Seidor
Protegiendo la información

21 de junio de 2023

ISO 27001: Protegiendo la información sensible en la era digital

  • La norma ISO 27001 establece los requisitos para la gestión de la seguridad de la información en las organizaciones, proporcionando un marco estructurado y sistemático
  • La normativa ISO 27001 implementa y mejora un sistema de gestión de seguridad de la información, incluyendo la protección de datos contra amenazas internas y externas
  • Mientras que la norma ISO 27001 es un estándar internacional de gestión de seguridad de la información, la ENS es una normativa española centrada sobre todo en el sector público
  • La certificación ISO 27001 muestra el compromiso de una organización con la protección de datos, transmitiendo confianza y credibilidad a los stakeholders, y aborda aspectos como la comunicación segura, la criptografía y el cumplimiento normativo, como el RGPD.

La relevancia de la protección de la información digital

Toda organización que requiera de un enfoque sistemático y estructurado de gestión de la seguridad de la información cuenta con la normativa internacional ISO 27001. Se trata de una norma que delimita los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) en la organización.

Desarrollada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), se trata de un estándar que aporta un marco confiable para la protección de los datos contra amenazas internas y externas. Además, esta normativa propicia el desarrollo de una cultura de la seguridad, dentro de cada empresa, alineada con el cumplimiento de todo tipo de requisitos legales, reglamentarios y contractuales.

Así, una compañía que salvaguarda y protege información es también una compañía que envía señales de confianza de sus clientes. Al obtener la certificación ISO 27001, cualquier entidad explicita su compromiso con la protección de los datos y con la confidencialidad, un atributo que transmite fiabilidad y credibilidad a los diferentes stakeholders de la organización.

La implementación de la norma ISO 27001

Hay que destacar que la implementación de la norma ISO 27001 incorpora las referencias normativas que aseguran que se tenga en cuenta la experiencia y el conocimiento acumulado en el ámbito de la seguridad de la información. De esta forma, con las referencias a la norma, se establece una base sólida para la implementación de controles de seguridad y la gestión de riesgos.

Asimismo, el sistema incluye la gestión de activos de información en la organización, incluyendo los almacenados en sistemas, redes, documentos impresos, registros físicos, entre otros. Además, se deben establecer medidas de protección adecuadas para cada activo identificado, considerando su valor, criticidad y realizando un análisis de riesgos asociados. Además de este análisis, también se establece su gestión, articulada a través de líneas de acción que, incluyen su evaluación sistemática, en aras de mitigar su impacto negativo.

En este marco normativo, también entra en juego la ciberseguridad, pues buena parte de las actuales amenazas para una compañía provienen de elementos como los ataques de hackers, el malware y los intentos de phishing. Los protocolos y requisitos ISO 27001 están alineadas con los criterios del Instituto Nacional de Ciberseguridad (INCIBE).

En este sentido, hay que señalar que la norma aborda directamente las comunicaciones, en relación con la seguridad de la información, velando por la protección de su confidencialidad, integridad y disponibilidad de la información, durante su transmisión, y que establece requisitos específicos para garantizar una comunicación segura.

ISO 27001 en la Nube: Protección en entorno cloud

Además, la aplicación de la ISO 27001 también extiende su efecto hasta al entorno de la información hospedada en la nube, ya que implica evaluar los riesgos asociados de que esté depositada en este entorno, además de fijar criterios para seleccionar proveedores confiables, implementar controles de seguridad adecuados y garantizar la continuidad del negocio y la recuperación de los datos en el cloud.

Hay que señalar que la norma señala a la criptografía como una de las medidas de control efectivas para proteger la confidencialidad, integridad y disponibilidad de la información. Así, mediante la criptografía, se puede codificar y descodificar la información, asegurando que solo las partes autorizadas puedan acceder a la misma.

Asimismo, entre los requisitos específicos de la norma ISO 27001 figura el control de accesos, cuya finalidad es garantizar que sólo las personas autorizadas acceden a los activos de información y los sistemas. Con este control, se minimiza el riesgo de brechas de seguridad y violaciones de la confidencialidad.

La suma de los aspectos anteriormente expuestos convierte a la norma ISO 27001 como un sistema completo, alineado con el Reglamento General de la Protección de Datos (RGDP) de la Unión Europea, que fija los requisitos para la salvaguarda de la información personal en los países miembros. Su efectividad, potenciada por su aplicación en el empleo de algoritmos y técnicas de cifrado modernos, convierten a la normativa en una base sólida con un margen de error cada vez más menguante.

Es importante destacar que la norma ISO 27001 proporciona un marco general, pero cada organización debe adaptar sus controles y medidas de protección de datos según sus propias necesidades y requisitos específicos. Además, esta norma no garantiza automáticamente el cumplimiento de todas las leyes y regulaciones de protección de datos, como cumplimiento del RGPD, pero puede ser una herramienta útil para establecer una base sólida para la protección de datos dentro de una organización.

Como máximo responsable de la seguridad de la información dentro de una organización, el CISO (Chief Information Security Officer), su rol es establecer y supervisar la estrategia y los programas de seguridad de la información de la organización y, generalmente, es el responsable de liderar la implementación y cumplimiento de la norma ISO 27001 dentro de la organización.

Finalmente, cabe destacar que, en España existe otra norma que establece los requisitos y procedimientos en el ámbito de la Seguridad de la Información como es el Esquema Nacional de Seguridad (ENS). Esta norma, únicamente de ámbito nacional, es de obligado cumplimiento para administraciones públicas y empresas del sector privado que presten servicios digitales a entidades públicas. Si bien ambas normas son eficaces para establecer un modelo de Gestión de la Seguridad de la Información, ISO 27001 tiene un enfoque más generalista a la hora de establecer requisitos de seguridad de una compañía, aportando más flexibilidad entre las medidas de seguridad y la operativa de la compañía. Por su parte, ENS establece de manera más granular los controles de seguridad necesarios, basándose en la categorización de los sistemas de información de la compañía en función de su criticidad e impacto. Ambas normas tienen un proceso de certificación mediante una auditoría externa, renovable cada 2 años en el caso de ENS y cada 3 años en el caso de ISO27001 con un seguimiento anual.