Las claves de la norma ISO 27001
ISO 27001
Queremos explicar qué es la norma ISO 27001 y para qué se puede utilizar. La norma ISO 27001 es un tema muy recurrente en la seguridad de la información y, al igual que otros conceptos, hay muchas confusiones e interpretaciones erróneas o incompletas.
El artículo persigue el fin de que los usuarios de la norma ISO 27001 en sus organizaciones saquen el mayor provecho y no se generen expectativas faltas sobre lo que pueden realizar con ella.
La norma ISO 27001 para la seguridad de la información se aprobó en el año 2005 y ha sufrido una revisión, por lo que la última versión es del año 2013. Fue publicada por la Organización Internacional de Estandarización, y en ella se especifican todos los requisitos necesarios para establecer, implementar, mantener y mejorar el Sistema de Gestión de la Seguridad de la Información.
A diferencia de estándares anteriores que se componían de una serie de requisitos a cumplir, la norma ISO 27001 se ha creado teniendo en cuenta todo el proceso de seguridad de la información basado en el ciclo Deming o ciclo PHVA (Planificar-Hacer-Verificar-Actuar), por lo que se creó el Sistema de Gestión de Seguridad de la Información.
Primero vamos a definir lo que se entiende por seguridad de la información, tradicionalmente se define la seguridad de la información como el logro, gestión y mantenimiento de tres características elementales:
- Confidencialidad: la información solo se tiene que ver por aquellos que tienen permiso para ello, no puede acceder alguien sin el permiso correspondiente.
- Integridad: la información será modificada por las personas que tengan permiso para ello.
- Disponibilidad: la información debe encontrarse disponible en el momento en el que los usuarios autorizados deseen acceder a ella.
Estas tres características forman la palabra “CIA” por las siglas en ingles de confidencialidad, integridad y disponibilidad. Aunque hay personas que piensan que la seguridad de la información tiene que incluir una cuarta denominada “no repudiación”, que asegura que un cambio a la información no sea negado por la persona que realizó el cambio.
Según la norma ISO 27001, la idea principal es preservar la CIA de la información estableciendo un Sistema de Gestión de Seguridad de la Información, realizando un conjunto de procesos, personas y tecnología, en la que se analicen los riesgos de la información y establezcan medidas para eliminarlos o minimizarlos de manera recurrente mediante un ciclo de mejora continua. Así se mantiene el control de los riesgos para conocer en todo momento la postura de seguridad de la empresa.
Es el sistema el que recibe el nombre de Sistema de Gestión de Seguridad de la Información, siendo el punto central de la norma ya que básicamente nos exige que cada empresa cumpla con todos los requisitos de la norma ISO 27001 realizando cuatro grandes actividades:
- Establecer un Sistema de Gestión en Seguridad de la Información.
- Implantar y operar el Sistema de Gestión en Seguridad de la Información.
- Mantener y mejorar el Sistema de Gestión en Seguridad de la Información.
- Monitorear y revisar el Sistema de Gestión en Seguridad de la Información.
La norma ISO 27001 nos habla de cómo crear y operar el Sistema de Gestión de Seguridad de la Información. Es por esto que antes de finalizar una entrega, deberás detenerte un momento para reiterar que una de las características fundamentales de la norma ISO 27001 es analizar, definir y aplicar las medidas necesarias para preservar la seguridad de la información.
La idea de establecer y mantener un Sistema de Gestión de Seguridad de la Información bajo ISO 27001 nos lleva a mejorar de forma constante los controles que se quieren implementar. Un auditor dijo que certificarse bajo la ISO 27001 es mucho más fácil que recertificarse. Durante la primera auditoría se puede permitir que no haya muchos controles implementados e incluso la operación de los que ya se encuentran listos no sea muy buena. Una vez implementado el SGSI se deberán ir desarrollando más y mejores controles según el avance que se consiga en el ciclo de mejora continua, y es por ello que la revisión de recertificación será más exigente con los controles.
Lo fundamental es conocer qué es y para qué sirve la norma ISO 27001.
Entre todas las actividades que se desarrollan durante la implementación de ISO 27001 se encuentran:
- Definir el alcance del SGSI
- Definir una política de seguridad
- Definir una metodología y los criterios para realizar el análisis y la gestión del riesgo
- Identificar los riesgos
- Evaluar los tratamientos de riesgo
- Elaborar una declaración de aplicabilidad
- Desarrollo de un plan de tratamiento de riesgos
- Definir las métricas y las indicaciones de la eficiencia
- Desarrollo de programas de formación
- Gestionar los recursos y las operaciones
- Gestionar las incidencias
- Elaborar los procedimientos y la documentación asociada
Los beneficios que ofrece la norma ISO 27001 en las organizaciones son:
- Incrementa la competitividad
- Mejora la imagen corporativa
- Protección y continuidad de negocio
- Cumplir con la legalidad y reglamento
- Optimizar los recursos e inversión en tecnología
- Disminución de los costes
ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.