Certificaciones como la ISO 27001 son muy importantes para estandarizar procesos previenen ataques y que sirven de estrategia para garantizar la privacidad de los datos de una empresa. <\/p>\n
Una organizaci\u00f3n que cuente con la ISO 27001, demuestra que sigue directrices que permiten una seguridad eficaz. Es una evidencia importante porque los puntos d\u00e9biles y fallas en la seguridad de los datos no s\u00f3lo afectan a la empresa en s\u00ed, sino tambi\u00e9n a los trabajadores, clientes, socios y cualquier otra persona y empresa que se relacione con la organizaci\u00f3n. <\/p>\n
La ISO 27001, adem\u00e1s de ser una de las principales y m\u00e1s importantes certificaciones de seguridad de la informaci\u00f3n, contribuye a reforzar las operaciones de su empresa.<\/p>\n
Pero, \u00bfSabe que es la certificaci\u00f3n ISO 27001? <\/p>\n
En este art\u00edculo, explicaremos de que se trata esa norma, para qu\u00e9 sirve, como usarla y cuales son sus beneficios para su empresa.<\/p>\n
Contin\u00fae leyendo para profundizar su conocimiento sobre la ISO.<\/p>\n
Temas abordados<\/p>\n
La ISO\/IEC 27001 es la norma de referencia internacional que da los requisitos para proteger la informaci\u00f3n de manera sistem\u00e1tica, a trav\u00e9s de la adopci\u00f3n de un Sistema de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n (SGSI). Fue publicada en octubre de 2005 por la International Organization for Standardization (ISO)<\/a> y por la International Electrotechnical Commission<\/a>, y fue desarrollada bas\u00e1ndose en la Norma Brit\u00e1nica BS 7799-2, sustituyendo esa norma, dejando de ser v\u00e1lida.<\/p>\n Generalmente es llamada ISO\/IEC 27001 o ISO 27001, pero su nombre completo es ISO\/IEC 27001 \u2013 Tecnolog\u00eda de la Informaci\u00f3n \u2013 T\u00e9cnicas de Seguridad \u2013 Sistemas de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n \u2013 Requisitos. <\/p>\n La ISO 27001 puede ser usada en cualquier tipo de organizaci\u00f3n, sin importar su \u00e1rea o tama\u00f1o. El objetivo de esta norma es elevar el nivel de la seguridad de la informaci\u00f3n de las organizaciones para mitigar y gestionar los riesgos por medio de la implantaci\u00f3n de un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n. Los resultados de la certificaci\u00f3n se podr\u00e1n ver en todos los sectores de la empresa, adem\u00e1s de ser considerado un factor distintivo competitivo en el mercado.<\/p>\n Es importante dejar claro que ninguna organizaci\u00f3n est\u00e1 obligada a tener la certifica\u00e7\u00e3o ISO\/IEC 27001. Sin embargo, puede ser una exigencia de parte de los clientes y socios antes de cerrar un contrato con la empresa.<\/p>\n Por eso, el adoptar padrones de esta norma es una decisi\u00f3n estrat\u00e9gica, que debe ser tomada de acuerdo con las necesidades, tama\u00f1o y \u00e1rea de actuaci\u00f3n del negocio.<\/p>\n La ISO \/ IEC 27001 est\u00e1 dividida en 11 secciones y un Anexo A, donde las secciones de la 0 a la 3 son introductorias (y no son obligatorias para la implementaci\u00f3n), mientras las secciones de la 4 a la 10 son obligatorias; lo que significa que todos sus requisitos se deben implementar en la organizaci\u00f3n si se tiene como objetivo cumplir con los requisitos de la norma. Los controles del Anexo A deben ser implementados solo si se dicen aplicables en la Declaraci\u00f3n de Aplicabilidad.<\/p>\n De acuerdo con el Anexo SL de las Directivas ISO \/ IEC de International Organization for Standardization, los t\u00edtulos de las secciones de la ISO 27001 son los mismos de la ISO 22301:2012, en la nueva ISO 9001:2015, y otras normas de gesti\u00f3n, lo que permite una integraci\u00f3n m\u00e1s f\u00e1cil de estas normas.<\/p>\n Debido a la preocupaci\u00f3n sobre la confianza en el manejo adecuado de la informaci\u00f3n y datos sensibles dentro de una empresa, la ISO 27001, as\u00ed como otras normas de la familia ISO, hace un abordaje sistem\u00e1tico para la protecci\u00f3n de informaciones confidenciales dentro de una organizaci\u00f3n. <\/p>\n Tal preocupaci\u00f3n con los datos puede venir de la propia empresa, por la relevancia y privacidad de su informaci\u00f3n, de un posible proveedor o socio o incluso de clientes que le dan sus datos personales a la organizaci\u00f3n.<\/p>\n De ser as\u00ed, para garantizar la seguridad de la informaci\u00f3n, prevenir ataques y actuar de manera estrat\u00e9gica, es necesario contar con procesos fuertes y estructurados. Para lograrlo, se deben observar una serie de puntos. Para ello, existe la norma de normalizaci\u00f3n, para garantizar que una organizaci\u00f3n cumpla todos los requisitos de un SGSI adecuado. <\/p>\n As\u00ed, la adopci\u00f3n de la ISO 27001 sirve para garantizar la adhesi\u00f3n a un conjunto de requisitos, procesos y controles que buscan gestionar el riesgo de forma adecuada. <\/p>\n Esta norma presenta caracter\u00edsticas que s\u00f3lo benefician a las organizaciones certificadas por ella. <\/p>\n La ISO 27001 busca cumplir con principios de confidencialidad, integridad y disponibilidad de la informaci\u00f3n. Su objetivo es identificar los riesgos, definiciones de estrategias para evitarlos e implementar salvaguardas. <\/p>\n A continuaci\u00f3n, separamos las principales caracter\u00edsticas de esa norma. <\/p>\n La norma le exige a la empresa hacer un an\u00e1lisis de riesgos de seguridad peri\u00f3dicamente y cada vez que se hagan o se propongan cambios significativos. Para realizar ese an\u00e1lisis de manera correcta, es necesario establecer los criterios de aceptaci\u00f3n de riesgos, as\u00ed como la definici\u00f3n de c\u00f3mo esos riesgos ser\u00e1n medidos. La norma tambi\u00e9n exige que los directivos demuestren compromiso con el SGSI, adem\u00e1s de ser esa, la parte de la empresa responsable en s\u00ed por la seguridad de la informaci\u00f3n. Los l\u00edderes tambi\u00e9n son los responsables por asegurar que todos los recursos para la implantaci\u00f3n del sistema est\u00e9n disponibles y colocados correctamente y tienen la obligaci\u00f3n de orientar a los trabajadores para que el sistema sea verdaderamente eficiente.<\/p>\n Durante la planificaci\u00f3n, la empresa debe tener muy claro cuales son sus objetivos de seguridad y cu\u00e1les ser\u00e1n las estrategias establecidas para alcanzar esos objetivos. Los objetivos, por otro lado, no pueden ser gen\u00e9ricos, deben ser medibles y tener en cuenta los requisitos de seguridad.<\/p>\n La organizaci\u00f3n tambi\u00e9n debe garantizar que todos los recursos necesarios est\u00e9n disponibles, no solo para la implementaci\u00f3n, sino tambi\u00e9n para el mantenimiento del sistema. Adem\u00e1s, es necesario establecer cuales son las competencias necesarias y asegurarse de que las personas responsables est\u00e9n lo suficientemente cualificadas, e incluso con un documento como aval.<\/p>\n Tener una prueba oficial de que la gesti\u00f3n de seguridad de la informaci\u00f3n de su empresa obedece los padrones m\u00e1s altos del sector es un distintivo importante para su negocio.<\/p>\n Sabiendo que las informaciones y datos m\u00e1s sensibles est\u00e1n debidamente protegidos, es posible operar con m\u00e1s confianza, buscando continuamente innovar y crecer dentro del sector y como organizaci\u00f3n. Tener la seguridad de la informaci\u00f3n como elemento estrat\u00e9gico es cada vez m\u00e1s importante.<\/p>\n Los avances de la tecnolog\u00eda impactan a todos los sectores del mercado, desde el desarrollo de productos hasta la relaci\u00f3n con el cliente. En consecuencia, trabajar por la seguridad de la informaci\u00f3n dentro de las normas ISO 27001 es una forma de alinear procesos y alcanzar nuevas metas. <\/p>\n Adem\u00e1s, existen otros beneficios que una organizaci\u00f3n puede tener al usar la ISO 27001. Ent\u00e9rese a continuaci\u00f3n.<\/p>\n La ISO 27001 provee las buenas pr\u00e1cticas con respecto a la Gesti\u00f3n de la Seguridad de la Informaci\u00f3n, sus controles son reconocidos internacionalmente, adem\u00e1s de alcanzar a la Seguridad de la Informaci\u00f3n a todo nivel.<\/p>\n La norma obliga a la empresa, cumplir con todas las leyes y requisitos legales, dando un impacto de manera positiva a la gesti\u00f3n de riesgos, reducci\u00f3n de impacto y gobernanza corporativa. O sea, la metodolog\u00eda implementada por la ISO 27001 permite colocar al negocio en ley, cumpliendo con la mayor\u00eda de las leyes de protecci\u00f3n de datos vigentes. <\/p>\n Con el an\u00e1lisis de riesgos y su plan de acci\u00f3n, se planifican y dirigen los controles para evitar que se saque provecho de los puntos d\u00e9biles del sistema. <\/p>\n Con un an\u00e1lisis de riesgos bien estructurado, las inversiones usualmente se convierten en algo recurrente. O sea, los recursos se usan para reducir riesgos de forma general, en vez de enfocarse en un \u00e1rea determinada, dejando las otras expuestas.<\/p>\n Seguir las pr\u00e1cticas de ISO 27001 y tener el certificado ISO 27001 demuestra el compromiso de la empresa con la seguridad de la informaci\u00f3n. Por consiguiente, la confianza de sus clientes con la empresa aumenta considerablemente. <\/p>\n Adem\u00e1s, una empresa certificada puede aumentar el n\u00famero de oportunidades de negocios, tomando en cuenta que muchas empresas cuando contratan, exigen que sus proveedores o socios, tengan la certificaci\u00f3n como garant\u00eda de cumplimiento de las leyes y un alto nivel de preocupaci\u00f3n con lo que tiene que ver con la seguridad de la informaci\u00f3n.<\/p>\n La ISO 27001 establece que es necesario determinar las responsabilidades y los responsables de las misma, para acabar con las dudas de qui\u00e9n decide o cuida de determinado asunto. En otras palabras, cuando las acciones est\u00e1n bien definidas y los objetivos son claros, el rendimiento operativo es m\u00e1s eficaz.<\/p>\n Adem\u00e1s, la norma aumenta los niveles de adhesi\u00f3n de la sensibilidad, la participaci\u00f3n y la motivaci\u00f3n de los empleados con respecto a la seguridad de la informaci\u00f3n. <\/p>\n Es una de las principales caracter\u00edsticas y acciones definidas por la norma. La ISO deja claro que la empresa debe comprometerse a mejorar sus procesos de gesti\u00f3n siempre que sea necesario. Por lo tanto, las auditor\u00edas deben llevarse a cabo para que la empresa tenga la oportunidad de revisar, analizar y cambiar sus procesos si es necesario, debido a la aparici\u00f3n de un gap o una oportunidad. <\/p>\n Una de las bases de la ISO 27001 es el ciclo PDCA (planificar, hacer, verificar, actuar), que tambi\u00e9n es parte de las otras normas de sistemas de gesti\u00f3n. <\/p>\n Como consecuencia, resulta m\u00e1s sencillo desarrollar un sistema de gesti\u00f3n \u00fanico que cumpla los requisitos de otras normas, por ejemplo, la ISO 9001 – sistema de gesti\u00f3n de la calidad. <\/p>\n Entonces, ya conoce todos los beneficios de la ISO 27001 y ha decidido certificar su empresa. Pero, \u00bfc\u00f3mo se hace?<\/p>\n Para la implementaci\u00f3n de la ISO 27001, en una organizaci\u00f3n, es necesario seguir 16 pasos:<\/p>\n Aunque parece obvio, este paso no suele tomarse en serio. Es necesario conseguir el apoyo de la direcci\u00f3n para que facilite las personas y el dinero necesarios para este proyecto. <\/p>\n La implementaci\u00f3n de la ISO 27001 implica muchas actividades, personas y tiempo. Hay que definir las acciones a realizar, la persona asignada a cada tarea y el tiempo que tendr\u00e1 para realizarla. <\/p>\n En el caso de las grandes organizaciones, es posible implantar la ISO 27001 en una sola \u00e1rea de la misma, la que se ocupa de los datos. Por lo tanto, antes de iniciar la aplicaci\u00f3n, hay que definir el \u00e1mbito o alcance de aplicaci\u00f3n. <\/p>\n El SGSI es un documento de alto nivel, que no debe ser muy detallado, donde se definan algunos temas b\u00e1sicos de la seguridad de la informaci\u00f3n en su organizaci\u00f3n. El prop\u00f3sito de este documento es definir lo que se quiere conseguir y c\u00f3mo mantener el control sobre ello.<\/p>\n La evaluaci\u00f3n de riesgos es la tarea m\u00e1s compleja del proyecto ISO 27001. Es importante definir las pautas para la identificaci\u00f3n de los activos, vulnerabilidades, amenazas, impactos y probabilidad, y determinar el nivel de riesgo aceptable.<\/p>\n En este paso, se debe implementar lo definido en el paso anterior. Para organizaciones m\u00e1s grandes, esto podr\u00eda llevar un tiempo. El objetivo es tener una visi\u00f3n amplia de los peligros que puede correr la informaci\u00f3n en la organizaci\u00f3n. <\/p>\n El objetivo del proceso de tratamiento de riesgos es disminuir los riesgos que no son aceptables. Por lo general, esto se hace mediante el uso de los controles del Anexo A. <\/p>\n Es necesario redactar un informe de evaluaci\u00f3n de riesgos, para documentar todos los pasos dados durante los procesos de evaluaci\u00f3n y tratamiento de riesgos. Adem\u00e1s, se debe obtener la aprobaci\u00f3n de los riesgos residuales, bien como documento separado o como parte de la Declaraci\u00f3n de aplicabilidad. <\/p>\n Despu\u00e9s de cumplir con el paso anterior, sabr\u00e1 exactamente qu\u00e9 controles del Anexo A necesitar\u00e1 (hay un total de 114 controles, pero probablemente no necesitar\u00e1 todos). <\/p>\n Este documento pretende enumerar todos los controles para definir cu\u00e1les son aplicables y cu\u00e1les no, y los motivos de esa decisi\u00f3n, los objetivos que se pretenden alcanzar con los controles y una descripci\u00f3n de c\u00f3mo se aplicar\u00e1n. <\/p>\n La Declaraci\u00f3n de Aplicabilidad es tambi\u00e9n el documento m\u00e1s adecuado para obtener la autorizaci\u00f3n de la direcci\u00f3n para implementar el SGSI.<\/p>\n El prop\u00f3sito del plan de tratamiento de riesgos es definir exactamente c\u00f3mo se deben aplicar los controles de la SoA. Este documento es un plan de ejecuci\u00f3n centrado en sus controles. <\/p>\n Es importante recordar que hay que definir c\u00f3mo se va a medir la consecuci\u00f3n de los objetivos que se han fijado, tanto para el SGSI entero como para cada control aplicable en la Declaraci\u00f3n de aplicabilidad. <\/p>\n Esa es la etapa m\u00e1s arriesgada del proyecto. Normalmente envuelve la aplicaci\u00f3n de nuevas tecnolog\u00edas, pero por encima de todo, la implementaci\u00f3n de nuevos comportamientos en la organizaci\u00f3n. <\/p>\n Muchas veces, nuevas pol\u00edticas y procedimientos son necesarios (lo que significa que es necesario un cambio), y las personas generalmente se resisten a los cambios. <\/p>\n Es necesario explicarle al equipo porque es necesario implementar nuevas pol\u00edticas y procedimientos y entrenarlos para ser capaces de seguir la planificaci\u00f3n. <\/p>\n La ausencia de esas actividades es la segunda raz\u00f3n m\u00e1s com\u00fan por la que fracasa un proyecto de ISO 27001.<\/p>\n Esta es la etapa en la que la ISO 27001 se convierte en una rutina diaria dentro de la organizaci\u00f3n. Deben mantenerse registros, porque sin registros, ser\u00e1 muy dif\u00edcil demostrar que se realiz\u00f3 realmente alguna actividad. Los registros lo ayudar\u00e1n, porque con ellos es posible controlar lo que sucede. <\/p>\n En este punto, los objetivos de sus controles y las metodolog\u00edas de medici\u00f3n se unen, y hay que comprobar si los resultados obtenidos alcanzan lo definido en los objetivos. Si no lo son, deben tomarse medidas correctivas y\/o preventivas.<\/p>\n Desconocer los problemas existentes o posibles puede perjudicar a su organizaci\u00f3n. Por lo tanto, es necesario realizar auditor\u00edas internas para descubrir posibles problemas. El objetivo es tomar medidas correctivas y preventivas. <\/p>\n La gerencia debe saber qu\u00e9 ocurre en el SGSI, si todos realizaron su trabajo, si el SGSI est\u00e1 logrando los resultados deseados, etc. A partir de ah\u00ed, la gerencia pasa a tomar algunas decisiones cruciales. <\/p>\n El objetivo de este paso es garantizar que todos los incumplimientos se corrijan y, preferiblemente, se eviten. <\/p>\n Por lo tanto, la ISO 27001 exige que las acciones correctivas y preventivas sean realizadas de forma sistem\u00e1tica, lo que significa que la causa b\u00e1sica de un incumplimiento debe ser identificado y, en seguida, resuelto y verificado. <\/p>\n La ISO 27001 requiere que la siguiente documentaci\u00f3n est\u00e9 escrita:<\/p>\n Y estos son los registros obligatorios:<\/p>\n Claro, una organizaci\u00f3n puede decidir escribir documentos de seguridad adicionales si se considera necesario.<\/p>\n Para obtener la certificaci\u00f3n IS0 27001, despu\u00e9s de pasar por las etapas de implementaci\u00f3n, la empresa debe someterse a una auditor\u00eda externa de certificaci\u00f3n a trav\u00e9s de una organizaci\u00f3n certificada. <\/p>\n Esa auditor\u00eda consta de las siguientes fases:<\/p>\n Esta es la etapa donde los auditores verifican si se han realizado los procedimientos y controles de la norma ISO 27001. El organismo certificador comparte los resultados y, si se detectan brechas, se pueden sanar. <\/p>\n Si se han cumplido todos los requisitos, la entidad certificada inicia la 2\u00ba fase que consiste en evaluar la implementaci\u00f3n de los procedimientos y controles de su empresa para certificar que est\u00e1n funcionando efectivamente conforme a lo exigido en la certificaci\u00f3n. <\/p>\n Generalmente los auditores realizan una visita al local para auditar si todas las actividades de la organizaci\u00f3n est\u00e1n en cumplimiento con la ISO 27001 y con la documentaci\u00f3n analizada previamente.<\/p>\n Tras la emisi\u00f3n del certificado ISO\/IEC 27001, y durante su validez, la organizaci\u00f3n recibir\u00e1 visitas peri\u00f3dicas de auditores para garantizar que su sistema de gesti\u00f3n no s\u00f3lo sigue cumpliendo las normas, sino que tambi\u00e9n mejora continuamente.<\/p>\n\u00bfC\u00f3mo est\u00e1 organizada la ISO 27001?<\/h2>\n
\n
\u00bfPara qu\u00e9 sirve la ISO 27001?<\/h2>\n
Principales caracter\u00edsticas de la ISO 27001<\/h2>\n
An\u00e1lisis de riesgos<\/h3>\n
\nTambi\u00e9n, se deben evaluar las posibles consecuencias de los riesgos identificados, la probabilidad de que ocurran y sus magnitud.<\/p>\nCompromiso de altos directivos<\/h3>\n
Definici\u00f3n de objetivos y estrategias<\/h3>\n
Recursos y capacidades<\/h3>\n
Los beneficios de la ISO 27001 para su empresa<\/h2>\n
Buenas pr\u00e1cticas<\/h3>\n
Cumplimiento<\/h3>\n
Reducci\u00f3n de riesgos<\/h3>\n
Reducci\u00f3n de costos<\/h3>\n
Ventaja competitiva<\/h3>\n
Organizaci\u00f3n interna de la empresa<\/h3>\n
Mejor\u00eda continua<\/h3>\n
Integraci\u00f3n de los sistemas de gesti\u00f3n<\/h3>\n
Aplicaci\u00f3n de la norma ISO 27001<\/h2>\n
Obtener el apoyo de la gerencia<\/h3>\n
Tratar como proyecto<\/h3>\n
Definir el alcance<\/h3>\n
Escribir el SGSI<\/h3>\n
Definir el m\u00e9todo de evaluaci\u00f3n de riesgos<\/h3>\n
Realizar la evaluaci\u00f3n y el tratamiento de los riesgos<\/h3>\n
Redactar la Declaraci\u00f3n de aplicabilidad<\/h3>\n
Elaborar el Plan de Tratamiento de Riesgos<\/h3>\n
Definir c\u00f3mo medir la eficacia de los controles<\/h3>\n
Implementar los controles y procedimientos obligatorios<\/h3>\n
Implementar programas de entrenamiento y sensibilizaci\u00f3n<\/h3>\n
Operar el SGSI<\/h3>\n
Monitorear el SGSI<\/h3>\n
Realizar auditor\u00eda interna<\/h3>\n
Realizar un an\u00e1lisis cr\u00edtico de la gesti\u00f3n<\/h3>\n
Acciones correctivas y preventivas<\/h3>\n
Documentaci\u00f3n obligatoria <\/h2>\n
\n
\n
\u00bfC\u00f3mo puede una organizaci\u00f3n obtener la certificaci\u00f3n ISO 27001?<\/h2>\n
Fase 1 (An\u00e1lisis de brechas)<\/h3>\n
Fase 2 (Evaluaci\u00f3n Formal)<\/h3>\n
Visitas de supervisi\u00f3n<\/h3>\n