¿Qué es la ISO 27001? Beneficios y Proceso de Certificación

Con la llegada y desarrollo de la tecnología se ha visto un aumento considerable en los riesgos de seguridad de la información para las empresas y organizaciones. Esto trae como consecuencia la pérdida de los servicios esenciales de red, decaimiento de la reputación y confianza de los clientes y graves problemas a nivel financiero.

En la búsqueda de soluciones a esta problemática surge la norma ISO 27001 y durante todo este artículo estaremos brindando información relevante sobre su implementación, beneficios y cómo obtener la certificación para la mejora de su organización.

¿Qué es la norma ISO 27001?

La ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe cómo gestionar la seguridad de la información en una empresa para la mejora continua de los sistemas de información y garantizar la ciberseguridad de los activos de información. La filosofía que rige a esta norma es la investigación de los riesgos para la futura creación de un plan de tratamiento adecuado. Esta se basa en el ciclo de Deming, o por sus siglas en inglés PDCA (Plan, Do, Check, Act. Planificar, Hacer, Verificar, Actuar en español)

La norma ISO 27001 especifica los controles necesarios para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, o ISMS por sus siglas en inglés (Information Security Management System), dentro del contexto de la organización. Los requisitos de la norma son de carácter genérico y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.

{{body-cta-1}}

Al igual que otros estándares de sistemas de gestión ISO, la certificación ISO/IEC 27001 es obtenible, pero no obligatoria, y puede ser implementada por cualquier tipo de organización, con o sin fines de lucro. Algunas organizaciones eligen implementar el estándar para beneficiarse de las mejores prácticas que contiene, mientras que otras deciden solamente apegarse a ciertos aspectos de la norma, pues esto conlleva ciertos beneficios de los que se hablará más adelante.  

¿Qué es ISO?

La ISO (International Organization for Standardization) es una organización internacional no gubernamental que cuenta actualmente con 167 países miembros y reúne expertos para compartir conocimientos y desarrollar normas internacionales que ayuden a adoptar las mejores prácticas para asegurar productos y servicios de calidad óptima, de forma homogénea en todo el mundo.

La organización tuvo sus inicios en el año 1946 en Londres y estuvo conformada por delegados de 25 países que fundaron los primeros comités técnicos con expertos enfocados en temas específicos y recursos necesarios en fabricación de productos y tecnologías que garanticen la satisfacción de los consumidores.

Nota curiosa: Debido a que 'Organización Internacional para la Estandarización' tendría diferentes acrónimos en diferentes idiomas (IOS en inglés, OIN en francés para Organización internacional de normalización), sus fundadores decidieron darle la forma abreviada ISO. ISO se deriva del griego 'isos', que significa igual. Sea cual sea el país, sea cual sea el idioma, siempre se podrá reconocer como ISO.

‍

¿Cómo funciona la norma 27001?

La norma ISO 27001 es una manera de implementar seguridad de información en una organización. Esto quiere decir que busca mantener la confidencialidad e integridad de los datos, independientemente de su formato.

Esto lo hace mediante la investigación de posibles problemas, vulnerabilidades y riesgos que pueda presentar la organización. Para ello se utiliza la evaluación de riesgos y luego se define la mitigación o tratamiento de riesgos.

Es común que los controles de seguridad se implementen a través de softwares y equipos. Así como también se requiere de la definición de políticas y procedimientos.

En muchos casos ya se cuenta con las herramientas técnicas como software y hardware, pero por desconocimiento no se saca el suficiente provecho. Es de allí que surgen los requisitos de la gestión de la seguridad de la información en las organizaciones propuestas por la ISO, donde el correcto cumplimiento de requisitos garantizará la obtención del certificado.

Es importante resaltar que ISO no realiza la certificación, sino que propone los controles adecuados para lograr obtenerla. Todo esto bajo reglas de estándar internacional y requisitos generales. Esta última información la ampliaremos más adelante.

‍

Beneficios de la norma ISO 27001

Las buenas prácticas de gestión de seguridad de la información y cumplimiento de los controles establecidos por la ISO 27001 produce ventajas esenciales para una empresa. Los mismos los veremos a continuación:

Minimización de riesgos

Se disminuye la posibilidad de sufrir un incidente que comprometa la información de la organización. Esto mediante la evaluación de riesgos que permite conocer las vulnerabilidades y a partir de allí, tomar las acciones correctivas para dar paso a la continuidad del negocio.

Algunos riesgos que se evitan o minimizan con la ISO 27001 son: obtención de datos privados del usuario o la organización, hackeo a sistemas y ataques financieros. Dicho de otra forma, promueve la ciberseguridad.

Aumento de confianza

El contar con esta certificación genera mayor confianza en clientes, proveedores y otras entidades. Además de proteger a la organización de ciberataques, al seguir los pasos de certificación, se demuestra que la misma es confiable, responsable y capaz.

{{body-cta-2}}

Incremento de reputación

El cumplimiento de esta norma proyecta una imagen de profesionalidad que genera cada vez mayor y mejor reputación.

Reducción de costos

El cumplimiento de esta norma evita multas muy costosas de incumplimiento de leyes de protección de información personal y datos personales. De esta misma forma, reduce la necesidad de realizar auditorías constantes, generando una única auditoría de certificación.

Facilitación de la continuidad de negocio

Mediante el correcto tratamiento de riesgos, la norma ISO 27001 permite una mejor gestión de continuidad del negocio al dar paso a la mitigación de amenazas que comprometan la seguridad de información o den paso a disponibilidad de la información a ciberatacantes.

Estructura de la norma ISO 27001

La norma ISO 27001 se estructura de la siguiente manera:

Objeto y campo de aplicación

La norma ISO/IEC 27001:2022 inicia definiendo su propósito, que es establecer los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Esta sección proporciona una visión general del estándar, detallando su aplicabilidad a cualquier organización, independientemente de su tamaño, tipo o sector, y especificando que puede adaptarse a distintos contextos organizacionales. Además, enfatiza que el SGSI está orientado a proteger la confidencialidad, integridad y disponibilidad de la información.

Referencias normativas

En esta sección, se enumeran los documentos que son esenciales para la correcta interpretación y aplicación de ISO 27001. La principal referencia normativa es la ISO/IEC 27002, que proporciona directrices detalladas sobre los controles de seguridad. También se menciona la Declaración de Aplicabilidad (SoA), un documento fundamental que identifica los controles seleccionados y justifica su inclusión o exclusión, asegurando la trazabilidad con los requisitos del Anexo A.

Términos y definiciones

Para facilitar una interpretación uniforme y precisa, se ofrece un glosario de términos y definiciones relevantes en el ámbito de la gestión de la seguridad de la información. Esto ayuda a generar una comprensión común entre todas las partes interesadas, evitando ambigüedades y mejorando la implementación consistente del SGSI en diferentes organizaciones.

Contexto de la organización

La norma subraya la necesidad de que la organización comprenda su propio entorno, considerando factores internos y externos que puedan afectar su capacidad para lograr los objetivos de seguridad de la información.

Se incluyen actividades como:

• Identificación de partes interesadas (clientes, socios, reguladores, empleados, etc.) y sus expectativas.
• Determinación del alcance del SGSI, estableciendo claramente qué unidades, procesos, ubicaciones y activos estarán cubiertos por el sistema.
• Comprender adecuadamente el contexto y las necesidades resulta esencial para diseñar un SGSI verdaderamente efectivo y alineado con los objetivos estratégicos.

Comprender adecuadamente el contexto y las necesidades resulta esencial para diseñar un SGSI verdaderamente efectivo y alineado con los objetivos estratégicos.

Planificación

Aquí se establece que la organización debe abordar los riesgos y oportunidades que podrían impactar la consecución de los objetivos del SGSI. Esto implica:

• Identificación de riesgos de seguridad de la información mediante metodologías adecuadas.
• Evaluación de riesgos en términos de impacto y probabilidad.
• Diseño de un Plan de Tratamiento de Riesgos para mitigar, transferir, aceptar o evitar riesgos identificados.
• Definición de objetivos de seguridad, asegurando que sean medibles, coherentes con la política de seguridad y sujetos a revisión periódica.

Soporte

La correcta operación del SGSI requiere recursos adecuados. Esta cláusula cubre:

• Asignación de recursos humanos, tecnológicos y financieros.
• Capacitación y concienciación del personal en temas de seguridad de la información.
• Comunicación interna y externa eficaz, asegurando que los mensajes clave lleguen a los públicos adecuados.
• Gestión de la información documentada, asegurando que los documentos sean creados, actualizados y controlados apropiadamente para soportar el SGSI.

Operación

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos del SGSI. Esto incluye:

• Operar los procesos en coherencia con la planificación.
• Evaluar y tratar los riesgos de seguridad de manera continua.
• Mantener registros que demuestren que los procesos se ejecutan según lo planificado.
• La operación del SGSI debe ser proactiva, permitiendo una respuesta efectiva ante eventos que puedan comprometer la seguridad de la información.

Liderazgo

El compromiso de la alta dirección es un pilar fundamental del éxito del SGSI. Esta sección exige que la dirección:

• Demuestre liderazgo mediante la definición y comunicación de una Política de Seguridad de la Información alineada a la estrategia del negocio.
• Asigne roles y responsabilidades claros para la gestión de la seguridad.
• Promueva una cultura organizacional que valore y apoye la seguridad de la información en todos los niveles.
• La implicación activa de la alta dirección no solo proporciona dirección estratégica, sino también legitimidad al SGSI.

Evaluación del desempeño

Esta sección establece cómo la organización debe medir la eficacia de su SGSI. Incluye:

• Seguimiento y medición de procesos y controles.
• Auditorías internas periódicas para verificar la conformidad y eficacia del sistema.
• Revisión por la dirección, donde se evalúa el desempeño general del SGSI y se toman decisiones para su mejora continua.
• El objetivo es garantizar que el SGSI no solo esté implementado, sino que esté funcionando de manera efectiva y generando los resultados deseados.

Mejora

Por último, encontramos las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Una vez conocidos los beneficios, se abre un abanico de posibilidades para la organización que busque implementar la norma ISO 27001. Asimismo, se considera importante plantear el proceso de certificación.

{{body-cta-3}}

‍

¿Qué requisitos establece la ISO 27001?

La norma ISO 27001 establece un conjunto de requisitos que las organizaciones deben cumplir para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) eficaz y alineado con las mejores prácticas internacionales. Estos requisitos están diseñados para proteger la confidencialidad, integridad y disponibilidad de la información, adaptándose a empresas de cualquier tamaño o sector.

A continuación, te explicamos los principales requisitos que contempla la norma:

‍Contexto de la organización

La empresa debe definir el alcance de su SGSI, teniendo en cuenta:

• Las partes interesadas (clientes, reguladores, proveedores).
• Los requisitos legales y contractuales.
• Los activos de información y procesos críticos.

Liderazgo y compromiso

La alta dirección debe demostrar un fuerte compromiso con la seguridad de la información mediante:

• La aprobación de la política de seguridad.
• La asignación de recursos suficientes.
• El liderazgo en la mejora continua del SGSI.

‍Planificación y gestión de riesgos

Uno de los pilares de la norma es la identificación y evaluación de riesgos. Esto implica:

• Realizar un análisis de riesgos sistemático.
• Establecer planes de tratamiento para mitigar los riesgos identificados.
• Documentar todo el proceso y las decisiones tomadas.

Apoyo y recursos

La norma exige que la organización proporcione:

• Recursos adecuados (humanos, tecnológicos y financieros).
• Competencias y formación para el personal.
• Comunicación interna y externa efectiva.
• Control y gestión de la documentación del SGSI.

‍Operación

La empresa debe de:

• Implementar los controles seleccionados (según el Anexo A).
• Definir procedimientos operativos claros.
• Gestionar incidentes y cambios de forma efectiva.

‍

Evaluación del desempeño

El SGSI debe ser evaluado regularmente mediante:

• Monitoreo y medición de los controles y procesos.
• Auditorías internas planificadas.
• Revisión por la dirección para garantizar la eficacia y adecuación continua.

Mejora continua

La norma requiere la identificación y corrección de no conformidades, así como la aplicación de acciones correctivas para prevenir su recurrencia. La mejora continua es clave para mantener la relevancia y efectividad del SGSI frente a nuevas amenazas.

Anexo A: Controles y objetivos de control

Además de los requisitos principales, la ISO 27001 incluye el Anexo A, que presenta 93 controles divididos en 4 bloques principales:

1. Organizativos
2. Personas
3. Tecnológicos
4. Físicos
   

Estos controles son seleccionados y adaptados según las necesidades específicas de cada organización.

💡 TIP: Aunque la ISO 27001 es flexible y adaptable, documentar cada paso y contar con una metodología clara para la gestión de riesgos son claves para cumplir todos los requisitos y pasar la auditoría sin contratiempos.

‍

Proceso de certificación ISO 27001

Si bien ISO no realiza la certificación, se apoya de organismos de certificación externos para cumplir con este propósito. A grandes rasgos se puede considerar los siguientes pasos para obtener la certificación ISO 27001:

1. Establecer un equipo de trabajo

El trabajo de certificación es un proceso continuo y el equipo de trabajo debe estar conformado por un personal que tenga como objetivo implementar el SGSI, demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el status en relación con el alcance definido.

2. Determinar el alcance del SGSI

Como comentábamos en un principio, ISO 27001 se puede implementar en cualquier organización sin importar su rama o tamaño. Para ello, la organización que desee certificarse deberá definir el alcance del SGSI en función de las necesidades de la empresa.

Aquí se considerarán factores internos como: misión, visión y objetivos; gobierno y estructura organizacional; cuáles son los roles y responsabilidades, así como también las políticas, objetivos y estrategias de la organización.

Por otra parte, se debe tomar en cuenta factores externos como: el mercado y competencia; prácticas de la industria; cumplimiento de leyes y regulaciones; ambiente político y financiero, entre otros factores.

Además, podrá darse una idea de cuál sería su alcance si comienza a cuestionarse cuáles son sus servicios o productos más importantes para ser asegurados bajo esta norma y cuál de ellos tendría mayor relevancia competitiva frente a sus clientes. Esto sin dejar de tomar en cuenta los factores internos y externos.

3. Análisis de brechas

Se puede auxiliar de herramientas como un análisis de riesgos o una evaluación de brechas contra la norma 27001 para identificar y mitigar las amenazas a las que se encuentra expuesto. Al realizar esto podrá prepararse para la siguiente etapa.

4. Implementación de controles de seguridad

En esta etapa deberá implementar todos los controles de seguridad necesarios para mitigar los riesgos de seguridad de la información identificados. Para este punto, es crucial el apoyo de la alta dirección, pues será necesario la adición de recursos humanos, técnicos y financieros. Cabe destacar que algunos controles de seguridad se resuelven con la implementación de herramientas como mobile device management, anti-malware y la realización de pentesting a la infraestructura correspondiente.

5. Generación de documentación y evidencia

Una vez implementados los controles se deberá conservar la documentación necesaria para soportar el SGSI. Estos documentos serían todos aquellos procesos, procedimientos, guías y evidencias que más tarde serán revisadas por el auditor. Se debe tener en cuenta que es necesario cumplir al pie de la letra lo que se establezca en su documentación. Esto incluye:

• Definir la política de seguridad.
• Realizar un análisis y evaluación de riesgos.
• Establecer los controles necesarios (según el Anexo A).
• Crear procedimientos y manuales que respalden la operación del SGSI.

‍

6. Auditoría interna y corrección de no conformidades

Antes de la auditoría oficial, es fundamental realizar una auditoría interna para verificar que el SGSI está funcionando correctamente y que se cumplen todos los requisitos de la norma. En esta etapa se identifican posibles no conformidades y se implementan las acciones correctivas necesarias.

7

7. Auditoría de certificación (Fase 1 y Fase 2)

La auditoría oficial realizada por un organismo certificador consta de dos fases:

• Fase 1: Revisión documental del SGSI para asegurar que está correctamente diseñado.
• Fase 2: Evaluación práctica, donde se verifica que los procesos y controles se aplican efectivamente y cumplen con los requisitos.

Si se identifican no conformidades menores, la empresa tendrá un plazo para corregirlas antes de obtener la certificación.

‍

Delta Protect y el cumplimiento de la ISO 27001

Delta Protect surge de la necesidad de devolver la privacidad digital a las empresas de latinoamérica. Esto se hace mediante diferentes servicios en donde procuramos ocuparnos de seguir paso a paso las necesidades individuales de nuestros clientes en materia de ciberseguridad y compliance o cumplimiento.

Actualmente, contamos con el servicio de cumplimiento y certificaciones, el cuál, sirve para llevar un acompañamiento experto antes, durante e incluso después de la obtención de la certificación ISO 27001