Los ataques cibernéticos globales alcanzaron un nivel récord en el cuarto trimestre de 2022, aumentando a 1,168 por semana por organización. Eso es un aumento del 38% respecto a 2021.

Si su empresa maneja datos sensibles, necesita generar confianza con los clientes manteniéndolos a salvo de los ciberdelincuentes. Ahí es donde entran las normas de seguridad ISO 27000.

Un certificado ISO 27000 es una de las mejores maneras de mostrar a los prospectos y clientes que se puede confiar en usted para salvaguardar sus datos personales. Si se pregunta cómo funciona una auditoría o qué detalles necesitará documentar, esta guía tiene todas las respuestas que necesita.

¿Qué es la serie ISO/IEC 27000?

Publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional, la serie ISO/IEC 27000 está compuesta por más de una docena de normas diseñadas para ayudar a las organizaciones a mejorar su seguridad en tecnologías de la información mediante la construcción de un sistema de gestión de la seguridad de la información (SGSI) sólido. Un SGSI implementado según estas normas está diseñado para mitigar el riesgo en tres pilares de la seguridad de la información: personas, procesos y tecnología.

En el núcleo de la familia ISO 27000 se encuentra la ISO 27001, que detalla los requisitos para implementar un SGSI.

El concepto de un SGSI es fundamental para ISO 27000, así que definámoslo más en detalle a continuación.

Sistema de gestión de la seguridad de la información de ISO

Un sistema de gestión de la seguridad de la información es el conjunto completo de activos de información, sistemas, tecnologías, personas, socios, procesos y políticas que una organización utiliza para proteger datos sensibles. Un SGSI debe proteger los activos de información contra accesos no autorizados, identificar y mitigar riesgos de manera proactiva y asegurar la disponibilidad de los datos.

La mayoría de las personas piensan en un SGSI en el contexto de hardware y software. Según ISO 27000, la definición es más amplia e incluye flujos de trabajo, políticas, planes y cultura.

¿Cuáles son las normas ISO 27000?

La familia de normas ISO 27000 está diseñada para certificar las políticas de seguridad de la información de una empresa.

ISO 27001 es la norma central y la única en la serie contra la que las empresas pueden ser auditadas y certificadas. Las demás proporcionan directrices de seguridad de la información que los auditores independientes y los organismos de certificación pueden utilizar para certificar sus controles internos de seguridad de la información.

Aunque no todas las normas ISO se aplicarán a su organización, es útil tener un entendimiento general de ISO 27000 y sus principios básicos, incluidos los requisitos para construir un SGSI.

ISO/IEC 27000

ISO 27000 proporciona una visión general de los sistemas de gestión de seguridad de la información, así como los términos y definiciones comúnmente usados en los otros estándares de la familia ISO/IEC 27000. También explica el alcance, los roles, la función y la relación de cada estándar entre sí.

ISO/IEC 27001

ISO 27000 describe las técnicas de seguridad necesarias para proteger adecuadamente los datos de los clientes. ISO 27001 es donde esos principios se encuentran con el mundo real. Las empresas implementan los requerimientos descritos en los estándares ISO 27000 y verifican la efectividad de sus sistemas de gestión de seguridad de la información (ISMS) a través de una auditoría ISO 27001.

ISO 27001 enumera los requisitos para construir un ISMS conforme. El ISMS debe ser:

• Claramente documentado
• Apoyado por la alta dirección
• Capaz de anticipar y mitigar riesgos
• Provisto de todos los recursos necesarios para funcionar
• Revisado y actualizado regularmente

El Anexo A de la versión más reciente — ISO/IEC 27001:2022 — enumera 93 controles que una organización puede usar para cumplir con estos requisitos.

ISO/IEC 27002

ISO 27002 se basa en los controles discutidos en el Anexo A de ISO 27001. Mientras que el Anexo A ofrece un resumen rápido de cada control, ISO 27002 los describe todos en su totalidad.

ISO 27002 es útil porque la empresa bajo auditoría ISO 27001 solo necesita abordar los controles que sean relevantes para ellos. Por ejemplo, si no tienes empleados que trabajen de forma remota, probablemente no necesites implementar controles sobre dejar computadoras de la empresa en espacios públicos.

ISO/IEC 27003

ISO 27003 proporciona orientación general sobre la construcción de un ISMS. Es un excelente recurso para la fase previa a la auditoría cuando puedes usar sus directrices para realizar un análisis de brechas y determinar qué necesita hacer tu empresa para cumplir con la norma ISO 27001.

ISO/IEC 27004

ISO 27004 se basa en ISO 27003 y sugiere formas de evaluar y monitorear la seguridad de tu ISMS. También ayuda a las organizaciones a determinar cuáles de los controles en ISO 27002 podrían ser útiles para la preparación de la auditoría.

ISO/IEC 27005

ISO 27005 es un código de prácticas dedicado a la gestión de riesgos en la seguridad de la información. Dado que predecir, analizar y mitigar riesgos es una parte crucial de la certificación ISO 27001, vale la pena estudiar este estándar con el mayor detalle posible.

Las secciones incluyen:

• evaluación de riesgos
• elegir si mitigar, aceptar o evitar los riesgos
• monitorizar las respuestas a los riesgos a lo largo del tiempo

ISO/IEC 27006

ISO 27006 es un conjunto de estándares de seguridad de la información que determina si una empresa está calificada para realizar auditorías ISO 27001. A menos que tu negocio se relacione directamente con la realización de auditorías de conformidad, es probable que esta serie no sea significativa para ti.

ISO/IEC 27007 e ISO/IEC 27008

Este nuevo par de normas de seguridad de la información se introdujo en 2011 y se revisó en 2020. Se basan en ISO 27006 proporcionando directrices para que las organizaciones acreditadas realicen auditorías ISMS.

Si estás buscando un certificado ISO 27001 para tu empresa, es una buena idea leer estos estándares. Te darán una idea de lo que considerará tu auditor mientras evalúa tu ISMS.

ISO/IEC 27017 e ISO/IEC 27018

Este par de normas de seguridad de la información apareció por primera vez en 2014, cerca del comienzo del auge de los servicios en la nube. Proporcionan controles para asegurar cualquier dato que tu organización almacene en la nube.

ISO 27017 e ISO 27018 son para los datos en la nube lo que ISO 27002 es para los datos gestionados en las instalaciones.

Eres libre de usar ambos conjuntos de controles en paralelo: ISO 27002 para tus datos locales, así como ISO 27017 e ISO 27018 para los datos almacenados en la nube.

ISO/IEC 27033

El código de prácticas en ISO 27033 rige la seguridad de la red. ISO 27002 incluye varios controles para asegurar la red interna de una empresa. ISO 27033 se basa en estos controles y ofrece orientación sobre especificación e implementación.

ISO/IEC 27034

Esta serie se centra en la estructura de datos de los controles de seguridad de aplicaciones y su marco de predicción de aseguramiento.

ISO/IEC 27035

Esta serie cubre la gestión de incidentes de seguridad de la información, incluido el plan de respuesta a incidentes de su organización.

¿Cómo garantizará la continuidad del negocio si ocurre una brecha? Cada empresa debería delinear claramente las responsabilidades y los planes de comunicación en caso de un incidente de seguridad.

ISO/IEC 27701

Uno de los estándares ISO más recientes, ISO 27701 se centra en la privacidad. Fue creado en respuesta al fortalecimiento del RGPD de la UE y requiere que las organizaciones tomen "medidas apropiadas" para asegurar la información privada de los usuarios.

ISO 27701 explica cuáles podrían ser esas medidas apropiadas. En esencia, se trata de construir un sistema de gestión de información de privacidad (PIMS) en conjunto con su ISMS.

Historia de la familia de estándares ISO 27000

La historia de ISO 27000 se remonta a la Norma Británica (BS) 7799.

En 1993, el Departamento de Comercio e Industria del Reino Unido encargó a un comité que creara criterios de evaluación para productos de seguridad informática, así como una lista de mejores prácticas en tecnología de la información. Esto finalmente llevó a la creación de BS 7799, que se publicó en tres partes en 1995.

Una parte cubría los sistemas de gestión de la seguridad de la información y la implementación y eventualmente se convirtió en ISO 27001. ISO 27001 se lanzó como el primer estándar de la serie ISO 27000 en 2005.

Otra parte de BS 7799 cubría las mejores prácticas de seguridad de la información y posteriormente se integró en ISO 17799. Eventualmente, esto se renombró ISO 27002 en 2007 para alinearlo con el sistema de numeración de la serie ISO 27000.

Tanto ISO 27001 como 27002 fueron revisados en 2013 y nuevamente en 2022 para responder al cambiante panorama de amenazas.

¿Cómo obtengo la certificación ISO 27000?

Técnicamente, no lo hace. No existe tal cosa como la certificación ISO 27000.

ISO 27001 es el estándar que establece instrucciones para certificar una organización como compatible con cualquier parte de ISO 27000.

Echemos un vistazo al proceso para obtener la certificación ISO 27001 a continuación.

Paso 1: Comprender las normas ISO 27000.

Comience el proceso de certificación ISO 27001 entendiendo en detalle las normas ISO 27000, no solo la ISO 27001. Todas están ahí por una razón, ya sea para brindar asesoramiento, ayudarle a comprender la perspectiva de su auditor u ofrecer controles que se adapten a la situación única de su empresa.

Por ejemplo, si almacena parte de su infraestructura en la nube, estudie ISO 27017 e ISO 27018. Si sus clientes están en la UE, estudie ISO 27701, etc.

Paso 2: Construir un SGSI compatible.

Su siguiente paso es asegurarse de que su SGSI esté a la altura. ISO 27003 será útil aquí. Si su SGSI documentado se ajusta a todos los controles relevantes en cada sección de ISO 27000 (al menos en papel), es hora de la evaluación de riesgos.

Paso 3: Realizar una evaluación de riesgos.

Desarrolle su proceso de evaluación de riesgos utilizando las directrices de ISO 27005 para ayudarle. Revelará áreas en las que su SGSI no cumple con los requisitos, iluminando qué riesgos no mitigados conllevan las mayores consecuencias potenciales.

Paso 4: Crear un plan de tratamiento de riesgos e implementar controles.

El cumplimiento de ISO 27001 requiere documentación tanto del proceso de gestión de riesgos como de la decisión tomada respecto a cada riesgo: evitar, mitigar, absorber o transferir.

Paso 5: Definir un proceso de mejora continua.

El último paso es documentar un proceso para mejorar continuamente su SGSI. Utilice ISO 27004 como su guía para adaptar su SGSI a las amenazas de seguridad de datos en constante evolución.

Paso 6: Completar las auditorías de Etapa 1 y 2.

En este punto, si tiene toda la documentación y evidencia digital requerida, está listo para una auditoría de Etapa 1. Elegir un auditor es una parte importante y a menudo pasada por alto del proceso. Sugerimos evaluar un registrador/auditor en función de su nivel de experiencia con empresas similares a la suya, el tipo de soporte ofrecido para auditorías de vigilancia para mantener el cumplimiento y el costo.

Durante la auditoría de Etapa 1, el auditor realizará una revisión preliminar de su documentación y SGSI y señalará cualquier deficiencia que pueda haber pasado por alto. Tendrá la oportunidad de revisar el informe inicial y rectificar cualquier error antes de la auditoría final de certificación.

El auditor luego realizará una auditoría de Etapa 2, que implica una evaluación in situ de su SGSI. Su auditor también se asegurará de que su empresa esté siguiendo las políticas y procedimientos revisados durante la Etapa 1.

Si se determina que cumple con todos los estándares ISO 27000 relevantes, el auditor le emitirá un certificado ISO 27001.

¿Cuál es el propósito de ISO/IEC 27000?

El propósito de la serie de estándares ISO/IEC 27000 es ayudar a las organizaciones de todos los sectores y tamaños a proteger sus activos de información.

ISO 27001 es un estándar internacional muy respetado para los sistemas de gestión de seguridad de la información y sus requisitos. Una organización que complete una auditoría ISO 27001 realizada por un auditor acreditado recibirá un certificado. Este certificado proporciona a los clientes la tranquilidad de saber que una tercera parte ha confirmado que la organización ha construido un SGSI capaz de proteger datos sensibles.

Los otros estándares de la familia ISO 27000 proporcionan mejores prácticas adicionales en protección de datos y resiliencia cibernética.

Seguir estos estándares y obtener la certificación ISO 27001 no es obligatorio, pero puede proporcionar ventajas significativas para las empresas en crecimiento, incluyendo:

• Atracción de más clientes. Los clientes potenciales son muy conscientes de los crecientes riesgos que suponen las violaciones de datos. Al seleccionar socios para trabajar, los clientes tienen muy en cuenta la seguridad de la información. La certificación ISO 27001 puede mejorar significativamente tu ventaja competitiva.
• Prevención de costosas violaciones de datos. Una violación de datos de alto perfil puede ser devastadora para una empresa de cara al público, incluso sin las multas. Los hackeos resultan en mala prensa, pérdida de valor, deserciones de empleados y pérdida de productividad mientras todo el equipo se dedica a controlar los daños.
• Proporcionar claridad para tu equipo. El rápido crecimiento empresarial puede resultar en mayor confusión para tu equipo en cuanto a quién es responsable de qué políticas y activos de seguridad de la información. Los estándares ISO 27000 pueden ayudar a las organizaciones a aclarar responsabilidades.
• Ofrecer una opinión experta de terceros sobre tu postura general de seguridad. El verdadero beneficio del cumplimiento no es solo el distintivo en tu sitio web, sino la ventaja de saber que tu SGSI y controles internos funcionan como se espera y has implementado las mejores prácticas de seguridad de su clase.

Al final, cada organización que busca la conformidad con ISO 27000 a través de la certificación ISO 27001 tiene sus propias razones. Solo tú puedes decidir si es la elección correcta para tu negocio.

Cómo Secureframe puede ayudar a tu organización a asegurar sus activos de información

ISO 27000 es un conjunto riguroso de estándares por una razón: en un entorno de ciberseguridad en evolución, es necesario mantener los datos seguros.

Si estás considerando la certificación ISO 27001, una plataforma de cumplimiento puede aclarar y simplificar todo el proceso. Con Secureframe, puedes integrar toda la tecnología en tu SGSI, escanear automáticamente en busca de riesgos y posibles violaciones, y obtener ayuda experta de nuestro equipo interno de cumplimiento en cada paso.

Programa una demostración hoy para obtener ayuda experta para entender los pormenores de ISO 27000.