¿Qué es la Certificación ISO 27001?

Hay muchas personas que preferirían que su empresa no estuviera certificada en ISO 27001.

Hackers, por ejemplo. También estafadores, criminales financieros y otros habitantes de la web oscura.

¿Qué es exactamente la certificación ISO 27001? ¿Y cómo protege a su organización de estas amenazas?

ISO 27001 es un marco de seguridad creado por la Organización Internacional para la Estandarización que evalúa la capacidad de una empresa para mantener seguros sus datos. Para lograr la certificación, las empresas deben completar una auditoría para verificar que cumplen con los rigurosos estándares de ISO 27001.

Perseguir la certificación ISO 27001 tiene muchos beneficios para las empresas en crecimiento, además de mantener sus datos seguros frente a una brecha. También puede generar confianza con sus clientes, inspirar confianza en sus accionistas y brindarle una poderosa ventaja competitiva.

Si está interesado en saber qué se necesita para obtener la certificación ISO 27001, ha venido al lugar correcto.

En este artículo, cubriremos qué es una certificación ISO 27001, los beneficios y requisitos del cumplimiento, y el proceso y los costos de obtener la certificación.

¿Qué significa estar certificado en ISO 27001?

Cuando se trata de seguridad informática, la certificación ISO 27001 es uno de los estándares más respetados a nivel internacional.

El nombre completo de ISO 27001 es "ISO/IEC 27001:2017 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requisitos".

El estándar se estableció en 2005. Fue revisado en 2013 y 2017 a través de una asociación con la Comisión Electrotécnica Internacional (IEC), otra organización de estándares.

El marco ISO 27001 determina si una organización ha construido un sistema de gestión de seguridad de la información (SGSI) capaz de proteger datos sensibles.

Un SGSI es más que solo el hardware y software que utiliza para mantener la información segura. Es un conjunto completo de reglas que gobiernan cómo se utiliza la información. Esto incluye cómo se almacena y se recupera, cómo se evalúan y mitigan los riesgos y cómo se mejora continuamente la seguridad de los datos.

Si un auditor independiente afirma que el SGSI de su empresa cumple con los estándares, usted está certificado en ISO 27001.

La certificación viene con una gran cantidad de beneficios.

Podría ganar acceso a clientes que, de otro modo, dudarían en trabajar con usted. Demostrará a todos sus clientes que toma en serio su información personal. ISO 27001 también puede ayudar a su organización a cumplir con otras regulaciones como GDPR (aunque implementar ISO no significa que esté inherentemente en cumplimiento con GDPR).

Lo más importante, sin embargo, es que tendrá un sistema en el que usted y todos sus socios pueden confiar.

¿Qué significa ISO?

ISO significa "Organización Internacional para la Estandarización".

Es una entidad global y apolítica fundada en 1946. Delegados de 25 países se reunieron para asegurar que las fronteras nacionales no interfieran con la capacidad de la humanidad para desarrollar tecnología confiable.

Hoy, ISO une a los consejos de normalización de 166 países, reportando a un gobierno central en Suiza.

Su trabajo se puede ver en todas partes: desde contenedores de envío que se pueden cargar y descargar en casi cualquier puerto hasta cámaras cuya sensibilidad a la luz se mide en unidades llamadas ISO.

¿Cuál es el propósito de la certificación ISO 27001?

ISO creó ISO 27001 para contrarrestar los ataques cada vez más sofisticados contra los sistemas de información. Para proteger datos privados valiosos, las empresas necesitaban atenerse a un conjunto integral de rigurosos estándares de seguridad.

El aumento de las regulaciones de seguridad de la información también impulsó la adopción de ISO 27001. Leyes como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en los Estados Unidos y el Reglamento General de Protección de Datos (GDPR) en la Unión Europea imponen severas penalidades por infracciones de datos evitables.

El precio por no cumplir con estas leyes es alto. En julio de 2019, British Airways fue multada con £183 millones por no prevenir un ataque de phishing que usó una versión falsa de su sitio web. Marriott Hotels fue multado con £100 millones solo dos días después luego de que los hackers robaran datos sensibles de registros de huéspedes mal asegurados.

¿Es obligatoria la certificación ISO 27001?

No, no lo es. Pero seguir la ley sí lo es.

Aunque el gobierno no requerirá que una empresa se someta a una auditoría ISO 27001, a menudo es la forma más fácil de cumplir con leyes como el GDPR.

Si su modelo de negocio se basa en proporcionar servicios de TI a otras empresas, puede descubrir que muchos clientes no quieren trabajar con usted sin algún tipo de certificación de seguridad. Por lo general, eso es ISO 27001 o SOC 2.

Sin embargo, muchas empresas que entienden la importancia de ISO 27001 aún no se certifican, temiendo la complejidad del proceso de certificación ISO 27001.

Si todavía está indeciso, siga leyendo para conocer exactamente qué implica la certificación ISO para la seguridad de la información.

¿Cuánto tiempo se tarda en obtener la certificación ISO 27001?

Depende del tamaño de su empresa y la complejidad de los datos que mantiene.

Una empresa pequeña o mediana puede esperar estar lista para la auditoría en un promedio de cuatro meses, y luego pasar por el proceso de auditoría en seis meses. Las organizaciones más grandes pueden requerir un año o más.

Esos cuatro meses de preparación para la auditoría suelen implicar la delimitación de su SGSI, la realización de evaluaciones de riesgos y análisis de brechas, el diseño e implementación de controles, la capacitación del personal y la preparación de documentación.

La auditoría de certificación de seis meses se divide en dos etapas. Durante las auditorías de la Etapa 1, el auditor revisa la documentación del SGSI para asegurarse de que las políticas y procedimientos estén diseñados correctamente. También pueden hacer sugerencias sobre cómo la organización puede mejorar su SGSI para hacerlo más seguro.

Durante una auditoría de la Etapa 2, el auditor revisa los procesos empresariales y los controles para garantizar el cumplimiento de los requisitos del SGSI y el Anexo A de ISO 27001.

El proceso de certificación ISO 27001

Tu búsqueda de la certificación ISO 27001 te llevará a los siguientes pasos:

1. Establece un equipo ISO 27001. Asigna a los miembros de tu personal para que se encarguen del proceso de certificación.

El equipo ISO 27001 determinará el alcance de tu SGSI, establecerá los procesos para documentarlo, obtendrá el apoyo de la alta dirección y trabajará directamente con el auditor, entre otras funciones.

2. Define el alcance de tu SGSI. Cada empresa es única y maneja diferentes tipos de datos. Antes de construir tu SGSI, necesitarás determinar exactamente qué tipo de información necesitas proteger.

Para algunas empresas, el alcance de su SGSI incluye toda su organización. Para otras, incluye solo un departamento o sistema específico.

Tu equipo necesitará discutir qué quieres que se represente en la declaración de alcance de tu certificado ISO 27001.

Empieza preguntándote: “¿Qué servicio, producto o plataforma interesa más a nuestros clientes que forme parte de nuestro certificado ISO 27001?”

3. Realiza una evaluación de riesgos e implementa controles. ISO 27001 requiere que las empresas documenten un esfuerzo activo y continuo para identificar y mitigar amenazas.

Realiza una evaluación de riesgos ISO 27001 para identificar posibles amenazas a la seguridad de tu información. Juzga la probabilidad de cada riesgo y la gravedad de sus consecuencias.

Con una evaluación de riesgos completada, es momento de documentar lo que estás haciendo respecto a cada riesgo. Amplía tu SGSI para incluir estrategias de mitigación para cada riesgo que tu análisis haya descubierto.

4. Documenta y recopila evidencias. Cuanto más trabajo realices para fortalecer tu documentación antes de la auditoría, mejores serán tus posibilidades de lograr la certificación.

La documentación puede ser un trabajo agotador sin la ayuda de la automatización, por lo que es mejor empezar temprano. Realiza una auditoría interna como ensayo para la auditoría real.

Durante esta fase, el equipo ISO 27001 debe educar a tu personal general sobre la seguridad de la información, tu SGSI y la certificación ISO 27001 en particular. Al hacer que todo tu personal trabaje en conjunto, reduces en gran medida la probabilidad de dejar brechas sin abordar en tu SGSI.

5. Completa una auditoría de la Etapa 1. Ha pasado aproximadamente cuatro meses en este punto, y finalmente estás listo para invitar a un auditor externo a revisar tu SGSI. Tu auditor ISO 27001 provendrá de un organismo de certificación con acreditación ISO.

El proceso oficial de auditoría tiene dos etapas.

6. Implementa las recomendaciones de la auditoría de la Etapa 1. Soluciona cualquier aspecto de tu SGSI que el auditor haya marcado para mejorar. Si te falta algún control de seguridad de la información, ponlo en práctica y documéntalo a fondo.

7. Realice una auditoría de la Etapa 2. Esta vez, su auditor examinará cómo funciona su seguridad de la información. Su objetivo es ver si usted practica lo que predica con respecto a su SGSI. Los procesos bien documentados no valen nada si no se siguen.

Después de una auditoría de la Etapa 2 exitosa, recibirá su certificación ISO 27001, que es válida por tres años.

8. Mantener el cumplimiento de la ISO 27001. Después de obtener la certificación ISO 27001, haga un plan para auditorías internas regulares. ISO 27001 requiere que las organizaciones realicen una “auditoría de vigilancia” cada año para asegurar que su compromiso con un SGSI conforme no haya caducado.

Al final del tercer año, puede completar una auditoría de recertificación para mantener su certificación ISO 27001 por otros tres años.

El camino de cada empresa hacia la certificación ISO 27001 puede variar ligeramente. Algunas pueden optar por contratar a un consultor o elegir una prueba de penetración en lugar de un escaneo de vulnerabilidades. Pero esta visión general debería darle una idea de los pasos para la certificación ISO 27001 y por qué el proceso puede tardar hasta 12 meses.

¿Cuánto cuesta la certificación ISO 27001?

Al igual que la línea de tiempo, el costo de una auditoría ISO 27001 puede variar ampliamente dependiendo del tamaño y el alcance de su empresa y su sistema de gestión de seguridad de la información.

El mayor costo asociado con el cumplimiento de ISO 27001 es que deberá sacar a los empleados de otros proyectos o contratar a nuevos. También necesitará pagar por materiales de capacitación en seguridad y la auditoría en sí.

En total, una empresa promedio puede esperar pagar hasta $40,000 por la preparación previa a la certificación, $10,000 por la auditoría de certificación en sí y $15,000 por año para el mantenimiento y las auditorías de vigilancia después de obtener la certificación.

Una forma más rápida y fácil de obtener la certificación ISO 27001

ISO 27001 puede parecer desalentador al principio, pero los beneficios superan significativamente el esfuerzo.

Cuando considera los pagos de responsabilidad que pueden resultar de las brechas de datos, sin mencionar el costo del control de daños, existe una buena posibilidad de que el proceso de certificación le ahorre dinero y tiempo.

Dicho esto, si encontró algo en este artículo abrumador, tenemos buenas noticias.

La plataforma de automatización de cumplimiento de Secureframe y su equipo de expertos en cumplimiento de seguridad pueden prepararlo para su propia certificación ISO 27001 más rápido y con menos dolores de cabeza. Programe una demostración para aprender más.