Matricula. - 95013
Grupo. - IS28
Introducción
ISO/IEC 27000
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas como:
La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la
seguridad de su información.
La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no
se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por
primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la
información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por
ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por
ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO
17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007,
manteniendo el contenido, así como el año de publicación formal de la revisión.
Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie
27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de
ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. [3]
Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La
principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la
seguridad de forma continuada apoyada en la identificación de los riesgos de forma
continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que
describe una serie de objetivos de control y gestión que deberían ser perseguidos por las
organizaciones.
A continuación, les dejamos algunos detalles de cada uno de los estándares que están
incluidos en la familia de ISO 27000.
SGSI
La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia,
según sistemas de gestión basados en estándares internacionales: se gestiona la calidad
según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos
laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de
seguridad de la información.
El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los
aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua
común a todos estos estándares. Las facilidades para la integración de las normas ISO son
evidentes mediante la consulta de sus anexos o, en nuevas publicaciones con ISO/IEC
27001:2013 gracias a su estructura común para la equivalencia en los requisitos similares
aplicables a todos los sistemas de gestión. [3]
El ciclo PDCA, ciclo de Deming o ciclo de mejora continua es uno de los temas que con
más frecuencia aparece en el mundo moderno de TI, tanto así que se ha ido incorporando
a la definición de estándares y mejores prácticas como ISO-27001 o ITIL.
Se trata de una estrategia de mejora continua, difundida por Edwards Deming en la década
de 1950, con base en las definiciones hechas por Walter A. Shewart en los años 30, y que
describe cuatro pasos básicos para lograr la mejora: Plan, Do, Check y Act. La idea
subyacente es que, más que lograr cambios radicales en el corto plazo, lo cual resulta
costoso y poco efectivo casi siempre, debiera aplicarse un ciclo infinito de mejora continua
en la que se realizan una y otra vez los cuatro pasos. Si esto se hace así, dice la teoría, se
conseguirá una maduración gradual, eficiente y bien sustentada de los mecanismos – el
sistema – para establecer las metas y definir las actividades que llevarán a las mismas.
- Plan (planear o planificar). - En este primer paso se identifica aquello que se quiere
mejorar, se recopilan los datos iniciales, se establecen los objetivos esperados y se
planifican las actividades a realizar.
- Do (hacer o ejecutar). - Lo siguiente es ejecutar las actividades del plan hecho en el
primer paso y documentar los resultados.
- Check (verificar). - Se comparan los resultados obtenidos versus los resultados
esperados, que se definieron en el “Plan”.
- Act (actuar). - El ciclo “termina” haciendo los ajustes necesarios para que se logren,
en la medida de lo posible, los objetivos planeados; se revisan las lecciones
aprendidas y se reinicia el ciclo completo. [6]
Estándar aplicable en nuestro país de la Certificación ISO/IEC27000
Aplicar la norma ISO 27001 depende del tipo de organización. Algunas, por ejemplo, lo
hacen para salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus
estados financieros y otros elementos internos.
Otras, sin embargo, requieren de este tipo de acciones para garantizar el buen uso de
informaciones relativas a sus clientes, que son el principal activo de su desempeño. Las
empresas de telefonía móvil o aquellas que supongan la recolección de datos personales
escenifican muy bien este segundo grupo.
ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son
los pasos esenciales en dicho proceso de certificación:
a) Etapa previa:
En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la
norma ISO 27001 para poder iniciar el proceso como tal:
b) Auditoría de revisión:
d) Revisiones periódicas:
Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección
necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará
qué medidas de seguridad necesita.
Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta
los siguientes costos:
Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia
me encuentro con empresas que están implementando la norma sin haberla visto
realmente.
Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la
implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus
empleados.
3. Costo de tecnología
Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no
necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca;
todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la
tecnología existente de forma más segura. Sin embargo, sí es necesario planificar este tipo
de inversiones si resultan necesarias.
La norma no se implementará sola, como tampoco podrá ser implementada solamente por
un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar
dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o
implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas
responsabilidades y para adaptarse a las nuevas normas.
5. Costo de la certificación
Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma
ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo
costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser
desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de
días/hombre para organizaciones más grandes. El costo del día/hombre depende del
mercado local.
Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001;
si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio,
si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo.
Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte
Cuatro beneficios clave de la implementación de la norma ISO 27001). [10]
Los beneficios de la seguridad de la información, especialmente la implementación de la
norma ISO 27001, son muchos. Pero, por experiencia, creo que estos cuatro son los más
importantes:
1. Cumplimiento
Puede resultar extraño mencionar este beneficio en primer lugar, pero, generalmente, es el
que demuestra el “rendimiento de la inversión” más rápidamente. Si una organización debe
cumplir con diversas normas sobre protección de datos, privacidad y control de TI
(especialmente si se trata de una organización financiera, de salud o gubernamental), la
norma ISO 27001 puede aportar la metodología que permita hacerlo de la manera más
eficiente.
2. Ventaja de comercialización
En un mercado cada vez más competitivo, a veces es muy difícil encontrar algo que lo
diferencie ante la percepción de sus clientes. La norma ISO 27001 puede ser un verdadero
punto a favor, especialmente si usted administra información sensible de sus clientes.
3. Disminución de gastos
La verdad es que aún no existe una metodología ni tecnología que pueda calcular cuánto
dinero se puede ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a
la dirección sobre estos casos.
4. Ordenamiento de su negocio
Para finalizar, la norma ISO 27001 puede aportar muchos beneficios, además de ser sólo
otro certificado colgado en su pared. En la mayoría de los casos, si usted presenta esos
[11]
beneficios de forma clara, los directores comenzarán a prestarle atención.
Conclusión
Con los avances de la tecnología, es muy importante que las empresas protejan su
información, tanto para su beneficio como para garantizar la confianza de sus clientes; es
por ello que las empresas que apegan sus prácticas de seguridad de la información con un
estándar de la serie ISO 27000 (conjunto de estándares que proporcionan seguridad de
información para cualquier tipo de organización) pueden: asegurar sus activos críticos,
administrar los riesgos de forma efectiva, mantener la confianza del cliente, demostrar
conformidad con las mejores prácticas internacionales, evitar daños de marca, pérdida de
ganancias o posibles multas regulatorias, desarrollar su postura de seguridad de la
información junto con los desarrollos tecnológicos. Ya que la familia de normas ISO 27000
tiene gran alcance y es aplicable a empresas de todos los tamaños y en todos los sectores.
Referencias
[2] (2012). El portal de ISO 27001 en español. 2018, de ISO 27000.es Sitio web:
http://www.iso27000.es/faqs.html#seccion2
[3] (2012). Destacados ISO 27000. 2018, de ISO 27000.es Sitio web:
http://www.iso27000.es/iso27000.html
[5] (2011). Familia ISO 27000: Seguridad de la Información. 2018, de Logisman Sitio web:
http://www.custodia-documental.com/familia-iso-27000-seguridad-de-la-informacion/
[6] Héctor Acevedo Juárez. (2011). ISO-27001: ¿Qué es y para qué sirve? (parte 1) . 2018,
de magazcitum Sitio web:http://www.magazcitum.com.mx/?p=1574#.WrBMMZch3IU
[7] (2016). La evolución de las normas ISO en el mundo. 2018, de ISO Tools Sitio web:
https://www.isotools.org/2016/05/10/evolucion-mundial-normas-iso/
[8] Gestión de Seguridad de la Información ISO/IEC 27001 . 2018, de bsi. Sitio web:
https://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/
[9] (2015). Pasos para la certificación de la norma ISO 27001:2013. 2018, de ISO Tools
Sitio web: https://www.isotools.org/2015/12/16/pasos-para-la-certificacion-de-la-norma-iso-
270012013/
[10] (2011). ¿Cuánto cuesta la implementación de la norma ISO 27001?. 2018, de 27001
Academy Sitio web: https://advisera.com/27001academy/es/blog/2011/02/08/cuanto-
cuesta-la-implementacion-de-la-norma-iso-27001/