¿Qué es ISO 27001? Resumen de la norma

  • ISO 27001

Pues ni más ni menos que el estándar más reconocido a nivel mundial para gestionar la Seguridad de la Información. Esta es la tarjeta de presentación de ISO 27001.

En anteriores entradas veíamos como la Seguridad de la Información ha sido siempre un aspecto importante para el ser humano, incluso en sus épocas más antiguas.

Esa importancia se tradujo hace ya varios años en la necesidad de proteger la información de una forma organizada y no a lo loco como se venía haciendo.

Y así, se pensó en cómo se podrían juntar en un sólo documento las prácticas que ya habían demostrado ser las mejores gracias a la experiencia acumulada en todo tipo de empresas y organizaciones a lo largo y ancho del planeta.

Saltándonos el origen de ISO 27001 como una norma internacional derivada del estándar británico que existía con anterioridad, vamos a ver en detalle el contenido de la norma y por qué te interesa conocerla.

La gestión de la Seguridad de la Información

Publicada en Octubre de 2005 por la Organización Internacional de Estandarización (ISO, International Organization for Standardization) y revisada en Septiembre de 2013, ISO 27001 es una norma que sienta las bases para construir un Sistema de Gestión de Seguridad de la Información o SGSI (y certificarlo si quieres).

Y probablemente te estés preguntando: ¿Para que quiero yo un Sistema de Gestión de Seguridad de la Información?

La verdad, lo mismo nos preguntamos nosotros cuando oímos hablar de ello por primera vez.

Y la experiencia nos ha demostrado que un Sistema de Gestión te ayuda, y mucho, a controlar de forma ordenada un determinado aspecto de nuestra empresa.

Es decir, podemos gestionar la Seguridad de la Información según se nos vaya ocurriendo y nos vayan surgiendo los problemas (poco recomendado) o podemos hacerlo de forma planificada y ordenada, anticipándonos a los problemas y gestionándolos adecuadamente (muy recomendado). Pues bien, a esto es a lo que nos va a ayudar ISO 27001.

Estructura de ISO 27001

Tenemos que decirte que no estamos ante un estándar sencillo, ni corto. Ya sólo el nombre completo de la norma te puede dar una idea:

Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.

En cuanto a lo que más te interesa, su contenido, la norma consta de los siguientes apartados (puedes ver la descripción de cada uno de ellos desplegándolos en la lista):

Una breve introducción a la norma en la que se señala la importancia de la Seguridad de la Información como aspecto estratégico de una empresa u organización y la necesidad de la orientación y alineación con los procesos existentes en la misma.

Declaración de que la norma contiene los requisitos para un Sistema de Gestión de Seguridad de la Información. Especifica asimismo que dichos requisitos son genéricos y tienen la intención de poder ser aplicables en cualquier tipo de empresa u organización.

Hace referencia al estándar ISO 27000, que recoge el vocabulario principal en relación con un SGSI.

Este apartado nos redirige a ISO 27000 para los términos y definiciones aplicables.

Explica que la empresa u organización que implanta un SGSI debe identificar qué aspectos internos y externos son relevantes, qué partes interesadas existen y cuáles son sus requisitos, así como el alcance que tendrá el Sistema de Gestión.

Deja muy claro que la Dirección de la empresa debe implicarse y comprometerse con el SGSI. La Dirección debe también establecer una Política de Seguridad de la Información y asignar los roles y responsabilidades en materia de Seguridad de la Información.

La organización debe planificar las acciones necesarias para afrontar los riesgos y oportunidades de Seguridad. Estas acciones deben integrarse en los procesos de gestión de la Seguridad y se debe evaluar su eficacia.

La empresa u organización debe también definir y aplicar una metodología de Análisis de Riesgos de Seguridad de la Información. Asimismo, se debe elaborar un Plan de Tratamiento de los riesgos detectados que contenga las medidas o controles necesarios.

Por último, este apartado requiere la definición y establecimiento de los Objetivos de Seguridad de la Información.

La empresa u organización debe proveer los recursos necesarios para el SGSI. Esto incluye tanto la competencia y formación de los empleados cuyo trabajo afecta a la Seguridad de la Información, como la comunicación interna y externa.

El apartado también especifica qué documentación debe contener el SGSI y qué requisitos deben seguirse para su creación, actualización y control.

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de Seguridad de la Información. En estos procesos se incluyen el Análisis de Riesgos y su Plan de Tratamiento asociado.

La empresa debe evaluar el desempeño del SGSI y su eficacia a través de la monitorización y medición, las auditorías internas y la Revisión del SGSI por la Dirección.

Por último, la norma no se podía olvidar de un aspecto fundamental en cualquier Sistema de Gestión: la mejora continua.

Esta filosofía de mejora continua incluye la gestión de las no conformidades detectadas (es decir, aquellos aspectos nuestra empresa en los que no estamos cumpliendo con la norma) y la definición de acciones correctivas para evitar que se repitan.

Además de todos los anteriores apartados, la norma incluye un Anexo normativo.

En este anexo encontramos un contenido fundamental para gestionar la Seguridad de la Información: los Controles. Estamos ante la friolera de 114 Controles de Seguridad que cubren todos los aspectos de nuestra empresa, repartidos en 14 Dominios y 35 Objetivos de Control.

Aplicaciones de la norma y beneficios de su implantación

Volvamos a la pregunta de para qué puedes tú necesitar un Sistema de Gestión de Seguridad de la Información basado en ISO 27001.

La respuesta más directa es que en determinadas empresas no se trata ya de plantearse esta necesidad, sino que es el propio mercado el que la impone como un pre-requisito para poder contratar.

Es decir, si no has implementado ISO 27001, muchos clientes potenciales te cerrarán la puerta porque no confiarán en cómo vas a gestionar la seguridad de su información.

En otras empresas y organizaciones es cierto que esta necesidad no es tan clara. Pero precisamente si tu empresa se encuentra en este grupo, implantar este reconocido estándar te dará una clara ventaja respecto a tus competidores. Además, tu SGSI destacará mucho más puesto que en tu sector no será habitual tenerlo.

Por tanto, y teniendo en cuenta que puedes empezar paso a paso, no vemos ninguna razón por la que no debas considerar la implantación de un estándar que está reconocido a nivel internacional para transmitir confianza a tus clientes actuales y potenciales.

A nivel interno también verás beneficios muy rápidos. Tras la implantación te darás cuenta de que lo que antes estaba descontrolado, ahora está bajo control. Tendrás identificados tus activos de información, controlado el proceso de selección de Recursos Humanos, establecida la seguridad de tus ordenadores, de tus aplicaciones y de tu red, cumplirás con las leyes y regulaciones en materia de Seguridad, habrás mejorado tu medidas de seguridad física…

Todo ventajas para que tu empresa funcione mejor y de forma más eficaz.

Certificación en ISO 27001

Tras esta primera aproximación a la norma, queda un punto muy importante por comentar: la certificación de tu SGSI, de tu Sistema de Gestión de Seguridad de la Información.

¿Por qué plantearse la certificación? Es verdad que tu SGSI, si está bien implementado, te aportará todos los beneficios que hemos comentado.

Pero si no lo certificas, ¿cómo podrán confiar tus clientes en que estás gestionando la seguridad de su información de forma correcta y según los requisitos de ISO 27001? Para eso están las empresas auditoras. Estas empresas, tras examinar a fondo tu SGSI, te proporcionarán el certificado de que cumple con el estándar.

Si, es una inversión que no se puede evitar porque no te puedes certificar a ti mismo por tu cuenta, pero es una inversión cuyos resultados verás muy pronto, cuando salgas a competir al mercado y tú te lleves un contrato porque estabas certificado y tus competidores no.

Existen numerosas empresas auditoras y por tanto se debe hacer una cuidadosa selección para elegir la que más se ajuste a las características de nuestra empresa. De esta selección también dependerá en parte el éxito a la hora de obtener tu ansiado certificado en ISO 27001.

2 Comments

  1. Beatriz 13 octubre, 2016 at 11:24 - Reply

    Gracias por el resumen! la verdad que deja todo muy claro.

    • |S| + |C| 13 octubre, 2016 at 20:49 - Reply

      Gracias a ti Beatriz, nos alegramos de que te haya sido útil!

Leave A Comment