ISO 27001: Sistema de Gestión de Seguridad de la Información
ISO 27001
La norma ISO 27001 genera todos los requisitos necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organización.
La información de una organización puede ser la parte más importante de esta. Como es evidente, la organización contara con otro tipo de activos que también tendrán una alta importancia, pero si la empresa se encuentra con algún problema en la Seguridad de la Información esta no tendrá forma de volverla a recuperar. Ese es el principal motivo por el que las organizaciones deben dedicar parte de su esfuerzo en garantizar la seguridad de la información corporativa.
Normalmente la Gestión de la Seguridad de la Información en una organización se encuentra desorganizado, por lo que no cuenta con un criterio común, es decir, cada departamento de la organización cuenta con sus propias políticas y procedimientos, que han sido establecidas sin contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de los objetivos del negocio.
Implementar un Sistema de Gestión de Seguridad de la Información es la manera más eficaz de poder conseguir la coordinación y gestión necesarias para alcanzar los objetivos de la organización y además se puede conseguir que la organización salga mucho más reforzada.
Un Sistema de Gestión de Seguridad de la Información genera una garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la información en la organización, se debe realizar un tratamiento según los diferentes niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.
El Sistema de Gestión de Seguridad de la Información según la norma ISO27001 genera un proceso de mejora continua y de gran flexibilidad frentes a los cambios que se pueden producir en la empresa refiriéndonos a los procesos de negocio y a la tecnología, ya que esta avanza a una gran velocidad.
El SGSI se basa en tres pilares fundamentales:
- Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin.
- Integridad: es la preservación de la información completa y exacta.
- Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.
El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres pilares fundamentales para realizar el tratamiento de los riesgos de la organización ya que la implementación de los controles de seguridad en los activos de la organización.
Sistema de Gestión de Seguridad de la Información
Implantar un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Comprobar y Mejorar, cuyas siglas en inglés son PDCA. El ciclo PDCA supone la implementación de un Sistema de Gestión que se centra en la mejora continua que requiere de una constate evolución para adaptarse a los cambios que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa.
Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del ciclo Deming (PDCA):
- Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Seguridad de la Información, con la definición del alcance y la política de seguridad. Para comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la entidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de tratamiento de riesgos que conlleva la implementación en la empresa de unos controles de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección.
- Hacer: durante esta fase de la implementación nos centramos en el plan de tratamiento de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los trabajadores de la organización en materia de seguridad y deben conocer la definición de métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles implementados.
- Comprobar: esta fase conlleva la realización de diferentes tipos de revisión en los que se comprobarán la correcta implementación del Sistema de Gestión de Seguridad de la Información. Para ello se deben realizar auditorías internas independientes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de Seguridad de la Información por la alta dirección de la empresa, persiguiendo el fin de marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI.
- Mejorar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e implementación de las diferentes acciones correctivas, preventivas o de mejora con las que se consigue avanzar en la consecución del Sistema de Gestión de Seguridad de la Información siendo un sistema eficaz y eficiente.
Para implementar un Sistema de Gestión de Seguridad de la Información se deben utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PDCA de gestión de sistemas y el estándar internacional ISO27002 en que encontramos la guía de implantación de los diferentes tipos de controles de seguridad.
La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos de una entidad donde debe existir la seguridad de la información. Los dominios se encuentran divididos en 39 objetivos de control que a su vez abarcan 133 controles de seguridad.
Se deben seleccionar los diferentes controles que se deben llevar acabo para definir el plan de tratamiento de riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferentes controles que sirven de unión entre ambas normas internacionales.
El Software para SGSI
El Software ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.