ISO 27001. Sistema de gestión de la seguridad de la información (SGSI)
Introducción a la ISO 27001
Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO 27001, es el medio más adecuado para gestionar los riesgos en esa materia, al asegurar que se identifican y valoran los activos, sus amenazas y vulnerabilidades, considerando el impacto para la organización, y que se adoptan las medidas de seguridad más coherentes con la estrategia de negocio.
La norma ISO 27001 es la norma internacional más reconocida en materia de ciberseguridad o seguridad de información.
Cualquier organización puede implementar la norma ISO 27001, independientemente de su tamaño, sector de actividad o localización geográfica.
Objetivos de la ISO 27001
En general, un sistema de gestión de seguridad de la información ISO 27001 permite garantizar su:
- Confidencialidad. Solo las personas autorizadas puedan acceder a la información.
- Integridad. La información y sus métodos de proceso son exactos y completos.
- Disponibilidad. Las personas autorizadas tienen acceso a la información cuando lo requieren.
Beneficios de la ISO 27001
- Protección de la información confidencial: La ISO 27001 ayuda a proteger la información confidencial mediante la implementación de controles de seguridad adecuados, como la gestión de accesos, el cifrado y la monitorización de la seguridad.
- Mejora continua: La ISO 27001 promueve un enfoque de mejora continua, lo que permite a las organizaciones adaptarse a las nuevas amenazas y desafíos de seguridad de la información a lo largo del tiempo.
- Competitividad: La certificación ISO 27001 puede proporcionar a las organizaciones una ventaja competitiva al demostrar su compromiso con la seguridad de la información y su capacidad para proteger los datos de manera efectiva.
Cómo se implantaría la ISO 27001
En un proyecto de implantación de un sistema de gestión de seguridad de la información ISO 27001 se desarrollarían las siguientes actividades:
- Definición del alcance. Se definen los procesos y actividades protegidas en términos de seguridad de la información. Adicionalmente, se elabora la política en la materia.
- Análisis de los riesgos. Se identifican los activos que soportan los procesos y actividades incluidos en el alcance (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus vulnerabilidades y las amenazas a las que están expuestos.
- Gestión de los riesgos. A partir del resultado del análisis (aprobado por la Dirección) se gestionan los riesgos:
- Reduciéndolos mediante medidas de seguridad. La relación de medidas aplicables (conocida como Declaración de aplicabilidad) debe ser aprobada por la Dirección.
- Eliminándolos (p.e. Eliminando el activo).
- Aceptándolos de forma consciente y objetiva por parte de la Dirección.
- Transfiriéndolos a un tercero.
Se planifican las acciones, los recursos, los plazos, las responsabilidades, las prioridades y los indicadores adecuados para gestionar los riesgos de la seguridad de la información.
La concienciación y capacitación de las personas es un aspecto clave.
- Ejercicio, mantenimiento y revisión. El sistema de gestión de la seguridad de la información debe revisarse a intervalos planificados para garantizar su permanente adecuación a la organización:
- Se deben realizar auditorías internas independientes.
- La Dirección debe realizar una revisión del sistema de gestión de la seguridad de la información.
Compatibilidad con otros sistemas de gestión ISO
Un sistema de gestión de la seguridad de la información ISO 27001 se puede integrar con el resto de los sistemas de gestión ISO y especialmente con sistemas de gestión de la calidad (ISO 9001), gestión del servicio (ISO 20000-1) y continuidad de negocio (ISO 22301).