Referencia verdadera en seguridad informática, ISO 27001 define un marco para la implementación de un sistema de gestión de seguridad de la información. ¿Cuáles son los requisitos de la norma? ¿Por qué obtener la certificación? Descubre las respuestas.
Certificación ISO 27001, una referencia internacional
ISO 27001 es la norma internacional de referencia en ciberseguridad. Proporciona directrices para ayudar a organizaciones de todo tipo (empresas privadas, administraciones públicas, ONG, …) a proteger su información digital. Por lo tanto, se invita a las empresas a implementar un sistema de gestión de seguridad de la información (SGSI) basándose en los procesos, acciones y alcances de la norma ISO. Al hacerlo, fortalecen la protección contra todos los riesgos relacionados con la seguridad de la información (pérdida, robo, alteración, intrusión, desastre, …).
Publicada por primera vez en octubre de 2005, la norma ISO/IEC 27001 ha experimentado algunas actualizaciones (2013 y 2022). En su última versión de 2022, se introdujeron nuevos aspectos, particularmente los relacionados con la prevención, detección, respuesta a ciberataques y protección de datos (en conformidad con el NIST Cybersecurity Framework).
Los requisitos de la norma ISO 27001
La norma ISO 27001 consta de 10 capítulos. Los 3 primeros dedicados a la introducción, el alcance y a los términos y definiciones, nos centraremos en los 7 restantes:
Bueno saber: para estar certificadas ISO 27001, las organizaciones deben cumplir con los requisitos de la norma caracterizados por el término «la organización DEBE». Cuando aparece el término «debería», se trata más bien de consejos para la implementación.
1 - Contexto de la organización
Es el marco general del sistema de gestión de seguridad.
Según la norma ISO 27001, la organización debe:
- Determinar los factores internos y externos que pueden influir en su SGSI. Esto equivale a un análisis SWOT donde la empresa identifica sus fortalezas, debilidades, oportunidades y amenazas.
- Identificar a las partes interesadas que desempeñan un papel en la seguridad del sistema de información (como socios, clientes y prospectos).
- Definir el alcance del SGSI, incluyendo los sitios, infraestructuras, servicios y procesos implicados.
2 - Liderazgo
El objetivo es apoyar y promover la implementación del SGSI mediante un conjunto de acciones, tales como:
- Definir la política de seguridad de la organización;
- Nombrar a un responsable del SGSI;
- Concienciar a los empleados sobre la ciberseguridad y sus desafíos;
- Apoyar la implementación de medidas de seguridad;
- Gestionar los riesgos informáticos.
En este capítulo ISO 27001, son más bien los órganos directivos los que están implicados: deben demostrar su liderazgo.
3 - Planificación
La identificación de riesgos cibernéticos y las medidas de tratamiento están en el corazón de este capítulo ISO 27001. Concretamente, la organización debe:
- Identificar sus activos de información: para cada activo, es importante determinar un nivel de confidencialidad y sensibilidad.
- Evaluar los riesgos asociados con la seguridad de la información: en función de la criticidad del riesgo, la sensibilidad de los datos, el nivel de urgencia, la viabilidad del riesgo, etc.
- Determinar las medidas de tratamiento de riesgo: son las medidas de seguridad destinadas a reducir el riesgo.
- Definir objetivos de seguridad: la empresa debe elaborar un plan de tratamiento para lograr estos objetivos y asegurarse de su efectividad.
4 - Apoyo
La organización debe proporcionar los recursos necesarios para apoyar el funcionamiento del SGSI. Esto incluye:
- Documentar el SGSI;
- Gestionar los documentos y registros;
- Controlar los cambios;
- Asegurarse de la competencia de las partes involucradas en el SGSI (CISO, desarrolladores web, administradores de redes, …);
- Comunicar y sensibilizar a los colaboradores;
- Adquirir los recursos necesarios (herramientas, equipos de informática, soluciones de hosting, cloud, …).
5 - Operación
Es la implementación del plan de tratamiento planeado en la etapa 3. Según ISO 27001, la organización debe:
- Implementar controles de seguridad operativos;
- Monitorear todos los cambios del plan y analizar sus impactos;
- Gestionar los incidentes de seguridad de la información;
- Mejorar continuamente el SGSI.
6 - Evaluación del desempeño
Es el monitoreo del plan de tratamiento. El objetivo es evaluar su rendimiento antes de mejorarlo. Para ello, la organización debe:
- Establecer indicadores para evaluar los resultados del SGSI;
- Seguir estos KPI;
- Realizar auditorías internas del SGSI;
- Evaluar la conformidad con los requisitos de la norma.
7 - Mejora continua
El último capítulo de la norma ISO 27001 está dedicado a la mejora continua. Ante los múltiples cambios en la seguridad informática, es imperativo que las organizaciones implementen procesos para mejorar continuamente el SGSI. Esto implica un monitoreo tecnológico constante para identificar nuevas amenazas y prácticas cibernéticas.
Además de estos 10 capítulos, la norma ISO 27001 incluye un anexo A que proporciona controles recomendados de seguridad de la información.
Los beneficios de la certificación ISO 27001
Mientras que los riesgos cibernéticos siguen en aumento, la certificación ISO 27001 emerge como un baluarte. Mediante su sistema de gestión de seguridad de la información, ofrece buenas prácticas a implementar para proteger sus datos.
Además de una mayor seguridad, la certificación también mejora la imagen de marca de las empresas ante sus partes interesadas. Clientes, socios y proveedores tendrán más confianza en trabajar con una organización que ha implementado un SGSI.
Consecuentemente, obtener la certificación ISO 27001 es importante. ¿Deseas prepararte? Únete a DataScientest.