La norma ISO 27001 es la única norma certificable dentro de la familia de normas 27000. Se trata de una norma internacional que establece un marco de referencia para preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos.
El sistema de gestión de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos.
El eje central de la ISO 27001 se basa en la gestión de riesgos. Debemos analizar donde están los riesgos y tratarlos de forma sistemática. Tendremos que implementar controles de seguridad, asociados a políticas, procedimientos e instrucciones. Aunque deberemos tener en cuenta que la gestión de la seguridad no afecta solo a la seguridad de IT (antivirus, firewalls…) sino que también está asociada con la protección física, gestión de procesos y gestión adecuada por los recursos humanos.
La norma ISO 27001 va dirigida a todas las organizaciones, independientemente del tamaño, sector, ámbito o actividad, siempre y cuando quieran mejorar el desempeño en materia de seguridad de la información.
El objetivo y el resultado previsto del sistema de gestión de la seguridad de la información (SGSI) es la protección de los sistemas la información mediante la minimización de riesgos y la identificación de los procesos de negocio, servicios de TI y activos de la organización.
La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite a las organizaciones proteger la información y su privacidad, ya que se trata de uno de sus principales activos.
La implementación de la Norma ISO 27001 favorece la diferenciación frente a la competencia, ofreciendo a los clientes, proveedores y sociedad una imagen de compromiso con la protección de los datos y la información de la que dispone la organización. En resumen, desarrollar un Sistema de Gestión de Seguridad de la Información aporta los siguientes beneficios a una organización:
La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) implica llevar a cabo varias etapas. Para garantizar una máxima eficacia es fundamental realizar una buena planificación de la implantación.
Sirve como punto de partida para analizar en qué medida la gestión cotidiana se ajusta a los requisitos de la norma de referencia y para establecer un plan de trabajo. En esta fase se realizará una revisión de la gestión de la seguridad actual y su comparación con la norma de referencia. Se extraerán propuestas de mejora y puntos débiles de la organización, en su caso, y se asignarán responsabilidades y recursos necesarios para la implantación.
Durante la implantación debe estar presente el compromiso claro de la dirección, ya que será necesaria su participación para el establecimiento de ciertos procesos (establecimiento de objetivos, definición de la política de seguridad y asignación y/o reasignación de recursos, en su caso).
Como hemos mencionado anteriormente, la planificación resulta fundamental para garantizar el éxito de la implantación. Es este punto se planificarán los plazos de implantación y la carga de trabajo. Es recomendable, la designación de un responsable del SGSI ya que facilitará mucho el proceso. Dicho responsable tendría que contar con ciertas características:
El responsable del SGSI trabajará mano a mano con el consultor asociado al proyecto.
Para una implantación exitosa es imprescindible la colaboración de todo el personal de la organización. Durante esta fase habría que informar a todos los integrantes de la organización de los fines que se pretenden con la implantación, del grado de implicación que supondrá y de cómo afectará a cada persona. Esto puede realizarse mediante reuniones y jornadas de sensibilización conjuntas entre dirección, el equipo consultor y el personal. La información facilitada tiene que ser clara, sencilla y adecuada a cada puesto de trabajo.
Es bastante habitual que los empleados muestren reticencias ante aquellos que pueda representar una amenaza hacia la comodidad del camino seguido hasta la fecha. Hay que encontrar una fórmula para que todo el personal participe en el diseño del sistema, aportando sus ideas, conocimientos y experiencias.
La documentación del SGSI consiste en plasmar en una serie de documentos (que denominaremos procedimientos o instrucciones), la metodología de trabajo y las herramientas para abordar los requisitos de la norma de referencia. Por ejemplo, se documentará la metodología y criterios para identificar amenazas, para evaluar los riesgos y para el establecimiento de un posterior plan de gestión del riesgo, se elaborará, controlará y mantendrá un listado de activos y se diseñará e implantará un conjunto de controles de seguridad.
En la elaboración de la documentación deben participar las personas implicadas en el proceso que estamos describiendo para garantizar que su contenido está lo suficientemente ajustado a la realidad. Se podrán realizar tantas revisiones como sean necesarias, hasta que se disponga del documento definitivo y pueda implantarse su uso.
Esta etapa es la más compleja de todo el proceso y la que nos va a ocupar más tiempo. Consiste en realizar las tareas y las actividades tal y como hemos establecido en los procedimientos o instrucciones. También habrá que recoger datos e información sobre el desempeño de los procesos, así como de consumos o generación de residuos. Durante el proceso, tendremos que realizar seguimientos para asegurarse de que realmente se siguen las instrucciones dadas, en caso contrario, tenemos que detectar por qué y actuar en consecuencia, realizando las correcciones necesarias en la documentación pertinente.
Esta norma parte de la base de que se conocen y cumplen ciertos requisitos legales relacionados con la protección de datos, servicios de la sociedad de la información y comercio electrónico, entre otros.
Por ejemplo: reconocer todos los ficheros que contengan datos de ámbito personal y establecer el nivel de protección que les corresponda, informar sobre el uso de los datos personales, registrar los ficheros en el registro de la Agencia de Protección de Datos, garantizar el cumplimiento de los derechos de propiedad industrial y marcas propias y de terceros…
Una vez que el sistema está implantado (pueden pasar entre 3 y 6 meses, aproximadamente) se realiza una comprobación completa del funcionamiento de este y del cumplimiento de los requisitos de la norma de referencia.
De este proceso pueden surgir desviaciones respecto a la norma, que deben ser subsanadas para enfrentarse con seguridad al último punto del proceso: la certificación.
Para más información consultar “¿Qué es una auditoría interna ISO 27001?”.
Consiste en revisar el Sistema de Gestión de la SI para asegurarse de su conveniencia, adecuación y eficacia. Esta revisión por la dirección se debe realizarse a “intervalos planificados”; lo común es realizarla, como mínimo, una vez al año. Fruto de este análisis se deben documentar las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el Sistema de Gestión de Seguridad de la Información.
Una vez que hemos realizado la implantación del Sistema de Gestión de la Seguridad de la Información, tal y como hemos comentado en los puntos anteriores, el siguiente paso para obtener el certificado ISO 27001 es iniciar el proceso de certificación. Lo podemos desglosar en varias fases:
Podemos destacar varias características de la norma ISO 27001:
Quizá la característica más importante de la ISO 27001 es su estructura de alto nivel. Actualmente es habitual que en una misma organización se trabaje de forma conjunta con diferentes sistemas de gestión, algunos genéricos (ISO 9001, ISO 14001, ISO 45001…), otros sectoriales (ISO 27001, ISO 158101, ISO 9100…) y otros enfocados a la gestión organizativa (ISO 50001, ISO 22301…).
Estos sistemas comparten requisitos comunes, recursos y responsabilidades para su implementación y funcionamiento, por lo que siempre es deseable perseguir una gestión integrada que permita a la organización, establecer políticas y objetivos alineados con una planificación general, optimizar recursos, compartir un sistema documental y un abordaje común de ciertos procesos, elaborar planteamientos comunes de mejora continua, etc.
Por lo que, debido a esta demanda creciente de que las normas estén alineadas entre sí surge la estructura de alto nivel. Esta estructura proporciona:
El concepto de PHVA o Ciclo de Deming (planificar-hacer-verificar-actuar; conocido en inglés como PDCA plan-so-check-act) que consiste en llevar a cabo esas etapas en cada uno de los procesos de la organización y permite lograr la mejora continua. Puede aplicarse a un Sistema de Gestión de la SI y a cada uno de sus elementos individuales. Consiste en:
