Descubriendo los secretos de la norma ISO/IEC 27001:2022: su guía definitiva sobre seguridad de la información
Introducción
A medida que la prevalencia de los ciberataques continúa aumentando a escala mundial, las organizaciones y empresas de diversos sectores comienzan a reconocer cada vez más la necesidad crítica de protegerse contra una amplia gama de actividades maliciosas que tienen como objetivo infiltrarse en sus sistemas y obtener acceso no autorizado a sus valiosos activos de información. Ante este panorama apremiante, es necesario que las organizaciones adopten un enfoque de gestión integral y eficaz para la seguridad de la información, lo que exige fundamentalmente la adopción de una postura proactiva que incluya la implementación de regulaciones y políticas sólidas diseñadas para mitigar los riesgos asociados con posibles ciberamenazas y ataques(Diéguez et al., 2023).
La norma ISO/IEC 27001:2022 representa un punto de referencia reconocido internacionalmente que proporciona un marco estructurado y sistemático para el establecimiento y el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Este estándar en particular es de suma importancia para cualquier organización que aspire a proteger sus activos de información de manera diligente, garantizando así que los elementos cruciales de confidencialidad, integridad y disponibilidad de los datos no solo se mantengan, sino que también se refuercen de manera efectiva(Kurii & Opirskyy, 2024).
¿Qué es la norma ISO/IEC 27001?
La ISO/IEC 27001 es la norma más conocida del mundo para SGSI. Define los requisitos que debe cumplir un SGSI. Además, proporciona a las empresas de cualquier tamaño y de todos los sectores, orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información. La conformidad con la ISO/IEC 27001 implica que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja, y que este sistema respeta todas las buenas prácticas y principios contemplados en esta Norma Internacional(International Standard, 2022).
¿Por qué es importante la norma ISO/IEC 27001?
Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, puede parecer difícil o incluso imposible gestionar los riesgos cibernéticos. La ISO/IEC 27001 ayuda a las organizaciones a ser conscientes de dichos riesgos y a identificar y abordar los puntos débiles de forma proactiva. Esta norma promueve un enfoque integral de la seguridad de la información, que abarca a las personas, las políticas y la tecnología. Un sistema de gestión de la seguridad de la información implantado conforme a esta norma es una herramienta clave para la gestión de riesgos, la resiliencia cibernética y la excelencia operativa(Chávez et al., 2024).
Norma ISO/IEC 27001:2022
| Beneficios | Protección de la información | Ayuda a proteger la información sensible contra accesos no autorizados, robos y pérdidas |
| Cumplimiento normativo | Facilita el cumplimiento de leyes y regulaciones relacionadas con la protección de datos, como el GDPR. | |
| Confianza del cliente | Al demostrar un compromiso con la seguridad de la información, las organizaciones pueden aumentar la confianza de sus clientes y socios comerciales. | |
| Mejora de la reputación | La certificación ISO/IEC 27001 puede mejorar la imagen de la organización, destacando su responsabilidad en la gestión de la seguridad de la información. | |
| Identificación de riesgos | Proporciona un marco para identificar, evaluar y gestionar riesgos relacionados con la seguridad de la información. | |
| Estructura | Contexto de la organización | Se requiere que la organización entienda su contexto interno y externo, así como las partes interesadas y sus necesidades en relación con la seguridad de la información. |
| Liderazgo | La alta dirección debe demostrar liderazgo y compromiso con el SGSI, asegurando que se asignen recursos adecuados y se establezcan roles y responsabilidades claras. | |
| Planificación | Se deben identificar y evaluar los riesgos relacionados con la seguridad de la información, así como establecer objetivos y planes para abordarlos. | |
| Apoyo | La norma enfatiza la importancia de la formación y concienciación del personal, así como la gestión de la documentación y la comunicación. | |
| Operación | Se deben implementar las medidas de seguridad necesarias para gestionar los riesgos identificados y cumplir con los objetivos establecidos. | |
| Evaluación del desempeño | La organización debe monitorear, medir y evaluar el desempeño del SGSI para asegurar su eficacia. | |
| Implementación | Mejora continua | Se requiere que la organización tome medidas para mejorar continuamente el SGSI, basándose en los resultados de las evaluaciones y auditorías. |
| Compromiso de la alta dirección | Es fundamental que la alta dirección esté comprometida con la implementación del SGSI y que asigne los recursos necesarios. | |
| Definición del alcance | La organización debe definir el alcance del SGSI, identificando qué activos de información se incluirán y qué áreas de la organización estarán cubiertas. | |
| Evaluación de riesgos | Realizar una evaluación de riesgos para identificar las amenazas y vulnerabilidades que afectan a los activos de información. Esto incluye la identificación de controles existentes y la determinación de la efectividad de estos controles. | |
| Desarrollo de políticas y procedimientos | Establecer políticas y procedimientos claros que guíen la gestión de la seguridad de la información dentro de la organización. | |
| Formación y concienciación | Proporcionar formación y concienciación a todos los empleados sobre la importancia de la seguridad de la información y sus roles en el SGSI. | |
| Implementación de controles | Implementar controles de seguridad para mitigar los riesgos identificados. Esto puede incluir medidas técnicas, administrativas y físicas. | |
| Monitoreo y revisión | Establecer un proceso de monitoreo y revisión para evaluar la eficacia del SGSI y realizar ajustes según sea necesario. | |
| Auditoría interna | Realizar auditorías internas para verificar el cumplimiento de la norma y la efectividad del SGSI. | |
| Certificación | Si se desea, la organización puede buscar la certificación por parte de un organismo de certificación acreditado para demostrar su cumplimiento con la norma ISO/IEC 27001:2022. | |
| Desafíos en la implementación | Resistencia al cambio | Algunos empleados pueden resistirse a los cambios en los procesos y políticas de seguridad. |
| Falta de recursos | La implementación puede requerir recursos significativos, tanto en términos de tiempo como de dinero. | |
| Complejidad del entorno tecnológico | La rápida evolución de la tecnología puede dificultar la identificación y gestión de riesgos. |
Conclusiones y recomendaciones
La norma ISO/IEC 27001:2022 es esencial para cualquier organización que busque proteger sus
activos de información y cumplir con las regulaciones de seguridad. A través de un enfoque
sistemático y la implementación de un SGSI efectivo, las organizaciones no solo pueden mitigar
riesgos, sino también construir confianza y mejorar su reputación en el mercado. La seguridad de la
información es un proceso continuo que requiere compromiso y adaptabilidad, pero los beneficios a
largo plazo superan con creces los desafíos iniciales.
Referencias bibliográficas
Chávez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering, 184-189. https://doi.org/doi: 10.1109/Confluencia60223.2024.10463392.
Diéguez, M., Cares, C., Cachero, C., & Hochstetter, J. (2023). MASISCo—Methodological Approach for the Selection of Information Security Controls. Applied Sciences, 13(2), Article 2. https://doi.org/10.3390/app13021094
International Standard. (2022, octubre). Information security, cybersecurity and privacy protection—Information security management systems—Requirements. ISO. https://www.iso.org/es/contents/data/standard/08/28/82875.html
Kurii, Y., & Opirskyy, I. (2024). Overview of the Cis Benchmarks Usage for Fulfilling the Requirements From International Standard ISO/IEC 27001:2022. Scientific Journal «Computer Systems and Networks», 6(1), 89. https://doi.org/10.23939/csn2024.01.089