¿Qué es el cumplimiento de ISO 27001? Consejos e ideas esenciales

La Organización Internacional de Normalización (ISO) es un organismo global que recopila y gestiona varios estándares para diferentes disciplinas. En el mundo actual, con tantas industrias que ahora dependen de Internet y las redes digitales, se pone cada vez más énfasis en las partes tecnológicas de las normas ISO.

En particular, la norma ISO 27001 está diseñada para funcionar como marco para el sistema de gestión de seguridad de la información (SGSI) de una organización. Esto incluye todas las políticas y procesos relevantes sobre cómo se controlan y utilizan los datos. ISO 27001 no exige herramientas, soluciones o métodos específicos, sino que funciona como una lista de verificación de cumplimiento. En este artículo, analizaremos cómo funciona la certificación ISO 27001 y por qué aportaría valor a su organización.

Obtenga lo esencial gratis Guía para el cumplimiento y las regulaciones de protección de datos de EE. UU.

  • Cómo obtener la certificación ISO 27001
  • Estándares de cumplimiento de ISO 27001
  • Controles de auditoría de cumplimiento de ISO 27001
  • Cómo mantener el cumplimiento de ISO 27001
  • Preguntas frecuentes sobre el cumplimiento de ISO 27001 + Recursos

Introducción a ISO 27001

La ISO publicó por primera vez su familia de normas en 2005 y desde entonces ha realizó actualizaciones periódicas de las distintas políticas. Para ISO 27001, los últimos cambios importantes se introdujeron en 2013. La propiedad de ISO 27001 en realidad es compartida entre ISO y la Comisión Electrotécnica Internacional (IEC), que es un organismo de organización suizo que se centra principalmente en sistemas electrónicos.

El objetivo de ISO 27001 es proporcionar un marco de normas sobre cómo una organización moderna debe gestionar su información y datos. La gestión de riesgos es una parte clave de ISO 27001, que garantiza que una empresa o una organización sin fines de lucro comprenda dónde se encuentran sus fortalezas y debilidades. La madurez ISO es un signo de una organización segura y confiable en la que se pueden confiar los datos.

Las empresas de todos los tamaños deben reconocer la importancia de la ciberseguridad, pero simplemente establecer un grupo de seguridad de TI dentro de la organización no lo es. suficiente para garantizar la integridad de los datos. Un SGSI es una herramienta fundamental, especialmente para grupos que se encuentran distribuidos en varias ubicaciones o países, ya que cubre todos los procesos de extremo a extremo relacionados con la seguridad.

Debe existir un SGSI (sistema de gestión de seguridad de la información) como un conjunto vivo de documentación dentro de una organización con el propósito de la gestión de riesgos. Hace décadas, las empresas imprimían el SGSI y lo distribuían a los empleados para su conocimiento. Hoy en día, un SGSI debe almacenarse en línea en un lugar seguro, normalmente un sistema de gestión del conocimiento. Los empleados deben poder consultar el SGSI en cualquier momento y recibir alertas cuando se implemente un cambio. Al buscar la certificación ISO 27001, el SGSI es la pieza principal de material de referencia que se utiliza para determinar el nivel de cumplimiento de su organización.

ISO 27001 puede servir como una guía para cualquier grupo o entidad que busque mejorar la seguridad de su información. métodos o políticas. Para aquellas organizaciones que buscan ser las mejores en su clase en esta área, la certificación ISO 27001 es el objetivo final. El cumplimiento total significa que se ha considerado que su SGSI sigue todas las mejores prácticas en el ámbito de la ciberseguridad para proteger a su organización de amenazas como el ransomware.

En determinadas industrias que manejan clasificaciones de datos muy sensibles, incluidas las médicas y En el campo financiero, la certificación ISO 27001 es un requisito para los proveedores y otros terceros. Herramientas como Varonis Data Classification Engine pueden ayudar a identificar estos conjuntos de datos críticos. Pero independientemente de la industria en la que se encuentre su empresa, demostrar el cumplimiento de la norma ISO 27001 puede ser una gran ventaja. Específicamente, la certificación demostrará a los clientes, gobiernos y organismos reguladores que su organización es segura y confiable. Esto mejorará su reputación en el mercado y lo ayudará a evitar daños financieros o sanciones por violaciones de datos o incidentes de seguridad.

¿Qué sucede si no cumple con la norma ISO 27001? Si su organización ha recibido una certificación anteriormente, podría correr el riesgo de fallar en una auditoría futura y perder su designación de cumplimiento. También podría impedirle operar su negocio en ciertas áreas geográficas.

Cómo obtener la certificación ISO 27001

Recibir una certificación ISO 27001 suele ser un proceso de varios años que requiere una participación significativa de las partes interesadas internas y externas. No es tan simple como completar una lista de verificación y enviarla para su aprobación. Antes incluso de considerar solicitar la certificación, debe asegurarse de que su SGSI esté completamente maduro y cubra todas las áreas potenciales de riesgo tecnológico.

El proceso de certificación ISO 27001 generalmente se divide en tres fases:

  1. La organización contrata a un organismo de certificación que luego realiza una revisión básica del SGSI para buscar los principales formas de documentación.
  2. El organismo de certificación realiza una auditoría más profunda en la que los componentes individuales de ISO 27001 se comparan con el SGSI de la organización. Se debe demostrar que las políticas y los procedimientos se están siguiendo de manera adecuada. El auditor principal es responsable de determinar si la certificación se obtiene o no.
  3. Se programan auditorías de seguimiento entre el organismo de certificación y la organización para garantizar que el cumplimiento se mantenga bajo control.

¿Qué son las Normas ISO 27001?

Antes de embarcarse en un intento de certificación ISO 27001, todas las partes interesadas clave dentro de una organización deben familiarizarse con la forma en que se organiza y utiliza la norma. ISO 27001 se divide en 12 secciones separadas:

  1. Introducción: describe qué es la seguridad de la información y por qué una organización debe gestionar los riesgos.
  2. Alcance: cubre los requisitos de alto nivel para un SGSI para aplicar a todo tipo de organizaciones.
  3. Referencias normativas: explica la relación entre las normas ISO 27000 y 27001.
  4. Términos y definiciones: cubre la terminología compleja que se utiliza dentro de la norma. .
  5. Contexto de la organización: explica qué partes interesadas deben participar en la creación y mantenimiento del SGSI.
  6. Liderazgo: describe cómo los líderes dentro de la organización deben comprometerse con las políticas y procedimientos del SGSI. .
  7. Planificación: cubre un esquema de cómo se debe planificar la gestión de riesgos en toda la organización.
  8. Soporte: describe cómo crear conciencia sobre la seguridad de la información y asignar responsabilidades.
  9. Operación: cubre cómo se deben gestionar los riesgos y cómo se debe realizar la documentación. Se debería realizar para cumplir con los estándares de auditoría.
  10. Evaluación del desempeño: proporciona pautas sobre cómo monitorear y medir el desempeño del SGSI.
  11. Mejora: explica cómo el SGSI debe actualizarse y actualizarse continuamente. mejorada, especialmente después de auditorías.
  12. Controles y objetivos de control de referencia: proporciona un anexo que detalla los elementos individuales de una auditoría.

¿Qué son los controles de auditoría ISO 27001?

La documentación de ISO 27001 divide las mejores prácticas en 14 controles separados. Las auditorías de certificación cubrirán los controles de cada uno durante las verificaciones de cumplimiento. Aquí hay un breve resumen de cada parte del estándar y cómo se traducirá en una auditoría de la vida real:

  1. Políticas de seguridad de la información: cubre cómo las políticas deben escribirse en el SGSI y revisarse para su cumplimiento. . Los auditores verán cómo se documentan y revisan sus procedimientos de forma regular.
  2. Organización de la seguridad de la información: describe qué partes de una organización deben ser responsables de qué tareas y acciones. Los auditores esperarán ver un organigrama claro con responsabilidades de alto nivel basadas en el rol.
  3. Seguridad de recursos humanos: cubre cómo se debe informar a los empleados sobre la seguridad cibernética al comenzar, dejar o cambiar de puesto. Los auditores querrán ver procedimientos claramente definidos para la incorporación y la baja en lo que respecta a la seguridad de la información.
  4. Gestión de activos: describe los procesos involucrados en la gestión de activos de datos y cómo deben protegerse y asegurarse. Los auditores comprobarán cómo su organización realiza un seguimiento del hardware, software y bases de datos. La evidencia debe incluir cualquier herramienta o método común que use para garantizar la integridad de los datos.
  5. Control de acceso: brinda orientación sobre cómo el acceso de los empleados debe limitarse a diferentes tipos de datos. Los auditores deberán recibir una explicación detallada de cómo se establecen los privilegios de acceso y quién es responsable de mantenerlos.
  6. Criptografía: cubre las mejores prácticas de cifrado. Los auditores buscarán partes de su sistema que manejen datos confidenciales y el tipo de cifrado utilizado, como DES, RSA o AES.
  7. Seguridad física y ambiental: describe los procesos para proteger edificios y equipos internos. Los auditores comprobarán si existen vulnerabilidades en el sitio físico, incluida la forma en que se permite el acceso a las oficinas y los centros de datos.
  8. Seguridad de operaciones: proporciona orientación sobre cómo recopilar y almacenar datos de forma segura, un proceso que ha adquirido nuevos urgencia gracias a la aprobación del Reglamento general de protección de datos (GDPR) en 2018. Los auditores solicitarán ver evidencia de los flujos de datos y explicaciones sobre dónde se almacena la información.
  9. Seguridad de las comunicaciones: cubre la seguridad de todas las transmisiones dentro la red de una organización. Los auditores esperarán ver una descripción general de los sistemas de comunicación que se utilizan, como el correo electrónico o las videoconferencias, y cómo se mantienen seguros sus datos.
  10. Adquisición, desarrollo y mantenimiento de sistemas: detalla los procesos para administrar sistemas en un entorno seguro. Los auditores querrán evidencia de que cualquier sistema nuevo introducido en la organización se mantiene con altos estándares de seguridad.
  11. Relaciones con proveedores: cubre cómo una organización debe interactuar con terceros mientras se garantiza la seguridad. Los auditores revisarán cualquier contrato con entidades externas que puedan tener acceso a datos confidenciales.
  12. Gestión de incidentes de seguridad de la información: describe las mejores prácticas sobre cómo responder a problemas de seguridad. Los auditores pueden solicitar realizar un simulacro de incendio para ver cómo se maneja la gestión de incidentes dentro de la organización. Aquí es donde resulta útil tener un software como SIEM para detectar y categorizar el comportamiento anormal del sistema.
  13. Aspectos de seguridad de la información de la gestión de la continuidad del negocio: cubre cómo se deben manejar las interrupciones del negocio y los cambios importantes. Los auditores pueden plantear una serie de interrupciones teóricas y esperarán que el SGSI cubra los pasos necesarios para recuperarse de ellas.
  14. Cumplimiento: identifica qué regulaciones gubernamentales o industriales son relevantes para la organización, como ITAR. Los auditores querrán ver evidencia de cumplimiento total para cualquier área donde opere la empresa.

Un error que cometen muchas organizaciones es colocar todas las responsabilidades de la certificación ISO en el equipo de TI local. Aunque la tecnología de la información es el núcleo de ISO 27001, los procesos y procedimientos deben ser compartidos por todas las partes de la organización. Este concepto se encuentra en el corazón de la idea de la transición de devops a devsecops.

Al prepararse para una auditoría de certificación ISO 27001, se recomienda que busque la ayuda de un grupo externo con experiencia en cumplimiento. Por ejemplo, el grupo Varonis ha obtenido la certificación ISO 27001 completa y puede ayudar a los candidatos a preparar las pruebas necesarias para utilizarlas durante las auditorías. Varonis también ofrece soluciones de software como Datalert para ayudar a poner en práctica el SGSI de una organización.

Consejos para mantener el cumplimiento de ISO 27001

Obtener una certificación ISO 27001 inicial es solo el primer paso para cumplir plenamente. Mantener los altos estándares y las mejores prácticas suele ser un desafío para las organizaciones, ya que los empleados tienden a perder su diligencia después de que se ha completado una auditoría. Es responsabilidad del liderazgo asegurarse de que esto no suceda.

Dada la frecuencia con la que los nuevos empleados se unen a una empresa, la organización debe realizar sesiones de capacitación trimestrales para que todos los miembros comprendan el SGSI y cómo se usa. También se debe exigir a los empleados existentes que pasen una prueba anual que refuerce los objetivos fundamentales de ISO 27001.

Para seguir cumpliendo, las organizaciones deben realizar sus propias auditorías internas de ISO 27001 una vez cada tres años. Los expertos en ciberseguridad recomiendan hacerlo anualmente para reforzar las prácticas de gestión de riesgos y buscar brechas o deficiencias. Productos como Datadvantage de Varonis pueden ayudar a agilizar el proceso de auditoría desde una perspectiva de datos.

Se debe formar un grupo de trabajo ISO 27001 con partes interesadas de toda la organización. Este grupo debe reunirse mensualmente para revisar cualquier problema abierto y considerar actualizaciones a la documentación del SGSI. Un resultado de este grupo de trabajo debería ser una lista de verificación de cumplimiento como la que se describe aquí:

  1. Obtenga apoyo de la gerencia para todas las actividades de ISO 27001.
  2. Trate el cumplimiento de ISO 27001 como un
  3. Defina el alcance de cómo se aplicará la norma ISO 27001 a las diferentes partes de su organización.
  4. Escriba y actualice la política de SGSI, que describe su estrategia de ciberseguridad a un alto nivel.
  5. Defina la metodología de evaluación de riesgos para capturar cómo se identificarán y manejarán los problemas.
  6. Realice la evaluación y el tratamiento de riesgos de forma regular una vez que se hayan descubierto los problemas.
  7. Escriba una declaración de aplicabilidad para determinar qué controles ISO 27001 son aplicables.
  8. Escriba un plan de tratamiento de riesgos para que todas las partes interesadas sepan cómo se están mitigando las amenazas. El uso de modelos de amenazas puede ayudar a lograr esta tarea.
  9. Definir la medición de controles para comprender cómo se están desempeñando las mejores prácticas de ISO 27001.
  10. Implementar todos los controles y procedimientos obligatorios como se describe en la 27001.
  11. Implemente programas de capacitación y concientización para todas las personas dentro de su organización que tienen acceso a activos físicos o digitales.
  12. Opere el SGSI como parte de la rutina diaria de su organización.
  13. Supervise el SGSI para comprender si se está utilizando de manera eficaz.
  14. Ejecute auditorías internas para evaluar su cumplimiento continuo.
  15. Revise los resultados de la auditoría con la administración.
  16. Establezca acciones correctivas o preventivas cuando sea necesario.

Guía rápida de ISO 27001: Preguntas frecuentes

El proceso y el alcance de la certificación ISO 27001 pueden ser bastante abrumadores, así que cubramos algunas preguntas frecuentes.

P: ¿Cuáles son los requisitos de ISO 27001?

R: Para obtener una certificación ISO 27001, una organización debe mantener un SGSI que cubra todos los aspectos del estándar. Después de eso, pueden solicitar una auditoría completa de un organismo de certificación.

P: ¿Qué significa tener la certificación ISO 27001?

R: Tener la certificación ISO 27001 significa que su la organización ha superado con éxito la auditoría externa y cumplió con todos los criterios de cumplimiento. Esto significa que ahora puede anunciar su cumplimiento para mejorar su reputación de ciberseguridad.

P: ¿Cuál es el último estándar ISO 27001?

R: El último estándar se conoce oficialmente como ISO / IEC 27001: 2013. Se publicó en 2013 como la segunda edición oficial de ISO 27001. El estándar se revisó y confirmó por última vez en 2019, lo que significa que no se requirieron cambios.

P: ¿Cumple con ISO 27001 GDPR?

R: Debido a que ISO 27001 es principalmente un marco para desarrollar un SGSI, no cubrirá todas las reglas específicas del Reglamento General de Protección de Datos (GDPR) instituido por la Unión Europea. Sin embargo, cuando se combina con ISO 27701, que cubre el establecimiento de un sistema de privacidad de datos, las organizaciones podrán cumplir completamente con los requisitos especificados en GDPR.

P: ¿Cuáles son las principales similitudes o diferencias entre SOX y ¿ISO 27001?

R: Mientras que ISO 27001 cubre la gestión general de información y datos, la Ley Sarbanes-Oxley (SOX) es específica sobre cómo se divulga la información financiera en los Estados Unidos. Afortunadamente para las empresas que tienen un amplio alcance de gestión de datos, obtener la certificación ISO 27001 también ayudará a demostrar el cumplimiento de los estándares SOX.

P: ¿Cuál es el propósito de otras ISO?

R: La ISO mantiene un conjunto completo de estándares que se encuentran por debajo de ISO 27001. Todos estos toman conceptos del marco y se sumergen en pautas más específicas sobre cómo instituir las mejores prácticas dentro de una organización.

Recursos

  • Libro verde sobre cómo ISO 27001 puede reducir el riesgo cibernético
  • Seminario web sobre cómo garantizar una auditoría de ISO 27001 exitosa
  • Estudios de caso sobre el cumplimiento de ISO 27001

No importa el tamaño de su empresa o la industria en la que trabaje, obtener la certificación ISO 27001 puede ser una gran ventaja. Sin embargo, es una tarea desafiante, por lo que es importante aprovechar a otras partes interesadas y recursos durante un proyecto de cumplimiento. Con herramientas como Varonis Edge, puede detener los ciberataques antes de que lleguen a su red y, al mismo tiempo, mostrar evidencia de su cumplimiento con la norma ISO 27001.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *