La importancia de la Norma ISO 27001 sobre Seguridad y Privacidad de la Información

Por
23/11/2021

La Norma ISO 27001 es una Norma internacional que garantiza y permite asegurar la confidencialidad, integridad y disponibilidad de la información, los datos y los sistemas que la procesan.

Se trata de un estándar que ha desarrollado la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Se denomina estándar ISO 27001:2013 y permite a las organizaciones evaluar los riesgos y aplicar controles esenciales para su eliminación o reducción.

¿Cuál es la finalidad de la Norma ISO 27001?

La principal finalidad de esta norma o estándar es dar las pautas necesarias para gestionar la seguridad de la información en empresas u organizaciones.

Como indica la Norma en su objeto y campo de aplicación; “los requisitos establecidos en esta norma internacional son genéricos y aplicables a todas las organizaciones, cualquiera que sea su tipo, tamaño o naturaleza”.

Con la aplicación de la Norma ISO 27001 mejora la competitividad y la imagen de las empresas.

¿Cómo funciona?

La norma ISO 27001 explica de forma general cómo planificar, implantar, verificar y controlar un SGSI (Sistema de Gestión de Seguridad de la Información), realizando un análisis de riesgos y ofreciendo una respuesta para poder mitigarlos.

Lo define de manera independiente a los factores ambientales de organización o de las políticas o procesos de la organización.

¿Qué es concretamente el SGSI?

Es un conjunto de políticas y procesos que permiten administrar toda la información de la empresa u organización, cumpliendo para ello unos requisitos determinados.

Como requisitos podemos decir, el garantizar la confidencialidad, integridad y disponibilidad de la información a través de una gestión de los riesgos.

Es decir, solo determinadas personas que sean autorizadas, pueden acceder a la información, garantizar que la información no se ha manipulado por personas o procesos no autorizados y que dicha información puede estar disponible en cualquier momento para las personas autorizadas.

¿Quién puede llevarlo a cabo?

Un Sistema de Gestión de Seguridad de la Información lo puede llevar a cabo siguiendo el estándar o Norma ISO 27001, cualquier empresa u organización.

¿En qué estructura se basa la Norma ISO 27001?

La Norma ISO 27001 se basa en la teoría de gestión de calidad PDCA o ciclo de Deming, cuya su estructura es la siguiente:

1. Planificar “Plan”
Es la fase inicial donde se diseña el SGSI y en ella se identifican los riesgos asociados a la seguridad de la información. Se realiza un análisis de los riesgos que son identificados y se planifica una respuesta y control de los mismos para poder mitigarlos.

2. Hacer “Do”
Se trata de la fase donde se implanta y se trabaja y lleva a cabo el propio SGSI que previamente se definió y desarrolló.

3. Verificar “Check”
En esta etapa se revisa y evalúa si el SGSI implantado resulta eficaz, en el caso que no lo sea, se analizan las causas y se determinarán una serie de mejoras.

4. Actuar “Act”
La finalidad es establecer una mejora continua en el SGSI.

Estructura de la ISO 27001

En base a lo anterior, atenderemos a la concreta estructura de esta Norma, donde se encuentran los principales cambios. A continuación, exponemos la estructura de la Norma ISO 27001:

1. Introducción

En este apartado se elimina el apartado de “enfoque del proceso” que contenía la versión anterior.

La norma aporta orientaciones respecto a su uso, finalidad y forma de aplicar el estándar.

2. Objeto y campo de aplicación

Aquí aparece la obligatoriedad de cumplimiento de los requisitos reflejados en los capítulos del 4 al 10 que permiten la obtención de conformidad del cumplimiento y la posibilidad de certificación.

3. Normas para consulta

Su principal referencia Normativa es la ISO 27000, donde se establecen nuevos términos y definiciones. Sin embargo, la ISO 27002 no se puede considerar ya una referencia normativa, pero sigue siendo importante para el desarrollo de la declaración de aplicabilidad.

4. Términos y definiciones

Se han agrupado todos los términos y definiciones para establecer una sola guía.

5. Contexto de la organización

Se trata de identificar los problemas, tanto externos como internos que pueden englobar a la empresa u organización. Es el primer requisito de la Norma, recoge indicaciones sobre el conocimiento de la empresa y su contexto, así como de las necesidades y expectativas de las partes.

6. Liderazgo

Determina la necesidad de que todos los empleados/as de la empresa contribuyan al establecimiento e implantación de la Norma.
En cuanto a la responsabilidad de la alta dirección, se debe garantizar el cumplimiento de los objetivos planteados en el SGSI, la disponibilidad de recursos para llevarlo a cabo y garantizar los roles y responsabilidades.

7. Planificación

Aquí se definen los objetivos de seguridad, siendo claros y específicos. Hay que establecer cómo se evaluarán los riesgos, conocer el nivel de riesgo y la probabilidad de que suceda y se establece el nuevo término de “propietario del riesgo”.

8. Soporte

Se establecen los requisitos para dar soporte al establecimiento, implementación y mejora del SGSI, incluyendo recursos, competencias y comunicación documentada correspondiente en cada caso.

9. Operación

Nos indica que hay que llevar a cabo una planificación, implementación y control de los procesos de la empresa, así como valorar y tratar los riesgos de la seguridad de la información.

Se trata de valorar todos los requisitos esenciales para medir el funcionamiento del SGSI, además de cumplir con lo establecido en la Norma ISO 27001.

Las empresas tienen que controlar las operaciones y requisitos de seguridad para poder identificar riesgos relacionados con la confidencialidad, integridad y disponibilidad.

10. Evaluación del desempeño

Se lleva a cabo mediante una auditoría interna y revisiones producidas en el sistema de gestión.

11. Mejora

Hay que contabilizar y comparar las no conformidades identificadas con las acciones correctivas para asegurar que no se repita nuevamente y que dichas acciones correctivas son eficaces.

Novedades más relevantes de la Norma ISO 27001

Ofrece algunas novedades que la diferencian de la norma antecesora, como por ejemplo, la desaparición de la sección sobre enfoque a procesos, proporcionando más flexibilidad.

Por otro lado, algunos documentos dejan de ser obligatorios, solo se conserva la declaración de aplicabilidad.

Además, se revisan los requisitos y controles, y se hace hincapié en el análisis del riesgo en las fases de planificación y operación.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ARTÍCULOS RELACIONADOS