¡Pide presupuesto en 2 min! ✓
ComplianceLOPDGDD & RGPD

Norma ISO 27001 sobre Seguridad y Privacidad de la Información

Garantizar la seguridad de la información en tiempos en los que los ataques cibernéticos ocurren cada vez con mayor frecuencia, es una labor clave para cualquier tipo de empresa que no quiera sufrir pérdidas de económicas y de reputación por la interrupción de sus servicios o por provocar perjuicios en la vida de sus clientes a causa del robo de información. La Norma ISO 27001 sobre la Seguridad y Privacidad de la Información es el estándar internacional al que las empresas pueden recurrir para implementar de manera efectiva su Sistema de Gestión de Seguridad la Información (SGSI).

A lo largo de las siguientes líneas explicaremos qué es y para qué sirve la ISO 27001.

¿Qué es la norma ISO 27001?

La norma ISO 27001, o ISO/IEC 27001:2013, es un estándar internacional publicado por la ISO (Organización Internacional de Normalización) y la IEC (Comisión Eléctrica Internacional) en el que se describe cómo implementar y gestionar un sistema de seguridad de la información en la empresa o cualquier tipo de entidad pública o privada en la que se quiera asegurar la confidencialidad, la integridad y la disponibilidad de la información.

La ISO 27001 describe cómo debe planificarse, implantar, verificar y controlar un Sistema de Gestión de la Seguridad de la Información en una organización, partiendo del análisis de riesgos y de la planificación de la respuesta que se dará a los mismos para mitigarlos.

Características de la norma ISO 27001

La ISO 27001 se centra especialmente en la gestión de riesgos, es decir, en identificar las amenazas para la seguridad de la información de una empresa, analizarlos y crear medidas y mecanismos cuyo objetivo sea reducir la posibilidad de materialización y, en caso de que ocurran, minimizar su impacto para la empresa.

Medidas de seguridad como reforzar la seguridad del hardware o software que usa la empresa, implementando soluciones como el sistema SIEM, o creando protocolos y políticas de seguridad que garanticen que las medidas con las que se cuenta, son empleadas de manera adecuada y efectiva.

La ISO 27001 se basa en la gestión de la calidad PDCA (o ciclo PDCA, aunque en su última actualización no aparece explícitamente, sigue estando muy presente en su estructura):

  • Plan (Planificar): Es la primera fase de la elaboración del SGSI, en la que se lleva a cabo la identificación de los riesgos que enfrenta la seguridad de la información, realizando para ello un análisis cuantitativo y cualitativo (cuando se requiere) de los riesgos detectados y planificando la respuesta que se les dará, así como los controles necesarios para su mitigación.
  • Do (Hacer): En esta fase se implementa y pone enmarca el SGSI tal y como se ha definido en la fase anterior.
  • Check (Verificar): Mientras el plan de seguridad está en funcionamiento, se revisa y evalúa para comprobar su eficacia. Si se detectan carencias o que las medidas y mecanismos resultan insuficientes, se deben analizar las causas tras las mismas y definir posibles mejoras.
  • Act (Actuar): La estrategia de seguridad siempre debe estar en proceso de mejora continua.

Este sistema de gestión podemos verlo en la propia estructura de la ISO 27001, donde los capítulos de 4 a 10 son los que establecen las directrices a seguir de la norma a la hora de crear un SGSI:

  • Objeto y campo de aplicación.
  • Referencia a normativas que afectan al estándar.
  • Términos y definiciones utilizados en la norma.
  • Contexto de la organización: Conocimiento de la organización y de su contexto, así como de las necesidades y expectativas de los interesados. También se debe determinar aquí el alcance del SGSI.
  • Liderazgo: La implicación de la alta dirección en la implementación de la norma es fundamental, debe adoptar un rol de liderazgo y compromiso con el estándar y elaborar una política de seguridad que se comunicará a toda la plantilla, asignando roles, responsabilidades y autoridades dentro de la organización.
  • Planificación: Determinación de riesgos y establecimiento de objetivos para el SGSI.
  • Soporte: Los recursos, humanos y materiales, que se deben destinar a la planificación, implantación y funcionamiento del SGSI.
  • Operación: Planificar, implementar y controlar los procesos de la organización, valorando los riesgos para la seguridad de la información y el tratamiento de los mismos.
  • Evaluación del Desempeño: Cómo debe llevarse a cabo el seguimiento, medición, análisis, evaluación, auditoría interna y revisión del SGSI para comprobar su adecuado funcionamiento.
  • Mejora continúa del SGSI.

Finalmente, el Anexo A de la ISO 27001 son controles (medidas de seguridad) recomendados, distribuidos en 14 secciones diferentes.

Actualizaciones de la norma 27001

La ISO 27001 se publicó por primera vez en 2005 y fue revisada y actualizada en 2013. Esta actualización no trajo grandes cambios al conjunto de Norma, ya que sus pilares siguen siendo la evaluación y tratamiento de riesgos, y mantiene el ciclo PDCA, pero sí que hizo la norma más fácil de comprender, así como de integrar con otras normas ISO.

Los cambios están relacionados con la estructura de la norma, las partes interesadas, los objetivos que busca la implantación de un SGSI, la evaluación y la medición del mismo. Además, los controles del Anexo A se relucieron de 133 a 114, aumentando de 11 a 14 sus secciones. También se eliminaron algunos requisitos y la necesidad de documentar ciertos procedimientos.

iso 27001 actualizada

 

¿Para qué sirve la ISO 27001?

Como decíamos, la ISO 27001 sirve para guiar a las empresas (o cualquier otro tipo de organización) a crear su Sistema de Gestión de la Seguridad de la Información. En ese sentido, es importante entender que la información, actualmente, engloba diferentes aspectos, como la ciberseguridad y seguridad de Internet, las tecnologías de la información, la protección de datos y la continuidad del negocio.

Al seguir el estándar de la ISO 27001, las empresas, gracias al análisis de riesgos y la planificación, pueden mitigar los efectos que una brecha de seguridad informática puede tener para la continuidad del negocio y sus beneficios económicos.

Además, gracias a las recomendaciones para la clasificación de la información de la norma ISO 27001, las empresas pueden implementar las medidas de seguridad más adecuadas para mitigar los riesgos identificados en la fase de análisis, asegurando esas tres características que citábamos en el primer punto de este artículo:

  • Confidencialidad: Solo quienes estén autorizados pueden acceder a la información.
  • Integridad: Se asegura que la información es exacta y no se ha manipulado ni alterado.
  • Disponibilidad: Los usuarios autorizados podrán acceder a la información en todo momento que lo requieran.

Beneficios de aplicar el estándar de la ISO 27001 para tu empresa

Como la adopción de otros estándares internacionales relacionados con la gestión de riesgos y seguridad, aplicar la ISO 27001 puede traer una serie de beneficios a la empresa, como por ejemplo, cumplir con diferentes normativas nacionales e internacionales respecto a la seguridad de la información, así como de la privacidad de información, como puede ser la Ley Orgánica de Protección de Personales y Garantía de los Derechos Digitales (LOPDGDD), aplicando la extensión de esta norma, la ISO 27701.

Ayuda también con la organización de la empresa, ya que hace necesario escribir políticas y protocolos de seguridad de la información, que, comunicados a todos los miembros de la misma, les ayuda a saber qué hacer, cómo hacerlo y cuándo hacerlo.

Minimizar y mitigar los riesgos que amenazan la seguridad de la información a través de la aplicación de la ISO 27001 evitará que la empresa incurra en ciertos gastos y costes relacionados con las brechas e incidentes de seguridad informática; por ejemplo, con controles que reduzcan la posibilidad de sufrir un ataque de ransomware y la utilización de backups, las empresas evitarán tener que pagar por recuperar sus sistemas y su información, reduciendo el tiempo en que sus servicios pueden verse interrumpidos.

¿La norma ISO 27001 es certificable?

Sí, la norma ISO 27001 es certificable, lo que quiere decir que entidades acreditadas para ello, pueden, a petición de una empresa que haya implementado su SGSI siguiendo las recomendaciones de la Norma, comprobar el grado de cumplimiento y seguimiento de las directrices y requisitos de la misma.

En España, por ejemplo, una de estas entidades certificadoras de la norma ISO 27001 es AENOR.

¿Cómo conseguir la certificación de la ISO 27001?

Para conseguir la certificación de la ISO 27001, la empresa interesada, una vez haya implementado la norma siguiendo las directrices de la misma, debe presentar una solicitud a una entidad certificadora. Esta entidad externa llevará un proceso de comprobación de la documentación pertinente y una auditoría del SGSI.

Si se supera el proceso de auditoría, la empresa recibirá la certificación en la ISO 27011, un reconocimiento que tiene una vigencia de 3 años, durante los cuales puede ser supervisada.

Otros estándares relacionados con la ISO 27001 y la seguridad de la información

Como hemos señalado anteriormente, la ISO 27001 puede integrarse y relacionarse con otras Normas ISO.

Así, en materia de protección de datos la ISO 27001 puede completarse con, la ya mencionada, ISO 27701.

La ISO 27002 facilita las directrices para la implementación de las medidas de seguridad (controles) de la ISO 27001, es decir, la ISO 27001 y 27002 ofrecen conjuntamente las directrices para poner en funcionamiento un SGSI efectivo, tanto desde el punto de vista de los recursos y el procedimiento, como de los controles que son necesarios implementar.

La ISO 27004 se puede emplear para medir la efectividad del SGSI, ya que ofrece directrices para la medición de la seguridad de la información en las organizaciones. Mientras que la ISO 27005 contiene más información respecto a la evaluación y tratamiento de riesgos.

También se puede integrar o complementar con la ISO 27301, que define los requisitos para los sistemas de gestión de continuidad de negocio, un aspecto que la ISO 27001 toca sin mucha información.

En definitiva, cualquier empresa que deseé implementar un SGSI efectivo, debería seguir las directrices de la ISO 27001, especialmente si aquellas empresas donde la seguridad de la información no es solo un elemento clave, sino una obligación, como ocurre en las empresas obligadas a designar un Responsable de Seguridad de la Información.

Encontraréis la ISO 27001 para descargar en PDF u otros formatos en la página oficial de la ISO y de AENOR (previo pago).