Es una ayuda clave para identificar y gestionar los riesgos de seguridad y todas las organizaciones, de cualquier tamaño y sector, públicas y privadas, pueden beneficiarse de implementar la norma ISO 27001.
Se trata de un estándar internacional que establece los requisitos para la implementación, el mantenimiento y mejora continua de los Sistemas de Gestión de la Seguridad de la Información (SGSI), que se utilizan para asegurar la confidencialidad, la integridad y disponibilidad de la información.
Su implantación se lleva a cabo en diferentes fases. Durante la planificación (assessment), la organización evalúa qué trabajos debe llevar a cabo para cumplir con la norma. Eso se concreta en la fase de implementación. En esta instancia, es importante hacer una labor extensiva para convencer a la organización de documentar y llevar a cabo los controles. Al principio puede parecer pura burocracia. A medio plazo, se demuestra que mitigan el impacto de incidentes.
Luego, durante la evaluación y certificación, se realiza la verificación por control interno o se solicita a una entidad certificadora que certifique el cumplimiento.
La evaluación debe hacerse periódicamente (por ejemplo, una vez por año). La certificación debe hacerse antes de que expire el certificado anterior. Por último, la mejora continua asegura la sostenibilidad en el cumplimiento de la norma en el largo plazo. Una buena noticia: en nuestra experiencia, vemos que cada vez más las empresas latinoamericanas ganan madurez en este terreno.
Mejor gestión de riesgos, más ciberresiliencia
Las organizaciones que se estén enfrentando a la recertificación deben verificar los antiguos controles y, además, implementar nuevos o profundizar algunos de los existentes. Mas allá de la cuestión técnica, lo interesante de este proceso es como se adapta a nuevas amenazas.
Se pasa de 114 controles organizados en 14 dominios a 93, reagrupados en 4 temas. En la actualización se reflejan las amenazas emergentes, las tecnologías en evolución y las nuevas prácticas empresariales. Por ejemplo, se profundiza el “contexto de la organización y partes interesadas” y se hace necesaria la evaluación de los entornos externo e interno, considerando terceros. Esto minimiza los riesgos, ya que muchos ataques se producen a través de la cadena de suministro.
Por otra parte, la nueva norma destaca la importancia de que la alta dirección esté comprometida con la seguridad, reforzando la integración de los compromisos de seguridad en procesos de la organización.
En resumen, la actualización de la norma ISO 27001 no sólo minimiza los riesgos: también, gracias a que gestiona mejor los riesgos de seguridad y ayuda a mitigar los impactos de un incidente, ayuda a las organizaciones a ser más ciberresilientes.