Estructura del estándar NTP-ISO/IEC 17799
ISO 27001
Estructura del estándar NTP-ISO/IEC 17799 contiene 11 cláusulas diferentes que permiten controlar la Seguridad y que contienen a su vez 39 categorías de seguridad y una cláusula introductoria en la que se tratan temas relacionados con la evaluación y el tratamiento del riesgo. La norma ISO 27001 realiza una función muy parecida, pero la diferencia que encontramos es que esta norma es internacional, es decir, se puede utilizar en cualquier parte del mundo mientras que la ISO/IEC 17799 es una norma técnica peruana.
Las 11 cláusulas de las que hemos hablado son:
- Política de seguridad
- Organizando la Seguridad de la Información
- Gestión de activos
- Seguridad en recursos humanos
- Seguridad física y ambiental
- Gestión de comunicaciones y operaciones
- Control de acceso
- Adquisición, desarrollo y mantenimiento de Sistema de Información
- Gestión de incidentes de los Sistemas de Información
- Gestión de la continuidad de negocio
- Cumplimiento
Cada categoría principal de seguridad contiene:
a) Un objetivo de control declarando lo que se debe alcanzar
b) Uno o más controles que pueden ser aplicados para alcanzar los objetivos de control
Las descripciones de control se pueden estructurar de la siguiente forma:
Control
Se tiene que definir de una forma específica de control con el que satisfacer el objetivo de control.
Guía de implementación
Se provee de información más detallada para apoyar la implementación del control y conocer el objetivo de control. Algunas de las guías utilizadas pueden no ser del todo convenientes para todos los casos, por lo que algunas otras formas de implementar el control pueden ser más apropiadas.
Otro tipo de información
Se provee de información adicional que puede ser necesaria, como pueden ser las consideraciones legales y referencias de otros estándares.
Evaluar y tratar el riesgo
Para poder evaluar el riesgo se tiene que identificar, cuantificar y priorizar todos los riesgos que existe contra el criterio para aceptar este riesgo y los objetivos relevantes para la empresa.
Los resultados pueden guiar y determinar la acción apropiada para la gestión y las prioridades para manejar la información de los riesgos de seguridad y para implementar controles seleccionados a la hora de proteger de ciertos riesgos. El proceso de evaluación de riesgos y seleccionar diferentes controles que puede requerir que sea utilizado cierto número de veces con el principal fin de cubrir todas las partes de la organización o Sistemas de Información individuales.
La evaluación de riesgo tiene que incluir un alcance sistemático sobre la estimación de la magnitud del riesgo y el proceso de comparar el riesgo estimado con el criterio suficiente para determinar el significado de los riesgos.
Las evaluaciones del riesgo tienen que realizarse de forma periódica, ya que se deben incluir todos los cambios necesarios para alcanzar los requerimientos del sistema y en la situación del riesgo, podemos poner el siguiente ejemplo, los activos, las amenazas, las vulnerabilidades, los impactos, la valoración del riesgo y los cambios más significativos sucedan. Las evaluaciones de riesgo se emprenden con de una manera establecida gracias a una metodología, con la que se puede producir los resultados comparables y reproducirlos después.
La evaluación de la información en cuanto al riesgo de seguridad tiene que tener un claro alcance y que éste sea muy definido para que se realice de forma efectiva y se incluya en todas las evaluaciones del riesgo.
El alcance de la evaluación del riesgo se puede ver en toda la organización, ya que un sistema individual de información, diferente componentes específicos del Sistema de Seguridad de la Información o los servicios que pueden ser utilizados, siempre desde un punto de vista provechoso y realista.
La empresas tiene que decidir el criterio que van a utilizar para determinar si los riesgos se pueden aceptar o no. Los riesgos pueden aceptarse si, se evalúa que el riesgo es menor o que el costo de tratamiento no es rentable para la organización.
Por cada riesgo identificado se necesita realizar una decisión de tratamiento del riesgo. Las posibles opciones para el tratamiento incluyen:
- Aplicación de controles apropiados para disminuir los riesgos.
- Los riesgos aceptados satisfacen el criterio para la aceptación del riesgo y la política de la empresa.
- Evitar riesgos no se permita para realizar acciones que puedan causar que estos riesgos sucedan.
- Se transfieren los riesgos asociados a terceros como son los proveedores y las aseguradoras.
Los controles tomados para asegurar que los riesgos se reducen a un nivel aceptable son los siguientes:
- Exigencias y coacciones de la legislación y regulación, tanto nacional como internacional.
- Conseguir los objetivos adoptados por la organización.
- Aumentar las exigencias y coacciones operacionales.
- Disminuir los costos de la implementación y operación en relación con los riesgos que se reducen y son proporcionales a las exigencias y a las coacciones de la empresa.
- Existe una gran necesidad de tener en cuenta la inversión a la hora de implementar y operar con los diferentes controles contra el daño que se pueda realizar en las fallas de seguridad.
Los controles se seleccionan en este estándar o de otro conjunto de controles o de nuevos controles que se pueden designar para poder conocer las necesidades específicas de la organización.
Software para Sistema de Seguridad de la Información
El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.