// ¿Por qué es importante cumplir con ella?

Normativa ISO 27001

La norma  ISO 27001 es una normativa internacional que proporciona un marco y atmósfera de trabajo para los sistemas de gestión de seguridad de la información (SGSI). Su objetivo es proporcionar confidencialidad, integridad y disponibilidad continuada de la información.

Índice de contenidos

Normas ISO

Para hablar de esta normativa deberemos abordar primero qué son las normas ISO. Las iniciales ISO son el acrónimo de International Organization for Standardization. Las ISO son un conjunto de normas dirigidas a ordenar la gestión de una empresa en sus distintos ámbitos ya que ayudan a las empresas a establecer unos niveles de homogeneidad en relación con la gestión, prestación de servicios y desarrollo de productos en la industria.

La alta competencia del mercado actual y la creciente demanda de adecuación a las nuevas tecnologías de la economía y el mercado, han ido formando opiniones de los consumidores en los que el cumplimiento de esta norma, aunque de carácter voluntario, ha ido ganando un gran reconocimiento y aceptación internacional de los diferentes organismos involucrados. 

Qué es la normativa ISO 27001

En este contexto, la norma  ISO 27001 es una normativa internacional que proporciona un marco y atmósfera de trabajo para los sistemas de gestión de seguridad de la información (SGSI) de los diferentes organismos, con el fin de proporcionar confidencialidad, integridad y disponibilidad continuada de la información, así como cumplimiento legal. 

La certificación ISO 27001 es indispensable para proteger los activos más importantes de una organización, la información de sus clientes y empleados, la imagen corporativa y cualquier tipo de información privada.

Normativa Iso 27001

¿Para qué sirve?

ISO 27001 Para qué sirve

La norma ISO 27001 es una normativa esencial para proteger nuestro sistema de gestión de la información. De esta manera las organizaciones pueden proporcionar confianza a sus consumidores y otras entidades con las que colaboran, además de proporcionar confidencialidad, integridad y una disponibilidad continuada de la información. 

En definitiva, la norma ISO 27001 sirve para ayudar a las organizaciones a mantener a salvo su información partiendo de la base que esta misma constituye y está ligada a uno de los activos más importantes. 

En otros aspectos, la implantación de la ISO 27001 es la respuesta idónea a los requisitos legislativos como también de los clientes, incluyendo el RGPD y otras amenazas potenciales, que nos servirá para tener al día aspectos relacionados con nuestros principales activos manteniéndolos de esta manera seguros, consiguiendo así un refuerzo en la continuidad del trabajo y flujo de negocio de cualquier organización, tratando los siguientes aspectos:

  • Crimen cibernético.
  • Ciberterrorismo.
  • Violación de datos personales.
  • Daños materiales y catástrofes naturales.
  • Robo y delincuencia.
  • Cualquier tipo de ciberataque. 
// Evalúa si tu organización cumple con la normativa ISO27001

< REALIZAR TEST >

Estructura de la Norma ISO 27001

Objeto y campo de aplicación

La norma comienza ofreciendo unas orientaciones sobre el uso, finalidad, beneficios y el modo en el que podemos aplicarla.

Referencias Normativas

Son los documentos que recomienda como consulta indispensables para la aplicación de ISO27001.

Términos y Definiciones

Describe la terminología y permite entender el vocabulario aplicable a este estándar.

Contexto de la organización:

Este es el primer requisito y uno de los fundamentales de la norma, recoge las  indicaciones para entender el contexto y  el conocimiento de la organización, la comprensión de las necesidades y expectativas de las partes interesadas para de esta manera determinar el alcance del SGSI.

Liderazgo

Este apartado destaca la necesidad de generar una cultura dentro de la organización en la que  todos contribuyan al establecimiento de la norma. Para ello es clave que la alta dirección demuestre su liderazgo y compromiso, asignando roles y elaborando una política de seguridad conocida por todos.

Planificación

Pone de manifiesto los objetivos y el camino para lograrlos.

Soporte

Se insta al buen funcionamiento del SGSI, para ello las organizaciones deben contar con los recursos, comunicación, competencias, conciencia, e información documentada en cada caso.

Operación

Se debe planificar, implementar, monitorizar y controlar los procesos de la organización así como hacer una valoración de los riesgos de la seguridad de la información y establecer un tratamiento para ellos.

Evaluación del desempeño

Este punto habla sobre la necesidad y forma de llevar a cabo el seguimiento, el análisis, la medición y evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que cumple con los requisitos especificados.

Mejora

Esta última sección nos habla de los aspectos que no funcionan, cómo solventarlos y la importancia de tener al día  la adecuación y establecimiento del SGSI. 

Actualización de la Normativa ISO 27001

Los cambios más representativos de la actual ISO 27001:2017 con respecto a la versión de 2005 son los siguientes:

  • Eliminación de la referencia al enfoque de proceso de mejora continua PDCA (Plan – Planificar, Do – Hacer, Check – Comprobar, Act – Actuar).
  • Reestructuración general de capítulos y subapartados.
  • Se da una mayor importancia al conocimiento del contexto de la organización y el entendimiento de las necesidades de las partes interesadas. 
  • Han sido eliminadas las referencias a la identificación de activos, amenazas y vulnerabilidades. Únicamente se hace necesario identificar riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad.
  • Respecto a la selección de controles de seguridad para el tratamiento del riesgo, la selección de un marco de controles en caso que no se desee seguir ISO 27002 será decisión de la organización, debiéndose de comparar con los controles del Anexo A para comprobar que no se deja de lado ninguno de ellos.
  • El liderazgo de la Dirección cobra más importancia en el sistema de gestión.
  • El área de monitorización y medición del SGSI recibe más importancia en la nueva actualización.
  • Aunque en el cuerpo de la norma se hace referencia a distintos requisitos documentales, se ha eliminado el listado de documentos obligatorios, eliminándose también la separación entre documentos y registros, que con esta actualización pasan a ser nombrados como información documentada.
  • Respecto a los anexos, el Anexo A pasa de 11 a 14 capítulos y el número total de controles se reduce a 114. Se convierten en una sección separada de criptografía y las relaciones con los proveedores. 

Importancia de la normativa ISO 27001

La ISO 27001 es un marco que define buenas prácticas asociadas a la protección de la información de una organización. En este sentido la norma ISO 27001 se convierte en una herramienta necesaria y fundamental que marca los objetivos que una compañía necesita para tener bien protegida su información, ya que sin ella y si dicha información fuera víctima de cualquier tipo de amenaza, puede traducirse en una interrupción del flujo normal de la organización acarreando consecuencias de índole económica, así como posibles problemas en las relaciones externas con proveedores y clientes. 

En este contexto, contar con un sistema de gestión de seguridad de la información robusto y bien establecido siguiendo la norma ISO 27001 y considerando el objetivo principal de esta norma como la defensa, protección y gestión de la información como uno de los activos más importantes y valiosos de la empresa, la ISO 27001 se convierte en uno de las principales objetivos de cualquier organización. 

Qué es la Normativa Iso 27001

Beneficios para las empresa de cumplir con la normativa ISO

Aunque la norma ISO 27001 es una herramienta positiva para cualquier tipo de organización, hoy en día son más las empresas que se ven con la necesidad de aprovechar los beneficios de este marco normativo.

Con esta norma las empresas consiguen aumentar la confianza en las relaciones externas con clientes y proveedores, consiguiendo así un mejor posicionamiento dentro de la actual y creciente competencia del mercado. Tener los datos e información personal asegurados, se traduce en muchos beneficios, como pueden ser:

Cuando la información de una organización se ve comprometida, su reputación y las finanzas de la misma se ven gravemente afectadas.

Disponer de una cierta seguridad en la información como activo de la organización dará a la organización un fuerte prestigio y reputación dentro del mercado y de cara a la competencia.

La falta de establecimiento de medidas técnicas y organizativas en materia de seguridad de la información que permitan dar cumplimiento a las disposiciones legales y normativas vigentes, puede suponer la imposición sanciones que acarrearán una pérdida económica y reputacional para la organización totalmente evitable e innecesaria. En este sentido, la certificación de la ISO 27001 supone una inversión a medio plazo para cualquier tipo de entidad. 

Uno de los principales beneficios de la certificación ISO 27001 es que con ella las organizaciones tienen una manera de demostrar que cumplen con los más eficaces sistemas de protección de la información, ayudando a mejorar las relaciones comerciales, y por consiguiente, la obtención de nuevos clientes y/o servicios.

Cumple con la Normativa ISO 27001 con nuestra solución OSV

Desde nuestra OSV (Oficina de Seguridad Virtual), podemos ayudar a cualquier organización a conseguir y cumplir con los requisitos de la norma 27001 para su posterior certificación, pudiéndose así beneficiarse de todas las ventajas descritas anteriormente. 

Para cumplir con los requisitos establecidos por esta norma, es importante que la organización tenga un cierto conocimiento de la norma en primera instancia. Además uno de los primeros pasos es establecer roles dentro del sistema de calidad de la organización que ayuden a segmentar las diferentes tareas a realizar. 

Desde nuestra OSV podemos ayudar a establecer todas estas medidas además de realizar un primer análisis de situación y contexto de la empresa para poder empezar a realizar un eficaz diseño del sistema de gestión de la calidad, involucrando siempre, tal como dice la norma, a todo el equipo de la organización, haciéndoles partícipe de todas las acciones a implementar. 

Posteriormente y una vez conseguidos los primeros pasos, nuestra OSV puede ayudar a la organización a realizar auditorías internas para valorar el proceso y el nivel de preparación para la auditoría de certificación, acompañando en todo momento a la organización a conseguir su objetivo y lograr sus metas.