¿Qué es ISO 27001 y por qué es importante implementar esta norma?

Una empresa u organización puede ser gestionada de diversas formas. Si quisiéramos simplificar este análisis, podemos decir que solo existen dos opciones: la primera es gestionarla bien y la segunda es gestionarla mal. Al profundizar en qué implica hacerlo mal, se trata de concentrarse únicamente en el siguiente tridente: comprar, producir (un producto o un servicio) y vender. Se entiende que de estas tres operaciones se obtiene una utilidad que debe ser cuidada para poder continuar el ciclo mencionado. Pensar y ejecutar de esta manera, es administrar o gestionar mal una empresa; aunque es cierto que muchas empresas han crecido trabajando de esa manera, ello no significa que sea la forma correcta. 

Veamos el otro lado de la moneda. ¿Qué implica hacerlo bien? Administrar bien implica aplicar métodos, técnicas y herramientas que forman parte de la llamada “teoría administrativa” o “teoría de la gestión”. Estos métodos y técnicas se pueden aprender en cursos libres que ofrecen las escuelas de negocios o a través del autoestudio, especialmente ahora que existen herramientas como Google, YouTube y otras plataformas virtuales. 

Dentro de esta “teoría” sobre cómo administrar empresas, existen algo llamado los “sistemas de gestión”. Un sistema de gestión es un conjunto de elementos que interactúan para establecer políticas, objetivos y procesos que permiten cumplir con los objetivos planteados. Los sistemas de gestión están descritos en estándares internacionales publicados por la Organización Internacional de Estándares (ISO por sus siglas en inglés). Hay sistemas de gestión para cada tema relevante en el mundo de la administración. Tenemos la ISO 9001 que se refiere al tema de la calidad, la ISO 45001 que se refiere a los temas de seguridad y salud en el trabajo, entre otras más. 

Para el tema de la Seguridad de la información, tenemos la norma ISO 27001, cuya última versión se publicó en octubre de 2022 (por lo que se le conoce como norma ISO 27001:2022). Esta versión reemplaza a la versión de 2013, que a su vez había ocurrido a la primera versión de la norma ISO 27001, tal como la conocemos, publicada en el año 2005. 

El objetivo de aplicar la norma en una empresa y de esta forma implementar un sistema de gestión de la seguridad de la información (SGSI) es cuidar y proteger la información de la empresa para que esta no se pierda o no llegue a quien no debería (por ejemplo, la competencia, la prensa, etc.).  

Evidentemente, toda la información que maneja una empresa es confidencial y solo deben conocerla y tener acceso a ella sus trabajadores (pues la necesitan para realizar su trabajo) y otras partes interesadas que se consideran necesarias. Pero ¿Cómo evitar que personas ajenas accedan a la información confidencial de la empresa? ¿Cómo evitar que los trabajadores de la empresa pierdan o entreguen información confidencial? Es cierto que hay información que la organización debe publicar en forma abierta. 

Por ejemplo, las entidades públicas (en donde, dicho sea de paso, es obligatoria la implementación de un sistema de seguridad de información bajo ISO 27001 en todas las entidades que forman el sistema informático nacional; ver RM 04-2016 PCM) publican información de sus planes, presupuestos y procesos en el portal de transparencia del Estado. También, los bancos publican información de sus estados financieros auditados en los diarios de circulación nacional. Sin embargo, es evidente que la mayor parte de la información de una organización no está expuesta y es de manejo interno.  

Requisitos para la certificación ISO 27001 

¿Qué debe hacer una empresa para implementar y certificarse bajo la ISO 27001? Esta norma (como todas las normas ISO) está compuesta de una serie de requisitos que toda organización que desee implementarla y tener una certificación debe cumplir. Estos requisitos están ordenados según la “estructura de alto nivel” del llamado “Anexo SL” que la ISO impuso para sus normas desde el año 2012. Se establece que toda norma ISO certificable tenga 10 acápites, siendo los 3 primeros introductorios y de definición conceptual, ya a partir del acápite 4 hasta el 10 la definición de requisitos en materia de contexto, liderazgo, planificación, soporte, operación, evaluación y mejora. 

Algunos de los requisitos más importantes son: 

• Realizar un análisis del contexto (típico FODA) en temas de seguridad de información, complementar este análisis con un estudio de las necesidades y expectativas de las diferentes partes interesadas que rodean a la organización (por ejemplo: los clientes de una empresa tienen la expectativa que su información no caiga bajo el control de la competencia o de personas que podrían dañar su reputación). 
• Definir un alcance, es decir, en qué procesos, áreas y/o sucursales o dependencias se aplica el SGSI. Podría aplicarse también a toda la organización, de hecho, eso es lo recomendable. 
• Establecer una Política (la misma norma indica cual debe ser el contenido) y objetivos en temas de seguridad de información.
• Realizar un análisis de riesgos, vulnerabilidades y establecer controles que sean preventivos (para evitar la pérdida o fuga de información), así como planes de contingencia que nos ayuden a reaccionar de forma ágil ante la pérdida de información relevante. 

Es importante mencionar que esta versión de la norma incluye el llamado Anexo A, que detalla 114 controles que, en la medida en que sean aplicables a su operación, deben ser implementados. 

Finalmente, el control de indicadores (llamados KPIs) es muy necesario para verificar si los objetivos del SGSI se están cumpliendo, y en caso contrario, iniciar acciones correctivas y/o proyectos de mejora (las acciones correctivas nacen a partir de no conformidades o situaciones que no debieron suceder, y las acciones de mejora surgen a partir de iniciativas del personal o la gerencia).

Debemos recordar que todos los sistemas deben ser auto-auditados (requisito de Auditoría Interna) y revisados por su alta dirección (gerente general, comité o algún gerente funcional, ya que la definición de quién asume el rol de alta dirección no obstante debe recaer en el gerente general). El plazo de implementación encontró el alcance definido; a mayor alcance, mayor plazo. 

¿Cómo obtener la certificación ISO 27001?

Si la organización cumple con implementar todos los requisitos mencionados y desea obtener un “diploma” o “reconocimiento” externo por mantener un SGSI, puede contratar una casa certificadora (en el Perú operan empresas como SGS, SMC, BVQI, AENOR, entre otras) y programar una auditoría de “tercera parte” (así se le llama). Si el auditor externo considera que el sistema cumple con todos los requisitos que exige la norma (es decir, si no encuentra incumplimientos o NO conformidades mayores), se otorga el certificado. 

Beneficios del ISO 27001 

Los beneficios de implementar la norma y obtener esta certificación son múltiples, pues lo esencial es que la gerencia pueda “dormir tranquila” sabiendo que la información está segura. Esto es muy importante ahora, pues los ciberataques (phishing, malware, etc.) son mucho más comunes. Esto también tiene impacto en los clientes, ya que al saber que su información está segura, se genera mayor confianza.

Es importante mencionar adicionalmente la reducción de riesgos en materia legal, pues exponer la información de terceros puede generar contingencias como denuncias o demandas. Finalmente, una empresa certificada en una norma ISO siempre será vista de manera diferente por su mercado, ya que asocia la marca de la organización con aspectos relacionados con la seriedad, formalidad y cumplimiento, es decir, tiene un impacto positivo en la reputación. 

*Esta nota es una colaboración de Miguel Santivañez, docente de la Escuela de Posgrado de la Universidad Privada del Norte.  

¿Te interesa saber más sobre el tema? Te invitamos a conocer el diplomado en Seguridad de la Información y Auditoría de la Información.