Publicada en 2005, la norma internacional ISO 27001 establece el marco de referencia para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI). Esta norma aborda la seguridad a través del prisma de la gestión de los riesgos para sus datos, basándose en un concepto sencillo que puede resumirse en una frase: “prevenir antes que curar”. Veámoslo más de cerca.

ISO 27001, LA NORMA INTERNACIONAL PARA LA GESTIÓN DEL RIESGO CIBERNÉTICO

¿Qué es la norma ISO 27001?

La norma ISO 27001 se publicó en 2005 y se revisó en 2013 y de nuevo en 2022. Fue desarrollada por el sistema mundial especializado en normalización, ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional). Por eso se entiende que también se la conozca por las siglas ISO/IEC 27001:2022.

Esta norma internacional de referencia proporciona un marco para ayudar a las organizaciones a implantar, mantener y mejorar continuamente su SGSI. ¿Su objetivo? Establecer las medidas de protección necesarias para mantener la confidencialidad, disponibilidad e integridad de la información de su organización.

La norma ISO 27001 es lo suficientemente genérica como para adaptarse a cualquier tipo de organización, sea cual sea su tamaño, naturaleza o sector de actividad.

¿Cuáles son sus ámbitos de aplicación?

Esta norma aborda la seguridad a través de la gestión de riesgos. Los 252 requisitos de esta norma (¡nada menos!) cubren en particular las siguientes áreas:

  • protección de datos personales;
  • gobernanza de la seguridad de la información y estrategia de gobernanza de datos;
  • seguridad de los recursos físicos (infraestructuras, redes y sistemas informáticos);
  • recursos humanos (organización y responsabilidades del personal, política de seguridad, sensibilización, etc.);
  • seguridad física (acceso a edificios o infraestructuras informáticas);
  • desarrollo y mantenimiento de sistemas y programas informáticos;
  • continuidad de la actividad (BCP, DRP, etc.).

Una empresa que aplique correctamente todos los requisitos de la norma ISO 27001 puede ser certificada por un auditor cualificado.

¿Por qué se creó?

En general, antes de este texto, las organizaciones aplicaban medidas de seguridad en respuesta a incidentes, pero no disponían de una herramienta de evaluación para definir los requisitos para el mantenimiento operativo y de seguridad de sus SI.

Al definir los requisitos de seguridad que permiten responder a las amenazas de intrusión, pérdida, robo o alteración de los datos, se considera, junto con la norma ISO 27035 (Gestión de Incidentes de Seguridad de la Información), una referencia en la gestión de la seguridad de la información.

VENTAJAS Y RETOS DE ISO 27001

5 ventajas de la norma ISO 27001
  • 1. Mejorar la seguridad de la información

    La implantación de la norma ISO 27001 ayuda a las organizaciones a identificar (mejor) los ciberriesgos y a aplicar controles para mitigarlos. Como resultado, los datos sensibles pueden protegerse frente a infracciones, ciberataques y otras amenazas.

  • 2. Mayor confianza de clientes y socios

    La certificación ISO 27001 demuestra un compromiso con la seguridad de la información, lo que puede ser un factor diferenciador en el mercado (especialmente en sectores sensibles como el financiero).

  • 3. Cumplimiento de otras normativas

    Obtener la certificación ISO 27001 a veces también implica cumplir otras normativas y leyes sobre protección de datos y confidencialidad (por ejemplo, el RGPD).

  • 4. Mejora continua

    La norma fomenta la innovación y el progreso mediante auditorías y revisiones periódicas de los procesos de gestión de la seguridad de la información. De este modo, las organizaciones se mantienen al día de las nuevas amenazas y tecnologías.

  • 5. Reducción de los costes asociados a los incidentes de seguridad

    Al identificar y mitigar los riesgos, las empresas pueden evitar los costes asociados a los incidentes de seguridad (multas, pérdida de datos, interrupciones del servicio, etc.).

UN MONTAJE A VECES COMPLEJO

Aunque obtener (y mantener) la certificación ISO 27001 tiene muchas ventajas, implantarla puede ser un verdadero reto para las organizaciones.

  • El cumplimiento puede ser costoso en términos de tiempo, dinero y recursos humanos (formación, documentación, auditorías, etc.).
  • El texto y sus requisitos pueden ser difíciles de entender, sobre todo para las pequeñas empresas que no disponen de un departamento especializado.
  • La implantación de un SGSI conforme a la norma ISO 27001 requiere cambios importantes en los procesos internos y la cultura organizativa.
  • Mantener el cumplimiento exige un compromiso permanente y una supervisión periódica, así como una documentación detallada (¡y voluminosa!) que representa una carga administrativa considerable.

¿CÓMO PUEDE FACILITARSE EL CUMPLIMIENTO DE LA NORMA ISO 27001?

Para implantar la norma ISO 27001 en tu organización, primero tienes que asegurarte el apoyo de tu personal y de la dirección:

  • obtener el compromiso del Comité Ejecutivo, que debe apoyar activamente el proyecto y asignar los recursos necesarios;
  • formar al personal y concienciarlo de la importancia de la norma;
  • implicar a todas las partes interesadas, incluidos proveedores y socios.

Otro punto importante: realice una evaluación precisa de los riesgos asociados a su organización (amenazas, vulnerabilidades e impactos) para definir los controles que deben implantarse. Una vez superada esta etapa, realice auditorías internas periódicas en el marco de un proceso de mejora continua.

Recuerda también documentar las políticas de seguridad y los informes de auditoría de forma clara y exhaustiva.

Por último, puedes apoyarte en herramientas especializadas (¡como Tenacy!) que facilitan la gestión del cumplimiento.

ISO 27001 VERSIÓN 2022: UNA ACTUALIZACIÓN IMPORTANTE

Necesidad de adaptar la norma ISO 27001

Una década nos separa de la última actualización de la norma en 2013. Desde entonces, las amenazas han evolucionado considerablemente. Por un lado, nuestro estilo de vida y nuestra relación con la tecnología digital han dado un vuelco, proporcionando una superficie cada vez más amplia para los ataques:

  • rápida aceleración de la transformación digital;
  • adopción del teletrabajo y de métodos de trabajo híbridos a toda velocidad;
  • predominio de la nube, con la necesidad de estar conectado en todas partes, todo el tiempo…

Al mismo tiempo, los ciberataques van en aumento, los atacantes se profesionalizan y las técnicas de compromiso se generalizan. Nunca ha sido tan fácil llevar a cabo un ataque: las redes de ciberdelincuentes se han estructurado y comercializan programas maliciosos y accesos iniciales a la carta.

Esta evolución hizo cada vez más compleja la protección de las organizaciones. La norma ISO tuvo que adaptarse para hacer frente a esta nueva realidad. Y todo empezó con un cambio en el nombre de la norma. ciberseguridad El propio título de la norma “Tecnologías de la información” ha pasado a ser “Seguridad de la información y protección de la intimidad“.

¿QUÉ CAMBIOS SE ESPERAN CON LA NORMA ISO 27001:2022?

El objetivo de la versión 2022 de la norma ISO 27001 es, por tanto, (re)definir las normas y requisitos para establecer el sistema de gestión de la seguridad de la información de su empresa. Ampliamente utilizada en todo tipo de organizaciones, este cambio de versión suscita inevitablemente preguntas sobre los cambios que implica.

El anexo A y sus nuevos controles

Los cambios de esta nueva versión de la norma afectan principalmente al anexo A, que a su vez se basa en la nueva versión de la norma ISO 27002:2022 publicada en febrero de 2022. Este anexo ya no se considera una lista detallada y exhaustiva.

En el texto de la versión ISO 27001:2013, las medidas se dividían en 14 áreas diferentes. Ahora se han fusionado en 4 categorías.

  1. 1. Controles relacionados con las personas: trabajo a distancia, confidencialidad, no divulgación de información, filtrado, etc.
  2. 2. Controles organizativos: políticas de información de la organización, uso de servicios en la nube, uso de activos, etc.
  3. 3. Controles físicos: vigilancia de la seguridad, medios de almacenamiento, mantenimiento, seguridad de las instalaciones, etc.
  4. 4. Controles tecnológicos: autenticación, cifrado, prevención de fuga de datos….

Otro aspecto destacado fue la aparición de 11 nuevos controles que cubren los siguientes aspectos:

  • inteligencia sobre amenazas (A.5.7),
  • seguridad de la información alojada en la nube (A.5.23),
  • preparar las TIC para la continuidad de las actividades (A.5.30),
  • vigilancia de la seguridad física (A.7.4),
  • actividades de seguimiento / vigilancia (A.8.16),
  • filtrado web (A.8.23),
  • diseño de código seguro (A.8.28),
  • gestión de la configuración (A.8.9),
  • supresión de información (A.8.10),
  • enmascaramiento de datos (A.8.11),
  • prevención de la fuga de datos (A.8.12).

A pesar de la adición de controles, el número de dominios se redujo de 114 a 93 como consecuencia de consolidaciones y fusiones.

¿Qué impacto concreto tendrá en la organización?

La evolución de la norma hace hincapié en los procedimientos, criterios y controles, que se reiteran como parte integrante del SGSI. Ahora los objetivos deben documentarse y supervisarse, y los cambios en el SGSI deben planificarse.

En la práctica, para que el SGSI cumpla esta nueva norma ISO, las organizaciones tendrán que pasar por una fase de transición durante los próximos dos o tres años.

El principal cambio es la declaración de aplicabilidad (DoA) y las pruebas de comparación entre las dos versiones de ISO 27001. Es necesario planificar una serie de tareas:

  • actualización de los requisitos de certificación y traducción a los mismos;
  • revisión del plan de gestión de riesgos;
  • revisión del plan de comunicación de la CMSI;
  • actualizar los procedimientos y listas de comprobación utilizados para las auditorías internas o externas.

Tanto si eres una empresa certificada como si no, tendrás que evaluar las adaptaciones necesarias para tus herramientas de seguridad de terceros. Afortunadamente, en Tenacy, nos hemos adelantado y los requisitos ya están actualizados en la plataforma (y no requieren ninguna acción por tu parte). Puedes estar seguro de que los registros que utilizas para demostrar la conformidad cumplen los nuevos requisitos de seguridad.