Todo sobre la ISO 27001 y la Seguridad de la información

Por Tribuna - 16/09/2020

Un artículo de Hugo González Rosas, especialista informático, que resume la importancia de la norma ISO 27001 para las empresas y la relevancia de su implementación

Iso 27001  es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2017 y ahora su nombre completo es ISO/IEC 27001:2017. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

¿Cómo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.

Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar todos estos elementos dentro del sistema de gestión de seguridad de la información (SGSI).

Por eso, la gestión de la seguridad de la información no se acota solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.

¿Por qué ISO 27001 es importante para su empresa?

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

  • Cumplir con los requerimientos legales: cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
  • Obtener una ventaja comercial: si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.
  • Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
  • Una mejor organización: en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento

¿Cómo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:

1) Obtener el apoyo de la dirección.

2) Utilizar una metodología para gestión de proyectos.

3) Definir el alcance del SGSI.

4) Redactar una política de alto nivel sobre seguridad de la información.

5) Definir la metodología de evaluación de riesgos.

6) Realizar la evaluación y el tratamiento de riesgos.

7) Redactar la Declaración de aplicabilidad.

8) Redactar el Plan de tratamiento de riesgos.

9) Definir la forma de medir la efectividad de sus controles y de su SGSI.

10) Implementar todos los controles y procedimientos necesarios.

11) Implementar programas de capacitación y concienciación.

12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI.

13) Monitorear y medir su SGSI.

14) Realizar la auditoría interna.

15) Realizar la revisión por parte de la dirección.

16) Implementar medidas correctivas.

Documentación obligatoria

ISO 27001 requiere que se confeccione la siguiente documentación:

  • Alcance del SGSI (punto 4.3)
  • Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
  • Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
  • Declaración de aplicabilidad (punto 6.1.3 d)
  • Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
  • Informe de evaluación de riesgos (punto 8.2)
  • Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
  • Inventario de activos (punto A.8.1.1)
  • Uso aceptable de los activos (punto A.8.1.3)
  • Política de control de acceso (punto A.9.1.1)
  • Procedimientos operativos para gestión de TI (punto A.12.1.1)
  • Principios de ingeniería para sistema seguro (punto A.14.2.5)
  • Política de seguridad para proveedores (punto A.15.1.1)
  • Procedimiento para gestión de incidentes (punto A.16.1.5)
  • Procedimientos para continuidad del negocio (punto A.17.1.2)
  • Requisitos legales, normativos y contractuales (punto A.18.1.1)

Y estos son los registros obligatorios:

  • Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)
  • Monitoreo y resultados de medición (punto 9.1)
  • Programa de auditoría interna (punto 9.2)
  • Resultados de auditorias internas (punto 9.2)
  • Resultados de la revisión por parte de la dirección (punto 9.3)
  • Resultados de medidas correctivas (punto 10.1)
  • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)

Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad adicionales si lo considera necesario.

Ventajas de la ISO 27001

Las 6 principales ventajas son las siguientes:

1. Estructura el sistema de gestión

Un sistema de gestión certificado nos garantiza que nuestros procesos de seguridad estén estructurados y coordinados.

2. Reducimos el riesgo de tener un incidente de seguridad

La certificación no significa «riesgo 0» o «ausencia total de riesgo». Sí, significa disponer de una herramienta eficaz para identificar los riesgos y minimizarlos y aumentar el nivel de seguridad. Además, si se llegara a producir un incidente, la certificación nos ayuda a reducir los daños y los costes al tener un plan de continuidad del negocio.

3. Aseguramos a las empresas que cumplimos toda la legislación aplicable

En total, se deben superar 144 controles de gestión, tecnológicos y legales. De esos controles, 34 son de carácter legal, es decir, relativos al código penal, los datos personales, la propiedad intelectual, la firma electrónica o los servicios de la sociedad de información. Por tanto, la ISO 27001 es mucho más que una norma tecnológica.

4. Aumenta el prestigio de la empresa

Actualmente, pocas empresas disponen de esta certificación.

5. Mejora la confianza de los clientes en nuestros servicios y datos.

Aplicar las mejores prácticas en materia de seguridad es una garantía para las partes interesadas y aumenta la confianza de los clientes.

6. Facilita la homologación como proveedores

Cada vez más, se solicitan evaluaciones para homologar los proveedores a través de cuestionarios que contemplan aspectos como calidad, medio ambiente, cumplimiento legal o seguridad. Disponer de sistemas de gestión certificados facilita este proceso y ahorra pasar largas auditorías cuando el cliente lo requiere, ya que la certificación demuestra que el sistema ha sido auditado por un tercero.

Otras normas relacionadas con seguridad de la información

ISO/IEC 27002 proporciona directrices para la implementación de los controles indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona más información sobre cómo implementar esos controles. A la ISO 27002 anteriormente se la conocía como ISO/IEC 17799 y surgió de la norma británica BS 7799-1.

ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la información; se acopla bien con ISO 27001 ya que explica cómo determinar si el SGSI ha alcanzado los objetivos.

ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información. Es un muy buen complemento para ISO 27001 ya que brinda más información sobre cómo llevar a cabo la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la implementación. ISO 27005 ha surgido de la norma británica BS 7799-3.

ISO 22301 define los requerimientos para los sistemas de gestión de continuidad del negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta última requiere la implementación de la continuidad del negocio aunque no proporciona demasiada información.

ISO 9001 define los requerimientos para los sistemas de gestión de calidad. Aunque a primera vista la gestión de calidad y la gestión de seguridad de la información no tienen mucho en común, lo cierto es que aproximadamente el 25% de los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de documentos, auditoría interna , revisión por parte de la dirección, medidas correctivas, definición de objetivos y gestión de competencias. Esto quiere decir que si una empresa ha implementado ISO 9001 le resultará mucho más sencillo implementar ISO 27001.

Artículos que te pueden interesar

En el ámbito de la tecnología, la inserción de la mujer sigue presentando desafíos

Ver más

Kaspersky y el rol de la mujer en ciberseguridad

Ver más

Los beneficios de unificar la seguridad informática en una organización

Ver más