ISO 27001:2013
Sistema de Gestión de Seguridad de la Información - El estándar probado y confiable para la protección de datos
⚠️ Importante: ISO 27001:2013 será reemplazada por ISO 27001:2022 en octubre de 2025
¿Qué es ISO 27001:2013?
La norma ISO/IEC 27001:2013 es el estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Durante más de una década, ha sido la referencia mundial para organizaciones que buscan proteger sistemáticamente su información confidencial, garantizar su integridad y disponibilidad.
Este estándar adopta un enfoque de gestión de riesgos basado en procesos y proporciona un marco para establecer, implementar, mantener y mejorar continuamente un SGSI.
Los 3 Pilares de la Seguridad de la Información
Confidencialidad
La información es accesible solo para aquellas personas autorizadas para tener acceso.
Integridad
Salvaguardar la exactitud y completitud de la información y métodos de procesamiento.
Disponibilidad
Asegurar que los usuarios autorizados tengan acceso a la información cuando la necesiten.
Estructura de ISO 27001:2013
Cláusulas Principales (4-10)
- 4. Contexto de la organización
- 5. Liderazgo
- 6. Planificación
- 7. Apoyo
- 8. Operación
- 9. Evaluación del desempeño
- 10. Mejora
Anexo A: Controles de Seguridad
114 controles organizados en 14 dominios de seguridad que cubren todos los aspectos de la seguridad de la información.
Nota: Los controles del Anexo A se aplican según la evaluación de riesgos y la declaración de aplicabilidad de cada organización.
14 Dominios de Controles de Seguridad
A.5 Políticas de Seguridad
2 controles
A.6 Organización de la Seguridad
7 controles
A.7 Seguridad del Recurso Humano
6 controles
A.8 Gestión de Activos
10 controles
A.9 Control de Acceso
14 controles
A.10 Criptografía
2 controles
A.11 Seguridad Física y del Entorno
15 controles
A.12 Seguridad de las Operaciones
14 controles
A.13 Seguridad de las Comunicaciones
7 controles
A.14 Adquisición, Desarrollo y Mantenimiento
13 controles
A.15 Relaciones con los Proveedores
5 controles
A.16 Gestión de Incidentes
7 controles
A.17 Continuidad del Negocio
4 controles
A.18 Cumplimiento
8 controles
Proceso de Implementación PDCA
PLANIFICAR
- • Política SGSI
- • Análisis de riesgos
- • Selección de controles
- • Declaración de aplicabilidad
HACER
- • Implementar controles
- • Formar al personal
- • Gestionar operaciones
- • Gestionar recursos
VERIFICAR
- • Monitorear controles
- • Auditorías internas
- • Revisión por la dirección
- • Medición de eficacia
ACTUAR
- • Acciones correctivas
- • Acciones preventivas
- • Mejora continua
- • Actualización del SGSI
Beneficios de ISO 27001:2013
Gestión de Riesgos
Identificación y tratamiento sistemático de riesgos de seguridad
Cumplimiento Legal
Facilita el cumplimiento de regulaciones de protección de datos
Confianza del Cliente
Demuestra compromiso con la seguridad de la información
Ventaja Competitiva
Diferenciación en licitaciones y contratos
Reducción de Costos
Prevención de incidentes de seguridad costosos
Mejora Continua
Marco para la mejora continua de la seguridad
¿Implementar ISO 27001:2013 o Migrar a 2022?
Si ya tiene ISO 27001:2013, es momento de planificar su migración a la versión 2022. Si es nuevo en ISO 27001, le recomendamos comenzar directamente con la versión 2022.