iso 27001

ISO 27001: ¿Qué es y porqué es importante?

El panorama actual de ciberamenazas está obligando a las organizaciones a colocar más atención en la ciberseguridad para empresas.

La Organización Internacional de Estandarización (ISO, por sus siglas en inglés) estableció la norma ISO 27001, que se emplea para la certificación de los sistemas de gestión de seguridad de la información en las organizaciones empresariales.

La ISO 27001 brinda una norma internacional para sistemas de gestión de seguridad de la información. Click To Tweet

¿Qué es la ISO 27001?

La norma ISO 27001, es un estándar internacional que certifica a los procesos de la organización en el manejo correcto de la seguridad de la información.

La empresa que logre certificarse, está en la capacidad de demostrar a sus clientes actuales y potenciales, así como a sus accionistas y proveedores, la capacidad de proteger la información bajo un sistema de gestión que cumple a cabalidad con la norma internacional.

También le posibilita reforzar la seguridad de la información y disminuir los riesgos de fraude, pérdida o filtración de información.

Basada en el estándar BS 7799, el cual fue sustituido por esta norma, se la ha reorganizado para alinearse con otras normas internacionales.

Fueron incorporados nuevos controles, poniendo énfasis en las métricas para la seguridad de la información y la gestión de incidentes.

La norma ISO 27001 también se basa en otras como ISO/IEC 17799:2005, la serie ISO 13335, ISO/IEC TR 18044:2004 y las Directrices de la OCDE para sistemas y redes de seguridad de la información, que brindan orientación para implementar sistemas de seguridad de la información.

Como resultado de este alineamiento con otros sistemas de gestión y la operación integrada con normas de gestión relacionadas, la implementación de norma ISO 27001 tiene como resultados:

  • La armonización con normas de sistemas de gestión como ISO 9001 e ISO 14001.
  • El énfasis en la mejora continua de procesos del sistema de gestión de seguridad de la información.
  • La claridad en los requisitos de documentación y registros.
  • Procesos de evaluación y gestión de los riesgos involucrados mediante el modelo del ciclo de calidad de Deming: Planificar, Hacer, Verificar, Actuar (PDCA, por sus siglas en inglés).
  • La protección de los activos de la empresa, desde la información digital, los documentos y activos físicos (computadoras y redes) hasta los conocimientos de los empleados.

El certificado es emitido por un organismo de certificación independiente y autorizado. Mediante dicha certificación quedará demostrado que la organización ha tomado las precauciones necesarias para proteger la información contra diversos riesgos.

¿Qué es un sistema de gestión de seguridad de la información (SGSI)?

Como el nombre lo sugiere, es un conjunto de políticas de administración de la información desde la perspectiva de la seguridad informática.

Cabe destacar que este tipo de sistemas son usados en otros estándares no solo por la ISO 27001.

Un Sistema de Gestión de Seguridad de la Información (SGSI) consta del diseño, implantación y mantenimiento de un conjunto de procesos para gestionar de manera correcta y eficiente el acceso a la información, buscando mantener factores de calidad de la información como la confidencialidad, integridad y disponibilidad de los activos de información, siempre buscando minimizar los riesgos de seguridad.

¿Qué es el Ciclo PDCA?

El ciclo de Deming, también conocido como círculo PDCA o ciclo de mejoras continuas, se basa en 4 pasos: Planificar, hacer, verificar y actuar (Plan, Do, Check, Act).

1.Ciclo PDCA: Planificar (Plan)

En esta primera fase se establecen las actividades necesarias del proceso para llegar al resultado esperado.

Al basar las acciones en el resultado esperado, la exactitud y cumplimiento de las especificaciones a lograr se convierten también en un elemento a mejorar. Es necesario:

  • Recopilar datos para profundizar en el conocimiento del proceso.
  • Detallar las especificaciones de los resultados esperados.
  • Definir las actividades necesarias para lograr el producto o servicio, verificando los requisitos especificados.
  • Establecer los objetivos y procesos necesarios para conseguir resultados necesarios de acuerdo con los requerimientos del cliente y las políticas organizacional.

2.Ciclo PDCA: Hacer (Do)

A partir de los resultados conseguidos en la fase anterior se procede a recopilar lo aprendido y a ponerlo en marcha.

También suelen aparecer recomendaciones y observaciones que suelen servir para volver al paso inicial de Planificar y así el círculo nunca dejará de fluir.

Actualmente algunos expertos prefieren denominar este paso “Ajustar”. Esto ayuda a las personas que se inician en el ciclo PDCA a comprender que el cuarto paso tiene que ver con la idea de cerrar el ciclo con la realimentación para acercar los resultados obtenidos a los objetivos.

Además, no debe confundirse este paso “A” con el conjunto de acciones (implementación) consecuencia del despliegue de los planes (que se desarrolla en el segundo paso, “D”, de “hacer” o “llevar a cabo las Acciones”).

3.Ciclo PDCA: Controlar o Verificar (Check)

Pasado un periodo previsto de antemano, los datos de control son recopilados y analizados, comparándolos con los requisitos especificados inicialmente, para saber si se han cumplido y, en su caso, evaluar si se ha producido la mejora esperada.

Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados.

4.Ciclo PDCA: Actuar (Act)

Por último, una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora.

Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar.

¿Porqué es importante certificarse con la ISO 27001?

ISO 27001: 2014 es obligatoria en el Estado Peruano

Todas las entidades integrantes del Sistema Nacional de Informática, deben implementar la NTP ISO/IEC 27001:2014. Esta normativa permite continuar mejorando la seguridad en los sistemas de información del Estado, los servicios públicos en línea, las aplicaciones móviles, afianzar el uso de las firmas digitales, promover el uso del DNI electrónico, el IPv6, la digitalización de documentos, el cloud computing, la protección de datos personales, así como impulsar el desarrollo del Gobierno Electrónico en las regiones del país, beneficiando a los ciudadanos y empresas a nivel nacional.

Además del estatuto de obligatoriedad del estado, implementar este estándar es muy importante para cualquier empresa que desee aportar valor a sus clientes y socios, ya que se complementan con otros estándares como las ISO 9001 (Gestión de calidad ), ISO 22301 (Continuidad de negocio), entre otros.

Experiencia segura con ON

Gracias a la correcta implementación del SGSI, hemos logrado conseguir la certificación oficial para este importante estándar de seguridad de la información.

Recientemente implementamos una campaña de concienciación sobre la Seguridad de la Información basados en la ISO 27001, para dar a conocer y sensibilizar a nuestros colaboradores sobre las políticas del Sistema de Gestión de Seguridad de la información (SGSI) que utilizamos en nuestra empresa.

La campaña estuvo conformada por una serie de tips que que explicaban detalladamente cada norma de la SGSI y los pasos de seguridad que tu empresa y tus empleados deben seguir para evitar ciberataques o robo de información delicada.

Puesto de Trabajo despejado y bloqueo de pantalla

    • Mantenga su escritorio Limpio y ordenado.
    • Evita dejar documentos confidenciales o dispositivos USB a la vista de todos.

 

  • Destruya la información sensible (confidencial) en formato papel, cuando ya no la uses.
  • Bloquee la sesión de trabajo de su PC o laptop cuando se ausente de su escritorio (Ctrl + Alt + Supr o tecla Windows + L).

 

Seguridad Física y Ambiental

  • Proteja sus dispositivos portátiles: Laptops y celulares.
  • Coloca un patrón de acceso a los celulares.
  • Guarde sus archivos y medios portátiles en un cajón o armario con llave.
  • Lleve su fotocheck en un lugar visible mientras se encuentre en las instalaciones de ON.
  • Acompañe a las visitas mientras permanezca en Optical, no deje que se desplacen solas en las instalaciones.

Códigos Maliciosos

  • Cuidado con las infecciones de virus, gusanos, troyanos, programas espía, etc.
  • Evite abrir correos (link y/o adjuntos) de dudosa procedencia o cuando desconoce al remitente.
  • Evite conectar a su pc o laptop discos externos o USB de dudosa procedencia.
  • Siempre pregúntese del origen de los correos y dispositivos de almacenamiento.

Activos de la Información

  • Es importante proteger los activos de información, porque existen amenazas que no solo provienen del exterior de nuestra empresa, sino también del interior.
  • Un activo de información es aquel elemento que contiene información y se clasifica en:
    • Información Impresa.
    • Información electrónica.
    • Sistemas de Información
    • Personas
    • Equipos de cómputo.