Sistema de seguridad de la información con ayuda de la norma ISO 27001
El tema de la «seguridad de la información» es cada vez más crucial para las empresas en plena transformación digital. Sin medidas de seguridad adecuadas, existe el riesgo de pérdida y robo de datos por piratas informáticos, interrupciones operativas debidas a ataques basados en la web o uso indebido de los datos. Una alternativa para un enfoque estructurado es un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001.
¿Qué es ISO 27001?
ISO/IEC 27001 es la principal norma internacional para implantar un Sistema de Gestión de la Seguridad de la Información holístico. Se centra en la identificación, evaluación y gestión de riesgos para los procesos de gestión de la información. Se hace hincapié en la seguridad de la información confidencial como factor estratégico vital. La información nos rodea por todas partes y forma parte de todos los procesos. A veces puede ser trivial, pero con demasiada frecuencia es crítica y confidencial. Para hacer esta importante distinción para su organización, es necesario clasificar la información. Esto se debe a que las medidas de protección de un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO/IEC 27001 se basan en esta clasificación. Un SGSI crea un marco para proteger los datos empresariales y su confidencialidad. Al mismo tiempo, la norma mundialmente reconocida garantiza la disponibilidad de los sistemas informáticos que intervienen en los procesos de la empresa. En este contexto, la certificación ISO 27001 envía una fuerte señal al mercado: a saber, una evaluación externa independiente y la confirmación de la eficacia de su SGSI. Con EN ISO/IEC 27001:2017-06, se ha publicado una versión coordinada por el Comité Europeo de Normalización (CEN). Combina las dos correcciones (corrigenda) Cor 1:2014 y Cor 2:2015. Los cambios asociados a la corrección solo implican una descripción mejorada de los requisitos relacionados, pero no nuevos requisitos adicionales. Por lo tanto, los certificados según la versión ISO/IEC 27001:2013 conservan su validez.
¿Para quién es adecuada la certificación ISO 27001?
La norma SGSI ISO 27001 se aplica en todo el mundo. Proporciona a las empresas de todos los tamaños y sectores un marco para planificar, implantar y supervisar la seguridad de su información. Los requisitos son aplicables y vinculantes para empresas privadas y públicas, así como para organizaciones sin ánimo de lucro. Por ejemplo, en Alemania, las empresas pertenecientes a un sector de infraestructuras críticas (KRITIS) y que superen un valor umbral deben demostrar cómo garantizan la seguridad de su información. Los sectores KRITIS incluyen la energía, el agua, la sanidad, las finanzas y los seguros, la alimentación, el transporte y el tráfico, las tecnologías de la información y las telecomunicaciones. Las pruebas correspondientes de la aplicación pueden aportarse mediante auditorías de seguridad, pruebas o certificaciones. Para ello, pueden utilizarse como base para la auditoría normas reconocidas como la ISO 27001 o, alternativamente, normas de seguridad específicas del sector reconocidas por la Oficina Federal Alemana de Seguridad de la Información (BSI).
¿Qué hace que la norma ISO 27001 sea útil para mi empresa?
La implantación de un SGSI conforme a la norma ISO/IEC 27001 es una decisión estratégica para su empresa. El cumplimiento de los requisitos generales intencionados de la norma debe reflejar la situación específica de la empresa. La implantación en la empresa depende de las necesidades y los objetivos, los requisitos de seguridad y los procesos organizativos, así como del tamaño y la estructura de la empresa. Especialmente valiosa para la práctica es la aplicación de las medidas del anexo A de la norma. Además de la parte de requisitos orientada al sistema de gestión (capítulos 4-10), la norma ISO contiene una lista exhaustiva de 35 objetivos de control con 114 medidas concretas para diversos aspectos de la seguridad en 14 capítulos del Anexo A. Las medidas deben aplicarse en el marco del sistema de gestión. Estas medidas deben aplicarse en el marco del sistema de gestión, en la medida en que sean pertinentes para su empresa. Se ha demostrado que una alineación coherente de los procesos de la empresa con la norma ISO 27001 conlleva varias ventajas:
- Mejora continua del nivel de seguridad.
- Reducción de los riesgos existentes.
- Cumplimiento de los requisitos de conformidad.
- Mayor concienciación entre los empleados.
- Aumento de la satisfacción del cliente.
Las auditorías internas y las revisiones de la gestión en las que participa la alta dirección son las palancas internas para conseguirlo. Otros aspectos positivos son que las partes interesadas, como autoridades reguladoras, compañías de seguros, bancos y empresas asociadas, generan una mayor confianza en su empresa. Esto se debe a que un sistema de gestión certificado indica que su organización gestiona los riesgos de forma estructurada y está comprometida con la mejora continua (CIP), lo que la hace más resistente a impactos no deseados. La norma internacional ISO/IEC 27001 también puede implantarse, aplicarse y certificarse independientemente de otros sistemas de gestión, como ISO 9001 (gestión de la calidad) o ISO 14001 (gestión medioambiental).