La norma ISO 27001 ha ganado una importancia creciente como una práctica esencial adoptada por un número cada vez mayor de organizaciones. En muchos países de América Latina, empresas de diversos sectores, como el de salud, servicios, fintech, y otros, están adoptando la implementación de la ISO 27001, ya sea como un requisito obligatorio o como una sólida práctica recomendada. Exploraremos cómo esta norma se ha convertido en el pilar de la ciberseguridad empresarial con los siguientes aspectos:
LA CREACIÓN DEL SGSI:
El punto de partida en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001 es la identificación de activos críticos y riesgos. Para llevar a cabo esta evaluación, se pueden utilizar metodologías como la ISO 37001. Este enfoque integral permite a las empresas identificar sus activos valiosos, evaluar las amenazas y vulnerabilidades, y definir estrategias para mitigar riesgos. a creación de un Sistema de Gestión de Seguridad de la Información (SGSI) debe comenzar con un norte claro en forma de un alcance bien definido.
Este alcance debe establecer de manera precisa los objetivos y metas del SGSI, identificando los activos críticos de información y las áreas de la organización que serán protegidas. Además, es esencial que este alcance defina de manera clara los roles y responsabilidades de los diversos actores involucrados, incluyendo los recursos humanos y financieros asignados, el compromiso de la alta gerencia, y los procedimientos de auditoría para garantizar el cumplimiento de los estándares de seguridad. Esta definición precisa del alcance es fundamental para el éxito de la implementación de un SGSI y proporciona una base sólida para el establecimiento de controles de seguridad efectivos y una cultura de seguridad arraigada en toda la organización.
La creación de un Sistema de Gestión de Seguridad de la Información (SGSI) implica cuatro pasos clave:
- Definir el alcance del SGSI.
- Identificar activos y riesgos.
- Formular políticas y procedimientos de seguridad.
- Implementar controles, procesos y procedimientos en plazos definidos para garantizar la seguridad de la información. Un cronograma con una mejora continua.
INTEGRACIÓN CONTROLES TÉCNICOS:
La seguridad no se limita a obtener la certificación ISO 27001; requiere la implementación de controles técnicos sólidos. Esto implica medidas como el cifrado de datos sensibles, la configuración de firewalls, WAF y la realización de pruebas de ethical hacking como de ingeniería social para evaluar la resistencia de los empleados a las amenazas de phishing y otros ataques.
Los controles también han madurado a tener nuevos controles entre ellos de hacer pruebas de OSINT o Ciberinteligencia para identificar riesgos públicos, o el incorporar buenas prácticas de desarrollo seguro de acuerdo a estándares como OWASP. Así mismo, el tema de contar con controles como SOC- NOC, son cada vez más comunes y el de tener mayores controles técnicos en servicios en la nube.
CULTURA DE SEGURIDAD:
La obtención de la certificación ISO 27001 es solo un paso. Para que la ciberseguridad sea efectiva, debe existir una cultura de seguridad arraigada en la empresa. Todos los empleados deben ser conscientes de la importancia de la seguridad de la información y estar comprometidos en la prevención de riesgos cibernéticos. Sin una cultura de seguridad sólida, incluso la mejor certificación ISO es insuficiente.
«Cultura es la clave; el papel es la guía». Ambos son esenciales para la seguridad de la información, la cultura es fundamental en los procesos de ciberseguridad de cualquier empresa.
ISO 27001-2022: UNA NUEVO RETO PARA LAS EMPRESAS
El año 2022 marcó un hito en la evolución de la ISO 27001. La norma se actualizó para adaptarse a las cambiantes amenazas cibernéticas y las tendencias tecnológicas emergentes.
La última versión de la norma ISO/IEC 27001:2022, ahora oficialmente titulada «Seguridad de la información, ciberseguridad y protección de la privacidad», refleja un avance significativo en el enfoque de la seguridad de la información. Esta evolución en la nomenclatura subraya la integración y la importancia creciente de la ciberseguridad y la privacidad dentro del marco de la gestión de la seguridad de la información. Al adoptar estos términos, la norma reconoce la interconexión entre la protección de la información corporativa, la defensa contra las amenazas y la salvaguarda de la privacidad personal y empresarial. Esta inclusión es un testimonio de cómo la seguridad de la información se ha expandido para abarcar un espectro más amplio de consideraciones en el mundo digital actual.
El Anexo A, anteriormente conocido como «Objetivos y controles de referencia», ha sido renombrado a «Referencia de controles de seguridad de la información» y ha visto una reducción significativa en el número de controles, pasando de 114 a 93. Esta optimización elimina redundancias y refleja una respuesta proactiva a las nuevas tecnologías y a los cambios en los hábitos de trabajo entre ellos el trabajo remoto como un nuevo control. Así mismo, se agregan nuevos controles como Ciberinteligencia, con el fin de encontrar riesgos y amenazas que pueden ser públicas.
CONCLUSIÓN
En resumen, la ISO 27001 se convierte en una poderosa herramienta para las empresas en su búsqueda por elevar su nivel de madurez en seguridad de la información y fomentar una cultura de ciberseguridad. Más allá de la obtención de la certificación, su verdadero valor radica en guiar a las organizaciones a comprender y abordar todo el ciclo de seguridad de manera integral.
La ISO 27001-2022 enfatiza la necesidad de una mejora continua constante, recordándonos que no se trata simplemente de obtener un sello de aprobación, sino de establecer un compromiso duradero con la protección de la información en un entorno digital en constante evolución. Cada día, Cloud Seguro se dedica a guiar y respaldar a una diversidad de clientes en Latinoamérica en la implementación de la norma ISO 27001. Nuestra premisa fundamental es fomentar una sólida cultura de seguridad de la información, establecer controles efectivos, realizar pruebas de pentesting y asegurar la preparación total en términos de ciberresiliencia.
Si necesitas el apoyo para implementar la ISO 27001-2022, no dudes en contactarnos.
Nuestros clientes nuestra mejor carta de presentación en toda Latinoamérica y Estados Unidos.
