Hoy en día, la información se ha convertido en un activo fundamental para todo tipo de personas y organizaciones. Dado que los avances tecnológicos permiten generar y compilar más datos que nunca, los riesgos de quiebras de seguridad se multiplican.
La evolución de las amenazas informáticas y la identificación de nuevas vulnerabilidades marcan el rumbo de la seguridad de la información. Además, factores externos como los modelos de negocio en constante cambio, la pandemia y los conflictos geopolíticos han tenido un impacto directo, lo que hace necesario revisar y actualizar los controles de seguridad.
En ese sentido, obtener una certificación ISO 27001 garantiza las mejores prácticas y evita los principales peligros.
¿En qué consiste el certificado ISO 27001?
La norma internacional ISO 27001 tiene por objeto asegurar la inviolabilidad, la disponibilidad, la confidencialidad y la integridad de los datos y de la información recopilados, así como de los sistemas que se utilizan para procesarlos.
Dicho de otra forma, la ISO 27001 reúne y concreta todos los requisitos y medidas que es necesario cumplir para que una empresa o entidad esté en condiciones de garantizar la gestión óptima de su información, así como la seguridad absoluta de la misma.
Entre las principales amenazas están los ataques cibernéticos y de hackers, las malas costumbres o los despistes del personal propio, la injerencia de intrusos y los efectos de las distintas catástrofes naturales.
Para evitarlas, la norma 27001 concreta una serie de controles, medidas y procedimientos de seguridad que, una vez obtenida la certificación ISO, se implementan de la manera idónea para conseguir el máximo blindaje de esa información.
Con tal fin, las empresas certificadas incorporan un Sistema de Gestión de la Seguridad de la Información. Una empresa externa, especializada, independiente y cualificada, supervisa esa implementación y puesta en marcha para confirmar que todo se está haciendo muy bien.
Y, con su aval, la empresa certificada puede estar tranquila y demostrar a los demás agentes (clientes, proveedores, instituciones, partners, accionistas, etc.) la idoneidad de sus actuaciones en materia de seguridad.
Sin duda, es la mejor respuesta a peligros actuales como:
- Violación o robo de datos personales.
- Ciberdelincuencia (crimen cibernético).
- Ciberterrorismo.
- Accidentes y riesgos de daños materiales.
- Catástrofes naturales.
Más allá de garantizar el cumplimiento del RGPD sobre la protección de datos personales, favorece la productividad corporativa al simplificar, normalizar y optimizar el acceso, el manejo y el aprovechamiento de su información. De forma adicional, haber superado el proceso de certificación ISO 27001 aporta confianza, tranquilidad e imagen positiva a los clientes y colaboradores.
¿Qué ventajas ofrece contar con este certificado ISO?
Las pérdidas económicas y las posibles sanciones legales que ocasionan ciertos fallos en la seguridad de la información empresarial justifican, por sí solas, la necesidad de incorporar este tipo de medidas certificadas.
Además, estos son los beneficios adicionales que reporta un certificado ISO 27001 a las organizaciones:
- Se desactivan las posibles amenazas a la información. Tanto los hackers como los virus, el personal descontento, los factores imprevistos y los despistes humanos, potencialmente peligrosos, reducen sus posibles efectos a la mínima expresión.
- La organización mejora su funcionamiento. El riesgo de alteraciones, trastornos y problemas ciertos se minimiza. En caso de ataque o fallo, la reacción es inmediata y la solución mejor y más duradera. Además, no hay problemas para incorporar nuevos recursos tecnológicos o informativos, lo que suele aumentar la productividad.
- La imagen corporativa queda reforzada: estos certificados 27001 reflejan el compromiso con la Seguridad de la Información y son bien valorados por los agentes del entorno.
- El acceso a nuevos mercados internacionales aumenta. De hecho, contar con estas acreditaciones suele ser una ventaja competitiva frente a los rivales que carecen de ellas.
Novedades de la Versión 2022 de la ISO 27001
A finales de 2022, se publicó la ISO/IEC 27001:2022, la cual trae consigo cambios significativos en la cantidad y la clasificación de los controles de seguridad, así como modificaciones menores en las cláusulas que establecen los requisitos para crear, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
Para obtener detalles sobre la implementación de cada control definido en ISO/IEC 27001, se puede consultar la versión más reciente de ISO/IEC 27002, conocida en ediciones anteriores como «código de buenas prácticas».
Esta guía de implementación también se actualizó en 2022, cambiando su título a «Seguridad de la información, ciberseguridad y protección de la privacidad – Controles de seguridad de la información» y su estructura para utilizar una taxonomía más sencilla. Además, se fusionaron algunos controles, se eliminaron otros y se introdujeron nuevos.
Es importante recordar que mientras que la ISO 27001 establece los objetivos que una organización debe cumplir para obtener la certificación, la ISO 27002 establece los controles necesarios para alcanzar esos objetivos.
Basándonos en los cambios de ISO/IEC 27002:2022, analizaremos los cambios en el Anexo A de ISO/IEC 27001:2022.
Destaca que estas nuevas versiones de los documentos consideran dos aspectos nuevos: temas y atributos. Los temas se refieren a la forma de categorizar los controles de seguridad, similar a los dominios utilizados en versiones anteriores. Así, encontramos cuatro temas o categorías: controles para personas, físicos, tecnológicos y organizacionales. Por otro lado, los atributos permiten una clasificación desde diferentes perspectivas, lo que facilita su uso para distintas audiencias.
Existen cinco tipos de atributos: basados en el tipo de control (preventivo, detectivo y correctivo), propiedades de seguridad de la información (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas (desde la perspectiva de los profesionales o practicantes, como la gobernanza o la seguridad física) y dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).
Además, el nuevo estándar reduce el número de controles de seguridad a 93. De estos, se pueden identificar 8 controles para personas, 14 controles físicos, 34 controles tecnológicos y 37 controles organizacionales. Es importante destacar que los objetivos de control, que describen los resultados deseados de la implementación de controles, ya no se consideran en la nueva edición.
Consideraciones en la Selección e Implementación de Controles
Los controles se definen como medidas destinadas a mantener o modificar los riesgos asociados con la información y otros activos. Sin embargo, es posible que los controles no siempre logren el efecto deseado, por lo que es crucial revisarlos y actualizarlos continuamente de acuerdo con los criterios de riesgo (aversión o propensión).
Las organizaciones no están obligadas a implementar todos los controles definidos en el estándar, pero deben documentar y justificar cualquier omisión en la Declaración de Aplicabilidad (SoA). Por lo general, la selección de los controles se basa principalmente en los resultados de la evaluación de riesgos.
Finalmente, es esencial recordar que las organizaciones pueden elegir e implementar controles o contramedidas para proteger sus activos basados en otras fuentes de información y otros marcos de trabajo de ciberseguridad o seguridad de la información. Las mejores prácticas recomendadas en el estándar deben adoptarse, adaptarse y aplicarse en función de las características, necesidades y condiciones específicas de cada organización.
¿Cómo obtener la certificación ISO 27001?
Superar cualquier proceso de certificación ISO es exigente e implica determinación, dedicación y compromiso. No se trata, ni mucho menos, de un trámite administrativo, ya que implica identificar la realidad y adoptar todas las medidas correctoras necesarias. En ocasiones, esto supone un verdadero cambio de paradigma en los sistemas de gestión de la empresa.
En concreto, la obtención de la ISO 27001 certificada implica los siguientes pasos:
- Contar con el apoyo y compromiso de la dirección.
- Concretarlo como un proyecto, con un timing, unos objetivos y unas acciones necesarias.
- Establecer el alcance total: departamentos, empresas específicas de un grupo, etc.
- Crear una política de seguridad de la información.
- Fijar un método adecuado de evaluación de los riesgos.
- Llevar a cabo la evaluación.
- Tratar los riesgos detectados.
- Desarrollar el documento o declaración de aplicabilidad.
- Escribir el plan de tratamiento de los riesgos.
- Concretar los criterios, herramientas y métodos para medir la eficacia del control.
- Implementar revisiones y procesos obligatorios.
- Desarrollar e impulsar tareas de formación y concienciación.
- Poner en marcha la aplicación del sistema de gestión de seguridad informativa.
- Supervisar esta implementación.
- Realizar auditorías internas.
- Lograr la aceptación de la dirección.
- Adoptar y aplicar nuevas medidas.
Tal nivel de complejidad exige contar con asesores expertos altamente cualificados. QMS es el partner perfecto para afianzar y acelerar el proceso de certificación ISO 27001. ¡Contacte con nosotros y ponga en marcha la obtención de este certificado en su empresa!
