La ISO/IEC 27001 es una norma internacional para gestionar la seguridad de la información . La norma fue publicada originalmente de forma conjunta por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en 2005, [1] revisada en 2013, [2] y, más recientemente, en 2022. [3] También existen numerosas variantes nacionales reconocidas de la norma. Detalla los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI), cuyo objetivo es ayudar a las organizaciones a hacer más seguros los activos de información que poseen. [4] Las organizaciones que cumplen los requisitos de la norma pueden optar por ser certificadas por un organismo de certificación acreditado tras completar con éxito una auditoría . En 2020 se realizó un análisis FODA del proceso de certificación ISO/IEC 27001. [5]
La mayoría de las organizaciones cuentan con una serie de controles de seguridad de la información . Sin embargo, sin un sistema de gestión de seguridad de la información (SGSI), los controles tienden a estar algo desorganizados y desarticulados, y se han implementado a menudo como soluciones puntuales a situaciones específicas o simplemente como una cuestión de convención. Los controles de seguridad en funcionamiento suelen abordar determinados aspectos de la tecnología de la información (TI) o la seguridad de los datos de forma específica, dejando los activos de información no TI (como el papeleo y el conocimiento patentado) menos protegidos en general. Además, la planificación de la continuidad del negocio y la seguridad física pueden gestionarse de forma bastante independiente de la TI o la seguridad de la información, mientras que las prácticas de Recursos Humanos pueden hacer poca referencia a la necesidad de definir y asignar funciones y responsabilidades de seguridad de la información en toda la organización.
La norma ISO/IEC 27001 exige que la dirección:
Los controles que se probarán como parte de la certificación según la norma ISO/IEC 27001 dependen del auditor de certificación. Esto puede incluir cualquier control que la organización haya considerado que está dentro del alcance del SGSI y estas pruebas pueden tener la profundidad o extensión que evalúe el auditor según sea necesario para probar que el control se ha implementado y está funcionando de manera eficaz.
La dirección determina el alcance del SGSI a efectos de certificación y puede limitarlo, por ejemplo, a una sola unidad de negocio o ubicación. El certificado ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de alcance, tenga un enfoque adecuado para la gestión de la seguridad de la información.
Otras normas de la familia de normas ISO/IEC 27000 proporcionan orientación adicional sobre ciertos aspectos del diseño, la implementación y el funcionamiento de un SGSI, por ejemplo, sobre la gestión de riesgos de seguridad de la información ( ISO/IEC 27005 ).
BS 7799 fue una norma publicada originalmente por BSI Group [6] en 1995. Fue escrita por el Departamento de Comercio e Industria (DTI) del gobierno del Reino Unido y constaba de varias partes.
La primera parte, que contiene las mejores prácticas para la gestión de la seguridad de la información, fue revisada en 1998; después de un largo debate en los organismos de normalización de todo el mundo, finalmente fue adoptada por la ISO como ISO/IEC 17799, "Tecnología de la información - Código de prácticas para la gestión de la seguridad de la información" en 2000. La ISO/IEC 17799 fue revisada luego en junio de 2005 y finalmente incorporada a la serie de normas ISO 27000 como ISO/IEC 27002 en julio de 2007.
La segunda parte de la norma BS7799 fue publicada por primera vez por BSI en 1999, conocida como BS 7799 Parte 2, titulada "Sistemas de gestión de seguridad de la información - Especificación con orientación para su uso". La norma BS 7799-2 se centraba en cómo implementar un sistema de gestión de seguridad de la información (SGSI), haciendo referencia a la estructura y los controles de gestión de seguridad de la información identificados en la norma BS 7799-2. Posteriormente, se convirtió en la norma ISO/IEC 27001:2005. La norma BS 7799 Parte 2 fue adoptada por ISO como ISO/IEC 27001 en noviembre de 2005.
La norma BS 7799 Parte 3 se publicó en 2005 y cubre el análisis y la gestión de riesgos. Está en consonancia con la norma ISO/IEC 27001:2005.
Se hace muy poca referencia o uso de cualquiera de las normas BS en relación con ISO/IEC 27001.
La base de la norma ISO/IEC 27001 se basa en varios principios clave:
La norma ISO/IEC 27001 destaca la importancia de identificar y evaluar los riesgos de seguridad de la información. Las organizaciones deben implementar procesos de gestión de riesgos para identificar amenazas potenciales, evaluar su impacto y desarrollar estrategias de mitigación adecuadas.
La última revisión de la norma ISO/IEC 27001:2022 describe un conjunto integral de controles de seguridad en el Anexo A, categorizados en cuatro dominios. Estos controles abordan diversos aspectos de la seguridad de la información, como el control de acceso, la criptografía, la seguridad física y la gestión de incidentes.
La norma ISO/IEC 27001 promueve una cultura de mejora continua en las prácticas de seguridad de la información. El seguimiento regular, la evaluación del desempeño y las revisiones periódicas ayudan a las organizaciones a adaptarse a las amenazas en constante evolución y a mejorar la eficacia de su SGSI.
Un SGSI puede estar certificado como conforme con la norma ISO/IEC 27001 por varios registradores acreditados en todo el mundo. [7] La certificación conforme a cualquiera de las variantes nacionales reconocidas de la norma ISO/IEC 27001 (por ejemplo, JIS Q 27001, la versión japonesa) por un organismo de certificación acreditado es funcionalmente equivalente a la certificación conforme a la propia norma ISO/IEC 27001.
En algunos países, los organismos que verifican la conformidad de los sistemas de gestión con normas específicas se denominan "organismos de certificación", mientras que en otros se los suele denominar "organismos de registro", "organismos de evaluación y registro", "organismos de certificación/registro" y, a veces, "registradores".
La certificación ISO/IEC 27001, al igual que otras certificaciones de sistemas de gestión ISO, generalmente implica un proceso de auditoría externa de tres etapas definido por las normas ISO/IEC 17021 [8] e ISO/IEC 27006 [9] :