ISO 27001
¿Qué es ISO/IEC 27001?
ISO 27001 es la norma internacional perteneciente a la serie de normas ISO 27000, que nos permite gestionar la seguridad de la información en cualquier tipo de organización así como la certificación de su Gestión. La norma se denomina ISO/IEC 27001 y ha sido redactada por la organización Internacional de Normalización (ISO).
La serie de normas ISO 27000 se compone de:
- ISO 27001 (Information Security Management) : Estándar sujeto a Certificación que contiene los requisitos de la norma de cara a la implementación y obtención del posterior certificado de un SGSI (Sistema de Gestión de la Seguridad de la Información).
- ISO 27002 (Information technology — Security techniques — Code of practice for information security controls): Estándar NO sujeto a Certificación que contiene de forma detallada una serie de controles a aplicar en la implantación de los Sistemas de Gestión de la Seguridad de la información. Sin embargo ISO 27002 no distingue entre los controles que son aplicables a una organización determinada y los que no lo son.
ISO/IEC 27001 una garantía en Seguridad de la Información
Como norma internacional ISO/IEC 27001 ha ido adoptando a lo largo de sus diferentes adaptaciones, las mejores prácticas recomendadas por especialistas alrededor de todo el mundo en relación a la Gestión de la seguridad de la información (Security Management), aprovechando las experiencias prácticas de las organizaciones más relevantes que han implementado estos sistemas de gestión y aportan a este estándar las recomendaciones para mejorar su eficacia.
¿Qué obtengo con el certificado ISO 27001?
En el mundo actual los riesgos de seguridad de la información significan una amenaza que debe ser tomada en cuenta por las empresas debido a la posibilidad de pérdidas económicas, servicios esenciales, reputación y confianza de los clientes.
- Establece un método de control de riesgos como elemento clave de la prevención del fraude online, daños informáticos, protección de datos personales, información crítica y todo tipo de incidentes que afectan a la seguridad de la información
- Previene la interrupción del servicio por daños contra la seguridad de la información
- Acredita ante nuestros clientes la protección de su información
- ISO 27001 evita inversiones y gastos asociados a la protección activos de información mejorando el desempeño y competitividad del negocio
- ISO 27001 es una garantía de cumplimiento de las obligaciones contractuales
ISO 27001 y Sistemas de Gestión de la Calidad
El Sistema de Gestión de la Seguridad de la Información ISO 27001 está concebido sobre el ciclo de mejora continua PDCA, común al resto de Sistemas de Gestión ISO. Esto posibilita la integración del SGSI (Sistema de Gestión de la seguridad de la información) con cualquier otro sistema de gestión.
Implantar sistemas integrados optimiza los procesos internos y en consecuencia los tiempos y costes de implantación y auditoría. Esta estrategia está especialmente recomendada para los Sistemas de Gestión ISO 9001 y Sistema de Gestión de Calidad de Servicios TI (ISO 20000).
ISO 27001 y ENS Esquema Nacional de Seguridad
El esquema Nacional de seguridad tiene por objeto las medidas concretas a adoptar para para garantizar la seguridad de la información y la confianza en el uso de los medios electrónicos a los usuarios de la administración Publica
En este sentido, ISO 27001 establece un procedimiento de evaluación de riesgos para la seguridad de la información y de establecimiento de controles adecuados para minimizar el impacto de dichas amenazas en un proceso de gestión de mejora continua promovido por el SGSI (Sistema de Gestión para la Seguridad de la Información), integrando dicho sistema en la filosofía de gestión de toda la organización
En cuanto a la integración de ISO 27001 y ENS podemos decir que una empresa que se certifique en ISO/IEC 27001 tiene solamente que incorporar aquellos requisitos concretos que requiere el ENS y que no estén incluidos en los controles de seguridad contemplados en la implantación o alcance de su sistema SGSI
Para las empresas que deben cumplir con el ENS, la integración en su organización de un sistema de Gestión de la Seguridad de la información supone un complemento ideal para incorporar en su organización una metodología de gestión global para acreditar su compromiso en la seguridad de la información y garantizar la mejora continua en sus procesos respecto a la seguridad de la información
ISO 27001 e ISO 22301 sistemas de Continuidad del Negocio
La norma ISO 22301 introduce un concepto si se quiere más amplio en cuanto a los procesos de evaluación de riesgos, en cuanto que no solamente nos centramos en riesgos para la seguridad de la información, sino que contempla un escenario global de todos los riesgos que afectan a la continuidad del Negocio. Es por ello, que un Certificado según la ISOIEC 27001:2013 es sin duda una plataforma ideal para pensar en gestionar la continuidad del Negocio.
ISO 27001 y Protección de datos personales (LOPD -GRDP)
Cada vez más las empresas están apostando por el establecimiento de sistemas de Gestión de la Seguridad de la Información según los requisitos de la norma ISOIEC 27001:2013. Esto hace que las empresas cada vez más piensen en la seguridad de la información y la protección de los datos de sus clientes y partes interesadas como algo más que el simple establecimiento de medidas tecnológicas para la protección de la información
Las leyes europeas de protección de datos establecen un repositorio de medidas de seguridad aplicables a los ficheros de datos de carácter personal en función de su nivel. Es por ello que un sistema de Gestión de la Seguridad de la Información es también una buena herramienta para considerar estas obligaciones legales y acreditar la preocupación de la organización por estos aspectos e integrarlos en la gestión de la seguridad de la Información (SGSI)
ISO 27001 ¿A quién va dirigida?
Esta norma es aplicable a todo tipo de empresas, grandes y pequeñas y especialmente a las que utilizan sistemas internos o externos que poseen informaciones confidenciales con especial dependencia de estos sistemas para el funcionamiento.
Actualmente estamos viendo los efectos de nuestro creciente uso de nuevas tecnologías, con cada vez más organizaciones que sostienen la seguridad o los incumplimientos de datos relacionados con sitios de redes sociales, teléfonos inteligentes y tabletas.
Es por ello que cada vez más esta norma está siendo empleada no solo por las grandes empresas s sino también por las pequeñas organizaciones que experimentan niveles de incidencias que antes se observaban sólo en organizaciones más grandes en relación a incidencias en la seguridad de la información.
LOS ACTIVOS DE LA ORGANIZACIÓN
La protección de los activos de una empresa es uno de los pilares y objetivos fundamentales del estándar ISO/IEC 27001:2013 ya que la información actualmente es uno de los activos más importantes para todas las organizaciones. ISO 27001 será la garantía para poder recuperar los activos de información de una organización en caso de cualquier incidente.
Un sistema de gestión de la Seguridad de la información SGSI según el estándar iso 27001 se apoya en tres puntos o pilares fundamentales:
- Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin.
- Integridad: es la preservación de la información completa y exacta.
- Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.
EVALUACIÓN Y ESTABLECIMIENTO DE CONTROLES
Otro pilar fundamental de un sistema de seguridad de la Información basado en la norma ISO 27001 es:
- Análisis y Gestión de riesgos (Risk Management): Mediante un sistema de análisis de riesgos se puede tanto determinar el escenario de riesgos de una organización así como elegir la metodología más adecuada que permita establecer tanto una base de conocimiento del riesgo para su correcta ponderación y posterior tratamiento, así como incorporar la cultura del riesgo dentro de la organización
- Establecimiento de controles: Los controles del riesgo deben ser adecuados a la gravedad de las amenas identificadas anteriormente en la evaluación del riesgo. Además los controles de riesgos establecidos podrán ser realmente efectivos dentro de un sistema de evaluación y mejora continua establecido en un SGSI y que permite la revisión continua tanto de nuevos riesgos como de la efectividad de los controles adoptados
ISO 27001 en España
España es uno de los primeros países en el mundo en adoptar la norma ISO 27001 en cuanto a numero de certificados situándose entre los diez primero países desde hace ya varios años tal como lo demuestran los informes de ISO SURVEY.
¿Qué es el Registro de Empresas Certificadas ISO 27001?
Con el objetivo de fomentar implantación de Standards de referencia para la Gestión de Seguridad de la Información, asi como reconocer y poner en valor el esfuerzo de el esfuerzo de las organizaciones comprometidas con la Seguridad de la Información, se ha creado un registro de empresas “Registro de Empresas Certificadas ISO 27001” promovido por IMS Forúm.