Hasta aquí vimos derechos y leyes. Pero, en el día a día de una empresa u organización, cumplir esas leyes exige algo muy concreto: un sistema para gestionar la seguridad de la información. Ahí es donde entra la familia de normas ISO/IEC 27000, el estándar internacional más usado para organizar esa tarea.
4.1 Introducción a la ISO/IEC 27001
4.1.1 Alcance de la ISO/IEC 27001
La norma ISO/IEC 27001 (en su versión vigente, de 2022) define los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI): un conjunto de políticas, procesos y controles para proteger la información de una organización, sin importar si esta es una entidad financiera, un despacho de abogados o una plataforma educativa como la que sostiene este curso.
4.1.2 ¿Qué se entiende por organización y cómo debe clasificarse para la certificación?
Para la norma, "organización" es cualquier entidad —empresa, ONG, entidad pública, incluso una unidad dentro de una empresa más grande— que decide delimitar el alcance de su SGSI: qué áreas, sedes, sistemas o procesos entrarán en la certificación. Definir bien ese alcance es el primer paso, porque una certificación mal delimitada (por ejemplo, que deje fuera el área que maneja los datos más sensibles) puede dar una falsa sensación de seguridad.
4.1.3 Seguridad de la información
"Seguridad de la información" es un concepto más amplio que "ciberseguridad": no se limita a los sistemas informáticos, sino que protege la información en cualquier soporte, incluido el papel, las conversaciones o el conocimiento en la mente de un empleado. La ciberseguridad, en cambio, se enfoca específicamente en la información que vive en sistemas digitales y redes.
4.2 Análisis e implementación de la tríada CIA y PDCA
4.2.1 Confidencialidad, alcance e impacto
La confidencialidad busca que la información solo sea accesible para quienes están autorizados a verla. Su incumplimiento (por ejemplo, que se filtren los datos médicos de pacientes de un hospital) puede causar desde vergüenza personal hasta discriminación o pérdidas económicas graves.
4.2.2 Integridad, alcance e impacto
La integridad busca que la información no sea alterada de forma no autorizada ni accidental. Si alguien modifica el monto de una transferencia bancaria o las notas de un estudiante en un sistema universitario, el problema no es que "alguien vio" la información, sino que la información ya no es confiable.
4.2.3 Disponibilidad, alcance e impacto
La disponibilidad busca que la información y los sistemas estén accesibles cuando se los necesita. Un ataque de "ransomware" que bloquea los sistemas de un hospital durante días no roba datos necesariamente, pero impide que el personal médico acceda a historiales clínicos urgentes: un impacto que puede ser tan grave como una filtración.
4.2.4 Implementación PDCA
La ISO/IEC 27001 se basa en el ciclo PDCA (Plan-Do-Check-Act, o Planificar-Hacer-Verificar-Actuar, también llamado "ciclo de Deming"): un proceso de mejora continua, no un proyecto que se termina una sola vez. Esto refleja una idea central de la seguridad de la información: ninguna medida es definitiva, porque las amenazas cambian constantemente.
4.2.5 Proceso y alcance del PDCA
En la práctica: Planificar implica identificar riesgos y definir controles; Hacer implica implementar esos controles; Verificar implica auditar y medir si funcionan; y Actuar implica corregir lo que falló y volver a planificar. Es el mismo principio detrás de estudiar para un examen, revisar dónde te fue mal, ajustar tu método y volver a intentarlo en el siguiente parcial.
4.3 ISO 27032 - Ciberseguridad
Mientras la ISO/IEC 27001 organiza la gestión general de la seguridad de la información, la norma ISO/IEC 27032 se enfoca específicamente en la ciberseguridad, entendida como la protección del "ciberespacio": la red de sistemas, redes y usuarios interconectados a través de internet. Ofrece directrices para que distintos actores (empresas, proveedores de internet, usuarios) cooperen frente a amenazas que no respetan los límites de una sola organización, como el phishing o las botnets.
4.4 Alcance de la ISO 27032
4.4.1 Principios y bases de implementación
La norma distingue la ciberseguridad de conceptos relacionados pero distintos —seguridad de la información, seguridad de redes, seguridad de aplicaciones y protección de infraestructura crítica— y propone principios de colaboración: compartir información sobre amenazas entre organizaciones, coordinar la respuesta a incidentes y aplicar controles técnicos comunes. En la práctica, esto es lo que permite, por ejemplo, que un banco boliviano y su proveedor de nube coordinen su respuesta ante un intento de fraude en línea, en lugar de enfrentarlo cada uno por su cuenta.
Puntos clave
- La ISO/IEC 27001 (2022) define los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI).
- "Seguridad de la información" es más amplia que "ciberseguridad": cubre cualquier soporte, no solo los sistemas digitales.
- La tríada CIA (confidencialidad, integridad, disponibilidad) resume los tres objetivos centrales que protege un SGSI.
- El ciclo PDCA (Planificar-Hacer-Verificar-Actuar) convierte la seguridad de la información en un proceso de mejora continua.
- La ISO/IEC 27032 se enfoca específicamente en la ciberseguridad y en la cooperación frente a amenazas del ciberespacio.
Este artículo tiene fines educativos y busca explicar conceptos generales del derecho boliviano de forma didáctica, con base en normativa vigente citada; no constituye asesoría legal para un caso concreto.
← VOLVER A ASIGNATURAS