ISO 27001 - Certificación de sistemas de gestión de seguridad de la información

Beneficios que aporta a la organización

• Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad.
• Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
• Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
• Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
• Compromiso de la dirección de la organización con la seguridad de la información.
• El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Muchas veces no se es consciente de la importancia que tiene la información dentro de las empresas y organizaciones; prácticamente la totalidad de actividades que se desarrollan generan información y se necesita información para trabajar.

Sin embargo, no siempre se le presta la atención adecuada, pues controlar adecuadamente toda esa información es un esfuerzo, un coste, que no parece que tenga rentabilidad alguna hasta que se produce un error y no se encuentra determinada información.

La norma ISO 27001 aporta unas pautas para controlar y gestionar adecuadamente toda la información que se genera en la empresa, tanto en soporte papel como en soporte electrónico. Es perfectamente compatible con la norma ISO 9001 o ISO 14001; participa de los mismos principios y fundamentos.

Obliga a realizar un análisis de todos los flujos de información y de toda la información (registros) que se genera en la organización para poder establecer unas pautas de actuación, que van más allá de las habituales copias de seguridad, con lo que hoy en día parece que queda resuelto todo el problema de la seguridad de la información.

Una vez definidos todos los flujos de información y conocidas todas las informaciones que se generan, se podrán establecer las pautas de actuación, que podrán ir, dependiendo de la empresa, de su complejidad, del tipo de información, etc. desde definir niveles de confidencialidad y dar accesibilidad a la información a cada persona dependiendo de su jerarquía, hasta minimizar los efectos que pueden provocar actos de sabotaje por parte de algún empleado u otra persona.

Las posibilidades son muchas; habrá que compaginar siempre seguridad con operatividad, pues medidas de seguridad excesivamente complejas en organizaciones simples pueden provocar un parón importante.

Un sistema de seguridad de la información puede ayudar de manera importante al cumplimiento de la normativa sobre protección de datos de carácter personal, aunque el sistema de seguridad de la información representa un escalón más, pues no sólo abarca a los datos de carácter personal, sino a toda la información de la organización.

La norma ISO 27001 puede servir de guía y orientación en esta tarea de optimizar la información. No deja de ser una aplicación específica del control de los registros de la norma ISO 9001 o de la norma ISO 14001.

La certificación puede ser una exigencia de algunos clientes que confían información a sus proveedores y subcontratistas y quieren tener garantía de que dicha información será adecuadamente custodiada, en algunos casos por motivos de confidencialidad (accesibilidad) y otras veces por meros motivos de seguridad, pueden confiar determinada información cuya pérdida podría ser costosa de recuperar (piénsese por ejemplo en un despacho de abogados al que se le confían determinados documentos originales).

Recientemente se ha publicado la versión 2022 de la norma 27001. La estructura de esta versión es coincidente con la versión vigente de 2013, que ya estaba estructurada con la llamada estructura de alto nivel, fácilmente integrable con el resto de las normas, si bien esta nueva versión de la norma se ajusta aún más a esta estructura redefiniendo algunas cláusulas, aunque los cambios no son muy significativos. Es decir, el cuerpo de la norma no ha sufrido cambios sustanciales.

Los cambios principales recaen en el anexo A, en cuanto al número de controles, que se reducen de 114 a 93, si bien no es una reducción como tal si no una restructuración en la que se fusionan algunos controles o redefinen y se añaden algunos nuevos. También cambia la agrupación de los controles pasando a estar agrupados en Controles organizacionales, de personas, físicos y tecnológicos.

En cuanto al período de transición, las empresas deben tener en cuenta que a partir del 30 de octubre de 2025 (3 años desde el último día del mes de la publicación de la nueva versión de la norma) dejarán tener la condición de acreditados los certificados emitidos frente a la anterior versión.

IVAC – Instituto de certificación (Kiwa) prevé poder auditar y emitir certificados acreditados con respecto a la nueva norma en el primer trimestre de 2023.