Si tu empresa está considerando implantar un Sistema de Gestión de Seguridad de la Información (SGSI), es crucial entender la jerarquía de la serie ISO/IEC 27000. La respuesta corta es que la ISO/IEC 27001 es la única norma certificable de la serie ISO 27000 porque es la única que contiene requisitos obligatorios de gestión. El resto de la serie son, en esencia, complementos y herramientas de apoyo, diccionarios y códigos de buenas prácticas.
Pero, ¿qué significa esto en la práctica y cómo afecta a tu estrategia de seguridad? Como Consultora especializada de ISO 27001 para empresas, te lo contamos.
Serie ISO 27000: diferencia entre requisitos y guías
La razón fundamental por la que solo se emite un certificado para la ISO 27001 reside en su naturaleza normativa. La ISO 27001 es la norma principal de la serie y define los requisitos del modelo de gestión. La ISO 27001 utiliza un lenguaje prescriptivo para establecer obligaciones claras que una organización tiene que cumplir para demostrar que gestiona la seguridad eficazmente. Estos requisitos abarcan desde la comprensión del contexto de la organización y el liderazgo hasta la planificación, el soporte, la operación y la evaluación del desempeño.
El objetivo de la ISO 27001 es establecer un ciclo de gestión basado en la mejora continua (el denominado ciclo PDCA: Planificar, Hacer, Verificar, Actuar). Cuando un auditor externo visita tu empresa, lo que verifica es si tu sistema cumple con los requisitos definidos.
El resto de normas ISO 27000 definen el “cómo”, siendo los manuales de instrucciones y las guías de ayuda. No son certificables por sí mismas porque están diseñadas para ofrecer apoyo en la implementación de la ISO 27001, no para imponer el sistema de gestión auditable.
Diferencias de ISO 27001 vs ISO 27002
La duda más frecuente surge entre estas 2 normas hermanas.
- ISO/IEC 27001 (norma certificable): contiene el Anexo A, que es una lista resumida de 93 controles de seguridad (en la versión 2022). La norma te exige que compares tus controles necesarios con este anexo para asegurar que no has omitido nada importante.
- ISO/IEC 27002 (código de buenas prácticas): esta norma no es certificable. Es una guía detallada que describe “cómo” funcionan esos controles y ofrece recomendaciones para su implementación. Mientras que la 27001 te dice «debes controlar el acceso», la 27002 te explica las mejores prácticas para contraseñas y gestionar permisos de acceso.
Normas ISO 27000 e ISO 27005: herramientas de soporte
Para construir un edificio sólido (tu SGSI), necesitas más que planos, necesitas entender los términos y saber cómo analizar el terreno. Aquí es donde entran en juego otras normas de la serie ISO 27000 (27k) que, aunque no otorgan un sello, son indispensables para el éxito del proyecto.
- ISO/IEC 27000: imagina intentar cumplir una norma, si tener claros los conceptos de «riesgo» o «activo». La ISO 27000 proporciona la visión general y el vocabulario esencial para toda la familia. Es la base común que asegura que consultores, auditores y empresas hablen el mismo idioma.
- ISO/IEC 27005: gestión del riesgo. La ISO 27001 es una herramienta de gestión de riesgos. Exige que evalúes tus riesgos, pero no te obliga a usar una metodología específica. La norma ISO 27005 te ayuda a establecer criterios de aceptación de riesgo y a elegir las opciones de tratamiento adecuadas.
Normas ISO 27017, 27018 y 27701: la nube y la privacidad
Muchas empresas nos preguntan por certificaciones de seguridad específicas para la nube y la privacidad de sus datos, considerando que estas normas actúan como extensiones:
- ISO/IEC 27017 y 27018: la ISO 27017 es una guía de seguridad para servicios en la nube y la ISO 27018 se centra en la protección de datos personales en la nube. Sin embargo, técnicamente requieren la certificación conjunta de un SGSI basado en la ISO 27001. No puedes tener un certificado «solo» de ISO 27018; tendrás un certificado de ISO 27001 que incluye los controles adicionales de la ISO 27018 en su alcance.
- ISO/IEC 27701 (privacidad): establece un Sistema de Gestión de Información de Privacidad (PIMS) y está diseñada como una extensión de la ISO 27001 y la ISO 27002. Es la forma ideal de demostrar cumplimiento con regulaciones como el RGPD o la LOPDGDD.
El valor de la certificación ISO/IEC 27001
Si bien la norma no obliga explícitamente a certificarse, ¿por qué miles de empresas en España y en el mundo pasan por el proceso de auditoría de la ISO 27001 y sus complementos de la serie ISO 27000? Porque obtener la certificación objetiva de una entidad externa acreditada, proporciona una confirmación independiente de que la organización es segura, incluyendo:
- Confianza y reputación: envía una señal clara y objetiva al mercado, clientes, colaboradores e inversores de que la gestión es eficaz, transparente y verificable.
- Exigencia comercial: cada vez más, es un requisito indispensable para acceder a licitaciones públicas y contratos con grandes empresas.
- Cumplimiento legal: aunque la ISO 27001 es voluntaria, las organizaciones certificadas tienen gran parte del camino recorrido para cumplir con normativas obligatorias como el Esquema Nacional de Seguridad (ENS).
- Tensión positiva: el proceso de auditoría añade un factor de concentración y una guía a todos los miembros de la organización y garantiza que se asignen los recursos mínimos necesarios para el mantenimiento del sistema.
ISO 27001: un modelo de gestión, con múltiples extensiones
La ISO 27001 es la estructura que sostiene todo el sistema. Es la única norma diseñada para ser auditada bajo criterios de conformidad. Sin embargo, un buen consultor o responsable de seguridad sabe que la ISO 27001 no vive sola. Para implementar un sistema robusto, necesitas el vocabulario de la 27000, los controles detallados de la 27002, la metodología de riesgos de la 27005 y, si tu negocio lo requiere, las de nube y privacidad.
En 7Experts te ayudamos a obtener la certificación ISO 27001 y a navegar por toda la familia de normas ISO 27000 (27k) para construir un sistema de seguridad eficiente, moderno y personalizado.
