jueves, 17 de octubre de 2024

¿QUÉ ES LA ISO 27001 Y PARA QUÉ SIRVE A LAS ORGANIZACIONES?

La ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2022 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

¿Para qué sirve la ISO/IEC 27001?

La norma ISO/IEC 27001 establece los requisitos para poner en marcha, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SG-SI). El objetivo fundamental es ayudar a las compañías a preservar su confidencialidad e integridad, así como la disponibilidad de la información y los activos relacionados con ella.

La norma ISO 27001:2022 proporciona un marco que permite la gestión de los riesgos de seguridad de la información. Ayuda a todas las empresas a identificar y evaluar los posibles riesgos sobre la seguridad de la información. También permite implementar controles y medidas de seguridad necesarias para su mitigación y gestión de manera efectiva.

Además, la ISO 27001 mejora la confianza de los stakeholders, como clientes, socios comerciales y reguladores, al demostrar el compromiso de la empresa con la seguridad de la información. Con la certificación ISO/IEC 27001:2022, las empresas demuestran su cumplimiento con los estándares internacionales  en materia de seguridad de la información, ayudándoles a diferenciarse en el mercado y así mejorar su reputación.

Cabe destacar que la ISO 27001 2022 fomenta una cultura de seguridad de la información en el interior de la compañía. Establece procesos y procedimientos claros para la gestión de la seguridad de la información. De este modo la norma ayuda a crear conciencia y formar a los trabajadores acerca de las mejores prácticas de seguridad y su papel en la protección de la información.

No puede perderse de vista que la ISO/IEC 27001 mejora la resiliencia y la capacidad de recuperación de la empresa ante a incidentes de seguridad de la información. Su enfoque proactivo para la gestión de la seguridad, permite detectar y responder rápido a posibles amenazas y vulnerabilidades, reduciendo el impacto de los incidentes y garantizando la continuidad del negocio.

Estructura de la norma ISO 27001

Al igual que las normas revisadas o publicadas desde noviembre de 2014, esta norma también adopta la estructura de alto nivel del anezo SL de la ISO:

  1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
  2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.
  3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
  4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.
  5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
  6. Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos.
  7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
  8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
  9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.
  10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Certificación ISO 27001

La certificación ISO 27001 es un reconocimiento que confirma que una organización cumple con los requisitos de la norma ISO 27001, garantizando así la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo. Esta certificación demuestra el compromiso de la organización con la seguridad de la información y puede mejorar su reputación y relaciones comerciales.

Cómo implementar la ISO 27001

Implantar la ISO 27001 implica seguir un proceso estructurado que garantice la efectividad y la adecuada gestión de la seguridad de la información en una organización. Podemos establecer 7 pasos para lograr la solidez de un sistema SGSI:

  1. Definir la Política: Se establece una política de seguridad de la información que refleje el compromiso de la alta dirección con la protección de los activos de información.
  2. Definir el Alcance del SGSI: Se determina el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), especificando los límites y las aplicaciones que estarán cubiertos por la certificación ISO 27001.
  3. Análisis de Riesgos: Se realiza una evaluación exhaustiva de los riesgos de seguridad de la información, identificando las amenazas, vulnerabilidades y activos relevantes.
  4. Gestión del Riesgo: Se desarrollan estrategias para gestionar y tratar los riesgos identificados, priorizando aquellos que requieren medidas de mitigación o aceptación.
  5. Selección de Controles a Implementar: Se seleccionan los controles de seguridad adecuados de la norma ISO 27001 y otros marcos de referencia relevantes para abordar los riesgos identificados.
  6. Declaración de Aplicabilidad: Se elabora la Declaración de Aplicabilidad (DoA) para documentar los controles seleccionados y justificar cualquier exclusión basada en criterios como la viabilidad técnica o la aceptación del riesgo.
  7. Revisión del Sistema: Se lleva a cabo una revisión continua del SGSI para garantizar su eficacia y su alineación con los objetivos organizacionales, mediante auditorías internas y revisiones periódicas.

Novedades de la ISO 27001:2022

Esta norma fue publicada a finales de 2022, aportó una serie de cambios con respecto a su antecesora, la ISO 27001:2013 que los usuarios de los SGSI tienen que asimilar para continuar gestionando de forma eficaz la Seguridad de la Información. Las novedades que manifiesta son:

  • No aparece la sección “Enfoque a procesos” con su respectiva metodología basada en el ciclo PHVA, ahora ofrece mayor flexibilidad.
  • Se elimina la obligatoriedad de algunos documentos, conservando únicamente la declaración de aplicabilidad.
  • Se han revisado los requisitos y controles.
  • Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y operación.

Cambios en los controles de la nueva versión de ISO 27001

Nueva agrupación de los controles de Seguridad de la Información: En esta nueva versión, en lugar de contar con 14 dominios, se agrupan en 4 temas para conformar el total de los controles, incluyendo aquellos nuevos que son novedad en la ISO 27001:2022. En esta nueva versión encontramos

Controles organizacionales, con 37 controles enfocados en la seguridad administrativa y las políticas de seguridad de la información.

Controles de personas, que agrupa a 8 controles orientados a la protección de la Seguridad de la Información en lo que respecta capital humano de la organización.

Controles físicos, con 14 controles orientados a la instalación e infraestructura IT de la empresa.

Controles tecnológicos, con 34 controles enfocados en aspectos como autentificación, cifrado y otras materias tecnológicas no relacionadas con las instalaciones físicas o la infraestructura.

Además de la agrupación de los controles, la nueva versión implica la eliminación de uno de ellos, la fusión, algunos existentes en la versión 2013 y la creación de 11 nuevos controles de seguridad de la información para adaptar la norma a los tiempos actuales.

Cambios en los atributos de la nueva versión 2022

Para los controles también se han implementado atributos, siendo los que aplican a la nueva norma: Tipo de control, Propiedad del SI, Concepto de Ciberseguridad, Capacidad Operacional y Dominio de Seguridad, cada uno de ellos orientado, de nuevo, a adaptar los controles a los nuevos tiempos.

Tomado de: https://www.isotools.us/