NORMA ISO 27001


QUE ES ISO 27001

Una explicación sencilla de los principales aspectos de la norma ISO 27001

ISO 27001 es una norma desarrollada por ISO (organización internacional de Normalización) con el propósito de ayudar a gestionar la Seguridad de la Información en una empresa.

La nomenclatura exacta de la Norma actual es ISO/IEC 27001 que es la revisión de la norma en su primera versión que fue publicada en el año 2005 como una adaptación de ISO de la norma británica BS 7799-2

En este apartado tenemos más información sobre las revisiones ISO 27001

¿A quién le interesa implementar la norma ISO 27001?

El certificado ISO 27001 le interesa a cualquier tipo de empresa sin importar su tamaño y actividad. El factor clave para decidir sobre la implantación de un sistema de gestión de la seguridad de la información radica en la importancia que los activos de información tienen dentro de una organización como elementos imprescindibles para la obtención de sus objetivos.

Actualmente a nivel mundial la norma ISO 27001 es la norma de referencia para certificar la seguridad de la información en las organizaciones.  De hecho actualmente en España contamos con cerca de 800 empresas certificadas de un total de más de 33.000 certificados a nivel mundial

Infografía Numero de Certificados ISO 27001 en el mundo

Qué es un SGSI

La implementación de un sistema de Gestión para la seguridad de la información es la parte central de la norma ISO IEC 27001

DEFINICION DE SGSI Según ISO 27001:2013

Un sistema de gestión para la Seguridad de la información se compone de una serie de procesos para implementar, mantener y mejorar de forma continua la seguridad de la información tomando como base los riesgos que afectan a la seguridad de la información en una empresa u organización

¿Qué significa la implantación de un SGSI en una empresa?

Implantar un SGSI en una empresa supone:

  • La adopción de procesos formales
  • La definición de responsabilidades de cara a la seguridad de la información
  • Establecimiento de políticas, planes y procedimientos para la seguridad de la información
  • Conservar y mantener información documentada como respaldo

¿Por qué implantar un sistema de Gestión de la Seguridad de la Información?

Abordar la seguridad de la información en una organización mediante un sistema de gestión nos aporta varias ventajas que podemos enumerar:

1 Mejora continua

Gestionar la seguridad de la información supone establecer procesos específicos para la gestión que nos ayuden a:

  • Desarrollar una cultura de la seguridad en una empresa
  • Implantar de forma gradual el control de la seguridad de la información
  • Garantizar el crecimiento y la mejora continua de la Seguridad de la información

2 Ajustarse a las necesidades de cada empresa

Un sistema de gestión promueve el establecimiento de procesos de análisis de riesgos para la seguridad basados en la situación propia de cada organización y en la adopción de medidas adecuadas dentro de las posibilidades de cada empresa.

Esto significa que un sistema de Gestión de la seguridad de la información lejos de complicar la gestión de la propia organización es una ayuda y una buena herramienta para integrar de forma gradual la adopción de criterios para mejorar la seguridad de la información dentro de la toma de decisiones en una empresa

3 Establecer controles adecuados para la seguridad de la información

Los controles para la seguridad de la información que se establezcan mediante la implantación de un sistema de gestión SGSI vendrán determinados por un análisis científico que permita evaluar cómo afectan a las necesidades de cada empresa las amenazas y riesgos de la seguridad de la información. Cada actividad y entorno en el que se desarrolla una actividad así como el tamaño y dimensión de cada organización determinara los controles adecuados para cada organización

Un sistema de Gestión SGSI basado en ISO 27001 también nos permitirá beneficiarnos de la adopción de las mejores prácticas del mercado y de la industria en todo el mundo para la seguridad de la información

4 Integración de Sistemas de Gestión

Un punto no menos importante es la integración del SGSI dentro de la gestión de la propia empresa. Para ello ISO ha realizado en los últimos años un importante esfuerzo para incorporar una única estructura en los sistemas de gestión basándose en el ANEXO SL.

Así nos encontramos que desde su última versión ISO 27001:2013 la norma sobre la seguridad de la información comparte la misma estructura que las normas sobre la gestión de la Calidad ISO 9001 o Gestión del Medio ambiente ISO 14001, lo que facilita la integración de distintos sistemas de gestión en una organización

Tipo de procesos

En un sistema de gestión de la seguridad de la información nos encontraremos con dos tipos de procesos

1 Procesos de Gestión:

Propios del sistema de gestión básicamente enfocada a conseguir la revisión y mejora continua del sistema y que serán comunes a los procesos de gestión de calidad, medioambiente etc.

2 Procesos sobre la seguridad de la información

Procesos propios de la seguridad de la información que se integraran dentro de los procesos propios de cada actividad empresarial en conjunto con las demás dimensiones como la calidad o el medioambiente

Estructura normativa ISO 27001

Para alcanzar el objetivo de implantar un sistema de gestión de la seguridad de la información la norma ISO 27001 cuenta con dos cuerpos normativos

  • ISO 27001 Requisitos para un sistema de Gestión (SGSI)
  • ISO 27002 Guía de buenas prácticas para la implantación de un SGSI

ISO 27001 es la norma Certificable y que contiene los requisitos para implantar un sistema de Seguridad de la información.

ISO 27002 se trata mas bien de una guía que nos proporciona los posibles controles o instrumentos  de control previamente pensados y diseñados específicamente para abordar los problemas o peligros para la seguridad de la información. Los peligros para la seguridad de la información han de ser identificados durante un proceso de evaluación de riesgos formal, previsto en los requisitos de la norma ISO 27001.

ISO 27001 punto por punto

INTRODUCCION

Como aspectos generales podemos decir que esta norma es aplicable a todo tipo de organizaciones donde la información es un activo del que dependen los objetivos y resultados  de una organización.

En principio podremos pensar que las empresas del Sector TI serian las únicas interesadas en la implantación de sistemas de Gestión de la seguridad de la información, sin embargo la información es un activo cada vez más importante en cualquier tipo de actividad por lo que podemos afirmar que gestionar la seguridad de la información es una necesidad cada vez más importante dentro de cualquier sector de actividad empresarial

Actualmente es de reseñar el crecimiento de los certificados en ISO 27001 en sectores como, en el Sector servicios, transporte y logística, salud, financiero en general y el sector de educación.

Flexibilidad

Otro aspecto interesante y común a las normas ISO es la aplicabilidad a todo tipo y tamaño de empresas. La norma en sus requisitos no nos condiciona a cómo debemos cumplir con los requisitos de hecho no nos condiciona a cumplir los requisitos de una determinada forma

Cada organización deberá encontrar la mejor forma de cumplir con los requisitos de la norma adaptándose a sus necesidades particulares.

ISO 27001 -1. Objeto y Campo de Aplicación. Definiendo el Alcance del SGSI

En este capítulo la norma nos da unas indicaciones de la aplicabilidad de la norma ISO 27001 y de cómo usarla.

De este capítulo podemos sacar como una de las principales conclusiones que la norma 27001 no solo es aplicable por cualquier tamaño de empresas sino que además podemos concluir que las pequeñas y medianas empresa tienen en esta normativa una herramienta a su alcance para obtener mayores beneficios si cabe que las grandes empresas que ya cuentan con herramientas de gestión y que para las pequeñas y medianas empresas les pueden resultar menos accesibles y costosos.

ISO 27001 pone al alcance de toda la gestión de la seguridad de la información y además a través de la certificación independiente ofrece la posibilidad a las pequeñas y medianas empresas de competir con empresas de mayor tamaño que pueden contar con sus propias herramientas de gestión.

ISO 27001 -2. Referencias Normativas

En este apartado se hace referencia a la norma ISO/IEC 27000 donde se nos ofrece una visión genérica sobre los sistemas de Gestión de la Seguridad de la Información (SGSI) y donde se nos habla entre otras cosas sobre la metodología base PDCA de todos los sistemas de Gestión

El ciclo PDCA de mejora continua, si bien en la versión 27001:2013 no se cita tan explícitamente como en versiones anteriores de la norma, constituye el marco fundamental sobre el que está construido el sistema de gestión SGSI.

Como diferencia fundamental con la versión anterior ISO 27001:2005, la revisión 27001:2013 no establece como referencia obligatoria el anexo 27002, por lo que se dejan únicamente los términos y definiciones como referencia normativa. Esto significa que se pueden tomar otras guías de controles de la seguridad de la información distintas a las que propone el anexo en una clara señal para adaptar la implantación de la norma a todo tipo de sectores.

3. Términos y definiciones

Con la finalidad de contar con una sola guía de términos y definiciones que sea consistente, dentro de la norma ISO 27001 se establecen las definiciones sobre el vocabulario fundamental referente a la seguridad de la Información que va a ser utilizado posteriormente en los requisitos de la norma.

En la actual versión de la norma ISO 27001:2013 los términos y definiciones se encuentran referenciados en la sección 3 “Fundamento y vocabulario” de la norma ISO 27001:2013 donde se hace referencia a los términos y definiciones dados en el documento ISO 27000

4. Contexto de la Organización

Conocer la organización y su contexto se plantea como un requisito de partida para poder establecer un punto de referencia en la aplicación del sistema de gestión de la seguridad de la información

Se trata de que los objetivos en la seguridad de la información tengan en cuenta los propios objetivos del negocio de cada organización

Objetivos Seguridad de la información EN LINEA con los objetivos del negocio

El conocimiento de la organización se basa en la definición todas aquellas cuestiones externas e internas en relación a la seguridad de la información y que puedan ayudar o perjudicar a la consecución de los objetivos de la empresa

5. Liderazgo

Los requisitos relacionados con el liderazgo se refieren al compromiso que debe ejercer la dirección de la empresa en el proceso de implantación de un SGSI. En la revisión ISO 27001:2013 se considera como algo fundamental la implicación constante de la dirección en la implantación de una Cultura de la Seguridad en cada organización.

El compromiso de la dirección se verifica con la aportación de los recursos tanto humanos como materiales para la consecución de los objetivos en la seguridad de la información

Además, dentro de las responsabilidades de la dirección se encuentran:

  • Elaborar una política de seguridad y establecer los objetivos de la seguridad de la información
  • Comunicar los objetivos a toda la organización con el objeto de involucrar a todos los empleados con los objetivos de la seguridad de la información Definir las áreas de responsabilidad y los roles correspondientes a la seguridad de la información
  • Responsabilizarse del seguimiento en las oportunidades de mejora y en la consecución de los objetivos de la seguridad de la información con el objetivo de favorecer y conseguir la MEJORA CONTINUA

El objetivo principal de la dirección es conseguir implantar una cultura de la seguridad dentro de su organización

La Cultura de Seguridad consiste básicamente en conseguir la colaboración activa de toda la organización en la Seguridad de la información

6. Planificación

Una vez identificadas las necesidades y expectativas de las partes interesadas tal como nos indica el punto 4 del contexto de la organización, deberemos establecer un plan definir los riesgos que debemos tratar y las actividades a realizar para mitigar o evitar dichos riesgos

Para ello deberemos

  • 0.- Identificar las necesidades y expectativas de las partes interesadas
  • 1.- Análisis de riesgos y oportunidades
    • Definir metodología de análisis de riesgos
    • Identificar activos de información
    • Análisis de riesgos ( Identificación de amenazas y vulnerabilidades de la seguridad de la información)
  • 2.- Evaluación de riesgos (análisis de impacto o cálculo del riesgo)
  • 3.- Plan de tratamiento de riesgos
    • Criterios de asignación y tratamiento de riesgos
    • Selección de controles
    • Declaración de aplicabilidad (controles necesarios y no aplicables)
    • Plan de Gestión de Riesgos

7. Soporte

En este apartado la norma nos prescribe determinar los recursos necesarios para implementar los planes que hemos realizado en el apartado anterior 6. Planificación, siempre teniendo en cuenta el compromiso de la dirección en proveer los recursos necesarios

Por tanto deberemos tener en cuenta

  • La gestión de los recursos.
  • La competencia y concienciación del personal
  • La comunicación y concienciación de todas las de todas las partes interesadas, incluyendo proveedores externos
  • Los requisitos de documentación como evidencia del cumplimiento de los requisitos de la norma

8. Operación

Este es el capítulo donde ponemos en marcha las medidas para la seguridad de la información que hemos definido en los capítulos anteriores en concreto

  • 4. El contexto de la organización (identificación de intereses de las partes)
  • 6. Planificación (Plan de tratamiento de riesgos)

En este capítulo los requisitos estarán orientados al seguimiento y supervisión de los planes de tratamiento de riesgos y su integración en los procesos

9. Evaluación del desempeño

Como parte fundamental de cualquier sistema de Gestión deberemos evaluar el desempeño de las acciones emprendidas.

Para ello se cuenta con las siguientes herramientas:

  • Auditorías internas de Seguridad de la información
  • Proceso de revisión por parte de la dirección

10. Mejora

La mejora del sistema de gestión de la seguridad de la información nos refiere a la actualización continua del sistema de gestión

Esto incluye la revisión permanente para encontrar oportunidades de mejora aprendiendo por un lado de los errores cometidos.

ACCIONES CORRECTIVAS

En este apartado tenemos los requisitos para el tratamiento de las No Conformidades como herramienta para la mejora continua además de las ya vistas como la Auditoria Interna y la revisión por la dirección

Revisiones de la norma ISO 27001

Actualmente la versión de la norma ISO/IEC 27001 es la norma en su versión 2013. Veamos de forma resumida los distintos cambios que ha sufrido la norma

ISO 27001:2005 primera edición de la norma

Revisión ISO 27001:2013

La revisión de la norma en 2013 introduce como principales cambios:

Mayor énfasis en la gestión de riesgos

Como punto fundamental la norma ISO 27001:2013 implica una nueva forma de hacer el análisis de aplicabilidad de los controles basados en el análisis de riesgos.

La declaración de aplicabilidad en ISO 27001:2013 es una consecuencia del análisis de riesgos en ISO 27001:2013

Flexibiliza la elección de metodologías de análisis de riesgos

La identificación de activos pasa a segundo plano en el análisis de riesgos por lo que la norma menciona solamente la necesidad de “identificar riesgos” que afecten a la seguridad de la información en alguna de sus dimensiones (confidencialidad, integridad y disponibilidad de la información)

En este sentido deja abierta la posibilidad de utilizar otras opciones para el análisis de riesgos siguiendo las recomendaciones de la norma ISO 31000 sobre la gestión de riesgos.

Nuevo enfoque en la Selección de Controles de Seguridad

La selección de controles puede realizarse en una primera fase seleccionando los controles que se consideren adecuados con el tipo de actividad sin tener en cuenta un marco de referencia concreto como los incluidos en el ANEXO A

  • Permite la utilización de sistemas de mejora continua distintos del ciclo PDCA
  • Introduce la nueva estructura de alto nivel según el Anexo SL por lo que se facilita la integración con otras normas ISO
  • Simplifica la estructura documental manteniendo únicamente como obligatoria la “Declaración de aplicabilidad”
  • Se introducen nuevos requisitos
  • Se revisan requisitos y modifican algunos controles en la nueva versión

Revisión ISO 27001:2017

En 2017 se han introducido algunas aportaciones o más bien correcciones a la norma ISO 27001:2013. Veamos en qué consisten:

Activos de información

Se sustituye el término “activos asociados a la información” por “la información y otros activos asociados a la información”

Con esto se quiere precisar que el objeto de un inventario de activos es la información y sus activos asociados, en lugar de establecer solamente como requisito el tener un inventario de activos asociados a la información.

Se elimina la Cláusula 6.1.3 y el Anexo A, control 8.1 sobre la responsabilidad en el uso de los activos de información en toda la cadena de uso:

Clausula eliminada

8.1.3 Uso aceptable de los activos Guía de implementación

Los empleados y usuarios externos que usan o tienen acceso a los activos de la organización deben conocer los requisitos de seguridad de la información de los activos de la organización asociados con las instalaciones y recursos de procesamiento de información e información.

Aclarando dudas sobre ISO 27001:2017

En 2017 se ha producido una revisión menor de la norma por lo que no se requiere que las empresas deban adaptarse a los cambios introducidos y los certificados siguen emitiendo con la versión ISO 27001:2013

Guía de implementación ISO 27001 paso a paso

Para empresas que están en la fase de análisis de su proyecto de implementación ISO 27001, probablemente les sea útil una guía explicada desde cero para implementar su SGSI de la forma más fácil posible.

Aunque de primeras  no hay una manera fácil de afrontar la implementación de un SGSI que cumpla con todos los requisitos de ISO 27001, sin embargo, con esta guía tratamos de hacer su trabajo más fácil:

Aquí les dejamos de forma gratuita los enlaces a todos los

Pasos necesarios para implementar ISO 27001:

FASE 2 Análisis del contexto de la Organización y determinación del Alcance

FASE 3 Elaboración de la política. Objetivos del SGSI

FASE 4 Planificación del SGSI

FASE 5 DOCUMENTACION DEL SGSI

FASE 6 Implementando un SGSI

FASE 7 Comunicación y sensibilización SGSI

FASE 8 Auditoria interna según ISO 27001

FASE 9 Revisión por la dirección según ISO 27001

FASE 10 El proceso de Certificación ISO 27001

ISO 27002

La norma ISO 27002 hay que entenderla como un inventario de buenas prácticas para la seguridad de la Información desarrollado con la experiencia de la implantación de controles para la seguridad de la información aceptadas por las empresas y organizaciones más importantes del mundo.

Por tanto la norma 27002 se propone como una guía para implantar los controles y medidas de seguridad. Esta guía debe ser utilizada a modos de CHEK LIST de forma que se realice una selección de controles aplicables como resultado de un análisis o evaluación de riesgos que determinara no solo que controles aplicamos si no en que medida o con que recursos.

ESTRUCTURA DE LA NORMA ISO 27002

La norma contiene 114 controles agrupados en 14 capítulos cada uno subdividido en  áreas de seguridad. Por otro lado se consideran categorías u objetivos de control dentro de los cuales se sitúan los controles asociados a estos objetivos:

Estructura ISO 27002

Estructura ISO 27002

ENS ESQUEMA NACIONAL DE SEGURIDAD

ENS ESQUEMA NACIONAL DE SEGURIDAD

¿Qué es el ens? El Esquema Nacional de Seguridad es una recopilación de información sobre las políticas que la empresa realiza o realizará para la protección de datos con el uso de medios electrónicos. ¿Cuál es el objetivo del ENS? Según el Real Decreto 3/2010, que regula la utilización de...

LEER MAS

ISO 22301 Continuidad del Negocio

ISO 22301 Continuidad del Negocio

¿Sabes qué es la Norma ISO 22301? La Norma ISO 22301 Continuidad del Negocio, presenta los pasos y pautas a seguir para determinar el mejor plan de contingencia dentro de cualquier empresa y así, poner en marcha toda su actividad productiva luego de superar cualquier incidente como lo es el...

LEER MAS
Loading

Contacta con Nosotros