ISO 9001 + ISO 27001

¿ISO 9001 ayuda a ISO 27001? 

¿Puede servir un sistema de gestión de la calidad (SGC) ya implementado como base para un sistema de gestión de la seguridad de la información (SGSI)?

Por supuesto que sí, puede servir. Porque hay aspectos en común.

La norma ISO 9001 describe cómo deben estructurarse los sistemas de gestión de calidad (SGC), mientras que la ISO 27001 define los sistemas de gestión de seguridad de la información (SGSI). Así que, en cuanto a “sistemas de gestión”, son equivalentes. ¿Qué significa esto?

La filosofía base de los sistemas de gestión se centra en un modelo desarrollado por W. Edwards Deming a mediados del siglo XX, utilizando el ciclo de Planificar, Hacer, Verificar y Actuar (PDCA, por sus siglas en inglés). Este ciclo funciona de la siguiente manera: en la etapa de Planificación, se define lo que se quiere lograr con el sistema de gestión; en la etapa de Hacer, se implementa; en la etapa de Verificar, se monitorea si se han alcanzado los objetivos planificados; y en la etapa de Actuar, se realizan acciones para cerrar la brecha entre lo planificado y lo logrado o mejorar los resultados conseguidos.

Este modelo fue originalmente concebido para la gestión de calidad, pero también se ha adoptado como base para muchos otros sistemas de gestión como, por ejemplo, medio ambiente (ISO 14001) y también seguridad de la información (ISO 27001). Esto significa que algunos de los elementos implementados en el sistema de gestión de calidad conforme a la ISO 9001 pueden también aplicarse al sistema de gestión de seguridad de la información. Aquí están algunos ejemplos:

Análisis de contexto

Aunque el análisis de contexto de ISO 9001 proporciona una base sólida, la ISO 27001 requiere un enfoque adicional en aspectos específicos de la seguridad de la información. Aquí hay algunas adaptaciones necesarias:

• Identificación de Activos de Información:

  • ISO 9001: No necesariamente se centra en los activos de información.

  • ISO 27001: Requiere la identificación y clasificación de activos de información, tales como datos, sistemas de TI, y hardware.

• Evaluación de Riesgos:

  • ISO 9001: Se enfoca en riesgos relacionados con la calidad y la capacidad de cumplir con los requisitos del cliente.

  • ISO 27001: Se enfoca en la identificación, evaluación y tratamiento de riesgos específicos de la seguridad de la información.

• Requisitos Legales y Regulatorios:

  • ISO 9001: Incluye el cumplimiento de requisitos legales y regulatorios relacionados con la calidad.

  • ISO 27001: Pone un énfasis adicional en el cumplimiento de leyes y regulaciones específicas de seguridad de la información y protección de datos.

• Controles:

  • ISO 9001: Se centra en controles de calidad.

  • ISO 27001: Requiere la implementación de controles de seguridad de la información basados en el Anexo A de la norma.

Gestión de documentación

El procedimiento utilizado para gestionar la documentación en el SGC puede aplicarse al SGSI, considerando una adecuación que dependerá para cada caso.

Auditoría interna

El mismo procedimiento puede usarse tanto para el SGC como para el SGSI, aunque las auditorías internas específicas puedan ser realizadas por personas diferentes.

Acciones correctivas y preventivas

El procedimiento del SGC puede utilizarse para el SGSI.

Gestión de recursos humanos

El ciclo de planificación, capacitación y evaluación de RRHH es aplicable a ambos sistemas de gestión, con la diferencia que en el perfil de competencias y conocimientos requeridos se deberán contemplar aspectos específicos relacionados con la seguridad de la información en ISO 27001.

Revisión por la dirección

Los principios de la revisión por la dirección son similares para ambos sistemas de gestión. La dirección, familiarizada con la toma de decisiones en el contexto del SGC, podrá aplicar estos mismos principios al SGSI.

Establecimiento de objetivos del sistema de gestión y seguimiento

Ambos sistemas utilizan un mecanismo similar para establecer y monitorear objetivos, por lo que la direccion estará adaptada a este tipo de planificación estratégica

Respuesta a la pregunta inicial

Por lo tanto, si una organización ya ha implementado la norma ISO 9001, la implementación de la ISO 27001 será más fácil: incluso podría reducir la duración del proyecto. Además, las auditorías de certificación serán más accesibles, ya que los organismos de certificación pueden ofrecer auditorías integradas para las normas ISO 9001 e ISO 27001, cobrando honorarios menores a los correspondientes si se auditaran por separado.

Si su SGC funciona correctamente, el proyecto de implementar e integrar un SGSI avanzará sin problemas; la dirección entenderá mejor los posibles beneficios comerciales y todas las unidades de la organización estarán acostumbradas a definir procedimientos, responsabilidades y documentación precisos.

En definitiva, contar con un SGC proporciona una excelente base para la seguridad de la información: si tu organización ya tiene la ISO 9001 certificada, considerá seriamente la implementación de la ISO 27001 si buscás proteger la seguridad de la información con la que trabajás.

Diferencia documental

Ahora hablemos de una diferencia, la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) según ISO 27001 tiende a tener una mayor incidencia de políticas en comparación con un Sistema de Gestión de la Calidad (SGC) según ISO 9001, que está más caracterizado por procedimientos. 

Esta diferencia se debe a varios factores fundamentales:

¿Cómo justificamos la Mayor Incidencia de Políticas en ISO 27001?

• Naturaleza de la Seguridad de la Información:

  • La seguridad de la información abarca la protección de datos sensibles, la confidencialidad, la integridad y la disponibilidad de la información. Esto requiere establecer políticas claras para definir qué se protege, cómo se protege y quién es responsable de la protección. Las políticas proporcionan una dirección estratégica y un marco de referencia para todas las actividades relacionadas con la seguridad de la información.

• Necesidad de Gobernanza:

• • • La seguridad de la información necesita una fuerte gobernanza para asegurar que todas las partes interesadas comprendan sus roles y responsabilidades. Las políticas ayudan a establecer esta gobernanza al delinear las expectativas de comportamiento y cumplimiento en toda la organización.

• Conformidad Legal y Regulatoria:

  • Las organizaciones deben cumplir con numerosas leyes y regulaciones relacionadas con la protección de datos y la privacidad. Las políticas son necesarias para garantizar que la organización cumpla con estos requisitos legales y regulatorios y para demostrar el cumplimiento a las partes interesadas y auditores externos.

• Gestión de Riesgos:

  • La seguridad de la información se basa en la identificación, evaluación y mitigación de riesgos. Las políticas establecen el enfoque de la organización hacia la gestión de riesgos y aseguran que se tomen medidas coherentes y adecuadas para abordar los riesgos identificados.

• Cultura de Seguridad:

  • Las políticas ayudan a fomentar una cultura de seguridad dentro de la organización. Al comunicar claramente las expectativas y directrices de seguridad, las políticas aseguran que todos los empleados comprendan la importancia de la seguridad de la información y actúen en consecuencia.

Comparación con ISO 9001

ISO 9001:

Se centra en la calidad de los productos y servicios ofrecidos por una organización. Los procedimientos son clave para estandarizar las operaciones, asegurar la consistencia en la producción y el servicio, y permitir la mejora continua. Estos procedimientos documentan las mejores prácticas y aseguran que las actividades se realicen de manera consistente. Se enfocan principalmente en describir cómo llevar a cabo los procesos de la organización para garantizar la satisfacción del cliente.

ISO 27001:

En contraste, se centra en la protección de la información. Las políticas en este contexto son críticas para establecer el marco y las directrices bajo las cuales se gestionarán la seguridad y los riesgos. Mientras que también se utilizan procedimientos, las políticas proporcionan la base para tomar decisiones estratégicas y asegurar la adherencia a las mejores prácticas y regulaciones de seguridad. Se enfocan principalmente en describir qué acciones y criterios se consideran para proteger a la información dentro de los procesos de la organización.

Por supuesto que lo dicho anteriormente no significa que un sistema de gestión de la calidad no requiera de políticas (de hecho, la política de la calidad es obligatoria para ISO 9001:2015) ni que un sistema de gestión de la seguridad de la información no requiera procedimientos (que son necesarios para describir cómo la organización lleva a cabo determinados procesos para cumplir con sus políticas). En resumen, la mayor incidencia de políticas en la implementación de ISO 27001:2022 refleja la necesidad de un marco estratégico claro y la gobernanza necesaria para proteger la información en una organización. Dentro de cualquier sistema de gestión, las políticas establecen las directrices generales y las expectativas de comportamiento, mientras que los procedimientos operativos específicos aseguran la implementación efectiva de estas políticas.

¿Estás pensando en certificar ISO 9001 o ISO 27001? Desde Procesos Mejores te guiamos en el proyecto. Contá con nosotros.