Norma ISO 27001

Para poder trabajar de forma eficaz y segura en la era de la digitalización, las organizaciones deben cumplir estrictas normativas referentes a la seguridad de la información. La Organización Internacional de Normalización (ISO, por sus siglas en inglés) también ha desarrollado un estándar para la seguridad de la información en empresas. Si las empresas se adhieren a él, pueden demostrarlo con un certificado desarrollado por reconocidos expertos internacionales en seguridad de datos. Esta certificación describe la metodología implementada por la empresa para garantizar un alto nivel de seguridad de la información.

Con la norma internacional ISO 27001, una empresa u organización puede establecer estándares para la seguridad de la información. Se trata de una norma estructurada de manera que ni el tamaño ni el sector de la empresa son relevantes a la hora de ponerla en práctica. Una vez se cumplan las prescripciones, puede pedirse, además, una certificación ISO 27001. Con ella se da a conocer, tanto de cara a los clientes como a los socios comerciales, que se trata de una organización fiable y que se toma en serio la seguridad de la información.

Cuatro ámbitos empresariales diferentes se benefician de esta norma: por un lado, la certificación ISO 27001 es una base para aplicar requerimientos legales. Además, aporta una ventaja competitiva, ya que no todas las empresas disponen de ella. Las que sí han obtenido dicho certificado pueden demostrar a sus clientes que gestionan informaciones delicadas de forma segura. Puesto que, con el cumplimiento de la norma, se reduce el riesgo de fallos en la seguridad de la información, ISO 27001 también permite reducir costes al evitar las caras reparaciones de tales incidentes.

Una certificación ISO 27001, además, optimiza los procesos en la empresa. Los tiempos de inactividad de los trabajadores se minimizan gracias a la documentación de los principales procesos empresariales.

Otras ventajas son:

• La reducción de los riesgos empresariales
• La reducción de los riesgos de responsabilidad
• Primas de seguros más bajas
• Un reconocimiento fiable de problemas y amenazas

La norma ISO 27001 se divide en varias partes y sus principios básicos se establecieron en 2005 con la llamada norma ISO/IEC 27001 (por la participación de la Comisión Electrotécnica Internacional). En 2015 se ampliaron sus bases y se le añadió un catálogo que formaría la segunda parte de la norma. Dicho catálogo suele presentarse como anexo y muestra los detalles de las actualizaciones. Se podría hablar de tres grandes apartados en los que la norma se divide: tras los capítulos introductorios viene el cuerpo de la norma y, por último, el anexo mencionado.

Para la certificación ISO 27001 es determinante la parte normativa del cuerpo textual, que define detalladamente los objetivos de las medidas comprendidas. Dichas medidas en sí, sin embargo, no son dadas como instrucciones para alcanzar el estándar, sino, más bien, como recomendaciones para implementarlo de forma eficaz. Las bases de estas recomendaciones están relacionadas con los principios de confidencialidad, disponibilidad e integridad. 

Para simplificar los procesos y la implementación, ISO 27001 recoge también principios de otros estándares. Uno de los motivos de ello es que los paralelismos con otras normas (con las que quizá ya se está familiarizado) facilitan a las organizaciones o empresas su implementación y las animan a introducir también los estándares ISO 27001.

Los requisitos de ISO 27001 cambiaron sustancialmente en 2013 respecto a la versión de 2005. La estructura básica de la norma no solo fue modificada, sino también considerablemente racionalizada.

La nueva versión, con sus directrices para implementar un sistema de gestión de la seguridad de la información (SGSI o Information Security Management System, ISMS), tiene un enfoque orientado a los procesos. Mientras que la versión inicial aún hacía referencia explícitamente al círculo de Deming, ahora ya no se trata de una medida obligatoria. Los requisitos son válidos para empresas u organizaciones de cualquier tamaño y de cualquier tipo.

La norma ISO 27001 exige a las empresas la identificación y consideración de todas las cuestiones, tanto externas como internas, que alteren la capacidad empresarial de implantar un SGSI de forma eficaz. Entre estas cuestiones suelen encontrarse especialmente la cultura empresarial, las condiciones ambientales, la regulación vigente, las obligaciones jurídicas y contractuales y las directrices oficiales de la política de gerencia. La dirección de la empresa deberá encargarse, según ISO 27001, de establecer una política de seguridad de la información y de asignar responsables a la hora de llevar a cabo las especificaciones del estándar. La empresa, además, debe comprometerse a promover en toda la organización una actitud consciente respecto a la seguridad de la información.

La planificación también desempeña un papel importante en la certificación ISO 27001: las indicaciones del estándar incluyen, por ejemplo, la evaluación de riesgos específicos en materia de seguridad de la información y el diseño de un plan para gestionarlos. La responsabilidad de determinar los riesgos y de prevenirlos recae enteramente sobre la empresa u organización. La norma prescribe, además, que la empresa debe invertir recursos en garantizar el mantenimiento, la operación y la mejora continua del SGSI. Los datos del SGSI deben ser documentados minuciosamente. A intervalos regulares, las empresas deben realizar evaluaciones de rendimiento y, además, comprobar, medir y analizar la eficacia de su SGSI.

La página web de la Escuela Europea de Excelencia resume los aspectos más importantes del Anexo A y los controles de seguridad en ISO 27001. Una vez el SGSI ha sido implementado, hay que clasificar los valores empresariales. Esta clasificación se realiza, de nuevo, aplicando los principios básicos de confidencialidad, integridad y disponibilidad; y se divide en tres niveles.

El primer nivel incluye, por ejemplo, documentos oficiales que, en caso de ser falsificados, causarían pérdidas poco relevantes, de hasta 500 euros. Se trata de documentos que apenas perjudicarían a la empresa incluso si se incumpliera el estándar ISO continuadamente durante más de una semana.

El segundo nivel se refiere a documentos internos como, por ejemplo, facturas y nóminas. Si se infringen las estipulaciones ISO de seguridad de la información en relación con estos documentos, las pérdidas resultantes para la empresa serían moderadas, de hasta 5000 euros. Tales incidentes no deberían durar más de 24 horas.

Por último, el tercer nivel contiene datos internos de alta sensibilidad, por cuya falsificación la empresa pagaría más de 5000 euros. Este tipo de fallos no deberían durar más de tres horas.

La aplicación de la norma ISO/IEC 27001 requiere pasos específicos que no se pueden realizar de forma análoga en todas las empresas u organizaciones. Cada entidad se enfrenta a desafíos específicos y los SGSI deben adaptarse a cada caso. Por ello, a continuación, indicamos los pasos que pueden implementarse en la mayoría de las empresas, independientemente de su sector. 

El primer paso para dotar a la empresa de una certificación es garantizar el apoyo y el compromiso de la alta dirección, que deberá priorizar la aplicación eficaz del SGSI y definir claramente los objetivos de la política de seguridad de la información de cara a todos los trabajadores.

Tras este primer paso, deben establecerse elementos específicos de la política de seguridad de la información. Para ello, la empresa identifica los objetivos e indica el rumbo estratégico que tomarán las bases de la seguridad de la información. Se trata de las condiciones generales para el desarrollo futuro.

Una vez se haya definido la política de seguridad de la información, la empresa definirá los ámbitos de aplicación del SGSI. A este respecto es importante la especificación de todos los aspectos de la seguridad de la información que sean efectivamente accesibles dentro del marco del SGSI. También se diseña un análisis de riesgos en lo que a medidas de seguridad se refiere. Dicho análisis mostrará qué posibles peligros deben tenerse en cuenta, tomando como referencia especialmente los puntos débiles del sistema actual.

Para minimizar los riesgos existentes, la empresa u organización definirá medidas concretas. El resultado del análisis es un catálogo de medidas que deberá revisarse de forma continua y, de ser necesario, modificarse. Una vez se haya realizado la implementación correctamente, la empresa llevará a cabo una preauditoría antes de la auditoría definitiva para la certificación. Esta preauditoría tendrá como fin revelar problemas y puntos débiles que podrían perjudicar el resultado de la auditoría definitiva. Se descartarán los elementos que no se ajusten a la norma ISO 27001.

El último paso para aplicar con éxito el estándar ISO 27001 es realizar la auditoría de certificación. Un organismo de certificación independiente valorará el SGSI implementado. Si el plan se adhiere a las especificaciones de ISO 27001, la auditoría será positiva y la empresa recibirá su certificación por parte del organismo certificador. Es importante, sin embargo, que se sigan realizando las llamadas auditorías de seguimiento a intervalos regulares. Estas auditorías deberán garantizar que se comprueba regularmente que se sigan cumpliendo las estipulaciones de la norma. Las auditorías de seguimiento se realizan cada tres años. El organismo independiente, por lo tanto, solo expedirá el certificado, en caso de auditoría de seguimiento positiva, con una validez de tres años.

Cuánto cueste lograr la certificación dependerá siempre de la situación inicial de cada empresa. Algunos factores de costes como cursos de formación o textos especializados, asesoramiento externo y adquisición de tecnología son un elemento clave. Además, no hay que olvidar que el tiempo de familiarización de los trabajadores también cuesta dinero. Por último, hay que incluir, naturalmente, el precio de la certificación en sí. 

Los costes de certificación son variables y dependen del tamaño de la empresa, así como de los días que dure la última auditoría. En pequeñas y medianas empresas, suele tratarse de unos diez días laborales, mientras que empresas grandes o multinacionales necesitan más tiempo y requieren, por lo tanto, un mayor presupuesto.