Qué es la norma ISO 27001 y su alcance real
El siglo XXI ha dejado claro que la actividad digital forma parte inherente del desarrollo, progreso y éxito de cualquier negocio o empresa. En la actualidad, se trata de un asunto que hay que tratar con la máxima atención y disposición por parte de los encargados en sus respectivos departamentos.
La gestión de la seguridad de la información es una exigencia operativa y estratégica de primer orden. En este sentido y contexto, se realiza la publicación por parte de la International Organization for Standardization junto a la International Electrotechnical Commission la norma ISO/IEC 27001, que pretende establecer con suficiente claridad los requisitos necesarios para implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
Es la certificación ISO 27001 la encargada de validar a todas aquellas organizaciones que han adoptado un enfoque sistemático útil y eficiente con el que proteger la confidencialidad, integridad así como la disponibilidad de la información que utilizan las organizaciones mercantiles y empresariales, aplicando, como cabe suponer, los controles necesarios.
La actual versión, ISO/IEC 27001:2022, lleva incorporada al Anexo A una actualización que alinea los controles con las amenazas más actuales y relevantes, como son los ciberataques avanzados, las fugas de datos e incluso con las vulnerabilidades en entornos cloud, implicando, mediante el buen uso de la tecnología, a los procesos, a las personas y la cultura organizativa.
Qué empresas deben implantar un SGSI
La adopción de esta normativa ha tomado velocidad de crucero, pero aún, sin ser obligatoria para todas las organizaciones, en sectores donde se trata la gestión de datos sensibles debe ser considerada como crítica. Son las empresas tecnológicas, las entidades financieras, las agencias proveedores SaaS, y las compañías de salud o firmas que trabajan con administraciones públicas, las principales inclusiones. Las empresas de estos entornos encuentran en la norma ISO 27001 un estándar a usar en todos estos casos.
Por otro lado, marcos regulatorios como el Reglamento General de Protección de Datos en Europa refuerzan de forma indirecta su adopción. La ISO 27001 no pretende en ningún caso sustituir al actual RGPD, sin embargo, sí que facilita su cumplimiento al darle la forma debida tanto a las políticas de seguridad, como a los controles de acceso y gestión de incidentes. Cada vez más licitaciones y contratos internacionales exigen esta certificación como requisito de entrada, lo que la convierte en un factor competitivo de primer orden.
Como cabe suponer, las empresas de cualquier sector trabajan para reducir su superficie de exposición al riesgo. Los informes más recientes aseguran que el coste medio de una brecha de datos supera los millones de euros en empresas medianas y grandes, lo que refuerza el valor de utilizar un SGSI robusto, obligando a una implantación rigurosa.
Cómo se implementa y el papel de consultoras especializadas
Es de obligado cumplimiento ejecutar un proceso estructurado para una correcta implantación de ISO 27001, proceso que debe partir de un análisis de riesgos exhaustivo que analice amenazas, vulnerabilidades y posibles impactos sobre el negocio, permitiendo, de este modo, definir controles proporcionales. Solo después de este trabajo será factible desarrollar políticas, procedimientos y mecanismos de control que se integren en la operativa diaria.
Como error habitual a evitar es subestimar el componente cultural, es decir, no limitar la seguridad de la información al departamento IT, entender que afecta a toda la organización. Formación interna, gestión de accesos, control de proveedores y respuesta ante incidentes forman parte del sistema. Por último, recordar que esta norma exige auditorías internas periódicas y una mejora continua basada en indicadores.
