Mantén la calma: Esto es la ISO 27001
En los últimos años, y con tantas vulnerabilidades dando vueltas en las plataformas digitales, cumplir con la normativa ISO 27001 se ha vuelto una condición casi obligatoria para trabajar con corporativos o grandes empresas.
ISO 27001 es una normativa internacional que permite asegurar y proteger tu información física y digital. Para ello, te brinda una serie de requisitos a cumplir para gestionar la seguridad de la información de tu empresa.
¿Cómo funciona la ISO 27001?
La ISO 27001 tiene un enfoque de procesos, esto significa que sus controles se usan para asegurar que las operaciones de un negocio agreguen valor y siempre se hagan de forma segura.
Lo que debes saber es que tiene 14 cláusulas, y en un anexo (el Anexo A) te brinda los 114 controles que debes implementar para cumplir con la normativa.
Sin embargo, la ISO 27001 explica muy brevemente cómo implementarlos, por eso aquí es recomendable recurrir a la ISO 27002 porque es donde se detalla de forma minuciosa y precisa cada método necesario para mitigar los riesgos.
La ISO 27002 es prácticamente una guía de recomendaciones y buenas prácticas de cómo implementar la ISO 27001.
En otras palabras:
La ISO 27001 es el qué hacer: te dice qué controles debes tener para proteger tu información e implementar un SGSI.
La ISO 27002 es el cómo hacerlo: cómo llevar a la práctica los 114 controles de seguridad del Anexo A.
¿Por qué me piden cumplir con ISO 27001?
Más allá de que haya sido creada por una organización tan reconocida, tus clientes te pedirán que cumplas con ella porque es un estándar muy completo: proporciona un SGSI que puedes implementar, mantener y mejorar de forma escalable en tu negocio.
Por otro lado, también analiza y protege los activos que no son únicamente de TI, sino de la seguridad en los procesos y gestión de una empresa.
Esto es fundamental, porque puedes tener una seguridad de código impresionante pero si los miembros de tu equipo colocan las claves del Wi-Fi o de sus computadores en un post-it a la vista de todos, tus esfuerzos no servirán de nada. Es como si en tu casa tuvieras un cofre con dinero con veinte candados pero la puerta estuviera siempre abierta. Si no hay procedimientos o planes, no hay seguridad de nada. Y adoptar un SGSI te ayuda a tener una protección sólida con controles de punta a punta en toda la organización. Por otro lado, también te da la posibilidad de certificarte y demostrarle a tus clientes que te tomas en serio la seguridad.
De hecho, para algunos clientes es un requisito obligatorio antes de firmar cualquier contrato. Incluso con algunos corporativos no es necesario llegar a la certificación sino acercarse lo más posible al cumplimiento de la normativa.
Recuerda que esta no es la única normativa que existe, ya que hay industrias que deben cumplir con otras normativas más específicas como PCI DSS o SOC 2. De nuevo, todo depende de tu tipo de negocio.
Ahora ya sabes que el estándar ISO 27001 tiene controles genéricos que aplican a cualquier organización y es por ello que casi se ha vuelto condición para trabajar con corporativos, porque es sinónimo de tener un sistema sólido de seguridad de la información: así sea digital o física.
Fuente: Hackmetrics