¿Qué es la norma ISO/IEC 27001:2022?
La Organización Internacional de Normalización (ISO, por sus siglas en inglés) es una organización internacional independiente y no gubernamental que agrupa a 170 organismos nacionales de normalización. ISO/IEC 27001 la publican conjuntamente la ISO y la Comisión Electrotécnica Internacional (IEC), y es la norma más conocida del mundo para los sistemas de gestión de la seguridad de la información (ISMS). La norma ISO/IEC 27001 ofrece a todas las organizaciones una guía para establecer, implementar, mantener y mejorar de forma continua los sistemas de gestión de la seguridad de la información.
Las normas ISO cuentan con el acuerdo de expertos en ciberseguridad a nivel internacional y son ampliamente reconocidas en todo el mundo. La certificación ISO está disponible para organizaciones de todos los sectores económicos (todo tipo de servicios y actividades manufactureras, así como el sector primario; organizaciones privadas, públicas y sin ánimo de lucro).
La conformidad con la norma ISO/IEC 27001 significa que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o trata, y que este sistema aplica todas las buenas prácticas y principios consagrados en esta norma internacional.
Reglamento | En vigor
El DORA está estructurado en torno a cinco pilares clave. Cada uno de ellos está diseñado para abordar distintos aspectos de la resiliencia operativa digital de los servicios financieros.
- Gestión y gobernanza del riesgo en las TIC: el DORA hace que la dirección y los miembros del consejo sean responsables de definir, implantar y mantener un marco de gestión del riesgo en TIC que permita lograr una mayor resiliencia operativa digital de manera eficaz. El DORA exige que las entidades financieras dispongan de un marco interno de gobernanza y control que garantice una gestión eficaz y prudente del riesgo en las TIC.
- Notificación de incidentes: las organizaciones de servicios financieros deben establecer sistemas para supervisar, gestionar, registrar, clasificar y notificar los incidentes relacionados con las TIC con el fin de evaluar los ataques, mitigar el impacto en los clientes y las operaciones, y reportarlos a las autoridades.
- Pruebas de resiliencia operativa digital: las entidades financieras deben implantar y ejecutar anualmente un programa integral de pruebas de resiliencia operativa digital. El DORA también establece que las entidades financieras deben garantizar, cuando proceda, la participación de los proveedores externos de TIC en sus pruebas de resiliencia operativa digital.
- El riesgo de terceros en las TIC: uno de los aspectos clave del DORA es el riesgo de terceros en las TIC y su papel en la mitigación de riesgos. Las entidades financieras dependen en gran medida de proveedores externos de TIC que pueden encontrarse fuera de la UE, como ocurre con varios proveedores de servicios en la nube. En consecuencia, las entidades financieras deben incluir el riesgo de terceros en las TIC como un componente integral de su marco de gestión del riesgo en TIC.
- Intercambio de información: el DORA también fomenta el intercambio voluntario de información e inteligencia sobre ciberamenazas para reforzar la resiliencia operativa digital del sector.
Las normas ISO cuentan con el acuerdo de expertos en ciberseguridad a nivel internacional y son ampliamente reconocidas en todo el mundo. La certificación ISO está disponible para organizaciones de todos los sectores económicos (todo tipo de servicios y actividades manufactureras, así como el sector primario; organizaciones privadas, públicas y sin ánimo de lucro).
ISO/IEC 27001 es una norma internacional cuyo incumplimiento no conlleva sanciones. Sin embargo, la certificación ISO/IEC 27001:2022 puede proporcionar una capa de defensa frente a multas impuestas por normativas como el RGPD en caso de brecha de datos, al evidenciar los esfuerzos de buena fe de la organización en la aplicación de las mejores prácticas de seguridad de la información.
Mientras que la ISO/IEC 27001 especifica los requisitos para establecer un sistema de gestión de la seguridad de la información, la ISO/IEC 27002 establece las mejores prácticas y controles detallados que pueden aplicarse dentro del sistema. La principal diferencia es que la ISO/IEC 27001 es una norma para la que las organizaciones pueden obtener una certificación, mientras que la ISO/IEC 27002 no lo es. Los requisitos de la siguiente tabla figuran tanto en la ISO 27001 como en la ISO 27002.
Cómo Thales puede ayudar a cumplir la norma ISO/IEC 27001:2022
Thales ayuda a las organizaciones a cumplir la norma ISO/IEC 27001:2022 al abordar los requisitos esenciales incluidos en el Anexo A relativos a los controles de seguridad de la información. Ofrecemos soluciones integrales de ciberseguridad en tres áreas clave de la ciberseguridad: seguridad de las aplicaciones, seguridad de los datos y gestión de identidades y accesos.
Soluciones de cumplimiento de la norma ISO/IEC 27001:2022
Requisitos ISO compatibles: 8. Controles tecnológicos
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos, seguridad para API, una red de distribución de contenidos (CDN) segura y autoprotección de aplicaciones en tiempo de ejecución (RASP).
Requisitos ISO compatibles: 5. Controles organizativos y 8. Controles tecnológicos
Descubra y clasifique datos sensibles en entornos híbridos de TI y protéjalos automáticamente en cualquier ubicación, ya sea en reposo, en tránsito o en uso, mediante cifrado, tokenización y gestión de claves Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación precisa de los mismos. También identifican comportamientos anómalos y supervisan la actividad para identificar posibles amenazas y verificar el cumplimiento, lo que permite a las organizaciones priorizar las áreas a las que deben destinar sus esfuerzos.
Requisitos ISO compatibles: 5. Controles organizativos, 6. Controles sobre las personas, 7. Controles físicos y 8. Controles tecnológicos
Proporcione un acceso fluido, seguro y de confianza a aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de los usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Libro electrónico
Cumplimiento de la norma ISO 27001 sobre seguridad de la información, ciberseguridad y protección de la privacidad
Lea nuestro libro electrónico detallado para comprender cómo Thales puede ayudarle con los requisitos de cumplimiento de la norma ISO 27001.
Recursos relacionados
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.