Cómo la gestión de contraseñas ayuda a las empresas a obtener la certificación ISO 27001

Actualización: A partir de marzo de 2025, Bitwarden cuenta con la certificación ISO 27001 en cumplimiento con los conjuntos de controles de ISO 27001 relacionados con la seguridad de los datos.

ISO 27001, una norma internacional, sienta las bases para crear, mantener y desarrollar sistemas de gestión de seguridad de la información (SGSI), incluida la gestión de datos. Las empresas que buscan lograr el cumplimiento o la certificación ISO 27001 deberían considerar agregar gestión de contraseñas para ISO 27001 a su conjunto de herramientas.

La Organización Internacional de Normalización (ISO) es un grupo global que desarrolla y publica normas técnicas, industriales y comerciales a nivel mundial. Actualizada por última vez en octubre de 2022, la ISO 27001 norma para SGSI proporciona un marco de seguridad de datos que consta de 93 conjuntos de controles. Para obtener la certificación ISO 27001, las empresas deben demostrar el cumplimiento de todos ellos.

Para certificarse como empresa ISO 27001, debe cumplir con 93 conjuntos de controles.

El proceso de certificación ISO 27001 consiste en una auditoría realizada por organismos de certificación independientes que revisan las políticas y los procedimientos de seguridad de datos de la empresa, y cómo se aplican. El proceso puede ser largo, pero aprobar una auditoría de certificación ISO 27001 demuestra que su empresa realizó una evaluación de riesgos de seguridad para identificar posibles amenazas e implementó controles de seguridad para protegerse contra filtraciones de datos.

La certificación ISO 27001 da a las organizaciones una ventaja competitiva para atraer y retener clientes, porque demuestra controles sólidos de seguridad de la información. La certificación también puede atraer y retener proveedores y otras partes interesadas preocupadas por cómo se gestiona y protege su información.

Incluso prepararse para el proceso de auditoría puede fortalecer las políticas ISO 27001 existentes y mejorar los sistemas internos, las estructuras y los procesos empresariales cotidianos. El proceso de gestión de riesgos también puede ayudar a las organizaciones a cumplir mejor con leyes de protección de datos como la CCPA y el RGPD, y a evitar multas por incumplimiento o pérdida de reputación debido a una filtración de datos evitable.

Los 93 conjuntos de controles se encuentran en el Anexo A y se dividen en 4 temas principales. Para obtener la certificación ISO 27001, las empresas deben demostrar el cumplimiento de estos controles. Las categorías son:

• Controles organizacionales (37 controles)

• Controles de personas (8 controles)

• Controles físicos (14 controles)

• Controles tecnológicos (34 controles)

La versión anterior de ISO incluía 114 controles divididos en 14 categorías. Esa versión también incluía lenguaje que regulaba los sistemas de inicio de sesión seguro y de gestión de contraseñas. 

El control de inicio de sesión seguro especificaba que “el acceso a sistemas y aplicaciones debe controlarse mediante un procedimiento de inicio de sesión seguro cuando lo requiera la Política de control de acceso”. Con un administrador de contraseñas, los usuarios se benefician al agregar otra capa de seguridad a los inicios de sesión y tener un lugar para ayudar a gestionar e integrar la autenticación de dos factores en todos los sitios web que la admiten. 

El control del sistema de gestión de contraseñas establecía que “los sistemas de gestión de contraseñas deben funcionar de manera coordinada para garantizar la calidad de las contraseñas”. ISO recomienda usar un administrador de contraseñas que permita a los usuarios crear contraseñas seguras y únicas, y que ofrezca capacidades de uso compartido seguro para la colaboración.

Los administradores de contraseñas establecen la seguridad de las contraseñas, aplican la 2FA y usan registros de eventos para supervisar la actividad de los usuarios: todas capacidades que las empresas deben tener para cumplir con los requisitos de ISO sobre control de acceso, protección de información de identificación personal (PII) y protección de endpoints.

La versión más reciente de ISO 27001 aborda la gestión de contraseñas en el Anexo A 5.17. Hay muchos requisitos adicionales del Anexo A que pueden cumplirse o respaldarse mediante la adopción de un administrador de contraseñas. Aunque no es una lista exhaustiva, algunos ejemplos incluyen:

• Anexo A 5.3, Separación de funciones: Las funciones incompatibles y las áreas de responsabilidad incompatibles deben separarse.

• Anexo A 5.14, Transferencia de información: Deben existir reglas, procedimientos o acuerdos de transferencia de información para todos los tipos de medios de transferencia dentro de la organización y entre la organización y otras partes.

• Anexo A 5.15, Control de acceso: Deben establecerse e implementarse reglas para controlar el acceso físico y lógico a la información y a otros activos asociados, en función de los requisitos empresariales y de seguridad de la información.

• Anexo A 5.16, Gestión de Identidad: Se debe gestionar el ciclo de vida completo de las identidades.

• Anexo A 5.17, Información de autenticación: La asignación y gestión de la información de autenticación debe controlarse mediante un proceso de gestión, lo que incluye asesorar al personal sobre buenas prácticas para manejar la información de autenticación.

  • Un guía detallada sobre estos criterios presenta recomendaciones de contraseñas con consejos para gestionarlas, incluida la capacidad de crear contraseñas seguras. Además, el objetivo recomienda que las organizaciones eviten credenciales débiles, muy usadas o comprometidas.

Dados estos criterios, lo ideal sería que las organizaciones implementaran un sistema de administración de contraseñas que les permita generar informes y obtener información práctica sobre contraseñas comprometidas, reutilizadas, débiles o potencialmente comprometidas.

• Anexo A 5.34, Privacidad y protección de la información de identificación personal (PII): La organización deberá identificar y cumplir los requisitos relacionados con la preservación de la privacidad y la protección de la PII de acuerdo con las leyes y regulaciones aplicables, y los requisitos contractuales.

• Anexo A 8.1, Dispositivos de punto final de usuario: La información almacenada en dispositivos de punto final de usuario, procesada por ellos o accesible a través de ellos deberá estar protegida.

• Anexo A 8.4, Acceso al código fuente: El acceso de lectura y escritura al código fuente, las herramientas de desarrollo y las bibliotecas de software deberá gestionarse adecuadamente.

• Anexo A 8.5, Autenticación segura: Deberán implementarse tecnologías y procedimientos de autenticación segura con base en las restricciones de acceso a la información y la política específica sobre control de acceso.

  • Este objetivo se centra en usar autenticación multifactor para iniciar sesión de forma segura en los sistemas. Con un administrador de contraseñas, los usuarios se benefician al agregar otra capa de seguridad a los inicios de sesión y también al contar con un solo lugar que ayuda a gestionar e integrar la autenticación de dos factores (2FA) para todos los sitios web que la admiten. El objetivo también destaca que las contraseñas deben mantenerse confidenciales en todo momento, lo que refuerza la necesidad de una caja fuerte de contraseñas completamente cifrada.

Los sistemas de administración de contraseñas permiten a las organizaciones identificar cualquier elemento en sus cajas fuertes que tenga 2FA inactiva.

• Anexo A 8.11, Enmascaramiento de datos: El enmascaramiento de datos deberá usarse de acuerdo con la política específica de la organización sobre control de acceso y otras políticas específicas relacionadas, así como con los requisitos del negocio, tomando en cuenta la legislación aplicable.

• Anexo A 8.12, Fuga de datos: Deberán aplicarse medidas de prevención de fuga de datos a sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información confidencial.

Un sistema de administración de contraseñas respalda los numerosos requisitos del Anexo A enumerados anteriormente, así como muchos de los requisitos incluidos en los conjuntos generales de controles. 

Los usuarios pueden mantener en secreto la información de autenticación, aplicar mejores prácticas de contraseñas como generar contraseñas seguras y únicas, y compartir contraseñas de forma segura con un administrador de contraseñas que protege la información confidencial con cifrado de extremo a extremo. Al limitar quién puede ver cierta información confidencial o crítica, los administradores de contraseñas también ayudan a separar funciones y limitar las amenazas internas.

Las organizaciones que usan administradores de contraseñas establecen requisitos de fortaleza de contraseña, aplican autenticación de dos factores (2FA), y usan registros de eventos para monitorear la actividad de los usuarios: todas capacidades que las empresas deben lograr para cumplir los requisitos de ISO sobre control de acceso, protección de PII y protección de endpoints. La mayoría de los administradores de contraseñas de buena reputación también facilitan la integración con SSO, proporcionando a los administradores las herramientas que necesitan para gestionar el acceso y el proceso de autenticación. Esta capacidad ayuda a cumplir el requisito de ISO sobre autenticación segura.

Al evaluar administradores de contraseñas para respaldar la certificación ISO 27001, las organizaciones deben analizar si el software sigue estándares de seguridad y cumplimiento de nivel empresarial, como el cumplimiento de SOC 2 tipo 2, el cumplimiento del GDPR, el Marco de Privacidad de Datos y HIPAA. Las empresas deben seleccionar una solución que ofrezca cifrado de extremo a extremo de conocimiento cero.