ISO 27001: Modelo de pirámide
ISO 27001
El Sistema de Gestión de Seguridad de la Información ISO 27001 podemos abreviarlo como SGSI. Podemos entender por información todo el conjunto de datos organizados y custodiados por la organización teniendo estos una gran importancia para ellos, es independiente la forma en la que la empresa guarde o transmita la información, el origen de esta y la fecha de elaboración.
La Seguridad de la Información basada en la norma ISO 27001, se fundamenta en la preservación de su confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en su tratamiento, dentro de la empresa. Además, podemos contar con los siguientes términos que constituyen la base sobre la que se cimienta todo el Sistema de Gestión de Seguridad de la Información:
- Confidencialidad: la información no se puede poder a disposición, ni debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados.
- Integridad: se debe mantener la exactitud y la complejidad de la información.
- Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos que se encuentren autorizados.
Para poder garantizar la seguridad de la información se debe gestionar correctamente, se tiene que hacer una utilización del proceso sistemático, documentado y conocido por toda la empresa, desde un enfoque de riesgo empresarial. Por lo que este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO 27001.
La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la información debe llegar a ser esencial para mantener a un nivel alto la competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para conseguir los objetivos marcados por la organización y así asegurar el beneficio económico.
La empresa y sus Sistemas de Gestión de Seguridad de la Información se encuentran expuestos a un elevado número de amenazas que, aprovechando alguna de estas vulnerabilidades, la organización se pueden encontrar sometidas a violaciones de la información mediante fraude, espionaje, sabotaje o vandalismo.
Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos, pero también se pueden considerar los riesgos de sufrir incidentes de seguridad causadas de forma voluntaria o involuntaria por parte de la propia organización.
Cumplir con la legalidad, la adaptación dinámica y puntual de las variaciones en las condiciones del entorno, la protección de los objetivos de negocio con el que poder asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, todo esto genera unos aspectos fundamentales en los que un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 es una gran herramienta, que genera una gran ayuda durante la gestión de las organizaciones.
La seguridad que hemos alcanzado mediante los medios técnicos es limitada e insuficiente por sí mismo. Durante la gestión de la seguridad se tiene que tomar por parte de toda la organización, con la alta dirección al frente, teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. El modelo de gestión de la seguridad se tiene que contemplar unos procedimientos adecuados y la planificación e implementación de controles de seguridad basada en una evaluación de riesgos y en medir la eficacia de los mismos.
El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 establece todas las políticas y los procedimientos en relación a los objetivos de negocio de la empresa, con el fin de mantener en nivel de exposición al mínimo riesgo que la organización ha decidido asumir. El Sistema de Gestión de Seguridad de la Información, la empresa sabe todos los riesgos a los que se encuentra sometida su información y las debe asumir e intentar minimizar los riesgos controlando mediando la sistemática definida, documentada y conocida por todos los miembros de la organización, además se debe revisar y mejorar continuamente.
Podemos trasladar el modelo de pirámide de cuatro niveles desde el ámbito de la Gestión de la Calidad según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:
Nivel 1 “Manual de Seguridad”
Es el documento que inspira y dirige todo el sistema, el que expone y determina todas la interacciones, el alcance, los objetivos, las responsabilidades, la políticas y directrices principales, etc. del Sistema de Gestión de Seguridad de la Información.
Nivel 2 “Procedimientos”
Son documentos a nivel operativos, que aseguran que se lleve a cabo de forma eficaz la planificación, operación y el control de todos los procesos de seguridad de la información.
Nivel 3 “Instrucciones, Checklists y Formularios”
Son documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Nivel 4 “Registros”
Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información, ya que se encuentran asociados a los documentos de los tres niveles anteriores.
- Alcance del SGSI: entorno de la organización que queda sometido al Sistema de Gestión de Seguridad de la Información, en que se incluye la identificación de todas las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas.
- Política y objetivos de seguridad: es un documento con el contenido genérico que establece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información.
- Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI
- Enfoque de evaluación de riesgos: se describe la metodología que se va a emplear.
- Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anteriormente mencionada a los activos de información de la empresa.
- Plan de tratamiento de riesgos: en el documento se identifican las acciones que tiene que llevar a cabo la dirección, los RRHH, los responsables y las prioridades para gestionar los riesgos.
- Etc.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.