Pasar al contenido principal

ISO 27001/27002

¿A quién va dirigido?

La norma ISO 27001 aplica a cualquier organización pública o privada, grande o pequeña, que quiera llevar a cabo una gestión de la seguridad de la información de manera estandarizada. 

¿Qué es?

La norma UNE-EN ISO/IEC 27001:2017 es un estándar internacional que establece los requisitos que debe cumplir un Sistema de Gestión de la Seguridad de la Información (SGSI) para ser certificable. Vigente como norma internacional desde 2005, esta norma establece: 

  • Las exigencias genéricas que se deben cumplir, a nivel de sistema de gestión, para que la gestión de la seguridad se desarrolle en forma de ciclo de Deming o ciclo PDCA (Plan-Do-Check-Act) y pueda ser establecida, implementada y mejorada de manera continua. 
  • Las exigencias específicas que se deben satisfacer desde el punto de vista de la seguridad de la información, consistentes en desarrollar un proceso de análisis y gestión de riesgos de seguridad de la información y en aplicar, como consecuencia de dicho proceso, una serie de controles de seguridad que deben ser contrastados con el catálogo de controles que incluye la propia norma cono anexo. 

De este modo, el estándar establece las bases para que cualquier organización pueda preservar la confidencialidad, la integridad y la disponibilidad de la información, de acuerdo a sus intereses y necesidades de negocio, mediante la aplicación de un proceso continuo de gestión de riesgos de seguridad de la información. 

Objetivos

Los objetivos del estándar ISO 27001 se pueden resumir en los siguientes puntos:

  • Establecer los requisitos mínimos que cualquier organización debe cumplir para establecer, implementar, mantener y mejorar de manera continua la seguridad de la información en su propio contexto. 
  • Otorgar a todas las partes interesadas confianza sobre la adecuada gestión de los riesgos de seguridad de la información. 
  • Preservar la confidencialidad, la integridad y la disponibilidad de la información tratada. 
  • Que tanto las partes internas como las partes externas puedan evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad. 

Beneficios

Disponer de un Sistema de Gestión de la Seguridad de la Información conforme a los requisitos de la norma ISO 27001 va a permitir: 

  • Disponer de un mecanismo por el que los riesgos de seguridad de la información a los que está sujeta la organización se analizan, evalúan y tratan de manera sistemática. 
  • Hacer uso de un catálogo de controles de seguridad que garantizan la protección de la disponibilidad, la integridad y la confidencialidad de la información tratada de manera estandarizada pero flexible. 
  • Tener la garantía de que la seguridad de la información de la organización está gestionada, mantenida y operada de manera sistemática y orientada a su mejora continua. 
  • Asegurarse de que los mecanismos de seguridad establecidos son objeto de auditoría interna de forma periódica, de manera que se verifique el cumplimiento de los requerimientos establecidos por el propio estándar.
  • Tener la garantía de que la alta dirección está comprometida con la seguridad de la información y participa de manera suficiente en su planificación, revisión y mejora. 

Factores a tener en cuenta para la implantación de un SGSI conforme a la norma ISO 27001

  • El tamaño de la organización.
  • El contexto de la organización
  • Los procesos, servicios, sedes e infraestructuras tecnológicas involucrados
  • Los activos de información afectados
  • La tolerancia al riesgo
  • Los controles de seguridad ya existentes y su nivel de madurez
  • La existencia de otros sistemas de gestión normalizados (calidad, medio ambiente, etc.). 
  • Otros aspectos organizativos.

Fases del proceso de implantación de un SGSI certificable bajo ISO 27001

Fase 1. Lanzar el proyecto

La implantación de un Sistema de Gestión de la Seguridad de la Información debe contar con la implicación de la alta dirección de la organización, ya que no sólo deberán aprobar la Política de Seguridad de alto nivel, sino que deberán participar en la revisión de los resultados del mismo una vez implantado. 

Fase 2. Delimitar el alcance

La organización deberá analizar el contexto interno y externo y determinar las partes interesadas con intereses específicos en materia de seguridad de la información, con el fin de determinar el listado de sedes, servicios, procesos y/o áreas de la organización en los que será necesario desarrollar el Sistema de Gestión de la Seguridad de la Información. 

Una vez establecido dicho alcance, en función de los intereses y necesidades de cada una de las partes interesadas internas y/o externas, se deberán determinar los activos de información afectados, con especial atención a los medios tecnológicos que los soportan y a los terceros que intervienen. 

Fase 3. Análisis de riesgos

Después habrá que llevar a cabo el análisis de riesgos. Para ello se analizarán los riesgos asociados a la pérdida de disponibilidad, integridad y confidencialidad de la información considerada en el alcance del SGSI, a partir de la determinación de la probabilidad de ocurrencia de dichos riesgos y del impacto que podrían provocar en la organización de llegar a materializarse. 

Fase 4. Gestión de riesgos

Posteriormente será necesario determinar el nivel de riesgo que la organización considera aceptable, y analizar todos aquellos riesgos que, tras la realización del análisis de riesgos, presenten un nivel de riesgo que exceda el nivel aceptable, con el fin de determinar las acciones necesarias para tratarlos. 

A continuación, se deberán definir los controles de seguridad que sea necesario implementar como consecuencia de la ejecución de las acciones que acabamos de definir, y esa relación de controles se recogerá en un documento denominado “Declaración de Aplicabilidad”, que se elaborará a partir del listado de controles de seguridad que la propia norma incorpora en su Anexo A. 

El citado Anexo A recoge la lista de dominios, objetivos de control y controles de seguridad de la información que propone otro estándar, la norma UNE-EN ISO/IEC 27002:2017, el código de buenas prácticas para los controles de seguridad de la información, y que propone una implementación óptima de cada uno de los controles incluidos en dicho Anexo. 

Fase 6. Desarrollo del plan de tratamiento de riesgos 

Una vez identificados los controles de seguridad que es necesario implantar para reducir los riesgos excesivos identificados será necesario desarrollar el Plan de Tratamiento de Riesgos, una planificación específica de los proyectos de desarrollo y/o mejora de todos aquellos controles de seguridad que la Declaración de Aplicabilidad haya establecido como aplicables y que la organización no tenga desarrollados en los términos necesarios. 

Fase 7. Implantación del SGSI 

A continuación, la organización llevará a cabo la implantación del SGSI propiamente dicha, desarrollando todos los proyectos previstos en el plan de tratamiento de riesgos, así como los definidos para la propia implantación del Sistema de Gestión, y que contemplarán tanto medidas de carácter tecnológico como, sobre todo, medidas de carácter organizativo, operativo y contractual, dependiendo del plan específico de cada organización. 

Fase 8. Auditorías

Tras la finalización de los proyectos de implantación del SGSI se deberá llevar a cabo una auditoría interna, donde se evalúe el SGSI y el grado de cumplimiento de los requisitos establecidos por la norma. Así mismo, en caso de que la organización quiera certificar su SGSI contra la norma ISO 27001, se deberá llevar a cabo adicionalmente una auditoría externa por parte de una entidad de certificación acreditada, que certifique de manera objetiva que el SGSI es conforme. 

Fase 9. Operación y mantenimiento 

La implantación de un SGSI supone la gestión continua de la seguridad de la información en forma de sistema de gestión. Por lo tanto, las auditorías no harán sino dar comienzo a un nuevo ciclo de gestión donde se deberán reevaluar los riesgos, adaptar los controles de seguridad que se considere oportuno, y mantener mientras tanto todos los controles de seguridad establecidos en óptimas condiciones de funcionamiento, dando comienzo de este modo a un ciclo continuo de gestión y mejora de la seguridad de la información. 

¿Dónde recibir asesoramiento o contratar la adecuación al Esquema Nacional de Seguridad?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan. 

BCSC Libro Blanco

Referencias

Portal en español sobre la serie de normas ISO 27000: https://www.iso27000.es/ 

Estructura de ISO 27001

 

Compartir

Compartir en Linkedin