Las normas ISO son vitales para la estandarización en la industria y la fabricación de productos a nivel internacional. En este caso, estaremos hablando de una norma formativa en relación con la ciberseguridad y a la seguridad de la información en general: la norma ISO 27001.
Normas ISO 27000: Normas predecesoras
Las normas que conforman la serie ISO 27000 son un conjunto de estándares creados y regulados por la Organización Internacional para la Estandarización (ISO) y también por la prestigiosa Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales que son conformadas por gran multitud de países, buscando garantizar una difusión y reconocimiento a nivel general en todo el mundo.
Estas normas buscan establecer buenas prácticas en relación con la implementación, el mantenimiento y también la organización general del Sistema de Gestión de Seguridad de la Información, (SGSI). Estas guías se plantean, como objetivo, establecer mejores prácticas en cuanto a la gestión de la seguridad de la información. Teniendo una fuerte base y orientación a una mejora continua de estos procesos, a la mitigación y gestión de riesgos mediante una comunicación efectiva.
Las normas ISO 27000 son normas anteriores a la creación de las 27001. Este marco de normas, funcionaron para sentar las bases de las buenas prácticas en cuanto a la gestión y a la seguridad de la información en las empresas. La diferencia es que la norma ISO 27001 pertenece al grupo de las ISO 27000. La segunda contiene el vocabulario en el que se apoyan el resto de las normas. Es como una guía. En cambio, la ISO 27001 es el conjunto de requisitos y normas específicas para implementar un SGSI. (Sistema de Gestión de la Seguridad de la Información).
ISO 27001: Para qué sirve
La norma ISO 27001 es una norma de carácter internacional, la cual permite asegurar la confidencialidad, la integridad total de los datos y de la información privada de las empresas, las personas que trabajan en ellas y los sistemas que procesan la información en sí.
El estándar ISO 27001, destinado a los Sistemas de Gestión de la Seguridad de la Información, permite a las distintas organizaciones evaluar el riesgo y la aplicación directa de los controles que se necesitan para mitigar o eliminar estos. Siempre con el fin de tener flujos de información seguros y eficaces.
La Gestión general y las buenas prácticas establecidas por la Norma ISO 27001 se complementan con los controles establecidos en las normas ISO 27002.
Cómo se compone la Norma ISO 27001
Esta norma está compuesta por distintos apartados, cada uno destinado a una sección específica, a un fin particular. Los apartados son los siguientes:
Liderazgo
Este apartado destaca la necesidad de que todos los empleados de la organización deben contribuir al establecimiento de la norma. Para que esto pueda ser logrado, el ejecutivo de la empresa necesita su liderazgo y compromiso. Una forma de llevar esto a cabo es elaborando una política de seguridad y ciberseguridad que conozca toda la organización. La misma tiene que tener roles asignados de forma clara. Para que cada empleado entienda su lugar en la misión general.
Planificación
Esta parte pone de manifiesto lo importante que es la determinación de riesgos y oportunidades de forma planificada a través de la implementación de una matriz de riesgos. Se busca poner en manifiesto la importancia de esto a la hora de planificar un Sistema de Gestión de Seguridad de la información. Así como también el papel clave que juega el establecer objetivos y tiempos para garantizar el éxito y el buen funcionamiento del SGSI.
Soporte
Esta cláusula pone luz sobre lo relevante que es la destinación de recursos y de mano de obra especializada para lograr el éxito en el cumplimiento de la norma ISO 27001.
Operación
Esta sección muestra cómo se debe operar, como planificar, implementar y controlar estrictamente los procesos de la organización. Es la parte más logística y dura del procedimiento en sí.
Evaluación del Desempeño
Este punto es muy importante, y muchas empresas terminan subestimándolo. En este se plantea la necesidad y la forma en la que se debe llevar a cabo el seguimiento, la medida, el análisis y evaluación de todo el proceso. Mediante auditorías internas y mediante revisión del ejecutivo, se debe dejar constatado, para una posterior evaluación completa y contraste.
Mejora
Por último, encontramos las obligaciones que una empresa debe cumplir en caso de que el procedimiento, luego de realizar una evaluación de desempeño, no haya logrado los objetivos planteados en la planificación.
A quiénes se dirige la norma ISO 27001
El certificado ISO 27001 es funcional para cualquier tipo de empresa sin importar el tamaño y actividad. El factor que hay que entender es que la implementación de un Sistema de gestión de seguridad de la información se basa en la vital importancia que tienen los activos de información dentro de una organización. Elementos que son imprescindibles para el funcionamiento eficaz de una empresa, para el cumplimiento de objetivos.
Norma ISO 27001: Conclusión
Una vez explicada esta norma, creemos que es importante mencionar el rol vital que juega para el manejo de la información dentro de las organizaciones. Una norma que se dirige y que debe ser adoptada por todo tipo de empresa, desde pymes hasta organizaciones de gran estructura.
Una correcta aplicación de Norma ISO 27001 puede lograr que la organización funcione mucho más fluidamente, salvaguardando la información que es realmente vital para la empresa. Entendiendo la delicadeza de los datos, planificando, poniendo objetivos e implementando políticas de gestión de riesgo y de manejo de los mismos.
