Preguntas ISO 27001
A continuación se presentan algunas preguntas frecuentes relacionadas con la ISO 27001 y la ISO 27701 para ayudarle con la certificación:
Hace click para saltar a la pregunta concreta:
- ¿Cuánto tiempo se tarda en obtener la certificación ISO 27001?
- ¿Quién puede emitir la certificación ISO 27001?
- ¿Cuáles son los 14 dominios de la ISO 27001?
- ¿Cubre la ISO 27001 la ciberseguridad?
- ¿Cubre la ISO 27001 el RGPD?
- ¿Puede un individuo obtener la certificación ISO 27001?
- ¿Cómo se comprueba si una empresa tiene la certificación ISO 27001?
- ¿Cuál es la diferencia entre la ISO 27001 y la ISO 27002?
- ¿Cómo se gestionan los datos personales con la norma ISO 27701?
- ¿Qué es un sistema de gestión de la privacidad de la información (PIMS)?
- ¿Por qué se desarrolló la norma ISO 27701?
¿Cuánto tiempo se tarda en obtener la certificación ISO 27001?
Hay una serie de factores que pueden determinar el tiempo que se necesita. El factor crucial es el alcance de la certificación, que a su vez comprende cosas como: el tamaño de la organización, el número y la complejidad de los procesos, el número de ubicaciones y el número de empleados. Y también la madurez de la capacidad y los conocimientos en materia de seguridad de la información que ya tiene la organización. En general, con el aumento del tamaño y la complejidad aumenta el tiempo y el esfuerzo. El proceso también puede ser más rápido si la organización ya tiene experiencia en normas de sistemas de gestión, como la de calidad ISO 9001.
Siempre recomendamos que la obtención de la certificación ISO 27001 se trate como un proyecto y se gestione en consecuencia. Esto puede hacerse internamente o con el apoyo de un consultor ISO 27001 - nuestro equipo de ventas puede ayudar a las organizaciones a decidir y también recomendar consultores con los que tenemos un alto grado de confianza.
Los proyectos bien gestionados con personal experimentado pueden durar de 2 a 3 meses, aunque no es raro que superen los 6 meses. En circunstancias ideales, la organización tendrá un sistema de gestión plenamente operativo antes de que se realicen las auditorías. Hacia el final del proyecto, la organización se someterá a una breve auditoría de la fase 1, que es esencialmente una comprobación de la preparación. A continuación, se realiza una auditoría de segunda fase, que suele durar varios días, y en la que se revisan todos los requisitos de la norma y los controles de seguridad de la información de la organización.
¿Quién puede emitir la certificación ISO 27001?
Sólo los organismos de certificación que han sido acreditados para la norma ISO 27001:2013 pueden emitir certificados ISO 27001:2013. Puede comprobar si un organismo de certificación está acreditado para una norma concreta buscando en el directorio de organismos de certificación acreditados de UKAS.
Merece la pena explicar la estructura global de acreditación para entender mejor cómo los organismos de certificación pueden emitir certificados.
Los organismos de certificación son las organizaciones acreditadas para emitir certificados a las organizaciones. Hay muchos organismos de certificación en varios países y, debido al régimen de acreditación internacional, todos los certificados emitidos por los organismos de certificación acreditados se reconocen mutuamente en todo el mundo.
Para que un organismo de certificación esté acreditado conforme a una norma ISO concreta, debe someterse a una auditoría de acreditación por parte de un organismo nacional de acreditación aprobado, en el caso de NQA es UKAS.
UKAS es signatario del Acuerdo Multilateral (MLA) de la Cooperación Europea para la Acreditación (EA).
El EA MLA está reconocido a nivel mundial por el Foro Internacional de Acreditación, lo que significa que un certificado emitido por un organismo de certificación acreditado en el Reino Unido es reconocido a nivel mundial. Del mismo modo, por ejemplo, un certificado emitido por un organismo de certificación de EE.UU. que esté acreditado por el Consejo de Acreditación del ANSI goza de reconocimiento mutuo en el Reino Unido.
¿Cuáles son los 14 dominios de la ISO 27001?
El anexo A de la norma ISO 27001:2013 enumera 14 "objetivos de control", cada uno de los cuales comprende un conjunto de controles de seguridad (114 en total y se describen en detalle en la norma ISO 27002:2017). Estos objetivos de control son:
A.5 Políticas de seguridad de la información
A.6 Organización de la seguridad de la información
A.7 Seguridad de los recursos humanos
A.8 Gestión de activos
A.9 Control de acceso
A.10 Criptografía
A.11 Seguridad física y medioambiental
A.12 Seguridad de las operaciones
A.13 Seguridad de las comunicaciones
A.14 Adquisición, desarrollo y mantenimiento del sistema
A.15 Relaciones con los proveedores
A.16 Gestión de incidentes de seguridad de la información
A.17 Aspectos de la seguridad de la información en la gestión de la continuidad de la actividad
A.18 Cumplimiento
¿Cubre la ISO 27001 la ciberseguridad?
¿Qué es la ciberseguridad? Hay varias definiciones, pero en general se entiende la seguridad de los sistemas y servicios informáticos, normalmente en un contexto en línea. Lo que significa que es un campo muy amplio, que comprende muchas tecnologías y técnicas.
Mientras que la ISO 27001 se suele denominar norma de seguridad de la información y en realidad es un sistema de gestión. Pero fíjese bien en la portada del título de BSI:
Tecnología de la información - Técnicas de seguridad
Sistemas de gestión de la seguridad de la información - Requisitos
Es muy difícil separar la tecnología de la información de la cibertecnología. En casi todos los contextos cibernéticos es la información la que está siendo procesada por la tecnología subyacente con el fin de proporcionar servicios cibernéticos. Así que los términos seguridad de la información y ciberseguridad se utilizan a menudo de forma intercambiable. Y esto se ve reforzado por el hecho de que los principios de seguridad subyacentes son comunes a ambos.
La norma ISO27001:2013 se considera el estándar de la industria para la seguridad de la información y es utilizada por organizaciones de todos los sectores, a nivel mundial, para mejorar y demostrar sus prácticas de seguridad. Echa un vistazo a los principales proveedores de servicios cibernéticos en línea, como Microsoft y Google, que cuentan con varias certificaciones ISO 27001.
Por lo tanto, la ISO 27001 cubre la ciberseguridad y proporciona un marco para gestionar los riesgos de ciberseguridad, así como los riesgos de seguridad de la información.
¿Cubre la ISO 27001 el RGPD?
El RGPD se refiere a los datos personales, que son un tipo de información. La ISO 27001 es una norma de seguridad de la información. Una organización certificada por la ISO 27001 habrá considerado los riesgos de seguridad de los datos personales que procesa, en el contexto del GDPR. En este sentido, la ISO 27001 es una medida de cumplimiento del artículo 5.1 (d), (e) y (f) del RGPD, y del artículo 32 (Seguridad del tratamiento).
Para una cobertura completa del RGPD, en la medida en que se relaciona con las actividades de procesamiento de una organización y como medida para demostrar el cumplimiento, entonces la ISO 27701 tendría que ser implementada además de la ISO 27001. Se trata de una norma complementaria a la ISO 27001, que implementa un sistema de gestión de la información sobre la privacidad.
Esta es una cita de un comunicado de prensa de abril de 2020 del equivalente francés de la OIC, la CNIL: "La norma se redactó a nivel internacional con la contribución de expertos de todos los continentes y la participación de varias autoridades de protección de datos. Los expertos de la CNIL han contribuido activamente a esta norma, con el apoyo del Consejo Europeo de Protección de Datos. Representa el estado del arte en materia de protección de la privacidad y permitirá a las organizaciones que la adopten aumentar su madurez y demostrar un enfoque activo en materia de protección de datos".
¿Puede un individuo obtener la certificación ISO 27001?
No. Sólo las organizaciones pueden ser certificadas. Pero esto significa que una empresa unipersonal podría ser certificada, pero es la empresa, no el individuo.
¿Cómo se comprueba si una empresa tiene la certificación ISO 27001?
No existe un registro público de empresas certificadas. Pero las empresas certificadas habrán recibido un certificado de su organismo de certificación, por lo que puede pedir una copia. Debe comprobar los siguientes elementos en el certificado ISO 27001 de la empresa:
- La versión actual de la ISO 27001 es la ISO 2001:2013. Cualquier versión anterior ya no es válida. A medida que se publica una nueva versión, hay un período de transición durante el cual las organizaciones adoptan la nueva versión, por lo que solo entonces podría haber un número de versión diferente (actualmente no hay transición para la norma ISO 27001:2013).
- La fecha de exìración.
- Que el certificado es para la empresa. En las empresas de varios grupos, suele ocurrir que sólo se certifique a una empresa miembro en particular; la certificación no cubrirá a otros miembros del grupo a menos que se indique en el certificado.
- Los sitios físicos cubiertos por el certificado. Esto sólo es realmente útil si se sabe desde dónde se prestan los servicios.
- El alcance de la certificación. ¿Cubre el alcance de la certificación lo que la organización le suministra a usted? El hecho de que una organización declare que está certificada según la norma ISO 27001 no siempre significa que sea relevante para usted.
- El organismo de acreditación que emitió el certificado. En el Reino Unido es probable que sea UKAS, pero debido al sistema de reconocimiento mutuo mundial podría ser un organismo de acreditación no británico. Lo importante es comprobar que el organismo de acreditación está suscrito al IAF.
- Puede solicitar una copia de la declaración de aplicabilidad. Compruébala para confirmar que no han excluido ningún control que pueda ser necesario para asegurar los servicios que prestan.
¿Cuál es la diferencia entre la ISO 27001 y la ISO 27002?
La norma ISO 27001 especifica los requisitos de un sistema de gestión de la seguridad de la información. Esto incluye el requisito de considerar 114 controles de seguridad estándar de la industria, que se especifican en el Anexo A de la norma ISO 27001.
La norma ISO 27002 proporciona directrices de aplicación para cada uno de los controles del Anexo A de la norma ISO 27001. Son una ampliación realmente útil de los requisitos de control del Anexo A, y proporcionan a las organizaciones una guía de las mejores prácticas del sector en materia de seguridad.
Esto significa que hay una diferencia importante en la terminología. En el Anexo A los controles se redactan como "La organización deberá...", mientras que en la norma ISO 27002 los mismos controles son "La organización debería...". El "deberá" es un requisito obligatorio, mientras que el "debería" es orientativo.
Las organizaciones pueden obtener la certificación ISO 27001, pero no la ISO 27002.
¿Cómo se gestionan los datos personales con la norma ISO 27701?
Es un tema enorme. Pero los datos personales son un activo de información, por lo que deben gestionarse de forma segura como cualquier otro activo de información valioso. Pero el RGPD (o cualquier otra legislación regional sobre privacidad) especifica requisitos adicionales que las organizaciones y los individuos deben seguir. En opinión de NQA, el mejor marco para la gestión de los datos personales es la norma ISO 27701. Proporciona requisitos de control y orientación para todas las cláusulas del GDPR que las organizaciones deben cumplir. Y no es específica del RGPD (aunque hay una tabla de asignación del RGPD en un anexo), puede aplicarse a la mayoría de las demás legislaciones sobre privacidad.
Esta es una cita de un comunicado de prensa de abril de 2020 del equivalente francés de la OIC, la CNIL: "La norma se redactó a nivel internacional con la contribución de expertos de todos los continentes y la participación de varias autoridades de protección de datos. Los expertos de la CNIL han contribuido activamente a esta norma, con el apoyo del Consejo Europeo de Protección de Datos. Representa el estado del arte en materia de protección de la privacidad y permitirá a las organizaciones que la adopten aumentar su madurez y demostrar un enfoque activo en materia de protección de datos".
¿Qué es un sistema de gestión de la privacidad de la información (PIMS)?
Un PIMS es un marco de mejora continua para la gestión de los datos personales y el apoyo al cumplimiento de la legislación de privacidad pertinente. Los PIMS suelen estar atornillados a los sistemas de gestión de la seguridad de la información y, de hecho, para implantar un PIMS según la norma ISO 27701 una organización debe tener también un SGSI según la norma ISO 27001. Esto significa que las cláusulas de la norma ISO 27001 proporcionan la base para todas las actividades relacionadas con la privacidad.
¿Por qué se desarrolló la norma ISO 27701?
La norma ISO 27001 especifica un SGSI que es un marco de gestión a través del cual se identifican, analizan y abordan los riesgos de seguridad de la información. Lo importante es que garantiza que las disposiciones de seguridad se adaptan a su empresa, no la dirige, sino que la capacita, para seguir el ritmo de los cambios en las amenazas a la seguridad, las vulnerabilidades y las repercusiones en la empresa.
Independientemente de la madurez de un SGSI existente, no hay garantía de que las necesidades de protección de datos se consideren adecuadamente, especialmente desde la introducción de la legislación con requisitos de privacidad - el GDPR es un ejemplo de ello. Los certificados existentes para la norma ISO 27001 garantizan que las organizaciones demuestren que la seguridad de la información está implantada en una organización, pero la protección de datos requiere que las organizaciones den un paso más. La ISO 27701 permite dar ese siguiente paso.
El artículo 42 del RGPD prevé regímenes de certificación que se utilizarán para demostrar plenamente el cumplimiento. Los requisitos del Consejo Europeo de Protección de Datos para los regímenes tienen criterios para los artículos 5 y 6, 12 a 42, 44 a 48 y se centran especialmente en las medidas técnicas y organizativas para proteger los derechos y asegurar los datos. Sin embargo, no existe ningún esquema de este tipo, y es probable que tarde mucho en desarrollarse.
La norma ISO 27701 puede ayudar a demostrar el cumplimiento de todos esos artículos.