Haz que tu empresa sea confiable con ISO 27001, Sistemas de Gestión de Seguridad de la Información.
¿Todavía no la has implementado? En esta entrevista a un experto en la materia, te contamos todo lo que necesitas saber sobre ISO 27001 y cómo hacer confiable a tu empresa con esta norma.
El día de hoy nos dedicaremos a conocer un poco más acerca de esta norma que muchos creen que es solo dedicada a empresas de tecnología, y ¡no es así!
Estamos con el Ing. Harro Osthoff*, quien aceptó desinteresadamente nuestra invitación para participar en el ciclo de entrevistas a profesionales.
Para comenzar con la entrevista del día de hoy, empezaré por el principio: ¿qué es la norma 27001? ¿de qué trata?
La norma ISO 27001 es un sistema de gestión para la seguridad de la información. Básicamente esta norma gestiona la información interna de la empresa y controla que esté adecuadamente gestionada.
Como toda norma ISO, la 27001 es para empresas de cualquier tamaño y rubro, y no necesita ser para nada una empresa de TI.
Hablando particularmente de la norma, la parte central consiste en los capítulos 4 a 10 como los que definen cualquier Sistema de Gestión y adicionalmente tiene un anexo con 114 controles técnicos. Es importante destacar que las normas ISO definen los requisitos, pero la implementación de estos es decisión del cliente.
Asimismo, me gustaría aclarar que la norma de Seguridad de la Información no es IT, sino que es sobre gestionar la información y esto tiene que ver con tres pilares:
- La confidencialidad: Que la información llegue solamente a la persona que debe llegar.
- La integridad: Relacionado con que la información y los sistemas que lo interpretan no estén modificados
- La disponibilidad: Que la información esté disponible para la personas cuando lo necesitan.
Esto es un resumen sobre lo que la norma trata.
Ahora, hay compañías que todavía no están seguras de si implementar o no esta norma.
¿Qué beneficios brinda a las organizaciones estar certificados en la ISO 27001 Sistemas de Gestión de Seguridad de la Información?
Voy a poner un ejemplo: la norma 9001 es la norma de Calidad, y todas las normas ISO están basadas en ella. La 9001 certifica la calidad de un producto o servicio, es decir la gestión que se necesita para elaborar un producto o servicio de calidad.
Sin embargo, esta norma no dice nada acerca de cómo las empresas manejan su información, si es confiable o no, y justamente la ISO 27001 hace eso: da confianza en la operación de los datos de la organización.
Con esta norma, el cliente confía en que todo lo que la compañía publica es seguro y eso también sienta las bases para las normas que por ejemplo utilizan algunas empresas para cotizar en la bolsa de Nueva York, ya que tiene exactamente los mismos controles que la ISO 27001.
Hay que confiar en lo que dicen las empresas, por lo que la 27001 genera confianza.
La norma también asegura que quién esté certificado tiene una tecnología de la información adecuada y que gestiona su información de manera satisfactoria.
La norma, como cualquier estándar ISO, tiene controles internacionales y se audita en todo el mundo de la misma manera, con los mismos objetivos de calidad y eso trae beneficios económicos para las empresas.
Ahora, la pregunta del millón:
¿Qué tipo de empresas pueden certificarse en ISO 27001?
…es para cualquier empresa o debe tener alguna característica en particular, como tamaño o madurez en sus Sistemas de Gestión?
Nosotros en TÜV Argentina tenemos tenemos todo tipo de compañías certificadas: microempresas de cuatro personas hasta multinacionales que están en todos los rubros, como químicas, software, comercios de cualquier área y no tiene por qué tener algo que ver con TI, porque la norma no certifica la TI, sino lo que se audita es que la compañía maneje su información adecuadamente. Esto es el foco de la norma y es algo que necesitan todas las empresas.
Sobre todo porque ahora todo pasó a manejarse virtualmente, al trabajo remoto, el trabajo con las computadoras..
¿Crees que tomó más relevancia la norma en este tiempo de pandemia con el trabajo remoto?
Sí, claramente. No es lo mismo para las organizaciones tener a sus empleados trabajando físicamente en sus oficinas que estar trabajando desde sus casas. En este caso, se podrían conectar desde el WiFi del vecino o ni saber qué tienen conectado a su red, y desconocen la defensa de estas conexiones. Cuando se está físicamente en la empresa esto se sabe, porque la información se gestiona adecuadamente.
Otro punto a considerar es que las compañías tienen que conocer los riesgos que existen a la hora de llevar adelante un trabajo remoto y los desafíos de esta tarea. Un problema que trae aparejado el home office es también la gestión de los recursos humanos: ¿cómo integras una persona que no conoce nada, cómo haces una inducción? Normalmente el personal aprende más rápido si está junto con otras personas trabajando físicamente en el mismo lugar.
En ámbitos que se realizan tareas 100% vía internet también se está más expuesto, como compañías que brindan los servicios en la nube. Esta clase de trabajo exige una construcción más cuidadosa de los accesos y su administración, ya que se corren más riesgos detrás de una cámara o si no se trabaja en un ambiente protegido.
Hay un montón de aspectos riesgosos que tiene el trabajo remoto, pero con el tiempo y la implementación de la norma 27001 se irán mejorando: poco a poco se producirán menos errores y la gente creerá en cómo la empresa maneja su información.
Asimismo me gustaría aclarar que la 27001 tiene muchísimas guías especializadas para distintos rubros como telecomunicaciones, medicina, controles de nube e incluso la gestión de datos personales. Estas guías también son certificables junto con la 27001.
Claro, la 27001 es como la madre, la norma general, pero después existen normas certificables para cada necesidad o rubro.
O para cada tecnología, cada área que esté asociada con la seguridad de la información.
Las empresas en general ¿certifican la 27001 y alguna especificación o se hace por separado?
La mayoría de las empresas certifica la ISO 27001 tal cual es, pero ante la posibilidad de certificar guías y que los entes de internacionales las acepten, las organizaciones buscan cada vez más implementar además de la norma general, alguna especificación.
Hace dos años que este mercado está creciendo exponencialmente, sobre todo en aquellas compañías que brindan servicios en la nube.
Tener incorporadas estas especificaciones es importante porque esta clase de empresas trabajan con datos online.
Con el trabajo remoto quizás van a tender a desaparecer las oficinas físicas y las personas y empresas mismas comenzarán a trabajar 100% en la nube. Me parece súper importante estas guías que nos comentas, sobre todo ahora en estos tiempos remotos.
Hasta aquí las preguntas de hoy.
¿Te gustaría agregar algo más?
Sí. Que existen muchísimas normas de TI, servicios de tecnología o continuidad del negocio que hace bastante están en el mercado y últimamente están siendo requeridas, como las de Servicios de TI o Continuidad de Negocio que tiene revisiones nuevas y no son normas tan técnicas como en sus primeras versiones.
Me gustaría mencionar también la parte de las exclusiones de la 27001, que están detalladas en el anexo. Si una empresa no tiene las 114 especificaciones técnicas, es posible que ellas puedan excluirse de la certificación. Pero si estas especificaciones sí aplican, deben estar presentes y no se pueden obviar.
Relacionado con la implementación y el tiempo que demanda incorporar la ISO 27001, dependerá mucho de si la empresa ya posee un Sistema de Gestión o no. Si esta norma se integra a otros procesos ya implementados, el trabajo se verá enormemente facilitado.
La mayor carga de trabajo de la implementación será a la hora de documentar los procesos de la organización, ya que eso lleva mucho trabajo. En este caso, si la empresa ya posee Sistemas de Gestión, la incorporación de la 27001 demorará aproximadamente seis meses.
En el caso de que la compañía esté comenzando desde cero, normalmente tomará un año llevarlo a cabo, ya que la implementación de las normas desde el comienzo significa mucho trabajo.
Lo bueno es que después se compensa con procesos más ordenados y eficientes, además de las ganancias económicas. Al comienzo, cuesta, como todo.
Esto pasa en cualquier Sistema de Gestión o cualquier comienzo de cualquier nuevo procedimiento, ya que si no se tienen las bases asentadas, costará más. Lo importante es empezar firme para que luego sea más fluido el proceso.
Exactamente.
Nosotros en TÜV Rheinland Argentina tenemos bastantes clientes y siempre fueron muy positivas las devoluciones sobre la implementación de la ISO 27001.
Las compañías verdaderamente sacaron provecho de esta certificación y ello trajo aparejado que los jefes conocieran qué es lo que pasa en sus procesos tecnológicos, que no siempre lo saben, o se notifican a través de indicadores o listas que indican en qué lugar se encuentran.
Llevar a cabo un Sistema de Gestión por supuesto siempre es más fácil si cuentas con un Software ISO como Kahuna APP que te ayudará a administrarlo fácilmente.
Si quieres conocer más de nuestra herramienta, ingresa aquí
¡No te olvides de seguirnos en Redes Sociales!
https://facebook.com/APPKahuna
*Harro es ingeniero informático y auditor líder en las normas 27001 y 9001, además de tener un doctorado en Information Theory. Asimismo, es product manager de Seguridad de la información en TÜV Rheinland y por supuesto, responsable técnico para las normas ISO/IEC 20.000, ISO 22.301 e ISO/IEC 27.001.