¿Qué es ISO 27000?

¿Qué es ISO 27000?

Las normas que forman la serie ISO/IEC-27000 son un conjunto de estándares creados y gestionados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales están participadas por multitud de países, lo que garantiza su amplia difusión, implantación y reconocimiento en todo el mundo.

Las series 27000 están orientadas al establecimiento de buenas prácticas en relación con la implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI) o por su denominación en inglés Information Security Management System (ISMS). Estas guías tienen como objetivo establecer las mejores prácticas en relación con diferentes aspectos vinculados a la gestión de la seguridad de la información, con una fuerte orientación a la mejora continua y la mitigación de riesgos.

La norma, cuya última revisión data de 2013, permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. Los requisitos de la norma están contenidos en una estructura divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación en el mundo corporativo, como ISO 9001 o la ISO 14001. Por ello, es relativamente sencillo para una organización realizar una integración en su sistema de gestión que recoja los requisitos comunes y específicos de cada una de las normas, por ejemplo, ISO 9001 + ISO 27001.

Si, además el sistema de gestión integrado está certificado y es auditado regularmente (lo habitual es que sea cada año), las entidades de certificación suelen realizar auditorías conjuntas, de forma que el equipo auditor, en el transcurso de la auditoría revisa el cumplimiento de requisitos de ambas normas.

ISO 27000: facilita las bases y lenguaje común para el resto de las normas de la serie.

¿Que es la ISO 27001?

  • ISO 27001: Especifica los requerimientos necesarios para implantar y gestionar un SGSI. Esta norma es certificable.
  • ISO 27002: define un conjunto de buenas prácticas para la implantación del SGSI, a través de 114 controles, estructurados en 14 dominios y 35 objetivos de controles.
  • ISO 27003: proporciona una guía para la implantación de forma correcta un SGSI, centrándose en los aspectos importantes para realizar con éxito dicho proceso.
  • ISO 27004: proporciona pauta orientadas a la correcta definición y establecimiento de métricas que permitan evaluar de forma correcta el rendimiento del SGSI
  • ISO 27005: define como se debe realizar la gestión de riesgos vinculados a los sistemas de gestión de la información orientado en cómo establecer la metodología a emplear.
  • ISO 27006: establece los requisitos que deben cumplir aquellas organizaciones que quieran ser acreditadas para certificar a otras en el cumplimiento de la ISO/IEC-27001
  • ISO 27007:es una guía que establece los procedimientos para realizar auditorías internas o externas con el objetivo d  verificar y certificar implementaciones de la ISO/IEC-27001  
  • ISO 27008: define como se deben evaluar los controles del SGSI con el fin de revisar la adecuación técnica de los mismos, de forma que sean eficaces para la mitigación de riesgos.
  • ISO 27009: complementa la norma 27001 para incluir requisitos y nuevos controles añadidos que son de aplicación en sectores específicos, con el objetivos de hacer más eficaz su implantación.
  • ISO 27010: indica cómo debe ser tratada la información cuando es compartida entre varias organizaciones, qué riesgos pueden aparecer y los controles que se deben emplear para mitigarlos, especialmente cuando están relacionados con la gestión de la seguridad en infraestructuras críticas.
  • ISO 27011: establece los principios para implantar, mantener y gestionar un SGSI en organizaciones de telecomunicaciones, indicando como implantar los controles de manera eficiente.
  • ISO 27013: establece una guía para la integración de las normas 27001 (SGSI) y  20000 Sistema de Gestión de Servicios (SGS) en aquellas organizaciones que implementan ambas.
  • ISO 27014: establece principios para el gobierno de la seguridad de la información, para que las organizaciones puedan evaluar, monitorizar y comunicar las actividades relacionadas con la seguridad de la información.
  • ISO 27015: facilita los principios de implantación de un SGSI en empresas que prestan servicios financieros, tales como servicios bancarios o banca electrónica.
  • ISO 27016: proporciona una guía para la toma de decisiones económicas vinculadas a la gestión de la seguridad de la información, como apoyo a la dirección de las organizaciones.
  • ISO 27017: proporciona una guía de 37 controles específicos para los servicios cloud, estos controles están basados en la norma 27002.
  • ISO 27018: complementa a las normas 27001 y 27002 en la implantación de procedimientos y controles para proteger datos personales en aquellas organizaciones que proporcionan servicios en cloud para terceros.
  • ISO 27019: facilita una guía basada en la norma 27002 para aplicar a las industrias vinculadas al sector de la energía, de forma que puedan implantar un SGSI.

Destacan del mencionado conjunto la 27001 donde se especifican los requerimientos necesarios para implantar, mantener y gestionar un SGSI, dentro del proceso de mejora continúa conocido como Ciclo Deming o PDCA, acrónimo de Plan-Do-Check-Act, en relación con las fases de Planificar, Hacer, Verificar y Actuar. Por otra parte la 27002, es un conjunto de 114 controles, agrupados en 14 dominios, que tienen como objetivo facilitar buenas prácticas en relación con la gestión del SGSI

En cuanto a la estructura de la norma, en la ISO 27001 existen 14 dominios, 35 objetivos de control y 114 controles. Una de las cuestiones más llamativas de la norma ISO 27001 es el proceso de gestión del riesgo, al que se le ha otorgado una gran flexibilidad. Este proceso consiste en identificar todos los riesgos que existen y sus propietarios, analizarlos y gestionar un plan de tratamiento de los mismos que tenga en cuenta la integridad, la disponibilidad y la confidencialidad.

El análisis de riesgos es una técnica de recopilación de información sobre procesos y sistemas utilizados en la organización que pretende mejorar la administración y el uso de esos recursos, así como protegerlos antes las vulnerabilidades que pudiesen encontrar. Para ello, se debe controlar la probabilidad de que ocurran determinados eventos y las consecuencias que ellos pueden traer para la organización.

Existen muchas formas de realizar un análisis de riesgos ISO 27001. Pero lo más importante es entender la fórmula que determina la importancia de un riesgo. Esta se puede calcular multiplicando la vulnerabilidad de un activo por la importancia para la organización. Así, cuanto más vulnerable es un elemento, y cuanto más importante es para la organización, mayor es el riesgo que supone. Entonces, la inversión para disminuir ese riesgo tendrá que ser mayor.

El análisis de riesgos es una técnica que obedece a un ciclo y debe realizarse de forma periódica. Al llegar al final del ciclo, se puede recomenzar la fase de recolección de información nuevamente. La idea es asegurar una mejora continua de los procesos, pues el avance diario de la tecnología implica mayores riesgos para la organización.

El conocimiento de los controles del Anexo A nos ayuda a comprender mejor el concepto de que la seguridad de la información no se encuentra restringida a la TI. De hecho, el alcance que tienen estos controles sobre áreas como Recursos Humanos, Gestión de Activos, Seguridad Física, Medio Ambiente, Seguridad en las Comunicaciones y Relación en la Cadena de Suministro así lo demuestra. Así, se confirma la amplitud del alcance de esta norma.

Las secciones o dominios en los que se agrupan los controles son los siguientes:

  • Políticas de seguridad de la información
  • Organización de la seguridad de la información
  • Seguridad de los recursos humanos
  • Gestión de Activos
  • Controles de acceso
  • Criptografía – Cifrado y gestión de claves
  • Seguridad física y ambiental
  • Seguridad operacional
  • Seguridad de las comunicaciones
  • Adquisición, desarrollo y mantenimiento del sistema
  • Gestión de incidentes de seguridad de la información
  • Cumplimiento
👉 Si quieres aplicar las estrategias Mobiliza Academy  te ofrece el Cursos y certificaciones oficiales en 27001 con las qué obtendrás los conocimientos y habilidades necesarias para gestionar e implementar un SGSI, así como controlar las amenazas y riesgos TI en su organización. ISO 27001 es una norma internacional, válida y reconocido en la mayoría de los países como estándar que establece cómo debe implementar una organización su sistema de gestión de seguridad de la información.