¿Qué es ISO 27001?
ISO 27001 es un reconocido estándar internacional utilizado por miles de organizaciones en el mundo para administrar y gestionar todo lo concerniente a la seguridad de la información.

En la medida que una organización adopte los conceptos contenidos en ISO 27001 disminuirá significativamente los riesgos asociados al manejo de información como por ejemplo: errores en el procesamiento de datos (pérdida de integridad), robos de información (pérdida de confidencialidad) y caídas de redes o sistemas (pérdida de disponibilidad).

Para administrar y gestionar la seguridad de la información ¿qué propone esta norma?
El concepto básico que establece la norma ISO 27001 es que debe implantarse un Sistema de Gestión de la Seguridad de la Información conocido como por sus siglas SGSI. La norma especifica los requisitos para establecer, implantar, mantener y mejorar continuamente un SGSI.

¿Cuáles son los pasos a seguir para implantar un SGSI y qué requisitos impone?
En primer lugar es necesario que la alta administración fije su posición acerca de la importancia que se le asignará a este tema, lo que debe quedar plasmado en una Política de Seguridad de la Información. Paralelamente es necesario establecer quiénes serán los responsables del SGSI

El paso siguiente es determinar cuáles son los Activos de Información de la empresa lo que incluirá desde información mantenida en medios digitales (por ejemplo una base de datos de clientes) hasta documentos que aún se mantienen en papel (por ejemplo contratos o antiguos planos)..

A continuación la organización debe efectuar una evaluación de riesgos para cada uno de los activos identificados en el inventario. Cuando el nivel de riesgo existente es inaceptable para la organización se deben establecer controles hasta llegar a un nivel adecuado.

¿Qué controles propone la norma?
Los controles a implantar están establecidos en la norma complementaria ISO 27002 que especifica controles en 11 áreas temáticas o dominios que son las siguientes: Política de Seguridad, Organización para la Seguridad, Inventarios y Clasificación de activos, Seguridad del Personal, Seguridad Física y Ambiental, Gestión de las Operaciones y Comunicaciones, Controles de Acceso, Administración de Incidentes, Desarrollo y Mantenimiento de Sistemas, Gestión de la Continuidad del Negocio y Cumplimiento Legal.

Es relevante mencionar que además de ISO 27001 y 27002 existe una serie de normas de apoyo, que son opcionales. Por ejemplo, para efectuar la evaluación de riesgos puede utilizarse la Norma ISO 27005, aunque si la empresa utiliza otro mecanismo para evaluar sus riesgos también resulta válido.

Durante la evaluación de riesgos, ¿cuáles son los principales problemas que se detectan?
Muchas organizaciones piensan que los riesgos vienen de afuera de la organización y existe mucha preocupación por los accesos remotos a las redes y sistemas de información.

Si bien lo anterior es importante, la práctica demuestra que los principales riesgos son internos y que el eslabón más débil son las personas. Lo cierto es que el desconocimiento, las fallas y errores que cometen los propios empleados son las causas de casi todos los problemas de seguridad y desastres que se conocen.

Es necesario crear una cultura de seguridad de la información, y para ello, es fundamental la educación y el entrenamiento continuo a los empleados, lo que es un requisito de la Norma ISO 27001. Los gerentes deben demostrar que se han preocupado de entrenar a los empleados en materias de seguridad de la información.

¿En qué consiste la certificación? ¿Es necesaria?
La certificación es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el SGSI, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

La certificación es altamente valorada, sin embargo es totalmente opcional. Son muchas las empresas que usan a ISO 27001 solamente como una referencia para llevar a cabo su gestión en seguridad de la información, lo que es totalmente legítimo.

¿Qué empresas usan esta norma?
Lo interesante de la norma es que es aplicable a empresas de todos los rubros y de todos los tamaños, sean estas públicas o privadas. A nivel mundial existen unas 8.000 empresas certificadas, no obstante son muchas más las que utilizan la norma como un marco de referencia.

¿Qué hardware y software requiere esta norma? ¿Qué características deben tener?
La norma propiamente tal no exige ni requiere algún hardware o software específicos para su implantación o para obtener la certificación.

Por supuesto las empresas requieren de herramientas para proteger sus activos y, como parte del proyecto de seguridad, normalmente es necesario adquirir algunos elementos. Si por ejemplo la organización determina que hay riesgos en el acceso a sus redes o sistemas de información, entonces para administrar estos riesgos la organización tendrá que evaluar el conjunto de herramientas de hardware y software que necesita.

¿Qué oportunidades genera ISO 27001 para el canal?
Existen múltiples oportunidades de asesoría para apoyar a las organizaciones en todo el proceso de implantación de la norma incluyendo el Gap Análisis inicial, la definición de Políticas, la realización del Inventario y Evaluación de Riesgos y la puesta en marcha de los controles, lo que en la mayoría de los casos también considera el uso de herramientas tecnológicas.

Para la realización de los proyectos de seguridad es clave contar con personal calificado y es por este motivo que Revista Gerencia dicta periódicamente su seminario “ISO 27001 – Seguridad de la Información” orientado a especialistas y que a partir del año 2013 también se dictará en modalidad E-learning. Además, para entrenar y sensibilizar a todos los empleados Revista Gerencia ofrece el curso en modalidad E-learning “Seguridad de la Información para Usuarios basado en ISO 27001” que resulta una novedosa y eficiente forma de educar a todos los miembros de la organización desde gerentes hasta personal administrativo.