ISO 27001 & BS 25999

Si se ha topado con las normas ISO 27001 y ISO 27002, probablemente haya notado que la ISO 27002 es mucho más detallada y mucho más precisa. Entonces, ¿cuál es el objetivo de la ISO 27001?

Ante todo, no es posible obtener la certificación ISO 27002 porque no es una norma de gestión. ¿Qué significa una norma de gestión? Significa que este tipo de norma define cómo ejecutar un sistema; y en el caso de la ISO 27001, esta norma define el sistema de gestión de seguridad de la información (SGSI). Por lo tanto, la certificación en ISO 27001 sí es posible.

Este sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO 27001, pero no en la ISO 27002.

Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo A de la ISO 27001; por ejemplo, en la ISO 27002 el control 6.1.6 se denomina Contacto con autoridades, mientras que en la ISO 27001 es el A.6.1.6 Contacto con autoridades. Pero la diferencia radica en el nivel de detalle; en general, la ISO 27002 explica un control en toda una página, mientras que la ISO 27001 sólo le dedica una oración a cada uno.

Por último, la diferencia está en que la ISO 27002 no distingue entre los controles que son aplicables a una organización determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qué punto deben aplicarse.

La pregunta es: ¿Por qué existen ambas normas en forma separada, por que no han sido integradas utilizando los aspectos positivos de cada una? La respuesta está en la utilidad: si fuera una única norma, sería demasiado compleja y larga como para que sea práctica.

Cada norma de la serie ISO 27001 está diseñada con un enfoque preciso: si desea crear la estructura de la seguridad de la información en su organización y definir su encuadre, debería usar la ISO 27001; si desea implementar controles, debería usar la ISO 27002; si desea realizar la evaluación y tratamiento de riesgos, debería usar la ISO 27005; etc.

Para finalizar, se podría decir que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar. Sin embargo, sin el marco de gestión de la ISO 27001, la ISO 27002 sería simplemente un esfuerzo aislado de unos pocos apasionados por la seguridad de la información, sin la aceptación de la alta dirección y, por lo tanto, sin efectos reales sobre la organización.

También puede dar un vistazo a nuestro webinar Fundamentos de ISO 27001 – Parte 3: Resumen del Anexo A (es un curso de capacitación disponible para la venta).

¿Ya ha implementado la norma ISO 9001? ¿Ha escuchado que la ISO 27001 podría ser una buena idea? Pero, ¿cómo algo que tiene que ver con la calidad le puede ayudar a implementar la seguridad de la información?

Puede, más de lo que usted piensa… La norma ISO 9001 especifica cómo deben ser los sistemas de gestión de calidad (SGC), mientras que la ISO/IEC 27001 especifica los sistemas de gestión de seguridad de la información (SGSI). Por lo tanto, la parte de “sistemas de gestión” es la misma. Entonces, ¿de qué se trata realmente?

La filosofía de los sistemas de gestión ha crecido a partir de la teoría desarrollada por W. Edwards Deming durante la segunda mitad del siglo XX, y se basa en el ciclo de Planificación, Implementación, Revisión y Actuación (PDCA, por sus siglas en inglés). Básicamente, este ciclo consiste en lo siguiente: en la fase de Planificación usted debe planificar lo que desea lograr con el sistema de gestión; en la fase de Implementación, lo implementa; en la fase de Revisión, controla permanentemente si ha logrado lo que planificó y en la fase de Actuación, debe hacer las mejoras; es decir, llenar el vacío entre lo que planificó y lo que consiguió.

Aunque este ciclo fue inventado pensando en la gestión de calidad, se tomó como base para todos los otros sistemas de gestión: seguridad de la información (ISO/IEC 27001), medio ambiente (ISO 14001), continuidad del negocio (BS 25999-2), etc. Quiere decir que algunos de los elementos que ha implementado para el sistema de gestión de calidad conforme a la ISO 9001, los podrá utilizar también para el sistema de gestión de seguridad de la información. Esta es la lista:

• Gestión de documentación: el procedimiento utilizado para la gestión de documentación en el SGC puede ser usado con el mismo objetivo en el SGSI, sólo con algunas pequeñas adaptaciones.
• Auditoría interna: se puede utilizar el mismo procedimiento para el SGC y para el SGSI; aunque la auditoría interna concreta generalmente sería realizada por personas diferentes, ya que no es muy probable que una misma persona conozca en profundidad tanto sobre seguridad de la información como sobre calidad.
• Medidas correctivas y preventivas: el procedimiento utilizado para el SGC puede ser usado con el mismo objetivo en el SGSI, aunque es probable que sean personas diferentes quienes resuelvan los temas relacionados con SGC o SGSI.
• Gestión de recursos humanos: el mismo ciclo de planificación, capacitación y evaluación de RR.HH. se utiliza para ambos sistemas de gestión; naturalmente, la diferencia radica en el perfil de capacidades y conocimientos requeridos.
• Revisión por parte de la gerencia: los principios de la revisión por parte de la gerencia son los mismos para ambos sistemas de gestión; aunque no sería recomendable realizar ambas revisiones en paralelo, la gerencia ya estará acostumbrada a tomar decisiones sobre el SGC; por lo tanto comprenderán mejor cómo tomar decisiones en el contexto del SGSI.
• Establecimiento de objetivos comerciales y seguimiento de su cumplimiento: se fija el mismo mecanismo en ambas normas; por eso, la gerencia estará acostumbrada a una planificación sistemática de este tipo.

Por lo tanto, si ya ha implementado la norma ISO 9001, se le facilitará el trabajo de implementar la ISO 27001 (y viceversa): podría ahorrar hasta un 30% del tiempo. Además, tendrá auditorías de certificación más económicas ya que las entidades certificadoras ofrecen las denominadas “auditorías integradas”, que significa que auditarán las normas ISO 9001 e ISO 27001 en la misma auditoría, cobrándole una tarifa menor en relación a auditorías separadas.

Si su SGC funciona correctamente, verá que el proyecto de SGSI se desarrollará sin inconvenientes; la gerencia comprenderá mejor los potenciales beneficios comerciales, al tiempo que todas las unidades de la organización estarán acostumbradas a la necesidad de definir procedimientos, responsabilidades y documentación precisos.

De hecho, contar con un SGC proporciona una muy buena base para la seguridad de la información: si usted ya tiene la ISO 9001, piense seriamente en la ISO 27001.

También puede dar un vistazo a nuestro webinar gratuito Implementación de ISO 27001: ¿Cómo hacerla más sencilla utilizando la ISO 9001?.