Norma ISO 27001

Para poder trabajar de forma eficaz y segura en la era de la di­gi­ta­li­za­ción, las or­ga­ni­za­cio­nes deben cumplir estrictas no­r­ma­ti­vas re­fe­re­n­tes a la seguridad de la in­fo­r­ma­ción. La Or­ga­ni­za­ción In­te­r­na­cio­nal de No­r­ma­li­za­ción (ISO, por sus siglas en inglés) también ha de­sa­rro­lla­do un estándar para la seguridad de la in­fo­r­ma­ción en empresas. Si las empresas se adhieren a él, pueden de­mo­s­trar­lo con un ce­r­ti­fi­ca­do de­sa­rro­lla­do por re­co­no­ci­dos expertos in­te­r­na­cio­na­les en seguridad de datos. Esta ce­r­ti­fi­ca­ción describe la me­to­do­lo­gía im­ple­me­n­ta­da por la empresa para ga­ra­n­ti­zar un alto nivel de seguridad de la in­fo­r­ma­ción.

Con la norma in­te­r­na­cio­nal ISO 27001, una empresa u or­ga­ni­za­ción puede es­ta­ble­cer es­tá­n­da­res para la seguridad de la in­fo­r­ma­ción. Se trata de una norma es­tru­c­tu­ra­da de manera que ni el tamaño ni el sector de la empresa son re­le­va­n­tes a la hora de ponerla en práctica. Una vez se cumplan las pre­s­cri­p­cio­nes, puede pedirse, además, una ce­r­ti­fi­ca­ción ISO 27001. Con ella se da a conocer, tanto de cara a los clientes como a los socios co­me­r­cia­les, que se trata de una or­ga­ni­za­ción fiable y que se toma en serio la seguridad de la in­fo­r­ma­ción.

Cuatro ámbitos em­pre­sa­ria­les di­fe­re­n­tes se be­ne­fi­cian de esta norma: por un lado, la ce­r­ti­fi­ca­ción ISO 27001 es una base para aplicar re­que­ri­mie­n­tos legales. Además, aporta una ventaja co­m­pe­ti­ti­va, ya que no todas las empresas disponen de ella. Las que sí han obtenido dicho ce­r­ti­fi­ca­do pueden demostrar a sus clientes que gestionan in­fo­r­ma­cio­nes delicadas de forma segura. Puesto que, con el cu­m­pli­mie­n­to de la norma, se reduce el riesgo de fallos en la seguridad de la in­fo­r­ma­ción, ISO 27001 también permite reducir costes al evitar las caras re­pa­ra­cio­nes de tales in­ci­de­n­tes.

Una ce­r­ti­fi­ca­ción ISO 27001, además, optimiza los procesos en la empresa. Los tiempos de inac­ti­vi­dad de los tra­ba­ja­do­res se minimizan gracias a la do­cu­me­n­ta­ción de los pri­n­ci­pa­les procesos em­pre­sa­ria­les.

Otras ventajas son:

• La reducción de los riesgos em­pre­sa­ria­les
• La reducción de los riesgos de re­s­po­n­sa­bi­li­dad
• Primas de seguros más bajas
• Un re­co­no­ci­mie­n­to fiable de problemas y amenazas

La norma ISO 27001 se divide en varias partes y sus pri­n­ci­pios básicos se es­ta­ble­cie­ron en 2005 con la llamada norma ISO/IEC 27001 (por la pa­r­ti­ci­pa­ción de la Comisión Ele­c­tro­té­c­ni­ca In­te­r­na­cio­nal). En 2015 se ampliaron sus bases y se le añadió un catálogo que formaría la segunda parte de la norma. Dicho catálogo suele pre­se­n­tar­se como anexo y muestra los detalles de las ac­tua­li­za­cio­nes. Se podría hablar de tres grandes apartados en los que la norma se divide: tras los capítulos in­tro­du­c­to­rios viene el cuerpo de la norma y, por último, el anexo me­n­cio­na­do.

Para la ce­r­ti­fi­ca­ción ISO 27001 es de­te­r­mi­na­n­te la parte normativa del cuerpo textual, que define de­ta­lla­da­me­n­te los objetivos de las medidas co­m­pre­n­di­das. Dichas medidas en sí, sin embargo, no son dadas como in­s­tru­c­cio­nes para alcanzar el estándar, sino, más bien, como re­co­me­n­da­cio­nes para im­ple­me­n­tar­lo de forma eficaz. Las bases de estas re­co­me­n­da­cio­nes están re­la­cio­na­das con los pri­n­ci­pios de co­n­fi­de­n­cia­li­dad, di­s­po­ni­bi­li­dad e in­te­gri­dad. 

Para si­m­pli­fi­car los procesos y la im­ple­me­n­ta­ción, ISO 27001 recoge también pri­n­ci­pios de otros es­tá­n­da­res. Uno de los motivos de ello es que los pa­ra­le­li­s­mos con otras normas (con las que quizá ya se está fa­mi­lia­ri­za­do) facilitan a las or­ga­ni­za­cio­nes o empresas su im­ple­me­n­ta­ción y las animan a in­tro­du­cir también los es­tá­n­da­res ISO 27001.

La apli­ca­ción de la norma ISO/IEC 27001 requiere pasos es­pe­cí­fi­cos que no se pueden realizar de forma análoga en todas las empresas u or­ga­ni­za­cio­nes. Cada entidad se enfrenta a desafíos es­pe­cí­fi­cos y los SGSI deben adaptarse a cada caso. Por ello, a co­n­ti­nua­ción, indicamos los pasos que pueden im­ple­me­n­tar­se en la mayoría de las empresas, in­de­pe­n­die­n­te­me­n­te de su sector. 

El primer paso para dotar a la empresa de una ce­r­ti­fi­ca­ción es ga­ra­n­ti­zar el apoyo y el co­m­pro­mi­so de la alta dirección, que deberá priorizar la apli­ca­ción eficaz del SGSI y definir cla­ra­me­n­te los objetivos de la política de seguridad de la in­fo­r­ma­ción de cara a todos los tra­ba­ja­do­res.

Tras este primer paso, deben es­ta­ble­ce­r­se elementos es­pe­cí­fi­cos de la política de seguridad de la in­fo­r­ma­ción. Para ello, la empresa ide­n­ti­fi­ca los objetivos e indica el rumbo es­tra­té­gi­co que tomarán las bases de la seguridad de la in­fo­r­ma­ción. Se trata de las co­n­di­cio­nes generales para el de­sa­rro­llo futuro.

Una vez se haya definido la política de seguridad de la in­fo­r­ma­ción, la empresa definirá los ámbitos de apli­ca­ción del SGSI. A este respecto es im­po­r­ta­n­te la es­pe­ci­fi­ca­ción de todos los aspectos de la seguridad de la in­fo­r­ma­ción que sean efe­c­ti­va­me­n­te ac­ce­si­bles dentro del marco del SGSI. También se diseña un análisis de riesgos en lo que a medidas de seguridad se refiere. Dicho análisis mostrará qué posibles peligros deben tenerse en cuenta, tomando como re­fe­re­n­cia es­pe­cia­l­me­n­te los puntos débiles del sistema actual.

Para minimizar los riesgos exi­s­te­n­tes, la empresa u or­ga­ni­za­ción definirá medidas concretas. El resultado del análisis es un catálogo de medidas que deberá revisarse de forma continua y, de ser necesario, mo­di­fi­car­se. Una vez se haya realizado la im­ple­me­n­ta­ción co­rre­c­ta­me­n­te, la empresa llevará a cabo una pre­au­di­to­ría antes de la auditoría de­fi­ni­ti­va para la ce­r­ti­fi­ca­ción. Esta pre­au­di­to­ría tendrá como fin revelar problemas y puntos débiles que podrían pe­r­ju­di­car el resultado de la auditoría de­fi­ni­ti­va. Se de­s­ca­r­ta­rán los elementos que no se ajusten a la norma ISO 27001.

El último paso para aplicar con éxito el estándar ISO 27001 es realizar la auditoría de ce­r­ti­fi­ca­ción. Un organismo de ce­r­ti­fi­ca­ción in­de­pe­n­die­n­te valorará el SGSI im­ple­me­n­ta­do. Si el plan se adhiere a las es­pe­ci­fi­ca­cio­nes de ISO 27001, la auditoría será positiva y la empresa recibirá su ce­r­ti­fi­ca­ción por parte del organismo ce­r­ti­fi­ca­dor. Es im­po­r­ta­n­te, sin embargo, que se sigan rea­li­za­n­do las llamadas au­di­to­rías de se­gui­mie­n­to a in­te­r­va­los regulares. Estas au­di­to­rías deberán ga­ra­n­ti­zar que se comprueba re­gu­la­r­me­n­te que se sigan cu­m­plie­n­do las es­ti­pu­la­cio­nes de la norma. Las au­di­to­rías de se­gui­mie­n­to se realizan cada tres años. El organismo in­de­pe­n­die­n­te, por lo tanto, solo expedirá el ce­r­ti­fi­ca­do, en caso de auditoría de se­gui­mie­n­to positiva, con una validez de tres años.

Cuánto cueste lograr la ce­r­ti­fi­ca­ción dependerá siempre de la situación inicial de cada empresa. Algunos factores de costes como cursos de formación o textos es­pe­cia­li­za­dos, ase­so­ra­mie­n­to externo y ad­qui­si­ción de te­c­no­lo­gía son un elemento clave. Además, no hay que olvidar que el tiempo de fa­mi­lia­ri­za­ción de los tra­ba­ja­do­res también cuesta dinero. Por último, hay que incluir, na­tu­ra­l­me­n­te, el precio de la ce­r­ti­fi­ca­ción en sí. 

Los costes de ce­r­ti­fi­ca­ción son variables y dependen del tamaño de la empresa, así como de los días que dure la última auditoría. En pequeñas y medianas empresas, suele tratarse de unos diez días laborales, mientras que empresas grandes o mu­l­ti­na­cio­na­les necesitan más tiempo y requieren, por lo tanto, un mayor pre­su­pue­s­to.