CiberseguridadSeguridad

Estándares y normas ISO para mejorar la ciberseguridad

En un mercado como el actual, las organizaciones buscan demostrar confianza a sus clientes y compromiso con la seguridad de la información que manejan. Para ello, el hecho de poseer una certificación de algún estándar o norma ISO referente a Seguridad supone una ventaja competitiva, ya que es consecuencia de una correcta gestión de los requisitos de seguridad en los procesos de tratamiento de la información.

La ciberseguridad y las normas ISO

La ciberseguridad es algo que está muy en auge hoy en día, pero ¿a qué se debe?. La creciente cantidad de incidentes y ataques de seguridad relacionados con la información y sistemas informáticos que sufren las organizaciones actualmente hace que la necesidad de tener controles para garantizar la seguridad de dispositivos, redes de comunicación y activos de información sea indiscutible. Es de esta necesidad de donde nace el concepto de ciberseguridad.

Este tipo de ataques tienen por objetivo acceder, modificar o destruir información sensible de las compañías.

La implementación de medidas eficaces de ciberseguridad no es algo sencillo ya que, debido a la gran cantidad de equipos y tecnologías utilizadas, los ciberdelincuentes siempre encuentran nuevas opciones de llevar a cabo sus ataques. Sin embargo, existe una forma de implementar medidas de protección de datos e información que hace que el procedimiento de implantación de dichas medidas de seguridad informática sea algo más pautado y natural.

Se trata de los estándares y normas ISO relacionadas con la ciberseguridad y seguridad de la información. Las normas ISO son estándares desarrollados y publicados por la Organización Internacional de Normalización (ISO). Tanto ISO como IEC (la Comisión Electrotécnica Internacional) son la referencia especializada para la normalización a nivel mundial. A través de comités técnicos formados por los organismos miembros tanto de ISO como de IEC, se elaboran normas internacionales redactadas con el objetivo de regularizar procesos específicos sobre ámbitos tales como la seguridad de la Información.

Estas normas constituyen, hoy en día, un elemento indispensable en el sistema de cumplimiento de las organizaciones, otorgando prestigio y reconocimiento internacional a las mismas. El valor diferencial que aportan las implantaciones de las normas ISO a las organizaciones frente a sus competidores se debe a que dichos estándares certificados son revisados y auditados periódicamente para garantizar su cumplimiento, haciendo que la apreciación por parte de partes interesadas tales como clientes o accionistas mejore considerablemente.

Las normas ISO se numeran de forma incremental en función de su propósito y se dividen en familias para agrupar aquellas que traten aspectos de la misma índole. El objetivo de estos estándares y normas es identificar técnicas, políticas, guías, capacitación, etc. en referencia a su propósito (seguridad, continuidad, calidad, entre otros).

Familia ISO 27000

Entre las ya mencionadas normas ISO, destaca la familia ISO 27000. Ésta es una serie compuesta por varias normas de seguridad de la información que detallan las pautas y requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) con el objetivo de gestionar la seguridad de la información de las organizaciones.

Dentro de este conjunto de normas, la principal es la ISO 27001, la referencia certificable de toda la serie. Esta norma proporciona requisitos para el establecimiento, implantación, mantenimiento y mejora continua de un SGSI. El proceso de mejora continua se basa en el conocido Ciclo Deming o PDCA (de las siglas de las palabras en inglés Plan-Do-Check-Act) que consta de las 4 fases de Planificar, Hacer, Verificar y Actuar.

PDCA

Las demás normas de la familia sirven de guía y ayuda para la implantación del SGSI. Otra norma bastante reseñable es, por ejemplo, la ISO 27002. Se trata de una guía de buenas prácticas que describe los objetivos de control y controles exigibles en lo referente a la seguridad de la información.

De la misma familia y con un propósito más específico es la ISO 27031. Este es un estándar no certificable que sirve de guía y proporciona un conjunto de métodos y procedimientos para establecer aspectos que conlleven una mejora en la preparación de las TIC de una organización para garantizar y consolidar la continuidad de negocio. Es decir, el objetivo principal de este estándar es proporcionar la continuidad de los servicios y asegurar que la organización podrá recuperarse ante una situación de desastre reestableciendo un estado de funcionamiento acordado anteriormente.

Similar al caso anterior, podemos hablar de la norma ISO 27701, también de la familia ISO 27000. En ella se establecen requisitos para administrar, gestionar y proteger la privacidad de los datos personales de la compañía en función de reglamentos y leyes tales como el RGPD (Reglamento General de Protección de Datos). Basada en los requisitos, controles y objetivos de la norma ISO 27001 de seguridad, incluye indicaciones para proteger la privacidad y confidencialidad de los datos de carácter personal tratados en una compañía. Cabe destacar que la certificación de esta nueva norma es alcanzable solamente de forma conjunta a la certificación de la ISO 27001.

Otras normas y estándares

Además de las normas ISO comentadas anteriormente, existen otros muchos estándares relacionados con el mundo de la ciberseguridad.

En GlobalSUITE Solutions ofrecemos ayuda y asesoramiento a todo tipo de organizaciones y sectores en la implementación de los Sistemas de Gestión requeridos por estas normas. Asimismo, contamos con el software GlobalSUITE® que, desarrollada por nuestro equipo, es una herramienta que permite la implantación, gestión y mantenimiento de los requisitos exigidos por las diferentes normas ISO.

More Articles

Menú