¿Qué es ISO 27001? Guía completa

 

 

En este artículo encontrarás toda la información que necesitas para obtener la certificación en la norma ISO de seguridad informática 27000 además de todos los pasos que hay que seguir para certificar tu organización.

¿Qué es la ISO 27001?

La norma de seguridad informática ISO 27001 es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Este estándar proporciona una estructura para la gestión de la seguridad de la información y un conjunto de controles que deben ser implementados para proteger la información.
La ISO 27001 aborda los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.

ISO 27001 es la principal norma internacional centrada en la seguridad de la información. Fue publicada por la Organización Internacional de Normalización (ISO), en colaboración con la Comisión Electrotécnica Internacional (CEI). Ambas son organizaciones internacionales líderes que desarrollan normas internacionales.

Para comprender mejor el significado de ISO 27001, es importante saber que esta norma forma parte de un conjunto de normas desarrolladas para gestionar la seguridad de la información: la serie ISO/IEC 27000. ISO 27001 es la parte más importante de ese conjunto porque describe cómo gestionar todos los aspectos de la seguridad, y su nombre completo es «ISO/IEC 27001 – Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos».

La Serie ISO 27000 de Seguridad Informática para Sistemas Informáticos.

La familia de normas ISO/IEC 27000, también conocida como norma 27000 de seguridad informática, son una serie de buenas prácticas para ayudar a las organizaciones a mejorar la seguridad de su información.

Publicada por la ISO (Organización Internacional de Normalización) y la CEI (Comisión Electrotécnica Internacional), la serie explica cómo aplicar las mejores prácticas de seguridad.

Para ello, establece los requisitos del SGSI (sistema de gestión de la seguridad de la información).

Un SGSI es un enfoque sistemático de la gestión de riesgos, que contiene medidas que abordan los tres pilares de la seguridad de la información: personas, procesos y tecnología.

La norma ISO de ciberseguridad consta de 46 normas de seguridad informática individuales, incluida la ISO 27000, que ofrece una introducción a la familia y aclara términos y definiciones clave.

 

La ISO es una organización internacional independiente y no gubernamental que elabora normas internacionales a partir de las contribuciones de representantes de organizaciones nacionales de normalización de todo el mundo.

El marco ISO para seguridad informática 27001 es un conjunto de requisitos para definir, implantar, operar y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI), y es la principal norma reconocida por la ISO en materia de seguridad de la información.

Es decir SGSI = Marco de políticas, procedimientos, procesos y controles diseñado para gestionar de manera efectiva la seguridad de la información en una organización.

El objetivo de este marco de seguridad ISO es proteger la información de las organizaciones de forma sistemática y económicamente rentable, independientemente de su tamaño o sector.

La certificación en ISO 27001 es una forma de demostrar que una organización tiene un SGSI adecuado y efectivo en su lugar.
 

Fases de la norma ISO de seguridad informática 27001:

La norma ISO para auditoría informática 27001 se divide en dos partes principales:

1. La evaluación y tratamiento de riesgos
2. La aplicación de medidas de seguridad. Dentro de estas medidas se incluyen procedimientos, políticas, equipos y software.

Es común que las empresas ya tengan instalados los recursos tecnológicos necesarios, pero no se utilicen de manera segura. Al aplicar la norma ISO informática 27001 se establecen reglas para prevenir incidentes de seguridad.

La seguridad de la información no se limita únicamente a la tecnología, sino también a aspectos como la gestión de recursos humanos, protección física y jurídica, y la gestión de procesos.

ISO 27001 de ciberseguridad permite implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la mejora continua, valorando todas las amenazas o riesgos que puedan afectar a la información que maneja la empresa, ya sea propia o de terceros. También sirve para aplicar las medidas y controles necesarios para reducir o evitar dichos riesgos.

 

Esta norma se basa en un enfoque fundamentado en el ciclo de mejora continua o ciclo de DEMIN , conocido como PDCA (Planificar-Hacer-Verificar-Actuar en inglés Plan Do Check Act). Cada fase de este ciclo conlleva acciones específicas que deben llevarse a cabo para lograr una mejora continua en la seguridad de la información de la empresa.

En cada una de las fases del ciclo PDCA, se llevan a cabo una serie de acciones específicas en ciberseguridad.

En la fase de Planificar

Se definen la política de seguridad, el alcance del SGSI, se realiza el análisis de riesgos, se seleccionan los controles, se definen competencias, se establece un mapa de procesos y se determinan las autoridades y responsabilidades.

En la fase de Hacer

Se implementa el plan de gestión de riesgos, se aplica el SGSI y se implantan los controles.

En la fase de Verificar

Se realiza la revisión interna del SGSI, se llevan a cabo auditorías internas del SGSI, se establecen indicadores y métricas, y se realiza una revisión por parte de la Dirección.

Finalmente, en la fase de Actuar

Se adoptan acciones correctivas y se aplican acciones de mejora para garantizar una mejora continua en la seguridad de la información de la empresa.

 

Apartados de la norma ISO 27001

La norma ISO de ciberseguridad 27001 se divide en los siguientes apartados:

1. Introducción: Presenta la finalidad y el ámbito de aplicación de la norma, así como los términos y definiciones clave.
2. Referencias normativas: Enumera las normas y estándares relacionados con la gestión de la seguridad de la información que son de aplicación en conjunción con la ISO 27001.
3. Términos y definiciones: Establece una lista de términos y definiciones que se utilizan en la norma.
4. Contexto de la organización: Se refiere a la identificación de las partes interesadas y los requisitos de la norma, así como la evaluación del contexto organizacional y la comprensión de la gestión de riesgos.
5. Liderazgo: Define las responsabilidades de la dirección de la organización y su compromiso con la gestión de la seguridad de la información.
6. Planificación: Se refiere a la planificación de los objetivos y los requisitos de la norma, así como a la evaluación de riesgos y la selección de controles.
7. Soporte: Establece los requisitos para la gestión de recursos, la competencia, la toma de conciencia y la comunicación.
8. Operación: Describe la implementación de los controles y medidas de seguridad de la información.
9. Evaluación del desempeño: Se refiere a la realización de auditorías internas y la revisión por parte de la dirección.
10. Mejora continua: Establece la necesidad de la mejora continua del Sistema de Gestión de Seguridad de la Información y el proceso de corrección y prevención de acciones.

 

Controles

También conocidos como medidas de protección, salvaguardas, contramedidas o simplemente medidas

La norma ISO 27001 de seguridad informática establece un conjunto de controles que se pueden aplicar para proteger la seguridad de la información. Estos controles se dividen en 14 categorías y se enumeran a continuación:

1. Política de seguridad de la información: Define los requisitos básicos para establecer, implementar, mantener y mejorar la política de seguridad de la información.
2. Organización de la seguridad de la información: Define las responsabilidades y los roles para la gestión de la seguridad de la información.
3. Gestión de activos: Define los requisitos para la gestión de los activos de la información, incluyendo la propiedad, el uso aceptable, el manejo y la disposición.
4. Control de acceso: Define los requisitos para controlar el acceso a los sistemas y aplicaciones que contienen información.
5. Criptografía: Define los requisitos para el uso de la criptografía para proteger la confidencialidad, integridad y autenticidad de la información.
6. Seguridad física y del entorno: Define los requisitos para proteger la información contra amenazas físicas y ambientales.
7. Seguridad en la gestión de operaciones: Define los requisitos para asegurar la correcta gestión de los sistemas y la información durante su operación.
8. Seguridad en las comunicaciones: Define los requisitos para proteger la información durante su transmisión.
9. Adquisición, desarrollo y mantenimiento de sistemas de información: Define los requisitos para asegurar la seguridad de la información en los sistemas desarrollados o adquiridos.
10. Relaciones con proveedores: Define los requisitos para asegurar que los proveedores de servicios o productos que manejan información de la organización cumplan con los requisitos de seguridad.
11. Gestión de incidentes de seguridad de la información: Define los requisitos para la gestión de incidentes de seguridad de la información, incluyendo la notificación, la respuesta y la recuperación.
12. Aspectos de seguridad para la gestión de la continuidad del negocio: Define los requisitos para asegurar la disponibilidad de los sistemas y la información en caso de interrupciones.
13. Cumplimiento: Define los requisitos para cumplir con las leyes, regulaciones y normas de seguridad de la información aplicables.
14. Auditoría de seguridad de la información: Define los requisitos para la auditoría interna y externa de la seguridad de la información.

¿Dónde me puedo certificar en ISO 27001?

En España, las empresas que pueden certificar la norma ISO 27001 son los organismos de certificación acreditados. Estos organismos son independientes y están acreditados por la Entidad Nacional de Acreditación (ENAC) para llevar a cabo auditorías y emitir certificados de conformidad con la norma ISO 27001, que es un estándar internacional para la gestión de la seguridad de la información.

Algunas de las principales empresas y organismos de certificación que pueden certificar ISO 27001 en España son:

AENOR (Asociación Española de Normalización y Certificación): Es uno de los organismos de certificación más conocidos en España y ofrece una amplia gama de servicios de certificación, incluida la ISO 27001.

BSI Group (British Standards Institution): Aunque es una entidad británica, tiene presencia en España y es muy reconocida a nivel internacional. Ofrece certificaciones en diversas normas, incluida la ISO 27001.

SGS (Société Générale de Surveillance): Es una multinacional suiza que ofrece servicios de certificación en múltiples normas ISO, incluyendo la ISO 27001, y tiene oficinas en España.

Bureau Veritas: Es una empresa global de servicios de evaluación de conformidad y certificación, con una fuerte presencia en España. También ofrece certificación en ISO 27001.

Conclusión:

No se trata solo de cumplir la norma sino de ver el proceso de certificación como algo que le aporta valor a la organización. 

La norma ISO 27001 es una herramienta fundamental para la implementación de un sistema de gestión de seguridad de la información efectivo en cualquier organización. Al seguir los lineamientos y controles establecidos en la norma, las empresas pueden garantizar la protección de su información y la de sus clientes, minimizando los riesgos de incidentes de seguridad y aumentando la confianza en su gestión de la información. Además, la norma ISO 27001 promueve la mejora continua, lo que significa que las empresas pueden seguir actualizándose y adaptándose a las nuevas amenazas y desafíos en el ámbito de la seguridad de la información. En resumen, la ISO 27001 es una herramienta valiosa para garantizar la seguridad de la información y la protección de los intereses de la empresa y sus clientes.