TL;DR 

ISO 27001 es la norma mundial para la gestión de riesgos informáticos. Define cómo crear y mantener un SGSI seguro, e incluye el alcance, las evaluaciones de riesgos, los controles del Anexo A y las auditorías.

Más centrada en los procesos que la SOC 2, pero de mayor alcance. Imprescindible si opera a escala internacional o desea un marco de seguridad escalable y basado en riesgos.

Resumen del cuadro de mando ISO 27001:

• Esfuerzo del desarrollador: Moderado a alto (requiere adherirse a políticas de SDLC seguras, participar en evaluaciones de riesgos, aportar pruebas para controles como A.12/A.14).
• Coste de las herramientas: Moderado a alto (los honorarios de auditoría son significativos, posible software SGSI, herramientas de seguridad).
• Impacto en el mercado: Muy alto (norma reconocida mundialmente, clave para negocios internacionales, industrias reguladas, grandes empresas).
• Flexibilidad: Alta (enfoque marco, selección de controles basada en el riesgo a través de SoA).
• Intensidad de la auditoría: Alta (Fase 1 y 2 para la certificación inicial, auditorías anuales de vigilancia, centradas en el proceso y la documentación).

¿Qué es la norma ISO 27001?

ISO/IEC 27001 es la principal norma internacional centrada en la seguridad de la información. Desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI), especifica los requisitos para establecer, implantar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI ) en el contexto de la organización.

Un SGSI no es sólo un conjunto de herramientas técnicas; es un enfoque sistemático para gestionar la información sensible de la empresa de modo que permanezca segura. Incluye personas, procesos y tecnología. La idea central es la gestión de riesgos: identificar amenazas y vulnerabilidades, evaluar los riesgos y aplicar controles para mitigarlos hasta un nivel aceptable.

Componentes clave de la norma ISO 27001:

• Cláusulas 4-10: Definen los requisitos obligatorios para el propio SGSI: comprensión del contexto de la organización, compromiso de la dirección, planificación (evaluación y tratamiento de riesgos), apoyo (recursos, concienciación, documentación), funcionamiento, evaluación del rendimiento (seguimiento, auditoría interna, revisión por la dirección) y mejora.
• Anexo A: proporciona un conjunto de referencia de 114 controles de seguridad de la información agrupados en 14 ámbitos (aunque la versión de 2022 lo ha revisado a 93 controles en 4 temas). Las organizaciones seleccionan los controles pertinentes del anexo A en función de los resultados de su evaluación de riesgos mediante una declaración de aplicabilidad (SoA). No todos los controles son obligatorios; sólo los necesarios para tratar los riesgos identificados.

A diferencia de SOC 2, que da lugar a un informe de atestación, ISO 27001 conduce a una certificación formal tras superar auditorías externas (Etapa 1 y Etapa 2). Esta certificación suele ser válida durante tres años, con auditorías de vigilancia anuales necesarias para mantenerla.

¿Por qué es importante?

La certificación ISO 27001 tiene un peso significativo, especialmente para las empresas tecnológicas que operan a escala mundial o manejan datos confidenciales:

• Reconocimiento internacional: Es la norma mundial más reconocida para la gestión de la seguridad de la información, lo que aumenta la credibilidad en todo el mundo.
• Gestión integral de la seguridad: Obliga a adoptar un enfoque estructurado y basado en los riesgos, mejorando la postura general de seguridad más allá de los controles técnicos.
• Confianza de clientes y socios: Al igual que SOC 2, es una poderosa señal para clientes y socios de que usted se toma la seguridad en serio, a menudo requerida en contratos y RFP.
• Cumplimiento legal y normativo: La implantación de un SGSI ISO 27001 ayuda a cumplir los requisitos de diversas leyes y normativas (como el GDPR) al demostrar una gestión sistemática de los riesgos.
• Reducción del riesgo de infracciones: Un SGSI bien implantado reduce de forma demostrable la probabilidad y el impacto de los incidentes de seguridad. Toyota, por ejemplo, tuvo que hacer frente a paradas de producción tras un ciberataque; un SGSI robusto ayuda a prevenir esas interrupciones.
• Organización y procesos mejorados: Aporta estructura a los esfuerzos de seguridad, aclara las responsabilidades y fomenta una cultura consciente de la seguridad.

Mientras que SOC 2 suele estar impulsada por las demandas de los clientes estadounidenses de SaaS, ISO 27001 proporciona una garantía más amplia y reconocida internacionalmente de todo su sistema de gestión de la seguridad.

Qué y cómo aplicar (técnica y política)

La implantación de la norma ISO 27001 es un proceso estructurado centrado en el SGSI y la gestión de riesgos:

1. Definir el alcance: Determine claramente qué partes de su organización, ubicaciones, activos y tecnologías cubrirá el SGSI.
2. Compromiso de la dirección: Conseguir la implicación y los recursos de la alta dirección.
3. Definir políticas: Crear políticas de seguridad de alto nivel (por ejemplo, Política de Seguridad de la Información, Política de Uso Aceptable).
4. Evaluación de riesgos: Identificar los activos de información, las amenazas, las vulnerabilidades y los controles existentes. Analizar la probabilidad y el impacto de los riesgos.
5. Tratamiento de riesgos: Seleccionar controles (principalmente del Anexo A) para mitigar los riesgos inaceptables. Documéntelo en la declaración de aplicabilidad (SoA), justificando los controles incluidos/excluidos.
6. Implantar controles: Implantar los controles técnicos y de procedimiento seleccionados. Muchos se solapan con SOC 2, pero ISO 27001 En el anexo A figura un catálogo específico:
   
   • A.5 Políticas de seguridad de la información: Dirección de la gestión.
   • A.6 Organización de la seguridad de la información: Organización interna, dispositivos móviles, teletrabajo.
   • A.7 Seguridad de los recursos humanos: Responsabilidades de seguridad antes, durante y después del empleo.
   • A.8 Gestión de activos: Inventario, propiedad, uso aceptable, clasificación, manejo de medios.
   • A.9 Control de acceso: Requisitos empresariales, gestión de acceso de usuarios, responsabilidades de usuarios, acceso a sistemas/aplicaciones. (Incluye RBAC, MFA, etc.)
   • A.10 Criptografía: Política de controles criptográficos, gestión de claves.
   • A.11 Seguridad física y medioambiental: Zonas seguras, seguridad de los equipos.
   • A.12 Seguridad operativa: Procedimientos, gestión de cambios, protección contra malware, copias de seguridad, registro, supervisión, gestión de vulnerabilidades. (Incluye SAST, SCA, Patching, etc.)
   • A.13 Seguridad de las comunicaciones: Gestión de la seguridad de las redes, transferencia de información. (Incluye cortafuegos, cifrado en tránsito)
   • A.14 Adquisición, desarrollo y mantenimiento de sistemas: Requisitos de seguridad en el desarrollo, política de desarrollo seguro, seguridad de los datos de prueba. (Prácticas SDLC seguras)
   • A.15 Relaciones con los proveedores: Seguridad en los acuerdos con proveedores, supervisión de los servicios de los proveedores. (Gestión de proveedores)
   • A.16 Gestión de incidentes de seguridad de la información: Responsabilidades, respuesta, aprendizaje de los incidentes.
   • A.17 Aspectos de seguridad de la información en la gestión de la continuidad de las actividades: Planificación, aplicación, verificación. (Recuperación en caso de catástrofe)
   • A.18 Cumplimiento: Identificación de requisitos legales/contractuales, derechos de propiedad intelectual, privacidad (protección PII), revisiones de la seguridad de la información.
7. Formación y concienciación: Educar a los empleados sobre las políticas y sus responsabilidades en materia de seguridad.
8. Supervisar y revisar: Supervise continuamente la eficacia de los controles, realice auditorías internas y revisiones de la gestión.
9. Mejora continua: Actualizar el SGSI en función del seguimiento, las auditorías y la evolución de los riesgos.

La atención se centra en el sistema de gestión: los procesos para identificar riesgos y garantizar que los controles se aplican, supervisan y mejoran.

Errores comunes que hay que evitar

Implantar la norma ISO 27001 de forma eficaz significa esquivar estos errores frecuentes:

1. Alcance incorrecto: Hacer que el alcance del SGSI sea demasiado amplio (inmanejable) o demasiado estrecho (no cubre los activos/procesos críticos). Sea realista y céntrese en los riesgos.
2. Falta de compromiso de la dirección: Tratar ISO 27001 puramente como un proyecto de TI sin apoyo visible de liderazgo, recursos e integración en los objetivos empresariales.
3. Evaluación de riesgos deficiente: Realizar una evaluación de riesgos superficial que no identifique con precisión los activos, amenazas y vulnerabilidades clave, lo que conduce a una selección de controles ineficaz.
4. Enfoque de "casilla de verificación" del Anexo A: Implantación de controles del Anexo A sin vincularlos a los riesgos específicos identificados en la evaluación. Los controles deben tratar los riesgos.
5. Documentación insuficiente: No documentar adecuadamente las políticas, los procedimientos, las evaluaciones de riesgos, la SdA y las pruebas del funcionamiento de los controles. Los auditores necesitan pruebas.
6. Olvidar la mejora continua: Tratar la certificación como el objetivo final. La norma ISO 27001 exige un seguimiento continuo, auditorías internas, revisiones de la gestión y actualizaciones del SGSI.
7. Falta de recursos: Asignar todo el esfuerzo a una persona o equipo sin el tiempo, el presupuesto o la experiencia adecuados. Es un esfuerzo de toda la organización.

Lo que preguntarán los auditores (Enfoque en el desarrollador)

Los auditores de la norma ISO 27001 examinan tanto el sistema de gestión como los controles implantados. Los equipos de desarrollo pueden enfrentarse a preguntas relacionadas con los controles del Anexo A, como:

• "Muéstreme su política de desarrollo seguro". (A.14.2.1)
• "¿Cómo se asegura de que los requisitos de seguridad se identifican durante la fase de requisitos?" (A.14.1.1)
• "Explíqueme su proceso de gestión de vulnerabilidades en bibliotecas de código abierto". (Relacionado con A.12.6.1 - Gestión técnica de vulnerabilidades)
• "¿Cómo se mantienen separados los entornos de desarrollo, pruebas y producción?". (A.12.1.4 / A.14.2.6)
• "Proporcione pruebas de las pruebas de seguridad realizadas antes de la última versión importante". (A.14.2.8 / A.14.2.9)
• "¿Cómo se gestiona el control de acceso de los desarrolladores a los distintos entornos?". (A.9)
• "Muéstreme los procedimientos para manejar y proteger los datos de las pruebas". (A.14.3.1)
• "¿Cómo se revisan y aprueban los cambios de código antes de su despliegue?" (A.12.1.2 / A.14.2.3)

Se centran en el proceso y las pruebas. Tiene políticas, las sigue y puede demostrarlo?

Ganancias rápidas para los equipos de desarrollo

Aunque la norma ISO 27001 es amplia, los equipos de desarrollo pueden contribuir significativamente con estos pasos:

1. Documente su SDLC: Anote su proceso de desarrollo actual, incluidos los pasos de prueba y despliegue. Esto constituye la base de los controles de A.14.
2. Implementar SAST/SCA: Integrar el escaneo automatizado de código y dependencias en una fase temprana del proceso CI/CD. Esto aborda partes de A.12 y A.14.
3. Formalizar las revisiones del código: Asegúrese de que los PR requieren revisiones y aprobaciones. Realice un seguimiento en su plataforma Git. (Aborda los controles de A.14.2)
4. Segregación de entornos: Separar claramente los entornos de desarrollo, prueba y producción utilizando diferentes credenciales y controles de red. (Direcciones A.12.1.4)
5. Gestión de secretos: Implementar una bóveda de secretos y buscar secretos codificados. (Direcciones A.9 / A.12 / A.14 controles)
6. Parcheado de dependencias: Establecer un proceso para identificar y actualizar las dependencias vulnerables. (Direcciones A.12.6.1)

Ignore esto y... (Consecuencias del fracaso)

No superar una auditoría ISO 27001 o hacer caso omiso de la norma puede acarrear:

• Pérdida de la certificación: La certificación existente puede suspenderse o retirarse.
• Sanciones contractuales/pérdidas: No conseguir o mantener la certificación puede suponer el incumplimiento de contratos o la descalificación para licitaciones, especialmente las internacionales.
• Daños a la reputación: El fracaso sugiere una postura de seguridad débil, dañando la confianza con clientes y socios globales.
• Mayor escrutinio de las auditorías: Los organismos de certificación pueden aumentar la frecuencia o la intensidad de las futuras auditorías de vigilancia, lo que añade costes y esfuerzo.
• Cuestiones reglamentarias: El incumplimiento podría indicar fallos en el cumplimiento de los requisitos de seguridad legales o reglamentarios (como el GDPR).
• Pérdida de oportunidades de mercado: Imposibilidad de entrar en mercados o sectores en los que la norma ISO 27001 es un requisito de facto.

PREGUNTAS FRECUENTES

¿Cuál es la diferencia entre ISO 27001 y SOC 2?

ISO 27001 certifica todo su Sistema de Gestión de la Seguridad de la Información (SGSI) basándose en normas internacionales y en la evaluación de riesgos. SOC 2 proporciona un informe de atestación sobre controles relacionados con compromisos de servicio específicos (Criterios de Servicios de Confianza), principalmente impulsados por las necesidades del mercado estadounidense. A menudo coinciden en los controles, pero difieren en el enfoque, el alcance y el resultado (certificación frente a informe).

¿Es obligatoria la norma ISO 27001?

No, en general es una norma voluntaria, pero a menudo es un requisito contractual o una necesidad para operar en determinados sectores regulados o mercados internacionales.

¿Cuánto dura la certificación ISO 27001?

La implantación puede llevar de 6 a 12 meses o más, dependiendo de la madurez. A continuación sigue el proceso de certificación (auditorías de las fases 1 y 2). Un SGSI existente necesita unos 6 meses de funcionamiento antes de la auditoría de certificación.

¿Cuánto cuesta la norma ISO 27001?

Se requiere una inversión significativa. Los honorarios de auditoría en un ciclo de tres años pueden ascender a decenas de miles de euros/dólares, además de los recursos internos, la posible consultoría y los costes de herramientas. Una estimación aproximada para una empresa pequeña podría ser de más de 15.000 euros a lo largo de tres años solo en concepto de auditorías.

¿Es necesario aplicar los 114 (o 93) controles del Anexo A?

No. Debe justificar la inclusión o exclusión de cada control en su Declaración de Aplicabilidad (SoA) basándose en su evaluación de riesgos y plan de tratamiento.

¿Durante cuánto tiempo es válida la certificación?

Normalmente tres años, pero debe superar auditorías anuales de vigilancia para mantener la validez durante ese periodo. Transcurridos tres años, se requiere una auditoría de recertificación.

¿Quién realiza la auditoría?

Un organismo de certificación externo acreditado e independiente. Las auditorías internas también son necesarias, pero no conducen a la certificación.