¿Qué es la ISO 27001?
La ISO/IEC 27001:2013 es un estándar internacional de seguridad de la información reconocido universalmente. 2013 es la cifra de la revisión actual del estándar. ISO está trabajando activamente en una revisión del estándar que debiera ser publicada este año. O sea que en breve podríamos estar hablando de ISO/IEC 27001:2021. Esas revisiones son necesarias para adaptarse al cambiante estado del arte de la tecnología y los nuevos retos que surgen en el ámbito de la seguridad de la información. La Certificación ISO27001 es igual de importante en la gestión Experiencia Cliente.
¿Por qué necesitamos la certificación ISO 27001?
El Likeik CX capturamos datos emocionales y los combinamos con datos operativos. Todos ellos hacen referencia a personas -clientes o empleados-. Desde siempre hemos creído, que la seguridad de la información es un problema del negocio, no un tema de IT. El conocimiento y los mecanismos de prevención de riesgos, es fundamental para una gestión eficaz de la seguridad de la información. La ISO 27001 obliga a incluir una serie de formalidades para asegurar que se siguen los procedimientos correctos para salvaguardar la información y los pasos concretos a dar cuando se produce una brecha de información.
¿Cuál es el valor que aporta al negocio la certificación ISO 27001?
Hoy en día, tener la ISO 27001 es un factor higiénico. Cualquier proveedor de tecnología que trate datos personales, de mayor o menor criticidad, debe poder ofrecer confianza a sus clientes. Para Likeik CX, cumplir con los requerimientos de seguridad que impone la ISO 27001 es un elemento fundamental, tanto en la operación del día a día como en su estrategia competitiva. Los clientes, proveedores y accionistas de una empresa quieren saber que no les pones a ellos o a sus negocios en riesgo por no tener salvaguardas definidas alrededor de tus activos de información.
Los consejos de administración quieren esta confianza, la gerencia la quiere; y la certificación demuestra que has invertido tiempo y dinero en mantener niveles apropiados de seguridad en base a riesgos conocidos, y que seguirás haciéndolo.
¿Qué supone en el día a día la acreditación ISO 27001?
En el fondo, supone instalar una cultura de la seguridad en toda la organización mediante las herramientas que propone el estándar, la inclusión de los controles en los procesos de negocio y la formación continua a las personas.
La mera generación interna de una cultura transversal orientada a la seguridad de la información, produce automatismos beneficiosos que minimizan el riesgo de que se produzcan incidentes de seguridad y aseguran que serán adecuadamente tratados si se producen.
En sí misma genera una manera de hacer las cosas en el día a día, que redunda en prevención, anticipación, traza y conocimiento de cómo actuar en caso de brechas. Todo bueno, para Likeik CX y para sus clientes.
¿Pueden conseguirse los mismos resultados sin certificación?
Por supuesto, se puede implantar el método que establece el estándar, sin necesidad de pasar por el tedioso y exigente ejercicio de la certificación. Muchas empresas lo hacen.
Sin embargo, la certificación es la prueba formal de que el estándar ha sido integrado. Pero además, es el argumento perfecto para que internamente se cumpla. La consistencia y la repetibilidad de los procesos son claves para la justificación de las inversiones en seguridad de la información, y comprender el estándar en profundidad para aplicarlo adecuadamente es clave si se quiere ser realmente eficaz.
¿Por qué usar la ISO 27001 frente a otros estándares como NIST?
El Instituto Nacional de Estándares y Tecnología (NIST en su acrónimo en inglés) estadounidense tiene una serie de normas y marcos de trabajo relevantes. Entre ello podemos citar:
1. NIST CSF (Cybersecurity Framework): Un marco de trabajo voluntario, diseñado para gestionar y mitigar los riesgos de ciberseguridad en infraestructuras críticas estadounidenses. Basado en estándares, guías y prácticas existentes. Se ha probado lo suficientemente flexible como para ser utilizado en compañías no americanas y/o no dedicadas a la gestión de infraestructuras críticas.
2. NIST RMF (Risk Management Framework): Un enfoque estructurado a la gestión de riesgos. Asegura que el riesgo se gestiona de acuerdo con los requerimientos, objetivos de negocio y apetito al riesgo de la organización.
3. NIST SPs (Special Publications) serie 800: Son una serie de recomendaciones de seguridad de la información. De ellas es especialmente relevante la SP 800-171 que establece 114 controles para la implementación de estrategias de seguridad y privacidad en las organizaciones.
En realidad, al haberse diseñado como marcos de trabajo flexibles y voluntarios hace que sean relativamente sencillos de implementar conjuntamente con la ISO 27001. Sobre todo debido a que comparten una serie de principios como el soporte de la alta dirección, el proceso de mejora continua y el enfoque basado en riesgos.
De hecho, el proceso de evaluación de riesgos de la ISO 27001 es tremendamente similar al de la NIST RMF: identificar riesgos a la información de la organización, implementar controles apropiados para dicho riesgo y, finalmente, monitorizar dichos controles.
Sin embargo, al ser voluntarios, es difícil probar el cumplimiento. La ISO 27001, por otro lado, tiene una presencia internacional que las organizaciones reconocen y en la que confían, confianza reforzada por la certificación externa y acreditada por terceros.