¿Qué es y para qué sirve la norma ISO 27001?

La norma ISO 27001 es la única norma certificable dentro de la familia de normas 27000. Se trata de una norma internacional que establece un marco de referencia para preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos.

¿Para qué sirve y cómo funciona?

El sistema de gestión de la seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos.

El eje central de la ISO 27001 se basa en la gestión de riesgos. Debemos analizar donde están los riesgos y tratarlos de forma sistemática. Tendremos que implementar controles de seguridad, asociados a políticas, procedimientos e instrucciones. Aunque deberemos tener en cuenta que la gestión de la seguridad no afecta solo a la seguridad de IT (antivirus, firewalls…) sino que también está asociada con la protección física, gestión de procesos y gestión adecuada por los recursos humanos.

Certificado ISO 27001 seguridad información

¿A quién va dirigida?

La norma ISO 27001 va dirigida a todas las organizaciones, independientemente del tamaño, sector, ámbito o actividad, siempre y cuando quieran mejorar el desempeño en materia de seguridad de la información.

Objetivos de la norma ISO 27001

El objetivo y el resultado previsto del sistema de gestión de la seguridad de la información (SGSI) es la protección de los sistemas la información mediante la minimización de riesgos y la identificación de los procesos de negocio, servicios de TI y activos de la organización.

¿Qué beneficios tiene la norma ISO 27001?

La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite a las organizaciones proteger la información y su privacidad, ya que se trata de uno de sus principales activos.

La implementación de la Norma ISO 27001 favorece la diferenciación frente a la competencia, ofreciendo a los clientes, proveedores y sociedad una imagen de compromiso con la protección de los datos y la información de la que dispone la organización. En resumen, desarrollar un Sistema de Gestión de Seguridad de la Información aporta los siguientes beneficios a una organización:

  • Reducción del riesgo de pérdida, robo o corrupción de la información.
  • Protección de activos.
  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
  • Acceso a la información mediante medidas de seguridad.
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual, entre otras.
  • Refuerzo de la imagen de marca.
  • Acceso o mejora de la puntuación en licitaciones públicas.
  • Facilidad de integración con otros esquemas ISO con estructura de alto nivel, como ISO 9001 o ISO 14001. También es integrable con el Esquema Nacional de Seguridad (ENS).
¿Necesitas implantar la Norma ISO 27001?
Te ayudamos a obtener el Certificado ISO 27001 para tu empresa

Cómo implantar y certificar una empresa en ISO 27001

La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) implica llevar a cabo varias etapas. Para garantizar una máxima eficacia es fundamental realizar una buena planificación de la implantación.

Diagnóstico previo

Sirve como punto de partida para analizar en qué medida la gestión cotidiana se ajusta a los requisitos de la norma de referencia y para establecer un plan de trabajo. En esta fase se realizará una revisión de la gestión de la seguridad actual y su comparación con la norma de referencia. Se extraerán propuestas de mejora y puntos débiles de la organización, en su caso, y se asignarán responsabilidades y recursos necesarios para la implantación.

Durante la implantación debe estar presente el compromiso claro de la dirección, ya que será necesaria su participación para el establecimiento de ciertos procesos (establecimiento de objetivos, definición de la política de seguridad y asignación y/o reasignación de recursos, en su caso).

Organización del proyecto

Como hemos mencionado anteriormente, la planificación resulta fundamental para garantizar el éxito de la implantación. Es este punto se planificarán los plazos de implantación y la carga de trabajo. Es recomendable, la designación de un responsable del SGSI ya que facilitará mucho el proceso. Dicho responsable tendría que contar con ciertas características:

  • Capacidad de liderazgo y cierta autoridad dentro de la organización
  • Capacidad de comunicación y motivación del personal
  • Buen conocimiento de la organización (estructura, forma de trabajo, actividad productiva)
  • Disponibilidad de tiempo y dedicación para la búsqueda de información, recopilación de datos y elaboración de documentación, en coordinación con el consultor.

El responsable del SGSI trabajará mano a mano con el consultor asociado al proyecto.

Información y formación al personal

Para una implantación exitosa es imprescindible la colaboración de todo el personal de la organización.  Durante esta fase habría que informar a todos los integrantes de la organización de los fines que se pretenden con la implantación, del grado de implicación que supondrá y de cómo afectará a cada persona. Esto puede realizarse mediante reuniones y jornadas de sensibilización conjuntas entre dirección, el equipo consultor y el personal. La información facilitada tiene que ser clara, sencilla y adecuada a cada puesto de trabajo.

Es bastante habitual que los empleados muestren reticencias ante aquellos que pueda representar una amenaza hacia la comodidad del camino seguido hasta la fecha. Hay que encontrar una fórmula para que todo el personal participe en el diseño del sistema, aportando sus ideas, conocimientos y experiencias.

Documentación del sistema

La documentación del SGSI consiste en plasmar en una serie de documentos (que denominaremos procedimientos o instrucciones), la metodología de trabajo y las herramientas para abordar los requisitos de la norma de referencia. Por ejemplo, se documentará la metodología y criterios para identificar amenazas, para evaluar los riesgos y para el establecimiento de un posterior plan de gestión del riesgo, se elaborará, controlará y mantendrá un listado de activos y se diseñará e implantará un conjunto de controles de seguridad.

En la elaboración de la documentación deben participar las personas implicadas en el proceso que estamos describiendo para garantizar que su contenido está lo suficientemente ajustado a la realidad. Se podrán realizar tantas revisiones como sean necesarias, hasta que se disponga del documento definitivo y pueda implantarse su uso.

Implantación operativa

Esta etapa es la más compleja de todo el proceso y la que nos va a ocupar más tiempo. Consiste en realizar las tareas y las actividades tal y como hemos establecido en los procedimientos o instrucciones. También habrá que recoger datos e información sobre el desempeño de los procesos, así como de consumos o generación de residuos. Durante el proceso, tendremos que realizar seguimientos para asegurarse de que realmente se siguen las instrucciones dadas, en caso contrario, tenemos que detectar por qué y actuar en consecuencia, realizando las correcciones necesarias en la documentación pertinente.

Esta norma parte de la base de que se conocen y cumplen ciertos requisitos legales relacionados con la protección de datos, servicios de la sociedad de la información y comercio electrónico, entre otros.

Por ejemplo: reconocer todos los ficheros que contengan datos de ámbito personal y establecer el nivel de protección que les corresponda, informar sobre el uso de los datos personales, registrar los ficheros en el registro de la Agencia de Protección de Datos, garantizar el cumplimiento de los derechos de propiedad industrial y marcas propias y de terceros…

Auditorías internas

Una vez que el sistema está implantado (pueden pasar entre 3 y 6 meses, aproximadamente) se realiza una comprobación completa del funcionamiento de este y del cumplimiento de los requisitos de la norma de referencia.

De este proceso pueden surgir desviaciones respecto a la norma, que deben ser subsanadas para enfrentarse con seguridad al último punto del proceso: la certificación.

Para más información consultar “¿Qué es una auditoría interna ISO 27001?”.

Revisión del sistema

Consiste en revisar el Sistema de Gestión de la SI para asegurarse de su conveniencia, adecuación y eficacia. Esta revisión por la dirección se debe realizarse a “intervalos planificados”; lo común es realizarla, como mínimo, una vez al año. Fruto de este análisis se deben documentar las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el Sistema de Gestión de Seguridad de la Información.

Certificación

Una vez que hemos realizado la implantación del Sistema de Gestión de la Seguridad de la Información, tal y como hemos comentado en los puntos anteriores, el siguiente paso para obtener el certificado ISO 27001 es iniciar el proceso de certificación. Lo podemos desglosar en varias fases:

  • Se decidirá con qué entidad acreditada queremos certificar el SGSI y se solicitará presupuesto
  • Auditoría inicial. La auditoría consiste en comprobar el cumplimiento de los requisitos de la norma de referencia. Se realiza en dos fases. A la finalización de cada una de las fases de auditoría la entidad certificadora emitirá un informe de auditoría en el que se detallarán, en su caso, los hallazgos o desviaciones encontradas, las recomendaciones de mejora, y la decisión del equipo auditor respecto a la certificación.
  • Tratamiento de desviaciones. Para que la entidad emita el certificado correspondiente es necesario tratar los comentarios en los plazos acordados, ya que, en caso contrario se podría llegar a cancelar el proceso de certificación.
  • Emisión y mantenimiento de certificados. La entidad certificadora revisará los informes de auditoría, acciones correctoras y cualquier otra información relevante y tomará la decisión en cuanto a la emisión del certificado, según corresponda. El certificado será válido, normalmente, por un período de tres años desde la fecha en la que entidad certificadora decide su emisión. El mantenimiento de la validez de un certificado queda sometido al cumplimento de los requisitos de certificación y, generalmente, se realiza una vez al año.

Características de la norma ISO 27001

Podemos destacar varias características de la norma ISO 27001:

Estructura de alto nivel

Quizá la característica más importante de la ISO 27001 es su estructura de alto nivel. Actualmente es habitual que en una misma organización se trabaje de forma conjunta con diferentes sistemas de gestión, algunos genéricos (ISO 9001, ISO 14001, ISO 45001…), otros sectoriales (ISO 27001, ISO 158101, ISO 9100…) y otros enfocados a la gestión organizativa (ISO 50001, ISO 22301…).

Estos sistemas comparten requisitos comunes, recursos y responsabilidades para su implementación y funcionamiento, por lo que siempre es deseable perseguir una gestión integrada que permita a la organización, establecer políticas y objetivos alineados con una planificación general, optimizar recursos, compartir un sistema documental y un abordaje común de ciertos procesos, elaborar planteamientos comunes de mejora continua, etc.

Por lo que, debido a esta demanda creciente de que las normas estén alineadas entre sí surge la estructura de alto nivel. Esta estructura proporciona:

  • Índice común de capítulos y clausulas
  • Textos comunes para la descripción de requisitos genéricos
  • Misma terminología

Ciclo PHVA

El concepto de PHVA o Ciclo de Deming (planificar-hacer-verificar-actuar; conocido en inglés como PDCA plan-so-check-act) que consiste en llevar a cabo esas etapas en cada uno de los procesos de la organización y permite lograr la mejora continua. Puede aplicarse a un Sistema de Gestión de la SI y a cada uno de sus elementos individuales. Consiste en:

  • Planificar: determinar y evaluar los riesgos para la SI, las oportunidades para la SI y otros riegos y otras oportunidades, establecer los objetivos de la SI y los procesos necesarios para conseguir resultados de acuerdo con la política de la SI de la organización:
  • Hacer: implementar los procesos según lo planificado.
  • Verificar: hacer el seguimiento y la medición de las actividades y los procesos respecto a la política y los objetivos de la SI, e informar de los resultados.
  • Actuar: tomar acciones para mejorar continuamente el desempeño de la SI para alcanzar los resultados previstos.
Te garantizamos un servicio a medida para tu empresa
Estudiamos a conciencia las necesidades de tu negocio y te ofrecemos soluciones totalmente personalizadas

Solicita asesoría