Conoce Atico34 - Solicita presupuesto
ComplianceLOPDGDD & RGPD

Norma ISO 27001 ¿Qué es y para qué sirve?

Garantizar la seguridad de la información en tiempos en los que los ataques cibernéticos ocurren cada vez con mayor frecuencia, es una labor clave para cualquier tipo de empresa que no quiera sufrir pérdidas de económicas y de reputación por la interrupción de sus servicios o por provocar perjuicios en la vida de sus clientes a causa del robo de información. La Norma ISO 27001 sobre la Seguridad y Privacidad de la Información, también ISO/IEC 27001, es el estándar internacional al que las empresas pueden recurrir para implementar de manera efectiva su Sistema de Gestión de Seguridad la Información (SGSI).

A lo largo de este artículo analizaremos la ISO 27001, qué es y para qué sirve.

¿Qué es el estándar ISO 27001?

La norma ISO 27001 es un estándar internacional publicado por la ISO (Organización Internacional de Normalización) y la IEC (Comisión Eléctrica Internacional), de ahí que también se denomine ISO/IEC 27001, en el que se describe cómo implementar y gestionar un sistema de seguridad de la información en la empresa o cualquier tipo de entidad pública o privada en la que se quiera asegurar la confidencialidad, la integridad y la disponibilidad de la información.

La ISO 27001 describe cómo debe planificarse, implantar, verificar y controlar un Sistema de Gestión de la Seguridad de la Información en una organización, partiendo del análisis de riesgos y de la planificación de la respuesta que se dará a los mismos para mitigarlos, así como para garantizar la continuidad de la actividad de la organización.

tarifas proteccion datos

¿Para qué sirve la ISO 27001?

La ISO 27001 sirve para guiar a las empresas (o cualquier otro tipo de organización) a crear su Sistema de Gestión de la Seguridad de la Información. En ese sentido, es importante entender que la seguridad de la información, actualmente, engloba diferentes aspectos; como qué se considera que son activos de información en la organización y, por tanto, deben protegerse, la ciberseguridad y seguridad de Internet, las tecnologías de la información, la protección de datos y la continuidad del negocio.

Al seguir el estándar de la ISO 27001, las empresas, gracias al análisis de riesgos y la planificación, pueden mitigar los efectos que una brecha de seguridad informática puede tener para la continuidad del negocio y sus beneficios económicos.

Además, gracias a las recomendaciones para la clasificación de la información de la norma ISO 27001, las empresas pueden implementar las medidas de seguridad más adecuadas para mitigar los riesgos identificados en la fase de análisis, asegurando esas tres características que citábamos en el primer punto de este artículo:

  • Confidencialidad: Solo quienes estén autorizados pueden acceder a la información.
  • Integridad: Se asegura que la información es exacta y no se ha manipulado ni alterado.
  • Disponibilidad: Los usuarios autorizados podrán acceder a la información en todo momento que lo requieran.

Características y estructura de la norma ISO 27001

La ISO 27001 se centra especialmente en la gestión de riesgos, es decir, en identificar las amenazas para la seguridad de la información de una empresa, analizarlos y crear medidas y mecanismos cuyo objetivo sea reducir la posibilidad de materialización y, en caso de que ocurran, minimizar su impacto para la empresa. Por lo tanto, y cómo ya adelantábamos en el primer punto, la principal característica de la norma ISO 27001 es funcionar como guía para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).

Medidas de seguridad como reforzar la seguridad del hardware o software que usa la empresa, implementando soluciones como el sistema SIEM, o creando protocolos y políticas de seguridad que garanticen que las medidas con las que se cuenta, son empleadas de manera adecuada y efectiva.

A modo de resumen de la ISO 27001, este sistema de gestión podemos verlo en la propia estructura de la ISO 27001, donde los capítulos de 4 a 10 son los que establecen las directrices a seguir de la norma a la hora de crear un SGSI:

  • Objeto y campo de aplicación.
  • Referencia a normativas que afectan al estándar.
  • Términos y definiciones utilizados en la norma.
  • Contexto de la organización: Conocimiento de la organización y de su contexto, así como de las necesidades y expectativas de los interesados. También se debe determinar aquí el alcance del SGSI.
  • Liderazgo: La implicación de la alta dirección en la implementación de la norma es fundamental, debe adoptar un rol de liderazgo y compromiso con el estándar y elaborar una política de seguridad que se comunicará a toda la plantilla, asignando roles, responsabilidades y autoridades dentro de la organización.
  • Planificación: Determinación de riesgos y establecimiento de objetivos para el SGSI.
  • Soporte: Los recursos, humanos y materiales, que se deben destinar a la planificación, implantación y funcionamiento del SGSI.
  • Operación: Planificar, implementar y controlar los procesos de la organización, valorando los riesgos para la seguridad de la información y el tratamiento de los mismos.
  • Evaluación del Desempeño: Cómo debe llevarse a cabo el seguimiento, medición, análisis, evaluación, auditoría interna y revisión del SGSI para comprobar su adecuado funcionamiento.
  • Mejora continúa del SGSI.

Finalmente, el Anexo A de la ISO 27001 son controles (medidas de seguridad) recomendados, agrupados en cuatro capítulos:

  • Controles organizacionales (37)
  • Controles de personas (8)
  • Controles físicos (14)
  • Controles tecnológicos (34)

¿Cuál es la ISO 27001 más reciente?

La ISO 27001 se publicó por primera vez en 2005, pero desde entonces ha tenido dos revisiones, una en 2013 y otra en 2022, de manera que la última versión de la ISO 27001 es la ISO 27001:2022.

Las sucesivas revisiones de la ISO 27001 no han hecho grandes cambios en la norma, puesto que sus pilares siguen siendo la evaluación y tratamiento de riesgos, y mantiene el ciclo PDCA, pero sí que han ido haciendo la norma más fácil de comprender, así como de integrar con otras normas ISO.

Los cambios de la ISO 27001 actualizada no han alterado sustancialmente la estructura y forma de la norma. Los cambios más importantes se puede resumir en:

  • Reestructura de la numeración para aproximarla a la estructura de alto nivel.
  • Se incorpora un requisito explícito para definir los procesos y sus interacciones (cláusula 4.4)
  • Necesidad explícita de comunicar los roles relevantes en seguridad de la información en toda la organización (cláusula 5.3).
  • Monitorización de los objetivos de seguridad de la información explícita (cláusula 6.2).
  • Planificación de los cambios del sistema de gestión, que deben hacerse de forma controlada y siguiendo un plan para su implementación y validación (cláusula 6.3).
  • Establecer criterios para los procesos y aplicar el control de los mismos (cláusula 8.1).
  • La revisión realizada por la dirección debe tener en cuenta los cambios en las necesidades y expectativas de los stakeholders que sean relevantes para el SGSI.

Así mismo, también se han producido cambios en el Anexo, que pasa de 114 controles a 93 controles, organizados en cuatro capítulos (en la versión de 2013 eran 14 categorías). En la versión actual, hay controles nuevos y otros se han revisado y fusionado (ajustando así a la ISO 27002, que es la guía que desarrolla estos controles).

iso 27001

¿Cómo se implementa un SGSI según la ISO 27001?

La ISO 27001 se basa en la gestión de la calidad PDCA (o ciclo PDCA, aunque en su última actualización no aparece explícitamente, sigue estando muy presente en su estructura):

  • Plan (Planificar): Es la primera fase de la elaboración del SGSI, en la que se lleva a cabo la identificación de los riesgos que enfrenta la seguridad de la información, realizando para ello un análisis cuantitativo y cualitativo (cuando se requiere) de los riesgos detectados y planificando la respuesta que se les dará, así como los controles necesarios para su mitigación.
  • Do (Hacer): En esta fase se implementa y pone en marcha el SGSI tal y como se ha definido en la fase anterior.
  • Check (Verificar): Mientras el plan de seguridad está en funcionamiento, se revisa y evalúa para comprobar su eficacia. Si se detectan carencias o que las medidas y mecanismos resultan insuficientes, se deben analizar las causas tras las mismas y definir posibles mejoras.
  • Act (Actuar): La estrategia de seguridad siempre debe estar en proceso de mejora continua.

Teniendo en cuenta esto, la implementación de un SGSI de acuerdo a la ISO 27001 se puede dividir en las siguientes fases:

  • Fase 1: Definición de la política de seguridad de la información.
  • Fase 2: Definición del alcance del SGSI, en qué áreas y activos se aplicará el sistema de gestión.
  • Fase 3: Realizar el análisis de riesgos. Es la fase esencial de todo el proceso de implementación del SGSI, puesto que de los riesgos detectados y analizados, dependerá el resto de elementos del sistema. En esta fase es necesario elegir una metodología de evaluación de riesgos conforme a la ISO 27001, que sugiere una evaluación dividida en los siguientes pasos:
    • Identificación de los activos de información y sus responsables
    • Identificación de las vulnerabilidades de cada activo
    • Identificación de las amenazas a las que están expuestos los activos
    • Identificación de los requisitos normativos y contractuales que afectan a la organización
    • Identificación de los riesgos: para cada activo se definirá la probabilidad de que amenazas o vulnerabilidades puedan dañar su disponibilidad, confidencialidad y/o integridad
    • Cálculo del riesgo para determinar los riesgos prioritarios (riesgo = probabilidad de la amenaza x impacto de la amenaza)
    • Plan de tratamiento del riesgo: Selección de los controles y medidas para asumir, reducir, eliminar o transferir el riesgo
  • Fase 4: Gestión del riesgo (cálculo del riesgo).
  • Fase 5: Selección de los controles y medidas a implementar (plan de tratamiento del riesgo).
  • Fase 6: Declaración de aplicabilidad.
  • Fase 7: Revisión del sistema para adoptar, cuando sea necesario, nuevas medidas preventivas, medidas correctivas o hacer propuestas de mejora.

Todas las fases deben ser documentadas.

Beneficios de aplicar la ISO/IEC 27001 en tu empresa

Como la adopción de otros estándares internacionales relacionados con la gestión de riesgos y seguridad, aplicar la ISO 27001 puede traer una serie de beneficios a la empresa, como por ejemplo, cumplir con diferentes normativas nacionales e internacionales respecto a la seguridad de la información, así como de la privacidad de información, como puede ser la Ley Orgánica de Protección de Personales y Garantía de los Derechos Digitales (LOPDGDD), aplicando la extensión de esta norma, la ISO 27701.

Ayuda también con la organización de la empresa, ya que hace necesario escribir políticas y protocolos de seguridad de la información, que, comunicados a todos los miembros de la misma, les ayuda a saber qué hacer, cómo hacerlo y cuándo hacerlo.

Minimizar y mitigar los riesgos que amenazan la seguridad de la información a través de la aplicación de la ISO 27001 evitará que la empresa incurra en ciertos gastos y costes relacionados con las brechas e incidentes de seguridad informática; por ejemplo, con controles que reduzcan la posibilidad de sufrir un ataque de ransomware y la utilización de backups, las empresas evitarán tener que pagar por recuperar sus sistemas y su información, reduciendo el tiempo en que sus servicios pueden verse interrumpidos.

¿La norma ISO 27001 es certificable?

Sí, la norma ISO 27001 es certificable, lo que quiere decir que entidades acreditadas para ello, pueden, a petición de una empresa que haya implementado su SGSI siguiendo las recomendaciones de la Norma, comprobar el grado de cumplimiento y seguimiento de las directrices y requisitos de la misma.

En España, por ejemplo, una de estas entidades certificadoras de la norma ISO 27001 es AENOR.

¿Cómo conseguir la certificación de la ISO 27001?

Para conseguir la certificación de la ISO 27001, la empresa interesada, una vez haya implementado la norma siguiendo las directrices de la misma, debe presentar una solicitud a una entidad certificadora. Esta entidad externa llevará un proceso de comprobación de la documentación pertinente y una auditoría del SGSI.

Si se supera el proceso de auditoría, la empresa recibirá la certificación en la ISO 27011, un reconocimiento que tiene una vigencia de 3 años, durante los cuales puede ser supervisada.

Cabe señalar que tras la publicación en octubre de 2022 de la nueva versión de la ISO 27001, todavía será posible solicitar la certificación o la renovación de la ISO 27001:2013 hasta el 25 de abril de 2024, mientras que las certificaciones ISO 27001:2013 serán válidas hasta el 25 de octubre de 2025.

Otros estándares relacionados con la ISO 27001 y la seguridad de la información

Como hemos señalado anteriormente, la ISO 27001 puede integrarse y relacionarse con otras Normas ISO.

Así, en materia de protección de datos la ISO 27001 puede completarse con, la ya mencionada, ISO 27701.

La ISO 27002 facilita las directrices para la implementación de las medidas de seguridad (controles) de la ISO 27001, es decir, la ISO 27001 y 27002 ofrecen conjuntamente las directrices para poner en funcionamiento un SGSI efectivo, tanto desde el punto de vista de los recursos y el procedimiento, como de los controles que son necesarios implementar.

La ISO 27004 se puede emplear para medir la efectividad del SGSI, ya que ofrece directrices para la medición de la seguridad de la información en las organizaciones. Mientras que la ISO 27005 contiene más información respecto a la evaluación y tratamiento de riesgos.

También se puede integrar o complementar con la ISO 27301, que define los requisitos para los sistemas de gestión de continuidad de negocio, un aspecto que la ISO 27001 toca sin mucha información.

En definitiva, cualquier empresa que deseé implementar un SGSI efectivo, debería seguir las directrices de la ISO 27001, especialmente si aquellas empresas donde la seguridad de la información no es solo un elemento clave, sino una obligación, como ocurre en las empresas obligadas a designar un Responsable de Seguridad de la Información.

Encontraréis la ISO 27001 para descargar en PDF u otros formatos en la página oficial de la ISO y de AENOR (previo pago).

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.