, las políticas y los procedimientos operativos existentes actualmente en la organización
son fundamentales para comprender cómo se gestionan los riesgos en la actualidad y cómo se
implementan sistemáticamente las diversas medidas de seguridad para mitigarlos. Además, las
relaciones y los acuerdos con los proveedores, vendedores y socios pueden introducir riesgos de
seguridad que requieren una consideración cuidadosa en el contexto interno, especialmente en los
casos en que estas partes externas tienen acceso a información confidencial o privada que
pertenece a la organización (Escuela Europea de excelencia, 2024).

Contexto externo

El contexto externo abarca una amplia gama de factores y circunstancias que existen fuera de la
propia organización, y estos elementos pueden influir significativamente en su capacidad para
alcanzar con éxito los objetivos asociados con el SGSI. Es imperativo que las organizaciones tengan
en cuenta las leyes y reglamentos pertinentes a su sector específico, además de los diversos
estatutos de protección de datos y normas de seguridad de la información que están obligadas a
cumplir para garantizar el cumplimiento y mitigar los riesgos legales (Herrera, 2024).

Las condiciones económicas imperantes, que pueden abarcar aspectos como las tasas de inflación,
la dinámica de crecimiento del mercado y el nivel de competencia dentro de la industria, que
desempeñan un papel fundamental a la hora de determinar cómo una organización asigna sus
recursos y gestiona los riesgos de seguridad asociados que surgen de estos factores económicos.

Diversas tendencias sociales, culturales y demográficas tienen el potencial de moldear las
expectativas de las partes interesadas, influyendo así en la manera en que la organización se
relaciona con estos diversos grupos y adapta sus comunicaciones y servicios para satisfacer sus
necesidades cambiantes (ESGinnova, 2022).

El rápido ritmo de los avances tecnológicos y las innovaciones que se producen en el panorama del
mercado puede presentar simultáneamente oportunidades de crecimiento y riesgos para la
seguridad; por lo tanto, las organizaciones deben permanecer atentas e informadas sobre las
tecnologías emergentes que podrían tener implicaciones significativas para su SGSI.

Las relaciones con las partes interesadas implican la identificación y la comprensión de las diversas
necesidades y expectativas de clientes, proveedores, socios y organismos reguladores, ya que estas
relaciones son fundamentales para la implementación exitosa del SGSI, dado que pueden afectar
profundamente la reputación de la organización y el nivel de confianza que las partes interesadas
depositan en ella.

El proceso de identificar los riesgos externos que podrían socavar la seguridad de la información, así
como reconocer las oportunidades que pueden surgir de los cambios en el panorama ambiental, es
esencial para la planificación estratégica y el desarrollo continuo del SGSI, garantizando que la
organización no solo proteja su información, sino que también aproveche las condiciones favorables
para el crecimiento(Escuela Europea de excelencia, 2024).

Conclusiones y reflexiones finales

Una comprensión integral de los contextos internos y externos es esencial para administrar de
manera efectiva los riesgos de seguridad de la información, ya que incorpora las reglas, las pautas y
los modelos adoptados por la organización y define la naturaleza y el alcance de las relaciones
contractuales que son parte integral del marco operativo de la organización.

Es muy importante reconocer hasta qué punto los factores internos y externos pueden afectar la
seguridad de la información y la eficacia general de la organización, particularmente a la luz de las
diversas y dinámicas influencias de los diversos agentes que caracterizan el entorno operativo de la
organización, que pueden incluir la gobernanza, la cultura organizacional y las relaciones
contractuales, entre otros.

Referencias bibliográficas

Daneshmandnia, A. (2023). Exploring Information Security Processes Effectiveness in Educational Institutions: Impacts of Organizational Factors). 2023 IEEE Asia-Pacific Conference on Computer Science and Data Engineering (CSDE), 1-6. https://doi.org/10.1109/CSDE59766.2023.10487771

El contexto de la Organización—ISO 27001—Cómo cumplir el requisito. (s. f.). Norma ISO 27001. Recuperado 19 de agosto de 2024, de https://www.normaiso27001.es/fase-2-analisis-del-contexto-de-la-organizacion-y-determinacion-del-alcance/

Escuela Europea de excelencia. (2024). Cómo definir el contexto de la organización según ISO 27001 (actualizado a ISO 27001:2022). https://www.escuelaeuropeaexcelencia.com/2024/07/como-definir-el-contexto-de-la-organizacion-segun-iso-27001-actualizado-a-iso270012022/

ESGinnova. (2022). Contexto de la organización de la nueva ISO/IEC 27001:2022. https://www.pmg-ssi.com/2022/12/contexto-de-laorganizacion-de-la-nueva-iso-iec-270012022/

Herrera, H. (2024). Comprender el Alcance y el Contexto de la Organización: Primer Paso hacia una Implementación Exitosa de ISO 27001:2022. https://www.hectorherrera.net/2024/06/comprender-el-alcance-y-el-contexto-de.html

Santos, J., Reis, L., & Landum, M. (2022). Risk Management in an Organizational Context. ITEMA 2024. VIa Conferencia Científica Internacional sobre Avances Recientes en Tecnología de la Información, Turismo, Economía, Gestión y Agricultura, Eslovenia. https://doi.org/10.31410/ITEMA.2022.117

Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/

GOBERNANZA DE LAS TIC , Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS , SISTEMAS DE GESTIÓN NORMALIZADOS

Importancia de los SGSI ISO 27 001: 2022

Introducción

Durante el año 2016, el 55,51% de los sistemas informáticos fueron víctimas de códigos maliciosos y virus, lo que supuso una amenaza importante para numerosas organizaciones (G & Suroso, 2022). El aumento de la frecuencia y la complejidad en los últimos años de las ciberamenazas, junto con las estrictas exigencias regulatorias, destacan la necesidad crucial de un enfoque sólido y estandarizado de la seguridad de la información. La ISO 27001: 2022 ofrece un marco integral que permite a las organizaciones, identificar, evaluar y controlar metódicamente los riesgos de seguridad de la información. 

La ISO 27001: 2022 se destaca por ser un marco que se puede adecuar y ajustar para adaptarse a los requisitos y circunstancias específicos únicos de cada sector industrial. Además, se puede integrar con otros sistemas de gestión, como los de calidad, riesgo o continuidad empresarial. La ISO 27001: 2022 goza de reconocimiento mundial como norma que proporciona un enfoque metódico y global para gestionar la seguridad de la información (Ewuga et al., 2023).

Según la investigación realizada por Chavez et al., (2024), la implementación de la norma ISO 27001: 2022 mejora la seguridad de la información al aumentar los controles de confidencialidad, integridad y disponibilidad, reducir los incidentes, proteger los datos, garantizar la confianza y cumplir con las regulaciones del sector de servicios de Internet. Además, el aumento de los controles de confidencialidad, integridad y disponibilidad después de la implementación, reduce los incidentes de seguridad en las diferentes categorías. No obstante emprender el proceso de obtención de la certificación ISO 27001:2022 requiere un compromiso profundo por parte de toda la organización.

La gestión de riesgos de seguridad de la información y la ISO 27001: 2022

Los riesgos son inherentes a todas las facetas de las operaciones de una organización, incluida la información. Para gestionar los mismos de manera eficaz, una organización debe identificarlos inicialmente, analizar sus implicaciones y determinar la necesidad de mitigar los riesgos para alinearlos con los criterios de riesgo de la organización. La norma ISO 27001:2022 desempeña un papel crucial en los sistemas de gestión de la seguridad de la información (SGSI) dentro de las organizaciones, ya que establece un marco sistemático para proteger la información crítica y gestionar los riesgos asociados (Perez, 2023a).

La investigación realizada por G & Suroso, (2022) plantea que el riesgo derivado de un error humano que ponga en peligro la seguridad de la información de una organización puede mitigarse mediante el establecimiento de una cultura sólida de seguridad de la información, que reduzca así los incidentes o las filtraciones de datos. 

Un componente fundamental de una cultura de seguridad de la información eficaz, es contar con una fuerza laboral bien informada y vigilante, que demuestre una conducta cuidadosa y prudente en cumplimiento de las políticas estipuladas por la administración. Las amenazas a los sistemas de información se ciernen de manera inquietante y trascienden las fronteras geográficas, de ahí que se hace necesaria su aplicación, aunque esta adopción también impone desafíos.

Retos en la aplicación de la ISO 27001:2022

La aplicación de esta norma es ideal para garantizar la seguridad de la información, pero puede ser compleja debido a la necesidad de mejoras en los procesos, adaptaciones de roles y un largo proceso de implementación. Las organizaciones más pequeñas, como las pequeñas y medianas empresas, a menudo luchan por pagar los gastos asociados. El cambio hacia una mentalidad de seguridad de la información, requiere una transformación en la forma en que se percibe la seguridad dentro de la cultura organizacional (Mera-Amores & Roa, 2024).

La seguridad no debe verse simplemente como un requisito obligatorio, sino como un facilitador de los negocios, que mejora la confianza de los clientes y proveedores. Este cambio cultural es imprescindible para garantizar que todos los empleados adopten medidas de seguridad proactivas en sus actividades diarias. La resistencia de los empleados al cambio, puede representar un obstáculo formidable, ya que los miembros del personal pueden percibir la introducción de nuevas políticas y procedimientos de seguridad, como una carga adicional (Perez, 2023b).

 Es esencial involucrar a los empleados de todos los niveles de la organización durante la fase de implementación para minimizar la resistencia y fomentar una transición más fluida a los nuevos protocolos de seguridad.

La norma aboga por la mejora continua, por lo que las organizaciones deben revisar y mejorar periódicamente sus políticas y procedimientos. Este proceso continuo puede ser un desafío, ya que requiere un compromiso y una asignación de recursos sostenidos para mantener la eficacia del SGSI a lo largo del tiempo (Baena et al., 2019). A pesar de estos importantes desafíos, pueden superarse mediante una planificación minuciosa, la asignación de recursos y un compromiso dedicado con la seguridad de la información ya que estos esfuerzos pueden verse recompensados con múltiples beneficios. 

Importancia y beneficios de adoptar la norma ISO 27000 

Adoptar la norma ISO 27001: 2022 no solo ayuda a mitigar los riesgos, sino que también mejora la confianza de los clientes y la eficiencia operativa a largo plazo. Puede ser una herramienta valiosa para gestionar la seguridad de la información sin incurrir en costes sustanciales (Mera-Amores & Roa, 2024). 

Ofrece una metodología bien estructurada para reconocer, evaluar y controlar los riesgos de seguridad de la información. Esto permite a las organizaciones implementar las medidas adecuadas para mitigar las posibles amenazas, lo que es particularmente vital en un entorno cada vez más digitalizado. Ayuda a cumplir con diversas normativas y mandatos legales, relacionados con la protección de datos, como el Reglamento General de Protección de Datos (GDPR). Esto es especialmente pertinente para las entidades que operan en sectores muy regulados, como el financiero y el sanitario, donde el incumplimiento puede conllevar sanciones severas.

También fomenta una cultura de mejora continua en la gestión de la seguridad de la información, lo que permite a las organizaciones adaptarse a los nuevos riesgos y a las tecnologías emergentes. Esta postura proactiva contribuye a reforzar la postura de seguridad de forma gradual con el tiempo. Como consecuencia, al mostrar la dedicación de una organización a la seguridad de la información, se mejora la confianza de los clientes, los socios comerciales y otras partes interesadas; por lo que se puede generar notables ventajas competitivas en el mercado. 

Entre otros beneficios, se pueden agilizar los procesos internos, reducir los costos relacionados con los incidentes de seguridad y aumentar la productividad al delinear las funciones y responsabilidades en la gestión de los riesgos de la información. Identificar y proteger sus activos de información más valiosos, garantizando la confidencialidad, la integridad y la disponibilidad de los datos, que son vitales para mantener las operaciones comerciales.

Conclusiones y reflexiones finales

La implementación de la norma ISO 27001: 2022, no solo mejora la seguridad de la información al aumentar los controles de confidencialidad, integridad y disponibilidad, sino que también reduce los incidentes de seguridad y ayuda a cumplir con regulaciones sectoriales. Sin embargo, su adopción requiere un compromiso organizacional profundo y un cambio cultural que valore la seguridad como un facilitador del negocio, en lugar de un mero requisito. Los retos asociados a la implementación de la norma, como la resistencia al cambio y los recursos limitados, pueden ser superados mediante una planificación adecuada y la participación activa de todos los niveles de la organización. Esta norma no solo mitiga riesgos, sino que también fortalece la confianza de clientes y socios, mejora la eficiencia operativa y proporciona una ventaja competitiva en un entorno empresarial cada vez más digitalizado y regulado.

Referencias bibliográficas

Chavez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC

27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th

International Conference on Cloud Computing, Data Science & Engineering (Confluence), 184-189. https://doi.org/10.1109/Confluence60223.2024.10463392

Ewuga, S. K., Egieya, Z. E., Omotosho, A., & Adegbite, A. O. (2023). ISO 27001 IN BANKING: AN EVALUATION OF ITS IMPLEMENTATION AND EFFECTIVENESS IN

ENHANCING INFORMATION SECURITY. Finance & Accounting Research Journal,

5(12), Article 12. https://doi.org/10.51594/farj.v5i12.684

G, K. W. N., & Suroso, J. S. (2022). Analysis of Risk Management Information System

Applications Using Iso/Iec 27001:2022. Syntax Literate ; Jurnal Ilmiah Indonesia, 7(11),

18372-18391. https://doi.org/10.36418/syntax-literate.v7i11.15426

Mera-Amores, F., & Roa, H. N. (2024). Enhancing Information Security Management in Small and Medium Enterprises (SMEs) Through ISO 27001 Compliance. En K. Arai (Ed.),

Advances in Information and Communication (pp. 197-207). Springer Nature

Switzerland. https://doi.org/10.1007/978-3-031-53963-3_14

Perez, P. (2023a, junio 29). Gestión de riesgos y seguridad de la información. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2023/06/gestion-de-riesgos-y-seguridad-de-lainformacion/

Perez, P. (2023b, septiembre 7). Contexto general de la ISO 27000. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2023/09/contexto-general-de-la-iso-27000/

Regina Baena, G., Mendoza Mendez, R. V., & Joel Coronado, E. dorantes. (2019). Importancia de la norma ISO/EIC 27000 en la implementación de un sistema de gestión de la seguridad de la información. contribuciones a la Economía, junio.

https://www.eumed.net/rev/ce/2019/2/norma-iso-eic.html