¿Sabes qué es la normativa ISO 27001 de gestión de la seguridad de la información y cómo se puede aplicar a tu empresa?

Qué es la norma ISO 27001: definición

La norma ISO 27001 es una norma internacional promulgada por la Organización Internacional de Normalización (ISO) y trata cómo debe gestionar una empresa la seguridad de la información. Esta norma es muy importante debido a que no basta con implementar controles y procedimientos de seguridad convencionales. ISO también desarrolló la norma ISO 27001 para la regulación de la información empresarial.

Esta normativa puede ser implementada en cualquier entidad con independencia de si posee un fin lucrativo o cual sea su titularidad. Sus medidas están orientadas a la protección de la información contra cualquier amenaza para preservar el buen funcionamiento de la empresa.

Objetivos

Los objetivos principales son:

• Garantizar la confidencialidad e integridad de los datos
• Asegurar la disponibilidad de los datos
• Conocer los riesgos de seguridad de la empresa

Estructura de la norma ISO 27001

La norma ISO 27001 ha heredado la estructura de alto nivel al igual que el resto de normas análogas. Lo cual, un sistema de gestión basado en la norma ISO 27001 puede ser auditado de manera similar a como pueda ser un sistema basado en las normas ISO 9001, ISO 14001 o ISO 45001.

A lo largo de esta norma podremos abordar los siguientes aspectos:

• Objeto y campo de aplicación
• Referencias normativas
• Términos y definiciones
• Contexto de la Organización
• Liderazgo
• Planificación
• Soporte
• Operación
• Evaluación del Desempeño
• Mejora

Fases para la implantación

La ISO 27001 proporcionan un Sistema de Gestión de la Seguridad de la Información (SGSI) y sus fases principales son:

1. Definir la política
2. Definir el alcance del SGSI
3. Análisis de riesgos
4. Gestión del riesgo
5. Selección de controles a implementar
6. Declaración de Aplicabilidad
7. Revisión del sistema
8. Audiroría interna

Qué es la evaluación de riesgos

Un eje importante sobre el que versará la aplicación de esta normativa se trata de la Evaluación de Riesgos. Este capítulo, permitirá a la directiva controlar el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar, integrando este sistema en la metodología de mejora continua, común para todas las normas ISO.

En primer lugar, seleccionaremos una metodología apropiada a nuestro ámbito de negocio. La propuesta por la norma comprende 7 etapas resumidas en:

1. Identificación de los Activos de Información y sus responsables
2. Identificación de las Vulnerabilidades de cada activo
3. Identificación de las amenazas
4. Identificación de los requisitos legales
5. Identificación de riesgos
6. Cálculo del riesgo
7. Plan de tratamiento del riesgo: donde seleccionaremos los controles que necesitamos para cada riesgo.

Es importante tener en cuenta lo que la propia norma define como información:

“La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada…

 a información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en vídeo o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene”.

Diferencias entra las normas ISO 27001 e ISO 27002

Una de las grandes diferencias entre las normas ISO 27001 e ISO 27002 es que la norma ISO 27002 es más detallada y precisa. Sin embargo, no es posible obtener la certificación ISO 27002 porque no es una norma de gestión, es decir, de cómo ejecutar un sistema de una manera planificada. Y todos estos elementos  sobre el control de la seguridad de la información están establecidos en la ISO 27001, pero no en ISO 27002.

Sin embargo, para resumir, podremos decir que cada norma de la serie ISO 27001 tiene un objetivo concreto. Si bien la ISO 27001 es para la aplicación de controles, la ISO 27002 es para la evaluación y tratamiento de riesgos. Por eso es importante no confundirlas.

Ventajas de aplicar esta normativa

Las empresas pueden verse muy perjudicadas si ven en riesgo su información, lo que podría provocar una pérdida financiera, de servicios esenciales de red o la perdida de la confianza. Algunos de estos riesgos pueden ser el robo de identidad, daños a la Web o prevención del fraude online.

Por ello, la gestión de su seguridad es vital para el buen funcionamiento de la corporación. El sistema de gestión de seguridad de la información es un enfoque sistemático para la gestión de la información confidencial para la seguridad de la empresa y de sus sistemas.

La implementación de esta normativa generará confianza, no solo en sus clientes, sino que también mejorará su imagen como marca en el mercado.

Asimismo, permite un equilibrio entre la seguridad técnica, procedimental, física y de personal. Otras ventajas son la simplificación de la burocracia, mejora en la gestión de tareas, automatización de matrices de evaluación o mejorar la eficiencia en la gestión, lo que se traduce en una reducción de los costes.