La norma ISO 27001 es un estándar internacional que establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es proteger la confidencialidad, integridad y disponibilidad de la información empresarial, ya sea digital o física.
A diferencia de otros estándares técnicos, la ISO 27001 no se limita a definir controles de ciberseguridad. En su lugar, proporciona un marco metodológico que permite a las organizaciones:
- Identificar y evaluar los riesgos de seguridad de la información.
- Aplicar controles adecuados para mitigar esos riesgos.
- Demostrar cumplimiento legal y normativo (como el RGPD o la Ley Federal de Protección de Datos Personales en México).
- Generar confianza con clientes, socios comerciales e inversionistas.
La versión vigente es la ISO/IEC 27001:2022, que introduce cambios importantes respecto a la versión de 2013, incluyendo una reorganización de los controles de seguridad en cuatro categorías: organizacionales, de personas, físicos y tecnológicos.
En México, esta certificación es crucial para empresas que manejan datos sensibles de empleados, nóminas y procesos de recursos humanos, como Fortia, que recientemente obtuvo esta certificación de clase mundial, garantizando así a nuestros clientes que sus datos están protegidos bajo los más altos estándares internacionales.
¿Para qué sirve la norma ISO 27001?
La ISO 27001 sirve para garantizar que la información crítica de tu organización esté protegida de manera sistemática y continua. En el contexto empresarial actual, donde las amenazas cibernéticas y las filtraciones de datos pueden comprometer la operación y reputación de cualquier empresa, contar con un marco robusto de seguridad no es opcional, es una necesidad estratégica.
Los 3 pilares de la seguridad de la información
La norma se basa en tres principios fundamentales que toda organización debe proteger:
1. Confidencialidad
Garantiza que solo las personas autorizadas tengan acceso a la información sensible. En el caso de empresas como Fortia, significa que los datos personales de empleados, información de nómina y expedientes laborales están protegidos contra accesos no autorizados.
2. Integridad
Asegura que la información no sea alterada o manipulada de manera no autorizada. Por ejemplo, en la gestión de tu nómina, cualquier modificación en los cálculos salariales, deducciones o percepciones debe estar trazada y validada, evitando errores o fraudes.
3. Disponibilidad
Garantiza que la información esté accesible cuando se necesita. Un sistema certificado bajo ISO 27001 debe contar con planes de continuidad y respaldo que aseguren que los procesos críticos, como el pago de nóminas, no se interrumpan ante incidentes técnicos o ciberataques.
Beneficios clave para tu negocio
- Reducción de riesgos: Identificación proactiva de amenazas y vulnerabilidades.
- Cumplimiento normativo: Alineación con leyes de protección de datos como el RGPD o la legislación mexicana.
- Ventaja competitiva: Diferenciación frente a proveedores que no cuentan con certificaciones de seguridad.
- Confianza del cliente: Demostrar con hechos (no solo palabras) que la información está protegida.
- Continuidad operativa: Preparación ante incidentes de seguridad con planes de recuperación probados.
Para organizaciones que dependen de software con tecnología OpenSync para integración con otros sistemas, como plataformas de RRHH, ERP o sistemas contables, la ISO 27001 asegura que esas conexiones sean seguras y que los datos que fluyen entre sistemas estén cifrados y protegidos.
Estructura de la norma ISO 27001
La norma ISO 27001 está organizada en 10 cláusulas principales que establecen los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) bajo el enfoque del ciclo PHVA (Planear-Hacer-Verificar-Actuar), un modelo de mejora continua reconocido internacionalmente.
Cláusulas principales de la norma
| Cláusula | Contenido |
|---|---|
| 0-3 | Introducción, alcance, referencias normativas y términos |
| 4. Contexto de la organización | Análisis del entorno interno/externo y expectativas de partes interesadas |
| 5. Liderazgo | Compromiso de la alta dirección y asignación de roles |
| 6. Planificación | Evaluación de riesgos y oportunidades, objetivos de seguridad |
| 7. Soporte | Recursos, competencias, comunicación y documentación |
| 8. Operación | Implementación de controles y gestión de riesgos |
| 9. Evaluación del desempeño | Auditorías internas, revisión por la dirección |
| 10. Mejora | Acciones correctivas y mejora continua del SGSI |
Fuente: ISO/IEC 27001:2022 – ISO.org
¿Qué cambió en la versión ISO 27001:2022?
La actualización de octubre de 2022 es la más significativa en casi una década. Las principales novedades incluyen:
1. Reorganización de los controles del Anexo A
Los controles pasaron de 114 a 93 controles, reorganizados en 4 categorías (antes eran 14 dominios):
- Controles organizacionales (37): Políticas de seguridad, gestión de activos, clasificación de la información.
- Controles de personas (8): Concienciación, formación, responsabilidades del personal.
- Controles físicos (14): Seguridad de instalaciones, protección contra amenazas ambientales.
- Controles tecnológicos (34): Cifrado, gestión de accesos, protección contra malware, copias de seguridad.
2. Nuevos controles adaptados a las amenazas actuales
Se agregaron 11 controles nuevos, incluyendo:
- Inteligencia de amenazas: Monitoreo proactivo de riesgos emergentes.
- Seguridad en la nube: Controles específicos para servicios cloud.
- Gestión de configuración: Control de cambios en sistemas críticos.
- Eliminación segura de información: Procedimientos para destrucción de datos sensibles.
3. Enfoque en ciberseguridad y protección de datos
La versión 2022 alinea la norma con regulaciones modernas de privacidad (como el RGPD europeo o la Ley Federal de Protección de Datos Personales en México), integrando requisitos de protección de datos personales, notificación de brechas y derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
¿Por qué importa esta actualización?
Si tu organización gestiona datos sensibles de empleados (como es el caso de plataformas de RRHH), la versión 2022 es obligatoria para mantener la certificación. En Fortia actualizamos nuestra certificación a la versión 2022, garantizando que nuestros procesos cumplan con los estándares más recientes de seguridad y privacidad.
10 aspectos clave para la ciberseguridad según ISO 27001
Más allá de la teoría, la ISO 27001 se traduce en acciones concretas que las organizaciones deben implementar para proteger su información. A continuación, detallamos 10 aspectos fundamentales que cualquier empresa (especialmente aquellas que manejan datos de recursos humanos y nómina) debe considerar al implementar un SGSI:
1. Trabajo en casa y dispositivos móviles
La información debe mantenerse segura independientemente de dónde trabaje el empleado. Esto incluye:
- Políticas de acceso remoto seguro (VPN, autenticación multifactor).
- Cifrado de dispositivos móviles que accedan a sistemas corporativos.
- Protocolos para el uso de redes WiFi públicas. Para conocer más sobre este tema, consulta nuestra guía sobre privacidad en el trabajo remoto.
En Fortia, implementamos controles estrictos para garantizar que los datos de nómina y expedientes de empleados estén protegidos incluso cuando nuestros equipos trabajan de forma remota.
2. Educación y concientización del usuario
Todos los empleados y proveedores deben conocer los riesgos clave de seguridad y saber cómo reportar incidentes. Según estudios de Verizon DBIR, el 82% de las brechas de seguridad involucran el factor humano.
Medidas clave:
- Capacitaciones periódicas sobre phishing e ingeniería social.
- Simulacros de ataques para medir el nivel de preparación.
- Canales claros para reportar incidentes de seguridad.
3. Gestión de incidentes
Una organización debe ser capaz de contener un incidente de seguridad y continuar operando con normalidad. Esto incluye:
- Plan de respuesta a incidentes documentado.
- Equipo de respuesta designado (CSIRT).
- Protocolos de comunicación interna y externa.
- Análisis post-incidente para prevenir recurrencias.
La velocidad de respuesta es crítica: según IBM Cost of a Data Breach Report 2023, las empresas que contienen una brecha en menos de 200 días ahorran en promedio 1.12 millones de dólares.
4. Régimen de gestión de riesgos de la información
Cuando la alta dirección toma en serio la gestión de la seguridad de la información, ayuda a inculcar una cultura de riesgos en toda la empresa. La ISO 27001 es explícita al requerir que la alta dirección brinde apoyo y liderazgo visible.
En nuestro caso, obtener la certificación ISO 27001 fue una decisión estratégica de la dirección para demostrar compromiso total con la protección de los datos de nuestros clientes.
5. Gestión de los privilegios de los usuarios
Los usuarios pueden ser una fuente importante de fuga de información. La asignación de accesos según roles (principio de mínimo privilegio) reduce errores y fortalece la seguridad.
Ejemplo práctico en RRHH:
- Un empleado de soporte no debe tener acceso a modificar salarios.
- Un gerente de área solo debe ver la nómina de su equipo, no de toda la empresa. Del mismo modo, es fundamental revocar el acceso a información a un ex empleado inmediatamente tras su desvinculación, para evitar riesgos de fuga de datos.
6. Controles de medios extraíbles
Con el aumento de dispositivos portátiles (USB, discos externos, tarjetas SD), es fundamental que las organizaciones cuenten con procedimientos para gestionar su uso y garantizar la eliminación segura de datos.
Controles aplicables:
- Cifrado obligatorio de dispositivos extraíbles.
- Registro de uso de medios portátiles.
- Políticas de destrucción segura de medios al final de su ciclo de vida.
7. Monitoreo y auditoría
La auditoría de las actividades de los usuarios proporciona evidencia valiosa en caso de una infracción y puede ayudar en investigaciones futuras.
Herramientas de monitoreo incluyen:
- Registros de acceso a sistemas críticos.
- Alertas automáticas ante comportamientos anómalos.
- Revisiones trimestrales de logs de seguridad.
8. Configuración segura
Comprender tus sistemas y controlar los cambios en ellos ayuda a mantener su integridad y asegura que estén adecuadamente protegidos.
Buenas prácticas:
- Hardening de servidores (desactivar servicios innecesarios).
- Gestión de parches de seguridad.
- Control de cambios documentado.
9. Protección contra malware
Asegurarse de que los sistemas estén actualizados reduce la posibilidad de que ataques maliciosos puedan aprovecharse de vulnerabilidades conocidas.
Según AV-TEST Institute, se detectan más de 450,000 nuevos programas maliciosos cada día, lo que hace esencial contar con:
- Antivirus empresarial actualizado.
- Filtros de correo contra phishing.
- Análisis de comportamiento (sandbox) para archivos sospechosos.
10. Seguridad de la red
Conocer y controlar quién tiene acceso a la red y para qué se utiliza reduce la posibilidad de acceso no autorizado por parte de personas o dispositivos.
Controles de red incluyen:
- Segmentación de redes (separar ambientes críticos).
- Firewall de aplicaciones web (WAF).
- Políticas de acceso basadas en autenticación de doble factor.
En Fortia, nuestro software con tecnología OpenSync para integración con otros sistemas implementa controles de red robustos para garantizar que las conexiones con ERP, sistemas contables y plataformas de terceros sean seguras y trazables.
¿Cómo se obtiene la certificación ISO 27001?
Obtener la certificación ISO 27001 no es un evento único, sino un proceso de madurez continua que demuestra el compromiso de una organización con la seguridad de la información.
El proceso se basa en el ciclo PHVA (Planear-Hacer-Verificar-Actuar), un modelo de mejora continua que garantiza que el SGSI evolucione con las amenazas y necesidades del negocio.
El ciclo PHVA aplicado a ISO 27001
| Fase | Descripción | Actividades clave |
|---|---|---|
| Planear (Plan) | Establecer el alcance, política y objetivos del SGSI | • Definir el alcance de la certificación• Realizar análisis de riesgos• Seleccionar controles aplicables• Elaborar la Declaración de Aplicabilidad (SoA) |
| Hacer (Do) | Implementar y operar los controles de seguridad | • Implementar políticas y procedimientos• Capacitar al personal• Desplegar controles técnicos (cifrado, accesos, etc.)• Documentar procesos |
| Verificar (Check) | Monitorear y revisar el desempeño del SGSI | • Realizar auditorías internas• Medir indicadores de seguridad (KPIs)• Revisión por la dirección• Evaluar incidentes de seguridad |
| Actuar (Act) | Tomar acciones correctivas y mejorar continuamente | • Implementar mejoras identificadas• Actualizar controles ante nuevas amenazas• Revisar y actualizar la Declaración de Aplicabilidad |
Fuente: Ciclo PDCA en ISO 27001 – BSI Group
Fases del proceso de certificación
1. Preparación interna (3-12 meses)
Antes de contactar a un organismo certificador, la organización debe:
- Realizar un diagnóstico inicial para identificar brechas.
- Definir el alcance del SGSI (¿qué procesos, sistemas y ubicaciones estarán cubiertos?).
- Elaborar la política de seguridad de la información.
- Realizar el análisis de riesgos y seleccionar controles del Anexo A.
- Implementar controles y documentar el sistema.
2. Auditoría de Etapa 1 (Revisión documental)
Un organismo certificador acreditado (como AENOR, BSI, DNV, etc.) revisa:
- La documentación del SGSI.
- La Declaración de Aplicabilidad (SoA).
- Los registros de gestión de riesgos.
- Las políticas y procedimientos.
El auditor identificará no conformidades menores que deben corregirse antes de la siguiente etapa.
3. Auditoría de Etapa 2 (Auditoría en sitio)
El auditor visita las instalaciones para verificar:
- Que los controles estén implementados y funcionando.
- Que el personal conozca sus responsabilidades.
- Que existan evidencias de seguimiento y mejora continua.
Si se detectan no conformidades mayores, la certificación se posterga hasta que se corrijan.
4. Emisión del certificado
Una vez superada la auditoría de Etapa 2, el organismo certificador emite el certificado ISO 27001, válido por 3 años. Durante este período, se realizan auditorías de seguimiento anuales para verificar que el sistema se mantiene conforme.
5. Re-certificación (cada 3 años)
Al finalizar el ciclo de 3 años, se debe realizar una auditoría de re-certificación completa para renovar el certificado.
Nuestra experiencia: El camino de Fortia hacia la certificación
En Fortia, decidimos obtener la certificación ISO 27001 como parte de nuestro compromiso con la excelencia operativa y la protección de los datos de nuestros clientes. El proceso nos tomó meses de preparación interna, durante los cuales:
- Realizamos una evaluación exhaustiva de riesgos en todos nuestros procesos.
- Implementamos controles de acceso basados en roles para garantizar que solo el personal autorizado pueda acceder a información sensible de empleados.
- Establecimos protocolos para revocar el acceso a información a un ex empleado de forma inmediata tras su desvinculación.
- Reforzamos la seguridad de nuestro software con tecnología OpenSync para integración con otros sistemas, asegurando que todas las conexiones con plataformas de terceros estén cifradas y auditadas.
Hoy, somos una de las pocas empresas de recursos humanos en México con certificación ISO 27001 vigente, lo que nos permite ofrecer a nuestros clientes la tranquilidad de que sus datos están protegidos bajo los más altos estándares internacionales.
¿Por qué es importante que tu proveedor de RRHH esté certificado en ISO 27001?
Cuando eliges un proveedor de software de Recursos Humanos, le estás confiando los datos más sensibles de tu organización: información de nómina, datos personales de empleados, contratos laborales y registros financieros.
Un proveedor certificado en ISO 27001 ha demostrado ante un organismo externo acreditado que cumple con estándares internacionales de seguridad de la información.
4 razones para elegir un proveedor certificado
1. Protección garantizada de datos personales
La certificación ISO 27001 no es una promesa, es un compromiso verificable. Significa que los datos de tus empleados están protegidos mediante cifrado, controles de acceso y copias de seguridad, cumpliendo con la Ley Federal de Protección de Datos Personales en México.
2. Reducción de riesgos de ciberseguridad
Según el Ponemon Institute Cost of Insider Threats Report 2022, el 60% de las organizaciones experimentaron al menos un incidente de seguridad relacionado con proveedores externos. Un proveedor certificado reduce este riesgo mediante controles probados y auditados anualmente.
3. Cumplimiento normativo simplificado
Trabajar con proveedores certificados facilita tu propio cumplimiento normativo. Ya cuentan con controles que satisfacen requisitos del RGPD, SOX y PCI-DSS, proporcionando evidencia documental para auditorías externas.
4. Continuidad operativa asegurada
La ISO 27001 requiere planes de continuidad de negocio y recuperación ante desastres. Esto garantiza que, incluso ante un ciberataque o falla de infraestructura, tu proveedor podrá seguir procesando nóminas sin interrupciones.
Fortia: Tu aliado certificado en seguridad de la información
En Fortia, entendemos que la seguridad de la información no es negociable. Por eso nos certificamos en ISO 27001, convirtiéndonos en uno de los pocos proveedores de software para Recursos Humanos en México con esta distinción.
¿Qué significa esto para ti?
- Datos protegidos de extremo a extremo: Desde el onboarding hasta la gestión de tu nómina, cada proceso está diseñado con controles de seguridad.
- Integraciones seguras: Nuestro software con tecnología OpenSync para integración con otros sistemas utiliza cifrado de grado bancario y autenticación de doble factor.
- Gestión de accesos robusta: Implementamos protocolos automatizados para revocar el acceso a información a un ex-empleado en tiempo real.
- Privacidad en trabajo remoto: Garantizamos la privacidad en el trabajo remoto con controles específicos para entornos híbridos.
Cuando trabajas con Fortia, no solo obtienes un proveedor de software para RRHH: obtienes un socio comprometido con la seguridad de tu negocio.
