La gestión de los ataques informáticos se está convirtiendo en una parte cada vez más importante de la vida cotidiana de las empresas. Las normas de ciberseguridad ayudan a gestionar estos riesgos de forma más eficaz, estableciendo los puntos de referencia que deben seguirse y las mejores prácticas que deben aplicarse. El cumplimiento de las normas de ciberseguridad es obligatorio en determinados sectores empresariales que manejan datos sensibles, y se recomienda encarecidamente a las empresas de todos los tamaños que quieran protegerse contra los ciberataques.

¿Te preguntas cuáles son las normas de ciberseguridad más importantes para tu empresa? Ya seas una PYME o una start-up, las normas de ciberseguridad (ISO 27001, SOC 2 por citar sólo dos) te ayudan a protegerte mejor.

Veamos dos normas de ciberseguridad reconocidas internacionalmente: ISO 27001 y SOC 2 compliance. ¿De qué se tratan estas dos normas? ¿Cuáles son las diferencias entre ISO 27001 y SOC 2?

¿Qué es la norma ISO 27001?

Normativa ISO 27001: Definición

ISO 27001 es una normativa internacional para la seguridad de los sistemas de información (SI). La certificación ISO 27001 es voluntaria, pero cada vez se exige más. El aumento de las ciberamenazas y las exigencias normativas cada vez mayores en el ámbito de la ciberseguridad la convierten en una norma esencial.

La norma ISO 27001 (actualizada en 2022) cubre la implantación de un "Sistema de Gestión de la Seguridad de la Información" (SGSI). La certificación ISO 27001 reconoce la capacidad de una organización para :

• Implantar un SGSI eficaz basado en la norma ISO 27001.
• Gestionar correctamente los datos que procesa (garantizando la confidencialidad, integridad y disponibilidad).

¿Cuáles son los requisitos de la norma ISO 27001?

La normativa ISO 27001 se refiere a la organización que debe establecerse para garantizar la seguridad de la información. Sus requisitos se refieren a las infraestructuras informáticas, la organización, sus equipos, las medidas de seguridad, el software utilizado, etc..

La certificación ISO tiene por objeto garantizar que la organización controla los distintos aspectos relacionados con la seguridad de la información:

• Gobernanza y estrategia.
• Los procesos necesarios para gestionar la seguridad informática.
• Métodos para analizar e informar sobre los riesgos.
• Procesos de medición, seguimiento y mejora de la seguridad.
• Responsabilidades inherentes a la seguridad informática.

¿A quién va dirigida la certificación ISO 27001?

Cualquier organización preocupada por la seguridad de su sistema de información puede embarcarse en un proceso de certificación ISO 27001, sea cual sea su tamaño o sector de actividad. La certificación también es pertinente para las entidades que recogen y/o tratan datos sensibles y/o personales y desean que se reconozca la calidad de sus medidas de seguridad informática.

La obtención de la certificación ISO 27001 es voluntaria y recomendable para muchas organizaciones, pero es obligatoria en determinados sectores. Es el caso, en particular, de las empresas (incluidas pymes y start-ups) de los sectores financiero (fintechs), sanitario y de ciberseguridad. La evolución actual de la normativa no hace sino reforzar las obligaciones de las empresas en materia de seguridad. Es el caso, por ejemplo, del reglamento DORA (Digital Operational Resilience Act), que a partir de enero de 2025 obligará a los agentes financieros europeos a tomar medidas para mejorar su gestión de los riesgos digitales.

¿Cómo puedo obtener la certificación ISO 27001?

El proceso de certificación ISO 27001 se divide en varias etapas principales. Cada una de estas etapas comprende un conjunto de acciones que deben llevarse a cabo para implantar un sistema de gestión de la seguridad de la información que cumpla los distintos criterios de la norma.

1. Planificar el proyecto de desarrollo de un sistema de gestión de la seguridad de la información (SGSI).

• Analizar el contexto para definir las necesidades de seguridad de la organización.
• Formar un equipo responsable del proyecto de implantación del SGSI y solicitar el apoyo de un experto en ciberseguridad.
• Definir el alcance del sistema de gestión de la seguridad de la información y los objetivos de seguridad del proyecto.
• Elaborar un plan de acción.

2. Desarrollar e implantar los controles necesarios para la certificación ISO 27001.

• Definir las cuestiones que debe cubrir la Política de Seguridad del Sistema de Información (ISSP), basándose en el plan de acción.
• En esta fase, el sistema de gestión de la seguridad de la información debe ser objeto de una declaración de adaptabilidad (declaración obligatoria en el marco del proceso de certificación). Esta declaración expone las medidas de seguridad existentes, las que deben aplicarse, la justificación de la elección de los controles de seguridad y una visión general de su aplicación.

3. Evaluar el sistema de gestión de la seguridad de la información.

• Definir indicadores de rendimiento (KPI) destinados a dirigir el SGSI a corto, medio y largo plazo y a evaluar su rendimiento operativo.
• Realizar una auditoría interna para garantizar que el sistema de gestión de la seguridad de la información cumple los objetivos definidos durante la fase de planificación.
• Aplicar revisiones internas en caso necesario.

4. Aplicar medidas correctoras y emprender un proceso de mejora continua.

• La empresa recurre a un organismo de certificación independiente para llevar a cabo una auditoría externa (también conocida como "auditoría inicial"), al término de la cual la empresa puede obtener o no la certificación.
• La certificación ISO 27001 tiene una validez máxima de 3 años.
• Cada año se realizan auditorías para garantizar que la empresa se esfuerza por hacer conformes los elementos que no lo eran en las auditorías anteriores.

Al final del periodo de 3 años, puede iniciarse una auditoría de renovación para evaluar la mejora del sistema de gestión de la seguridad de la información sobre la base de los puntos planteados durante las auditorías anteriores.

¿Qué es la normativa SOC 2?

SOC 2: Definición

Las siglas "SOC 2" significan "Sistemas y Organizaciones Controles 2". SOC 2 es una lista de criterios o controles de seguridad de la información que una organización puede elegir libremente cumplir. Esta lista fue *establecida por el Instituto Americano de Contables Públicos Certificados (AICPA).

SOC 2 no es una certificación sino un informe de evaluación (o informe de auditoría) elaborado por una empresa (auditor). El objetivo de la auditoría es evaluar los controles de seguridad desplegados por una empresa para proteger eficazmente los datos de sus clientes. Existen diferentes tipos de certificación SOC y de informes SOC, siendo el SOC 2 tipo 2 el más solicitado y el que cubre un periodo de al menos 6 meses.

¿A quién afecta el cumplimiento de la norma SOC 2?

Cumplir la SOC 2 no es un requisito, pero algunas empresas (y sus departamentos informáticos) lo exigen a sus posibles proveedores. Es más bien una cuestión de confianza. El informe de auditoría SOC 2 indica que se han implantado controles de seguridad y que están resultando eficaces.

Para una empresa, la conformidad SOC 2 es la prueba de que los datos de los clientes que se le confían se gestionan correctamente. Por tanto, es especialmente importante para las empresas que prestan servicios de alojamiento en la nube o soluciones SaaS y procesan/alojan datos sensibles que les confían sus clientes.

¿Cuáles son los requisitos de la SOC 2?

La estructura SOC 2 se basa en 5 principios esenciales (criterios de servicios de confianza) para la gestión de datos.

• Seguridad: protección de sistemas y datos contra el acceso no autorizado.
• Disponibilidad de los sistemas y datos garantizando su funcionamiento normal.
• Integridad del tratamiento.
• Confidencialidad de los datos con acceso restringido a un número limitado de personas previamente autorizadas.
• Protección de la intimidad: la forma en que se tratan los datos respeta la intimidad y los criterios definidos en el marco SOC 2.

En el marco de una auditoría SOC 2 sólo debe estudiarse el principio de "Seguridad". A partir de ahí, las empresas son libres de añadir o no otros criterios.

¿Cómo cumplir la norma SOC 2?

El proceso de cumplimiento de la norma SOC 2 es voluntario y suele constar* de 3 fases principales.

1. Redacción de políticas y procedimientos de seguridad de la información por parte del equipo de cumplimiento, análisis de deficiencias.
2. Elaboración de un plan de aplicación de los criterios/controles para colmar las lagunas detectadas.
3. Revisión por una empresa auditora independiente de los controles y procesos de almacenamiento, tratamiento y transmisión segura de datos. Las auditorías SOC 2 deben ser realizadas por auditores independientes o empresas de auditoría acreditadas por el AICPA. El informe de auditoría SOC 2 es un registro de los controles de seguridad.

¿Cuáles son las diferencias entre ISO 27001 y SOC 2?

ISO 27001 y SOC 2 son normas con un gran número de controles de seguridad comunes, pero tienen algunas diferencias.

Resumen de las principales diferencias entre ISO 27001 y SOC 2.

La implantación de estas normas de ciberseguridad es un proceso exigente. Al cumplir las normas ISO 27001 o SOC 2, refuerza el nivel de seguridad de su empresa al tiempo que desarrolla una clara ventaja competitiva.

Pero, en la práctica, ¿cómo cumplirlas? En este enlace, te ofrecemos las mejores prácticas y herramientas sencillas que puedes poner en marcha en un clic. El Mobile Device Management es precisamente una herramienta de este tipo, que permite aplicar de forma sencilla y centralizada las medidas de seguridad más esenciales.

Descubre cómo el MDM puede ayudarte a conseguir la certificación ISO 27001 y a implantar la norma SOC 2.