¿Qué es la norma ISO 27001? Beneficios y proceso de certificación
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Con la llegada y desarrollo de la tecnología se ha visto un aumento considerable en los riesgos de seguridad de la información para las empresas y organizaciones. Esto trae como consecuencia la pérdida de los servicios esenciales de red, decaimiento de la reputación y confianza de los clientes y graves problemas a nivel financiero.
En la búsqueda de soluciones a esta problemática surge la norma ISO 27001 y durante todo este artículo estaremos brindando información relevante sobre su implementación, beneficios y cómo obtener la certificación para la mejora de su organización.
¿Qué es ISO?
La ISO (International Organization for Standardization) es una organización internacional no gubernamental que cuenta actualmente con 167 países miembros y reúne expertos para compartir conocimientos y desarrollar normas internacionales que ayuden a adoptar las mejores prácticas para asegurar productos y servicios de calidad óptima, de forma homogénea en todo el mundo.
La organización tuvo sus inicios en el año 1946 en Londres y estuvo conformada por delegados de 25 países que fundaron los primeros comités técnicos con expertos enfocados en temas específicos y recursos necesarios en fabricación de productos y tecnologías que garanticen la satisfacción de los consumidores.
La ISO cuenta con una larga lista de normas publicadas, como la ISO 9001, ISO 22301 y una de las más reconocidas a nivel mundial, la norma ISO 27001: Sistemas de Gestión de la Seguridad de la Información (SGSI). La misma se basa en la política de seguridad de la información.
Esta última norma es la respuesta a una problemática actual que surge en diversas plataformas, la seguridad de la información del cliente. Esto debido a que se ha visto cómo se vuelve cada vez más común la solicitud de datos en formularios de diferentes páginas y plataformas. Se consideró que debían existir formas de proteger estos datos, pues muchas veces involucra información de vivienda, contraseñas bancarias, números de tarjetas de crédito, número de teléfono, número de seguridad social, entre muchos otros datos personales que en las manos equivocadas pueden poner en riesgo la seguridad del cliente.
Nota curiosa: Debido a que 'Organización Internacional para la Estandarización' tendría diferentes acrónimos en diferentes idiomas (IOS en inglés, OIN en francés para Organización internacional de normalización), sus fundadores decidieron darle la forma abreviada ISO. ISO se deriva del griego 'isos', que significa igual. Sea cual sea el país, sea cual sea el idioma, siempre se podrá reconocer como ISO.
¿Qué es la norma ISO 27001?
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO). Esta se basa en la teoría de gestión de calidad, o por sus siglas en inglés PDCA (Plan, Do, Check, Act. Planificar, Hacer, Verificar, Actuar en español) y describe cómo gestionar la seguridad de la información en una empresa para la mejora continua de los sistemas de información y garantizar la ciberseguridad de los activos de información. La filosofía que rige a esta norma es la investigación de los riesgos para la futura creación de un plan de tratamiento adecuado.
Es una norma que especifica los controles necesarios para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, o ISMS por sus siglas en inglés (Information Security Management System), dentro del contexto de la organización. Los requisitos de la norma son de carácter genérico y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.
{{body-cta-1}}
Al igual que otros estándares de sistemas de gestión ISO, la certificación ISO/IEC 27001 es posible, pero no obligatoria y puede ser implementada por cualquier tipo de organización, con o sin fines de lucro. Algunas organizaciones eligen implementar el estándar para beneficiarse de las mejores prácticas que contiene, mientras que otras deciden que también desean obtener la certificación para asegurar a los clientes que se han seguido sus recomendaciones, pues esto conlleva ciertos beneficios de los que se hablará más adelante.
¿Cómo funciona la norma 27001?
La ISO 27001 es una forma de seguridad de información. Entendiendo esto último como las medidas preventivas de resguardo de información de sistemas. Esto quiere decir que busca mantener la confidencialidad e integridad de los datos, independientemente de su formato.
Esto lo hace mediante la investigación de posibles problemas, vulnerabilidades y riesgos que pueda presentar la organización. Para ello se utiliza la evaluación de riesgos y luego se define la mitigación o tratamiento de riesgos.
Es común que los controles de seguridad se implementen a través de softwares y equipos. Así como también se requiere de la definición de políticas y procedimientos.
En muchos casos ya se cuenta con las herramientas técnicas como software y hardware, pero por desconocimiento no se saca el suficiente provecho. Es de allí que surgen los requisitos de la gestión de la seguridad de la información en las organizaciones propuestas por la ISO, donde el correcto cumplimiento de requisitos garantizará la obtención del certificado.
Es importante resaltar que ISO no realiza la certificación, sino que propone los controles adecuados para lograr obtenerla. Todo esto bajo reglas de estándar internacional y requisitos generales. Esta última información la ampliaremos más adelante.
Beneficios de la norma ISO 27001
Las buenas prácticas de gestión de seguridad de la información y cumplimiento de los controles establecidos por la ISO 27001 produce ventajas esenciales para una empresa. Los mismos los veremos a continuación:
Minimización de riesgos
Se disminuye la posibilidad de sufrir un incidente que comprometa la información de la organización. Esto mediante la evaluación de riesgos que permite conocer las vulnerabilidades y a partir de allí, tomar las acciones correctivas para dar paso a la continuidad del negocio.
Algunos riesgos que se evitan o minimizan con la ISO 27001 son: obtención de datos privados del usuario o la organización, hackeo a sistemas y ataques financieros. Dicho de otra forma, promueve la ciberseguridad.
Aumento de confianza
El contar con esta certificación genera mayor confianza en clientes, proveedores y otras entidades. Además de proteger a la organización de ciberataques, al seguir los pasos de certificación, se demuestra que la misma es confiable, responsable y capaz.
{{body-cta-2}}
Incremento de reputación
El cumplimiento de esta norma proyecta una imagen de profesionalidad que genera cada vez mayor y mejor reputación.
Reducción de costos
El cumplimiento de esta norma evita multas muy costosas de incumplimiento de leyes de protección de información personal y datos personales. De esta misma forma, reduce la necesidad de realizar auditorías constantes, generando una única auditoría de certificación.
Facilitación de la continuidad de negocio
Mediante el correcto tratamiento de riesgos, la norma ISO 27001 permite una mejor gestión de continuidad del negocio al dar paso a la mitigación de amenazas que comprometan la seguridad de información o den paso a disponibilidad de la información a ciberatacantes.
Estructura de la norma ISO 27001
La norma ISO 27001 se estructura de la siguiente manera:
Objeto y campo de aplicación
La norma comienza aportando orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
Referencias normativas
Son los documentos indispensables para la aplicación de ISO 27001. Entre ellas se incluye la declaración de aplicabilidad.
Términos y definiciones
Es un glosario que describe la terminología aplicable a este estándar. Lo que facilita la comprensión de la norma.
Contexto de la organización
Recoge indicaciones sobre el conocimiento de la organización y su contexto. Luego plantea la comprensión de las necesidades y expectativas de las partes interesadas. Así como también la determinación del alcance del SGSI. Este es uno de los requisitos más importantes de la norma.
Planificación
Se deben establecer objetivos de seguridad de la información y el modo de lograrlos. Es decir, un plan de tratamiento de riesgos.
Soporte
En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
Operación
Esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización. También se debe hacer una valoración de los riesgos de la seguridad de la información y un tratamiento de ellos.
Liderazgo
Aquí se destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello, la alta dirección ha de demostrar su liderazgo y compromiso mediante la elaboración de una política de seguridad que conozca toda la organización y deberá asignar roles, responsabilidades y autoridades dentro de la misma.
Evaluación del desempeño
En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información. Esto para asegurar que funciona según lo planificado.
Mejora
Por último, encontramos las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
Una vez conocidos los beneficios, se abre un abanico de posibilidades para la organización que busque implementar la norma ISO 27001. Asimismo, se considera importante plantear el proceso de certificación.
{{body-cta-3}}
Proceso de certificación ISO 27001
Si bien ISO no realiza la certificación, se apoya de organismos de certificación externos para cumplir con este propósito. A grandes rasgos se puede considerar los siguientes pasos para obtener la certificación ISO 27001:
1. Establecer un equipo de trabajo
El trabajo de certificación es un proceso continuo y el equipo de trabajo debe estar conformado por un personal que tenga como objetivo implementar el SGSI, demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el status en relación con el alcance definido.
2. Determinar el alcance del SGSI
Como comentábamos en un principio, ISO 27001 se puede implementar en cualquier organización sin importar su rama o tamaño. Para ello, la organización que desee certificarse deberá definir el alcance del SGSI en función de las necesidades de la empresa.
Aquí se considerarán factores internos como: misión, visión y objetivos; gobierno y estructura organizacional; cuáles son los roles y responsabilidades, así como también las políticas, objetivos y estrategias de la organización.
Por otra parte, se debe tomar en cuenta factores externos como: el mercado y competencia; prácticas de la industria; cumplimiento de leyes y regulaciones; ambiente político y financiero, entre otros factores.
Además, podrá darse una idea de cuál sería su alcance si comienza a cuestionarse cuáles son sus servicios o productos más importantes para ser asegurados bajo esta norma y cuál de ellos tendría mayor relevancia competitiva frente a sus clientes. Esto sin dejar de tomar en cuenta los factores internos y externos.
3. Análisis de brechas
Se puede auxiliar de herramientas como un análisis de riesgos o una evaluación de brechas contra la norma 27001 para identificar y mitigar las amenazas a las que se encuentra expuesto. Al realizar esto podrá prepararse para la siguiente etapa.
4. Implementación de controles de seguridad
En esta etapa deberá implementar todos los controles de seguridad necesarios para mitigar los riesgos de seguridad de la información identificados. Para este punto, es crucial el apoyo de la alta dirección. Pues será necesario la adición de recursos humanos, técnicos y financieros.
5. Generación de documentación y evidencia
Una vez implementados los controles se deberá conservar la documentación necesaria para soportar el SGSI. Estos documentos serían todos aquellos procesos, procedimientos, guías y evidencias que más tarde serán revisadas por el auditor. Se debe tener en cuenta que es necesario cumplir al pie de la letra lo que se establezca en su documentación.
6. Pre Auditoría / Auditoría
Una vez que se tiene implementado el SGSI con todos los controles de seguridad aplicables, el organismo o empresa se encuentra listo para la certificación mediante un organismo de certificación externo. Sin embargo, como mejor práctica, siempre es recomendable llevar a cabo una pre auditoría, de modo que se puedan identificar posibles inconformidades por parte del auditor y resolverlas antes de la siguiente auditoría final de certificación.
Delta Protect y el cumplimiento de la ISO 27001
Delta Protect surge de la necesidad de devolver la privacidad digital a las startups y pymes de latinoamérica. Esto se hace mediante diferentes servicios y producto en donde procuramos ocuparnos de seguir paso a paso las necesidades individuales de nuestros clientes en materia de ciberseguridad y compliance o cumplimiento.
Cada servicio se complementa para lograr las certificaciones y propósitos. Un ejemplo de esto es CISO as a Service, donde ayudamos en el de certificaciones de seguridad internacional, no sin antes apoyarnos de nuestras pruebas de pentesting y análisis de vulnerabilidades según sea necesario.
Para nosotros la ciberseguridad es tarea fundamental para el crecimiento y correcto funcionamiento de una organización. Es por ello que procuramos que cada servicio se cumpla basado en los requerimientos del cliente y que los resultados sean óptimos y visibles. Además, garantizamos un trabajo constante. Pues aunque el primer logro es obtener la certificación, lo más importante es mantenerla, es decir que esto no es un proyecto de inicio y fin, es un proceso continuo.
Es importante resaltar que lograr la certificación con Delta Protect o con Apolo simplifica el proceso de cumplimiento, debido a que sabemos cómo optimizar la atención y cumplimiento de más de 150 puntos tanto documentales y de control que requiere la certificación. Sumado a que tenemos alianzas con diferentes casas de certificación, esto nos permite brindar muchos beneficios.
Recordamos que en Delta Protect no cobramos por el acompañamiento y preparación de la certificación, para nosotros este es un valor añadido que viene implícito en la entrega de nuestros servicios.
Una vez más, reiteramos la importancia de la ciberseguridad y los requerimientos que hoy en día hacen posible esta oportunidad. Aunque no sea tarea sencilla, vale el esfuerzo por lograr las certificaciones necesarias, en este caso la certificación ISO 27001. Una herramienta clave para la continuidad de un negocio por todos los aportes positivos para la organización que la obtenga.
Si estás buscando certificar tu organización, en Delta Protect trabajamos con organismos certificadores y apoyamos a nuestros clientes en el cumplimiento de la norma para lograr la certificación. Agenda una demo de Apolo con nosotros y logra la mejora continua de tu organización en materia de seguridad de información.