Las empresas hoy en día deben hacer frente a una enorme cantidad de riesgos y vulnerabilidades que proceden de distintas fuentes. Esto supone que la información que manejan estas empresas, y que constituye su principal activo, está expuesta a múltiples amenazas basadas en diversas vulnerabilidades.
Garantizar la seguridad de esa información depende de la adecuada gestión de distintas cuestiones como: elaborar un plan de respuesta a incidentes, realizar un análisis de riesgos, distribuir competencias dentro de la empresa, el nivel de implicación de la dirección, el grado de aplicación de los controles o la inversión en seguridad.
En la actualidad, la mayor parte de la información que gestiona la empresa se encuentra automatizada a través del uso de las nuevas tecnologías. Para garantizar la seguridad de esa información automatizada surge la norma ISO 27001.
Aquí explicaremos en qué consiste la norma ISO 27001 y cómo implantar un SGSI basado en esta norma.
Indice
¿Qué es ISO 27001?
ISO 27001 es una norma internacional aprobada por la Organización Internacional de Normalización (ISO) en la que se regula la forma de garantizar en la empresa la seguridad de la información que maneja.
Se aprobó por primera vez en 2005, fue revisada en 2013 y la última extensión se ha aprobado en agosto de 2019, con el nombre de ISO/IEC 27701:2019.
Esta norma puede aplicarse en cualquier tipo de empresa, grande o pequeña, pública o privada y con o sin fines lucrativos. En ella se describen los métodos para que la empresa pueda garantizar la seguridad de la información.
Además, se posibilita la certificación de las empresas. Esto supone la confirmación por parte de una entidad independiente que esa empresa garantiza la seguridad de la información que maneja mediante el cumplimiento de la norma ISO 27001.
Se trata de la norma principal para la seguridad de la información a nivel mundial y cada vez más empresas certifican su cumplimiento.
Funcionamiento
El principal objetivo de la ISO 27001 es proteger la integridad, disponibilidad y confidencialidad de la información en la empresa. Para conseguir este objetivo es necesario averiguar los riesgos a los que está expuesta la información que maneja la empresa y después determinar lo que debe hacerse para impedir que se produzcan esos riesgos.
Es decir, ISO 27001 se estructura en dos partes:
- Evaluación y tratamiento de riesgos
- Aplicar las medidas de seguridad
Dentro de los controles o medidas de seguridad a aplicar están los procedimientos, políticas, equipos y software.
Normalmente, las empresas ya tienen instalado el software y el hardware correcto pero no se utiliza de manera segura. Al aplicar esta norma se establecerán las reglas que debe seguir la empresa para evitar incidentes de seguridad.
La seguridad de la información no está limitada únicamente a la seguridad en los sistemas TI. También se refiere a la seguridad en el ámbito de recursos humanos, gestión de procesos, protección física y jurídica, etc.
ISO 27001 posibilita la implantación de un Sistema de Gestión de Seguridad de la Información basado en una mejora continua. Para ello se valorarán todas las amenazas o riesgos que puedan hacer peligrar la información, propia o de terceros, que maneja la empresa. También sirve para aplicar las medidas y controles adecuados para reducir o evitar dichos riesgos.
La norma ISO 27001 se basa en un enfoque fundamentado en el ciclo de mejora continua. Este ciclo está basado en Planificar-Hacer-Verificar-Actuar, por lo que se le conoce también como ciclo PDCA (por sus siglas en inglés Plan-Do-Check-Act).
Cada una de estas fases conlleva una serie de actuaciones que vamos a enumerar.
Planificar
- Definir la política de seguridad
- Establecer al alcance del SGSI
- Realizar el análisis de riesgo
- Seleccionar los controles
- Definir competencias
- Establecer un mapa de procesos
- Determinar autoridades y responsabilidades
Hacer
- Implantar el plan de gestión de riesgos
- Aplicar el SGSI
- Implantar los controles
Verificar
- Revisar internamente el SGSI
- Realizar auditorías internas del SGSI
- Poner en marcha indicadores y métricas
- Hacer una revisión por parte de la Dirección
Actuar
- Adoptar acciones correctivas
- Aplicar acciones de mejora
Beneficios para la empresa
Los principales beneficios que la aplicación de la norma ISO 27001 tiene para la empresa son:
- Cumplimiento de la normativa vigente: cada día se aprueban nuevas normas relativas a la seguridad de la información y cumpliendo la ISO 27001 garantizamos el cumplimiento de la práctica totalidad de esa normativa.
- Ventaja comercial: si la empresa está certificada en el cumplimiento de esta norma tendrá una ventaja respecto a otras empresas no certificadas ya que los clientes tendrá más confianza de que sus datos personales están protegidos.
- Reducción de costes: ISO 27001 pretende evitar que la empresa sufra una brecha de seguridad y estas tienen un importante coste económico, aunque sean pequeñas. Es mayor el ahorro obtenido por la empresa que la inversión en ISO 27001.
- Mejorar la organización: muchas veces las empresas no tienen tiempo para fijar sus procedimientos y los empleados desconocen qué deben hacer y cuándo. Al aplicar ISO 27001 se solucionan estas situaciones al inducir a las empresas a redactar sus principales procesos.
Estructura
ISO 27001 está dividida en 11 secciones y un Anexo. Las tres primeras secciones son introductorias y no obligatorias. El resto de las secciones son obligatorias para cumplir con la norma.
La estructura es la siguiente:
- Introducción: se establece el objetivo de la norma y su compatibilidad con otras normas.
- Alcance: indica que la norma se aplica a cualquier empresa.
- Referencias normativas: se refiere a la norma ISO 27000 como la referencia respecto a la definición de términos.
- Términos y definiciones
- Contexto de la organización: aclara los requisitos, partes interesadas y alcance del SGSI.
- Liderazgo: se determinan las obligaciones de la dirección, los roles y el contenido de la política de seguridad de la información.
- Planificación: indica los requisitos para evaluar y tratar los riesgos y los objetivos de seguridad de la información.
- Apoyo: se establecen los requisitos sobre competencias, comunicación, disponibilidad de recursos, concienciación y control de documentos.
- Funcionamiento: aquí se especifica la aplicación de la evaluación y el tratamiento de riesgos y los controles exigidos para cumplir los objetivos.
- Evaluación del desempeño: establece los requisitos para medir, evaluar, analizar y revisar el cumplimiento por la dirección.
- Mejora: indica cómo deben tratarse las no conformidades y aplicar las medidas correctoras.
Controles
El Anexo A de ISO 27001 establece los controles a aplicar para evitar o solucionar situaciones de riesgo. Esos controles son:
- A.5: Políticas de seguridad de la información: controlar cómo se escriben y revisan las políticas
- A.6: Organización de seguridad de la información: controles sobre asignación de responsabilidades; incluye controles para dispositivos móviles
- A.7: Seguridad de los recursos humanos
- A.8: Gestión de activos: inventario de activos y controles de uso aceptable
- A.9: Control de acceso: política de control de acceso a sistemas y aplicaciones y gestión de acceso de usuarios.
- A.10: Criptografía: Cifrado y controles de gestión de claves
- A.11: Seguridad física y ambiental: controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad del equipo, eliminación segura, política de escritorio y pantalla clara, etc.
- A.12: Seguridad operativa: procedimientos y responsabilidades, malware, copia de seguridad, registro, monitoreo, instalación, vulnerabilidad, etc.
- A.13: Seguridad de las comunicaciones: seguridad de la red, transferencia de información, controles de seguridad del correo electrónico, etc.
- A.14: Adquisición, desarrollo y mantenimiento del sistema : controles que definen los requisitos de seguridad y seguridad en los procesos de desarrollo y soporte
- A.15: Relaciones con los proveedores: controles sobre qué incluir en los acuerdos y cómo supervisar a los proveedores
- A.16: Gestión de incidentes de seguridad de la información: controles para señalar eventos y debilidades, definir responsabilidades, evaluar eventos, responder y aprender de incidentes y recopilación de evidencias.
- A.17: Aspectos de la seguridad de la información en la gestión de la continuidad de las operaciones: Control de la planificación, implementación y revisión de la continuidad de las operaciones de seguridad de la información.
- A.18: Cumplimiento: controles exigidos por las leyes y reglamentos aplicables, la protección de la propiedad intelectual, de los datos personales y el examen de la seguridad de la información personal.
Pasos para implementar ISO 27001
Si deseas implementar la norma ISO 27001 en tu empresa, aquí te indico los pasos que debes seguir:
1. Identifica los objetivos de tu negocio
Es importante identificar y priorizar los objetivos para obtener el apoyo total de la gerencia. Para comenzar, los objetivos principales de la organización pueden extraerse, entre otros, de la misión de la empresa, los objetivos de TI y otros planes estratégicos.
Algunos objetivos destacados de la organización pueden ser:
- Ampliar el márketing
- Confirmar y garantizar a otros socios comerciales del estado de la empresa en cumplimiento de la seguridad de la información.
- Aumento de los ingresos y beneficios totales de la empresa al proporcionar la máxima seguridad a los datos e información del cliente.
- Tranquilizar a los clientes y partes interesadas de la compañía sobre el compromiso de la compañía con la seguridad de la información, la protección de datos e información junto con la privacidad.
- Cumplir adecuadamente las normas y directrices de la industria.
2. Consigue el soporte de administración
La participación del departamento de administración es importante para comprometerse con éxito, de conformidad con la planificación, implementación, monitoreo, operación, revisiones detalladas, mantenimiento continuo y mejora de ISO 27001.
El compromiso constante debe incorporar actividades, por ejemplo, garantizando que los activos correctos sean accesibles para tratar con el SGSI y que todos los representantes influenciados por el SGSI tengan la mejor capacitación, conocimiento y competencia posibles.
3. Define el alcance
De acuerdo con ISO 27001, cualquier alcance de implementación puede aplicarse a toda o parte de la organización. Si es una organización pequeña, implementarla en todas las partes de la organización ayudaría a reducir el riesgo.
Deben especificarse los procedimientos, las unidades de negocios y los proveedores o contratistas externos que se encuentran dentro del «alcance de la implementación» para que se produzca la certificación .
El alcance del proyecto debe mantenerse manejable y se recomienda agregar solo aquellas partes, lógicas o físicas, de la organización.
4. Redacta una política de seguridad de la información
En el SGSI de tu empresa, una política de Seguridad de la Información es el documento más importante y de más alto nivel. No tiene que ser extenso, sin embargo, debe incluir información breve sobre los temas básicos del marco de gestión de seguridad de la información dentro de la empresa.
El propósito de tener una Política de Seguridad de la información es que la empresa explique a sus empleados y recursos sobre lo que debe lograrse y cómo puede controlarse.
5. Define la metodología y estrategia de evaluación de riesgos
Prepara una lista de activos y servicios de información que deben protegerse. Para hacer eso, es importante formular una metodología de evaluación de riesgos a seguir para evaluar, resolver y controlar los riesgos según su importancia.
Los diferentes riesgos asociados con los recursos, junto con los propietarios, la localidad actual, la practicidad y la estimación de sustitución de dichos activos, deben identificarse y distinguirse por separado.
6. Elabora un plan de tratamiento de riesgos y administra esos riesgos
A través de un plan de tratamiento de riesgos, la empresa podrá distinguir y clasificar los riesgos según su impacto y sensibilidad. Para controlar con éxito el impacto relacionado con los diferentes riesgos asociados con los activos, la empresa debe seguir la atenuación de riesgos aceptando, evitando, transfiriendo o reduciendo los riesgos a un cierto nivel de aceptación.
El plan informará sobre quién hará qué, con quién y con qué presupuesto de la empresa en términos de evaluación y tratamiento de riesgos. Este es un paso crucial a seguir para una implementación exitosa de ISO 27001.
7. Establece políticas y procedimientos para controlar los riesgos
La empresa, independientemente de su tamaño, deberá contar con un procedimiento detallado o declaraciones de política para los controles adoptados junto con un documento de responsabilidad del usuario. Esto le permitiría identificar las funciones y responsabilidades de los usuarios para la implementación coherente, efectiva y real de esas políticas y prácticas.
ISO 27001 exige la documentación precisa de políticas y procedimientos. Sin embargo, la lista de políticas y procedimientos y su aplicabilidad dependen de la ubicación, los activos y la estructura general de la organización.
8. Asigna los recursos necesarios e implementa la capacitación y los programas de concienciación
Si deseas que tus empleados y trabajadores adopten e implementen todos los nuevos procedimientos y políticas, primero debes informarles sobre lo que es y por qué estas políticas son importantes, y capacitar aún más al personal para que tenga las habilidades y la capacidad necesarias para ejecutar las políticas y procedimientos.
La ausencia de tales ejercicios requeridos es otra razón importante del fallo del proyecto ISO 27001.
9. Supervisa cuidadosamente el SGSI
Como empresa, se debe tener en cuenta:
- ¿Qué está pasando en su SGSI?
- ¿Qué incidentes han ocurrido hasta ahora y de qué tipo?
- ¿Todos los procedimientos y políticas se llevan a cabo correctamente como se describe?
Este es un punto donde los objetivos de las metodologías de monitoreo, control y medición se unen. Aquí es donde se debe evaluar si los objetivos alcanzados se cumplen de acuerdo con los objetivos establecidos o no.
Si no está logrando los objetivos según sus estándares establecidos, es un indicador de que hay algo mal y deben realizarse algunas acciones correctivas para corregirlo.
10. Prepárate para una auditoría interna
La mayoría de las veces, los empleados de cualquier empresa, realizan ciertos actos a sabiendas o sin saberlo que están mal y afectan el desempeño y la reputación de la organización.
Para identificar estos problemas existentes y potenciales, es importante realizar una auditoría interna . El objetivo de una auditoría interna es tomar las acciones preventivas o correctivas necesarias en lugar de iniciar acciones disciplinarias contra los empleados.
11. Revisa periódicamente la gestión
No se requiere que la empresa cree y trabaje en la construcción de un firewall para la seguridad de la información, sino que deben saber qué está sucediendo dentro del SGSI y cuán eficiente y efectivamente se están tratando las políticas y procedimientos.
La revisión por la dirección incluye si se siguen o no las políticas del SGSI y si se han logrado o no los resultados deseados. Sobre la base de tales factores, la gerencia toma decisiones cruciales.
ISO 27001 se puede lograr mediante la alineación adecuada de los objetivos comerciales establecidos y la eficiencia en la comprensión de esos objetivos. La tecnología de la información y otros departamentos de una organización desempeñan un papel importante en la aplicación de ISO 27001.
¿Cómo obtener la Certificación?
Si, como empresa, cumples con la norma ISO 27001 y quieres certificarte, te explico cómo puedes hacerlo.
Para obtener la certificación ISO 27001, el auditor que vaya a tu empresa revisará la documentación exigida por esta norma, realizará preguntas y buscará evidencias que justifiquen el cumplimiento de los requisitos de esta norma.
Para verificar ese cumplimiento de la norma, el auditor examinará las políticas, procedimientos, personas y registros de la empresa. El examen de las personas se efectuará mediante entrevistas personales donde se les realicen preguntas dirigidas a comprobar que el SGSI esté implantado correctamente.
El auditor revisará toda la documentación del SGSI para verificar que existan todos los documentos exigidos por ISO 27001 y aquellos adoptados por la empresa para apoyar la implementación del SGSI y de los controles de seguridad.
Finalmente, debe comprobar que lo que se encuentra escrito en los documentos se aplica en la realidad. Es decir, la empresa debe ser capaz de probar que cumple con todo lo establecido en su SGSI.
Extensión de la norma ISO 27001, ISO/IEC 27701:2019
La llamada Sociedad de la Información nos proporciona importantes ventajas y han aparecido nuevos retos con la actual digitalización de la sociedad. Uno de los principales retos es la protección de los datos de carácter personal.
Se consideran datos de carácter personal todos los referidos a una persona física identificada o identificable y que nos facilitarán el conocimiento de aspectos propios de su identidad, ya sean de tipo cultural, ideológico o personal.
Por ese motivo, las distintas entidades y gobiernos han aprobado nuevas normas dirigidas a proteger dicha información.
Existe la obligación de las empresas de dar respuesta a esos nuevos derechos de los ciudadanos y asegurar un adecuado tratamiento y protección de los datos de carácter personal.
Por ello, en agosto de 2019 se ha aprobado una extensión de la norma ISO 27001 para garantizar la privacidad de la información, denominada ISO/IEC 27701:2019.
Es un estándar internacional que pretende ayudar a desarrollar y mejorar los procesos de gestión de la información de carácter personal que manejan las empresas.
Se ha configurado como una extensión del estándar ISO/IEC 27001 de Seguridad de la Información, beneficiándose de los procesos de seguridad que este estándar establece.
Características de ISO/IEC 27701:2019
Las principales características de esta nueva norma internacional para gestionar la privacidad de la información son:
- Permite la integración de la gestión de la información de carácter personal con otros estándares.
- Ayuda a cumplir las leyes que regulan la protección de los datos personales como el RGPD y la LOPDGDD.
- Establece diferentes requisitos en función del rol que desempeñe la organización, ya sea como responsable o como encargado del tratamiento.
- Permite certificar el cumplimiento de las buenas prácticas en materia de gestión de datos de carácter personal.
- Amplía los requisitos y los controles establecidos por ISO 27001 para responsables y encargados del tratamiento.
Esta norma establece requisitos adicionales para el SGSI para cubrir también las cuestiones específicas sobre privacidad. Con ello las empresas pueden garantizar que cumplen adecuadamente las normas de protección de datos y privacidad.
Con ISO/IEC 27701 se transformará el SGSI en PIMS (Privacy Information Management Sistem o Sistema de Gestión de Privacidad de la información). De esta forma la empresa garantizará la protección de su información corporativa y además el cumplimiento de sus obligaciones en materia de privacidad.
A través de esa gestión de la privacidad y la información personal se genera una mayor confianza en colaboradores, clientes y proveedores.
Estructura
La estructura de ISO/IEC 27701:2019 es la siguiente:
- Introducción
- Alcance
- Referencias normativas
- Términos y definiciones
- Generalidades
- Estructura de este documento
- Aplicación de los requisitos ISO/IEC 27001
- Aplicación de las directrices ISO/IEC 27001
- Requisitos específicos de PIMS relacionados con ISO/IEC 27001
- General
- Contexto de la organización
- Liderazgo
- Planificación
- Soporte
- Operación
- Evaluación del desempeño
- Mejora
- Orientaciones específicas de PIMS relacionadas con ISO/IEC 27002
- General
- Política de Seguridad de la información
- Organización de la seguridad de la información
- Seguridad de Recursos Humanos
- Gestión de activos
- Control de accesos
- Criptografía
- Seguridad física y ambiental
- Seguridad de operaciones
- Seguridad de comunicaciones
- Adquisición, desarrollo y mantenimiento de sistemas
- Relaciones con proveedores
- Gestión de incidentes de seguridad de la información
- Aspectos de seguridad de la información de la gestión de continuidad del negocio
- Compliance
- Guía adicional ISO/IEC 27002 para controladores PII
- General
- Condiciones de recopilación y procesamiento
- Obligaciones con los directores PII
- Privacidad desde el diseño y por defecto
- Compartir, transferir y divulgar
- Guía adicional ISO/IEC 27002 para procesadores de PII
- General
- Condiciones de recopilación y procesamiento
- Obligaciones con los directores PII
- Privacidad desde el diseño y por defecto
- Compartir, transferir y divulgar
- Anexo A (normativo) Objetivos de control y controles de referencia específicos de PIMS (Controladores de PII).
- Anexo B (normativo) Objetivos de control y controles de referencia específicos de PIMS (procesadores PII).
- Anexo C (informativo) Mapeo con el Reglamento General de Protección de Datos
- Anexo D (informativo) Mapeo con ISO/IEC 29100
- Anexo G (informativo) Cómo aplicar ISO/IEC 27701 a ISO/IEC 27001 e ISO/IEC 27002
- Bibliografía
Este nuevo estándar internacional incorpora cuestiones específicas sobre privacidad incrementando los requisitos y controles establecidos por ISO 27001 e ISO 27002. La implantación de esta norma será útil para cumplir la normativa de protección de datos, reforzará la confianza en aquellas empresas que se certifiquen y beneficiará el comercio internacional.
Ventajas para las empresas
El principal objetivo de ISO 27001 y de ISO 27701 es garantizar la seguridad de la información.
El eslabón más débil de la cadena, las personas, es quien provoca muchas veces los incidentes de seguridad, tanto consciente como inconscientemente. Cometemos errores con los que hacemos más sencillo el acceso a la información personal.
El principal error que cometemos es usar las mismas contraseñas en diferentes webs o aplicaciones. También el uso de contraseñas poco seguras y el acceso a páginas web no seguras.
La norma ISO 27701 será útil para esos supuestos de errores cometidos por las personas ya que establece requisitos y recomendaciones que conseguirán fortalecer al máximo la seguridad de la información.