Miércoles, 11 diciembre 2019

¿Qué es la certificación ISO 27001 y para qué sirve?

¿Sabes qué es la certificación ISO 27001 y para qué sirve? En UNIR abordamos la importancia de esta norma de seguridad de la información.

La ISO 27001 es una norma internacional de Seguridad de la Información que pretende asegurar la confidencialidad, integridad y disponibilidad de la información de una organización y de los sistemas y aplicaciones que la tratan. Este estándar ha sido desarrollado por la Organización Internacional de Normalización (ISO: “International Organization for Standardization”) y por la Comisión Electrotécnica Internacional (IEC: “International Electrotechnical Commission”).

La norma define de manera genérica, independientemente de los factores ambientales de organización (entorno, contexto, activos de las TIC, información, cultura organizacional, etc.) —tanto internos como externos a la misma— y de los activos de los procesos de la organización (políticas, procedimientos, procesos, etc.), cómo se planifica, implanta, verifica y controla un Sistema de Gestión de Seguridad de la Información, a partir de la realización de un análisis de riesgos y de la planificación e implantación de la respuesta a los mismos para su mitigación. Es decir, cualquier empresa u organización puede desplegar un SGSI siguiendo este estándar.

Recomendaciones para administrar la información

Pero, ¿qué es un SGSI? Es un enfoque sistemático o conjunto de políticas y procedimientos para administrar la información de una empresa u organismo cumpliendo una serie de requisitos.

Así, hay que garantizar su confidencialidad (sólo las personas autorizadas pueden acceder a esta), su integridad (no ha sido manipulada de manera no autorizada) y su disponibilidad (la información puede ser accedida por las personas autorizadas cuando lo necesitan), mediante una gestión de los riesgos que considera a las personas, procesos y sistemas de TIC (Tecnología de la Información y las Comunicaciones) relacionados con la misma.

La norma está alineada con la ISO 27002,  que define  una serie de buenas prácticas de gestión de la seguridad de la información para todos los interesados y responsables de un SGSI.

Gestión de la calidad PDCA

La ISO 27001 se basa en la teoría de gestión de la calidad PDCA (también conocida como ciclo de Deming), como se podrá observar en la estructura de esta.

Planificar (“Plan”): etapa inicial de diseño del SGSI en la que se realiza la identificación inicial de los riesgos asociados con la Seguridad de la información. Esta cuestión se complementa con un análisis cualitativo y cuantitativo (si es necesario) de los riesgos identificados y la planificación de la respuesta y los controles necesarios para la mitigación de estos.

Hacer (“Do”): implantación y operación del Sistema de Gestión de Seguridad de la Información definido y desarrollado.

Verificar (“Check”): revisar y evaluar su eficacia y eficiencia. Si el desempeño no es el esperado analizar las causas y determinar las mejoras.

Actuar (“Act”): mejora continua del SGSI.

Estructura del estándar:

1- Objeto y campo de aplicación: objetivos y uso de la norma en el contexto de las diferentes organizaciones.

2- Referencias normativas del estándar.

3- Términos y definiciones utilizados en el desarrollo de la norma.

4- Contexto de la organización: requisitos y expectativas de los interesados tanto a nivel interno como externo y que influirán en el SGSI y determinación del alcance de este.

5- Liderazgo: importancia de la implicación de la gerencia con el sistema, mediante el establecimiento de políticas, integrando el SGSI en los procesos de la organización, y asegurando los recursos necesarios.

6- Planificación: es imprescindibles detectar, analizar y valorar los riesgos de seguridad de la información tomando como referencia los umbrales aceptables de riesgo de la organización (apetito al riesgo), así como planificar estrategias de respuesta (mitigación).

7- Soporte: recursos necesarios para la capacitación y concienciación del personal, además de la importancia de la comunicación y la propia información.

8- Operación: cómo operar el sistema e implantar la respuesta a los riesgos.

9- Evaluación de desempeño: pautas para la monitorización, seguimiento y control del SGSI y la evaluación de su eficiencia y eficacia.

10- Mejora: se centra en cómo abordar las no conformidades con la norma, las acciones correctivas que hay que implementar y la mejora periódica del Sistema de Gestión de Seguridad de la Información.

11- Anexo A: definición de los controles para mejorar la seguridad de la información.

Sin duda, la ISO 27001 es fundamental para gestionar la seguridad de la información en organismos y empresas independientemente de su tamaño, objetivos o estructura.