¿Qué es la norma ISO 27001?

 

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. 

 

¿Cómo funciona la norma ISO 27001?

 

El eje central de ISO 27001 es proteger :

 

-La confidencialidad,

-La integridad y 

-La disponibilidad de la información en una empresa. 

 

Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar a la información en cuanto a tal o a su gestión (es decir, realizando una  evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

 

Unida a esta gestión de riesgos se puede definir una gestión de oportunidades que faciliten y garanticen la continuidad del negocio

 

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos y oportunidades : investigar dónde están los riesgos y las oportunidades para después tratarlos sistemáticamente.

 

Las medidas de seguridad (o controles) que se van a implantar se pueden definir  bajo la forma de políticas, procedimientos e implantación técnica (por ejemplo, software y equipos). 

 

Por eso, la gestión de la seguridad de la información no se limita  sólamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.), sino que también incluye gestión de procesos, recursos humanos,  protección jurídica,  protección física, etc.

 

Como este tipo de implantación demandará la gestión de múltiples políticas, procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo estructurar todos estos elementos dentro de un sistema de gestión de seguridad de la información (SGSI).

 

¿Qué ventajas tiene la implantación ISO 27001 en su empresa?

 

Hay varias ventajas comerciales esenciales que una empresa puede obtener con la implantación de esta norma para la seguridad de la información:

 

Cumplir con los requisitos legales  – cada vez hay más y más leyes, normativas y requisitos contractuales relacionados con la seguridad de la información. 

 

Difrencial comercial – si su empresa obtiene la certificación ISO 27001 y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.

 

Reducción de costes – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.

 

Mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos ; por este motivo  aparecen con frecuencia reprocesos y pérdidas de tiempo. La implantación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a definir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.

 

¿Dónde interviene la gestión de seguridad de la información en una empresa?

 

Básicamente, la seguridad de la información es parte de la gestión global de los riesgos y oportunidades  en una empresa.

 

Forman parte de la seguridad de la información(SGSI) los siguientes aspectos:

 

-La ciberseguridad, 

-La continuidad del negocio y 

-La la tecnología de la información:

 

 

¿Cual es el contenido de la norma ISO 27001?

 

ISO/IEC 27001 se divide en 11 capítulos más el anexo A; las capítulos 0 a 3 son introductorias (y no son obligatorias para la implantación), mientras que las capítulos 4 a 10 son obligatorias, lo que implica que una organización debe implantar todos sus requisitos si se quiere cumplir con la norma. 

 

Los controles del Anexo A deben implantarse sólo si se determina que corresponden en la Declaración de aplicabilidad.

 

De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional para la Normalización, los títulos de las capítulos de ISO 27001 son los mismos que en ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite integrar más fácilmente estas normas.

 

capítulo 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.

capítulo 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.

capítulo 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y definiciones.

capítulo 3 – Términos y definiciones – de nuevo, hace referencia a la norma ISO/IEC 27000.

capítulo 4 – Contexto de la organización – esta capítulo es parte de la fase de Planificación del ciclo PDCA y define los requisitos para comprender cuestiones externas e internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.

capítulo 5 – Liderazgo – esta capítulo es parte de la fase de Planificación del ciclo PDCA y define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información.

capítulo 6 – Planificación – esta capítulo es parte de la fase de Planificación del ciclo PDCA y define los requisitos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información.

capítulo 7 – Apoyo – esta capítulo es parte de la fase de Planificación del ciclo PDCA y define los requisitos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros.

capítulo 8 – Funcionamiento – esta capítulo es parte de la fase de Planificación del ciclo PDCA y define la implantación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.

capítulo 9 – Evaluación del desempeño – esta capítulo forma parte de la fase de Revisión del ciclo PDCA y define los requisitos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección.

capítulo 10 – Mejora – esta capítulo forma parte de la fase de Mejora del ciclo PDCA y define los requisitos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.

Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 capítulos (capítulos A.5 a A.18).

 

¿Cómo implantar ISO 27001? ¿En qué consiste la consultoría ISO 27001?

 

Para implantar la norma ISO 27001 en una empresa, hay  que seguir estos 8 pasos:

 

1º) Designación por parte de la empresa de un interlocutor.

2º) Toma de datos: Uno de nuestros consultores llevara a cabo una toma de datos, bien presencialmente o bien a través de SKYPE.

3º) Elaboración del sistema ISO 27001 y entrega de la documentación: A partir de la toma de datos anteriores nuestros consultores ISO 27001  definirán y documentarán todo el SGSI ISO 27000, que se entregará en soporte electrónico.

4º) Revisión del sistema ISO 270001 entregado: En la que se aclaran todas las dudas  y se modifican los procedimientos . Se realiza preferentemente por SKYPE entre el interlocutor de la empresa y uno de nuestros consultores ISO 27001.

5º) Implantación ISO 27001 : En la que se implantan en la empresa los procedimientos elaborados.

6º) Auditoria interna ISO 27001: Realizada presencialmente por un consultor ISO 27001 para verificar la implantación y la adecuación del sistema de seguridad de la información ISO 27000 a las prácticas de la empresa.  

7º) Revisión del sistema : Se realiza una revisión del funcionamiento del sistema y de su interacción con la empresa.La redacta el consultor ISO 9001 y la supervisa el interlocutor.

8º) Auditoria de certificación ISO 27001: Realizada por un organismo acreditado por ENAC de forma presencial. 

 

¿Qué plazos conlleva la implantación de ISO27001?

 

Si se hace con la ayuda de un consultor ISO 27001 unos tres meses,  en ausencia de la consultoría ISO 27001 de uno a dos años , con dificultades para garantizar su continuidad.

 

Documentación obligatoria

 

ISO 27001 requiere que se confeccione la siguiente documentación:

  • Alcance del Sistema de seguridad de la información SGSI (punto 4.3)
  • Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
  • Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
  • Declaración de aplicabilidad (punto 6.1.3 d)
  • Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
  • Informe de evaluación de riesgos (punto 8.2)
  • Definición de tareas y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
  • Inventario de activos (punto A.8.1.1)
  • Uso aceptable de los activos (punto A.8.1.3)
  • Política de control de acceso (punto A.9.1.1)
  • Procedimientos operativos para gestión de TI (punto A.12.1.1)
  • Principios de ingeniería para sistema seguro (punto A.14.2.5)
  • Política de seguridad para proveedores (punto A.15.1.1)
  • Procedimiento para gestión de incidentes (punto A.16.1.5)
  • Procedimientos para continuidad del negocio (punto A.17.1.2)
  • Requisitos legales, normativos y contractuales (punto A.18.1.1)

 

Y estos son los registros obligatorios:

 

  • Registros de capacitación, habilidades, experiencia y calificaciones (punto 7.2)
  • Monitoreo y resultados de medición (punto 9.1)
  • Programa de auditoría interna ISO 27001(punto 9.2)
  • Resultados de auditorias internas ISO 27001 (punto 9.2)
  • Resultados de la revisión por parte de la dirección  ISO 27001 (punto 9.3)
  • Resultados de medidas correctivas (punto 10.1)
  • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)

 

Por supuesto que una empresa puede decidir confeccionar otros documentos de seguridad adicionales si lo considera necesario.

 

¿Cómo obtener la certificación ISO 27001?

 

Existen dos tipos de certificados ISO 27001: (a) para las organizaciones y (b) para las personas. Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer el curso y aprobar el examen para obtener el certificado.

 

Para obtener la certificación como organización, se debe implantar la norma tal como se explicó en las capítulos anteriores y luego se debe pasar una  auditoría de certificación realizada por un organismo acreditado por ENAC.. 

 

Otras normas relacionadas con seguridad de la información

 

ISO/IEC 27002 proporciona directrices para la implantación de los controles indicados en ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los riesgos de seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona más información sobre cómo implantar esos controles. 

ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la información; se acopla bien con ISO 27001 ya que explica cómo determinar si el SGSI ha alcanzado los objetivos.

ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información. Es un muy buen complemento para ISO 27001 ya que brinda más información sobre cómo llevar a cabo la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la implantación.                                                                                                                   ISO 22301 define los requisitos para los sistemas de gestión de continuidad del negocio, se adapta muy bien con ISO 27001 porque el punto A.17 de esta última requiere la implantación de la continuidad del negocio aunque no proporciona demasiada información.