Mantén la calma: Esto es la ISO 27001

Mantén la calma: Esto es la ISO 27001

Entiende por qué se la piden a tu startup y aprovecha para aprender a cumplir con ella

En los últimos años, y con tantas vulnerabilidades dando vueltas en las plataformas digitales, cumplir con la normativa ISO 27001 se ha vuelto una condición casi obligatoria para trabajar con corporativos o grandes empresas. 

ISO 27001 es una normativa internacional que permite asegurar y proteger tu información física y digital. Para ello, te brinda una serie de requisitos a cumplir para gestionar la seguridad de la información de tu empresa

La razón por la que la mayoría de las startups se están certificando en ISO 27001, es porque los controles, dentro de sus requisitos, son genéricos y globales. Esto quiere decir que pueden aplicarse a cualquier empresa sin importar su tipo, tamaño o industria. 

Y siendo ISO 27001 la normativa más común de cumplimiento de seguridad, aquí te explicamos cómo funciona, qué debes implementar y por qué es que tarde o temprano te la van a pedir.

El origen de la normativa ISO 27001

En 2005, ISO (International Organization for Standardization) tuvo el interés de crear esta normativa para formalizar las recomendaciones de seguridad publicadas en los 90 por la BSI (British Standards Institution).

Al día de hoy, la versión más reciente y actualizada es la del año 2013, mismo año en que se sumó IEC (International Electrotechnical Commission). Por eso, es formalmente conocida como ISO/IEC 27001:2013.  

Al igual que tú y yo, la ISO 27001 forma parte de una gran familia: la serie ISO/IEC 27000. Esto significa que pertenece a un conjunto de estándares desarrollados para manejar la seguridad de la información.

Pero tranquilo, hoy solo hablaremos de sus dos protagonistas, la ISO 27001 y la ISO 27002.

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?

La ISO 27001 hace foco principalmente en adoptar un Sistema de Gestión de Seguridad de la Información (que amistosamente llamamos un SGSI).

No te abrumes, parece complicado, pero no lo es: un SGSI es básicamente una forma de lograr un sistema integral de políticas, procedimientos y acciones para proteger la información.

Podemos pensar al SGSI como un equipo deportivo: tiene reglas de juego (políticas), tiene planificación de tácticas que todos saben que deben seguir (procedimientos), y luego está la jugada en el campo (acciones, para poner en marcha los procedimientos).

 Lo que debes tener presente es que es el requisito principal para cumplir con la normativa. 

¿Cómo funciona la ISO 27001?

La ISO 27001 tiene un enfoque de procesos, esto significa que sus controles se usan para asegurar que las operaciones de un negocio agreguen valor y siempre se hagan de forma segura. 

Lo que debes saber es que tiene 14 cláusulas, y en un anexo (el Anexo A) te brinda los 114 controles que debes implementar para cumplir con la normativa.

Sin embargo, la ISO 27001 explica muy brevemente cómo implementarlos, por eso aquí es recomendable recurrir a la ISO 27002 porque es donde se detalla de forma minuciosa y precisa cada método necesario para mitigar los riesgos. 

Hackmetrix Insight: la ISO 27002 es prácticamente una guía de recomendaciones y buenas prácticas de cómo implementar la ISO 27001. 

De todas formas, sabemos que sigue siendo un poco complejo de entender, por eso nos dimos el lujo de resumírtelo en un gráfico: 

En otras palabras:

  • La ISO 27001 es el qué hacer: te dice qué controles debes tener para proteger tu información e implementar un SGSI. 
  • La ISO 27002 es el cómo hacerlo: cómo llevar a la práctica los 114 controles de seguridad del Anexo A.

¿Por qué le piden a mi startup cumplir con ISO 27001?

Más allá de que haya sido creada por una organización tan reconocida, tus clientes te pedirán que cumplas con ella porque es un estándar muy completo: proporciona un SGSI que puedes implementar, mantener y mejorar de forma escalable en tu negocio.

Por otro lado, también analiza y protege los activos que no son únicamente de TI, sino de la seguridad en los procesos y gestión de una empresa. 

Esto es fundamental, porque puedes tener una seguridad de código impresionante pero si los miembros de tu equipo colocan las claves del Wi-Fi o de sus computadores en un post-it a la vista de todos, tus esfuerzos no servirán de nada. Es como si en tu casa tuvieras un cofre con dinero con veinte candados pero la puerta estuviera siempre abierta.  

Si no hay procedimientos o planes, no hay seguridad de nada. Y adoptar un SGSI te ayuda a tener una protección sólida con controles de punta a punta en toda la organización. Por otro lado, también te da la posibilidad de certificarte y demostrarle a tus clientes que te tomas en serio la seguridad. De hecho, para algunos clientes es un requisito obligatorio antes de firmar cualquier contrato.

Incluso con algunos corporativos no es necesario llegar a la certificación sino acercarse lo más posible al cumplimiento de la normativa. 

Hackmetrix Insight: recuerda que esta no es la única normativa que existe, ya que hay industrias que deben cumplir con otras normativas más específicas como PCI DSS o SOC 2. De nuevo, todo depende de tu tipo de negocio. 

Conclusión

La normativa ISO 27001 te dice que para asegurar los datos y la información de tu startup debes crear un Sistema de Gestión de Seguridad de la Información (SGSI). Como ya lo vimos, el SGSI es un sistema integral con políticas, procedimientos y acciones para proteger la información. 

¿Cómo debes llevar esto a la práctica? La ISO 27002 es la guía que te dirá cómo hacerlo, ya que es donde se encuentran las buenas prácticas y la información minuciosa de cada control y procedimiento necesario para cumplir.

También, puedes comenzar a cumplirla creando algunos de los documentos básicos que piden la mayoría de las normativas

Ahora ya sabes que el estándar ISO 27001 tiene controles genéricos que aplican a cualquier organización y es por ello que casi se ha vuelto condición para trabajar con corporativos, porque es sinónimo de tener un sistema sólido de seguridad de la información: así sea digital o física.


Si ya tienes clientes que te han preguntado por el cumplimiento de la ISO 27001 y tienes dudas de cómo comenzar o si deberías hacerlo, contáctanos para que te demos una mano.


Backed by

Hackmetrix startup chile