This post is also available in: Português Español

Certificaciones como la ISO 27001 son muy importantes para estandarizar procesos previenen ataques y que sirven de estrategia para garantizar la privacidad de los datos de una empresa.

Una organización que cuente con la ISO 27001, demuestra que sigue directrices que permiten una seguridad eficaz. Es una evidencia importante porque los puntos débiles y fallas en la seguridad de los datos no sólo afectan a la empresa en sí, sino también a los trabajadores, clientes, socios y cualquier otra persona y empresa que se relacione con la organización.

La ISO 27001, además de ser una de las principales y más importantes certificaciones de seguridad de la información, contribuye a reforzar las operaciones de su empresa.

Pero, ¿Sabe que es la certificación ISO 27001?

En este artículo, explicaremos de que se trata esa norma, para qué sirve, como usarla y cuales son sus beneficios para su empresa.

Continúe leyendo para profundizar su conocimiento sobre la ISO.

Temas abordados

• ¿Qué es la ISO 27001?
• ¿Para qué sirve la ISO 27001?
• Principales características de la ISO 27001
• Beneficios de la ISO 27001 para su empresa
• La ISO 27001 puesta en marcha

¿Qué es la ISO 27001?

La ISO/IEC 27001 es la norma de referencia internacional que da los requisitos para proteger la información de manera sistemática, a través de la adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI). Fue publicada en octubre de 2005 por la International Organization for Standardization (ISO) y por la International Electrotechnical Commission, y fue desarrollada basándose en la Norma Británica BS 7799-2, sustituyendo esa norma, dejando de ser válida.

Generalmente es llamada ISO/IEC 27001 o ISO 27001, pero su nombre completo es ISO/IEC 27001 – Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información – Requisitos.

La ISO 27001 puede ser usada en cualquier tipo de organización, sin importar su área o tamaño. El objetivo de esta norma es elevar el nivel de la seguridad de la información de las organizaciones para mitigar y gestionar los riesgos por medio de la implantación de un Sistema de Gestión de Seguridad de la Información. Los resultados de la certificación se podrán ver en todos los sectores de la empresa, además de ser considerado un factor distintivo competitivo en el mercado.

Es importante dejar claro que ninguna organización está obligada a tener la certificação ISO/IEC 27001. Sin embargo, puede ser una exigencia de parte de los clientes y socios antes de cerrar un contrato con la empresa.

Por eso, el adoptar padrones de esta norma es una decisión estratégica, que debe ser tomada de acuerdo con las necesidades, tamaño y área de actuación del negocio.

¿Cómo está organizada la ISO 27001?

La ISO / IEC 27001 está dividida en 11 secciones y un Anexo A, donde las secciones de la 0 a la 3 son introductorias (y no son obligatorias para la implementación), mientras las secciones de la 4 a la 10 son obligatorias; lo que significa que todos sus requisitos se deben implementar en la organización si se tiene como objetivo cumplir con los requisitos de la norma. Los controles del Anexo A deben ser implementados solo si se dicen aplicables en la Declaración de Aplicabilidad.

De acuerdo con el Anexo SL de las Directivas ISO / IEC de International Organization for Standardization, los títulos de las secciones de la ISO 27001 son los mismos de la ISO 22301:2012, en la nueva ISO 9001:2015, y otras normas de gestión, lo que permite una integración más fácil de estas normas.

• Sección 0: Introducción– explica el propósito de la ISO 27001 y su compatibilidad con otras normas de gestión.
• Sección 1: Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
• Sección 2: Referencia normativa – se refiere a la ISO / IEC 27000 como una norma donde se presentan términos y definiciones.
• Sección 3: Términos y definiciones– nuevamente, se refiere a la ISO / IEC 27000.
• Sección 4: Contexto de la organización – esta sección es parte de la etapa de planificación (Plan) del ciclo PDCA y define los requisitos para el entendimiento de asuntos externos e internos, partes interesadas y sus requisitos, y la definición del alcance del SGSI.
• Sección 5: Liderazgo – esta sección es parte de la etapa de planificación (Plan) del ciclo PDCA y define las responsabilidades de la Alta Dirección, estableciendo papeles y responsabilidades, y el contenido de la política de seguridad de la información de alto nivel.
• Sección 6: Planificación– esta sección también forma parte de la etapa de planificación (Plan) del ciclo PDCA y define los requisitos para la evaluación de riesgo, tratamiento de riesgo, Declaración de Aplicabilidad, plan de tratamiento de riesgo, y define los objetivos de seguridad de la información.
• Sección 7: Apoyo – otra sección de la etapa de planificación (Plan) del ciclo PDCA y define los requisitos de disponibilidad de recursos, habilidades, conciencia, comunicación y control de documentos y registros.
• Sección 8: Operación– esta sección es parte de la etapa de ejecución (Do) del ciclo PDCA y define la implementación de la evaluación y tratamiento de riesgo, así como controles y otros procesos necesarios para lograr los objetivos de seguridad de la información.
• Sección 9: evaluación del desempeño – esta sección forma parte de la etapa verificación (Check) del ciclo PDCA y define los requisitos para el monitoreo, medición, análisis, evaluación, auditoría interna y análisis crítica de la Directiva.
• Sección 10: Mejoría– esta sección forma parte de la etapa de acción (Act) del ciclo PDCA y define los requisitos no cumplidos requisitos, acciones correctivas y mejoría continua.
• Anexo A – este anexo provee un catálogo de 114 controles (salvaguardas) distribuidos en 14 secciones (secciones de A.5 a A.18).

¿Para qué sirve la ISO 27001?

Debido a la preocupación sobre la confianza en el manejo adecuado de la información y datos sensibles dentro de una empresa, la ISO 27001, así como otras normas de la familia ISO, hace un abordaje sistemático para la protección de informaciones confidenciales dentro de una organización.

Tal preocupación con los datos puede venir de la propia empresa, por la relevancia y privacidad de su información, de un posible proveedor o socio o incluso de clientes que le dan sus datos personales a la organización.

De ser así, para garantizar la seguridad de la información, prevenir ataques y actuar de manera estratégica, es necesario contar con procesos fuertes y estructurados. Para lograrlo, se deben observar una serie de puntos. Para ello, existe la norma de normalización, para garantizar que una organización cumpla todos los requisitos de un SGSI adecuado.

Así, la adopción de la ISO 27001 sirve para garantizar la adhesión a un conjunto de requisitos, procesos y controles que buscan gestionar el riesgo de forma adecuada.

Esta norma presenta características que sólo benefician a las organizaciones certificadas por ella.

Principales características de la ISO 27001

La ISO 27001 busca cumplir con principios de confidencialidad, integridad y disponibilidad de la información. Su objetivo es identificar los riesgos, definiciones de estrategias para evitarlos e implementar salvaguardas.

A continuación, separamos las principales características de esa norma.

Análisis de riesgos

La norma le exige a la empresa hacer un análisis de riesgos de seguridad periódicamente y cada vez que se hagan o se propongan cambios significativos. Para realizar ese análisis de manera correcta, es necesario establecer los criterios de aceptación de riesgos, así como la definición de cómo esos riesgos serán medidos.
También, se deben evaluar las posibles consecuencias de los riesgos identificados, la probabilidad de que ocurran y sus magnitud.

Compromiso de altos directivos

La norma también exige que los directivos demuestren compromiso con el SGSI, además de ser esa, la parte de la empresa responsable en sí por la seguridad de la información. Los líderes también son los responsables por asegurar que todos los recursos para la implantación del sistema estén disponibles y colocados correctamente y tienen la obligación de orientar a los trabajadores para que el sistema sea verdaderamente eficiente.

Definición de objetivos y estrategias

Durante la planificación, la empresa debe tener muy claro cuales son sus objetivos de seguridad y cuáles serán las estrategias establecidas para alcanzar esos objetivos. Los objetivos, por otro lado, no pueden ser genéricos, deben ser medibles y tener en cuenta los requisitos de seguridad.

Recursos y capacidades

La organización también debe garantizar que todos los recursos necesarios estén disponibles, no solo para la implementación, sino también para el mantenimiento del sistema. Además, es necesario establecer cuales son las competencias necesarias y asegurarse de que las personas responsables estén lo suficientemente cualificadas, e incluso con un documento como aval.

Los beneficios de la ISO 27001 para su empresa

Tener una prueba oficial de que la gestión de seguridad de la información de su empresa obedece los padrones más altos del sector es un distintivo importante para su negocio.

Sabiendo que las informaciones y datos más sensibles están debidamente protegidos, es posible operar con más confianza, buscando continuamente innovar y crecer dentro del sector y como organización. Tener la seguridad de la información como elemento estratégico es cada vez más importante.

Los avances de la tecnología impactan a todos los sectores del mercado, desde el desarrollo de productos hasta la relación con el cliente. En consecuencia, trabajar por la seguridad de la información dentro de las normas ISO 27001 es una forma de alinear procesos y alcanzar nuevas metas.

Además, existen otros beneficios que una organización puede tener al usar la ISO 27001. Entérese a continuación.

Buenas prácticas

La ISO 27001 provee las buenas prácticas con respecto a la Gestión de la Seguridad de la Información, sus controles son reconocidos internacionalmente, además de alcanzar a la Seguridad de la Información a todo nivel.

Cumplimiento

La norma obliga a la empresa, cumplir con todas las leyes y requisitos legales, dando un impacto de manera positiva a la gestión de riesgos, reducción de impacto y gobernanza corporativa. O sea, la metodología implementada por la ISO 27001 permite colocar al negocio en ley, cumpliendo con la mayoría de las leyes de protección de datos vigentes.

Reducción de riesgos

Con el análisis de riesgos y su plan de acción, se planifican y dirigen los controles para evitar que se saque provecho de los puntos débiles del sistema.

Reducción de costos

Con un análisis de riesgos bien estructurado, las inversiones usualmente se convierten en algo recurrente. O sea, los recursos se usan para reducir riesgos de forma general, en vez de enfocarse en un área determinada, dejando las otras expuestas.

Ventaja competitiva

Seguir las prácticas de ISO 27001 y tener el certificado ISO 27001 demuestra el compromiso de la empresa con la seguridad de la información. Por consiguiente, la confianza de sus clientes con la empresa aumenta considerablemente.

Además, una empresa certificada puede aumentar el número de oportunidades de negocios, tomando en cuenta que muchas empresas cuando contratan, exigen que sus proveedores o socios, tengan la certificación como garantía de cumplimiento de las leyes y un alto nivel de preocupación con lo que tiene que ver con la seguridad de la información.

Organización interna de la empresa

La ISO 27001 establece que es necesario determinar las responsabilidades y los responsables de las misma, para acabar con las dudas de quién decide o cuida de determinado asunto. En otras palabras, cuando las acciones están bien definidas y los objetivos son claros, el rendimiento operativo es más eficaz.

Además, la norma aumenta los niveles de adhesión de la sensibilidad, la participación y la motivación de los empleados con respecto a la seguridad de la información.

Mejoría continua

Es una de las principales características y acciones definidas por la norma. La ISO deja claro que la empresa debe comprometerse a mejorar sus procesos de gestión siempre que sea necesario. Por lo tanto, las auditorías deben llevarse a cabo para que la empresa tenga la oportunidad de revisar, analizar y cambiar sus procesos si es necesario, debido a la aparición de un gap o una oportunidad.

Integración de los sistemas de gestión

Una de las bases de la ISO 27001 es el ciclo PDCA (planificar, hacer, verificar, actuar), que también es parte de las otras normas de sistemas de gestión.

Como consecuencia, resulta más sencillo desarrollar un sistema de gestión único que cumpla los requisitos de otras normas, por ejemplo, la ISO 9001 – sistema de gestión de la calidad.

Aplicación de la norma ISO 27001

Entonces, ya conoce todos los beneficios de la ISO 27001 y ha decidido certificar su empresa. Pero, ¿cómo se hace?

Para la implementación de la ISO 27001, en una organización, es necesario seguir 16 pasos:

Obtener el apoyo de la gerencia

Aunque parece obvio, este paso no suele tomarse en serio. Es necesario conseguir el apoyo de la dirección para que facilite las personas y el dinero necesarios para este proyecto.

Tratar como proyecto

La implementación de la ISO 27001 implica muchas actividades, personas y tiempo. Hay que definir las acciones a realizar, la persona asignada a cada tarea y el tiempo que tendrá para realizarla.

Definir el alcance

En el caso de las grandes organizaciones, es posible implantar la ISO 27001 en una sola área de la misma, la que se ocupa de los datos. Por lo tanto, antes de iniciar la aplicación, hay que definir el ámbito o alcance de aplicación.

Escribir el SGSI

El SGSI es un documento de alto nivel, que no debe ser muy detallado, donde se definan algunos temas básicos de la seguridad de la información en su organización. El propósito de este documento es definir lo que se quiere conseguir y cómo mantener el control sobre ello.

Definir el método de evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto ISO 27001. Es importante definir las pautas para la identificación de los activos, vulnerabilidades, amenazas, impactos y probabilidad, y determinar el nivel de riesgo aceptable.

Realizar la evaluación y el tratamiento de los riesgos

En este paso, se debe implementar lo definido en el paso anterior. Para organizaciones más grandes, esto podría llevar un tiempo. El objetivo es tener una visión amplia de los peligros que puede correr la información en la organización.

El objetivo del proceso de tratamiento de riesgos es disminuir los riesgos que no son aceptables. Por lo general, esto se hace mediante el uso de los controles del Anexo A.

Es necesario redactar un informe de evaluación de riesgos, para documentar todos los pasos dados durante los procesos de evaluación y tratamiento de riesgos. Además, se debe obtener la aprobación de los riesgos residuales, bien como documento separado o como parte de la Declaración de aplicabilidad.

Redactar la Declaración de aplicabilidad

Después de cumplir con el paso anterior, sabrá exactamente qué controles del Anexo A necesitará (hay un total de 114 controles, pero probablemente no necesitará todos).

Este documento pretende enumerar todos los controles para definir cuáles son aplicables y cuáles no, y los motivos de esa decisión, los objetivos que se pretenden alcanzar con los controles y una descripción de cómo se aplicarán.

La Declaración de Aplicabilidad es también el documento más adecuado para obtener la autorización de la dirección para implementar el SGSI.

Elaborar el Plan de Tratamiento de Riesgos

El propósito del plan de tratamiento de riesgos es definir exactamente cómo se deben aplicar los controles de la SoA. Este documento es un plan de ejecución centrado en sus controles.

Definir cómo medir la eficacia de los controles

Es importante recordar que hay que definir cómo se va a medir la consecución de los objetivos que se han fijado, tanto para el SGSI entero como para cada control aplicable en la Declaración de aplicabilidad.

Implementar los controles y procedimientos obligatorios

Esa es la etapa más arriesgada del proyecto. Normalmente envuelve la aplicación de nuevas tecnologías, pero por encima de todo, la implementación de nuevos comportamientos en la organización.

Muchas veces, nuevas políticas y procedimientos son necesarios (lo que significa que es necesario un cambio), y las personas generalmente se resisten a los cambios.

Implementar programas de entrenamiento y sensibilización

Es necesario explicarle al equipo porque es necesario implementar nuevas políticas y procedimientos y entrenarlos para ser capaces de seguir la planificación.

La ausencia de esas actividades es la segunda razón más común por la que fracasa un proyecto de ISO 27001.

Operar el SGSI

Esta es la etapa en la que la ISO 27001 se convierte en una rutina diaria dentro de la organización. Deben mantenerse registros, porque sin registros, será muy difícil demostrar que se realizó realmente alguna actividad. Los registros lo ayudarán, porque con ellos es posible controlar lo que sucede.

Monitorear el SGSI

En este punto, los objetivos de sus controles y las metodologías de medición se unen, y hay que comprobar si los resultados obtenidos alcanzan lo definido en los objetivos. Si no lo son, deben tomarse medidas correctivas y/o preventivas.

Realizar auditoría interna

Desconocer los problemas existentes o posibles puede perjudicar a su organización. Por lo tanto, es necesario realizar auditorías internas para descubrir posibles problemas. El objetivo es tomar medidas correctivas y preventivas.

Realizar un análisis crítico de la gestión

La gerencia debe saber qué ocurre en el SGSI, si todos realizaron su trabajo, si el SGSI está logrando los resultados deseados, etc. A partir de ahí, la gerencia pasa a tomar algunas decisiones cruciales.

Acciones correctivas y preventivas

El objetivo de este paso es garantizar que todos los incumplimientos se corrijan y, preferiblemente, se eviten.

Por lo tanto, la ISO 27001 exige que las acciones correctivas y preventivas sean realizadas de forma sistemática, lo que significa que la causa básica de un incumplimiento debe ser identificado y, en seguida, resuelto y verificado.

Documentación obligatoria

La ISO 27001 requiere que la siguiente documentación esté escrita:

• Alcance del SGSI (cláusula 4.3)
• Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2)
• Método de evaluación y tratamiento de riesgos (cláusula 6.1.2)
• Declaración de aplicabilidad (cláusula 6.1.3 d)
• Plan de tratamiento de riesgo (cláusulas 6.1.3 y 6.2)
• Informe de evaluación de riesgos (cláusula 8.2)
• Definición de las funciones y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4)
• Inventario de activos (cláusula A.8.1.1)
• Uso aceptable de los activos (cláusula A.8.1.3)
• Política de control de acceso (cláusula A.9.1.1)
• Procedimientos operativos para la gestión de TI (cláusula A.12.1.1)
• Principios para el diseño de sistemas seguros (cláusula A.14.2.5)
• Política de seguridad del proveedor (cláusula A.15.1.1)
• Procedimiento para la gestión de incidentes (cláusula A.16.1.5)
• Procedimientos de continuidad de la empresa (cláusula A.17.1.2)
• Requisitos legales, reglamentarios y contractuales (cláusula A.18.1.1)

Y estos son los registros obligatorios:

• Registros de entrenamiento, habilidades, experiencia y calificaciones (cláusula 7.2)
• Resultados del monitoreo y las mediciones (cláusula 9.1)
• Programa de auditoría interna (cláusula 9.2)
• Resultados de auditorías internas (cláusula 9.2)
• Resultados de análisis críticas de la dirección (cláusula 9.3)
• Resultados de medidas correctivas (cláusula 10.1)
• Registros (logs) de actividades de usuarios, de excepciones y eventos de seguridad (cláusula A.12.4.1 y A.12.4.3)

Claro, una organización puede decidir escribir documentos de seguridad adicionales si se considera necesario.

¿Cómo puede una organización obtener la certificación ISO 27001?

Para obtener la certificación IS0 27001, después de pasar por las etapas de implementación, la empresa debe someterse a una auditoría externa de certificación a través de una organización certificada.

Esa auditoría consta de las siguientes fases:

Fase 1 (Análisis de brechas)

Esta es la etapa donde los auditores verifican si se han realizado los procedimientos y controles de la norma ISO 27001. El organismo certificador comparte los resultados y, si se detectan brechas, se pueden sanar.

Fase 2 (Evaluación Formal)

Si se han cumplido todos los requisitos, la entidad certificada inicia la 2º fase que consiste en evaluar la implementación de los procedimientos y controles de su empresa para certificar que están funcionando efectivamente conforme a lo exigido en la certificación.

Generalmente los auditores realizan una visita al local para auditar si todas las actividades de la organización están en cumplimiento con la ISO 27001 y con la documentación analizada previamente.

Visitas de supervisión

Tras la emisión del certificado ISO/IEC 27001, y durante su validez, la organización recibirá visitas periódicas de auditores para garantizar que su sistema de gestión no sólo sigue cumpliendo las normas, sino que también mejora continuamente.

Ya sea mediante la aplicación y certificación de la ISO-27001 en su empresa o el uso de buenas prácticas, softwares y soluciones de seguridad, lo fundamental es comprender que mantener sus datos seguros precisa ser una prioridad.

OSTEC ofrece consultoría ISO 27001, para saber más, entre en contacto con uno de nuestros especialistas.

This post is also available in: Português Español