ISO 27001

Durante este artículo queremos explicar que es la norma ISO 27001 y para que puede ser utilizada. La norma ISO 27001 es muy recurrente para controlar la seguridad de la información en la organización y, al igual que otros conceptos, existen muchas confusiones e interpretaciones erróneas o incompletas.

El artículo persigue el fin de que los usuarios de la norma ISO 27001 en sus empresas sacando el mayor provecho posible y que no se generen expectativas falsas sobre todo lo que pueden realizar.

La norma ISO 27001 para seguridad de la información se aprueba en el año 2005 y sufre una revisión, publicándose en el año 2013. Se publicó gracias a la Organización Internacional de Estandarización, y en ella se especifican todos los requisitos necesarios para establecer, implantar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información.

La diferencia con estándares anteriores se compone de una serie de requisitos que deben ser cumplidos, la norma ISO 27001 ha sido creada teniendo en cuenta todo el proceso de seguridad de la información basado en el ciclo Deming o ciclo PHVA, para lo que se implementa el Sistema de Gestión de Seguridad de la Información.

Lo que primero que se debe definir es lo que se entiende por seguridad de la información, de forma tradicional se define la seguridad de la información como el logro, la gestión y el mantenimiento de tres características fundamentales:

• Confidencialidad: la información solo debe ser vista por las personas que tienen permiso para ello, no puede acceder alguien sin el permiso correspondiente.
• Integridad: la información será modificada por las personas que tengan permiso para ellos.
• Disponibilidad: la información solo se debe encontrar disponible en el momento en el que los usuarios autorizados tengan que acceder a ella.

Estas características forman la palabra “CIA” por las siglas en inglés de confidencialidad, integridad y disponibilidad. Aunque existen personas que piensan que la seguridad de la información debe incluir una cuarta que se denomina ”no repudiación”, con la que se asegura que el cambio de la información no sea negado por la persona que realiza el cambio.

Según la norma ISO 27001, la idea principal es la de presentar la CIA de la información en un Sistema de Gestión de Seguridad de la Información, realizando un conjunto de procesos, personas y tecnología, en la que se analizan todos los riesgos de la información y establece medidas para eliminarlos o disminuirlos de forma recurrente según el ciclo de mejora continua. Así se mantiene el control de todos los riesgos conociendo la postura de la seguridad de la organización.

El sistema recibe el nombre de Sistema de Gestión de Seguridad de la Información, siendo el punto central de la norma ya que de forma básica no exige que cada organización cumpla con todos los requisitos de la norma ISO 27001 realizando cuatro grandes actividades:

• Establecer un Sistema de Gestión en Seguridad de la Información.
• Implantar y operar el Sistema de Gestión en Seguridad de la Información.
• Mantener y mejorar el Sistema de Gestión en Seguridad de la Información.
• Monitorear y revisar el Sistema de Gestión en Seguridad de la Información.

La ISO 27001 nos habla de cómo crear y operar el Sistema de Gestión de Seguridad de la Información. Es por esto que antes de finalizar una entrega, debes detenerte un momento para cerciorarse que una de las características fundamentales de la norma ISO 27001 es analizar, aplicar y definir todas las medidas necesarias para preservar la seguridad de la información.

La idea de establecer y mantener un SGSI según la norma ISO 27001 nos lleva a mejorar de forma constante todos los controles que se quieren implementar. Un auditor dijo que certificarse bajo la ISO 27001 es mucho más fácil que recertificarse. Durante la primera auditoría se puede permitir que no existan controles implantados e incluso la operación de los que ya se encuentran listos no sea muy buena. Una vez implantado el SGSI se tienen que desarrollar mejores controles según el avance que se consiga en el ciclo de mejora continua, y es por ello que la revisión de recertificación es más exigente con los controles.

La empresa Hermes de Perú se ha certificado con la ISO 27001, afianzando su misión de brindar soluciones seguras para sus procesos de riesgo. La certificación tiene alcance en sus servicios de traslado de valores, ATM, procesamiento, custodia y seguridad.

Todos estos servicios incluyen a 2000 trabajadores, 20 aplicaciones de negocio, redes de voz y datos, equipos de comunicación y servidores.

Los requisitos de la ISO 27001 tienen el objetivo de eliminar o disminuir los riesgos de fraude, y robo de información clasificada. La adecuación de la norma tomó un año de trabajo e inversión en seguridad para redes, software y herramientas de control.

Hermes suma tres certificaciones: ISO 9001, ISO 28000 e ISO 27001, por lo que forman un Sistema de Gestión Integrado, junto con la administración de los riesgos, la prevención de los accidentes y la realización de programas seguros.

ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.