ISO 27001
Implemente y mantenga la certificacion ISO 27001:2022 con CyberOrigen.
Vision General
ISO 27001 es el estandar internacional para sistemas de gestion de seguridad de la informacion (SGSI). Proporciona un enfoque sistematico para gestionar informacion sensible de la empresa.
Estructura
Requisitos del SGSI (Clausulas 4-10)
| Clausula | Titulo |
|---|---|
| 4 | Contexto de la Organizacion |
| 5 | Liderazgo |
| 6 | Planificacion |
| 7 | Soporte |
| 8 | Operacion |
| 9 | Evaluacion del Desempeno |
| 10 | Mejora |
Controles del Anexo A
93 controles en 4 temas:
| Tema | Controles |
|---|---|
| Organizacionales | 37 controles |
| Personas | 8 controles |
| Fisicos | 14 controles |
| Tecnologicos | 34 controles |
Categorias de Control
A.5 - Controles Organizacionales
| Control | Titulo |
|---|---|
| A.5.1 | Politicas de seguridad de la informacion |
| A.5.2 | Roles de seguridad de la informacion |
| A.5.3 | Segregacion de funciones |
| A.5.7 | Inteligencia de amenazas |
| ... | (37 total) |
A.6 - Controles de Personas
| Control | Titulo |
|---|---|
| A.6.1 | Verificacion de antecedentes |
| A.6.2 | Terminos y condiciones |
| A.6.3 | Concienciacion, educacion, capacitacion |
| ... | (8 total) |
A.7 - Controles Fisicos
| Control | Titulo |
|---|---|
| A.7.1 | Perimetros de seguridad fisica |
| A.7.4 | Monitoreo de seguridad fisica |
| A.7.9 | Seguridad de activos fuera de las instalaciones |
| ... | (14 total) |
A.8 - Controles Tecnologicos
| Control | Titulo |
|---|---|
| A.8.1 | Dispositivos de punto final de usuario |
| A.8.5 | Autenticacion segura |
| A.8.7 | Proteccion contra malware |
| A.8.9 | Gestion de configuracion |
| A.8.12 | Prevencion de fuga de datos |
| A.8.15 | Registro |
| A.8.16 | Actividades de monitoreo |
| A.8.24 | Uso de criptografia |
| ... | (34 total) |
Primeros Pasos
1. Habilitar Marco
- Vaya a GRC → Marcos
- Haga clic en Inscribir en ISO 27001:2022
- Haga clic en Habilitar
2. Declaracion de Aplicabilidad
Defina que controles aplican:
- Vaya a GRC → Biblioteca de Controles
- Filtre por ISO 27001
- Marque controles como:
- Aplicable (implementar)
- No Aplicable (con justificacion)
3. Evaluacion de Riesgos
- Vaya a GRC → Registro de Riesgos
- Identifique riesgos de seguridad de la informacion
- Evalue probabilidad e impacto
- Defina planes de tratamiento
Controles Clave
Controles Tecnicos
CyberOrigen ayuda con:
| Control | Funcion CyberOrigen |
|---|---|
| A.8.7 Proteccion contra malware | Gestion de cuarentena |
| A.8.8 Gestion de vulnerabilidades | Escaneo de 11 fases |
| A.8.9 Gestion de configuracion | Verificaciones de configuracion |
| A.8.15 Registro | Seguimiento de logs de auditoria |
| A.8.24 Criptografia | Escaneo TLS/cifrado |
Controles Organizacionales
Gestion de documentos para:
| Control | Tipo de Evidencia |
|---|---|
| A.5.1 Politicas | Gestion de politicas |
| A.5.2 Roles | Matriz RACI |
| A.5.23 Terceros | Gestion de proveedores |
Proceso de Certificacion
Auditoria Etapa 1
Revision de documentacion:
- Alcance del SGSI
- Metodologia de evaluacion de riesgos
- Declaracion de Aplicabilidad
- Politicas y procedimientos
Auditoria Etapa 2
Verificacion de implementacion:
- Pruebas de controles
- Revision de evidencias
- Entrevistas
- Visitas al sitio
Auditorias de Vigilancia
Auditorias anuales para mantener la certificacion:
- Subconjunto de controles evaluados
- Seguimiento de acciones correctivas
- Revision de mejora continua
Recopilacion de Evidencias
Evidencias Automatizadas
- Resultados de escaneo de vulnerabilidades
- Evaluaciones de configuracion
- Revisiones de acceso
- Exportaciones de logs
Evidencias Manuales
- Politicas y procedimientos
- Registros de evaluacion de riesgos
- Registros de capacitacion
- Revisiones de direccion
Mapeo de Controles
ISO 27001 se mapea a otros marcos:
| ISO 27001 | SOC 2 | PCI-DSS |
|---|---|---|
| A.5.1 | CC1.4 | 12.1 |
| A.8.5 | CC6.1 | 8.1 |
| A.8.8 | CC7.1 | 6.1 |
| A.8.24 | CC6.7 | 3.4 |
Cumplimiento Continuo
Mantenimiento del SGSI
- Mensual: Revisar metricas e incidentes
- Trimestral: Muestra de auditoria interna
- Anual: Revision de direccion, auditoria interna completa
- 3 Anos: Auditoria de recertificacion
Monitoreo CyberOrigen
- Puntuacion de cumplimiento en tiempo real
- Seguimiento de estado de controles
- Alertas de frescura de evidencias
- Actualizaciones del registro de riesgos
Brechas Comunes
| Control | Problema | Solucion |
|---|---|---|
| A.5.1 | Politicas desactualizadas | Calendario de revision de politicas |
| A.6.3 | Sin capacitacion de seguridad | Programa de capacitacion |
| A.8.8 | Acumulacion de vulnerabilidades | SLAs de remediacion |
| A.8.15 | Registro incompleto | Agregacion de logs |