ISO 27001: El Esquema Nacional de Seguridad
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 mejora la seguridad de la información en las organizaciones, facilitando la utilización de sistemas como puede ser el cloud. Además de la norma se suman cuestiones jurídicas relacionadas con la protección de datos de carácter personal y la confidencialidad de la información dentro de la investigación gracias al nacimiento del Real Decreto 3/2010 mediante el cual se regula el Esquema Nacional de Seguridad (ENS) dentro de la Administración Electrónica. Las administraciones públicas contaban con plazo hasta enero de 2014 para adecuarse a las exigencias de dicho Real Decreto.
Existen 8 pilares fundamentales para adecuar el Esquema Nacional de Seguridad (ENS), los cuales procedemos a nombrar:
- Priorizar
- Utilizar las infraestructuras y los servicios comunes
- Usar guías e instrumentos específicos
- Normalizar la situación
- Comunicar los incidentes de seguridad que se produzcan
- Utilizar productos que se encuentren certificados
- Preguntar todas las dudas que se tengan
- Formarse mediante cursos para conocer el tema a tratar
Dentro del paradigma del cloud, desde el Ministerio se está realizando un gran esfuerzo para que se utilicen las infraestructuras y los servicios comunes generando un soporte legal para que se lleve a cabo dentro de un ecosistema de infraestructura y servicios comunes. Para poder cumplir con el Esquema Nacional de Seguridad y para poder utilizar los servicios del cloud de cualquier naturaleza se deben identificar perfectamente todos los requisitos existentes sobre seguridad para cada servicio que pueda ser prestado por este modelo.
El primer paso a seguir para asegurar el cumplimiento es cambiar el modelo de prestación del servicio en concreto, esto implica realizar una revisión del análisis de riesgos y procedimientos de seguridad asociados, además de ejecutar un plan de transición que contemple una formación adecuada mediante protocolos de actuación que se deben seguir en caso de que se produzca algún accidente. En este caso la implantación de un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO27001 ayuda a que se proceda de una forma rápida y sencilla.
Pese al gran esfuerzo económico y al gran impacto que genera en la organización la adaptación al Esquema Nacional de Seguridad (ENS), el camino que recorre y el esfuerzo que realizan las administraciones públicas es muy grande, pero reciben una gran recompensa en lo que se refiere al desarrollo evolutivo dentro del marco de referencia ya que se encuentra garantizado.
El Plan Estratégico de Mejora de la Administración y del Servicio Público desde el año 2012 al año 2015 incluye entre otras tantas medidas, el desarrollo del ENS.
Adoptar el ENS dentro de otra organizaciones también es posible, es más es beneficioso para estas ya que pueden presentar el desarrollo del propio Esquema y su Normas de aplicación dentro del ámbito del sector en el que se encuentre la organización. Estos datos pueden ser contrastados gracias a la evolución que muestran los diferentes indicadores de las organizaciones que se difunde en un informe anual. Durante la última edición se muestra como ha aumentado el avance en la adopción del Esquema Nacional de Seguridad (ENS), bien sea gracias a la existencia de un plan de actuación o mediante un plan derivado de un análisis de riesgos.
El camino que se debe recorrer para poder incorporar todas las medidas que establece el Esquema Nacional de Seguridad ha sido iniciado por muchas organizaciones que cuentan con un alto grado de madurez en temas de gestión de la seguridad de la organización. Este alto grado de madurez puede venir dado por la norma ISO-27001 mediante la implantación de un Sistema de Gestión de la Seguridad de la Información, ya que al estar certificada puede identificar todos los elementos comunes de los diferentes marcos de trabajo además de los trabajos específicos. Hoy día son muchas las organizaciones que cuentan con esta certificación, ya que les genera grandes ventajas a la hora de proteger sus documentos, ya que en la actualidad se trabaja mucho con los sistemas informáticos y nadie está a salvo ante un ataque que deje al descubierto toda su información.
Aunque las experiencias con las que contamos de organizaciones que se encuentran mucho más avanzadas en este ámbito desde un punto inicial y que no contempla la existencia de un Sistema de Gestión de Seguridad de la Información, coinciden en los pasos fundamentales que debe seguir para adoptar el ENS.
Que exista un Plan de Adecuación para el Esquema Nacional de Seguridad que desarrolla políticas de seguridad, normativos y planes de acción basados en análisis de riegos debe ser controlado por un Comité de Seguridad de la organización. El comité designado debe contar con responsables de los diferentes ámbitos tecnológicos de la organización, además de responsables jurídicos y responsables de servicios asignados a adoptar el Esquema Nacional de Seguridad.
Llegamos a la conclusión de que esto va más allá de las TIC, por lo que supone un cambio en la cultura de la organización y estas debe contar con el respaldo de la alta dirección de la organización. La consecuencia de querer adoptar de forma conjunta la adopción del ENS y el ENI dentro de un sistema TIC de la organización necesita un gran esfuerzo, tanto económico como personal, por lo que todos los empleados de la organización deben estar implicados para poder conseguir todos los objetivos marcados y mejorar de forma continua. La implantación de la norma ISO 27001 supone otro esfuerzo por parte de la organización, pero esta le genera grandes beneficios a largo plazo ya que reduce esfuerzo a la hora de querer implementar sistemas que se encuentren relacionados directamente con la seguridad de la información.
Software para ISO 27001
El Software ISO para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información ISO27001, lo cual aporta un ahorro de recursos, entre ellos dinero y tiempo.