ISO 27001 – Gestión de seguridad de la información.
¿QUÉ ES LA ISO 27001?
La ISO 27001 es un estándar internacional de cumplimiento voluntario y certificable para la gestión de seguridad de la información publicado por primera vez en 2005 por la International Organization for Standardization (ISO). La versión actual de la norma es la ISO/IEC/27001 en su versión de 2013, que ha sufrido distintas correcciones a lo largo de estos años, como por ejemplo en el año 2017.
Dicho estándar establece los requisitos y metodología para implementar un Sistema de Gestión de la Seguridad de la Información (en adelante, SGSI). Podemos decir que la implementación de un SGSI es la parte central de la norma ISO 27001.
Así, permite dotar a las organizaciones de las herramientas necesarias para gestionar la información de manera segura, ayudando a proteger uno de los activos más importante del que dispone una organización, la información.
La ISO 27001 es un referente a nivel mundial y uno de sus objetivos es proporcionar confidencialidad, integridad y disponibilidad continuada de la información para protegerla de cualquier injerencia o riesgo al que pueda verse sometida, y más en un contexto de transformación tecnológica.
En la actualidad, si bien la ISO 27001 es de carácter voluntario, cumplir con la misma se ha vuelto casi una condición obligatoria a la hora de trabajar con grandes organizaciones, y ello se debe a que no sólo permite proteger los datos y prevenir las desastrosas consecuencias de la materialización de un riesgo que afecte a los mismos sino que, además, va a generar más confianza entre los terceros con los que las organizaciones se relacionen, sean clientes, proveedores, etc.
En este sentido, la ISO 27001 puede ser implementada en cualquier tipo de organización, privada o pública, y con independencia de su tamaño y actividad empresarial. Cada vez la información es un activo más importante en cualquier tipo de actividad, por ello, gestionar la seguridad de la información es una necesidad cada vez más importante dentro de cualquier sector empresarial. No es de extrañar que sectores como el financiero, el sector salud, el sector transportes, etc., vean incrementados el número de certificaciones en este estándar, ISO 27001.El hecho de obtener la certificación en ISO 27001 va a generar un valor añadido para la organización respecto de otros competidores, generará más confianza frente a terceros y además, permite disminuir la probabilidad de incidentes, mitigar su impacto y evitar posibles consecuencias negativas y perjudiciales para la organización.
ESTRUCTURA DE LA ISO 27001.
A la hora de hablar de la estructura de la norma, en la ISO 27001 podemos diferenciar dos partes. La primera de ellas se corresponde a las directrices que dan forma a un Sistema de Gestión de Seguridad de la Información (SGSI), y la segunda, hace referencia al anexo que incluye los controles de seguridad que se deben implantar en la organización, detallados de manera más pormenorizada en la ISO 27002.
Así, podemos decir que, por un lado, tenemos la ISO 27001 que nos dice qué hacer para proteger la información e implementar un SGSI y, por otro lado, tenemos la ISO 27002 que nos dice cómo debemos de hacerlo.Como veníamos diciendo, la primera parte de la ISO 27001 se estructura de la siguiente manera:
- Objeto y campo de aplicación: En este apartado se dan una serie de indicaciones sobre la finalidad, el uso y el modo de aplicación del estándar.
- Normas para la consulta: Se recomienda la consulta de diversas normativas necesarias para la aplicación del estándar.
- Término y definiciones: En este tercer punto se establece un guía de las palabras clave y sus definiciones que te permiten entender los requisitos de la norma.
- Contexto de la organización: Este es uno de los requisitos fundamentales que establece la norma y punto de referencia en la aplicación del sistema de gestión de la seguridad de la información. Es necesario conocer la organización y definir todas aquellas cuestiones externas e internas que, en relación a la seguridad de la información, sean relevantes y le afecten para conseguir los resultados buscados de su SGSI.
Así, se recogen las indicaciones necesarias sobre el conocimiento de la organización y su contexto, las necesidades y expectativas de las partes implicadas y la determinación del alcance del SGSI, definiendo sus límites y su aplicabilidad.
- Liderazgo: Además del contexto de la organización, en la ISO 27001 se consideran fundamentales los requisitos relativos al compromiso por parte de la alta dirección en el proceso de implantación de un SGSI. Es imprescindible la implicación de la dirección en generar una cultura de la seguridad en la organización.
Por ello, este compromiso se materializa liderando la elaboración de una política de seguridad, aportando los recursos materiales y humanos necesarios, promoviendo la concienciación y la mejora continua, etc., asegurando así la integración de los requisitos del sistema de seguridad en los procesos de la organización.
La Política de Seguridad de la Información, muy importante en la ISO 27001, no se trata más que de un documento donde la dirección va a fijar los principios y objetivos y asume su compromiso con la seguridad. Es imprescindible que esté alineada con el resto de estrategias de la organización para que se integre en el día a día de la misma y no haya discrepancias. Para que verdaderamente tenga sentido, es necesario el conocimiento y publicación de la política tanto a nivel interno como al resto de grupos de interés de la organización.
Como ya se mencionó, es importante generar una verdadera cultura alrededor de la seguridad de la información en la compañía, por ello, hay que tener presente que la seguridad de la información es una cuestión multidisciplinar y transversal, dónde no sólo es necesaria la implicación y compromiso de la alta dirección sino también la participación de todos los empleados, que deben de conocer cuales son los planes de acción que se van a llevar a cabo y la manera en la que ellos contribuyen a su cumplimiento. Para conseguir esa colaboración activa y que se acometen las tareas de manera eficiente, es necesario asignar roles y responsables.
- Planificación: Una vez que tenemos fijado el contexto de la organización, se debe de determinar los riesgos y oportunidades que es necesario tratar (definir la metodología, identificar activos e identificación de amenazas y vulnerabilidades), realizar una evaluación de riesgos de acuerdo a los criterios de aceptación, y además definir los objetivos de seguridad de la información y una planificación de cómo llevarlos a cabo.
- Soporte: En este punto, la norma hace referencia a que para el adecuado funcionamiento del SGSI es necesario disponer de los recursos necesarios y la competencia y concienciación tanto del personal como de todas las partes interesadas. Así mismo, también es necesaria la definición de los procesos de comunicaciones tanto internas como externas y la documentación como evidencia de cumplimiento de los requisitos establecidos por la ISO 27001.
- Operación: En este capítulo es donde se ponen en marcha las medidas definidas en los capítulos anteriores, por ello, la organización debe planificar, implementar, monitorear y controlar los procesos necesarios para el cumplimiento de los requisitos de seguridad así como la valoración de los riesgos y su tratamiento.
- Evaluación de desempeño: Como parte fundamental de cualquier sistema de gestión es necesario evaluar el desempeño de las acciones emprendidas y la eficacia del SGSI. Así, se debe de realizar un seguimiento, una medición, un análisis, y una evaluación con el fin de garantizar el correcto cumplimiento de lo establecido.
La dirección debe de revisar el SGSI de manera periódica para garantizar su adecuación y eficacia, comprobando si se están alcanzando los objetivos y, en caso contrario, buscar las posibles causas y decidir sobre las soluciones. Otra de las herramientas con las que cuentan las organizaciones es la realización de auditorías internas.
La ISO 27001 nos impone la necesidad de realizar estas auditorías a intervalos planificados como la principal herramienta de control de cumplimiento del SGSI con respecto a los requisitos propios de la organización en relación al sistema y los establecidos por la propia norma ISO 27001.
- Mejora: Finalmente, el proceso de mejora continua permite mejorar la madurez del sistema, por ello, es necesario identificar qué aspectos no funcionan de manera correcta para poder adecuarlos y corregir las posibles desviaciones. En este punto localizamos el tratamiento de las no conformidades, las acciones correctivas y mejora continua.
Por otro lado, tenemos la segunda parte de la norma ISO 27001, la relativa a los controles de seguridad, dispuestos en el Anexo A. Es la guía que las organizaciones deben de seguir a la hora de implementar un SGSI. El anexo se compone de 114 controles agrupados en 35 categorías y 14 dominios de seguridad cuyos objetivos son: políticas, aspectos organizativos, recursos humanos, gestión de activos, acceso lógico, cifrado, etc., entre otros
NUEVA VERSIÓN DE LA ISO 27001.
El pasado mes de septiembre, se aprobó el borrador de la que será la nueva ISO 27001:2022. Se prevé que en el último trimestre de este año, se publique la actualización de la norma, cuya transición tendrá una duración de 3 años. Ante esta situación, el Foro Internacional de Acreditación (IAF) ha establecido los requisitos para la transición a la nueva versión de la norma, detallados en el documento IAF MD 2026, con la finalidad de que sirva como base para que los organismos de certificación actúen de forma coordinada.
La parte principal de la ISO 27001, las cláusulas de la 4 a la 10, que incluyen el alcance, contexto, partes interesadas, etc. no va a experimentar cambios con esta actualización. Principalmente, los cambios a los que afecta la ISO 27001:2022 se refieren al Anexo A, presentados en febrero por la norma ISO 27002:2022.
Por otro lado, tal y como se desprende del citado documento de la IAF, a grandes rasgos, los cambios incluyen:
- Referencias del Anexo A a los controles en ISO/IEC 27002:2022, que incluye la información del título del control y el control.
- Se revisan editorialmente las notas de la Cláusula 6.1.3 c), incluyendo la eliminación de objetivos de control y el uso de «control de seguridad de la información» para reemplazar «control».
- Se reorganiza la redacción de la Cláusula 6.1.3 d) para eliminar la posible ambigüedad.
Además, si lo comparamos con la versión anterior, el número de controles en ISO 27002:2022 disminuye de 114 controles en 14 cláusulas a 93 controles en 4 cláusulas. Para los controles en ISO 27002:2022, 11 controles son nuevos, 24 controles se fusionaron de los controles existentes y 58 controles se actualizaron.
Finalmente, en el supuesto de que ya tengas la certificación ISO 27001, debes saber que esta nueva actualización no afectará a tu certificación, ahora bien, dispondrás de un plazo de 36 meses a partir de la publicación de la norma ISO 27001:2022 para realizar la transición y actualizar tu SGSI.
No Comments