ISO 27001: Cómo implementar la norma de seguridad de la información en tu organización

Si la seguridad IT es tu prioridad, debes considerar implementar la norma ISO 27001. Porque si la ejecutas correctamente, cambiarán las reglas del juego en tu organización, en el sentido que mejorará la seguridad, quedará protegida la información y se reducirán los riesgos. 

En este artículo veremos cómo funciona la norma ISO 27001 y algunas de sus principales ventajas. Explicaremos cómo implementar el marco en tu organización y cuáles son los requisitos para obtener la acreditación. Por último, describiremos algunas de sus alternativas más populares.

¿Estás preparado para conocer más sobre la seguridad de la información? 

Entonces, ¡comencemos¡

¿Qué es la norma ISO 27001?

ISO 27001 es la norma mundialmente reconocida para la Gestión de la Seguridad de la Información. Utiliza el enfoque de la Gestión de Riesgos para proporcionar un marco para manejar, controlar y proteger la información privilegiada y sensible. 

La norma fija los requisitos para establecer, mantener, implementar y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información o Information Security Management System (ISMS) de una organización.

Su enfoque sistemático y proactivo facilita la gestión de los riesgos de la seguridad de la información. Además, monitorea e impulsa la mejora continua para alcanzar la eficacia.

Aquí son claves las palabras proactiva y continua. Porque en la actualidad es insuficiente el abordaje reactivo, en el que solo se trata de apagar incendios constantemente. Y lo mismo ocurre con la continuidad: la seguridad de la información no es una situación aislada y estática, sino que se encuentra en permanente cambio. A medida que el panorama de amenazas se modifica, es necesario responder en consecuencia.

Lectura recomendada

La checklist para implementar el estándar ISO 27001 [+ una plantilla de descarga gratuita]

¿Qué es un ISMS y por qué es necesario? 

En pocas palabras, necesitas un Sistema de Gestión de la Seguridad de la Información para garantizar periódicamente la confidencialidad, la integridad y la disponibilidad o confidentiality, integrity, availability (CIA) de la información corporativa sobre los activos. En este sentido, un ISMS ISO 27001 comprende políticas, procedimientos y otros controles que implican a personas, procesos y tecnología.

ISO 27001 vs. NIST

Aunque podrían considerarse instrumentos similares, ISO 27001 y NIST son diferentes.

ISO 27001 es una norma internacional para mejorar el ISMS de una organización. Mientras que los controles NIST ayudan a gestionar y reducir los riesgos de ciberseguridad para las redes y los datos. 

Aunque ambas contribuyen a lograr una seguridad más sólida, ISO 27001 es la norma y el NIST el marco. 

ISO 27001 vs. ISO 27002  

Otra inquietud habitual se refiere a la diferencia entre ISO 27001 e ISO 27002. Si bien ambas se refieren a la seguridad de la información, poseen funciones muy diferentes:

• ISO 27001 es una norma internacional para mejorar el Sistema de Gestión de la Seguridad de la Información de una organización.
• ISO 27002 proporciona directrices para implementar y mantener controles adecuados de seguridad de la información. Abarca una amplia gama de temas relacionados con este último tema, incluyendo la Gestión de Incidentes y de riesgos, el control de acceso y la criptografía. 

Cómo funciona la norma ISO 27001

La norma ISO 27001 crea un estándar para que el ISMS proporcione un enfoque estructurado para gestionar los datos de la empresa con el propósito de que permanezcan seguros. 

Parte del trabajo del proceso ISO 27001 incluye:

• Establecer políticas y procedimientos.
• Realizar evaluaciones de los riesgos.
• Implementar controles para mitigar y gestionar los riesgos. 

Para cumplir con los puntos anteriores, la norma de seguridad especifica los requisitos de un ISMS, que incluye la gestión de la documentación, los procesos de auditoría interna y de revisión de la gestión. 

Las organizaciones que demuestren su capacidad de Gestión de la Seguridad de la Información y su compromiso con las mejores prácticas pueden recibir una certificación.

Cláusulas de la norma ISO 27001

La norma ISO 27001 se compone de las siguientes cláusulas:

1. Alcance: los requisitos para establecer, mantener, implementar y mejorar en forma continua el ISMS. Muchas personas manifiestan tener problemas con la seguridad de la información porque no determinan el alcance apropiado en sus organizaciones. Teniendo en cuenta que cada empresa es diferente, debes fijar las áreas con mayores riesgos. Por eso, se trata de una cláusula esencial.
   
   
2. Referencias normativas: otras reglamentaciones y documentos pertinentes y asociados.
   
   
3. Términos y definiciones: el significado de las expresiones utilizadas en la norma.
   
   
4. Contexto de la organización: tanto interno como externo, así como las partes interesadas y las obligaciones. Esto es importante porque, como dijimos antes, no hay dos organizaciones que funcionen igual, por lo que resulta fundamental establecer el contexto para que todos trabajen en sintonía y sepan a qué se enfrentan.
   
   
5. Liderazgo: requisitos, políticas, funciones, responsabilidades y tipo de autoridad de quienes ocupan roles clave. La norma ISO 27001 no funcionará sin el apoyo de la dirección, pero ¿cómo es ese apoyo? Esta cláusula aclara y establece los deberes de los líderes de la organización.
   
   
6. Planificación: lista de posibles riesgos, con el fin de establecer los objetivos y los planes para alcanzarlos. Es importante tener una estrategia de riesgos para poder planear las acciones adecuadas para mitigarlos y gestionarlos.
   
   
7. Apoyo: requisitos de recursos, capacidades, conocimientos, comunicación e información documentada. Estas cuestiones exceden a las personas, los procesos y la tecnología a las que nos referimos cuando hablamos de buenas prácticas de IT. Debe incluir la documentación sobre todo eso (buenas prácticas, procesos, herramientas, conocimientos y personas), la creación de relaciones, la formación y la gestión de riesgos. La norma requerirá apoyo para funcionar con eficacia, por lo que esta cláusula garantizará que se dispone de lo necesario para alcanzar el éxito.
   
   
8. Funcionamiento: registro de los procesos pertinentes para gestionar los riesgos de seguridad de la información y responder a los incidentes.
   
   
9. Evaluación del rendimiento: seguimiento, medición, análisis, evaluación, auditoría y revisión del rendimiento del ISMS. No es suficiente confiar, sino que hay que verificar, para garantizar que hacemos exactamente lo que decimos que vamos a hacer. 
   
   
10. Mejora: oportunidades de optimización e implementación de acciones correctivas y preventivas. Piénsalo: con las IT nada permanece igual durante mucho tiempo. Entonces, debemos incorporar mejoras continuas a nuestras actividades cotidianas de seguridad de la información para adaptarlas a las necesidades de la empresa. 

Controles de la norma ISO 27001

ISO 27001 constituye una gran iniciativa, que como tal requiere de muchos controles para garantizar un funcionamiento adecuado. 

En ese sentido, la norma plantea 114 controles que pueden utilizarse para gestionar los riesgos de seguridad, clasificados en 14 categorías, como se indica a continuación:

1. Políticas de seguridad de la información: establece y mantiene políticas, procedimientos y directrices de seguridad de la información.
2. Organización de la seguridad de la información: define las funciones y responsabilidades del personal abocado a ellos, además de garantizar que sea competente y disponga de los recursos necesarios.
3. Seguridad de los recursos humanos: examina, capacita y gestiona al personal para confirmar que conoce y cumple las políticas y procedimientos de seguridad de la información.
4. Gestión de Activos: identifica y clasifica los activos de información, además de asegurar de que están debidamente protegidos. Si deseas profundizar en esta categoría, el anexo A.8.1 contiene los detalles para crear un inventario de activos conforme a la norma ISO.
5. Control de acceso: gestiona el ingreso de los usuarios a los sistemas de información y a los datos, a la vez de impedir el acceso no autorizado.
6. Criptografía: se utiliza para proteger la información, por ejemplo el cifrado y las firmas digitales.
7. Seguridad física y medioambiental: protege los sistemas de información y los datos de amenazas físicas, como robos, incendios y catástrofes naturales.
8. Seguridad de las operaciones: garantiza el funcionamiento seguro de los sistemas y redes de información, como los procedimientos de copia de seguridad y recuperación, la Gestión de Cambios y el monitoreo.
9. Seguridad de las comunicaciones: garantiza la transferencia segura de información, por ejemplo mediante protocolos seguros y segmentación de la red.
10. Adquisición, desarrollo y mantenimiento de sistemas: garantiza que los sistemas de información y las aplicaciones se desarrollen y mantengan de forma segura.
11. Relaciones con proveedores: gestiona la seguridad de la información que es provista a proveedores externos y también la recibida de ellos.
12. Gestión de Incidentes de seguridad de la información: identifica, notifica y responde a dichos incidentes.
13. Aspectos de seguridad de la Gestión de la Continuidad del Negocio: garantiza que la seguridad de la información se integra en los procesos de Gestión de la Continuidad del Negocio.
14. Cumplimiento: controla que la organización cumpla los requisitos reglamentarios y legales relacionados con la seguridad de la información.

Siete ventajas de la norma ISO 27001

La norma ISO 27001 ayuda a las empresas a comprometerse con la protección de los activos de información, además de proporcionar confianza a las partes interesadas, clientes y usuarios finales de que está tomando las medidas adecuadas para gestionar y responder a los riesgos de seguridad de la información.

Pero eso no es todo, la norma también conlleva otros beneficios, como los siguientes:

• Un ecosistema de seguridad informática más consistente y menos vulnerable a amenazas y ciberataques.
• CIA de datos (confidencialidad, integridad y disponibilidad de los datos).
• Un nivel coherente de seguridad informática en toda la organización.
• Ahorro de costos en términos de protección frente a ciberataques, ransomware y pérdida de productividad.
• Preparación para nuevos retos a medida que cambia el panorama de amenazas, además de que cuenta siempre con un plan.
• Conocimiento y comprensión de la importancia de la seguridad de la información.
• Un compromiso con la calidad.

Ojalá pudiéramos decir que la norma ISO 27001 no tiene desventajas y que, si haces todo el trabajo duro, tú y tu organización siempre estarán a salvo. Pero, como sabemos, así no funciona en el mundo real. 

La norma no es una iniciativa rápida ni económica; en cambio, requiere una inversión de tiempo, dinero y esfuerzo para poder cumplirla. Tampoco garantiza que tu sistema será seguro para siempre; sino que proporciona una instantánea de la seguridad de la empresa en un momento determinado. 

Requisitos de la certificación ISO 27001 

¿Qué debes hacer para obtener la certificación ISO 27001? La norma especifica qué se necesita para implementar y mejorar continuamente tu ISMS. 

Los requisitos de la norma ISO 27001 son los siguientes:

• Definir el alcance del ISMS: establece sus límites y aplicabilidad.
• Realizar una evaluación de riesgos: identifica aquellos que podrían afectar la confidencialidad, integridad o disponibilidad de los activos de información. 
• Implementar un proceso de Gestión de Riesgos: aplica un procedimiento para evaluar y gestionar los riesgos de modo de tomar las medidas pertinentes.
• Establecer un marco de gestión: con la intención de garantizar la implementación efectiva y el mantenimiento del ISMS.
• Asignar funciones y responsabilidades: para todo el proceso de gestión del ISMS, con el fin de que todos sepan cuáles son sus roles. Lo ideal sería plasmarlos en un gráfico RACI.
• Capacitar y concientizar a los empleados: garantiza que el personal conoce sus responsabilidades en materia de seguridad de la información y reciben formación sobre cómo cumplirlas. Además, proporciona formación periódica para que estén actualizados.
• Gestionar la documentación: establece, implementa y conserva los documentos que definen las políticas, procedimientos y controles utilizados en el ISMS.
• Gestionar los registros: fija, aplica y mantén un conjunto de registros que proporcionen evidencia de la implementación y efectividad del ISMS.
• Implementar y operar controles: estos son creados para mitigar los riesgos que sean identificados.
• Monitorear y revisar el ISMS: supervisa, mide, analiza y evalúa el ISMS. Debes revisarlo a intervalos regulares para asegurar su continua conveniencia, adecuación y efectividad.
• Mejorar en forma continua: optimiza la eficacia del ISMS mediante la adopción de medidas correctivas y preventivas, así como la aplicación de las lecciones aprendidas para que las prácticas de seguridad de la información sigan madurando y mejorando con el tiempo.

Consejos adicionales para la implementación de la norma ISO 27001

Además de los requisitos enumerados anteriormente, aquí presentamos algunos consejos adicionales para ayudarte a implementar el ISMS con éxito:

• Obtener el compromiso por parte de la dirección: que debe comprender las ventajas de un ISMS y proporcionar los recursos necesarios.
• Conseguir el compromiso de los equipos de apoyo: también necesitarás el visto bueno de las áreas de prestación de servicios, que ejecutarán las actividades cotidianas.
• Crear una política de seguridad de la información: que refleje el compromiso con este tema.
• Elaborar una declaración de aplicabilidad: que documente los controles que se aplicarán para gestionar los riesgos identificados.
• Diseñar procedimientos e instrucciones de trabajo: para apoyar la implementación de los controles.
• Realizar auditorías internas: son una forma muy útil de monitorear tu trabajo, asegurar que el ISMS es eficaz y que cumple los requisitos de la norma ISO 27001.

Las mejores prácticas de la norma ISO 27001

Al implementar la norma de seguridad, no olvides seguir algunas mejores prácticas para garantizar que el proceso se desarrolle sin problemas:

• Comunícate con tu gente: antes incluso de plantearse la norma ISO 27001, háblalo con las partes interesadas. La implementación es un compromiso serio que insume tiempo, energía y dinero, así que es indispensable el intercambio con el personal. ¿Por qué te lo planteas? ¿Es un requisito normativo? ¿Lo solicitan tus clientes? ¿Qué problemas crees que resolverá?
• No intentes hacer todo desde el principio: utiliza tu evaluación de riesgos para centrarte en los puntos débiles más significativos y en las áreas de mayor exposición. Recuerda que la norma ISO 27001 es una maratón, no un sprint; tómate tu tiempo, escucha a tu personal y lo conseguirás.
• Pide ayuda: existen muchas organizaciones y formularios que se encargan de esto. No lo hagas solo. Existen grupos de interés especial en ISO 27001 y algunas comunidades muy activas en LinkedIn. Es menos desalentador cuando tienes otros colegas del sector con los que puedes intercambiar ideas y experiencias del proceso.

Certificación ISO 27001

Además de proporcionar a tu organización los conocimientos necesarios para proteger tu información más valiosa, la norma ISO 27001 ofrece la posibilidad de certificación, lo cual representa una ventaja adicional ya que demuestra a tus socios y clientes que efectivamente tus datos están seguros. 

Para ello es necesario seguir varios pasos:

• Análisis de las carencias: evaluar las prácticas de Gestión de la Seguridad de la Información existentes en la organización frente a los requisitos de la norma ISO 27001, de modo de identificar las brechas y áreas de mejora.
• Evaluación de riesgos: primero identificarlos y luego estimarlos para determinar los controles apropiados orientados a mitigar esos riesgos.
• Documentación: desarrollar políticas, procedimientos, instrucciones de trabajo y otra documentación importante destinados a apoyar la implementación del sistema de gestión de la seguridad de la información.
• Implementación: aplicar el Sistema de Gestión de la Seguridad de la Información, incluyendo los controles identificados en la fase de evaluación de riesgos y la documentación elaborada en el paso anterior.
• Auditoría interna: consiste en analizar la información que utiliza el Sistema de Gestión de la Seguridad con nuestros colegas, para asegurarnos de que funciona eficazmente y de conformidad con la norma ISO 27001. Esto pondrá de relieve cualquier problema antes de que se ejecute la auditoría externa.
• Auditoría de certificación: realizada por un organismo de certificación para verificar que el sistema de Gestión de la Seguridad de la Información de la organización cumple los requisitos. Si la supera, obtendrá la certificación ISO 27001.  

Las personas también pueden obtener la certificación ISO 27001 luego de asistir a un curso y aprobar el examen. Con este título estarán capacitados para implementar o auditar un ISMS a posibles empleadores. 

Alternativas a la norma de seguridad ISO 27001

Si bien ISO 27001 es una norma internacional ampliamente reconocida y respetada para la Gestión de la Seguridad de la Información, las organizaciones pueden considerar otras alternativas en base a sus necesidades y requisitos particulares. 

He aquí algunas opciones:

• Marco de Ciberseguridad NIST (National Institute of Standard and Technology): proporciona un enfoque para gestionar el riesgo de ciberseguridad. Está ampliamente adoptado en Estados Unidos y se aplica a organizaciones de todos los tamaños.
• Controles CIS: también denominado The Center for Internet Security Controls, es un conjunto de mejores prácticas de ciberseguridad diseñado para brindar a las organizaciones acciones prioritarias para mejorar su posición frente a este problema.
• PCI DSS: también denominado The Payment Card Industry Data Security Standard, se trata de varios requisitos para garantizar que todas las empresas que almacenan, aceptan, procesan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
• Regla de seguridad de la HIPAA (Health Insurance Portability and Accountability Act): es un conjunto de normas diseñadas para salvaguardar la integridad, confidencialidad y disponibilidad de la información sanitaria protegida electrónicamente (ePHI).
• SOC 2 (Service Organization Control): son varios criterios que miden los controles de una organización de servicios relacionados con la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad y la privacidad.
• GDPR (General Data Protection Regulation): es un reglamento de la Unión Europea que regula la protección de los datos personales de todos los residentes en esa zona.
• IASME Cyber Assurance: antes conocida como IASME Governance, es una norma de ciberseguridad completa, flexible y asequible. Garantiza que una organización puso en marcha una serie de importantes medidas de ciberseguridad, privacidad y protección de datos. 

Puntos clave

ISO 27001 es una norma internacional para mejorar los sistemas de Gestión de la Seguridad de la Información de una organización. 

Resulta ideal para las organizaciones que gestionan información sensible o confidencial, como datos financieros, personales, propiedad intelectual o secretos comerciales. 

La aplicación de la norma tiene muchas ventajas, pero esencialmente proporciona conocimientos y prácticas útiles para ayudar a gestionar y proteger datos, además de reducir los riesgos. Tanto las organizaciones como los particulares pueden recibir certificaciones de la norma que demuestran sus conocimientos y el cumplimiento del marco.

Preguntas frecuentes

¿Quién necesita la norma ISO 27001? 

Cualquiera que necesite una función de seguridad de la información en su organización que haya sido certificada conforme a una norma ISO.

¿Por qué es importante la certificación ISO 27001? 

Porque te hace responsable y demuestra que adoptaste las medidas necesarias.

¿Qué significa tener ISO 27001? 

Implica que cumpliste los requisitos establecidos en la norma.

¿Cuáles son los tres principios de la norma ISO 27001? 

Piensa en CIA: confidencialidad, integridad y disponibilidad.

¿Quién necesita la certificación ISO 27001? 

Cualquier persona que maneje información sensible o confidencial, como datos financieros, personales, propiedad intelectual o secretos comerciales.

¿Por qué es necesaria la certificación ISO 27001? 

La certificación ISO 27001 es necesaria si la empresa o el profesional maneja información sensible o confidencial.

¿Cuál es la diferencia entre ISO 9001 e ISO 27001? 

ISO 9001 e ISO 27001 son dos normas diferentes que sirven a propósitos distintos. Mientras que la primera es una norma de Sistemas de Gestión de la Calidad, la segunda es de Sistemas de Gestión de la Seguridad de la Información.

¿Cuáles son las seis etapas del proceso de certificación ISO 27001? 

Las seis etapas son análisis de deficiencias, evaluación de riesgos, documentación, implementación, auditorías internas y de certificación.