Usted está aquí

Inicio » Blog » ISO 27001 “Seguridad de la Información”

ISO 27001 “Seguridad de la Información”

Por Juan Carlos Serrano Antón

Responsable Unidad Técnica de Seguridad de la Información OCA Cert

Muchas organizaciones están buscando un método para demostrar a sus clientes y socios que sus prácticas en seguridad son aceptables. Tal vez este sea su caso

Una posible ayuda es la ISO 27001, un modelo que proporciona los requisitos para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).

¿Qué es ISO 27001?

ISO 27001 o más exactamente “ISO / IEC 27001:2013 Tecnología de la información - Técnicas de seguridad - Requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI)” es un estándar reconocido internacionalmente, que proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información. Como otras normas de requisitos ISO, la ISO 27001 adopta un enfoque por procesos y sigue el modelo "planificar -hacer -verificar -actuar" (plan-do–check-act conocido como modelo PDCA).

ISO 27001 sigue las pautas marcadas para las normas ISO 9001 e ISO 14001 por lo que se asegura una implementación integrada y consistente con las mencionadas normas de gestión. De este modo, un sistema de gestión bien concebido puede cumplir los requisitos de todas estas normas y más si se tiene en consideración que tanto ISO 9001 e ISO 14001 tendrán importantes cambios en los próximos meses

Su objetivo fundamental es la gestión de la confidencialidad, la integridad, y la disponibilidad de cualquier bien que tenga valor para la organización. Es conveniente aclarar que el sistema de gestión que se crea bajo el paraguas de ISO 27001 incluye no solamente la parte informática, sino también los recursos humanos, los recursos económicos, patentes, contratos con los clientes, imagen y reputación de la organización, seguridad de los locales, contratos con clientes, etc.

De una forma general, la norma ISO 27001 obliga a:

  • Realizar un análisis de los riesgos relacionados con la seguridad de la información,
  • Definir los objetivos específicos de seguridad,
  • Implementar medidas para mitigar y gestionar los riesgos (la norma recomienda un conjunto de controles de seguridad,
  • Asignar la responsabilidad de la gestión del riesgo,
  • Seguimiento de las medidas tomadas para mitigar los riesgos mediante auditorías y revisiones
  • Mantener un enfoque de mejora continua

Un sistema de gestión de la seguridad de la información puede mejorar en gran medida la seguridad de su negocio.

¿Por qué necesito la ISO 27001?

Comience por hacerse una pregunta; ¿qué sucede en su empresa si la información vital es robada, se revelan los secretos comerciales de su negocio, o su sistema informático simplemente no funciona?

Todos los negocios de hoy en día se basan en la información. Disponer de la información correcta y en el momento adecuado es, a menudo, la fuente de una ventaja competitiva. Las empresas gastan gran parte de su presupuesto en la adquisición y gestión de información. Podemos decir que la información es el más valioso de los "activos" que una empresa puede tener hoy en día.

En caso de que desee gestionar y mitigar los riesgos relacionados con el trabajo con información y datos, usted tiene muchas opciones. Una de las opciones es poner en práctica un Sistema de Gestión de Seguridad de la Información (SGSI). Una vez implantado se puede pensar en la certificación de sus procesos. Contar con un certificado ISO 27001 le da una gran ventaja en el trato con sus clientes y socios, ya que le hace más creíble y confiable. Esto puede abrir la puerta para el intercambio de datos e información con sus clientes, socios, proveedores y representantes.

En entre los beneficios indirectos de un sistema de gestión ISO 27001 certificado podemos destacar:

  • Conformidad con requisitos contractuales y legales
  • Alcanzar una ventaja competitiva en el mercado
  • Reducción de costes al disminuir el número de incidentes de seguridad
  • Optimización de las operaciones de negocio al definir claramente las tareas y responsabilidades

¿Afecta la norma ISO 27001 a algún departamento más que Informática (TI)?

La implementación de un SGSI utilizando la norma ISO 27001 es un gran proyecto y, aunque el departamento de TI es el principal ejecutor tecnológico de la implantación, la norma involucra también a casi todos los demás departamentos. La Gerencia debe ser el principal impulsor, patrocinador y promotor del cambio.

La aplicación de medidas de seguridad y políticas específicas implica entre otros los siguientes actores que no son el departamento de informática:

  • Dirección (comunicación, control, motivación),
  • Departamento de recursos humanos (empleados, proceso de selección, proceso disciplinario formal por quebrantar la seguridad, contratación, altas y bajas en la organización),
  • Formación (capacitación para alcanzar los objetivos),
  • Seguridad física (el acceso a los locales, el acceso al Data Center),
  • Mantenimiento del edificio (seguridad física, almacenes, sótanos, agua, electricidad, fuego),
  • Departamento legal (contratos con empleados y terceros, demandas judiciales),
  • Proveedores y subcontratación (compra de software, gestión de residuos de papel),
  • Empleados (conformidad ).

El departamento de TI también participa en las pruebas de ataques éticos y de penetración a las redes internas.

El alcance de la norma ISO 27001 incluye muchos aspectos de TI pero no se detiene ahí. Esa es la razón por la cual el principal impulsor de la norma ISO 27001 es la alta Dirección y no lo es el departamento de TI.

Por ejemplo, la información se puede almacenar en un disco duro y ser compartida a través de su red local con toda la organización, pero también puede estar en un papel y ser compartida a través de su correo interno. ISO 27001 se aplica a los faxes, fotocopiadoras, destructoras, almacenamiento de papel, y el correo interno. Estos activos o procesos son a menudo manejados por otros departamentos que no son TI. Este es sólo un ejemplo sencillo de cómo la norma ISO 27001 se puede aplicar a su negocio y cómo se va más allá del ámbito de su departamento de TI y de "la seguridad informática".

¿Cuáles son los beneficios de la certificación ISO 27001?

La certificación ISO 27001 proporciona muchos beneficios que al final afectan positivamente a sus resultados. La certificación ISO 27001 puede ayudar a:

  • Preparar un mapa de estructura corporativa de los activos de información con sus responsables, amenazas, vulnerabilidades, impactos, etc (infraestructura, edificios, cableado, entorno, alarmas, control de acceso, equipos, servidores, personas, etc.)
  • Hacer que los procesos existentes sean más eficaces, y crear y documentar los procesos que faltan (por ejemplo, proceso para revocar los derechos de acceso a los empleados que dejan la organización, etiquetado de los soportes con información)
  • Descubrir los riesgos de seguridad no controlados (por ejemplo, sólo una persona tiene acceso a sistemas críticos)
  • Iniciar la protección activa y eficaz de los riesgos (por ejemplo, aumento de potencia eléctrica contratada, aire acondicionado, políticas de uso internet y del correo electrónico, etc.)
  • Proteger los activos de negocio vitales (por ejemplo, copia de seguridad de base de datos de contabilidad, plan de negocio del año próximo),
  • Optimización del diseño del sistema actual (por ejemplo, auditoría de seguridad),
  • Disminuir los costos de tecnología de la información (por ejemplo, descubriendo lo que es prescindible, software libre)
  • Crear una ventaja competitiva (por ejemplo, mejorar la credibilidad de sus socios y clientes)
  • Mejorar las expectativas de su negocio (por ejemplo, intercambio de datos con sus clientes potenciales, la capacidad de aplicar los contratos del gobierno, algunas grandes empresas prefieren proveedores que puedan demostrar que cumplen los estándares de mejores prácticas, los inversores y accionistas a menudo exigen la seguridad de la información)
  • Reducción de las primas de seguro (por ejemplo, se puede reducir si se puede demostrar el cumplimiento)
  • Reducir el riesgo de demandas judiciales (por ejemplo, la información del cliente para evitar que sean robados o mal utilizados, sanciones de la Agencia de Protección de Datos).

Como puede ver, la certificación ISO 27001 proporciona muchas ventajas. En cualquier caso, la certificación ISO 27001 proporciona una evaluación independiente de la conformidad de su organización respecto a una norma internacional y con las prácticas que miles de organizaciones de todo el mundo han experimentado de forma satisfactoria.

¿ISO 27001 puede ser aplicada parcialmente?

Dado que ISO 27001 es un estándar de seguridad global orientado a procesos y en línea con PCDA, tiene un dominio más profundo en comparación con otros métodos de seguridad de la información como COBIT e ITIL con una orientación tecnológico informática. Mientras que, por ejemplo, ITIL maneja la seguridad de los servicios de nuevas tecnologías (SLA, capacidad, problemas, etc.), ISO 27001 obliga a gestionar la seguridad (confidencialidad, integridad y disponibilidad) de todos los activos, no solamente los informáticos y obliga a gestionar la seguridad a través del cumplimiento de un estándar de seguridad basado en un análisis de riesgos. Por otro lado, el enfoque a procesos que ISO 27001 tiene, obliga a considerar las actividades de la organización como un conjunto procesos, en el cual las entradas de un proceso normalmente son las salidas de otro.

La conclusión es que no podemos implantar la ISO 27001 sin considerar otros procesos como recursos humanos, compras, y si existieran otros Sistemas de Gestión.