Conoce la Certificación ISO 27001

Qué es esta norma, sus objetivos, estructura y cómo obtener la certificación ISO 27001 para tu organización.


Esta publicación fue publicada originalmente el 05/08/2022 y ha sido actualizada el día 10/07/2023 para brindarte un contenido mejorado y al día.

La Certificación ISO 27001 es una de las más valoradas en el mercado actual por los grandes beneficios que trae para los negocios, tanto hacia dentro de la organización como hacia los clientes.

Por un lado, la ISO 27001 te brinda el conocimiento y controles necesarios para proteger la información que tu empresa utiliza para operar y dar sus servicios, y por el otro, al poder obtener una certificación oficial, es también una garantía de la seguridad y el compromiso de tu empresa con los datos de tus clientes y asociados.

Además, debido al incremento de ciberataques, la expansión del IoT y la dependencia cada vez mayor de la información y el trabajo a distancia para las operaciones, la norma ISO 27001 se ha convertido en una de las más implementadas, buscando blindar los sistemas, equipos y redes contra los riesgos de seguridad y prevenir la pérdida de información en caso de un ataque exitoso o algún otro incidente grave.

Con esto en mente, no es extraño que la Certificación ISO 27001 sea la más exigida por clientes B2B en el mundo, especialmente en el sector de la tecnología y el desarrollo, lo que significa que aquella empresa que cuenta con esta certificación aumenta sus oportunidades de negocio.

Sigue leyendo para conocer más sobre la norma y certificación ISO 27001.

 

La norma ISO 27001 y su estructura

La norma ISO 27001 contiene los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI), así como los requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización.

Los requisitos están diseñados para aplicarse a todo tipo de organizaciones, independientemente de su tamaño, sector o naturaleza.

Estructura

La norma ISO 27001 consta de tres partes principales:

  1. Cláusula 1: define el alcance de la norma.
  2. Cláusulas 4 a 10: definen los requisitos relacionados con el contexto, el liderazgo, la planificación, el soporte, la operación, la evaluación y la mejora.
  3. El Anexo A: enumera todos los controles técnicos, administrativos, organizacionales y físicos que deben implementarse en toda la organización.

El Anexo A es elemental ya que es la sección que indica los controles de seguridad que la empresa debe analizar y evaluar si le aplican de acuerdo con las características de su operación y tipo de actividad empresarial.

Cabe decir que la norma ISO 27001 no es solo una norma de ciberseguridad, sino que busca la evaluación de los riesgos y la protección de todo tipo de información que la empresa posea, tanto en sistemas informáticos digitales como en papel, por lo que la norma también contempla controles de seguridad, procedimientos y procesos para mantener la información física debidamente resguardada.

En el Anexo A hay un total de 93 controles de seguridad. Cada organización debe elegir aquellos que debe implementar según sus necesidades y características operativas, no solo en el área de tecnología, sino también dentro de otros departamentos como el de recursos humanos, finanzas, compras, dirección general y demás.

Estos 93 controles de seguridad se clasifican en las siguientes secciones: 

  1. Controles organizacionales (37 controles)
  2. Personas (8 controles)
  3. Controles tecnológicos (34 controles)
  4. Controles físicos (14 controles)

Esta estructura es acorde a la actualización más reciente de la norma. Conoce más sobre la última versión de la norma ISO 27001 y los períodos de transición.

Los 4 grupos de controles que propone la ISO 27001 en su Anexo A para gestionar los riesgos de seguridad de la información.

Objetivos de la norma ISO 27001

La norma tiene cinco objetivos fundamentales:

  1. Evitar la pérdida de información.
  2. Evitar los accesos no autorizados.
  3. Utilizar la tecnología con criterios de seguridad y de trazabilidad.
  4. Creación de procesos y procedimientos de evaluación continua de vulnerabilidades de seguridad.
  5. Creación de procesos, procedimientos y de un grupo de trabajo para la realización de auditorías.
Ciclo del Proceso de la Evaluación de Riesgos de Seguridad de la Información

 

Podríamos decir que de forma general la norma te permite evitar la pérdida de la información y tener trazabilidad de esta:

  • Saber en dónde está la información y en qué tipo de medios físicos o digitales se encuentra.
  • Quién puede consultarla, utilizarla, imprimirla, trasladarla, destruirla.
  • Quién la ha utilizado y quién la ha consultado.
  • Todo el trayecto que la información tiene cuando es utilizada.

A la vez, en la norma puedes identificar los tres principios básicos para la administración de la seguridad de la información:

  1. Confidencialidad
  2. Integridad
  3. Disponibilidad

BLOG - 59 - Administración de la Seguridad de la Información_ObjetivosCIA

Por qué certificar tu empresa en ISO 27001

Como mencionamos al principio, la norma ISO 27001 es una de las más implementadas y también más exigidas actualmente en los negocios B2B por la importancia que tienen los datos y la seguridad de estos para las empresas y también para sus clientes.

La Independent International Organization for Certification, publicó en su informe más reciente que las normas ISO han venido mostrando una tasa de crecimiento del 3% anual, pero la ISO 27001 lo está haciendo a una tasa del 7% anual, esto debido a la importancia que las empresas están dando tanto a la protección de su propia información como a la que comparten con sus asociados de negocios, por lo tanto cada vez más las empresas se están exigiendo entre sí el cumplimiento y certificación en este estándar ya sea porque ellas lo exigen a sus proveedores o porque a ellas se lo exigen sus clientes.

Sin embargo, los B2B no son los únicos que requieren esta certificación, también diversos tipos de negocios como las Fintech, la banca y el sector salud entre otros que manejan información sensible y confidencial de sus clientes, ven en la ISO 27001 un medio para confirmar la seguridad de sus operaciones y expedientes y garantizar a usuarios y autoridades este compromiso con la seguridad.

Cuando obtienes la certificación en ISO 27001:

  • Cumples este requisito de negocio cada vez más solicitado.
  • Si te aplica, cumples con los requisitos legales de tu sector.
  • Sumas valor a tu marca con un aval que garantiza a tus clientes la seguridad de tus servicios.
  • Disminuyes los incidentes de seguridad en un 97%.
  • Evitas la pérdida de información en incidentes de seguridad.
  • Disminuyes la probabilidad de ataques cibernéticos exitosos en un 98%

Young couple sitting in an office talking to a woman broker or investment adviser

Cómo obtener la Certificación ISO 27001

Tiempos promedio

Para obtener la certificación ISO 27001 requieres implementar la norma con un proyecto para la creación y puesta en marcha de un Sistema de Gestión de Seguridad de la Información.

Esta implementación puede consumir en promedio 10 meses de trabajo para una empresa que nunca ha realizado un proyecto de certificación anteriormente.

Aspectos como las características operativas, la cultura organizacional, el estilo gerencial y la disponibilidad de tiempo de los equipos son los principales factores que influyen en el tiempo de implementación.

Fases de la implementación y certificación

Las fases pueden variar según la forma en la que se aborde el proyecto de certificación, pero en Innevo lo estructuramos de la siguiente manera para garantizar una implementación efectiva con la inversión de tiempo óptima:

  1. Iniciación: definimos un plan de trabajo especificando las fechas para las actividades, los responsables y entregables necesarios acorde a nuestros planes probados de consultoría, adaptándolos a las necesidades y contexto de la empresa conforme sea necesario.

  2. Definición e Implementación:mediante sesiones de trabajo tu equipo y el consultor de Innevo analizan las prácticas de la ISO 27001 para definir los diversos controles, políticas y procedimientos de seguridad de la información. Las prácticas se implementan en las operaciones y se evalúa su efectividad para realizar las adecuaciones necesarias. A la vez, se genera la evidencia de cumplimiento que es requisito para la auditoría de certificación.

  3. Auditoría: se solicita al organismo certificador la programación de la auditoría oficial de certificación para que un auditor verifique que los requisitos de la norma y los controles del Anexo A aplicables a la empresa se cumplen por todo el personal.

  4. Publicación del certificado:el organismo certificador informa a tu empresa la aprobación de la auditoría y comunica y envía el certificado correspondiente en la norma ISO 27001.

Un buen punto de partida para comenzar con la Seguridad de la Información y preparar la organización para una implementación formal de la ISO 27001 es desarrollar una Política de Seguridad de la Información.

Nueva llamada a la acción

Vigencia y recertificación

  • La validez de la certificación ISO 27001 es de 3 años.
  • Toma en cuenta que también deben realizarse auditorías de vigilancia cada 12 meses para mantener vigente la certificación.
  • En caso de que tu empresa esté certificada en la ISO 27001:2013 (versión anterior) la transición a la nueva revisión deberá realizarse antes del 31 de octubre de 2025.

Certificación ISO 27001 para las empresas

Suele creerse que para obtener la certificación ISO 27001 se requiere la adquisición y uso de alta tecnología de seguridad y que implica una gran complejidad y que, por lo tanto, para muchas empresas son temas inabordables.

Lo cierto es que la complejidad de la certificación ISO 27001 depende del tipo de empresa que tengas y de su cultura organizacional. No es lo mismo implementar la norma en una empresa que está extendida geográficamente, con gran cantidad de empleados y que administra información diversa en varios medios y ubicaciones, que en una empresa de consultoría contable o legal que opera localmente.

Pero aun cuando tu empresa sea compleja ten en cuenta que la norma está diseñada para adaptarse a cualquier tipo y tamaño de organización y que establece claramente los procesos y procedimientos que debes implementar, dándote libertad en el cómo cumplirlo para que cada control sea acorde a las características y posibilidades de tu negocio.

Aquí te comento que cualquier organización puede certificarse en esta norma por sus propios medios, pero es muy recomendable apoyarte en un servicio de consultoría especializado en la implementación de la norma para que sea con el menor esfuerzo, costo y tiempo posible y para asegurar la certificación oficial.

El costo de certificación en general es equivalente al salario promedio por persona que pagas durante 5 meses. Son significativamente más costosas las consecuencias legales, financieras, comerciales y administrativas de una falla en la gestión de la seguridad de la información.

Contar con esta certificación les dará a tus clientes la garantía de confidencialidad de la información que te han compartido y a tu tendrás la certeza de que contar con un sistema para mantener disponible e íntegra la información sensible de tu empresa, a la vez que evalúas continuamente posibles vulnerabilidades para prevenir futuros incidentes.

Obtén la Certificación ISO 27001 en tu organización

Ahora ya conoces las generalidades de la Certificación ISO 27001.

Si deseas contar con el apoyo de especialistas para implementar esta norma en tu organización y asegurar esta certificación, te invitamos a contactarnos y conocer nuestros servicios de consultoría.

¿Qué te pareció esta publicación?

Publicaciones similares