ISO 27001 y la gestión de los activos en una PYME
ISO 27001
ISO 27001 sirve para Las organizaciones poseen información que deben proteger de riesgos y amenazas a las organizaciones, y así asegurar el correcto funcionamiento de su negocio. Este tipo de información imprescindible para las empresas es lo que se ha denominado activo de Seguridad de la Información. Su protección es el objetivo de todo Sistema de Gestión de Seguridad de la Información.
Para proteger los activos de información es necesario conocerlos e identificar cuáles son dentro de la organización. Para esta tarea se elaborará un inventario que los identifique y clasifique. Cada activo del inventario debe incluir toda la información esencial de cada activo, incluyendo el tipo de activo, valor, localización, licencias, formato, etc.
El propietario del activo debe ser quien defina el grado de seguridad que requiere su activo.
El propietario no tiene, necesariamente, que ser quien va a gestionar el activo o ser su usuario, pero si es en quién recae la última responsabilidad de la correcta gestión de su activo.
Por ejemplo, una empresa certificada en ISO27001 tendrá una base de datos de clientes que puede pertenecer al Director Comercial de una empresa, su gestión puede estar encomendada al área de sistemas y sus usuarios pueden ser los comerciales, pero es el Director Comercial quién debe comprobar que todo se está realizando correctamente.
Una vez identificados todos los activos hay que realizar un análisis de las dependencias existentes entre ellos. Para establecer esas dependencias se pueden hacer preguntas del tipo ¿quién depende de quién? o ¿si hay un fallo en el activo X qué otros activos se van a ver perjudicados o involucrados?
Además, para cada nivel de clasificación deben determinarse los procedimientos de etiquetado y tratamiento durante todo el ciclo de vida del activo, así como los métodos de destrucción seguros.
Como resultado de dicho análisis se obtendrá un árbol de dependencias de activos en el que se podrá ver la relación existente entre todos los activos de una organización desde los de más alto nivel hasta llegar a los de nivel más bajo.
No todos los activos tienen la misma importancia para la organización, ni generan los mismos problemas sin son atacados. Por ello es necesario realizar una valoración de los activos en función de la relevancia que tengan para el negocio y del impacto que una incidencia sobre el mismo pueda causar a la organización.
Podemos realizar una valoración cuantitativa, en la que se estima el valor económico del activo, o cualitativa.
La valoración cualitativa se establece de acuerdo a una escala, por ejemplo del 0 al 10 o con valores del tipo: bajo, medio y alto. En este tipo de valoración es muy importante que exista un criterio homogéneo de valoración que permita comparar entre activos. El criterio que se suele utilizar está basado en las características principales de la información, es decir, en la integridad, confidencialidad y disponibilidad.
La Plataforma Tecnológica ISOTools está capacitada para proteger cada uno de los activos de la organización según las orientaciones de ISO-27001, asegurando la eficiencia y eficacia en la gestión de la seguridad de la información.