Categories: ISO 27001, Principios fundamentales de iso 27001

by drmunozcl

Share

Categories: ISO 27001, Principios fundamentales de iso 27001

Por drmunozcl

Compartir

Uno de los principios fundamentales de la ISO 27001 es la mejora continua, un enfoque que asegura que el Sistema de Gestión de Seguridad de la Información (SGSI) no sea algo estático, sino un proceso dinámico que evoluciona junto con las necesidades de la organización y los cambios en el entorno.

¿Qué es la mejora continua?

La mejora continua implica un ciclo repetitivo de evaluación y ajustes para optimizar los procesos, controles y estrategias de seguridad. Este enfoque asegura que el SGSI sea cada vez más efectivo frente a nuevas amenazas, vulnerabilidades o cambios en el negocio.

El modelo más utilizado para implementar la mejora continua es el Ciclo PHVA (Planificar, Hacer, Verificar y Actuar).

 

El Ciclo PHVA en la ISO 27001

  1. Planificar (Plan)
    • Qué hacer: Establecer los objetivos de seguridad, identificar riesgos y planificar controles para mitigarlos.
    • Ejemplo: Definir que en el próximo trimestre se implementará una nueva política de control de accesos para proteger sistemas críticos.
  2. Hacer (Do)
    • Qué hacer: Implementar las políticas, controles y procesos definidos en la etapa de planificación.
    • Ejemplo: Configurar los sistemas para aplicar el control de accesos, capacitar a los empleados y comunicar la política.
  3. Verificar (Check)
    • Qué hacer: Monitorear y evaluar si las políticas y controles están funcionando como se esperaba.
    • Ejemplo: Realizar auditorías internas para revisar si los controles de acceso están siendo aplicados correctamente.
  4. Actuar (Act)
    • Qué hacer: Identificar áreas de mejora basadas en los resultados de las auditorías y otros indicadores, y hacer los ajustes necesarios.
    • Ejemplo: Si la auditoría revela que algunos empleados no siguen las políticas de acceso, implementar un plan de capacitación más efectivo.

Ejemplo práctico de mejora continua

Una empresa que maneja datos de clientes implementó inicialmente controles básicos para evitar accesos no autorizados. Después de una auditoría interna, identificaron que los empleados no entendían bien el proceso de autenticación multifactor.

Como resultado:

  1. Revisaron y simplificaron las instrucciones del proceso.
  2. Implementaron una nueva herramienta más fácil de usar.
  3. Programaron capacitaciones periódicas para reforzar el conocimiento.

En la siguiente auditoría, los resultados fueron significativamente mejores.

Conclusión

La mejora continua es como afinar constantemente los instrumentos de una orquesta: garantiza que todos los elementos del SGSI trabajen en armonía y se adapten a los cambios. No se trata de alcanzar una perfección inmutable, sino de progresar constantemente hacia una seguridad más robusta y efectiva.

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • monitoreo control 8.16 iso27001

    Implementación Control A.8.16 – Actividades de monitoreo

    El control 8.16 «Actividades de monitoreo» forma parte del conjunto de controles de seguridad de la norma ISO/IEC 27001:2022. Su propósito es garantizar que las actividades en los sistemas de información se puedan rastrear, verificar y auditar para detectar comportamientos inusuales, responder a incidentes y demostrar cumplimiento. Objetivo del control 8.16 “Las actividades relacionadas con

  • Ejemplo de Declaración de Aplicabilidad ISO 27001 (SoA)

    La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su

  • Prevención fuga de datos

    Implementación Control A.8.12 – Prevención de fuga de datos

    En el contexto actual donde la información es uno de los activos más valiosos de una organización, las fugas de datos (data leaks o data loss) representan una de las amenazas más críticas para la seguridad y la reputación corporativa. El control 8.12 de la ISO/IEC 27001:2022, titulado “Prevención de Fuga de Datos”, establece medidas

  • Eliminado de información iso27001 control 8.10

    Implementación Control A.8.10 – Eliminación de información

    El control 8.10 de la norma ISO/IEC 27001:2022 se titula “Eliminación de información” y pertenece al conjunto de controles del dominio 8: Controles de Seguridad para la Gestión de Activos. Su propósito es asegurar que la información se elimine de forma segura cuando ya no se requiere, evitando el acceso no autorizado, la divulgación indebida