ISO 27001: Las TIC, más seguras que nunca

ISO 27001

El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven una revolución tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a un avance en las tecnologías conocidas como SMAC (las siglas inglesas de social, móvil, analíticas y nube).

Gracias a la Asociación Española de Normalización (AENOR), entidad líder en certificación de Sistemas de Gestión, Productos y Servicios, y responsable del desarrollo y difusión de las normas UNE, España cuenta ya con la traducción de la última versión de la norma UNE-ISO/IEC 27001:2014 dedicada a  la gestión de la seguridad de la información en las empresas.

Esta norma es un referente para miles de CIOS: Chief Information Officer y CISO: Chief Information Security Officer de todo el mundo con la que pretenden asegurar la confidencialidad, integridad y disponibilidad de un Sistema de Información.

Según varios estudios, los riesgos tecnológicos se posicionan en primer lugar como la principal preocupación de muchas empresas u organizaciones frente a otros riesgos de tipo económico, ambiental, geopolítico o social. Los riesgos más identificados son: fraude, robo de la información y de datos; daños o pérdidas de información de las infraestructuras críticas y los conocidos ciberataques.

Según AENOR, más de 22.000 organizaciones en 105 países confían en la nueva ISO 27001 como una herramienta eficaz para establecer controles en este ámbito de la tecnología.

En un reciente estudio sobre la norma ISO 27001 elaborado por la Asociación Española de Empresas de Electrónica, Tecnologías de la Información y Comunicación (AMETIC), destaca la “satisfacción y alta valoración de las direcciones generales, personal, clientes y proveedores de aquellas empresas que implantado y, actualmente, mantienen el Sistema de Gestión de Seguridad de la Información según la Norma ISO/IEC 27001”.

Novedades

La nueva versión de esta norma adopta el concepto de “Estructura de Alto Nivel” bajo el Anexo SL utilizado en todas las normas de Sistemas de Gestión que posibilita su incorporación con otros sistemas (calidad, medio ambiente o salud en el trabajo) de forma más sencilla. Para ello, se pide a las entidades que reflexionen y estudien más sobre el contexto en el que trabajan y las necesidades de las partes interesadas. Asimismo, concede mayor importancia a la definición de objetivos de seguridad.

Otra novedad es que la nueva versión de la norma intensifica y refuerza la mejora continua, fundamentándose en el ciclo Deming o PHVA (Planificación, Hacer, Verificar y Actuar)

También, destaca una mayor consideración y relevancia de la organización, al liderazgo y compromiso de los directivos y a las necesidades de las partes interesadas. Así como una mayor relevancia a la definición y seguimiento de los objetivos de seguridad de la información. En este sentido, las empresas deben identificar dichos objetivos y establecer qué controles lo cumplen. La nueva versión ISO27001 incluye 114 controles respecto a los 133 de la ISO/IEC 27001:2005 que estudian reforzar los análisis relacionados a la criptografía y con los proveedores.

Riesgos

En la nueva versión UNE-ISO/IEC 27001:2014 se trabaja por minimizar los riesgos y amenazas en los Sistemas de la Información a través de la figura “dueño del riesgo” que tiene la responsabilidad suficiente para aprobar el riesgo establecido y el plan del riesgo. Lo importante de todo esto, es que hay que buscar la mayor eficacia en la aplicación de la seguridad de la información siempre orientada a los objetivos de la empresa.

AENOR tiene vigente más de 300 certificados en nueve países de Europa y Latinoamérica. Antes de que finalice el año 2015, las empresas certificadas deberán haber realizado los pasos de transición a los requisitos de la última versión.

Esta norma contempla una mayor orientación hacia la “ciberseguridad” y los “ciberriesgos” tanto en el mundo empresarial (ISO 27001-ISO 27002) como en el ámbito de los procesos industriales (ISO 27001-SCADA).