¿Cómo analizar la situación de las organizaciones con la norma ISO 27001?

ISO 27001

La norma ISO 27001 ha sido emitida por la Organización Internacional de Normalización (ISO) y describe cómo se debe gestionar la seguridad de la información en la organización.

La norma ISO 27001 puede ser implantada en cualquier tipo de empresa, con o sin fines de lucro, privada o pública, pequeña o grande. Se encuentra redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implantar la gestión de la seguridad de la información en una empresa. Permite que una empresa sea certificada, esto supone que una entidad de certificación independiente confirma que la seguridad de la información ha sido implantada en esa organización en cumplimiento con los requisitos de la norma ISO 27001.

La norma ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas organizaciones han certificado su cumplimiento.

¿Cómo funciona la ISO 27001?

La norma ISO 27001 tiene como principales objetivos proteger la confidencialidad, integridad y disponibilidad de la información en una organización. Lo consigue a base de investigar cuales son los problemas que pueden afectar a la información y definir qué hacer para evitar que se produzcan ciertos problemas.

Se basa en la gestión de los riesgos: investigar donde están los riesgos y luego tratarlos de forma sistemática.

Existen diferentes medidas de seguridad que se deben implantar, bajo forma de políticas, procedimientos e implantación técnica. No obstante, la mayor parte de las organizaciones disponen de hardware y software antes de tomar parte en el proceso de acreditación de la norma ISO 27001. Por ello, la mayor parte del proceso de implantación de la norma en las empresas será para establecer las reglas de las empresas y redactar la documentación para prevenir violaciones de seguridad y tomar las medidas necesarias para realizar la mejora continua del Sistema de Gestión de Seguridad de la Información.

Como este tipo de implantación demandará la gestión de diferentes políticas, procedimientos, personas, bienes, etc., la norma ISO 27001 ha detallado como se debe utilizar los elementos dentro del Sistema de Gestión de Seguridad de la Información.

La gestión de la seguridad de la información no se acota solo a la seguridad de TI, sino que también tiene que ver con la gestión de los procesos, de los recursos humanos, con la protección jurídica, la protección física, etc.

¿Por qué es fundamental la ISO 27001 para las organizaciones?

Existen 4 ventajas esenciales para una organización:

• Cumplir con los requisitos legales: en la actualidad existen muchas más leyes, normativas y requisitos que se relacionan con la seguridad de la información. La mayoría de las leyes se pueden resolver y cumplir implantando la norma ISO 27001 ya que dicha norma proporciona todas las metodologías necesarias.
• Obtener una ventaja comercial: si una organización obtiene la certificación y sus competidores no, esto le proporciona una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener de forma segura su información.
• Menor costo: la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad y cada incidente, ya sea grande o pequeño, cuesta dinero, por lo tanto debemos evitar a las organizaciones que ahorran muchos gastos.
• Una mejora en la empresa: por lo general, las organizaciones de rápido crecimiento no tienen tiempo para hacer una pausa y definir los procesos y los procedimientos, como consecuencia, muchas veces los trabajadores no saben que hay que hacer, cuando y quien debe hacerlo.

La implantación de la norma ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las organizaciones a escribir sus principales procesos, lo que les permite reducir el tiempo perdido a sus trabajadores.

La norma ISO 27001 presenta relación con otras normas que constituyen el modelo de gobierno y la gestión de las TIC. Dicho modelo propone dos certificaciones al máximo nivel:

• ISO 38500 “Gobierno corporativo de las TIC”
• ISO 22301 “Sistemas de Continuidad de Negocio”

La norma ISO 27001 como ya hemos dicho es un sistema activo, que se encuentran integrado en la empresa, orientado a los objetivos empresariales y con una proyecto de vistas al futuro. Es importante resaltar que cada vez se introduce una nueva herramienta de TIC a la empresa se tiene que actualizar el análisis de riesgos para mitigar de forma responsable todos los riesgos y se debe considerar la regla básica del riesgo, es decir, minimizar los riesgos utilizando las medidas de control ajustadas y considerando los costes del control.

Los certificados amparan que se cumplan con las normas, en este caso la norma ISO 27001. En el mundo en el que vivimos, cada vez más globalizado, en el que las empresas de bienes y servicios tienen que competir con todos los mercados que abastecen a todo el mundo, que existan organizaciones certificadas bajo la ISO 27001 fomenta que las actividades sean mucho más seguras ya que se encuentran dotadas de un sistema de protección de la información en las empresas que se encuentran certificadas, incrementado su seguridad de la información, su imagen y la confianza ante los consumidores.

La seguridad operativa tiene el objetivo de controlar la existencia de los procedimientos de operaciones y el desarrollo y mantenimiento de documentos. Se tiene que evaluar todos los cambios e impactos operativos cuando se cambian tanto los sistemas operativos, el software y los equipos, además de verificar la implementación, siempre administrando los medios técnicos necesarios y las responsabilidades de dicho proceso.

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.