Norma ISO 27001
Para poder trabajar de forma eficaz y segura en la era de la digitalización, las organizaciones deben cumplir estrictas normativas referentes a la seguridad de la información. La Organización Internacional de Normalización (ISO, por sus siglas en inglés) también ha desarrollado un estándar para la seguridad de la información en empresas. Si las empresas se adhieren a él, pueden demostrarlo con un certificado desarrollado por reconocidos expertos internacionales en seguridad de datos. Esta certificación describe la metodología implementada por la empresa para garantizar un alto nivel de seguridad de la información.
¿Qué es ISO 27001?
Con la norma internacional ISO 27001, una empresa u organización puede establecer estándares para la seguridad de la información. Se trata de una norma estructurada de manera que ni el tamaño ni el sector de la empresa son relevantes a la hora de ponerla en práctica. Una vez se cumplan las prescripciones, puede pedirse, además, una certificación ISO 27001. Con ella se da a conocer, tanto de cara a los clientes como a los socios comerciales, que se trata de una organización fiable y que se toma en serio la seguridad de la información.
La norma internacional ISO 27001 regula la seguridad de la información en organizaciones, ya sean privadas, públicas o sin ánimo de lucro. Describe los requisitos para el diseño, la instalación, el manejo y la optimización de un sistema documentado de gestión de la seguridad de la información.
Ventajas de ISO 27001 para la empresa
Cuatro ámbitos empresariales diferentes se benefician de esta norma: por un lado, la certificación ISO 27001 es una base para aplicar requerimientos legales. Además, aporta una ventaja competitiva, ya que no todas las empresas disponen de ella. Las que sí han obtenido dicho certificado pueden demostrar a sus clientes que gestionan informaciones delicadas de forma segura. Puesto que, con el cumplimiento de la norma, se reduce el riesgo de fallos en la seguridad de la información, ISO 27001 también permite reducir costes al evitar las caras reparaciones de tales incidentes.
Una certificación ISO 27001, además, optimiza los procesos en la empresa. Los tiempos de inactividad de los trabajadores se minimizan gracias a la documentación de los principales procesos empresariales.
Otras ventajas son:
- La reducción de los riesgos empresariales
- La reducción de los riesgos de responsabilidad
- Primas de seguros más bajas
- Un reconocimiento fiable de problemas y amenazas
ISO 27001: contenido y componentes
La norma ISO 27001 se divide en varias partes y sus principios básicos se establecieron en 2005 con la llamada norma ISO/IEC 27001 (por la participación de la Comisión Electrotécnica Internacional). En 2015 se ampliaron sus bases y se le añadió un catálogo que formaría la segunda parte de la norma. Dicho catálogo suele presentarse como anexo y muestra los detalles de las actualizaciones. Se podría hablar de tres grandes apartados en los que la norma se divide: tras los capítulos introductorios viene el cuerpo de la norma y, por último, el anexo mencionado.
Para la certificación ISO 27001 es determinante la parte normativa del cuerpo textual, que define detalladamente los objetivos de las medidas comprendidas. Dichas medidas en sí, sin embargo, no son dadas como instrucciones para alcanzar el estándar, sino, más bien, como recomendaciones para implementarlo de forma eficaz. Las bases de estas recomendaciones están relacionadas con los principios de confidencialidad, disponibilidad e integridad.
Para simplificar los procesos y la implementación, ISO 27001 recoge también principios de otros estándares. Uno de los motivos de ello es que los paralelismos con otras normas (con las que quizá ya se está familiarizado) facilitan a las organizaciones o empresas su implementación y las animan a introducir también los estándares ISO 27001.
Implementación de la norma y certificación final
La aplicación de la norma ISO/IEC 27001 requiere pasos específicos que no se pueden realizar de forma análoga en todas las empresas u organizaciones. Cada entidad se enfrenta a desafíos específicos y los SGSI deben adaptarse a cada caso. Por ello, a continuación, indicamos los pasos que pueden implementarse en la mayoría de las empresas, independientemente de su sector.
El primer paso para dotar a la empresa de una certificación es garantizar el apoyo y el compromiso de la alta dirección, que deberá priorizar la aplicación eficaz del SGSI y definir claramente los objetivos de la política de seguridad de la información de cara a todos los trabajadores.
Tras este primer paso, deben establecerse elementos específicos de la política de seguridad de la información. Para ello, la empresa identifica los objetivos e indica el rumbo estratégico que tomarán las bases de la seguridad de la información. Se trata de las condiciones generales para el desarrollo futuro.
Una vez se haya definido la política de seguridad de la información, la empresa definirá los ámbitos de aplicación del SGSI. A este respecto es importante la especificación de todos los aspectos de la seguridad de la información que sean efectivamente accesibles dentro del marco del SGSI. También se diseña un análisis de riesgos en lo que a medidas de seguridad se refiere. Dicho análisis mostrará qué posibles peligros deben tenerse en cuenta, tomando como referencia especialmente los puntos débiles del sistema actual.
Para minimizar los riesgos existentes, la empresa u organización definirá medidas concretas. El resultado del análisis es un catálogo de medidas que deberá revisarse de forma continua y, de ser necesario, modificarse. Una vez se haya realizado la implementación correctamente, la empresa llevará a cabo una preauditoría antes de la auditoría definitiva para la certificación. Esta preauditoría tendrá como fin revelar problemas y puntos débiles que podrían perjudicar el resultado de la auditoría definitiva. Se descartarán los elementos que no se ajusten a la norma ISO 27001.
El último paso para aplicar con éxito el estándar ISO 27001 es realizar la auditoría de certificación. Un organismo de certificación independiente valorará el SGSI implementado. Si el plan se adhiere a las especificaciones de ISO 27001, la auditoría será positiva y la empresa recibirá su certificación por parte del organismo certificador. Es importante, sin embargo, que se sigan realizando las llamadas auditorías de seguimiento a intervalos regulares. Estas auditorías deberán garantizar que se comprueba regularmente que se sigan cumpliendo las estipulaciones de la norma. Las auditorías de seguimiento se realizan cada tres años. El organismo independiente, por lo tanto, solo expedirá el certificado, en caso de auditoría de seguimiento positiva, con una validez de tres años.
Los costes de la certificación
Cuánto cueste lograr la certificación dependerá siempre de la situación inicial de cada empresa. Algunos factores de costes como cursos de formación o textos especializados, asesoramiento externo y adquisición de tecnología son un elemento clave. Además, no hay que olvidar que el tiempo de familiarización de los trabajadores también cuesta dinero. Por último, hay que incluir, naturalmente, el precio de la certificación en sí.
Los costes de certificación son variables y dependen del tamaño de la empresa, así como de los días que dure la última auditoría. En pequeñas y medianas empresas, suele tratarse de unos diez días laborales, mientras que empresas grandes o multinacionales necesitan más tiempo y requieren, por lo tanto, un mayor presupuesto.