ISO 27001: ¿Cuáles son los principales controles que tiene esta norma?

La ISO 27001 es una norma internacional que fue desarrollada por la Organización Internacional de Normalización (ISO) y que tiene como objetivo proporcionar un modelo de gestión de la Seguridad de la Información para las organizaciones. La primera versión como norma certificable fue publicada en el año 2005.Las normas orientadas a la seguridad de la información establecen un conjunto de buenas prácticas que ayudan a las organizaciones en la protección y gestión de sus sistemas de información frente a riesgos y amenazas, tanto intencionados como accidentales. Estas normas son certificables, lo que permite evidenciar frente a terceros que se realiza una correcta gestión de la seguridad de la información en la organización.

El concepto de control en la 27001 hace referencia a las medidas de seguridad que debemos aplicar con el objetivo de mitigar posibles riesgos a los que puede estar expuesta la organización. De forma general los controles se suelen clasificar como:

• Preventivos, son los controles que reducen la probabilidad de ocurrencia de una amenaza.
• Correctivos, los controles que actúan para mitigar el impacto real de una amenaza, una vez que ésta se ha producido.

El objetivo de los controles de seguridad implantados en una organización es garantizar en todo momento la Confidencialidad, Integridad y Disponibilidad de la información alojada en los sistemas de esta, frente a cualquier tipo de evento adverso que pudiera afectar de forma negativa.

Ejemplo de un control preventivo es disponer de un antivirus o antimalware, dado que éste detectará e interceptará cualquier tipo de software malicioso que pueda llegar a nuestros sistemas, es decir, reduce la probabilidad de entrada de un malware. No obstante, este tipo de programas no son perfectos, y es posible diseñar malware que, al no estar previamente identificado, consiga pasar bajo el radar de la detección, lo que podría causar un impacto de pérdida y destrucción de información, como en el caso de los ransomware.

Por ello, y actuando de forma complementaria, debemos tener también de controles correctivos, como en este caso sería disponer de una “copia de seguridad” de los datos, que nos permitiría recuperar la información dañada o eliminada, tanto en el caso de un ataque intencionado de tipo malware, como en un evento de tipo accidental, que dañase los equipos y sistemas que contienen información dentro de la organización.

Otro tipo de controles están encaminados a mantener disponibilidad de nuestros sistemas, mediante la redundancia de aquellos elementos y equipos más críticos para el negocio, por ejemplo, duplicando líneas de comunicaciones con distintos proveedores, o disponiendo de equipamiento para procesamiento en distintas ubicaciones o centros de proceso de datos, y que nos permitan dar respuesta a las necesidades de la organización, tanto frente a incidentes, como a situaciones de aumento de la demanda.

Especial atención requieren los controles vinculados al acceso a los sistemas de información, tanto para el personal de la compañía, como para terceros que, de forma temporal, requieran acceso a los mismos, en este caso son importantes las revisiones periódicas tanto de las personas que acceden como de los privilegios otorgados en cada caso, para detectar diferencias que puedan suponer un problema de seguridad.

En la ISO 27001 los controles se encuentran definidos en el Anexo A. En la versión de la norma de 2013, son 114 agrupados en 14 dominios, que cubrían las áreas de Politica de seguridad, Organización de la seguridad, Seguridad en RRHH, Gestión de activos, Control de acceso, Criptografía, Seguridad física, Seguridad en Operaciones, Seguridad en comunicaciones, Adquisición, desarrollo y mantenimiento de sistemas, Relaciones con proveedores, Gestión de incidentes, Continuidad, y Cumplimiento.

En la nueva versión de la norma ISO 27001, publicada en mayo de 2022, estos controles han sido reorganizados dentro del Anexo A en cuatro grupos, que son,

• Controles organizativos.
• Controles de personas.
• Controles físicos.
• Controles tecnológicos.

El Anexo A, es por tanto un conjunto de buenas prácticas centradas en orientar sobre qué elementos y controles de seguridad deben ser enfocados de forma eficaz para evitar que las amenazas puedan llegar a tener un impacto significativo en las infraestructuras y sistemas de gestión de información de una compañía.

La norma ISO 27002 nos proporciona una serie de buenas prácticas para la implementación de los controles del Anexo A de la ISO 27001.

Una vez que una organización implanta un conjunto de controles de seguridad, estos deben ser mantenidos y gestionados con el fin de conseguir una mejora continua de su eficacia, para lo cual se recomienda establecer criterios y métricas que aporten información sobre su nivel de desempeño de madurez.

Evidentemente, el mejor indicador sobre buen funcionamiento de los controles es ver que se reducen los incidentes, tanto en probabilidad, entendida como una reducción de la frecuencia de eventos adversos, como el impacto de estos en el caso de producirse.

La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) y el cumplimiento de los controles establecidos en la norma ISO 27001 son fundamentales para proteger la información que maneja una organización. En este sentido, GlobalSuite® es una plataforma que brinda una solución completa para la implementación y gestión de SGSI, y ayuda a las organizaciones a gestionar de manera más eficiente los controles de seguridad establecidos.

¡Contáctanos y descubre cómo nuestro software GRC con módulo de ISO 27001 puede ayudar a tu organización a cumplir con los controles establecidos, a proteger tu información y mejorar la seguridad de la información de la compañía!