ISO/IEC 27001

Norma de seguridad de la información

La ISO/IEC 27001 es una norma internacional para gestionar la seguridad de la información . La norma fue publicada originalmente de forma conjunta por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en 2005, ^[1] revisada en 2013, ^[2] y, más recientemente, en 2022. ^[3] También existen numerosas variantes nacionales reconocidas de la norma. Detalla los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI), cuyo objetivo es ayudar a las organizaciones a hacer más seguros los activos de información que poseen. ^[4] Las organizaciones que cumplen los requisitos de la norma pueden optar por ser certificadas por un organismo de certificación acreditado tras completar con éxito una auditoría . En 2020 se realizó un análisis FODA del proceso de certificación ISO/IEC 27001. ^[5]

Cómo funciona el estándar

La mayoría de las organizaciones cuentan con una serie de controles de seguridad de la información . Sin embargo, sin un sistema de gestión de seguridad de la información (SGSI), los controles tienden a estar algo desorganizados y desarticulados, y se han implementado a menudo como soluciones puntuales a situaciones específicas o simplemente como una cuestión de convención. Los controles de seguridad en funcionamiento suelen abordar determinados aspectos de la tecnología de la información (TI) o la seguridad de los datos de forma específica, lo que deja a los activos de información no TI (como el papeleo y el conocimiento patentado) menos protegidos en general. Además, la planificación de la continuidad del negocio y la seguridad física pueden gestionarse de forma bastante independiente de la TI o la seguridad de la información, mientras que las prácticas de Recursos Humanos pueden hacer poca referencia a la necesidad de definir y asignar funciones y responsabilidades de seguridad de la información en toda la organización.

La norma ISO/IEC 27001 exige que la dirección:

• Examinar sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas, vulnerabilidades e impactos;
• Diseñar e implementar un conjunto coherente e integral de controles de seguridad de la información y/u otras formas de tratamiento de riesgos (como la evitación de riesgos o la transferencia de riesgos) para abordar aquellos riesgos que se consideren inaceptables; y
• Adoptar un proceso de gestión integral para garantizar que los controles de seguridad de la información continúen satisfaciendo las necesidades de seguridad de la información de la organización de manera continua.

Los controles que se probarán como parte de la certificación según la norma ISO/IEC 27001 dependen del auditor de certificación. Esto puede incluir cualquier control que la organización haya considerado que está dentro del alcance del SGSI y estas pruebas pueden tener la profundidad o extensión que evalúe el auditor según sea necesario para probar que el control se ha implementado y está funcionando de manera efectiva.

La dirección determina el alcance del SGSI a efectos de certificación y puede limitarlo, por ejemplo, a una sola unidad de negocio o ubicación. El certificado ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de alcance, tenga un enfoque adecuado para la gestión de la seguridad de la información.

Otras normas de la familia de normas ISO/IEC 27000 proporcionan orientación adicional sobre ciertos aspectos del diseño, la implementación y el funcionamiento de un SGSI, por ejemplo, sobre la gestión de riesgos de seguridad de la información ( ISO/IEC 27005 ).

Historia de la norma ISO/IEC 27001

BS 7799 fue una norma publicada originalmente por BSI Group ^[6] en 1995. Fue escrita por el Departamento de Comercio e Industria (DTI) del gobierno del Reino Unido y constaba de varias partes.

La primera parte, que contiene las mejores prácticas para la gestión de la seguridad de la información, fue revisada en 1998; después de un largo debate en los organismos de normalización de todo el mundo, finalmente fue adoptada por la ISO como ISO/IEC 17799, "Tecnología de la información - Código de prácticas para la gestión de la seguridad de la información" en 2000. La ISO/IEC 17799 fue revisada luego en junio de 2005 y finalmente incorporada a la serie de normas ISO 27000 como ISO/IEC 27002 en julio de 2007.

La segunda parte de la norma BS7799 fue publicada por primera vez por BSI en 1999, conocida como BS 7799 Parte 2, titulada "Sistemas de gestión de seguridad de la información - Especificación con orientación para su uso". La norma BS 7799-2 se centraba en cómo implementar un sistema de gestión de seguridad de la información (SGSI), haciendo referencia a la estructura y los controles de gestión de seguridad de la información identificados en la norma BS 7799-2. Posteriormente, se convirtió en la norma ISO/IEC 27001:2005. La norma BS 7799 Parte 2 fue adoptada por ISO como ISO/IEC 27001 en noviembre de 2005.

La norma BS 7799 Parte 3 se publicó en 2005 y cubre el análisis y la gestión de riesgos. Está en consonancia con la norma ISO/IEC 27001:2005.

Se hace muy poca referencia o uso de cualquiera de las normas BS en relación con ISO/IEC 27001.

Principios clave de la norma ISO/IEC 27001

La base de la norma ISO/IEC 27001 se basa en varios principios clave:

La norma ISO/IEC 27001 destaca la importancia de identificar y evaluar los riesgos de seguridad de la información. Las organizaciones deben implementar procesos de gestión de riesgos para identificar amenazas potenciales, evaluar su impacto y desarrollar estrategias de mitigación adecuadas.

La última revisión de la norma ISO/IEC 27001:2022 describe un conjunto integral de controles de seguridad en el Anexo A, categorizados en cuatro dominios. Estos controles abordan diversos aspectos de la seguridad de la información, como el control de acceso, la criptografía, la seguridad física y la gestión de incidentes.

La norma ISO/IEC 27001 promueve una cultura de mejora continua en las prácticas de seguridad de la información. El seguimiento regular, la evaluación del desempeño y las revisiones periódicas ayudan a las organizaciones a adaptarse a las amenazas en constante evolución y a mejorar la eficacia de su SGSI.

Proceso de dar un título

Un SGSI puede estar certificado como conforme con la norma ISO/IEC 27001 por varios registradores acreditados en todo el mundo. ^[7] La ​​certificación conforme a cualquiera de las variantes nacionales reconocidas de la norma ISO/IEC 27001 (por ejemplo, JIS Q 27001, la versión japonesa) por un organismo de certificación acreditado es funcionalmente equivalente a la certificación conforme a la propia norma ISO/IEC 27001.

En algunos países, los organismos que verifican la conformidad de los sistemas de gestión con normas específicas se denominan "organismos de certificación", mientras que en otros se los suele denominar "organismos de registro", "organismos de evaluación y registro", "organismos de certificación/registro" y, a veces, "registradores".

La certificación ISO/IEC 27001, al igual que otras certificaciones de sistemas de gestión ISO, generalmente implica un proceso de auditoría externa de tres etapas definido por las normas ISO/IEC 17021 ^[8] e ISO/IEC 27006 ^[9] :

• La etapa 1 es una revisión preliminar del SGSI. Incluye verificaciones de la existencia y la integridad de la documentación clave, como la política de seguridad de la información de la organización, la Declaración de aplicabilidad (SoA) y el Plan de tratamiento de riesgos (RTP). El auditor tendrá una breve reunión con algunos empleados para revisar si su conocimiento de los requisitos de la norma se encuentra en un nivel aceptable. Decidirán si la organización está lista para la auditoría de la etapa 2. También analizarán los problemas o situaciones específicas antes de la auditoría de la etapa 2 y definirán el plan de auditoría, incluidos los sujetos y quiénes son necesarios y en qué día.
• La etapa 2 es una auditoría de cumplimiento más detallada y formal , que prueba de forma independiente el SGSI en relación con los requisitos especificados en la norma ISO/IEC 27001. Los auditores buscarán evidencia para confirmar que el sistema de gestión se ha diseñado e implementado correctamente y que, de hecho, está en funcionamiento (por ejemplo, confirmando que un comité de seguridad u organismo de gestión similar se reúne regularmente para supervisar el SGSI). Las auditorías de certificación suelen ser realizadas por auditores líderes de la norma ISO/IEC 27001. Al superar esta etapa, el SGSI se certifica como conforme con la norma ISO/IEC 27001.
• El mantenimiento de la certificación implica revisiones o auditorías de seguimiento para confirmar que la organización sigue cumpliendo con la norma. El mantenimiento de la certificación requiere auditorías de reevaluación periódicas para confirmar que el SGSI sigue funcionando según lo especificado y previsto. Estas deben realizarse al menos una vez al año, pero (con el acuerdo de la dirección) suelen realizarse con mayor frecuencia, en particular mientras el SGSI todavía está madurando.

Véase también

• ISO/IEC JTC 1/SC 27 - Técnicas de seguridad de TI
• Serie ISO/IEC 27000
• ISO 9001
• Normas de ciberseguridad
• Marco de ciberseguridad del NIST
• Lista de normas ISO

Referencias

1. "Se publicó la norma internacional de seguridad de la información ISO/IEC 27001". bsigroup.com . BSI . Consultado el 21 de agosto de 2020 .
2. Bird, Katie (14 de agosto de 2013). "NUEVA VERSIÓN DE LA NORMA ISO/IEC 27001 PARA ENFRENTAR MEJOR LOS RIESGOS DE SEGURIDAD DE TI". ISO . Consultado el 21 de agosto de 2020 .
3. ISO/IEC. «ISO/IEC 27001:2022». ISO.org . Consultado el 29 de noviembre de 2022 .
4. "ISO/IEC 27001:2013". ISO . Consultado el 9 de julio de 2020 .
5. Akinyemi, Iretioluwa; Schatz, Daniel; Bashroush, Rabih (2020). "Análisis FODA del sistema de gestión de seguridad de la información ISO 27001". Revista Internacional de Operaciones de Servicios e Informática . 10 (4): 305. doi :10.1504/ijsoi.2020.111297. ISSN  1741-539X.
6. "Datos y cifras". bsigroup.com . Archivado desde el original el 20 de octubre de 2012. Consultado el 10 de enero de 2018 .
7. Ferreira, Lindemberg Naffah; da Silva Constante, Silvana María; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (octubre de 2013). "Proceso de certificación ISO 27001 de Factura Electrónica en el Estado de Minas Gerais". 2013 47ª Conferencia Internacional de Carnahan sobre Tecnología de Seguridad (ICCST) . Medellín: IEEE. págs. 1–4. doi :10.1109/CCST.2013.6922072. ISBN 978-1-4799-0889-9.ID S2C  17485185.
8. ISO/IEC 17021.
9. ISO/IEC 27006.

Enlaces externos

• ISO/IEC 27001 - Sistemas de gestión de seguridad de la información