Qué es ISO 27001 y cómo obtenerla en tu organización

¿Qué encontrarás en este artículo?

• Qué es ISO 27001
• Objetivos de la norma ISO 27001
• Estructura de la norma ISO 27001
  • Introductorias: las cláusulas 1 a 3
  • Obligatorias: las cláusulas 4 a 10
  • Controles de seguridad: el Anexo A
• Para qué tipo de empresas es la certificación ISO 27001
• Beneficios de la certificación ISO 27001
• Cómo obtener la certificación ISO 27001
  • 1. Previo al proyecto
  • 2. Definición e implementación del SGSI
  • 3. Ejecución de la auditoría
  • 4. Publicación del certificado
  • Vigencia y recertificación
• Obtén la certificación ISO 27001 en tu organización

Este artículo, publicado originalmente el 05/08/2022, ha sido actualizado el 22/03/2024 para brindarte un contenido mejorado y al día.

Qué es ISO 27001

La ISO/IEC 27001:2022 es la norma enfocada en la Seguridad de la Información en las organizaciones. Contiene las mejores prácticas y controles para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo los requisitos para hacer adecuadamente la evaluación y tratamiento de los riesgos de seguridad de la información en cualquier tipo, sector o tamaño de organización.

Cabe aclarar que la norma ISO 27001 no es solo una norma de ciberseguridad, sino que busca la evaluación de los riesgos y la protección de todo tipo de información que la empresa posea, tanto en sistemas informáticos digitales como en papel, por lo que la norma también contempla controles de seguridad, procedimientos y procesos para mantener la información física debidamente resguardada.

Objetivos de la norma ISO 27001

La norma ISO 27001 busca cumplir con los tres principios básicos para la administración de la seguridad de la información:

1. Confidencialidad: protección de los datos que evita su acceso o divulgación no autorizados y su robo.
2. Integridad: asegurar la que los datos no sean modificados, corrompidos o manipulados indebidamente, ya sea accidentalmente o sin autorización.
3. Disponibilidad: proteger los datos para que estén disponibles para las personas adecuadas en el momento que la requieren y desde donde la requieran.

Estos principios se integran uno con otro para garantizar una seguridad integral y funcional.

Derivado de estos principios, la norma ISO 27001 tiene cinco objetivos prácticos:

1. Evitar la pérdida de información.
2. Evitar los accesos no autorizados.
3. Utilizar la tecnología con criterios de seguridad y de trazabilidad.
4. Contar con procesos y procedimientos de evaluación continua de riesgos y vulnerabilidades de seguridad.
5. Contar con procesos, procedimientos y un grupo de trabajo para la realización de auditorías periódicas.

Estructura de la norma ISO 27001

La norma ISO 27001 consta de tres partes principales:

1. Introductorias: Cláusulas 1 a 3.
2. Obligatorias: Cláusulas 4 a 10.
3. Controles de Seguridad: Anexo A.

Introductorias: las cláusulas 1 a 3

Estas primeras secciones son introductorias.

• Cláusula 1: trata sobre el alcance de la norma.
• Cláusula 2: contiene detalles sobre las normas de referencia o publicaciones relevantes en relación con la norma.
• Cláusula 3: explica términos y definiciones aplicables y relacionados con la norma.

Obligatorias: las cláusulas 4 a 10

Estas 7 cláusulas definen los requisitos relacionados con:

• Cláusula 4: el contexto de la organización, sus necesidades de seguridad (riesgos y vulnerabilidades) y las expectativas de las partes interesadas, así como el alcance y resultados esperados del SGSI.
• Cláusula 5: el papel del liderazgo en la seguridad de la información, la política de seguridad de la información y los roles, responsabilidades y autoridades de la seguridad de la información.
• Cláusula 6: la planificación de las acciones para tratar los riesgos y oportunidades, los objetivos del SGSI y cómo se van a lograr.
• Cláusula 7: el soporte para cumplir los objetivos, como son los recursos, comunicación, documentación y la toma de conciencia del personal.
• Cláusula 8: la operación del SGSI, el control de todos los procesos de seguridad tanto internos como de servicios contratados.
• Cláusula 9: la medición, análisis y evaluación del desempeño del SGSI, las auditorías internas y la revisión del SGSI por parte de la dirección.
• Cláusula 10: la mejora, corrección e innovación en el SGSI para mantenerlo apto, conforme con la norma y asegurando que se hagan las correcciones necesarias oportunamente.

En todas las normas ISO de gestión se exigen análisis del contexto de la organización y de liderazgo, por citar dos ejemplos. Estos conceptos son comunes a cualquier norma y por lo tanto pueden ser tomados en cuenta durante la implementación si la empresa ya tiene una certificación ISO previa.

Controles de seguridad: el Anexo A

Los controles del Anexo A son las prácticas concretas para lograr un eficaz SGSI. Enumera los controles técnicos, administrativos, organizacionales y físicos que la empresa debe analizar y evaluar si le aplican de acuerdo con las características de su operación y tipo de actividad empresarial y establecer así una Declaración de Aplicabilidad (SOA).

Estos 93 controles de seguridad se clasifican en las siguientes secciones: 

• controles organizacionales (37 controles);
• personas (8 controles);
• controles tecnológicos (34 controles);
• controles físicos (14 controles);

Esta estructura es acorde a la versión más reciente de la norma. Para conocer más sobre los Controles de la ISO 27001 visita este artículo: Controles ISO 27001: cuáles son y qué debes saber para implementarlos.

Para qué tipo de empresas es la certificación ISO 27001

La norma ISO 27001 es una de las más certificadas hasta el 2022, según la ISO Survey . Principalmente se utiliza en el sector de las Tecnologías de la Información con unos 11,916 certificados.

Sin embargo, no solo las empresas de TI se benefician de esta certificación. Sectores como las Fintech, la banca, la logística, las comunicaciones y salud, que manejan información sensible, también encuentran en la ISO 27001 una forma de garantizar la seguridad de sus operaciones y proteger la confidencialidad de sus clientes.

Independientemente del sector de tu organización, implementar la ISO 27001 es el camino más efectivo para proteger la información necesaria para operar, reduciendo su vulnerabilidad y fortaleciendo su resiliencia.

A menudo se piensa que obtener esta certificación implica una compleja tecnología de seguridad, lo que la haría inaccesible para muchas empresas. Sin embargo, la complejidad de la ISO 27001 varía según el tipo de empresa, su cultura organizacional y los riesgos específicos de su información.

Por ejemplo, una empresa con una amplia presencia geográfica y una diversidad de información gestionada en varios lugares es diferente de una empresa de consultoría local.

Aunque tu empresa pueda ser compleja, recuerda que la norma está diseñada para adaptarse a cualquier tipo y tamaño de organización, ofreciéndote la libertad para cumplir con sus requisitos de la manera que mejor se adapte a tus necesidades.

Beneficios de la certificación ISO 27001

Son muchos los beneficios que obtienes al implementar la ISO 27001 y certificar tu organización, tanto en el ámbito de control y seguridad como en lo operativo y comercial:

Beneficios de control y seguridad

• Disminución de los incidentes de seguridad en un 97%.
• Disminución de un 98% de la probabilidad de ataques exitosos.
• Certeza de contar con un sistema que mantiene confidencial, disponible e íntegra la información sensible de la empresa.
• Evitar consecuencias legales, financieras, comerciales y administrativas de una falla en la gestión de la seguridad de la información.

Beneficios operativos

• Efectividad de costos en la implementación de sistemas informáticos seguros.
• Reducción al mínimo de las consecuencias de un incidente de seguridad.
• Desarrollo de una cultura interna de seguridad que fomenta la proactividad ante las amenazas.
• Establecimiento de prácticas administrativas más robustas y seguras.

Beneficios comerciales

• Abre las puertas a nuevas oportunidades al cumplir con este requisito de negocio.
• Brindar a los clientes garantía de confidencialidad de la información, lo que lleva a una mayor satisfacción del cliente.
• Sumar valor a la marca y una mejor reputación como empresa.
• Cumplimiento de requisitos legales (en ciertos sectores).

Cómo obtener la certificación ISO 27001

Las fases pueden variar según la forma en la que se aborde el proyecto de certificación, pero en Innevo lo estructuramos de la siguiente manera para garantizar una implementación efectiva con la inversión de tiempo óptima:

1. Previo al proyecto

Con o sin apoyo de una consultoría, es importante contar con un plan de trabajo estructurado para llevar a cabo el proyecto de implementación en la norma ISO 27001 y lograr la certificación.

Como ya mencionamos, el papel del liderazgo es clave para el éxito del SGSI. En esta etapa la alta dirección debe comenzar su participación como principal impulsor del proyecto, siendo responsable de comunicar la importancia del SGSI, de aumentar la toma de conciencia y participación del personal.

En esta etapa también deberá seleccionarse al personal que formará el equipo interno de implementación, buscar al proveedor de consultoría (sí así se decide) y al organismo de certificación que realizará la auditoría, así como adquirir la copia de la Norma Internacional ISO/IEC 27001.

2. Definición e implementación del SGSI

La implementación de la ISO 27001 requerirá la participación de la alta dirección y del personal gerencial y operativo que conforma el equipo de implementación, incluyendo un líder de proyecto que coordine la agenda de todo el grupo y de la consultoría.

También deberán especificarse ciertos roles y responsabilidades clave para el SGSI.

Durante esta etapa se diseñarán y documentarán los procesos, procedimientos, políticas y controles de seguridad de la información.

Estos controles no se quedarán en papel, sino que se comunicarán al personal que los aplicará y se implementarán en las operaciones para evaluar su efectividad y realizar las adecuaciones necesarias.

Estas acciones, además de servir para la optimización del SGSI, generan evidencia de cumplimiento que es un requisito para la auditoría de certificación.

3. Ejecución de la auditoría

Una vez que se ha completado la implementación y se tiene el volumen de evidencia suficiente, se solicita al organismo certificador la programación de la auditoría oficial de certificación para que un auditor verifique que los requisitos de la norma y los controles del Anexo A aplicables a la empresa se cumplen por todo el personal.

4. Publicación del certificado

El organismo certificador informa a tu empresa la aprobación de la auditoría y envía el certificado correspondiente en la norma ISO 27001.

Vigencia y recertificación

• La validez de la certificación ISO 27001 es de 3 años.
• Toma en cuenta que también deben realizarse auditorías de vigilancia cada 12 meses para mantener vigente la certificación.
• En caso de que tu empresa esté certificada en la ISO 27001:2013 (versión anterior) la transición a la nueva revisión deberá realizarse antes del 31 de octubre de 2025.

Obtén la certificación ISO 27001 en tu organización

Ahora ya conoces las generalidades de cómo puede tu empresa obtener la certificación ISO 27001. Es un proyecto de gran valor no solo como requisito para ampliar la cartera de clientes y lograr acceder a licitaciones y contratos (lo que seguramente será cada vez más frecuente), sino también como un elemento estratégico clave para la resiliencia y protección y permanencia del negocio.

Si estás buscando un proveedor de consultoría que te apoye en este proyecto de certificación, en Innevo, te ofrecemos un programa de acompañamiento personalizado, ágil y sencillo que guiará a tu organización paso a paso en el diseño e implementación de su SGSI y que te garantizará la aprobación de la auditoría de certificación.