Valor de una certificación – Conjunto ISO 27000

Valor de una certificación – Conjunto ISO 27000

1. Valor de una certificación.


La adquisición de una certificación en sistemas de gestión, ya sea en calidad, medioambiente, seguridad de la información o cualquier otro ámbito, posee un reconocimiento significativo en el mercado. Al obtener tal certificación, una organización comunica al mercado que sus operaciones se alinean con estándares específicos. Pero surge la pregunta, ¿qué fundamentos hacen que el mercado confíe en estas certificaciones? ¿Sobre qué se construye la confianza que el mercado deposita en estos certificados?

Este enfoque no busca dilucidar el beneficio directo de la certificación para la entidad que la recibe, sino más bien profundizar en los pilares que respaldan el valor, la estima y el reconocimiento que conlleva la consecución de una certificación oficial de un Sistema de Gestión de Seguridad de la Información (SGSI).

Así pues, la confianza en la certificación de un sistema de gestión, como un SGSI, se basa en varios factores clave que sustentan su valor, prestigio y reconocimiento en el mercado. Algunas de estas bases incluyen:

  1. Estandarización: Las normas ISO, como la serie ISO/IEC 27000, proporcionan un conjunto de requisitos, directrices y mejores prácticas reconocidas internacionalmente. Estas normas son desarrolladas por expertos en la materia y partes interesadas de todo el mundo, lo que asegura que se consideren múltiples perspectivas y que las soluciones sean aplicables globalmente.
  2. Proceso de certificación riguroso: La obtención de una certificación ISO requiere que la organización pase por un proceso de auditoría exhaustivo llevado a cabo por un organismo de certificación independiente y acreditado. Este proceso garantiza que la organización cumple con todos los requisitos y directrices establecidos en la norma, lo que genera confianza en la calidad y consistencia de sus procesos y sistemas de gestión.
  3. Acreditación de los organismos de certificación: Los organismos de certificación que emiten certificaciones ISO deben estar acreditados por entidades de acreditación reconocidas, que verifican su competencia y capacidad para realizar auditorías y emitir certificaciones de acuerdo con las normas ISO y los requisitos reglamentarios. Esta acreditación garantiza que el proceso de certificación es fiable y que se siguen las mejores prácticas en la industria.
  4. Evaluación y mejora continua: La certificación ISO no es un evento único. Las organizaciones certificadas deben someterse a auditorías periódicas y recertificaciones para garantizar que siguen cumpliendo con los requisitos de la norma y que están comprometidas con la mejora continua de sus sistemas de gestión. Esto genera confianza en que la organización está comprometida con la excelencia y la calidad a lo largo del tiempo.
  5. Transparencia y trazabilidad: La certificación ISO proporciona un marco transparente y trazable que permite a las organizaciones demostrar a sus clientes, proveedores y otras partes interesadas que cumplen con un conjunto reconocido de requisitos y mejores prácticas en su industria. Esto puede ser especialmente importante en sectores altamente regulados o sensibles, como el de las aplicaciones bancarias y financieras basadas en tecnologías web y criptográficas, donde la seguridad y la protección de datos son fundamentales.

De todo lo anterior se concluye que la confianza en la certificación ISO se basa en la estandarización, el proceso de certificación riguroso, la acreditación de los organismos de certificación, la evaluación y mejora continua, y la transparencia y trazabilidad que ofrece. Estos factores contribuyen al valor, prestigio y reconocimiento de la obtención de una certificación oficial de un SGSI u otro sistema de gestión en el mercado.


2. Familia normas y trabajos ISO 27000.


En este punto, se propone llevar a cabo un estudio detallado sobre las normativas incluidas en la serie ISO 27000 que, para enero de 2023, ya habían sido oficialmente aprobadas por la Organización Internacional de Normalización (ISO). Este análisis se enfocará en identificar y describir las distintas normas que, en dicha fecha, se encontraban en vigor y plenamente aplicables. Cada una de estas normas aborda diversos aspectos relacionados con la seguridad de la información, y parte de la investigación consistirá en explicar el tema específico que cada una de ellas cubre.

Además, es crucial determinar cuáles de estas normas ofrecen la posibilidad de obtener una certificación. Esto implica que algunas normativas no solo establecen directrices o buenas prácticas, sino que también permiten a las organizaciones demostrar mediante una certificación externa que cumplen con los estándares establecidos.

A continuación, se presenta una tabla con las normas del conjunto ISO 27000 que se encuentran en estado de “aprobada” por ISO. Para ello se ha hecho uso del siguiente enlace perteneciente a la página Web oficial de ISO. Se han consultado las normas realizadas por el subcomité 27 del comité técnico 1 (ISO/IEC JTC 1/SC 27).

Norma ISOTemáticaCertificable
ISO/IEC 27000Fundamentos y vocabulario del Sistema de Gestión de Seguridad de la Información (SGSI).No
ISO/IEC 27001Requisitos para los SGSI.
ISO/IEC 27002Código de buenas prácticas para la gestión de la seguridad de la información.No
ISO/IEC 27003Guía para la implementación de un SGSI.No
ISO/IEC 27004Medición, seguimiento y análisis del rendimiento del SGSI.No
ISO/IEC 27005Gestión de riesgos en seguridad de la información.No
ISO/IEC 27006Requisitos para los organismos de certificación de SGSI.No
ISO/IEC 27007Guía para auditorías de SGSI y controles de seguridad de la información.No
ISO/IEC 27008Guía para la evaluación de controles de seguridad de la información.No
ISO/IEC 27009Aplicación sectorial o específica de la norma ISO/IEC 27001.No
ISO/IEC 27010Comunicaciones e intercambio de información entre organizaciones en relación con la seguridad de la información.No
ISO/IEC 27011Directrices de seguridad de la información para las organizaciones de telecomunicaciones.No
ISO/IEC 27013Guía para la integración de ISO/IEC 27001 e ISO/IEC 20000-1.No
ISO/IEC 27014Gobierno de la seguridad de la información.No
ISO/IEC 27016Principios organizativos y guía para la gestión económica de la seguridad de la información.No
ISO/IEC 27017Guía para la seguridad de la información en servicios en la nube.No
ISO/IEC 27018Código de prácticas para la protección de datos personales en la nube pública.No
ISO/IEC 27019Directrices de seguridad de la información para la industria de la energía.No
ISO/IEC 27021Competencias para los profesionales de seguridad de la información.No
ISO/IEC 27022Proporciona pautas para la implementación de un enfoque integrado de gestión de riesgos en la seguridad de la información.No
ISO/IEC 27031Directrices para la continuidad del negocio en tecnología de la información y comunicación (TIC).No
ISO/IEC 27032Guía para la ciberseguridad.No
ISO/IEC 27033Guía de seguridad de la red (serie de múltiples partes).No
ISO/IEC 27034Directrices para la seguridad en aplicaciones (serie de múltiples partes).No
ISO/IEC 27035Gestión de incidentes de seguridad de la información (serie de múltiples partes).No
ISO/IEC 27036Guía de seguridad de la información para relaciones entre organizaciones (serie de múltiples partes).No
ISO/IEC 27037Guía para la identificación, recolección, adquisición y preservación de evidencia digital.No
ISO/IEC 27038Especificación para la gestión de la seguridad de la información en medios digitales.No
ISO/IEC 27039Sistemas de detección y prevención de intrusiones (IDPS).No
ISO/IEC 27040Guía de seguridad para el almacenamiento de información.No
ISO/IEC 27041Guía para la evaluación de métodos y herramientas de análisis forense.No
ISO/IEC 27042Guía para la interpretación y análisis de la evidencia digital.No
ISO/IEC 27043Principios y métodos de investigación de incidentes de seguridad de la información.No
ISO/IEC 27050Tecnología de la información – Técnicas de seguridad – Ciberseguridad y descubrimiento electrónico.No  
ISO/IEC 27070Tecnología de la información – Técnicas de seguridad – Requisitos para establecer raíces de confianza virtualizadas.No  
ISO/IEC 27099Tecnología de la información – Infraestructura de clave pública – Prácticas y marco político.No  
ISO/IEC 27100Tecnologías de la información – Ciberseguridad – Panorama general y conceptos.No  
ISO/IEC 27102Gestión de la seguridad de la información – Directrices para el ciberseguro.No  
ISO/IEC 27103Tecnología de la información – Técnicas de seguridad – Ciberseguridad y normas ISO e IEC.No  
ISO/IEC 27110Tecnología de la información, ciberseguridad y protección de la intimidad – Directrices para la elaboración de un marco de ciberseguridad.No  
ISO/IEC 27400Ciberseguridad – Seguridad y privacidad de la IO – Directrices.No  
ISO/IEC 27550Tecnología de la información – Técnicas de seguridad – Ingeniería de la privacidad para los procesos del ciclo de vida de los sistemas.No  
ISO/IEC 27551Seguridad de la información, ciberseguridad y protección de la intimidad – Requisitos para la autenticación de entidades no vinculables basada en atributos.No  
ISO/IEC 27553Seguridad de la información, ciberseguridad y protección de la privacidad – Requisitos de seguridad y privacidad para la autenticación mediante biometría en dispositivos móviles.No  
ISO/IEC 27555Seguridad de la información, ciberseguridad y protección de la intimidad – Directrices sobre la supresión de datos de identificación personal.No  
ISO/IEC 27556Seguridad de la información, ciberseguridad y protección de la privacidad – Marco de gestión de las preferencias de privacidad centrado en el usuario.No  
ISO/IEC 27557Seguridad de la información, ciberseguridad y protección de la privacidad – Aplicación de la norma ISO 31000:2018 para la gestión del riesgo de privacidad organizacional.No  
ISO/IEC 27559Seguridad de la información, ciberseguridad y protección de la privacidad – Marco de desidentificación de datos para mejorar la privacidad.No  
ISO/IEC 27570Protección de la intimidad – Directrices de privacidad para ciudades inteligentes.No
ISO/IEC 27701Tecnología de la información – Técnicas de seguridad – Extensión a la privacidad de la información para ISO/IEC 27001 e ISO/IEC 27002.Si

3. Conclusiones.


De todo lo anterior, se concluye la importancia que presenta una certificación para el buen desarrollo del negocio. Del mismo modo, se destaca la necesidad de adherirse a estándares reconocidos internacionalmente para fortalecer la confianza entre los clientes y socios comerciales, asegurando así la integridad y seguridad de las operaciones empresariales.

Para llevar a cabo los procesos de certificación correspondientes, es fundamental realizar una buena planificación de auditoría previa, como mostramos en nuestro artículo «Principios, programa y planificación de auditoría y gobierno de las TIC«.

En caso de necesitar un plan de auditoría pueden contactarnos a través de nuestro formulario de contacto.

English

No puedes copiar el contenido