Conoce Atico34 - Solicita presupuesto
ComplianceLOPDGDD & RGPD

ISO 27001 de Protección de datos ¿Qué es, para qué sirve y cómo implementarla?

Garantizar la seguridad de la información en tiempos en los que los ataques cibernéticos ocurren cada vez con mayor frecuencia, es una labor clave para cualquier tipo de empresa que no quiera sufrir pérdidas de económicas y de reputación por la interrupción de sus servicios o por provocar perjuicios en la vida de sus clientes a causa del robo de información. La Norma ISO 27001 sobre la Seguridad y Privacidad de la Información, también ISO/IEC 27001, es el estándar internacional al que las empresas pueden recurrir para implementar de manera efectiva su Sistema de Gestión de Seguridad la Información (SGSI).

A lo largo de este artículo analizaremos la ISO 27001, qué es y para qué sirve.

¿Qué es la norma ISO 27001?

La norma ISO 27001 es un estándar internacional publicado por la ISO (Organización Internacional de Normalización) y la IEC (Comisión Eléctrica Internacional), de ahí que también se denomine ISO/IEC 27001, en el que se describe cómo implementar y gestionar un sistema de seguridad de la información en la empresa o cualquier tipo de entidad pública o privada en la que se quiera asegurar la confidencialidad, la integridad y la disponibilidad de la información.

La ISO 27001 describe cómo debe planificarse, implantar, verificar y controlar un Sistema de Gestión de la Seguridad de la Información en una organización, partiendo del análisis de riesgos y de la planificación de la respuesta que se dará a los mismos para mitigarlos, así como para garantizar la continuidad de la actividad de la organización.

Por lo tanto, para cualquier organización debe recurrir, para garantizar la confidencialidad, integridad y disponibilidad, a la ISO 27001.

tarifas proteccion datos

¿Para qué sirve la ISO 27001?

La ISO 27001 sirve para guiar a las empresas (o cualquier otro tipo de organización) a crear su Sistema de Gestión de la Seguridad de la Información. En ese sentido, es importante entender que la seguridad de la información, actualmente, engloba diferentes aspectos; como qué se considera que son activos de información en la organización y, por tanto, deben protegerse, la ciberseguridad y seguridad de Internet, las tecnologías de la información, la protección de datos y la continuidad del negocio.

Al seguir el estándar de la ISO 27001, las empresas, gracias al análisis de riesgos y la planificación, pueden mitigar los efectos que una brecha de seguridad informática puede tener para la continuidad del negocio y sus beneficios económicos.

Además, gracias a las recomendaciones para la clasificación de la información de la norma ISO 27001, las empresas pueden implementar las medidas de seguridad más adecuadas para mitigar los riesgos identificados en la fase de análisis, asegurando esas tres características que citábamos en el primer punto de este artículo:

  • Confidencialidad: Solo quienes estén autorizados pueden acceder a la información.
  • Integridad: Se asegura que la información es exacta y no se ha manipulado ni alterado.
  • Disponibilidad: Los usuarios autorizados podrán acceder a la información en todo momento que lo requieran.

Características de la ISO 27001

La ISO 27001 se centra especialmente en la gestión de riesgos, es decir, en identificar las amenazas para la seguridad de la información de una empresa, analizarlos y crear medidas y mecanismos cuyo objetivo sea reducir la posibilidad de materialización y, en caso de que ocurran, minimizar su impacto para la empresa. Por lo tanto, y cómo ya adelantábamos en el primer punto, la principal característica de la norma ISO 27001 es funcionar como guía para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).

Medidas de seguridad como reforzar la seguridad del hardware o software que usa la empresa, implementando soluciones como el sistema SIEM, o creando protocolos y políticas de seguridad que garanticen que las medidas con las que se cuenta, son empleadas de manera adecuada y efectiva.

Además, otras de las características de la norma ISO 27001 son:

  • Ayuda a las organizaciones a establecer una política y objetivos de gestión de la seguridad de la información, aplicando controles necesarios para ello.
  • Ayuda a las organizaciones a cumplir con requisitos normativos, como el RGPD y a mantener una evaluación continua del sistema, para garantizar el cumplimiento.
  • Es un enfoque integral de la seguridad de la información, englobando todos los activos que necesitan protección, desde los elementos digitales, hasta los físicos, incluido el conocimiento de los empleados.
  • Es compatible con otros estándares de gestión y, por tanto, integrable con ellos.

¿Qué requiere la norma ISO 27001?

Para implantar la norma ISO 27001 (especialmente de cara a su certificación), hay una serie de requisitos que se deben cumplir:

  • Desarrollar el Sistema de Gestión de la Seguridad de la Información de acuerdo a la propia norma.
  • Documentar todos los procedimientos desarrollados.
  • Definir y comunicar la política de seguridad de la información.
  • Plantear y desarrollar objetivos que, además, promuevan la mejora continua del sistema.
  • Asegurar el compromiso de la dirección.
  • Designar un responsable del SGSI.
  • Realizar una evaluación de riesgos.
  • Realizar un proceso de tratamiento de los riesgos detectados.

¿Cómo implementar la ISO 27001 en una empresa paso a paso?

La ISO 27001 se basa en la gestión de la calidad PDCA (o ciclo PDCA, aunque en su última actualización no aparece explícitamente, sigue estando muy presente en su estructura):

  • Plan (Planificar): Es la primera fase de la elaboración del SGSI, en la que se lleva a cabo la identificación de los riesgos que enfrenta la seguridad de la información, realizando para ello un análisis cuantitativo y cualitativo (cuando se requiere) de los riesgos detectados y planificando la respuesta que se les dará, así como los controles necesarios para su mitigación.
  • Do (Hacer): En esta fase se implementa y pone en marcha el SGSI tal y como se ha definido en la fase anterior.
  • Check (Verificar): Mientras el plan de seguridad está en funcionamiento, se revisa y evalúa para comprobar su eficacia. Si se detectan carencias o que las medidas y mecanismos resultan insuficientes, se deben analizar las causas tras las mismas y definir posibles mejoras.
  • Act (Actuar): La estrategia de seguridad siempre debe estar en proceso de mejora continua.

Teniendo en cuenta esto, la implementación de un SGSI de acuerdo a la ISO 27001 se puede dividir en las siguientes fases (todas deben ser documentadas):

Fase de planificación

En la fase de planificación, la organización debe identificar sus requisitos de seguridad de la información y establecer un plan para implementar el SGSI. Esta fase, a su vez, podemos dividirla en tres sub-fases:

  1. Definición de la política de seguridad de la información.
  2. Definición del alcance del SGSI, en qué áreas y activos se aplicará el sistema de gestión.
  3. Realizar el análisis de riesgos. Es la fase esencial de todo el proceso de implementación del SGSI, puesto que de los riesgos detectados y analizados, dependerá el resto de elementos del sistema. En esta fase es necesario elegir una metodología de evaluación de riesgos conforme a la ISO 27001, que sugiere una evaluación dividida en los siguientes pasos:
    • Identificación de los activos de información y sus responsables
    • Identificación de las vulnerabilidades de cada activo
    • Identificación de las amenazas a las que están expuestos los activos
    • Identificación de los requisitos normativos y contractuales que afectan a la organización
    • Identificación de los riesgos: para cada activo se definirá la probabilidad de que amenazas o vulnerabilidades puedan dañar su disponibilidad, confidencialidad y/o integridad
    • Cálculo del riesgo para determinar los riesgos prioritarios (riesgo = probabilidad de la amenaza x impacto de la amenaza)
    • Plan de tratamiento del riesgo: Selección de los controles y medidas para asumir, reducir, eliminar o transferir el riesgo

Fase de implementación

En la fase de implementación se elaboran, en función de los elementos de la fase anterior, las políticas, procedimientos y controles para proteger la información.

En esta fase se lleva a cabo la gestión del riesgo y la selección de controles y medidas a implementar (lo que se denomina plan de tratamiento del riesgo).

Fase de evaluación

Una vez implementado el SGSI, la organización, a través del responsable designado, debe evaluar la eficacia del sistema, para poder identificar carencias y áreas de mejora.

Fase de mejora continua

Esta última fase nos devolvería, al menos en parte, al comienzo, ya que un SGSI debe someterse siempre a un proceso de identificación y aplicación de mejoras continuas.

Así, una vez implementado y, en su caso, certificado, se deberá llevar a cabo una revisión del sistema para adoptar, cuando sea necesario, nuevas medidas preventivas, medidas correctivas o hacer propuestas de mejora.

iso 27001

Estructura de la norma ISO 27001

Para tener una visión global y, a modo de resumen de la ISO 27001, dejamos la estructura de la norma, en la que los capítulos 4 a 10 establecen las directrices a seguir de la misma para crear un SGSI:

  • Objeto y campo de aplicación.
  • Referencia a normativas que afectan al estándar.
  • Términos y definiciones utilizados en la norma.
  • Contexto de la organización: Conocimiento de la organización y de su contexto, así como de las necesidades y expectativas de los interesados. También se debe determinar aquí el alcance del SGSI.
  • Liderazgo: La implicación de la alta dirección en la implementación de la norma es fundamental, debe adoptar un rol de liderazgo y compromiso con el estándar y elaborar una política de seguridad que se comunicará a toda la plantilla, asignando roles, responsabilidades y autoridades dentro de la organización.
  • Planificación: Determinación de riesgos y establecimiento de objetivos para el SGSI.
  • Soporte: Los recursos, humanos y materiales, que se deben destinar a la planificación, implantación y funcionamiento del SGSI.
  • Operación: Planificar, implementar y controlar los procesos de la organización, valorando los riesgos para la seguridad de la información y el tratamiento de los mismos.
  • Evaluación del Desempeño: Cómo debe llevarse a cabo el seguimiento, medición, análisis, evaluación, auditoría interna y revisión del SGSI para comprobar su adecuado funcionamiento.
  • Mejora continúa del SGSI.

Finalmente, el Anexo A incluye los controles (medidas de seguridad) recomendados, agrupados en cuatro capítulos:

  • Controles organizacionales (37)
  • Controles de personas (8)
  • Controles físicos (14)
  • Controles tecnológicos (34)

¿Qué ventajas tiene implantar la norma 27001 en la empresa?

Como la adopción de otros estándares internacionales relacionados con la gestión de riesgos y seguridad, aplicar la ISO 27001 puede traer una serie de beneficios a la empresa, como por ejemplo, cumplir con diferentes normativas nacionales e internacionales respecto a la seguridad de la información, así como de la privacidad de información, como puede ser la Ley Orgánica de Protección de Personales y Garantía de los Derechos Digitales (LOPDGDD), aplicando la extensión de esta norma, la ISO 27701.

Ayuda también con la organización de la empresa, ya que hace necesario escribir políticas y protocolos de seguridad de la información, que, comunicados a todos los miembros de la misma, les ayuda a saber qué hacer, cómo hacerlo y cuándo hacerlo.

Minimizar y mitigar los riesgos que amenazan la seguridad de la información a través de la aplicación de la ISO 27001 evitará que la empresa incurra en ciertos gastos y costes relacionados con las brechas e incidentes de seguridad informática; por ejemplo, con controles que reduzcan la posibilidad de sufrir un ataque de ransomware y la utilización de backups, las empresas evitarán tener que pagar por recuperar sus sistemas y su información, reduciendo el tiempo en que sus servicios pueden verse interrumpidos.

Controles de la norma ISO 27001

Para que pueda garantizar la ISO 27001 la confidencialidad, integridad y disponibilidad de la información, es necesario aplicar una serie de controles, los más importantes que incluye la norma son:

Acceso controlado

Medidas técnicas y organizativas destinadas a restringir el acceso a los recursos de información solamente a las personas autorizadas.

Clasificación de la información

Controles que deben servir para identificar y clasificar la información que resulte crítica o esencial para la organización y así poder determinar el nivel de protección necesario.

Seguridad física

Cómo ya dijimos, la ISO 27001 no solo contempla la seguridad informática, sino también la seguridad física, por lo que incluye medidas para proteger recursos como dispositivos de almacenamiento, equipos informáticos, edificios o áreas concretas.

Control de dispositivos

Medidas de seguridad orientadas a la protección y control de los dispositivos que pueden acceder a la información, como pueden ser ordenadores, tablets o móviles, incluidos los dispositivos personales, si la organización permite su uso.

Criptografía

Empleo de medidas técnicas de cifrado para proteger la información en uso, tránsito y en reposo.

Copias de seguridad y recuperación

Elaboración de una política de copias de seguridad para asegurar la disponibilidad de la información en caso de desastre.

Monitoreo y auditoría

Medidas técnicas y organizativas orientadas al monitoreo y revisión periódica de los sistemas y registros de seguridad para detectar problemas, vulnerabilidades y actividades sospechosas.

Novedades de la norma ISO 27001:2022

Como el resto de estándares ISO, la norma 27001 ha pasado por varias revisiones y actualizaciones. Se publicó por primera vez en 2005 y ha tenido dos revisiones, la ISO 27001:2013 y la más reciente, la ISO 27001:2022.

Las sucesivas revisiones de la ISO 27001 no han hecho grandes cambios en la norma, puesto que sus pilares siguen siendo la evaluación y tratamiento de riesgos, y mantiene el ciclo PDCA, pero sí que han ido haciendo la norma más fácil de comprender, así como de integrar con otras normas ISO.

Los cambios de la ISO 27001:2022 no han alterado sustancialmente la estructura y forma de la norma. Los cambios más importantes se puede resumir en:

  • Reestructura de la numeración para aproximarla a la estructura de alto nivel.
  • Se incorpora un requisito explícito para definir los procesos y sus interacciones (cláusula 4.4)
  • Necesidad explícita de comunicar los roles relevantes en seguridad de la información en toda la organización (cláusula 5.3).
  • Monitorización de los objetivos de seguridad de la información explícita (cláusula 6.2).
  • Planificación de los cambios del sistema de gestión, que deben hacerse de forma controlada y siguiendo un plan para su implementación y validación (cláusula 6.3).
  • Establecer criterios para los procesos y aplicar el control de los mismos (cláusula 8.1).
  • La revisión realizada por la dirección debe tener en cuenta los cambios en las necesidades y expectativas de los stakeholders que sean relevantes para el SGSI.

Así mismo, también se han producido cambios en el Anexo, que pasa de 114 controles a 93 controles, organizados en cuatro capítulos (en la versión de 2013 eran 14 categorías). En la versión actual, hay controles nuevos y otros se han revisado y fusionado (ajustando así a la ISO 27002, que es la guía que desarrolla estos controles).

En definitiva, cualquier empresa que deseé implementar un SGSI efectivo, debería seguir las directrices de la ISO 27001, especialmente si aquellas empresas donde la seguridad de la información no es solo un elemento clave, sino una obligación, como ocurre en las empresas obligadas a designar un Responsable de Seguridad de la Información.

Encontraréis la ISO 27001 para descargar en PDF u otros formatos en la página oficial de la ISO y de AENOR (previo pago).

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.